Search
Menu
Stats Perform
 

컨트롤러-컨트롤러 DPA

마스터 라이선스 계약에 대한 컨트롤러 간 부록

 

소개

본 데이터 보호 부록("DPA")은 당사자가 실행한 모든 작업 지시서에 명시된 대로 STATS Perform과 사용권자(당사자가 실행한 모든 작업 지시서에 명시된 대로) 간의 마스터 라이선스 계약("MLA")의 조건에 통합되어 있으며 그 일부를 구성합니다. MLA와 본 DPA 또는 작업 지시서와 본 DPA 간에 충돌이 발생하는 경우, DPA가 우선합니다. 여기에 정의되지 않은 모든 대문자로 표기된 용어는 MLA에 명시된 의미를 갖습니다.

적용 분야

본 DPA는 EEA 또는 영국 내에서 STATS Perform 또는 그 계열사가 EEA 외부의 관할권에서 처리하기 위해 라이선스 사용자에게 개인 데이터를 전송하거나 제공하는 경우, 해당 관할권이 EU 집행위원회의 "적정성" 판정을 받지 않았거나 데이터 보호법의 요건을 충족하는 다른 합법적인 전송 메커니즘(본 DPA의 목적을 위해 "관련 데이터 전송")의 적용을 받는 경우에 적용됩니다. 본 DPA는 적절한 수준의 데이터 보호를 보장하지 않는 제3국으로의 개인정보 전송에 대한 표준 계약 조항에 대한 2004년 12월 27일 EU 위원회의 결정에 따라 표준 계약 조항("SCC")을 명시하고 이를 통합합니다.

SCC는 수정할 수 없고, 협상할 수 없으며, 관련 데이터 전송에 대한 데이터 보호법에 의해 요구됩니다.

따라서 양 당사자는 관련 데이터 전송이 데이터 보호 법률을 준수하도록 보장하기 위해 본 DPA를 체결합니다.

이제 다음과 같이 합의합니다:

  • 컨트롤러 대 컨트롤러 표준 계약 조항

커뮤니티에서 제3국으로 개인 데이터를 전송하기 위한 표준 계약 조항(컨트롤러에서 컨트롤러로 전송)

데이터 전송 동의

사이

통계 수행(작업 지시서에 명시된 대로)

STATS의 주소 및 설립 국가는 작업 지시서에 명시된 대로 수행합니다.

 

이하 "데이터 내보내기"

그리고

라이선스 사용자(작업 지시서에 명시된 대로)

작업 주문서에 명시된 라이선스 사용자의 주소 및 설립 국가

이하 "데이터 가져오기"

각각 "당사자", 총칭하여 "당사자".

정의

조항의 목적을 위해:

  • 개인 데이터, 특수 범주 데이터/민감 데이터, 처리/처리, 컨트롤러, 프로세서, 데이터 주체 및 감독 기관/당국은 1995년 10월 24일의 지침 95/46/EC 또는 해당 데이터 보호법(여기서 '당국'은 데이터 수출업체가 설립된 지역의 관할 데이터 보호 당국을 의미함)에서와 동일한 의미를 갖습니다(여기서 '당국'은 데이터 수출업체가 설립된 지역의 관할 데이터 보호 당국을 의미함);
  • 데이터 수출자는 개인 데이터를 전송하는 관리자를 의미합니다;
  • 데이터 수입자는 본 조항의 조건에 따라 추가 처리를 위해 데이터 수출자로부터 개인 데이터를 수신하는 데 동의하고 적절한 보호를 보장하는 제3국 시스템의 적용을 받지 않는 컨트롤러를 의미합니다;
  • 조항은 별도의 상업적 약정에 따라 당사자가 정한 상업적 비즈니스 조건을 포함하지 않는 독립적인 문서인 본 계약 조항을 의미합니다.

전송의 세부 사항(및 적용되는 개인 데이터)은 이 조항의 필수적인 부분을 구성하는 부록 2에 명시되어 있습니다.

1 데이터 내보내기의 의무

데이터 내보내기는 이를 보증하고 이행합니다:

  • 개인 데이터는 데이터 수출국에 적용되는 법률에 따라 수집, 처리 및 전송되었습니다.
  • 데이터 수입업체가 이러한 조항에 따른 법적 의무를 이행할 수 있는지 확인하기 위해 합리적인 노력을 기울였습니다.
  • 데이터 수입업체가 요청하는 경우 데이터 수출업체가 설립된 국가의 관련 데이터 보호법 사본 또는 참고 자료(해당되는 경우, 법률 자문은 제외)를 데이터 수입업체에 제공합니다.
  • 데이터 수출자는 데이터 수입자가 응답하기로 당사자들이 합의하지 않는 한 데이터 수입자의 개인 데이터 처리에 관한 정보 주체 및 당국의 문의에 응답하며, 데이터 수입자가 응답할 의사가 없거나 응답할 수 없는 경우에도 합리적으로 가능한 범위 내에서 합리적으로 이용할 수 있는 정보로 응답합니다. 응답은 합리적인 시간 내에 이루어집니다.
  • 제3항에 따라 제3자 수혜자인 데이터 주체의 요청이 있는 경우, 해당 조항이 기밀 정보를 포함하고 있는 경우를 제외하고 해당 조항의 사본을 제공하며, 이 경우 해당 정보를 삭제할 수 있습니다. 정보를 삭제하는 경우, 데이터 수출자는 정보주체에게 서면으로 삭제 사유와 당국의 주의를 끌 수 있는 권리에 대해 알려야 합니다. 단, 데이터 수출자는 데이터 주체가 제거된 기밀 정보의 기밀성을 존중하기로 동의한 경우, 데이터 주체의 조항 전문에 대한 접근에 관한 당국의 결정을 준수해야 합니다. 또한 데이터 수출자는 필요한 경우 해당 기관에 해당 조항의 사본을 제공해야 합니다.

2 데이터 수입자의 의무

데이터 수입자는 이를 보증하고 이행합니다:

  • 우발적이거나 불법적인 파기 또는 우발적인 손실, 변경, 무단 공개 또는 접근으로부터 개인 데이터를 보호하기 위한 적절한 기술적 및 조직적 조치를 마련하고, 처리 및 보호 대상 데이터의 특성에 따른 위험에 적합한 수준의 보안을 제공해야 합니다.
  • 처리자를 포함하여 개인 데이터에 액세스할 수 있도록 권한을 부여한 제3자가 개인 데이터의 기밀성과 보안을 존중하고 유지할 수 있도록 절차를 마련합니다. 데이터 처리자를 포함하여 데이터 수입자의 권한 하에 행동하는 모든 사람은 데이터 수입자의 지시에 의해서만 개인 데이터를 처리할 의무가 있습니다. 이 provision 법률 또는 규정에 따라 개인 데이터에 액세스할 수 있는 권한이 부여되거나 요구되는 사람에게는 적용되지 않습니다.
  • 당사는 본 조항을 체결할 당시 본 조항에서 제공하는 보장에 실질적으로 불리한 영향을 미칠 수 있는 현지 법률이 존재한다고 믿을 이유가 없으며, 그러한 법률을 알게 되는 경우 데이터 수출자에게 이를 통지(필요한 경우 해당 당국에 통지를 전달)합니다.
  • 당사는 부록 2에 설명된 목적을 위해 개인정보를 처리하며, 본 조항에 명시된 보증을 제공하고 약속을 이행할 법적 권한을 가집니다.
  • 데이터 수출자는 개인 데이터 처리와 관련된 문의에 응답할 권한이 있는 조직 내 연락 창구를 데이터 수출자에게 확인하고 합리적인 시간 내에 그러한 모든 문의에 대해 데이터 수출자, 데이터 주체 및 당국과 성실하게 협력합니다. 데이터 수출업체가 법적으로 해산되거나 양 당사자가 그렇게 합의한 경우, 데이터 수입업체는 1(e)항의 조항을 준수할 책임을 지게 됩니다.
  • 데이터 수출자의 요청이 있는 경우, 데이터 수출자에게 제3항에 따른 책임을 이행하기에 충분한 재정 자원의 증거를 제공합니다(보험 적용을 포함할 수 있음).
  • 데이터 수출자의 합리적인 요청이 있는 경우, 데이터 수출자는 본 조항의 보증 및 약속의 준수 여부를 확인하기 위해 데이터 수출자(또는 데이터 수출자가 선정하고 데이터 수입자가 합리적으로 반대하지 않는 독립적이고 공정한 검사 기관 또는 감사자)의 검토, 감사 및/또는 인증에 필요한 데이터 처리 시설, 데이터 파일 및 문서를 합리적인 통지와 함께 정규 업무 시간 중에 제출해야 합니다. 이러한 요청은 데이터 수입자의 국가 내 규제 또는 감독 당국으로부터 필요한 동의 또는 승인을 받아야 하며, 데이터 수입자는 적시에 동의 또는 승인을 얻기 위해 노력할 것입니다.
  • 회사는 선택에 따라 부록 1에 명시된 데이터 처리 원칙에 따라 개인 데이터를 처리합니다. 다음의 각 데이터 수입업체는 아래 이니셜을 통해 이러한 원칙을 준수하는 데 동의함을 표시합니다:

          양 당사자는 작업 지시서에 서명하고 날짜를 기입함으로써 본 2(h)항에 서명하고 동의하며 이를 수락한다는 데 동의합니다.

  • 데이터 수출자에게 전송에 대해 통지하지 않는 한 유럽 경제 지역(EEA) 외부에 위치한 제3자 데이터 컨트롤러에 개인 데이터를 공개하거나 전송하지 않습니다.
    • 제3자 데이터 컨트롤러가 제3국이 적절한 보호를 제공한다는 위원회 결정에 따라 개인 데이터를 처리하는 경우, 또는
    • 제3자 데이터 컨트롤러가 이러한 조항 또는 EU의 관할 기관이 승인한 다른 데이터 전송 계약의 서명자가 되는 경우 또는
    • 데이터 주체가 이전 목적, 수신자 범주 및 데이터가 수출되는 국가에 따라 데이터 보호 기준이 다를 수 있다는 사실을 통보받은 후 이의를 제기할 수 있는 기회가 주어졌습니다.
    • 민감한 데이터의 추후 전송과 관련하여 데이터 주체가 추후 전송에 대한 명확한 동의를 제공한 경우

3 책임 및 제3자 권리

    • 각 당사자는 본 조항의 위반으로 인해 발생한 손해에 대해 다른 당사자에게 책임을 집니다. 당사자 간의 책임은 실제 발생한 손해로 제한됩니다. 징벌적 손해(즉, 당사자의 터무니없는 행위에 대한 처벌을 목적으로 하는 손해)는 특별히 제외됩니다. 각 당사자는 본 조항에 따른 제3자의 권리 위반으로 인해 발생한 손해에 대해 데이터 주체에게 책임을 집니다. 이는 데이터 수출업체의 데이터 보호법에 따른 책임에는 영향을 미치지 않습니다.
    • 양 당사자는 데이터 주체가 자신의 개인 데이터와 관련하여 데이터 수입자 또는 데이터 수출자의 각 계약 의무 위반에 대해 제3자 수익자로서 본 조항 및 1(b), 1(d), 1(e), 2(a), 2(c), 2(d), 2(e), 2(h), 2(i), 3(a), 5, 6(d) 및 7항을 집행할 권리를 가지며 이러한 목적을 위해 데이터 수출자의 설립 국가에서 관할권에 동의한다는 데 동의합니다. 데이터 수입자의 위반 혐의가 있는 경우, 데이터 주체는 먼저 데이터 수출자에게 데이터 수입자에 대한 권리 집행을 위해 적절한 조치를 취하도록 요청해야 하며, 데이터 수출자가 합리적인 기간(통상 1개월) 내에 그러한 조치를 취하지 않으면 데이터 주체는 직접 데이터 수입자에 대한 권리를 행사할 수 있습니다. 데이터 주체는 데이터 수입자가 본 조항에 따른 법적 의무를 이행할 수 있는지 판단하기 위해 합리적인 노력을 기울이지 않은 데이터 수출자를 상대로 직접 소송을 제기할 수 있습니다(합리적인 노력을 기울였다는 입증 책임은 데이터 수출자에게 있음).

4 해당 조항에 적용되는 법률

본 조항은 데이터 수출업체가 설립된 국가의 법률이 적용되며, 단, 2(h)항에 따른 데이터 수입업체의 개인정보 처리와 관련된 법률 및 규정은 해당 조항에 따라 데이터 수입업체가 선택한 경우에만 적용될 수 있습니다.

5 정보 주체 또는 당국과의 분쟁 해결

    • 데이터 주체 또는 당국이 양 당사자 중 하나 또는 양 당사자를 상대로 개인 데이터 처리와 관련하여 분쟁 또는 청구를 제기하는 경우, 양 당사자는 그러한 분쟁 또는 청구에 대해 서로에게 알리고 적시에 원만하게 해결하기 위해 협력합니다.
    • 양 당사자는 데이터 주체 또는 당국이 개시한 일반적으로 이용 가능한 구속력 없는 중재 절차에 응하는 데 동의합니다. 당사자가 절차에 참여하는 경우, 당사자는 전화 또는 기타 전자적 수단을 통해 원격으로 참여하기로 선택할 수 있습니다. 양 당사자는 또한 데이터 보호 분쟁을 위해 개발된 기타 중재, 조정 또는 기타 분쟁 해결 절차에 참여하는 것을 고려하는 데 동의합니다.
    • 각 당사자는 데이터 수출자의 설립 국가 또는 당국의 관할 법원의 결정이 최종적이며 더 이상 항소할 수 없는 경우 이를 준수합니다.

6 해지

    • 데이터 수입자가 이러한 조항에 따른 의무를 위반하는 경우, 데이터 수출자는 위반이 복구되거나 계약이 종료될 때까지 데이터 수입자에 대한 개인 데이터 전송을 일시적으로 중단할 수 있습니다.
    • 다음과 같은 경우
      • (a)항에 따라 데이터 수출업체가 데이터 수입업체에 대한 개인 데이터 전송을 1개월 이상 일시적으로 중단한 경우;
      • 데이터 수입업체가 이러한 조항을 준수하지 않을 경우 수입 국가의 법적 또는 규제 의무를 위반하게 됩니다;
      • 데이터 수입업체가 본 조항에 따라 제공한 보증 또는 약속을 실질적으로 또는 지속적으로 위반하는 경우;
      • 데이터 수출업체의 설립지 관할 법원 또는 데이터 수입업체 또는 데이터 수출업체가 해당 조항을 위반했다는 당국의 최종 결정에 대해 더 이상 항소할 수 없는 경우.
      • 데이터 수입자의 관리 또는 해산에 대한 청원이 제기되고, 해당 청원이 해당 법률에 따라 해당 해산 기간 내에 기각되지 않는 경우, 해산 명령이 내려지는 경우, 자산에 대한 법정관리인이 임명되는 경우, 데이터 수입자가 개인인 경우 파산 관리인이 임명되는 경우, 회사 자율 협약이 개시되거나 관할권에서 이에 준하는 이벤트가 발생하는 경우.

에 해당하는 경우 데이터 수출자는 데이터 수입자에 대해 가질 수 있는 다른 권리를 침해하지 않고 이 조항을 해지할 수 있으며, 이 경우 필요한 경우 당국에 통지해야 합니다. 위의 (i), (ii) 또는 (iv)에 해당하는 경우 데이터 수입자도 이러한 조항을 해지할 수 있습니다.

  • 다음과 같은 경우 양 당사자는 본 조항을 해지할 수 있습니다:
    • 데이터 수입자가 데이터를 전송하고 처리하는 국가(또는 그 부문)와 관련하여 지침 95/46/EC 제25조 6항(또는 그 대체 텍스트)에 따른 위원회의 긍정적 적정성 결정이 내려진 경우, 또는
    • 지침 95/46/EC(또는 대체 텍스트)는 해당 국가에 직접 적용됩니다.
  • 양 당사자는 언제, 어떠한 상황 및 어떠한 이유로든 본 조항을 해지하더라도(단, 6(c)항에 따른 해지는 제외) 전송된 개인 데이터의 처리와 관련하여 본 조항의 의무 및/또는 조건이 면제되지 않는다는 데 동의합니다.

이 조항의 7가지 변형

양 당사자는 부록 2의 정보를 업데이트하는 경우를 제외하고는 본 조항을 수정할 수 없으며, 이 경우 필요한 경우 당국에 통지합니다. 이는 양 당사자가 필요한 경우 상업적 조항을 추가하는 것을 배제하지 않습니다.

8 전송에 대한 설명

전송 및 개인 데이터의 세부 사항은 부록 2에 명시되어 있습니다. 양 당사자는 법률에 의해 요구되거나 관할 규제 기관 또는 정부 기관에 대한 대응 또는 제1항(e)에 따라 요구되는 경우를 제외하고 제3자에게 공개하지 않는 기밀 비즈니스 정보가 부속서 2에 포함될 수 있음에 동의합니다. 당사자들은 추가 이전을 다루기 위해 추가 부속서를 실행할 수 있으며, 필요한 경우 해당 부속서를 당국에 제출합니다. 부록 2는 대안으로 여러 이전을 다루기 위해 작성될 수 있습니다.

양 당사자는 작업 지시서에 서명하고 날짜를 기입함으로써 다음과 같은 SCC에 구속되는 것에 동의하고 수락한다는 데 동의합니다. 부록 1부록 2.

  • (데이터 처리 원칙)
    • 목적 제한: 개인 데이터는 부록 2에 설명된 목적 또는 데이터 주체가 추후에 승인한 목적으로만 처리되고 이후 사용되거나 추가로 전달될 수 있습니다.
    • 데이터 품질 및 비례성: 개인 데이터는 정확해야 하며, 필요한 경우 최신 상태로 유지되어야 합니다. 개인 데이터는 전송 및 추가 처리 목적과 관련하여 적절하고 관련성이 있어야 하며 과도하지 않아야 합니다.
    • 투명성: 정보 주체는 데이터 수출업체가 이미 제공하지 않는 한 공정한 처리를 보장하는 데 필요한 정보(예: 처리 목적 및 전송에 관한 정보)를 제공받아야 합니다.
    • 보안 및 기밀 유지: 데이터 처리자는 우발적이거나 불법적인 파기 또는 우발적인 손실, 변경, 무단 공개 또는 접근 등 처리 과정에서 발생할 수 있는 위험에 대비하여 적절한 기술적 및 조직적 보안 조치를 취해야 합니다. 처리자를 포함하여 데이터 관리자의 권한 하에 행동하는 모든 사람은 데이터 관리자의 지시를 제외하고는 데이터를 처리해서는 안 됩니다.
    • 액세스, 수정, 삭제 및 이의 제기 권리: 지침 95/46/EC 12조에 명시된 바와 같이, 정보 주체는 직접 또는 제3자를 통해 조직이 보유한 자신에 관한 개인정보를 제공받아야 하며, 불합리한 간격이나 횟수, 반복적 또는 체계적 특성으로 인해 명백히 남용되거나 데이터 수출국의 법률에 따라 접근이 허용되지 않는 요청은 예외로 합니다. 당국의 사전 승인이 있는 경우, 데이터 수입자 또는 데이터 수입자와 거래하는 다른 기관의 이익을 심각하게 해칠 가능성이 있고 그러한 이익이 정보 주체의 기본권 및 자유에 대한 이익보다 우선하지 않는 경우에도 접근을 허용할 필요가 없습니다. 개인 데이터의 출처는 합리적인 노력으로 식별할 수 없거나 개인 이외의 다른 사람의 권리가 침해될 수 있는 경우에는 식별할 필요가 없습니다. 데이터 주체는 자신에 관한 개인정보가 부정확하거나 이러한 원칙에 반하여 처리되는 경우 정정, 수정 또는 삭제를 요구할 수 있어야 합니다. 요청의 정당성을 의심할 만한 강력한 근거가 있는 경우, 조직은 정정, 수정 또는 삭제를 진행하기 전에 추가 정당성을 요구할 수 있습니다. 데이터가 공개된 제3자에게 정정, 수정 또는 삭제에 대한 통지가 불균형적인 노력을 수반하는 경우에는 통지할 필요가 없습니다. 또한 데이터 주체는 자신의 특정 상황과 관련된 강력한 합법적 근거가 있는 경우 자신과 관련된 개인 데이터의 처리에 이의를 제기할 수 있어야 합니다. 거부에 대한 입증 책임은 데이터 수입자에게 있으며, 데이터 주체는 언제든지 당국에 거부에 대해 이의를 제기할 수 있습니다.
    • 민감한 데이터: 데이터 수입업체는 2항에 따른 의무에 따라 민감한 데이터를 보호하기 위해 필요한 추가 조치(예: 보안 관련)를 취해야 합니다.
    • 마케팅 목적으로 사용되는 데이터: 직접 마케팅 목적으로 데이터를 처리하는 경우, 데이터 주체가 언제든지 이러한 목적으로 자신의 데이터가 사용되지 않도록 '옵트아웃'할 수 있는 효과적인 절차가 마련되어 있어야 합니다.
    • 자동화된 결정: 여기서 "자동화된 결정"이란 데이터 수출자 또는 데이터 수입자가 데이터 주체에 관한 법적 효과를 발생시키거나 데이터 주체에게 중대한 영향을 미치는 결정을 의미하며, 이는 오로지 업무 성과, 신용도, 신뢰성, 행동 등 그와 관련된 특정 개인적 측면을 평가하기 위한 개인 데이터의 자동 처리에만 기반합니다. 데이터 수입자는 다음과 같은 경우를 제외하고는 데이터 주체에 관한 어떠한 자동화된 결정도 내려서는 안 됩니다:

(a) (i) 그러한 결정은 데이터 수입자가 데이터 주체와 계약을 체결하거나 이행할 때 데이터 수입자가 내리고

(a) (ii) 데이터 주체에게 관련 자동화된 결정의 결과를 해당 결정을 내린 당사자의 대표와 논의하거나 해당 당사자에게 진술할 기회가 주어집니다.

또는

(b) 데이터 수출국의 법률에서 달리 규정하는 경우.

부록 2 (처리 정보)

1 데이터 주체

전송되는 개인 데이터는 다음 범주의 데이터 주체에 관한 것입니다:

스포츠 선수, 운동선수 및 관련 스포츠 전문가와 관련된 정보를 포함하는 라이선스 자료(MLA에 정의된 대로)에 포함된 개인 데이터.

2 전송의 목적

전송은 다음과 같은 목적으로 이루어집니다: 데이터 수입자가 작업 지시서 및 MLA에 명시된 목적을 위해 개인 데이터를 사용하는 것입니다.

3가지 데이터 범주

전송되는 개인 데이터는 다음 범주의 데이터와 수시로 변경되는 기타 범주에 관한 것입니다:

데이터 범주(모든 스포츠 관련)
데이터(경기 실적 및 경기 이벤트 데이터 포함)
비디오 및 오디오 콘텐츠
편집 콘텐츠

 

4 수신자

전송된 개인 데이터는 다음 수신자 또는 수신자 범주에만 공개될 수 있습니다:

작업 지시서 및/또는 MLA에서 허용하는 수신자.

5 데이터 수출자의 데이터 보호 등록 정보

요청 시 제공됩니다.

6가지 유용한 추가 정보

없음.

데이터 보호 문의를 위한 7가지 문의처

연락처 정보는 작업 주문을 참조하세요.