쿠키 설정
“모든 쿠키 허용”을 클릭하면 사이트 탐색 기능 향상, 사이트 사용 분석, 마케팅 활동 지원을 위해 귀하의 장치에 쿠키를 저장하는 데 동의하는 것입니다. 자세한 정보
쿠키 설정
“모든 쿠키 허용”을 클릭하면 사이트 탐색 기능 향상, 사이트 사용 분석, 마케팅 활동 지원을 위해 귀하의 장치에 쿠키를 저장하는 데 동의하는 것입니다. 자세한 정보
모든 쿠키 허용
쿠키 설정
Yolo 비전 선전
선전
지금 참여하기

Ultralytics 처리 계약

최종 업데이트: 2026년 3월 26일

본 데이터 처리 계약서(이하 “DPA”)는 고객(이하 “고객”, “귀하”)과 Ultralytics, Inc.(이하Ultralytics”, "회사", "당사") 간의 (i) Ultralytics 서비스 약관 및/또는 (ii) 본 DPA를 참조하는 모든 적용 가능한 주문서, 기업 계약서 또는 기타 서면 계약서(각각 "계약

본 DPA는 다음 사항에 관한 당사자들의 합의를 반영합니다:

  • (A) 관리자-처리자 간 약관: Ultralytics 서비스와 관련하여 고객을 대신하여 처리자(또는 고객이 처리자인 경우 하위 처리자)로서 고객의 개인 데이터를 처리하는 행위; 및
  • (B) 관리자 간 약관: 각 당사자가 독립된 관리자로서 제10조에 명시된 범위 내에서만 관리자 개인 데이터를 처리하는 경우.

본 DPA는 본 계약의 유효 기간 동안, 그리고 Ultralytics 고객을 대신하여 고객의 개인 데이터를 Ultralytics 동안 유효합니다.

본 DPA는 Ultralytics Ultralytics 고객의 개인 데이터를 처리하는 경우에만 적용됩니다. 의문의 여지를 없애기 위해 명시하건대, 본 DPA는 Ultralytics 외부에서 고객이 단독으로 책임지고 수행하는 Ultralytics YOLO 모델의 사용, 배포 또는 운영에는 적용되지 않습니다.

Ultralytics 법률, 규제 지침 또는 서비스의 변경 사항을 반영하기 위해 본 DPA를 수시로 개정할 Ultralytics , 개정 사항은 게시일로부터 효력을 발생합니다. 단, 고객의 동의 없이(관련 법률에서 요구하는 경우를 제외하고) 고객 개인 데이터에 대한 개인정보 보호 수준이 실질적으로 저하되지 않는 범위 내에서만 개정할 수 있습니다.

1. 정의

“계열사”란 당사자를 직접 또는 간접적으로 지배하거나, 당사자에게 지배를 받거나, 당사자와 공동 지배 하에 있는 모든 법인을 의미하며, 여기서 “지배”란 의결권 지분의 50% 이상을 소유하는 것을 의미합니다.

"적절한 보호 조치" 란 관련 데이터 보호법, 특히 GDPR 제46조를 포함하되 이에 국한되지 않는 규정에 따라 허용되는, 개인정보 이전을 위한 법적 구속력이 있는 메커니즘을 의미합니다.

“하위 처리자”란 Ultralytics 그 계열사가 서비스와 관련하여 Ultralytics 대신하여 고객 개인정보를 처리하도록 위임한 모든 처리자를 의미합니다.

"회사 계정 데이터"란 고객과의 관계와 관련된 개인정보를 의미하며, 여기에는 고객이 계정 접근 권한을 부여한 개인의 성명 또는 연락처 정보와, 고객이 자신의 계정에 연결한 개인의 청구 정보가 포함됩니다. 또한 회사 계정 데이터에는 고객과의 관계 관리, 신원 확인 또는 관련 법규에서 요구하는 기타 목적으로 회사가 수집해야 할 수 있는 모든 데이터가 포함됩니다.

"회사 이용 데이터" 란 서비스 제공과 관련하여 회사가 수집 및 처리하는 서비스 이용 데이터를 의미하며, 여기에는 통신의 발신지와 수신지를 식별하는 데 사용되는 데이터, 활동 로그, 서비스 성능을 최적화 및 유지하고 시스템 남용을 조사 및 방지하는 데 사용되는 데이터 등이 포함되나 이에 국한되지 않습니다.

"고객 데이터"란 고객 또는 고객의 승인된 사용자가 서비스와 관련하여 처리 목적으로 업로드, 제출, 전송하거나 기타 방식으로 제공하는 모든 데이터, 콘텐츠, 자료, 파일 또는 정보(데이터 세트, 이미지, 동영상, 주석, 라벨, 메타데이터, 모델 입력 및 출력, 기타 콘텐츠를 포함)를 의미하며, 여기에는 고객이 서비스를 이용함으로써 생성된 모든 데이터도 포함됩니다.

"고객 개인정보 유출" 이란 서비스와 관련하여 Ultralytics 그 하도급 처리자가 처리하는 고객 개인정보가 우발적 또는 불법적인 파괴, 분실, 변조, 무단 공개 또는 접근으로 이어지는 보안 침해를 의미합니다. 고객 개인 데이터 침해에는 고객 개인 데이터에 대한 손상을 초래하지 않은 실패한 시도나 활동(예: 실패한 로그인 시도, 포트 스캔, 서비스 거부 공격 또는 방화벽이나 네트워크 시스템에 대한 기타 공격)은 포함되지 않습니다.

"데이터 보호법" 이란 본 계약에 따라 당사자가 개인정보를 처리하는 데 적용되는 개인정보 보호 및 데이터 보호와 관련된 모든 관련 법률을 의미하며, 여기에는 (해당되는 경우) GDPR, 영국 GDPR, 스위스 FADP, ePrivacy/PECR, CCPA/CPRA 및 기타 해당되는 미국 주 개인정보 보호법이 포함됩니다.

"GDPR" 이란 규정(EU) 2016/679를 의미하며, "영국 GDPR"이란 영국 법률에 편입된 GDPR을 의미합니다. "스위스 FADP"란 개정된 스위스 연방 데이터 보호법을 의미합니다. "지침"이란 제2.2조에 명시된 바와 같이, 고객 개인 데이터의 처리에 Ultralytics 고객이 Ultralytics 제공한 문서화된 지침을 의미합니다.

"SCCs" 란 EU 표준 계약 조항(결정 2021/914)을 의미하며, "영국 부속서"란 ICO 국제 데이터 전송 부속서를 의미합니다. 그 외 대문자로 표기된 용어들은 개인정보 보호법 및/또는 본 계약에 명시된 의미를 가집니다.

"서비스" 란 본 계약에 따라 Ultralytics 제공하는 서비스 및 기능을 의미하며, 여기에는 본 계약에 자세히 명시된 바와 같이 Ultralytics 관련 지원, 관리 및 문서가 포함됩니다.

"Ultralytics " 이란 고객이 데이터 세트를 업로드, 관리, 주석 추가 및 버전 관리하고, 컴퓨터 비전 모델을 훈련, 평가, 비교, 내보내기 및 배포하며, 프로젝트와 사용자를 관리하고, 관련 기능 및 지원에 접근할 수 있는 Ultralytics 클라우드 기반 SaaS(서비스형 소프트웨어) 환경을 의미하며, Ultralytics 본 DPA에 따라 이 플랫폼을 통해 고객을 대신하여 고객의 개인 데이터를 Ultralytics .

"Ultralytics YOLO 모델" 이란 Ultralytics 해당 오픈소스 라이선스에 Ultralytics 제공하는 오픈소스 컴퓨터 비전 모델 및 관련 소스 코드를 의미하며, 고객은 이를 다운로드하여 자체 환경에서 독립적으로 배포, 호스팅 및 운영할 수 있습니다. 명확히 하기 위해, 고객이 Ultralytics 외부에서 Ultralytics YOLO 모델을 배포하거나 사용하는 경우, Ultralytics 본 DPA에 따라 고객을 대신하여 개인정보를 처리하지 Ultralytics .

2. 고객의 의무

2.1 법률 준수. 고객은 개인정보 처리 및 서비스 이용과 관련하여 데이터 보호법을 준수할 책임이 있으며, 여기에는 필요한 고지 제공 및 필요한 동의와 승인을 얻는 것이 포함됩니다.

2.2 지침. 본 계약(본 DPA 포함)과 고객이 본 계약에 따라 서비스를 구성하고 사용하는 행위는, 고객 개인 데이터 처리를 Ultralytics 고객의 완전한 지침을 구성합니다. 고객은 계약 기간 중 본 계약 및 서비스와 일치하는 범위 내에서 추가 지침을 제공할 수 있습니다. Ultralytics 추가 지침이 중대한 변경이나 부담을 수반한다고 Ultralytics 판단하는 경우, 양 당사자는 성실히 협의합니다.

2.3 금지된 데이터. 당사자 간에 서면으로 명시적으로 합의한 경우(관련 데이터 보호법에서 요구하는 추가적인 보호 조치에 대한 합의 포함) Ultralytics 제외하고, 고객은 GDPR 제9조(또는 이에 상응하는 규정)에 따른 특별 범주의 개인정보 또는 GDPR 제10조에 따른 범죄 유죄 판결 또는 범죄 행위에 관한 Ultralytics Ultralytics에 제공하거나, 이를 통해 제출하거나, 기타 방법으로 Ultralytics 공개해서는 안 됩니다.

예를 들어, 다음은 금지된 데이터에 포함되나 이에 국한되지는 않습니다:

  • 정부에서 발급한 신분증 번호(여권 번호, 주민등록번호, 사회보장번호 등);
  • 건강 또는 의료 정보(자연인을 고유하게 식별하기 위해 사용되는 생체 인식 식별자 포함);
  • 개인의 인종 또는 민족적 출신, 정치적 견해, 종교적 또는 철학적 신념, 또는 노동조합 가입 여부에 관한 정보;
  • 자연인을 고유하게 식별할 목적으로 처리되는 유전적 데이터 또는 생체 인식 데이터;
  • 관련 데이터 보호법에 따라 제한되는 아동 관련 개인정보;
  • 그리고 범죄 유죄 판결, 범죄 혐의 행위 또는 법 집행 활동과 관련된 데이터.

또한, 본 서비스는 결제 카드 정보, 은행 계좌 번호 또는 정확한 위치 정보 등 관련 데이터 보호법에 따라 강화된 보호가 필요한 기타 데이터를 처리하기 위한 목적으로 설계되지 않았습니다. 고객은 본 서비스에 업로드되거나 본 서비스를 통해 처리되는 데이터 세트, 이미지, 동영상, 주석, 라벨, 메타데이터 또는 기타 콘텐츠에 금지된 데이터가 포함되지 않도록 할 전적인 책임이 있습니다. 본 조항을 위반하여 금지된 데이터를 처리하는 행위는 본 DPA의 중대한 위반에 해당합니다.

2.4 부적절한 데이터; 배상. 고객은 Ultralytics 제공된 고객 개인 데이터의 적법성에 대한 전적인 책임을 지며 Ultralytics 해당 데이터가 본 서비스에 적합한지 확인할 책임이 있습니다. 고객은 본 계약, 본 DPA 또는 관련 데이터 보호법을 위반하여 본 서비스에 개인 데이터를 제공함으로써 발생하는 제3자의 모든 청구에 Ultralytics 방어하고 Ultralytics 배상 책임을 집니다.

3. 데이터 처리자로서의 Ultralytics

3.1 처리 목적의 제한. Ultralytics (a) 본 계약 및 부속서 A에 따라 서비스를 제공하기 위해, (b) 고객의 지시에 따라, 그리고 (c) 관련 법률에서 요구하는 경우에만 고객 개인 데이터를 Ultralytics . Ultralytics 고객이 서면 또는 서비스를 통해 명시적으로 지시한 경우를 제외하고는, Ultralytics 일반 모델 또는 상용 모델을 훈련, 개선 또는 개발하는 데 고객 개인 데이터나 고객 데이터를 Ultralytics .

3.2 법률 간 충돌. Ultralytics 법적 요건으로 인해 지시에 따라 고객 개인 데이터를 처리할 수 없음을 Ultralytics 경우, Ultralytics (법률이 허용하는 범위 내에서) 고객에게 Ultralytics , 필요한 경우 고객이 규정 준수 지시를 내릴 때까지 해당 처리(안전한 보관을 제외한)를 중단합니다.

3.3 직원의 기밀 유지. Ultralytics 고객 개인 데이터를 처리할 권한이 있는 자들이 기밀 유지 의무를 준수하도록 Ultralytics . 고객은 Ultralytics 본 계약/DPA의 이행과 관련하여 합리적으로 필요한 범위 내에서, 기밀 유지 의무를 전제로 고객 개인 데이터를 자사의 전문 자문가 및 감사인에게 공개할 Ultralytics 동의합니다.

3.4 하도급 처리. Ultralytics 제5조에 따라 하도급 처리업체를 활용할 Ultralytics , 해당 업체가 동등한 의무를 이행하는 데 대해 책임을 진다.

3.5 삭제/반환. 서비스 종료 시, Ultralytics 법률에 따라 보존이 요구되는 경우를 제외하고, 본 계약 및 부속서 A에 따라 고객의 개인 데이터를 삭제하거나 Ultralytics . 고객의 요청이 있을 경우, 표준 계약 조항(SCCs)에 따른 삭제 확인서를 제공해 드립니다.

4. 정보주체(또는 소비자)의 권리

4.1 데이터 주체(또는 소비자)의 요청. Ultralytics 법적으로 허용되는 범위 내에서, 데이터 주체(또는 소비자) Ultralytics 부터 데이터 주체(또는 소비자)의 접근(또는 공개) 권리, 정정 권리, 처리 제한, 삭제(또는 "잊혀질 권리"), 데이터 이동권, 처리 반대권 또는 자동화된 개별 의사 결정의 대상이 되지 않을 권리("데이터 주체(또는 소비자) 요청")를 행사하고자 하는 요청을 수령한 경우, 법적으로 허용되는 범위 내에서 지체 없이 계정의 주 연락처로 고객에게 통지해야 합니다.

4.2 지원. 처리의 성격을 고려하여, Ultralytics 고객이 이용 가능한 서비스 기능을 통해 해당 요청을 이행할 수 없는 범위 내에서, 데이터 보호법에 따른 데이터 주체의 권리 행사 요청에 대응할 수 있도록 고객에게 합리적인 지원을 제공할 Ultralytics .

4.3 DPIA; 사전 협의. 처리의 성격 및 Ultralytics 입수 가능한 정보를 고려하여, Ultralytics 데이터 보호법에서 요구하는 경우 및 고객이 관련 정보에 접근할 수 없는 경우, (i) 데이터 보호 영향 평가 및 (ii) 감독 당국과의 협의 및/또는 협력과 관련하여 고객에게 합리적인 지원을 제공할 Ultralytics . 데이터 보호 법률에서 요구하는 경우 또는 고객의 개인 데이터 침해와 관련된 경우를 제외하고, 고객은 12개월 기간 내에 이러한 지원을 1회 이상 요청할 수 없습니다. 고객은 법률이 허용하는 범위 내에서, 이러한 지원을 제공하는 데 소요된 Ultralytics 합리적인 비용 및 경비를 보상해야 합니다.

5. 하도급 처리자

5.1 일반적 승인. 고객은 Ultralytics 본 서비스와 관련하여 고객의 개인 데이터를 처리하기 위해 하도급 처리자를 고용할 수 있도록 일반적 서면 Ultralytics 부여합니다.

5.2 목록 및 통지. 현재 하도급 처리업체 목록은 ultralytics 확인할 수 있습니다( ultralytics “목록”). Ultralytics 목록 업데이트 알림을 수신할 수 있는 기능을 Ultralytics , 새로운 하도급 처리업체가 고객 개인 데이터를 처리하도록 승인하기 최소 10일 전에 이에 대한 통지를 제공할 것입니다. 고객은 해당 알림이 제공되는 경우 이를 구독할 책임이 있습니다. 고객이 구독하지 않을 경우, 고객은 해당 메커니즘을 통해 사전 통지를 받지 못할 수 있음을 인정합니다. 어떠한 경우에도 목록의 업데이트는 하도급 처리업체 변경에 대한 통지로 간주됩니다. 고객은 특정 하도급 처리업체가 서비스 제공에 필수적이며, 하도급 처리업체의 사용에 이의를 제기할 경우 회사가 고객에게 서비스를 제공하지 못할 수 있음을 인정합니다.

명확성을 위해, Ultralytics (UK) 및 Ultralytics Spain, S.L.을 포함하여 서비스 제공에 관여하는 Ultralytics , 서비스와 관련하여 Ultralytics .를 대신하여 고객 개인정보를 처리하는 경우 그룹 내 하위 처리자 역할을 수행할 수 있습니다.

5.3 새로운 하도급 처리업체에 대한 이의 제기. 고객은 제5.2조에 따라 합리적인 데이터 보호 사유를 근거로 새로운 하도급 처리업체의 선정에 대해 서면으로 이의를 제기할 수 있습니다. Ultralytics 고객의 이의를 합리적으로 해소할 Ultralytics 경우, 고객은 서면 통지를 통해 해당 서비스를 중단할 수 있으며, 이 경우 중단 전까지 발생한 요금은 면제되지 않습니다.

5.4 하도급. Ultralytics 하도급 처리자가 관련 데이터 보호법에 따라 고객 개인 데이터에 대해 적절한 수준의 보호를 제공할 능력이 있는지 평가하기 위해 합리적이고 위험 기반의 실사를 수행한 후에만 하도급 처리자를 Ultralytics , 공급업체 관리 프로그램의 일환으로 하도급 처리자를 정기적으로 모니터링할 Ultralytics . Ultralytics 자사의 하위 처리자가 본 DPA에 명시된 의무와 실질적으로 동등하거나 그보다 더 강력한 수준의 데이터 보호 의무를 준수하도록 Ultralytics . 고객의 요청이 있을 경우, Ultralytics SCC에 따라 요구되는 관련 하위 처리자 데이터 보호 약관의 사본(기밀 유지를 위해 일부 내용이 삭제될 수 있음)을 제공할 Ultralytics .

6. 보안

6.1 조치. Ultralytics 최신 기술 수준, 처리의 성격, 범위, 맥락 및 목적, 그리고 자연인의 권리와 자유에 대한 발생 가능성과 심각도가 다양한 위험을 고려하여, GDPR 제32조를 포함한 관련 데이터 보호법에 따라 해당 위험에 상응하는 보안 수준을 보장하기 위한 적절한 기술적 및 조직적 조치를 이행하고 유지 Ultralytics . 이러한 조치는 별지 C에 명시되어 있으며, Ultralytics 고객 개인 데이터에 대한 전반적인 보호 수준을 실질적으로 저하시키지 않는 범위 내에서 수시로 이를 갱신할 Ultralytics .

6.2 고객의 책임. 전항의 규정에도 불구하고, 고객은 본 DPA에 명시적으로 규정된 경우를 제외하고, 계정 인증 정보의 보호, 적절한 접근 제어 설정, 그리고 사용자가 관련 데이터 보호법 및 Ultralytics 제공하는 보안 기능에 부합하는 방식으로 서비스에 접근하고 이용하도록 보장하는 것을 포함하여, 서비스의 안전한 사용에 대한 책임이 자신에게 있음을 인정합니다.

7. 고객 감사 및 규정 준수 입증

7.1 문서화. 합리적인 요청이 있을 경우, Ultralytics 본 DPA 준수 여부를 입증하는 데 합리적으로 필요한 정보(가능한 경우, 최신 제3자 감사 보고서 또는 인증서 포함)를 제공할 Ultralytics . Ultralytics 본 DPA 준수 여부를 입증하기에 충분한 기록을 Ultralytics , 법률에 따라 더 긴 기간이 요구되지 않는 한, 계약 종료 후 합리적인 기간(예: 3년) 동안 해당 기록을 보관할 Ultralytics .

7.2 감사. 개인정보 보호법이 요구하고 관련 문서가 불충분한 경우, 고객은 합리적인 사전 서면 통지를 통해, 비용은 고객이 부담하는 조건으로, Ultralytics 관련 시스템 및 프로세스에 대한 감사 또는 검사를 요청할 수 있습니다. 이러한 감사 또는 점검은 감사 범위, 시기, 기간 및 감사와 관련하여 Ultralytics 소요된 시간 및 자원에 대한 합리적인 보상률에 대해 당사자 간에 서면으로 합의한 후에만 수행되어야 합니다. 본 조항에 따라 수행되는 모든 감사는 다음을 준수해야 합니다:

  • (a) 12개월 기간 내에 1회 이하로 발생해야 하며;
  • (b) Ultralytics 정상 업무 시간 중에 이루어져야 하며;
  • (c) 합리적인 기밀 유지, 보안 및 안전 관리 조치를 준수하여야 하며; 그리고
  • (d) 고객 개인정보 처리에 합리적으로 관련된 시스템 및 기록으로 한정되어야 한다.

고객은 감사 과정에서 확인된 중대한 규정 위반 사항에 Ultralytics 지체 없이 Ultralytics 통지하여, Ultralytics 해당 사항을 시정할 수 있는 합리적인 Ultralytics 부여해야 합니다.

8. 개인정보 유출

8.1 통지. Ultralytics 고객 개인정보 유출 사실을 인지한 후 지체 없이, 늦어도 72시간 이내에 고객에게 Ultralytics .

8.2 지원. Ultralytics Ultralytics 입수한 정보를 고려하여, 고객이 규제 당국 및 영향을 받은 데이터 주체에게 통지해야 할 사항에 대해 합리적인 지원을 제공할 Ultralytics .

8.3 인정의 부인. 침해 통지는 과실이나 책임을 인정하는 것으로 간주되지 않습니다. 고객 개인정보 침해 사고가 고객 또는 그 사용자의 행위나 부작위로 인해 발생한 경우에는 침해 통지 의무가 적용되지 않습니다.

9. 이적 (EU/영국/스위스)

9.1 국제 데이터 전송. 고객은 Ultralytics 주요 데이터 처리 업무가 미국 및 서비스 제공에 필요한 기타 지역에서 수행될 수 있음을 인정합니다.

명확성을 위해, 고객의 개인 데이터는 Ultralytics .와 그 계열사( Ultralytics (UK) 및 Ultralytics Spain, S.L. 포함) 간에도 전송될 수 있으며, 이 경우 해당 계열사는 서비스와 관련하여 하위 처리자 역할을 수행합니다. 이러한 전송이 관련 데이터 보호법에 따라 국제 전송에 해당되는 경우, SCC(해당되는 경우 모듈 3) 또는 기타 유효한 전송 메커니즘을 포함한 적절한 보호 조치에 따라야 합니다.

데이터 보호 수준이 적절하다고 인정되지 않은 국가로 고객 개인 데이터를 전송해야 하는 경우, 해당 전송은 관련 데이터 보호법에 따라 적절한 보호 조치를 준수하여 이루어지며, 여기에는 해당되는 경우 본 DPA에 포함된 표준 계약 조항(SCCs) 및 영국 부속서(UK Addendum)가 포함됩니다.

9.2 EU 표준 계약 조항(SCC). GDPR이 적용되는 고객 개인 데이터를 적정성 인정이 없는 제3국으로 이전하는 경우, 당사자들은 EU 표준 계약 조항(SCC )을 적용합니다. 고객이 데이터 관리자인 경우에는 모듈 2(관리자→처리자)가 적용되며, 고객이 데이터 처리자인 경우에는 모듈 3(처리자→하위 처리자)가 적용됩니다. SCC 부속서는 별지 B(부속서 I/III) 및 별지 C(부속서 II)를 사용하여 작성합니다.

9.3 영국 부속서. 영국 GDPR이 적용되는 데이터 전송의 경우, 당사자들은 부속서 B/C 및 해당 전송 메커니즘 선택을 참조하여 작성된 영국 부속서를 본 계약에 포함합니다.

9.4 스위스. 스위스로의 데이터 전송에는 EU 표준 계약 조항(SCC)이 적용되며, 여기에는 스위스 표준 수정 사항(GDPR에 대한 언급은 스위스 FADP를 포함하고, 관할 당국으로 FDPIC를 명시하는 등)이 반영되어 있으며, 부속서를 참조하여 작성됩니다.

9.5 정부의 정보 제공 요청. Ultralytics 고객 개인 데이터에 대한 법적 구속력이 있는 요청을 관련 법률 및 표준 계약 조항(SCCs)에 따라 Ultralytics , 여기에는 (법적으로 허용되는 경우) 고객에 대한 통지 및 합리적인 협력이 포함됩니다.

10. 관리자 간 약관 (Ultralytics / 사용 / 보안 운영)

10.1 적용 범위. 본 조항은 각 당사자가 독립된 처리자(공동 처리자가 아닌)로서 수행하는 개인 데이터 처리에 적용되며, 여기에는 Ultralytics 회사 계정 데이터 및 회사 사용 데이터 처리가 포함됩니다.

10.2 독립적 데이터 처리자의 의무. 각 당사자는 다음을 이행하여야 한다:

  • (a) 개인정보 보호법을 준수하여 개인정보를 처리하고;
  • (b) 적절한 보안 조치를 시행하고; 그리고
  • (c) 자사의 데이터 처리에 관한 규제 당국의 요청에 응한다.

10.3 Ultralytics 처리. Ultralytics 데이터 관리자로서 회사 계정 데이터 및 회사 이용 데이터를 다음 목적을 위해 Ultralytics : 계정 관리, 청구, 보안 모니터링 및 악용 방지, 신원 확인, 법적 준수, 감사/회계, 서비스 운영(성능 및 신뢰성 포함). 이러한 처리 내용은 Ultralytics 처리방침에 명시되어 있습니다. 본 DPA의 어떠한 내용도 당사자 간에 공동 데이터 관리자 관계를 형성하는 것으로 해석되어서는 안 됩니다.

오해를 방지하기 위해, Ultralytics 그 계열사는 독립적인 데이터 관리자로서 상업적 홍보, 시연, 파트너십 및 고객 관계 관리 활동의 일환으로 제한된 업무 연락처 정보(이름, 회사 이메일 주소, 업무용 연락처 정보 등)를 처리할 수 있습니다.

11. 캘리포니아 관련 규정 (CCPA/CPRA)

11.1 서비스 제공자/처리자. CCPA/CPRA가 적용되는 범위 내에서 Ultralytics 고객을 대신하여 고객의 개인 데이터를 Ultralytics 경우, Ultralytics “서비스 제공자” 및/또는 “처리자”로서 Ultralytics , 해당 개인 정보를 “판매”하거나 “공유”하지 않습니다.

11.2 제한적 사용. Ultralytics CCPA/CPRA에서 허용하는 경우를 제외하고는, 서비스 제공이라는 직접적인 사업 목적 이외의 목적으로 고객 개인 데이터를 보유, 사용 또는 공개하지 Ultralytics .

11.3 차별. 당사자들은 소비자가 자신의 권리를 행사했다는 이유로 해당 소비자를 차별해서는 안 된다.

12. 일반 규정

12.1 책임의 제한. 본 계약에 명시된 제한 및 면책 조항은 법률 또는 SCCs/영국 부칙에서 금지하는 경우를 제외하고는 본 DPA에도 적용됩니다.

12.2 분리 가능성. 본 DPA의 어느 조항이 무효이거나 집행 불가능한 경우, 본 DPA의 나머지 조항은 유효하고 효력을 유지합니다. 무효이거나 집행 불가능한 조항은 (i) 당사자들의 의도를 최대한 존중하면서 그 유효성과 집행 가능성을 확보하기 위해 필요한 범위 내에서 수정되거나, 이것이 불가능할 경우 (ii) 해당 무효이거나 집행 불가능한 부분이 본 계약에 포함된 적이 없는 것으로 간주하여 해석되어야 한다.

12.3 본 DPA의 체결. 본 DPA는 본 계약에 편입되며 그 일부를 구성합니다. 고객은 다음의 방법으로 본 DPA(해당되는 경우, EU 표준 계약 조항 및 영국 부속서 포함)를 체결합니다:

  • (a) 본 계약에 동의하거나 그 구속력을 수락하는 행위(이용약관에 대해 “동의합니다”를 클릭하거나 이와 유사한 방식을 포함함),
  • (b) 본 계약을 포함하거나 이를 참조하는 주문서, 업무 명세서 또는 기타 서면 계약을 체결하거나, 또는
  • (c) 회사가 본 DPA를 제공한 후에도 서비스를 이용하거나 계속 이용하는 행위.

고객은 본 계약에 동의하거나 고객을 대신하여 서비스를 이용하는 개인이 고객 및 해당되는 경우 그 계열사를 법적으로 구속할 권한이 있음을 진술하고 보증합니다.

12.4 연락처. 개인정보 관련 문의: ultralytics; 개인정보 보호 책임자(DPO): ultralytics; 법적 고지: ultralytics.

13. 당사자; 계열사

고객은 본 DPA를 체결함에 있어, 본인을 비롯해 본 계약에 따라 서비스의 승인된 사용자이며 고객 개인 데이터의 관리자/처리자인 계열사(이하 “승인된 계열사”)를 대표하여 체결합니다. 고객은 승인된 계열사를 구속할 권한이 있음을 진술합니다.

증거물 A: 개인정보 처리 내역

Nature: Ultralytics 본 계약에 명시된 바와 같이, 고객이 모델 훈련, 추론, 데이터셋 관리, 배포 워크플로우 및 관련 지원 및 관리 등 Ultralytics 기능을 이용하고 사용할 수 있도록 하는 클라우드 기반 소프트웨어 및 관련 서비스(이하 “서비스”)를 Ultralytics .

명확성을 위해, 본 서비스에는 Ultralytics 포함되며, Ultralytics 본 DPA에 따라 이 플랫폼을 통해 고객을 대신하여 고객의 개인 데이터를 Ultralytics . Ultralytics 별도로, Ultralytics 고객이 자체 환경에서 독립적으로 배포 및 운영할 수 있는 Ultralytics YOLO Ultralytics 제공합니다. 고객이 Ultralytics 외부에서 Ultralytics YOLO 배포하거나 사용하는 경우, Ultralytics 고객을 대신하여 개인정보를 Ultralytics , 해당 배포 및 사용과 관련하여 적절한 기술적 및 조직적 조치를 이행하고, 처리의 목적과 수단을 결정하며, 적용 가능한 데이터 보호법을 준수할 책임은 전적으로 고객에게 있습니다.

목적: Ultralytics 다음의 목적을 위해 고객을 대신하여 고객의 개인 데이터를 Ultralytics :

  • 본 계약 및 고객의 문서화된 지침에 따라 서비스를 제공, 운영, 보안 유지 및 지원하기 위해;
  • 고객이 제공한 기타 문서화된 합리적인 지침을 준수할 것. 단, 해당 지침은 본 계약 및 본 DPA와 일치해야 합니다;
  • 고객 또는 고객의 승인된 사용자가 서비스를 이용하는 과정에서 제기한 요청(고객 지원 요청 포함)에 대응하기 위해;
  • detect 사고, 사기, 악용 및 서비스 오용을 모니터링, 예방 및 detect 위해; 그리고
  • 관련 법적 의무를 준수하기 위해.

Ultralytics 고객이 서면 또는 서비스를 통해 명시적으로 지시한 경우를 제외하고는 고객의 개인 데이터를 Ultralytics 일반 모델 훈련 또는 개선에 Ultralytics . 명확히 하기 위해, Ultralytics 서비스의 운영, 보안 유지 및 개선을 위해 회사 사용 데이터와 집계되거나 비식별화된 데이터(허용되는 경우)를 사용할 Ultralytics .

고객이 본 서비스의 커뮤니티 또는 공개 기능을 통해 데이터 세트, 모델 또는 기타 콘텐츠를 공유하기로 선택한 경우, 해당 공유 행위는 고객의 문서화된 지시로 간주됩니다. 고객은 해당 데이터를 다른 사용자에게 제공할 수 있는 모든 필요한 권리와 법적 근거를 확보하는 데 대해 전적으로 책임을 집니다.

처리 기간: Ultralytics 계약 기간 동안 및 고객의 지시에 따라 서비스를 제공하는 데 필요한 기간 동안 고객 개인 데이터를 Ultralytics . 계약이 해지되거나 만료된 후, Ultralytics 관련 법률에 따라 추가 보관이 요구되지 않는 한, 계약 및 본 DPA에 따라 고객 개인 데이터를 Ultralytics . 명확성을 위해, Ultralytics 제10조에 따라 독립적인 관리자로서 관리자 개인 데이터(회사 계정 데이터 및 회사 사용 데이터 포함)를 Ultralytics 경우, 해당 처리는 Ultralytics 처리방침에 명시된 기간 동안 이루어집니다.

데이터 주체의 범주: 고객의 개인 데이터는 고객이 결정하고 관리하는 바에 따라 다음 범주의 데이터 주체와 관련될 수 있습니다:

  • 고객사의 직원, 계약업체, 대리인 및 대표자;
  • 고객의 승인된 사용자 및 관리자;
  • 및 고객의 최종 사용자, 고객, 또는 고객이 서비스에 제출하기로 선택한 개인정보를 보유한 기타 개인.

개인정보의 범주: 고객의 개인정보에는 고객 또는 고객을 대리하여 서비스에 제출되거나 서비스를 통해 제공된 범위 내에서 다음 범주의 개인정보가 포함될 수 있습니다:

  • 이름, 이메일 주소, 사용자 이름/사용자 ID, 조직명, 사용자 역할/권한(예: 관리자/사용자)과 같은 계정 및 사용자 신원 정보.
  • 사용 내역 및 기기/기술 데이터(예: IP 주소, 기기 식별자, 시스템 속성(기기 유형, 운영 체제, 브라우저 유형 등)), 로그 파일, 타임스탬프, 인증 이벤트, 접속 기록, 그리고(해당되는 경우) 기업 기기 또는 보안 워크플로우의 일환으로 수집된 설치된 애플리케이션 또는 구성 세부 정보.
  • 사용자가 생성한 프롬프트, 댓글, 주석, 데이터셋 메타데이터 또는 라벨과 같이 고객이 제공한 콘텐츠 및 입력 자료, 그리고 고객이 서비스를 통해 업로드하거나 제출하는 기타 모든 콘텐츠(이미지/동영상/오디오 또는 기타 파일 포함)를 말하며, 단 해당 콘텐츠에 개인정보가 포함된 경우에 한합니다.
  • 고객 지원 문의, 문제 보고, 문제 해결 정보 및 관리 담당자 연락처와 같은 지원 및 커뮤니케이션 데이터.

처리되는 개인정보의 범주에는 Ultralytics 처리방침에 명시된 항목이 추가로 포함될 수 있습니다.

민감한 데이터 또는 특별 범주의 데이터: 본 서비스는 GDPR 제9조(또는 해당 데이터 보호법에 따른 이에 상응하는 규정)에 정의된 ‘특별 범주의 개인 데이터’ 또는 범죄 유죄 판결 및 범죄 행위와 관련된 개인 데이터(GDPR 제10조)를 처리하도록 설계되거나 의도된 것이 아니며, 고객은 Ultralytics 서면으로 명시적으로 합의하고 추가적인 보호 조치를 Ultralytics 제외하고는 이러한 데이터를 제공해서는 안 됩니다.

증거물 B: 부속서 I 및 부속서 III 정보 (EU 표준 계약 조항 및 영국 부칙)

다음은 EU 표준 계약 조항(SCC)의 부속서 I 및 부속서 III, 그리고 영국 부록의 표 1, 부속서 1A 및 부속서 1B에 명시된 필수 정보를 포함하고 있습니다.

1. 당사자들

데이터 내보내기 담당자:

  • 이름: 고객 법인명
  • 상호명 (다른 경우): [선택 사항]
  • 주소: 고객 등록 주소
  • 공식 등록 번호 (해당하는 경우): [선택 사항]
  • 담당자 성명, 직책 및 연락처: 성명, 직책, 이메일
  • 본 조항에 따라 전송되는 데이터와 관련된 활동: 계약, 본 DPA 및 부속서 A에 명시된 바와 같이, 서비스와 관련하여 처리를 Ultralytics 고객 개인 데이터를 Ultralytics 전송하는 것을 포함하여, 계약에 따른 서비스의 이용.
  • 서명 및 날짜: 본 계약/DPA의 체결/수락을 통해
  • 역할 (처리자/수행자): 처리자

데이터 가져오기 담당자:

  • 회사명: Ultralytics )
  • 상호명(다른 경우): 해당 없음
  • 주소 및 연락처: 5001 Judicial Way, Frederick, MD, 21703, 미국; ultralytics
  • 공식 등록 번호(해당하는 경우): 6755919
  • 본 조항에 따라 이전된 데이터와 관련된 활동: 서비스를 제공, 운영, 보안 유지, 관리 및 지원하기 위해 고객을 대신하여 고객의 개인 데이터를 처리하는 것, 그리고 계약서, 본 DPA 및 부속서 A에 달리 명시된 바에 따른 활동.
  • 서명 및 날짜: 본 계약/DPA의 체결/수락을 통해
  • 역할(처리자/수탁자): 개인정보보호법(DPA) 제3조에 명시된 바와 같습니다.

2. 양도 내용

분야 상세 정보
정보주체 DPA의 별지 A에 명시된 바와 같이
개인정보의 범주 DPA의 별지 A에 명시된 바와 같이
특별 분류 개인정보 (해당하는 경우) DPA의 별지 A에 명시된 바와 같이
처리 내용 DPA의 별지 A에 명시된 바와 같이
처리 목적 DPA의 별지 A에 명시된 바와 같이
처리 및 보존 기간 (또는 해당 기간을 결정하는 기준) DPA의 별지 A에 명시된 바와 같이
이전 빈도 계약서 또는 DPA에 명시된 바와 같이 개인정보와 관련된 모든 의무 및 권리를 이행하고 행사하는 데 필요한 범위 내에서
데이터 수입자에게 전송된 개인정보의 수신자 회사는 다음 주소에서 하도급 처리업체 목록을 관리합니다: ultralytics

그룹 내 하도급 처리업체:

Ultralytics (영국) - 엔지니어링 지원, 고객 지원, 온보딩 지원 및 상업적 교류(데모 및 파트너십 포함)

Ultralytics Spain, S.L. (스페인) - 엔지니어링 지원, 상업적 교류 및 고객 대응 활동(비즈니스 연락처 데이터의 제한적 처리를 포함)


3. 관할 감독 기관

감독 당국은 EU 표준 계약 조항(SCC) 제13조에 따라 결정된 데이터 수출자의 감독 당국으로 한다. 본 영국 부속서에서 규정하는 감독 당국은 영국 정보위원회(Information Commissioner's Office)로 한다.

증거물 C: 기술적 및 조직적 보안 조치

다음은 EU 표준 계약 조항(SCC) 부속서 II 및 영국 부록 부속서 II에서 요구하는 정보를 포함하고 있습니다.

기술적 및 조직적 보안 조치 상세 정보
개인정보의 가명화 및 암호화 조치 고객의 개인 데이터는 플랫폼 구성 요소와 외부 엔드포인트 간에 업계 표준 보안 연결(TLS)을 사용하여 전송 중 암호화되어 보호됩니다. 클라우드 서비스에 저장된 데이터는 클라우드 공급자가 관리하는 저장 중 암호화 및 안전한 키 관리 제어 기능을 통해 보호됩니다.
처리 시스템 및 서비스의 기밀성, 무결성, 가용성 및 복원력을 지속적으로 보장하기 위한 조치 Ultralytics 무단 접근을 차단하도록 설계된 시스템 구성, 침입 탐지 및 모니터링, 취약점 스캔 및 침투 테스트, 전송 중 및 저장 시 암호화, 데이터 보존/폐기 관리 등을 포함하여 자사 서비스에 대한 보안, 기밀성 및 가용성 약속을 Ultralytics . Ultralytics 가용성이 보장된 관리형 클라우드 서비스를 통해 운영됩니다. 당사의 IaaS(인프라 서비스) 제공업체는 복제 및 고가용성을 통해 데이터베이스의 복원력을 지원합니다. Ultralytics 하위 처리자의 기술적 및 조직적 조치(TOM)가 본 계약에 명시된 기준을 충족하거나 초과하도록 보장합니다.
물리적 또는 기술적 사고 발생 시 개인 데이터의 가용성 및 접근성을 적시에 복구할 수 있도록 보장하기 위한 조치 Ultralytics 내의 고객 데이터는 클라우드 공급업체의 기본 서비스를 통해 백업됩니다. 백업 과정은 지속적으로 모니터링되며, 예외 상황이 발생하면 이를 조사하고 조치를 취합니다. 백업 데이터는 저장 시와 전송 중에 모두 암호화되며, 접근 권한은 승인된 담당자로만 제한됩니다. 비즈니스 연속성 및 재해 복구 계획에는 복구 지점 목표(RPO), 복구 시간 목표(RTO) 및 명확히 정의된 역할과 책임이 포함됩니다.
처리 과정의 보안을 보장하기 위해 기술적 및 조직적 조치의 효과성을 정기적으로 테스트, 평가 및 검토하는 절차 Ultralytics 시스템 및 네트워크에 대한 정기적인 취약점 스캔과 운영 환경에 대한 침투 테스트를 Ultralytics . 취약점 관리에는 종속성 스캔과 CI/CD 파이프라인에 통합된 보안 개발 관행이 포함되며, 식별된 취약점은 심각도와 위험도에 따라 우선순위가 지정되고 조치됩니다. 또한 Ultralytics 표준 ISMS 관행의 일환으로 연례 위험 평가 및 경영진 검토를 Ultralytics .
사용자 식별 및 인증을 위한 조치 Ultralytics 인증 및 신원 관리 서비스를 활용하여 사용자 인증과 세션 관리를 지원합니다. 엔지니어링 시스템(소스 코드 저장소 포함)에 대한 접근 권한은 승인된 담당자로만 제한되며, 역할 기반 권한, 브랜치 보호 기능 및 필수 검토 절차를 통해 관리됩니다. 내부 접근 권한은 최소 권한 원칙과 역할 기반 접근 제어(RBAC)를 따릅니다.
전송 중 데이터 보호를 위한 조치 Ultralytics 의 네트워크 접속은 지정된 프론트엔드 엔드포인트를 통한 보안 HTTPS(TLS) 연결로만 제한됩니다. 플랫폼 구성 요소와 스토리지 서비스 간의 내부 통신은 전송 중에 TLS를 사용하여 암호화됩니다.
저장 중 데이터 보호를 위한 조치 Ultralytics 경우, 고객 데이터는 중복 저장 및 백업 기능을 지원하는 암호화된 관리형 클라우드 서비스에 저장됩니다. 이 관리형 클라우드 서비스는 내장형 암호화, 자동 백업, 중복 저장소 및 고가용성을 제공합니다. 저장 중인 데이터에는 클라우드 공급자가 관리하는 암호화 기술이 적용됩니다.
개인 데이터가 처리되는 장소의 물리적 보안을 확보하기 위한 조치 Ultralytics 제3자 클라우드 서비스 제공업체를 통해 호스팅됩니다. 호스팅 데이터 센터에 대한 물리적 및 환경적 보안 조치는 관련 하도급 처리업체가 운영합니다. Ultralytics 하도급 처리업체의 확인 보고서를 Ultralytics 최소 연 1회 이상 위험 분석을 수행합니다.
이벤트 로깅을 보장하기 위한 조치 Ultralytics 모니터링, 문제 해결 및 사고 조사를 위해 클라우드 네이티브 로깅 기술을 Ultralytics . 플랫폼 가용성 및 보안 관련 알림은 내부적으로는 사내 통신망과 이메일을 통해, 외부적으로는 호스팅된 상태 페이지를 통해 전달됩니다. 또한 Ultralytics 고객 데이터를 처리하거나 저장하는 애플리케이션, 도구 및 리소스에 대한 접근 권한을 Ultralytics 검토합니다.
기본 설정을 포함한 시스템 구성 확보를 위한 조치 Ultralytics Ultralytics 및 Ultralytics YOLO 코드베이스의 변경 사항을 관리하기 위한 문서화된 변경 관리 프로세스를 Ultralytics , 여기에는 변경 요청, 문서화, 개발 표준, 테스트, 검토, 그리고 릴리스 또는 배포 전 승인이 포함됩니다. 변경 사항은 버전 관리 시스템을 통해 추적되며, 동료 검토와 CI/CD 파이프라인 검증을 거칩니다.
내부 IT 및 IT 보안 거버넌스 및 관리 방안 Ultralytics 서비스 약속 및 내부 규정 준수 요건에 부합하는 보안 정책과 절차를 Ultralytics , 주요 정책과 절차에 대해서는 매년 검토를 실시합니다. 직원들은 전용 거버넌스·리스크·컴플라이언스(GRC) 도구를 통해 정책을 확인해야 하며, 매년 보안 인식 교육 및 개인정보 보호 교육을 이수해야 합니다. 또한 엔지니어링 직책의 경우 보안 코딩 교육도 필수로 이수해야 합니다. 위험 요소는 중앙 집중식 위험 등록부에 기록되며, 최소 연 1회 공식적으로 검토됩니다.
공정 및 제품의 인증/보증 조치 Ultralytics 제3자 관리 서비스(하위 서비스 제공업체 포함)를 Ultralytics , 통제 모니터링의 일환으로 매년 해당 업체들의 SOC 2 보고서를 검토합니다. 공급업체 실사는 위험 기반 방식으로 진행되며, 공급업체는 중요도 등급(중요/높음/중간/낮음)으로 분류되어 계약상 안전장치와 정기적인 재평가가 이루어집니다.
데이터 최소화 확보를 위한 조치 Ultralytics 고객 계약 및 관련 데이터 보호 요건에 따라 고객 데이터를 Ultralytics , 서비스 제공 및 지원(데이터셋 관리, 라벨링, 모델 훈련, 평가 및 관련 플랫폼 기능 포함)에 필요한 범위로만 처리를 제한합니다. Ultralytics YOLO 사용은 고객이 직접 관리하며, Ultralytics 해당 맥락에서 고객을 대신해 추론 워크로드를 처리하지 Ultralytics .
데이터 품질 보장을 위한 조치 Ultralytics 플랫폼 및 오픈소스 코드 릴리스에 대해 동료 검토, 자동화 테스트, CI/CD 워크플로, 체계적인 변경 관리 등을 포함하여 무결성과 신뢰성을 보장하기 위해 고안된 체계적인 개발 및 배포 관행을 Ultralytics .
데이터 보존 기간 제한을 보장하기 위한 조치 Ultralytics 서비스 약관의 일환으로 데이터 보존 및 데이터 파기 관련 약속을 Ultralytics . 플랫폼의 고객 데이터는 관리형 서비스를 통해 백업되며, 삭제 및 반환은 고객 계약 및 관련 법률에 따라 처리됩니다.
책임성 확보를 위한 조치 Ultralytics 보안 및 개인정보 보호 사고를 식별, 보고, 관리 및 추적하기 위한 사고 대응 계획과 문서화된 절차를 Ultralytics , 여기에는ultralytics 통한 외부 취약점 보고 절차도 포함됩니다. 사고는 심각도에 따라 엔지니어링, 법무 및 경영진의 참여를 거쳐 문서화되고 처리됩니다.
데이터 이동성 보장 및 삭제 보장 조치 Ultralytics 제출된 고객의 개인 데이터는 본 계약 및 본 DPA에 따라 고객에 의해, 그리고/또는 고객의 요청에 따라 삭제될 수 있습니다. 삭제가 필요한 경우, Ultralytics 고객의 지침 및 관련 법적 요건에 따라 조치를 취할 Ultralytics . (적용 가능한 경우, 고객이 서비스에서 고객 데이터를 내보내거나 검색할 수 있는 범위 내에서 데이터 이동성이 지원됩니다.) Ultralytics YOLO 모델은 고객이 전용 환경 내에 배포하여 완전한 데이터 거버넌스 통제권을 확보합니다.
하위 처리자의 기술적 및 조직적 조치 Ultralytics 제3자 서비스 제공업체의 온보딩 및 모니터링을 위해 위험 기반 공급업체 관리 프로그램을 Ultralytics , 여기에는 규정 준수 확인서 검토와 계약상 보안 및 데이터 보호 요건 검토가 포함됩니다. Ultralytics 하위 서비스 제공업체를 모니터링하고 매년 해당 업체의 SOC 2 보고서를 검토합니다. Ultralytics 하위 처리자와 데이터 처리 계약(DPA)을 체결하며, 이 계약에 명시된 데이터 보호 의무는 본 DPA에 포함된 의무와 실질적으로 유사합니다.

증거물 D: 영국 부록

EU 집행위원회 표준 계약 조항에 대한 국제 데이터 전송 부속서

1부: 표

표 1: 당사자

분야 수출업체 수입업체
시작일 본 영국 부칙은 DPA와 동일한 발효일을 가진다.
당사자 정보 고객 회사
주요 연락처 본 DPA의 별지 B를 참조하십시오 본 DPA의 별지 B를 참조하십시오

표 2: 주요 SCC, 모듈 및 주요 조항

분야 상세 정보
EU 표준 계약 조항 본 영국 부록이 첨부되는 승인된 EU 표준 계약 조항(SCC)의 버전은 DPA에 정의된 바와 같으며, DPA 제6.2조 및 제6.3조에 따라 작성된 것입니다.


표 3: 부록 정보

“부록 정보”란 승인된 EU 표준 계약 조항(SCC)의 부록에 명시된 바와 같이 선택된 모듈에 대해 제공해야 하는 정보(당사자를 제외함)를 의미하며, 본 영국 부록의 경우 다음 문서에 명시되어 있습니다:

부록 참고
부속서 1A: 당사국 목록 위의 표 1에 따르면
부록 2B: 이관 내용 본 DPA의 별지 B를 참조하십시오
부속서 II: 데이터 보안을 보장하기 위한 기술적 및 조직적 조치를 포함한 기술적 및 조직적 조치 본 DPA의 별지 C를 참조하십시오
부속서 III: 하위 처리자 목록 (모듈 2 및 3에 한함) 본 DPA의 별지 B를 참조하십시오

표 4: 승인된 영국 부록이 변경될 경우 본 영국 부록의 효력 종료

참고: 본 조항은 ICO가 승인된 영국 부속서를 변경함으로써 (a) 영국 부속서상 의무 이행에 따른 직접 비용 또는 (b) 영국 부속서상 위험 부담이 실질적이고, 불균형적이며, 입증 가능한 수준으로 증가하는 직접적인 결과가 초래되는 경우, 선정된 당사자(해당하는 경우)가 영국 부속서를 해지할 수 있도록 허용합니다.

분야 선택
승인된 영국 부록이 변경될 경우 본 영국 부록을 종료합니다 x 수입자 x 수출자 ☐ 양측 모두 아님

본 영국 부속서 체결

각 당사자는 상대방 또한 본 영국 부칙에 구속되는 데 동의하는 것을 조건으로, 본 영국 부칙에 명시된 약관에 구속되는 데 동의합니다.

승인된 EU 표준계약조항(SCC)의 부속서 1A 및 제7조는 당사자들의 서명을 요구하지만, 영국을 떠나는 데이터 전송을 수행하기 위한 목적으로, 당사자들은 본 영국 부속서를 당사자들에게 법적 구속력을 부여하고 데이터 주체가 본 영국 부속서에 명시된 권리를 행사할 수 있도록 하는 어떠한 방식으로도 체결할 수 있습니다. 본 영국 부속서를 체결하는 것은 승인된 EU 표준계약조항(SCC) 및 승인된 EU 표준계약조항의 일부에 서명하는 것과 동일한 효력을 갖습니다.

본 영국 부록의 해석

본 영국 부칙에서 승인된 EU 표준 계약 조항(SCC)에 정의된 용어를 사용하는 경우, 해당 용어는 승인된 EU 표준 계약 조항에서와 동일한 의미를 가집니다. 또한, 다음 용어들은 다음과 같은 의미를 가집니다:

용어 정의
영국 부록 이는 DPA에 별지 D로 첨부된, EU 표준 계약 조항(SCCs)을 포함하는 본 국제 데이터 전송 부속서를 의미합니다.
EU 표준 계약 조항 표 2에 명시된 바와 같이, 부록 정보를 포함하여 본 영국 부록이 첨부된 승인된 EU 표준 계약 조항(SCC)의 버전을 의미합니다.
부록 정보 표 3에 명시된 바와 같다
적절한 안전 조치 이는 영국 GDPR 제46조 제2항 (d)호에 따른 표준 데이터 보호 조항을 근거로 영국 외부로 데이터를 이전할 때 영국 데이터 보호법에서 요구하는 개인정보 보호 수준 및 데이터 주체의 권리 보호 수준을 의미합니다.
영국용 승인 부록 이는 ICO가 발행하고 2022년 2월 2일 2018년 데이터 보호법 제119A조에 따라 의회에 제출된 부칙 양식을 의미하며, 영국 부칙 제18조에 따라 개정될 수 있다.
승인된 EU 표준 계약 조항 이는 유럽집행위원회가 2021년 6월 4일자 집행위원회 결정 2021/914호에 따라 승인한 표준 계약 조항을 의미하며, 이는 유럽집행위원회가 개인정보 보호 수준이 적절하다고 별도로 인정하지 않은 국가로의 개인정보 전송에 적용됩니다(수시로 개정 및 갱신됨).
ICO 정보위원회(Information Commissioner's Office)를 의미합니다.
영국 출신 이적 는 DPA에 명시된 것과 동일한 정의를 가진다.
영국 영국(그레이트브리튼 및 북아일랜드 연합왕국)을 의미한다
영국 데이터 보호법 영국에서 수시로 시행되는 데이터 보호, 개인정보 처리, 사생활 보호 및/또는 전자 통신과 관련된 모든 법률을 의미하며, 여기에는 영국 GDPR 및 2018년 데이터 보호법이 포함됩니다.
영국 GDPR 는 DPA에 명시된 정의를 따른다.

영국 부칙은 항상 영국 데이터 보호법과 일관되게 해석되어야 하며, 당사자들이 적절한 보호 조치를 제공해야 할 의무를 이행할 수 있도록 해석되어야 합니다.

영국 부칙에 포함된 조항이 승인된 EU 표준 계약 조항(SCC) 또는 승인된 영국 부칙에서 허용하지 않는 방식으로 승인된 EU 표준 계약 조항을 수정하는 경우, 해당 수정 사항은 영국 부칙에 반영되지 않으며, 대신 승인된 EU 표준 계약 조항의 해당 조항이 적용됩니다.

영국 데이터 보호법과 본 영국 부칙 간에 불일치나 상충이 있는 경우, 영국 데이터 보호법이 우선 적용됩니다.

영국 부칙의 의미가 불분명하거나 여러 가지 의미가 있는 경우, 영국 데이터 보호법에 가장 부합하는 의미가 적용됩니다.

법률(또는 법률의 특정 조항)에 대한 모든 언급은 시간이 지남에 따라 변경될 수 있는 해당 법률(또는 특정 조항)을 의미합니다. 여기에는 영국 부속서 체결 이후 해당 법률(또는 특정 조항)이 통합, 재제정 및/또는 대체된 경우도 포함됩니다.

계층 구조

승인된 EU 표준 계약 조항(SCC) 제5조에는 승인된 EU SCC가 당사자 간의 모든 관련 계약보다 우선한다고 명시되어 있으나, 당사자들은 영국을 출발지로 하는 데이터 전송의 경우 아래 제10항에 명시된 우선순위 규정이 적용된다는 데 동의합니다.

승인된 영국 부칙과 EU 표준 계약 조항(해당되는 경우) 사이에 불일치나 상충이 있는 경우, 승인된 영국 부칙이 EU 표준 계약 조항보다 우선합니다. 단, EU 표준 계약 조항의 불일치하거나 상충하는 조항이 데이터 주체에게 더 큰 보호를 제공하는 경우(그리고 그 범위 내에서)에는 해당 조항이 승인된 영국 부칙보다 우선합니다.

본 영국 부칙이 GDPR의 적용을 받는 EU 외부 데이터 전송을 보호하기 위해 체결된 EU 표준 계약 조항(SCC)을 포함하는 경우, 당사자들은 본 영국 부칙의 어떠한 내용도 해당 EU 표준 계약 조항에 영향을 미치지 않음을 인정합니다.

EU 표준 계약 조항(SCC)의 도입 및 변경

본 영국 부칙에는 EU 표준 계약 조항(SCC)이 포함되어 있으며, 이는 다음을 충족하도록 필요한 범위 내에서 수정되었습니다:

  • 이 조항들은 데이터 수출자가 데이터 수입자에게 데이터를 전송할 때, 해당 데이터 전송 시 데이터 수출자의 처리 활동에 영국 데이터 보호법이 적용되는 범위 내에서 함께 적용되며, 이러한 데이터 전송에 대해 적절한 보호 조치를 제공합니다;
  • 상기 제9조부터 제11조까지는 EU 표준 계약 조항(SCC)의 제5조(우선순위)보다 우선하며; 그리고
  • 영국 부칙(여기에 포함된 EU 표준 계약 조항 포함)은 (1) 잉글랜드 및 웨일스 법의 적용을 받으며, (2) 이로 인해 발생하는 모든 분쟁은 잉글랜드 및 웨일스 법원에서 해결됩니다.

당사자들이 본 영국 부속서 제12조의 요건을 충족하는 다른 수정 사항에 합의하지 않는 한, 본 영국 부속서 제15조의 규정이 적용됩니다.

본 영국 부록 제12조의 요건을 충족하기 위한 경우를 제외하고는, 승인된 EU 표준 계약 조항(SCC)에 어떠한 수정도 가할 수 없습니다.

(본 영국 부록 제12조에 따른) EU 표준 계약 조항(SCC)에 대해 다음과 같이 개정합니다:

  • “조항”이란 EU 표준 계약 조항(SCC)을 포함하는 본 영국 부속서를 의미합니다;
  • 제2항에서 “그리고, 관리자에서 처리자로, 및/또는 처리자 간에 이루어지는 데이터 전송과 관련하여, 규정 (EU) 2016/679 제28조 제7항에 따른 표준 계약 조항”이라는 문구를 삭제한다;
  • 제6조(이전 사항의 설명)는 다음과 같이 대체된다. "이전 사항의 세부 내용, 특히 이전되는 개인정보의 범주 및 이전 목적은, 해당 이전을 수행할 때 데이터 수출자의 처리 과정에 영국 데이터 보호법이 적용되는 경우 부속서 I.B에 명시된 바와 같다.";
  • 모듈 1의 제8.7(i)항은 다음과 같이 대체된다: "해당 재전송이 영국 GDPR 제17A조에 따른 적정성 규정의 적용을 받는 국가로 이루어지는 경우";
  • 모듈 2 및 3의 제8.8(i)항은 다음과 같이 대체됩니다. "해당 재전송이 영국 GDPR 제17A조에 따라 재전송을 포괄하는 적정성 규정의 적용을 받는 국가로 이루어지는 경우;"
  • “규정 (EU) 2016/679”에 대한 언급, "개인 데이터 처리 및 해당 데이터의 자유로운 이동과 관련하여 자연인을 보호하기 위한 2016년 4월 27일자 유럽 의회 및 이사회 규정(EU) 2016/679(일반 데이터 보호 규정)" 및 "해당 규정"에 대한 모든 언급은 "영국 데이터 보호법"으로 대체됩니다. "규정 (EU) 2016/679"의 특정 조항에 대한 언급은 영국 데이터 보호법의 해당 조항 또는 섹션으로 대체됩니다;
  • 규정(EU) 2018/1725에 대한 언급이 삭제되었습니다;
  • “유럽연합”, “연합”, “EU”, “EU 회원국”, “회원국” 및 “EU 또는 회원국”에 대한 언급은 모두 “영국”으로 대체됩니다;
  • 모듈 1의 제10조(b)(i)항에 있는 “제12조(c)(i)”에 대한 언급은 “제11조(c)(i)”로 대체된다;
  • 제13조 (a)항 및 부속서 I의 C편은 적용되지 않는다;
  • “관할 감독 기관”과 “감독 기관”은 모두 “정보보호위원회”로 대체됩니다;
  • 제16조(e)항의 (i)호는 다음과 같이 대체된다. “내무장관은 2018년 데이터 보호법 제17A조에 따라, 이 조항들이 적용되는 개인정보의 이전을 규율하는 규정을 제정한다;”;
  • 제17조는 다음과 같이 대체된다: "본 약관은 잉글랜드 및 웨일스의 법률에 따라 규율된다";
  • 제18조는 다음과 같이 대체된다. "본 조항에서 발생하는 모든 분쟁은 잉글랜드 및 웨일스 법원의 관할에 따라 해결된다. 또한 데이터 주체는 영국 내 어느 국가의 법원에서도 데이터 수출자 및/또는 데이터 수입자를 상대로 소송을 제기할 수 있다. 당사자들은 해당 법원의 관할권에 복종하는 데 동의한다."; 그리고
  • 승인된 EU 표준 계약 조항(SCC)의 각주는 각주 8, 9, 10 및 11을 제외하고는 영국 부속서의 일부를 구성하지 않습니다.

영국 부록 개정안

당사자들은 EU 표준 계약 조항(EU SCCs)의 제17조 및/또는 제18조를 수정하여 스코틀랜드 또는 북아일랜드의 법률 및/또는 법원을 관할로 지정하는 데 합의할 수 있다.

당사자들이 ‘승인된 영국 부록’의 제1부: 표에 포함된 정보의 형식을 변경하고자 하는 경우, 해당 변경으로 인해 적절한 안전조치가 약화되지 않는 한, 서면으로 변경 사항에 합의함으로써 이를 변경할 수 있다.

ICO는 때때로 다음과 같은 내용을 담은 개정된 ‘영국 승인 부칙’을 발표할 수 있습니다:

  • 승인된 영국 부칙에 대해 합리적이고 적절한 변경을 가하며, 여기에는 승인된 영국 부칙의 오류 정정이 포함됩니다; 및/또는
  • 영국 데이터 보호법의 변경 사항을 반영합니다.

개정된 ‘승인된 영국 부속서’에는 해당 부속서의 변경 사항이 효력을 발생하는 시작일과, 당사자들이 부록 정보를 포함한 본 영국 부속서를 재검토해야 하는지 여부가 명시될 것입니다. 본 영국 부속서는 명시된 시작일부터 개정된 ‘승인된 영국 부속서’에 명시된 바에 따라 자동으로 개정됩니다.

ICO가 본 영국 부속서 제18조에 따라 개정된 ‘승인된 영국 부속서’를 발행하는 경우, 당사자가 해당 승인된 영국 부속서의 변경 사항으로 인해 직접적인 결과로서 다음 항목에서 상당하고, 불균형적이며, 입증 가능한 증가를 겪게 되는 경우:

  • 영국 부속서상 의무 이행에 따른 직접 비용; 및/또는
  • 영국 부속서에 따른 위험,

그리고 어느 경우든 해당 당사자가 먼저 그러한 비용이나 위험을 줄이기 위해 합리적인 조치를 취하여 그 부담이 과도하거나 불균형적이지 않게 된 경우, 해당 당사자는 개정된 승인된 영국 부속서(UK Addendum)의 발효일 이전에 상대방에게 해당 기간에 대한 서면 통지를 제공함으로써, 합리적인 통지 기간이 만료되는 시점에 본 영국 부속서를 종료할 수 있다.

당사자들은 본 영국 부칙을 수정함에 있어 제3자의 동의를 얻을 필요가 없으나, 모든 수정은 본 부칙의 규정에 따라 이루어져야 합니다.