G-P 로고​​ 
제안서 요청하기​​ 

MSA 개인정보 보호 언어​​ 

마지막 업데이트: 6월 26, 2026​​ 

데이터 보호 부록​​ 

고객과 G-P 마스터 계약 또는 이와 유사한 성격과 목적을 가진 계약(이하 "마스터 계약")의 당사자입니다. 본 데이터 처리 계약(DPA)은 기본 계약의 조항을 보완하는 것이며, 기본 계약에 포함됩니다. 본 데이터 처리 협정(DPA)과 본 협정에 명시된 사안에 관하여 당사자 간에 체결된 다른 합의 사이에 충돌이 발생하는 경우, 본 DPA가 우선합니다. 고객이 이미 G-P 와 유효한 데이터 보호 추가 계약을 체결한 경우, 해당 계약이 본 데이터 처리 계약보다 우선하며, 고객과 G-P 가 서면으로 달리 합의하지 않는 한 본 데이터 처리 계약은 효력을 갖지 않습니다.​​ 
 

1. 정의​​  

여기에 정의되지 않은 용어는 기본 계약에 명시된 의미를 갖습니다. 이 DPA의 다음 단어에는 다음과 같은 의미가 있습니다:​​ 
1.1 “​​ 승인된 사용자​​ "개인"이란 고객이 마스터 계약의 실행에 따라 고객을 대신하여 GPP에 접근하고 사용할 수 있도록 허가한 개인을 의미하며, 여기에는 고객의 직원 및 독립 계약자가 포함될 수 있습니다.​​ 
1.2 “​​ 고객 데이터​​ "개인정보 보호정책"이란 고객이 GPP를 이용하기 위해 서비스를 이용하는 과정에서 G-P 가 고객을 대신하여 전송, 처리 또는 저장하는 승인된 사용자 또는 식별 가능한 자연인과 관련된 모든 개인 데이터를 의미합니다.​​ 
1.3 “​​ 데이터 보안​​  법률​​ "데이터 보호 및 개인정보 보호법"이란 본 계약의 당사자가 준수해야 하는 모든 데이터 보호 및 개인정보 보호법을 의미하며, 제공되는 서비스에 적용되는 법률을 포함합니다. 여기에는 일반 데이터 보호 규정(GDPR), 영국 일반 데이터 보호 규정(GDPR), 스위스 데이터 보호법, 미국 개인정보 보호법(주 및 연방 법률 포함), 브라질 LGPD 등이 포함되지만 이에 국한되지는 않습니다.​​ 
1.4 “​​ 기록상 고용주(EOR)​​ ”는 기록상 기록(EOR)을 의미합니다.​​ 
1.5 “​​ 일반데이터보호규정(GDPR)​​ ”는 일반 데이터 보호 규정(GDPR) (EU) 2016/679 의미합니다.​​ 
1.6 “​​ GPP​​ "소프트웨어"란 G-P의 독점 소프트웨어를 의미하며, 여기에는 소프트웨어, 모바일 버전, 그 안에 포함된 모든 소프트웨어, G-P의 독점 소프트웨어 또는 제3자 서비스를 통해 제공되는 모든 데이터(업데이트, 업그레이드, 서비스형 플랫폼 및 문서 포함)가 포함되지만 이에 국한되지는 않습니다.​​ 
1.7 “​​ EEA​​ "유럽 경제 지역"을 의미합니다.​​ 
1.8 “​​ LGPD​​ "는 개정, 대체 또는 대체될 수 있는 브라질 법률 번호 13709, 개인 데이터 보호에 관한 일반 법률을 의미합니다.​​ 
1.9 “​​ 개인정보 보호정책​​ "개인정보 보호정책"이란 G-P의 개인정보 보호정책을 의미하며, 해당 정책은 수시로 업데이트되므로 다음 링크에서 확인할 수 있습니다.​​   
1.10 “​​ 전문가 데이터​​ "전문가 개인정보"란 G-P 가 고객에게 기록상조작(EOR) 서비스를 제공하는 과정에서 처리하는 전문가 개인정보를 의미합니다.​​ 
1.11 "​​ 양도 제한됨​​  이는 유럽경제지역(EEA), 영국, 스위스 또는 브라질 이외의 국가로 개인 데이터를 전송하는 것을 의미하며, 해당 국가는 관련 데이터 보호법에 따른 적정성 결정의 적용을 받지 않으므로 관련 데이터 보호법에 따라 적절한 보호 조치가 필요합니다.​​ 
1.12 “​​ 서비스​​  평균​​  서비스​​  G-P 가 마스터 계약에 따라 고객에게 제공하는 서비스에는 기록상 검토(EOR) 서비스 제공 및 GPP 접근 및 사용이 포함될 수 있습니다.​​ 
1.13 "​​ 표준 계약 조항​​  또는​​  "SCCs"​​  (i) 일반 데이터 보호 규정(GDPR)이 적용되는 경우, 유럽 의회 및 이사회의 규정(EU) 2016/ 2021 에 따라 4 3국으로 개인 데이터를 전송하기 위한 유럽 위원회의 시행 결정(EU) 2021/914 에 첨부된 표준 계약 조항을 의미합니다679​​   ("EU SCC"); (ii) 영국 일반 데이터 보호 규정(GDPR)이 적용되는 경우, 제 46조(2)(c)에 따라 채택된 적용 가능한 표준 데이터 보호 조항, 또는 (d) 영국 일반 데이터 보호 규정(GDPR)이 데이터 보호법 2018 의 119A(1)에 따라 정보 감독관 사무실에서 발행한 EU 표준 계약 조항에 대한 국제 데이터 전송 부록("영국 부록")을 의미하는 경우, 해당 영국 부록은 해당 법률의 18 항에 따라 개정될 수 있습니다("영국 SCC"). (iii) 스위스 데이터 보호법이 적용되는 경우, 스위스 연방 데이터 보호 기관 및 정보 감독관 사무실에서 발행, 승인 또는 인정한 적용 가능한 표준 데이터 보호 조항("스위스 SCC"); 브라질 LGPD가 적용되는 경우, 브라질 국가 데이터 보호 기관("ANPD")이 공포한 결의안 CD/ANPD No. 19/2024 에 첨부된 적용 가능한 표준 계약 조항("브라질 SCC")(수시로 개정될 수 있음).​​ 
1.14 “​​ 스위스 데이터 보호법​​ " 또는​​  “FADP”​​  (i) 스위스 연방 데이터 보호법(“​​ FDPA​​ (ii) 데이터 보호에 관한 연방법에 관한 법령(“​​ FODP​​ “); 및 (iii) 상기 법률에 따라 제정된 모든 국가 데이터 보호법, 상기 법률을 대체하거나 계승하는 법률, 그리고 상기 법률을 대체하거나 업데이트하는 모든 법률.​​ 
1.15 “​​ 영국 추가 자료​​ "는 영국 정보 감독관이 발행한 EU 표준 계약 조항에 대한 영국 국제 데이터 전송 부록을 의미합니다."​​ 
1.16 “​​ 영국 데이터 보호법​​  이는 영국 유럽연합 탈퇴법(EU)법 2019 의 섹션 3 에 따라 영국법에 포함된 일반 데이터 보호 규정(GDPR)("영국 일반 데이터 보호 규정(GDPR)") 및 데이터 보호법 2018 (총칭하여 "영국 데이터 보호법")을 의미합니다.​​ 
1.17 “​​ 미국 개인정보보호법​​ "개인정보 처리와 관련된 미국(US) 주 법률, 명령, 규정 및 규제 지침을 의미하며, 다음을 포함하되 이에 국한되지 않습니다. (a) 캘리포니아 소비자 개인정보 보호법(CCPA); (b) 버지니아주 소비자 개인정보 보호법; (c) 콜로라도주 개인정보 보호법; (d) 코네티컷주 데이터 개인정보 보호 및 온라인 모니터링 관련 법률; (e) 유타주 소비자 개인정보 보호법; 및 (f) 모든 유사한 주 법률.​​ 
1.18 "​​ "데이터 관리자", "데이터 주체", "개인 데이터", "개인 정보", "데이터 유출", "처리자", "처리/처리 과정", "제한된 전송", "서비스 제공업체"​​  및/또는 기타 유사한 용어 및 개념은 데이터 보호법에 정의된 의미를 갖습니다.​​ 
 
 

2. 독립 관리자 - 관리자 관계​​  

2.1​​  당사자의 역할.​​  G-P 고객에게 기록상 검토(EOR) 서비스를 제공할 때, G-P 고객이 고용하기로 선택한 개인("전문가")에 대한 법률 검토 역할을 수행합니다. 해당 전문가의 개인 데이터와 관련하여 G-P 고용 관계 기간 동안 독립적인 데이터 관리자입니다. 고객이 자체 목적으로 수집 및 사용하는 전문가의 개인 데이터와 관련하여, 고객은 독립적인 개인정보 처리자로서 독립적인 개인정보 보호 의무를 부담합니다. 기록상정보(EOR) 서비스를 제공할 때 G-P 와 고객 간의 전문가 개인 데이터 교환은 독립적인 컨트롤러 대 컨트롤러 관계 하에 이루어지며 본 섹션 2 (“독립적인 컨트롤러 대 컨트롤러 관계”)의 규정이 적용됩니다. 어떠한 경우에도 당사자들은 본 데이터 처리 계약에 따라 공동 관리자로서 개인 데이터를 처리하지 않습니다.​​ 
2.2​​  책임 및 인정​​ 당사자들은 데이터 관리자로서의 자격으로 다음과 같은 의무를 이행해야 합니다.​​ 
2.2.1 전문가의 개인 정보 처리에 관한 해당 데이터 보호법을 준수하십시오.​​ 
2.2.2 기록상탐구(EOR) 서비스를 수행하거나 수령하는 목적(경우에 따라)으로 전문가의 개인 데이터를 공정하고 합법적으로 처리 및 공유하여 자체적인 정당한 이익을 추구합니다.​​ 
2.2.3 양 당사자 간 전문가의 개인 정보 공유에는 적법한 처리 근거가 적용되는지 확인하십시오.​​ 
2.2.4 데이터 보호법에 따른 각자의 의무를 준수하는 데 있어 서로 협력해야 하며, 여기에는 데이터 침해 발생 시 협력, 데이터 주체 및/또는 규제 기관의 요청에 대한 대응 등이 포함되지만 이에 국한되지는 않습니다.​​  
 

3. 컨트롤러-프로세서 관계​​ 

3.1​​  각 당사자의 역할​​ G-P GPP를 통해 다양한 서비스형 소프트웨어(SaaS) 제품을 제공하며, 이를 통해 G-P 은 해당 전문가와의 관계를 관리할 수 있습니다. G-P 고객에게 GPP에 대한 접근 권한을 제공하는 경우, G-P 는 고객이 지정한 GPP 승인 사용자가 GPP에 업로드한 계정 관련 개인 데이터의 처리자이고 고객은 해당 데이터의 관리자이며 이 섹션 3 ("관리자-처리자 관계")의 조항이 적용됩니다.​​ 
3.2​​  지침.​​  G-P 고객이 문서로 명시한 지침에 따라 고객 데이터를 처리합니다.  고객은 본 데이터 처리 계약(DPA), 기본 계약 및 첨부된 부록 I이 고객 데이터 처리에 관한 고객이 G-P 에 제공하는 완전한 지침을 구성한다는 데 동의합니다.  추가 또는 대체 지시 사항은 당사자 간에 서면으로 합의해야 하며, 해당 지시 사항을 준수하는 데 드는 비용(있는 경우)도 포함해야 합니다.  고객은 자신의 지침이 관련 데이터 보호법을 준수하도록 보장해야 합니다. 고객은 G-P 고객의 사업에 적용되는 법률을 결정할 책임이 없음을 인정합니다. 고객은 G-P가 고객의 지시에 따라 고객 데이터를 처리하는 경우, 해당 처리 G-P 데이터 보호법을 포함한 모든 관련 법률을 위반하지 않도록 보장해야 합니다. 단, G-P 고객의 지시가 관련 데이터 보호법을 위반한다고 판단하는 경우, G-P 합리적으로 가능한 한 빨리 고객에게 통지해야 하며, 그러한 위반 지시를 준수할 의무는 없습니다.​​  
3.3​​  처리 세부 정보​​ . 처리의 주제, 기간, 성격 및 목적, 고객 데이터 및 데이터 주체의 유형에 대한 자세한 내용은 여기에 첨부된 부록 I에 명시된 바와 같습니다.​​   
3.4​​  규정 준수.​​  고객과 G-P 부록 I에 명시된 바와 같이 처리되는 고객 데이터에 적용되는 데이터 보호법에 따른 각자의 의무를 준수하는 데 동의합니다. 고객은 G-P 에게 고객 데이터를 공개, 이전 또는 기타 방식으로 제공하기 전에 고객 데이터 처리의 적법성과 관련된 데이터 보호법을 준수할 전적인 책임이 있습니다.  오해의 소지를 없애기 위해 명확히 하자면, 모든 경우에 있어 고객은 G-P 고객의 지시에 따라 고객 데이터를 처리하는 데 필요한 경우 데이터 주체의 동의를 얻어야 합니다.​​ 
3.5​​  하위 프로세서​​ 고객은 G-P 서비스와 관련하여 고객 데이터를 처리하기 위해 처리자("하위 처리자")를 지정하고 사용할 수 있도록 승인합니다.  하위 처리자에는 제3자 또는 G-P 그룹 계열사의 구성원이 포함될 수 있습니다. G-P 본 데이터 처리 계약 체결일 현재 G-P 가 이미 계약한 하위 처리업체를 계속 이용할 수 있으며, 해당 하위 처리업체 목록은 아래 첨부된 부록 III에서 확인할 수 있습니다. 하위 처리자가 위에 명시된 데이터 보호 의무를 이행하지 못하는 경우, G-P 하위 처리자의 의무 이행에 대해 고객에게 책임을 져야 합니다. G-P GPP를 통해 하위 처리업체 목록의 변경 사항을 고객에게 통지해야 합니다. 고객이 해당 통지를 받은 후 10 일(10일) 이내에 데이터 보호상의 이유로 하위 처리자의 추가 또는 제거에 대해 정당하게 이의를 제기하고 G-P 고객의 이의를 합리적으로 수용할 수 없는 경우, 당사자는 문제를 해결하기 위해 고객의 우려 사항을 성실하게 논의합니다.​​ 
3.6​​  기술적 및 조직적 보안 조치​​ G-P 업계 표준, 구현 비용, 처리의 성격, 범위, 맥락 및 목적, 그리고 고객 데이터 처리와 관련된 기타 관련 상황을 고려하여, 고객 데이터 처리에 관련된 처리 시스템 및 서비스의 보안, 기밀성, 무결성, 가용성 및 복원력이 해당 고객 데이터에 대한 요구 사항에 부합하도록 적절한 기술적 및 조직적 보안 조치를 구현해야 합니다. 이러한 보안 조치는 첨부된 부록 II에 자세히 설명되어 있습니다.  G-P 주기적으로 (i) 보호 조치, 통제, 시스템 및 절차의 효과성을 테스트하고 모니터링하며 (ii) 고객 데이터의 보안, 기밀성 및 무결성에 대한 합리적으로 예측 가능한 내부 및 외부 위험을 식별하고 이러한 위험이 해결되도록 보장합니다.​​  
3.7​​  기밀 유지​​ . G-P는 고객 데이터에 액세스할 수 있는 권한을 부여받은 사람이 (i) 기밀을 유지하기로 약속했거나 적절한 법적 기밀 유지 의무를 준수하고 (ii) 관련 법률에서 요구하지 않는 한 G-P의 문서화된 지시에 의해서만 고객 데이터에 액세스하도록 보장합니다.​​ 
3.8​​  개인 데이터 유출.​​  G-P 고객 데이터 처리와 관련된 데이터 유출 사실을 인지하는 즉시 지체 없이 고객에게 통지하고, 데이터 유출로 인한 부정적인 영향을 최소화할 수 있도록 합리적인 노력을 기울일 것입니다.​​ .​​ 
3.9​​  개인 데이터 삭제.​​   서비스 해지 시(어떤 이유로든) G-P 는 관련 법률에서 고객 데이터를 장기간 보관하도록 요구하지 않는 한 합리적으로 실행 가능한 즉시 GPP에 저장된 고객 데이터를 반환하거나 삭제합니다. 그러한 보유에 대해서는 본 DPA의 조항이 해당 고객 데이터에 계속 적용됩니다.​​ 
3.10​​  데이터 주체 요청​​ G-P 고객 데이터와 관련된 데이터 주체의 요청 사항이 있을 경우 고객에게 즉시 알려야 합니다. 고객은 그러한 요청에 응답할 책임이 있습니다. G-P 고객이 GPP 사용 과정에서 관련 고객 데이터에 접근할 수 없는 경우, 고객이 해당 데이터 주체의 요청에 대응할 수 있도록 합리적인 지원을 제공합니다.​​  
3.11​​  타사 요청​​ . G-P 이 계약에 따른 고객 데이터 처리와 관련하여 제3자로부터 요청을 받거나 G-P 이 관할권을 갖는 법원, 재판소, 규제기관 또는 정부 기관의 명령을 받는 경우 G-P 은 즉시 해당 요청을 고객에게 전달합니다. G-P는 법적으로 강제되지 않는 한 고객의 사전 승인 없이 이러한 요청에 응답하지 않습니다. G-P는 법적으로 금지되지 않는 한, 고객 데이터를 공개하기 전에 고객에게 미리 알리고 그러한 공개 범위를 법적으로 요구되는 범위로 제한하기 위해 고객과 합리적으로 협력할 것입니다.​​   
3.12​​  데이터 보호 영향 평가 및 사전 협의​​ . 데이터 보호법이 요구하는 범위 내에서 G-P 은 G-P 이 수행하는 고객 데이터 처리 및 감독 당국과 필요한 사전 협의와 관련하여 고객이 데이터 보호 영향 평가를 수행할 수 있도록 합리적인 지원을 제공합니다. G-P는 이러한 지원 제공에 대해 고객에게 합리적인 수수료를 부과할 권리를 보유합니다.​​ 
3.13​​  감사.​​   Customer may audit G-P compliance with this DPA and Data Protection Laws by requesting a certificate issued for security verification reflecting the outcome of an audit conducted by a third party auditor (e.g., ISO27001 certification, SOC2 certificate), within twelve (12) months as of the date of Customer’s request. Alternatively, in the event the documentation provided subject to this Section 3.13 is not sufficient for the purpose of demonstrating compliance, the Customer may conduct its own audit in addition to the provided third party certifications or reports, provided that such audit shall be conducted: i) no more than once per each 12 (twelve) months period; ii) during normal business hours and without disrupting G-P’s day-to-day business; iii) with thirty (30) days prior written notice; iv) at the Customer’s sole expense; v) based upon mutually agreed parameters and scope, limited to the specific scope of services, systems in use and/or Processing activities contemplated hereunder; vi) based upon mutually agreed in advance date, subject to reasonable postponement by Customer upon G-P’s reasonable request; and vii) in accordance with all confidentiality obligations and restrictions. Notwithstanding the forgoing, no audit right is granted after termination of the Master Agreement, except for legal obligations that will have to be demonstrated by the Customer. Any third-party representative selected to perform an audit on behalf of Customer must not have an ownership interest in or affiliation with an EOR services company, agency, a related organization or consultant. Nothing in this DPA will require G-P to either disclose to Customer or its third-party auditor, or to allow Customer or its third-party auditor to access: (i) any data of any other G-P’s customer; (ii) G-P’ internal accounting or financial information; (iii) any trade secret of G-P or its affiliates; (iv) any information that, in G-P’ reasonable opinion, could compromise the security of any G-P’s systems or cause any breach of its obligations under applicable law or its security or privacy obligations to any third party; or (v) any information that Customer or its third-party auditor seeks to access for any reason other than the good faith fulfillment of Customer’s obligations under the Data Protection Laws.​​ 
3.14​​  미국 개인정보 보호법.​​  이 섹션 3 에 따라 당사자는 G-P 적용 가능한 미국 개인정보보호법에 정의된 "서비스 제공자" 또는 "처리자"라는 데 동의합니다. 따라서, G-P 의 고객 데이터 처리에 미국 개인정보보호법이 적용되는 범위 내에서, G-P (a) G-P 와 고객 간의 직접적인 사업 관계 범위를 벗어나거나 본 계약서에 첨부된 부록 I에 명시된 목적 이외의 다른 목적으로 고객 데이터를 보유, 사용 또는 공개하지 않으며, G-P 고객에게 서비스를 제공하는 동안에만 고객 데이터를 처리합니다. (b) 고객 데이터를 판매하지 않습니다. (c) 고객 데이터를 공유하지 않습니다. (d) G-P 고객으로부터 또는 고객을 대신하여 수집한 고객 데이터를 다른 사람으로부터 또는 다른 사람을 대신하여 수집하거나 G-P 고객에게 서비스를 제공하는 범위 내에 있는 경우에는 고객 데이터를 결합할 수 있습니다. 해당되는 경우, 각 당사자는 미국 개인정보보호법에 따른 의무를 더 이상 이행할 수 없다고 판단하는 경우 상대방에게 이를 통지해야 합니다.​​ 
 

4. 국제 데이터 전송​​ 

4.1​​  적절한 보호​​ G-P 는 정상적인 사업 과정에서 고객 데이터를 전 세계 계열사 및 하위 처리업체로 전송할 권한을 부여받았습니다.  관련 데이터 보호 당국이 데이터 보호법에 따라 개인 데이터에 대한 적절한 보호 수준을 제공한다고 인정하지 않은 지역으로 데이터를 이전하는 경우, G-P 기본 계약에 따라 또는 이와 관련하여 이전되는 고객 데이터를 보호하기 위한 적절한 보호 조치가 마련되어 있는지 확인해야 합니다.​​ 
4.2​​  데이터 개인정보 보호 프레임워크.​​  전문가​​  고객 데이터는 미국에 호스팅된 GPP에 저장됩니다. G-P 는 EU-US 데이터 개인정보 보호 프레임워크(EU-US DPF) 및 해당되는 경우 EU-US DPF의 영국 확장판, 그리고 스위스-US 데이터 개인정보 보호 프레임워크(Swiss-US DPF)에 따라 인증을 받았습니다. G-P의 인증은 DPF 웹사이트에서 공개적으로 확인할 수 있습니다.​​   EU-US 데이터 개인정보보호 프레임워크는 유럽 위원회에서 적절하다고 판단되었으며, 이는 일반 데이터보호규정(GDPR) 제 45 조, 영국 일반 데이터보호규정(GDPR) 및 FADP에 따른 적법한 데이터 전송 메커니즘입니다. DPF 프레임워크가 무효화되거나, 중단되거나, 또는 국제 데이터 전송에 대한 적절한 보호를 제공하는 것으로 더 이상 인정되지 않는 경우, 처리자는 유럽 위원회, 영국 정보 감독관 사무소(ICO) 또는 스위스 연방 데이터 보호 및 정보 감독관(FDPIC)이 발행하거나 승인한 표준 계약 조항(SCC)을 체결하고 준수하는 데 동의합니다. 양 당사자는 전송된 데이터에 대해 실질적으로 동등한 수준의 보호를 보장하기 위해 필요한 추가 조치를 이행하는 데 있어 성실하게 협력해야 합니다.​​ 
4.3​​  표준 계약 조항.​​  양 당사자는 고객(이하 "데이터 수출자")으로부터 G-P (이하 "데이터 수입자")로의 개인 데이터 전송이 제한적 전송에 해당하고 관련 데이터 보호법에 따라 적절한 보호 조치가 요구되는 경우, 해당 전송은 다음과 같은 관련 표준 계약 조항의 적용을 받으며, 이러한 표준 계약 조항은 본 데이터 처리 계약에 포함되어 그 일부를 구성하는 것으로 간주된다는 데 동의합니다.​​ 
에이. 일반 데이터 보호 규정(GDPR)의 적용을 받는 개인 데이터의 전송과 관련하여, 다음과 같이 완성된 EU 표준 계약 조항(SCC)이 적용됩니다.​​ 
i. 모듈 1과 2가 적용됩니다.​​ 
ii. 조항 7 에서는 선택적 도킹 조항이 적용됩니다.​​ 
iii. 모듈 2의 조항 9 에서 옵션 2 이 적용되며 하위 처리자 변경에 대한 사전 통지 기간은 이 DPA의 섹션 3 에 명시된 대로입니다.5​​ 
iv. 절 11 에서는 선택적 언어가 적용되지 않습니다.​​ 
v. 조항 12 에서 EU SCC에 따라 제기된 모든 청구는 마스터 계약에 명시된 조건의 적용을 받습니다.​​ 
vi. 조항 17 에서 옵션 1 이 적용되며 EU SCC는 아일랜드법의 적용을 받습니다.​​ 
vii. 조항 18(b)에서 분쟁은 아일랜드 법원에서 해결됩니다.​​ 
8. EU 표준 계약 조항의 부록 I은 본 데이터 처리 협정의 부록 1 에 명시된 정보로 완성된 것으로 간주됩니다.​​ 
ix. EU SCC의 부록 II는 이 DPA의 부록 2 에 명시된 정보로 완성된 것으로 간주됩니다.​​ 
x. EU SCC의 모듈 2의 부록 III은 이 DPA의 부록 3 에 명시된 정보로 완성된 것으로 간주됩니다.​​ 
비. 영국 데이터 보호법 또는 스위스 데이터 보호법에 의해 보호되는 개인 데이터의 전송과 관련하여, 위 (a)항에 따라 시행되는 EU 표준 계약 조항은 다음과 같은 수정 사항을 적용하여 시행됩니다.​​ 
i. "규정(EU) 2016/679"에 대한 참조는 영국 데이터 보호법 또는 스위스 데이터 보호법(해당되는 경우)에 대한 참조로 해석되어야 합니다.​​ 
ii. "규정(EU) 2016/679"의 특정 조항에 대한 참조는 영국 데이터 보호법 또는 스위스 데이터 보호법(해당되는 경우)의 동등한 조항 또는 섹션으로 대체됩니다.​​ 
iii. "EU", "연합", "회원국" 및 "회원국법"에 대한 언급은 "영국" 또는 "스위스", 또는 "영국법" 또는 "스위스법"(해당되는 경우)에 대한 언급으로 대체되어야 합니다.​​ 
iv. "회원국"이라는 용어는 영국이나 스위스에 거주하는 데이터 주체가 자신의 상습 거주지(즉, 영국이나 스위스)에서 자신의 권리를 위해 소송을 제기할 가능성을 배제하는 방식으로 해석되어서는 안 됩니다.​​ 
v. 조항 13(a) 및 부록 I의 파트 C는 사용되지 않으며 "관할 감독 기관"은 영국 정보 위원회 또는 스위스 연방 데이터 보호 정보 위원회(해당되는 경우)입니다.​​ 
vi. "관할 감독 기관" 및 "관할 법원"에 대한 언급은 "정보 위원회" 및 "잉글랜드 및 웨일즈 법원" 또는 "스위스 연방 데이터 보호 정보 위원회" 및 "스위스의 관련 법원"(해당되는 경우)에 대한 언급으로 대체됩니다.​​ 
vii. 조항 17 에서 표준 계약 조항은 (해당되는 경우) 잉글랜드 및 웨일스 또는 스위스 법률의 적용을 받습니다.​​ 
viii. 영국 데이터 보호법이 적용되는 전송과 관련하여 조항 18 은 "본 조항에서 발생하는 모든 분쟁은 잉글랜드 및 웨일즈 법원에서 해결됩니다."라고 명시하도록 수정됩니다. 정보 주체는 영국 내 어느 국가의 법원에서든 데이터 수출자 및/또는 데이터 수입자를 상대로 법적 소송을 제기할 수 있습니다. 당사자는 그러한 법원의 관할권에 따르기로 동의하며 스위스 데이터 보호법이 적용되는 전송과 관련하여 조항 18(b)에서는 분쟁이 스위스의 관련 법원에서 해결되어야 한다고 명시합니다.​​ 
9. 영국 일반 데이터 보호 규정(GDPR)에 의해 보호되는 데이터와 관련하여 EU SCC는 다음과 같이 적용됩니다. (i) 위의 (i)부터 (viii)까지의 단락에 따라 완성된 대로 적용되고, (ii) 영국 부록의 파트 2 에 명시된 대로 수정된 것으로 간주되며, 이는 본 DPA에 통합되어 본 DPA의 필수적인 부분을 구성하는 것으로 간주됩니다. 또한, 영국 부록의 파트 1 에 있는 표 1 부터 3 까지는 이 DPA의 부록 I 및 부록 II에 명시된 정보로 각각 작성되어야 하며, 영국 부록의 파트 1 에 있는 표 4 는 "어느 당사자도 아님"을 선택함으로써 작성된 것으로 간주됩니다.​​ 
기음. 브라질 개인정보보호법(LGPD)에 따라 보호되는 개인정보를 브라질 외 국가(브라질 국가정보보호위원회(ANPD)의 적정성 결정이 없는 국가)로 직접 또는 간접적으로 이전하는 경우, 브라질 표준 계약 조항(SCC)은 본 참조를 통해 본 개인정보 처리방침에 포함되는 것으로 간주되며, 다음과 같이 완성됩니다.​​ 
i. 브라질 SCC의 조항 2 데이터 전송을 설명하는 부록 I에 명시된 정보로 충족됩니다.​​ 
ii. 브라질 SCC의 조항 3 에서는 옵션 B가 적용되며, 이 DPA의 섹션 3 에 따라 추가 전송이 허용됩니다.5 ("하위 처리자"). 처리 대상, 성격 및 기간은 본 데이터 처리 계약(DPA)의 부록 I에 명시되어 있습니다.​​ 
iii. 브라질 SCC의 조항 4 은 이 DPA의 부록 I에 명시된 정보로 충족됩니다. G-P 가 컨트롤러인 경우 브라질 SCC에 정의된 대로 "지정 당사자"가 되며 브라질 SCC의 조항 14 (투명성), 조항 15 (데이터 주체 권리) 및 조항 16 (사고 보고)의 목적을 위해 사용됩니다. 고객은 자신이 컨트롤러가 될 수 있는 모든 개인 데이터에 대해 브라질 표준 계약 조항 14 (투명성), 조항 15 (데이터 주체 권리) 및 조항 16 사고 보고)를 준수할 책임이 있습니다.​​ 
iv. 브라질 표준 계약 조항 9 에서는 선택적 도킹 조항이 적용되지 않습니다.​​ 
v. 브라질 표준 계약서 제3절(보안 조치)은 본 데이터 처리 협정 부록 II에 명시된 정보로 완성된 것으로 간주됩니다.​​ 
4.4​​  예기치 않은 데이터 전송​​ 서비스 제공 과정에서 어느 당사자가 본 DPA의 섹션 4,1 부터 3 4 명시된 메커니즘으로 이미 처리되지 않은 개인 데이터의 전송이 발생하거나 발생할 가능성이 있음을 식별하는 경우, 당사자는 즉시 서로에게 통지하고 해당 전송의 적법성을 보장하기 위해 관련 데이터 보호법에 따라 필요한 추가 전송 메커니즘 또는 보충 조치를 지체 없이 이행하기 위해 성실하게 협력해야 합니다. 어느 당사자도 적절한 메커니즘이 합의되고 시행될 때까지 그러한 예기치 못한 이전을 진행할 의무가 없습니다.​​ 
 

부속서 I​​  

데이터 처리 설명​​ 
독립 컨트롤러 - 컨트롤러 관계 세부 정보​​ 
(이 섹션은 당사자들이 데이터 관리자로서 공유하는 개인 데이터의 세부 사항에 관한 것입니다.)​​ 
정당​​ 
데이터 내보내기: 기본 계약을 실행하는 고객 법인​​ 
데이터 가져오기 업체: Globalization Partners LLC.​​ 
당사자 연락처 정보​​ 
기본 계약에 명시된 연락처 정보.​​ 
전송된 데이터와 관련된 활동​​ 
기록상 삭제(EOR) 서비스와 관련된 활동입니다.​​ 
역할​​ 
데이터 내보내기: 컨트롤러.​​ 
데이터 가져오기: 컨트롤러.​​ 
처리 활동​​ 
처리/전송되는 개인 데이터는 다음과 같은 처리 활동의 대상이 될 수 있습니다. 즉, 사용되는 수단 및 절차와 관계없이 개인 데이터와 관련된 모든 작업, 특히 데이터의 수집, 정리, 저장, 보관, 사용, 검색, 조회, 보관, 전송, 차단, 삭제 또는 파기, 시스템 운영 및 유지 관리, 규정 준수, 법률 및 감사 기능 등이 포함됩니다.​​ 
처리 기간​​ 
마스터 계약 기간 동안 그리고 지속적인 기준으로.​​ 
처리의 성격 및 목적​​ 
고객은 G-P 에 고객 데이터를 전송할 수 있으며, 전송 범위는 고객의 단독 재량으로 결정 및 관리됩니다. 본 처리의 목적은 마스터 계약에 따라 기록상 검토(EOR) 서비스를 제공하는 것입니다.​​ 
데이터 주체의 범주​​ 
전문가.​​ 
개인 데이터의 유형​​ 
연락처 정보(이름, 주소, 이메일 주소, 전화번호, 팩스번호, 비상 연락처 및 관련 현지 시간대 정보 포함).​​ 
고용 관련 세부 정보(학력, 이력서, 직책, 등급, 인구 통계 정보, 위치 데이터, 국적 및 수출 규정 준수 상태, 월급, 보너스 포함).​​ 
데이터 주체의 이메일 내용.​​ 
데이터 주체에게 제공되거나 데이터 주체의 이익을 위해 제공되는 서비스에 대한 세부 정보입니다.​​ 
특수 데이터 범주(해당되는 경우)​​  
N/A​​ 
직원 유지​​ 
개인 데이터는 해당 법률에 규정된 최소 보존 기간 동안, 관련 법령에 부합하고 모범적인 비즈니스 관행에 부합하는 기간 동안 보관됩니다.​​ 
관할 감독 기관​​ 
관할 감독 기관은 관련 데이터 보호법에 따라 결정되며, 다음을 포함합니다: 아일랜드 데이터 보호 위원회(EU 일반 데이터 보호 규정(GDPR)의 경우), 스위스 연방 데이터 보호 및 정보 위원회(FDPIC)(스위스 FADP의 경우), 영국 정보 위원회(ICO)(영국 일반 데이터 보호 규정(GDPR)의 경우), 브라질 국가 데이터 보호청(ANPD)(브라질 LGPD의 경우).​​ 
하위 프로세서로 전송​​  
처리자로의 전송의 경우 처리의 주제, 성격 및 기간은 위에 정의된 것과 동일합니다.​​ 
G-P 개인 정보 보호 연락처 정보​​  
 
수신: 글로벌 개인정보 보호 사무소.​​  
 
 
 
컨트롤러-프로세서 관계 세부 정보​​ 
(이 섹션은 G-P 고객을 대신하여 처리하는 개인 데이터의 세부 정보에 관한 것입니다.)​​ 
정당​​ 
데이터 내보내기: 기본 계약을 실행하는 고객 법인​​ 
데이터 가져오기 업체: Globalization Partners LLC.​​ 
당사자 연락처 정보​​ 
기본 계약에 명시된 연락처 정보.​​ 
전송된 데이터와 관련된 활동​​ 
기록상 고용주(EOR) 서비스 및 고객에게 서비스로 제공되는 GPP 사용과 관련된 활동.​​ 
역할​​ 
데이터 내보내기: 컨트롤러​​ 
데이터 가져오기: 프로세서​​ 
처리 활동​​ 
처리/전송되는 개인정보는 적용되는 수단과 절차에 관계없이 개인정보와 관련된 모든 작업, 특히 데이터의 수집, 정리, 저장, 보유, 사용, 검색, 상담, 보관, 전송, 차단, 삭제 또는 파기, 시스템 운영 및 유지 관리, 규정 준수, 법률 및 감사 기능 등 다음과 같은 처리 활동의 대상이 될 수 있습니다.​​ 
처리 기간​​ 
마스터 계약 기간 동안 그리고 지속적인 기준으로.​​ 
처리의 성격 및 목적​​ 
고객은 G-P 에 고객 데이터를 전송할 수 있으며, 전송 범위는 고객의 단독 재량으로 결정 및 관리됩니다. 본 처리의 목적은 주 계약에 따라 고객에게 GPP를 서비스로 제공하는 것입니다.​​ 
데이터 주체의 범주​​ 
GPP의 승인된 사용자에는 고객사의 직원 및/또는 계약업체가 포함될 수 있습니다.​​ 
개인 데이터의 유형​​ 
연락처 세부 정보(예: 전화번호 및 이메일).​​ 
직원/계약자 데이터(직책 및 회사명 등).​​ 
사용 데이터(예: 인증된 사용자의 디바이스에 대한 데이터 및 해당 디바이스가 GPP와 상호 작용하는 방식).​​ 
위치 데이터(예: IP 주소에서 파생된 위치).​​ 
콘텐츠 데이터(전문가 및 관련 커뮤니케이션에 관한 고객의 파일 내용 등).​​ 
자격증명(비밀번호, 비밀번호 힌트 및 GPP에 대한 인증 및 계정 액세스에 사용되는 유사한 보안 정보 등).​​ 
승인된 사용자가 제공한 모든 개인 데이터.​​ 
특수 데이터 범주(해당되는 경우)​​  
N/A​​ 
직원 유지​​ 
개인 데이터는 해당 법률에 규정된 최소 보존 기간 동안, 관련 법령에 부합하고 모범적인 비즈니스 관행에 부합하는 기간 동안 보관됩니다.​​ 
관할 감독 기관​​ 
관할 감독 기관은 관련 데이터 보호법에 따라 결정되며, 다음을 포함합니다: 아일랜드 데이터 보호 위원회(EU 일반 데이터 보호 규정(GDPR)의 경우), 스위스 연방 데이터 보호 및 정보 위원회(FDPIC)(스위스 FADP의 경우), 영국 정보 위원회(ICO)(영국 일반 데이터 보호 규정(GDPR)의 경우), 브라질 국가 데이터 보호청(ANPD)(브라질 LGPD의 경우).​​ 
하위 프로세서로 전송​​  
처리자로의 전송의 경우 처리의 주제, 성격 및 기간은 위에 정의된 것과 동일합니다.​​ 
G-P 개인 정보 보호 연락처 정보​​  
 
수신: 글로벌 개인정보 보호 사무소.​​  
 

부록 II​​ 

기술적 및 조직적 조치​​ 

G-P 독립 감사기관으로부터 SOC 2 및 ISO 27001 표준 준수를 확인하기 위한 인증 및 검증을 받았습니다. 이러한 인증은 고객 데이터 보안에 대한 당사의 노력을 보여줍니다. G-P의 보안 프로그램은 다음과 같은 목적으로 설계되었습니다.​​ 

G-P가 보유하거나 접근 권한 G-P 있는 고객 데이터의 기밀성, 무결성 및 가용성을 보호합니다.​​ 

고객 데이터의 기밀성, 무결성 및 가용성에 대한 예상되는 위협이나 위험으로부터 보호합니다;​​ 

고객 데이터에 대한 무단 또는 불법적인 액세스, 사용, 공개, 변경 또는 파기로부터 보호합니다;​​ 

고객 데이터의 우발적 손실 또는 파기 또는 손상으로부터 보호.​​ 

G-P가 규제될 수 있는 모든 규정에 명시된 대로 정보를 보호합니다.​​ 

다음은 G-P가 고객 데이터 처리의 보안을 보장하기 위해 취한 기능, 프로세스, 통제, 시스템, 절차 및 조치에 대해 설명합니다:​​ 

1) 데이터 개인정보 보호 및 보안을 보장하기 위한 기술적 조치​​ 

설계 단계부터 개인정보 보호를 최우선으로 고려하고 기본적으로 개인정보를 보호해야 합니다.​​ 

G-P 제품 개발의 구상 및 개발 단계에서 일반 데이터 보호 규정(GDPR) 제 25 조의 요구 사항을 고려합니다. 데이터 보호 원칙(적법성, 투명성, 목적 제한, 데이터 최소화 등)과 처리 보안을 초기 단계부터 고려할 수 있도록 프로세스와 기능이 구성됩니다.​​ 

b) 개인 데이터 암호화:​​ 

개인 정보는 제3자가 정보 주체를 식별할 수 없는 방식으로만 시스템에 저장되도록 보장합니다.​​ 

데이터베이스 및 저장소 암호화:​​ 

G-P 에서 사용하는 모든 데이터베이스에는 최첨단 기술에 따른 "저장 시" 암호화가 적용되어 있어 해당 데이터베이스 시스템에서 적절한 인증을 거친 후에만 데이터베이스의 데이터를 읽을 수 있습니다.​​ 

모바일 데이터 매체의 암호화:​​ 

모바일 데이터 저장 장치를 고객 데이터 저장에 사용하는 것은 허용되지 않습니다.​​ 

노트북 데이터 저장 매체 암호화:​​ 

모든 직원의 노트북에는 적절한 최첨단 하드 디스크 암호화 기술이 설치되어 있습니다.​​ 

암호화된 정보 및 파일 교환:​​ 

원칙적으로 정보 및 파일 교환은 특수 지원서를 통해 직접 암호화됩니다. 개인 데이터 또는 기밀 정보를 TLS 암호화 HTTPS 업로드를 통해 전송할 수 없는 서버로 전송해야 하는 경우, 해당 정보는 최첨단 기술에 따라 SFTP(보안 파일 전송 프로토콜), 암호화된 봉투 서비스 또는 기타 암호화 메커니즘을 사용하여 전송됩니다.​​ 

이메일 암호화:​​ 

원칙적으로 G-P 직원이 보내는 모든 이메일은 TLS로 암호화됩니다. 수신 메일 서버가 TLS를 지원하지 않는 경우는 예외일 수 있습니다. 고객은 주문 범위 내에서 사용되는 해당 메일 서버가 TLS 암호화를 지원하는지 확인해야 합니다.​​ 

c) 입학 통제​​ 

접근 제어는 데이터 보호법에 의해 보호되는 데이터를 권한이 없는 사람이 사용하거나 처리하는 것을 방지하기 위해 마련되었습니다.​​ 

인증 방법 사용​​ 

개인 데이터 접근은 항상 암호화된 프로토콜(SSH, SSL/TLS, HTTPS 또는 이와 유사한 프로토콜)을 통해 이루어집니다. IT 시스템 인증 절차: IT 시스템 로그인 시 다중 요소 인증.​​ 

활동이 없을 경우 자동 차단됩니다.​​ 

G-P 직원들이 사용하는 노트북은 사용자가 사용하지 않을 때는 비밀번호 또는 PIN으로 잠겨 있습니다. 또한, 15 분 동안 활동이 없으면 암호로 보호되는 자동 화면 잠금이 설정됩니다.​​ 

바이러스 백신 소프트웨어 사용​​ 

G-P 직원들이 사용하는 노트북에는 최첨단 바이러스 백신 소프트웨어가 설치되어 있으며, 모든 운영 및 비즈니스 IT 시스템에서 최신 상태로 유지됩니다. 원칙적으로, 다른 동등한 최첨단 보안 조치가 취해졌거나 다른 이유가 없는 한, 상주 바이러스 백신 프로그램 없이 컴퓨터를 작동할 수 없습니다. 기본 보안 설정은 비활성화하거나 우회해서는 안 됩니다.​​ 

"깨끗한 책상 유지 정책"​​ 

G-P 직원들은 정보 주체의 개인 데이터를 출력하거나 로컬에 저장하지 말고, 제3자가 볼 수 있는 장소에 업무 자료를 두지 말고, 모든 업무 자료를 적절하게 보관하도록 지시받았습니다. G-P 법적으로 종이 형태로 보관해야 하는 문서는 잠금 장치가 있는 캐비닛에 보관됩니다.​​ 

d) 플랫폼 내 접근 제어​​ 

접근 제어는 처리 시스템을 사용할 권한이 있는 사람이 해당 접근 권한에 포함된 개인 데이터에만 접근할 수 있도록 보장합니다.​​ 

역할 및 권한​​ 

역할 및 권한 부여 플랫폼 – 고객 액세스 고객 사용자는 고객 계정 정보를 보고 편집할 수 있습니다.​​ 

역할 및 권한 부여 플랫폼 – 전문가 액세스 전문가 사용자는 자신의 전문 정보를 보고 편집할 수 있습니다.​​ 

전문가는 필요 및 승인 시 고객 액세스 권한을 얻을 수도 있습니다.​​ 

역할 및 권한 부여 플랫폼 – 내부 액세스​​ 

내부 접근 사용자들은 다양한 역할을 가지고 있습니다. 이들은 다음과 같은 항목에 대해 생성, 보기, 편집 및 승인할 수 있는 다양한 접근 권한을 가지고 있습니다.​​ 

고객 정보​​ 

청구 정보​​ 

파트너 정보​​ 

전문 인력 기록 정보​​ 

관리자 시스템에 대한 액세스 권한은 일반적으로 고객 지원 및 제품 개발 분야의 숙련된 직원으로 제한됩니다.​​ 

e) 서비스형 방화벽​​ 

G-P 외부 방화벽을 서비스로 사용하여 웹사이트에 대한 액세스 권한을 부여하거나 차단함으로써 시스템이 악성 콘텐츠에 접근하지 못하도록 하고 부적절한 콘텐츠에 대한 접근을 제한합니다.​​ 

f) 플랫폼 로그인 기록​​ 

G-P 모든 로그인 활동 기록을 유지합니다.​​ 

g) 분리 가능성​​ 

서로 다른 목적으로 수집된 개인 데이터가 별도로 처리되고 다른 데이터 및 시스템과 분리되어 계획되지 않은 다른 목적으로 사용되는 것을 방지하도록 보장합니다.​​ 

개발, 테스트 및 운영 환경의 분리​​ 

운영 환경의 데이터는 전송 전에 완전히 익명화된 경우에만 테스트 또는 개발 환경으로 전송할 수 있습니다. 익명화된 데이터의 전송은 암호화되거나 신뢰할 수 있는 네트워크를 통해 이루어져야 합니다.​​ 

운영 환경으로 이전될 소프트웨어는 먼저 동일한 테스트 환경("스테이징")에서 테스트를 거쳐야 합니다. 오류 분석 프로그램이나 소프트웨어 생성/컴파일 프로그램은 불가피한 경우에만 운영 환경에서 사용할 수 있습니다. 이는 특히 오류 상황이 테스트 환경으로 전송할 때 익명화 요구 사항으로 인해 데이터가 위조될 수 있는 경우에 해당합니다.​​ 

네트워크에서의 분리​​ 

G-P 작업에 따라 네트워크를 분리합니다. 다음 네트워크는 상시 사용됩니다: 운영 환경("프로덕션"), 테스트 환경("스테이징", "샌드박스"), 개발 환경("Dev"), 사무실 IT 직원. 이러한 네트워크 외에도, 복구 테스트 및 침투 테스트와 같은 필요에 따라 추가적인 별도 네트워크가 생성됩니다. 기술적 가능성에 따라 네트워크는 물리적으로 분리되거나 가상 네트워크를 통해 분리됩니다.​​ 

h) 가용성 제어​​ 

G-P 개인 데이터가 우발적인 파괴 또는 손실로부터 보호되도록 다음과 같은 조치를 취합니다.​​ 

데이터 보호 절차/백업​​ 

G-P 충분한 가용성을 보장하기 위해 데이터베이스의 일일 스냅샷을 생성하고 다른 지역으로 복제합니다. 또한 업무상 데이터 검토가 필요한 직원에게는 복제 데이터 세트에만 접근 권한이 부여되도록 조치를 취하고 있습니다.​​ 

생산적인 데이터 및 백업의 서버 인프라와 관련된 지리적 이중화​​ 

IT 사고 관리("사고 대응 관리")​​ 

사고 및 안전 관련 사건 처리에 대한 개념과 문서화된 절차가 있습니다. 여기에는 법적 요건의 틀 안에서 개인정보 보호 위반 발생 시 대응 계획 및 준비, 보안 관련 사건 모니터링, 탐지 및 분석 절차, 그리고 관련 책임 및 보고 채널 정의가 포함됩니다.​​ 

2) 데이터 개인정보 보호 및 보안을 보장하기 위한 조직적 조치​​ 

G-P는 데이터 개인정보 보호 및 보호 요건을 충족하는 방식으로 조직을 운영하기 위해 다음과 같은 조직적 조치를 취하고 있습니다.​​ 

a) 조직 지침​​ 

G-P 직원들이 따라야 할 정책, 절차 및 지침을 포함하는 데이터 거버넌스 프로그램을 개발해 왔으며, 앞으로도 계속 개발해 나갈 것입니다. 문서에는 데이터 개인정보 보호 문제를 식별하고 관리하는 방법, 개인정보 보호 규정 준수를 보장하기 위한 모범 사례, 개인정보 침해 사고 처리 정책 등이 포함되어 있습니다.​​ 

b) 기밀 유지 및 데이터 보호에 대한 약속​​ 

G-P 직원들이 따라야 할 정책, 절차 및 지침을 포함하는 데이터 거버넌스 프로그램을 개발해 왔으며, 앞으로도 계속 개발해 나갈 것입니다. 모든 직원과 계약자는 기밀 유지 및 데이터 보호는 물론 기타 관련 법률을 준수해야 할 의무를 서면으로 부담합니다. 모든 직원은 개인정보 보호 및 보안 교육을 받습니다. 데이터 보호 및 정보 보안에 대한 내부 감사가 정기적으로 실시됩니다. 감사는 공통된 테스트 기준/체계에 따라 수행됩니다. G-P 의 직원 및 계약자는 고객 및 전문가와의 해당 계약에 따라, 정보 주체가 명시적으로 동의했거나 동의하지 않은 사항을 충분히 고려하고, 조직의 법적 의무를 준수하면서, 합법적인 이유로만 개인 정보를 처리하도록 지시받았습니다.​​ 

c) 데이터 보호 교육​​ 

모든 직원은 개인정보 보호 및 보안 교육을 받으며, 해당 교육 내용은 G-P 교육 플랫폼에서 언제든지 다시 확인할 수 있습니다.​​ 

d) 물리적 접근 제어​​ 

G-P 승인되지 않은 사람이 처리 작업에 사용되는 IT 시스템 장비에 접근하지 못하도록 다음과 같은 물리적 통제 조치를 시행하고 있습니다.​​ 

전자식 도어 보호 장치​​ 

G-P 의 진료소의 출입문은 항상 잠겨 있으며 전자 보안 장치가 설치되어 있습니다. 문은 개인용 전자 트랜스폰더를 통해 열립니다.​​ 

키의 제어된 배포​​ 

G-P 직원들에게는 중앙 집중식으로 문서화된 열쇠 배분이 이루어집니다. 이러한 전자식 트랜스폰더/키는 각 사무실 관리자 또는 인사부서에서 중앙에서 비활성화할 수 있습니다.​​ 

외부인에 대한 감독 및 동행​​ 

외부 서비스 제공업체 및 기타 제3자는 사전 승인을 받거나 G-P 직원의 동행 하에 있는 경우에만 건물에 출입할 수 있습니다. G-P 방문객을 시설로 초대할 경우 서면으로 작성된 방문객 정책을 적용합니다.​​ 

보안 강화가 필요한 시설의 보안 강화​​ 

법률 사무소 및 특정 운영 장소와 같이 보안이 강화된 건물이나 캐비닛에는 잠금 장치가 있는 캐비닛과 서랍이 설치되어 있습니다. 법률 문서, 계약서 및 기밀 문서가 보관되는 캐비닛과 서랍은 사용 중일 때를 제외하고는 항상 잠가 두어야 합니다.​​ 

닫힌 문과 창문​​ 

직원들은 업무 시간 외에는 창문과 문을 닫거나 잠가 두도록 조직적으로 지시받았습니다.​​ 

e) 복구 가능성​​ 

G-P 물리적 또는 기술적 장애 발생 시 사용 중인 시스템을 복구할 수 있도록 보장합니다.​​ 

데이터 복구 정기 테스트("복원 테스트")​​ 

비상 상황/재난 발생 시 복구 가능성을 보장하기 위해 정기적인 전체 복구 테스트가 수행됩니다.​​ 

비상 계획("재해 복구 개념")​​ 

응급 상황/재난 대응을 위한 개념과 그에 상응하는 비상 계획이 마련되어 있습니다. G-P 데이터 백업을 기반으로 모든 시스템의 복구를 보장하며, 일반적으로 48 시간 이내에 복구가 완료됩니다.​​ 

검토 및 평가 조치​​ 

기술적 및 조직적 조치의 효과성을 정기적으로 검토, 평가 및 검증하는 절차를 제시합니다.​​ 

f) 개인정보보호팀​​ 

조직에는 데이터 보호 분야의 조치를 계획, 구현, 평가 및 적용하는 임무를 맡은 글로벌 데이터 개인정보 보호 정책 사무국이 있습니다.​​ 

g) 위험 관리​​ 

위험을 분석, 평가 및 배분하고 이러한 위험을 기반으로 대책을 도출하는 절차가 있습니다.​​ 

3) 정보 보안에 대한 독립적 검토​​ 

감사 수행​​ 

데이터 보호 및 정보 보안에 대한 내부 감사가 정기적으로 실시됩니다. 감사는 공통된 테스트 기준/체계에 따라 수행됩니다.​​ 

b) 보안 정책 및 표준 준수 여부 검토​​ 

개인 데이터 처리에 적용되는 보안 지침, 표준 및 기타 보안 요구 사항 준수 여부는 정기적으로 점검됩니다. 가능한 경우 이러한 점검은 무작위로, 그리고 불시에 실시됩니다.​​ 

c) 기술 사양 준수 여부 확인​​ 

IT 부서 또는 기타 자격을 갖춘 담당자가 정기적으로 자동 및 수동 취약점 검사를 수행하여 애플리케이션 및 인프라의 보안을 확인하고 제품을 정기적으로 개발합니다. 상세한 침투 테스트는 외부 서비스 제공업체에서 수행하며, 애플리케이션과 인프라의 취약점을 구체적으로 검사합니다.​​ 

d) 지시에 따른 처리​​ 

G-P 의 직원들은 고객 및 전문가와의 관련 계약에 따라, 정보 주체가 명시적으로 동의했거나 동의하지 않은 사항을 충분히 고려하고, 조직의 법적 의무를 준수하면서, 합법적인 이유로만 개인 정보를 처리하도록 지시받았습니다.​​ 

e) 신중한 공급업체 선정​​ 

G-P 보호 대상 데이터에 접근할 가능성이 있는 공급업체 및 협력업체를 선정할 때 자체적인 공급업체 사전 자격 심사 절차를 준수합니다. 이 과정에는 재무 및 법무/개인정보 보호 부서의 피드백이 포함되며, 정보 평가, 보안 사전 자격 심사 및 문서 인증 단계가 포함됩니다. 보호 대상 데이터를 처리하는 공급업체는 일반 데이터 보호 규정(GDPR) 제 28 조를 포함한 관련 데이터 개인정보 보호법을 준수하고 있음을 입증해야 합니다.​​ 

부록 III​​ 

하위 프로세서 목록​​ 
하위 프로세서​​ 
위치 및 연락처 정보​​ 
처리 설명​​ 
3933 Lake Washington Blvd NE #350, 커클랜드, 워싱턴 98033, 미국​​ 
금융 서비스​​ 
P.O. Box 81226​​ 
시애틀, 워싱턴주 98108-1226, 미국​​ 
호스팅 - 클라우드 서비스 제공업체​​ 
Microsoft Corporation 원 마이크로소프트 방식​​ 
레드먼드, 워싱턴 98052 미국 전화: (+1) 425-882-8080.​​ 
커뮤니케이션(이메일) 및 서비스 관리를 위한 비즈니스 프로세스 지원​​ 
350 부시 스트리트 플로어 13​​ 
샌프란시스코, 캘리포니아 94104, 미국​​ 
+1 415 701 1110​​ 
서비스 관리를 위한 비즈니스 프로세스 지원​​ 
DocuSign International (EMEA) Ltd, 주의: 개인정보 보호팀, 5 하노버 키, 1층, 더블린 2, 아일랜드 공화국​​ 
문서 관리​​ 
세일즈포스 타워, 415 미션 스트리트, 3rd 층, 샌프란시스코, 캘리포니아 94105, 미국​​ 
1-800-387-3285​​ 
고객 관계 관리(CRM)를 위한 비즈니스 프로세스 지원​​ 
989 마켓 스트리트​​ 
샌프란시스코, 캘리포니아 94103, 미국​​ 
888-670-4887​​ 
고객 지원 헬프데스크 문의​​ 
2225 로슨 레인, 캘리포니아주 산타클라라, 95054​​ 
미국​​ 
IT 서비스 및 운영 관리, 직원 및 고객 경험을 위한 비즈니스 프로세스 지원 (​​ 자동화된 클라우드 기반 워크플로우)​​ 
160 스피어 스트리트, 15층 샌프란시스코, 캘리포니아 94105 1-866-330-0121​​ 
미국​​ 
클라우드 데이터 웨어하우스 인프라.​​ 
620 8그​​  평균 45​​ 그​​  바닥​​ 
뉴욕, 뉴욕 10018​​ 
미국​​ 
서비스 모니터링 및 디버깅 도구​​ 
애비뉴 루이스 54, 룸 에스52,​​ 
1050 브뤼셀​​ 
벨기에​​ 
온라인 결제 처리기​​ 
1600 앰피시어터 Pkwy, 마운틴뷰, 캘리포니아 94043​​ 
커뮤니케이션(이메일) 및 내부 문서 저장을 위한 비즈니스 프로세스 지원​​