YOLO26 소개: 차세대 비전 AI입니다.
Ultralytics
Legal

Ultralytics 데이터 처리 계약(DPA)

개인정보 처리, 보안 조치, 그리고 EU 및 영국 데이터 보호법 준수를 다루는 Ultralytics의 데이터 처리 계약(Data Processing Agreement)을 검토하십시오.

본 데이터 처리 계약("DPA")은 (i) Ultralytics 서비스 약관 및/또는 (ii) 본 DPA를 참조하는 적용 가능한 주문 양식, 기업 계약 또는 기타 서면 계약(각각 "계약")의 일부로 통합되어 구성됩니다. 본 계약은 고객("고객", "귀하")과 Ultralytics, Inc.("Ultralytics", "회사", "당사") 간에 체결됩니다.

본 DPA는 다음과 관련된 당사자 간의 합의를 반영합니다:

  • (A) 컨트롤러-대-프로세서 약관: 서비스와 관련하여 고객을 대신하여 프로세서(또는 고객이 프로세서인 경우 서브 프로세서)로서 고객 개인 데이터를 처리하는 Ultralytics의 역할
  • (B) 컨트롤러-대-컨트롤러 약관: 제10조에 설명된 범위 내에서만 독립적인 컨트롤러로서 각 당사자가 컨트롤러 개인 데이터를 처리하는 역할

본 DPA는 계약 기간 동안, 그리고 Ultralytics가 고객을 대신하여 고객 개인 데이터를 처리하는 동안 유효하게 유지됩니다.

본 DPA는 Ultralytics 플랫폼 내에서 Ultralytics가 처리하는 고객 개인 데이터에만 적용됩니다. 혼동을 방지하기 위해, 본 DPA는 고객이 Ultralytics 플랫폼 외부에서 Ultralytics YOLO 오픈 소스 모델을 사용, 배포 또는 운영하는 경우에는 적용되지 않으며, 이는 전적으로 고객의 책임 하에 수행됩니다.

Ultralytics는 법률, 규제 지침 또는 서비스의 변경 사항을 반영하기 위해 수시로 본 DPA를 업데이트할 수 있으며, 이는 게시된 날짜부터 효력이 발생합니다. 단, 업데이트가 고객의 동의 없이 고객 개인 데이터에 대한 개인정보 보호 수준을 실질적으로 저하시켜서는 안 됩니다(관련 법률에 따라 요구되는 경우는 제외).

Link to this section1. 정의#

**"계열사"**란 당사자를 직접 또는 간접적으로 지배하거나, 당사자의 지배를 받거나, 또는 당사자와 공통의 지배 하에 있는 모든 법인을 의미하며, "지배"란 의결권의 50% 이상을 소유하는 것을 의미합니다.

**"적절한 안전 조치"**란 적용 가능한 데이터 보호법에 따라 허용되는 개인 데이터 전송을 위한 법적 구제 수단을 의미하며, 특히 GDPR 제46조에 국한되지 않습니다.

**"서브 프로세서"**란 서비스와 관련하여 Ultralytics 또는 그 계열사를 대신하여 고객 개인 데이터를 처리하도록 고용된 모든 프로세서를 의미합니다.

**"회사 계정 데이터"**란 고객의 계정에 액세스할 권한이 있는 개인이거나 고객이 자신의 계정과 연결한 개인의 청구 정보를 포함하여, 회사의 고객 관계와 관련된 개인 데이터를 의미합니다. 회사 계정 데이터에는 고객과의 관계 관리, 신원 확인 또는 적용 가능한 법률 및 규정에 따라 요구되는 목적을 위해 회사가 수집해야 하는 모든 데이터가 포함됩니다.

**"회사 사용 데이터"**란 통신의 출처와 목적지를 식별하는 데 사용되는 데이터, 활동 로그, 서비스 성능 최적화 및 유지 관리, 시스템 남용 조사 및 방지에 사용되는 데이터를 포함하되 이에 국한되지 않는, 서비스 제공과 관련하여 회사에서 수집하고 처리하는 서비스 사용 데이터를 의미합니다.

**"고객 데이터"**란 고객 또는 권한을 부여받은 사용자가 서비스와 관련하여 업로드, 제출, 전송하거나 처리를 위해 사용할 수 있도록 하는 모든 데이터, 콘텐츠, 자료, 파일 또는 정보(데이터 세트, 이미지, 비디오, 주석, 라벨, 메타데이터, 모델 입력 및 출력 및 기타 콘텐츠 포함)를 의미하며, 고객의 서비스 사용을 통해 고객을 위해 생성된 모든 데이터를 포함합니다.

**"고객 개인 데이터 침해"**란 서비스와 관련하여 Ultralytics 또는 그 서브 프로세서에 의해 처리되는 고객 개인 데이터의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 침해를 의미합니다. 고객 개인 데이터 침해에는 실패한 시도나 고객 개인 데이터를 손상시키지 않는 활동(예: 실패한 로그인 시도, 포트 스캔, 서비스 거부 공격 또는 방화벽이나 네트워크 시스템에 대한 기타 공격)은 포함되지 않습니다.

**"데이터 보호법"**이란 GDPR, UK GDPR, Swiss FADP, ePrivacy/PECR, CCPA/CPRA 및 기타 적용 가능한 미국 주 개인정보 보호법을 포함하여(적용 가능한 경우), 계약에 따라 당사자의 개인 데이터 처리에 적용되는 개인정보 보호 및 데이터 보호와 관련된 모든 적용 가능한 법률을 의미합니다.

**"GDPR"**은 Regulation (EU) 2016/679를 의미하며, "UK GDPR"은 영국 법률에 통합된 GDPR을 의미하고, "Swiss FADP"는 스위스 연방 데이터 보호법(개정판)을 의미합니다. "지침"이란 제2.2조에 설명된 바와 같이 고객 개인 데이터 처리에 관하여 고객이 Ultralytics에 제공하는 문서화된 지침을 의미합니다.

**"SCC"**란 EU 표준 계약 조항(결정 2021/914)을 의미하며, "UK Addendum"이란 ICO 국제 데이터 전송 부속서를 의미합니다. 대문자로 표기된 기타 용어는 데이터 보호법 및/또는 계약에서 부여한 의미를 갖습니다.

**"서비스"**란 Ultralytics 플랫폼 및 관련 지원, 관리, 문서를 포함하여 계약에 따라 Ultralytics가 고객에게 제공하는 서비스 및 기능을 의미하며, 계약에 더 자세히 설명되어 있습니다.

**"Ultralytics 플랫폼"**이란 고객이 데이터 세트를 업로드, 관리, 주석 처리 및 버전 관리할 수 있고, 컴퓨터 비전 모델을 학습, 평가, 비교, 내보내기 및 배포할 수 있으며, 프로젝트와 사용자를 관리하고 관련 기능과 지원에 액세스할 수 있는 Ultralytics의 클라우드 기반 서비스형 소프트웨어(SaaS) 환경을 의미하며, 이를 통해 Ultralytics는 본 DPA에 따라 고객을 대신하여 고객 개인 데이터를 처리합니다.

**"Ultralytics YOLO 오픈 소스 모델"**이란 Ultralytics가 적용 가능한 오픈 소스 라이선스에 따라 제공하는 오픈 소스 컴퓨터 비전 모델 및 관련 소스 코드를 의미하며, 고객은 이를 자신의 환경에서 독립적으로 다운로드, 배포, 호스팅 및 운영할 수 있습니다. 명확히 하자면, 고객이 Ultralytics 플랫폼 외부에서 Ultralytics YOLO 오픈 소스 모델을 배포하거나 사용하는 경우, Ultralytics는 본 DPA에 따라 고객을 대신하여 개인 데이터를 처리하지 않습니다.

Link to this section2. 고객의 책임#

2.1 법률 준수. 고객은 개인 데이터 처리 및 서비스 사용과 관련하여 데이터 보호법을 준수할 책임이 있으며, 필수적인 통지를 제공하고 필요한 동의 및 승인을 얻을 책임이 있습니다.

2.2 지침. 계약(본 DPA 포함)과 고객이 계약에 따라 서비스를 구성하고 사용하는 방식은 Ultralytics가 고객 개인 데이터를 처리하기 위한 고객의 완전한 지침을 구성합니다. 고객은 계약 및 서비스와 일치하는 경우 계약 기간 동안 추가 지침을 제공할 수 있습니다. Ultralytics가 추가 지침에 실질적인 변경이나 부담이 필요하다고 합리적으로 판단하는 경우, 양 당사자는 성실히 논의할 것입니다.

2.3 금지된 데이터. 당사자가 서면으로 명시적으로 합의하지 않는 한(적용 가능한 데이터 보호법에 따라 요구되는 추가적인 안전 조치에 대한 합의 포함), 고객은 GDPR 제9조(또는 동등한 조항)에 따른 특별 범주의 개인 데이터 또는 GDPR 제10조에 따른 범죄 경력이나 위반 행위와 관련된 데이터를 Ultralytics에 제공하거나, 제출하거나, 달리 이용 가능하게 해서는 안 됩니다.

예시로 들자면, 금지된 데이터에는 다음이 포함되나 이에 국한되지 않습니다:

  • 정부 발급 식별 번호(여권 번호, 주민등록번호 또는 사회보장번호 등);
  • 자연인을 고유하게 식별하기 위해 사용되는 생체 인식 식별자를 포함한 건강 또는 의료 정보;
  • 개인의 인종 또는 민족적 출신, 정치적 견해, 종교적 또는 철학적 신념, 또는 노동조합 가입 여부;
  • 자연인을 고유하게 식별하기 위해 처리되는 유전 데이터 또는 생체 데이터;
  • 적용 가능한 데이터 보호법에 의해 제한되는 경우 아동과 관련된 개인 데이터;
  • 그리고 형사 유죄 판결, 범죄 혐의 또는 법 집행 활동과 관련된 데이터.

또한 본 서비스는 결제 카드 데이터, 은행 계좌 번호 또는 정밀 위치 정보와 같이 적용 가능한 데이터 보호법에 따라 더 높은 보호가 필요한 다른 데이터를 처리하기 위한 것이 아닙니다. 서비스에 업로드되거나 서비스를 통해 처리되는 데이터 세트, 이미지, 비디오, 주석, 라벨, 메타데이터 또는 기타 콘텐츠에 금지된 데이터가 포함되지 않도록 보장할 책임은 전적으로 고객에게 있습니다. 본 조항을 위반하여 금지된 데이터를 처리하는 행위는 본 DPA의 중대한 위반을 구성합니다.

2.4 부적절한 데이터; 면책. Ultralytics에 제공되는 고객 개인 데이터의 적법성과 해당 데이터가 서비스에 적합한지 확인할 책임은 전적으로 고객에게 있습니다. 고객은 계약, 본 DPA 또는 적용 가능한 데이터 보호법을 위반하여 고객이 서비스에 개인 데이터를 제공함으로써 발생하는 모든 제3자의 청구로부터 Ultralytics를 방어하고 면책할 것입니다.

Link to this section3. 프로세서로서의 Ultralytics의 의무#

3.1 목적의 제한. Ultralytics는 (a) 계약 및 Exhibit A에 따라 서비스를 제공하고, (b) 고객의 지침에 따르며, (c) 적용 가능한 법률에 의해 요구되는 경우에만 고객 개인 데이터를 처리합니다. Ultralytics는 고객이 서면 또는 서비스를 통해 명시적으로 지시한 경우를 제외하고는 Ultralytics의 일반 모델 또는 상용 모델을 학습, 개선 또는 개발하기 위해 고객 개인 데이터나 고객 데이터를 사용하지 않습니다.

3.2 법률의 상충. Ultralytics가 법적 요구 사항으로 인해 지침에 따라 고객 개인 데이터를 처리할 수 없음을 인지하게 된 경우, Ultralytics는 (법률이 허용하는 범위 내에서) 고객에게 통지하고 필요한 경우 고객이 규정을 준수하는 지침을 발행할 때까지 영향을 받는 처리(보안 저장은 제외)를 중단합니다.

3.3 인사 비밀 유지. Ultralytics는 고객 개인 데이터를 처리할 권한이 있는 사람들이 비밀 유지 의무를 준수하도록 할 것입니다. 고객은 Ultralytics가 계약/DPA의 수행과 관련하여 합리적으로 요구되는 경우 비밀 유지 의무를 조건으로 전문 고문 및 감사인에게 고객 개인 데이터를 공개할 수 있다는 점에 동의합니다.

3.4 서브 프로세싱. Ultralytics는 제5조에 따라 서브 프로세서를 고용할 수 있으며, 해당 서브 프로세서가 동일한 의무를 수행하도록 할 책임이 있습니다.

3.5 삭제 / 반환. 서비스 종료 시 Ultralytics는 법률에 의해 데이터 보관이 요구되지 않는 한, 계약 및 Exhibit A에 따라 고객 개인 데이터를 삭제하거나 반환합니다. SCC에 따른 삭제 증명서는 고객의 요청 시 제공됩니다.

Link to this section4. 데이터 주체(또는 소비자)의 권리#

4.1 데이터 주체(또는 소비자)의 요청. Ultralytics는 법적으로 허용되는 범위 내에서, 데이터 주체(또는 소비자)로부터 액세스(또는 공개), 정정, 처리 제한, 삭제(또는 잊힐 권리), 데이터 이동성, 처리 거부권 또는 자동화된 개인 의사 결정의 대상이 되지 않을 권리("데이터 주체(또는 소비자)의 요청")를 행사하라는 요청을 받는 경우, 부당한 지체 없이 계정의 기본 연락처를 통해 고객에게 통지합니다.

4.2 지원. 처리의 성격을 고려하여, Ultralytics는 고객이 사용 가능한 서비스 기능을 사용하여 요청을 이행할 수 없는 범위 내에서 데이터 보호법에 따른 데이터 주체의 권리 행사 요청에 대응할 수 있도록 합리적인 지원을 제공합니다.

4.3 DPIA; 사전 협의. 처리의 성격과 Ultralytics가 사용할 수 있는 정보를 고려하여, Ultralytics는 데이터 보호법에 의해 요구되고 고객이 관련 정보에 액세스할 수 없는 경우, (i) 데이터 보호 영향 평가 및 (ii) 고객의 감독 기관과의 협의 및/또는 협력과 관련하여 고객에게 합리적인 지원을 제공합니다. 데이터 보호법에 의해 요구되거나 고객 개인 데이터 침해와 관련된 경우를 제외하고, 고객은 12개월 기간 동안 한 번 이상 이러한 지원을 요청해서는 안 됩니다. 고객은 법률이 허용하는 경우 이러한 지원을 제공하면서 발생하는 Ultralytics의 합리적인 비용 및 경비를 배상합니다.

Link to this section5. 서브 프로세서#

5.1 일반 승인. 고객은 Ultralytics가 서비스를 위해 고객 개인 데이터를 처리하도록 서브 프로세서를 고용할 수 있는 일반적인 서면 승인을 부여합니다.

5.2 목록 및 통지. 현재 하위 처리자(Sub-Processor) 목록은 Ultralytics Sub-Processor List("목록")에서 확인할 수 있습니다. Ultralytics는 목록 업데이트 알림을 구독할 수 있는 메커니즘을 제공하며, 새로운 하위 처리자가 고객 개인정보를 처리하도록 승인하기 최소 10일 전에 이를 통지합니다. 고객은 이용 가능한 경우 해당 알림을 구독할 책임이 있으며, 고객이 구독하지 않는 경우 해당 메커니즘을 통한 사전 통지를 받지 못할 수 있음을 인정합니다. 모든 경우에 있어 목록에 대한 업데이트는 하위 처리자 변경에 대한 통지로 간주합니다. 고객은 특정 하위 처리자가 서비스를 제공하는 데 필수적임을 인정하며, 하위 처리자 사용에 대해 이의를 제기할 경우 당사가 고객에게 서비스를 제공하지 못할 수 있음을 인지합니다.

명확히 하자면, Ultralytics Ltd(영국) 및 Ultralytics AI Spain, S.L.을 포함하여 서비스 제공에 참여하는 Ultralytics 계열사는 Ultralytics Inc.를 대신하여 서비스와 관련하여 고객 개인 데이터를 처리하는 경우 그룹 내 서브 프로세서로서 행동할 수 있습니다.

5.3 새로운 서브 프로세서에 대한 이의 제기. 고객은 제5.2조에 따라 합리적인 데이터 보호 근거가 있는 경우 새로운 서브 프로세서 고용에 대해 서면으로 이의를 제기할 수 있습니다. Ultralytics가 고객의 이의를 합리적으로 해결할 수 없는 경우, 고객은 서면 통지를 통해 영향을 받는 서비스를 중단할 수 있으며, 이 경우에도 중단 이전에 발생한 수수료를 지급해야 할 고객의 의무는 면제되지 않습니다.

5.4 하향 전파. Ultralytics는 서브 프로세서가 적용 가능한 데이터 보호법에 따라 고객 개인 데이터에 대해 적절한 수준의 보호를 제공할 능력이 있는지 평가하기 위해 합리적인 위험 기반의 실사를 수행한 후 서브 프로세서를 고용하며, 공급업체 관리 프로그램의 일부로 서브 프로세서를 정기적으로 모니터링할 것입니다. Ultralytics는 서브 프로세서가 본 DPA에 명시된 의무와 실질적으로 동등하거나 더 높은 수준의 보호 의무를 준수하도록 할 것입니다. 고객의 요청 시, Ultralytics는 SCC에 따라 요구되는 관련 서브 프로세서 데이터 보호 조항의 사본(기밀 유지를 위해 수정될 수 있음)을 제공합니다.

Link to this section6. 보안#

6.1 조치. 최신 기술 수준, 처리의 성격, 범위, 맥락 및 목적, 자연인의 권리와 자유에 대한 다양한 가능성과 심각도의 위험을 고려하여, Ultralytics는 GDPR 제32조를 포함한 적용 가능한 데이터 보호법에 따라 해당 위험에 적절한 보안 수준을 보장하기 위해 적절한 기술적 및 조직적 조치를 구현하고 유지합니다. 이러한 조치는 Exhibit C에 설명되어 있으며, Ultralytics는 고객 개인 데이터에 대한 전체적인 보호 수준을 실질적으로 저하시키지 않는 조건 하에 수시로 업데이트할 수 있습니다.

6.2 고객의 책임. 전술한 내용에도 불구하고, 고객은 본 DPA에 명시적으로 규정된 경우를 제외하고 계정 인증 자격 증명 보호, 액세스 제어의 적절한 구성, 사용자가 적용 가능한 데이터 보호법 및 Ultralytics가 제공하는 보안 기능과 일치하는 방식으로 서비스에 액세스하고 사용하도록 보장하는 것을 포함하여 서비스의 안전한 사용에 대한 책임이 있음을 인정합니다.

Link to this section7. 고객 감사 및 규정 준수 증명#

7.1 문서화. 합리적인 요청이 있을 경우, Ultralytics는 본 DPA 준수 여부를 증명하는 데 합리적으로 필요한 정보(사용 가능한 경우 현재 제3자 감사 보고서 또는 인증서 포함)를 제공합니다. Ultralytics는 본 DPA 준수 여부를 증명하기에 충분한 기록을 유지하고, 법률에 의해 더 긴 기간이 요구되지 않는 한 종료 후 합리적인 기간(예: 3년) 동안 해당 기록을 보관합니다.

7.2 감사. 데이터 보호법에서 요구하고 문서가 불충분한 경우, 고객은 합리적인 사전 서면 통지를 통해 고객의 비용으로 Ultralytics의 관련 시스템 및 프로세스에 대한 감사 또는 검사를 요청할 수 있습니다. 그러한 감사 또는 검사는 감사의 범위, 시기 및 기간에 대한 당사자 간의 상호 서면 합의와 감사와 관련하여 지출된 Ultralytics의 시간 및 자원에 대한 합리적인 배상 비율에 합의한 후에만 수행됩니다. 본 조항에 따라 수행되는 감사는 다음을 충족해야 합니다:

  • (a) 12개월 기간 동안 한 번 이하로 발생해야 함;
  • (b) Ultralytics의 정규 업무 시간 중에 진행되어야 함;
  • (c) 합리적인 기밀 유지, 보안 및 안전 통제의 대상이 되어야 함; 그리고
  • (d) 고객 개인 데이터 처리와 합리적으로 관련된 시스템 및 기록으로 제한되어야 함.

고객은 감사 중 확인된 중대한 규정 미준수 사항이 있을 경우 Ultralytics에 즉시 통지하여 Ultralytics가 해당 결과를 해결할 합리적인 기회를 갖도록 해야 합니다.

Link to this section8. 개인 데이터 침해#

8.1 통지. Ultralytics는 고객 개인 데이터 침해를 인지한 후 72시간 이내에 지체 없이 고객에게 통지합니다.

8.2 지원. Ultralytics는 Ultralytics가 사용할 수 있는 정보를 고려하여, 규제 기관 및 영향을 받는 데이터 주체에게 필요한 통지를 위해 고객에게 합리적인 지원을 제공합니다.

8.3 인정 없음. 침해 통지는 과실이나 책임의 인정을 구성하지 않습니다. 침해 통지 의무는 고객 개인 데이터 침해가 고객 또는 사용자의 행위나 부작위로 인해 발생한 범위 내에서는 적용되지 않습니다.

Link to this section9. 전송 (EU/UK/스위스)#

9.1 국제 전송. 고객은 Ultralytics의 주요 처리 운영이 미국 및 서비스 제공에 필요한 기타 지역에서 발생할 수 있음을 인정합니다.

명확히 하자면, 고객 개인 데이터는 계열사가 서비스와 관련하여 Ultralytics Inc.를 대신하여 서브 프로세서로 활동하는 경우 Ultralytics Inc.와 그 계열사(Ultralytics Ltd(영국) 및 Ultralytics AI Spain, S.L. 포함) 간에 전송될 수 있습니다. 이러한 전송이 적용 가능한 데이터 보호법에 따른 국제 전송에 해당하는 경우, SCC(적용 가능한 경우 모듈 3) 또는 기타 유효한 전송 메커니즘을 포함한 적절한 안전 조치의 대상이 됩니다.

적절한 수준의 데이터 보호를 제공하는 것으로 인정되지 않은 국가로의 고객 개인 데이터 전송이 요구되는 경우, 그러한 전송은 적용 가능한 데이터 보호법에 따라 적절한 안전 조치의 대상이 되며, 여기에는 적용 가능한 경우 본 DPA에 통합된 SCC 및 UK Addendum이 포함됩니다.

9.2 EU SCC. 적절성 결정 없이 제3국으로 전송되는 GDPR 적용 고객 개인 데이터의 경우, 당사자들은 EU SCC를 통합합니다. 고객이 컨트롤러인 경우 모듈 2(컨트롤러→프로세서)가 적용되며, 고객이 프로세서인 경우 모듈 3(프로세서→서브 프로세서)이 적용됩니다. SCC 부속서는 Exhibit B(Annex I/III) 및 Exhibit C(Annex II)를 사용하여 작성됩니다.

9.3 UK Addendum. UK GDPR이 적용되는 전송의 경우, 당사자들은 Exhibit B/C 및 적용 가능한 전송 메커니즘 선택을 참조하여 작성된 UK Addendum을 통합합니다.

9.4 스위스. 스위스 전송의 경우, 표준 스위스 수정 사항(GDPR에 대한 참조는 스위스 FADP를 포함함; FDPIC는 관할 당국 등)이 적용되는 EU SCC가 적용되며, 이는 Exhibits를 참조하여 작성됩니다.

9.5 정부 액세스 요청. Ultralytics는 (법적으로 허용되는 경우) 고객에 대한 통지 및 합리적인 협력을 포함하여 적용 가능한 법률 및 SCC에 따라 고객 개인 데이터에 대한 법적 구속력이 있는 요청을 처리합니다.

Link to this section10. 컨트롤러-대-컨트롤러 약관 (Ultralytics 계정 / 사용 / 보안 운영)#

10.1 범위. 본 조항은 Ultralytics의 회사 계정 데이터 및 회사 사용 데이터 처리를 포함하여 각 당사자가 독립적인 컨트롤러(공동 컨트롤러가 아님)로서 컨트롤러 개인 데이터를 처리하는 경우에 적용됩니다.

10.2 독립적 컨트롤러의 의무. 각 당사자는 다음을 수행합니다:

  • (a) 데이터 보호법을 준수하여 컨트롤러 개인 데이터를 처리함;
  • (b) 적절한 보안 조치를 구현함; 그리고
  • (c) 자체 처리와 관련된 규제 기관의 의사소통에 대응함.

10.3 Ultralytics 컨트롤러 처리. Ultralytics는 계정 관리, 청구, 보안 모니터링 및 남용 방지, 신원 확인, 법률 준수, 감사/회계 및 서비스 운영(성능 및 안정성 포함)을 위해 컨트롤러로서 회사 계정 데이터 및 회사 사용 데이터를 처리합니다. 이러한 처리는 Ultralytics 개인정보 처리방침에 설명되어 있습니다. 본 DPA의 어떤 내용도 당사자 간에 공동 컨트롤러 관계를 생성하는 것으로 해석되지 않습니다.

혼동을 방지하기 위해, Ultralytics와 그 계열사는 독립적인 컨트롤러로서 상업적 아웃리치, 데모, 파트너십 및 고객 관계 관리 활동의 맥락에서 제한된 비즈니스 연락처 정보(이름, 회사 이메일 주소 및 업무 연락처 정보 등)를 처리할 수 있습니다.

Link to this section11. 캘리포니아 약관 (CCPA/CPRA)#

11.1 서비스 제공자 / 프로세서. CCPA/CPRA가 적용되고 Ultralytics가 고객을 대신하여 고객 개인 데이터를 처리하는 범위 내에서, Ultralytics는 "서비스 제공자" 및/또는 "프로세서"로서 활동하며, 해당 개인 정보를 "판매"하거나 "공유"하지 않습니다.

11.2 제한적 사용. Ultralytics는 CCPA/CPRA에 의해 허용되는 경우를 제외하고, 서비스를 제공하는 직접적인 비즈니스 목적 외에는 고객 개인 데이터를 보유, 사용 또는 공개하지 않습니다.

11.3 차별 금지. 당사자는 소비자가 권리를 행사했다는 이유로 해당 소비자를 차별해서는 안 됩니다.

Link to this section12. 일반 조항#

12.1 책임의 제한. 법률이나 SCC/UK Addendum에 의해 금지된 경우를 제외하고, 계약의 책임 제한 및 면책 조항은 본 DPA에 적용됩니다.

12.2 분리 가능성. 본 DPA의 어떤 조항이 무효이거나 집행 불가능한 경우, 본 DPA의 나머지 부분은 유효하며 효력을 유지합니다. 무효이거나 집행 불가능한 조항은 (i) 당사자의 의도를 최대한 보존하면서 유효성과 집행 가능성을 보장하기 위해 필요에 따라 수정되거나, 이것이 불가능한 경우 (ii) 무효이거나 집행 불가능한 부분이 원래 포함되지 않았던 것처럼 해석됩니다.

12.3 본 DPA의 실행. 본 DPA는 계약의 일부로 통합됩니다. 고객은 다음에 의해 본 DPA(적용 가능한 경우 EU SCC 및 UK Addendum 포함)를 체결합니다:

  • (a) 계약을 수락하거나 계약에 구속되는 데 동의함("동의합니다"를 클릭하거나 서비스 약관에 대한 유사한 메커니즘을 사용하는 경우 포함),
  • (b) 계약을 통합하거나 참조하는 주문 양식, 작업 명세서 또는 기타 서면 계약을 실행함, 또는
  • (c) 회사가 본 DPA를 제공한 후 서비스를 사용하거나 계속해서 사용함.

고객은 고객을 대신하여 계약을 수락하거나 서비스를 사용하는 개인에게 고객 및 적용 가능한 경우 계열사를 구속할 권한이 있음을 진술하고 보증합니다.

12.4 연락처. 개인정보 보호 관련 요청: privacy@ultralytics.com; DPO: dpo@ultralytics.com; 법적 통지: legal@ultralytics.com.

Link to this section13. 당사자; 계열사#

고객은 자신과 계약에 따라 서비스의 권한 있는 사용자이며 고객 개인 데이터의 컨트롤러/프로세서인 계열사("허용된 계열사")를 대신하여 본 DPA를 체결합니다. 고객은 허용된 계열사를 구속할 권한이 있음을 진술합니다.

Link to this sectionExhibit A: 개인 데이터 처리 세부 사항#

성격: Ultralytics는 고객이 모델 학습, 추론, 데이터 세트 관리, 배포 워크플로우 및 관련 지원 및 관리를 포함하여 Ultralytics 제품 및 기능을 액세스하고 사용할 수 있도록 하는 클라우드 기반 소프트웨어 및 관련 서비스("서비스")를 계약에 설명된 대로 제공합니다.

명확히 하자면, 서비스에는 Ultralytics 플랫폼이 포함되며, 이를 통해 Ultralytics는 본 DPA에 따라 고객을 대신하여 고객 개인 데이터를 처리합니다. 별도로 Ultralytics는 고객이 자신의 환경에서 독립적으로 배포하고 운영할 수 있는 Ultralytics YOLO 오픈 소스 모델을 제공합니다. 고객이 Ultralytics 플랫폼 외부에서 Ultralytics YOLO 모델을 배포하거나 사용하는 경우, Ultralytics는 고객을 대신하여 개인 데이터를 처리하지 않으며, 고객은 그러한 배포 및 사용과 관련하여 적절한 기술적 및 조직적 조치를 구현하고, 처리 목적과 수단을 결정하며, 적용 가능한 데이터 보호법을 준수할 전적인 책임이 있습니다.

목적: Ultralytics는 고객을 대신하여 다음 목적을 위해 고객 개인정보를 처리합니다:

  • 본 계약 및 고객의 문서화된 지침에 따라 서비스를 제공, 운영, 보호 및 지원하기 위함입니다.
  • 그러한 지침이 본 계약 및 본 DPA와 일치하는 경우, 고객이 제공하는 기타 문서화된 합리적인 지침을 준수하기 위함입니다.
  • 고객 또는 고객의 권한을 부여받은 사용자가 서비스를 사용하는 과정에서 시작된 요청(고객 지원 요청 포함)에 대응하기 위함입니다.
  • 보안 사고, 사기, 오용 및 서비스 남용을 모니터링, 예방 및 탐지하기 위함입니다.
  • 적용 가능한 법적 의무를 준수하기 위함입니다.

Ultralytics는 고객이 서면 또는 서비스를 통해 명시적으로 지시하지 않는 한, Ultralytics의 일반 모델을 학습하거나 개선하기 위해 고객 개인정보를 사용하지 않습니다. 명확히 하자면, Ultralytics는 서비스를 운영, 보호 및 개선하기 위해 회사 사용 데이터 및 집계되거나 비식별화된 데이터(허용되는 경우)를 사용할 수 있습니다.

고객이 서비스의 커뮤니티 또는 공개 기능을 통해 데이터셋, 모델 또는 기타 콘텐츠를 공유하기로 선택하는 경우, 그러한 공유는 고객의 문서화된 지침을 구성합니다. 고객은 해당 데이터를 다른 사용자에게 제공할 수 있는 모든 필요한 권리와 적법한 근거를 확보할 책임이 있습니다.

처리 기간: Ultralytics는 본 계약의 기간 동안 그리고 고객의 지침에 따라 서비스를 제공하는 데 필요한 기간 동안 고객 개인정보를 처리합니다. 본 계약의 종료 또는 만료 후, 관련 법률에 따라 추가 보관이 요구되지 않는 한, Ultralytics는 본 계약 및 본 DPA에 따라 고객 개인정보를 삭제하거나 반환합니다. 명확히 하자면, Ultralytics가 섹션 10에 따라 독립적인 관리자로서 관리자 개인정보(회사 계정 데이터 및 회사 사용 데이터 포함)를 처리하는 경우, 해당 처리는 Ultralytics 개인정보 처리방침에 명시된 기간 동안 발생합니다.

정보 주체의 범주: 고객 개인정보는 고객이 결정하고 통제하는 다음 범주의 정보 주체와 관련될 수 있습니다:

  • 고객의 직원, 계약자, 대리인 및 대표자;
  • 고객의 권한을 부여받은 사용자 및 관리자;
  • 그리고 고객이 서비스에 제출하기로 선택한 개인정보의 주체인 고객의 최종 사용자, 고객 또는 기타 개인.

개인정보의 범주: 고객 개인정보에는 고객이 또는 고객을 대신하여 서비스에 제출하거나 기타 방식으로 제공한 범위 내에서 다음 범주의 개인정보가 포함될 수 있습니다:

  • 계정 및 사용자 식별 데이터: 이름, 이메일 주소, 사용자 이름/사용자 ID, 조직 이름, 사용자 역할/권한(예: 관리자/사용자) 등.
  • 사용 및 기기/기술 데이터: IP 주소, 기기 식별자 및 시스템 속성(예: 기기 유형, 운영 체제, 브라우저 유형), 로그 파일, 타임스탬프, 인증 이벤트, 액세스 기록, 그리고 (해당되는 경우) 기업 기기 또는 보안 워크플로의 일부로 수집된 설치된 애플리케이션 또는 구성 세부 정보.
  • 고객이 제공한 콘텐츠 및 입력: 사용자 생성 프롬프트, 댓글, 주석, 데이터셋 메타데이터 또는 라벨, 그리고 고객이 서비스를 통해 업로드하거나 제출하는 기타 모든 콘텐츠(이미지/비디오/오디오 또는 기타 파일 포함), 단 해당 콘텐츠가 개인정보를 포함하는 범위 내에서만 해당됩니다.
  • 지원 및 통신 데이터: 고객 지원 통신, 문제 보고서, 문제 해결 정보 및 관리 연락처 세부 정보.

처리되는 개인정보의 범주에는 Ultralytics 개인정보 처리방침에 설명된 정보가 추가로 포함될 수 있습니다.

민감한 데이터 또는 특별 범주의 데이터: 본 서비스는 특별 범주의 개인정보(GDPR 제9조 또는 적용 가능한 데이터 보호법에 따른 동등한 정의) 또는 범죄 유죄 판결 및 범죄와 관련된 개인정보(GDPR 제10조)를 처리하도록 설계되거나 의도되지 않았으며, Ultralytics와 서면으로 명시적으로 합의하고 추가 안전 조치를 적용하지 않는 한 고객은 그러한 데이터를 제공하는 것이 금지됩니다.

Link to this sectionExhibit B: 부속서 I 및 부속서 III 정보 (EU SCC 및 영국 부속서)#

다음은 EU SCC의 부속서 I 및 부속서 III, 그리고 영국 부속서의 표 1, 부속서 1A 및 부속서 1B에서 요구하는 정보를 포함합니다.

1. 당사자

데이터 수출자:

  • 이름: 고객 법적 실체 이름
  • 상호(다른 경우): [선택 사항]
  • 주소: 고객 등록 주소
  • 공식 등록 번호(있는 경우): [선택 사항]
  • 담당자 이름, 직위 및 연락처 정보: 이름, 직함, 이메일
  • 본 조항에 따라 이전되는 데이터와 관련된 활동: 본 계약, 본 DPA 및 Exhibit A에 설명된 대로 서비스와 관련하여 처리를 위해 Ultralytics에 고객 개인정보를 이전하는 것을 포함한 본 계약에 따른 서비스 사용.
  • 서명 및 날짜: 본 계약/DPA의 실행/수락을 통해
  • 역할(관리자/처리자): 관리자

데이터 수입자:

  • 이름: Ultralytics Inc.
  • 상호(다른 경우): 해당 없음
  • 주소 및 연락처 정보: 5001 Judicial Way, Frederick, MD, 21703, United States; privacy@ultralytics.com
  • 공식 등록 번호(있는 경우): 6755919
  • 본 조항에 따라 이전되는 데이터와 관련된 활동: 서비스를 제공, 운영, 보호, 유지 및 지원하기 위해 고객을 대신하여 고객 개인정보를 처리하며, 본 계약, 본 DPA 및 Exhibit A에 설명된 바와 같습니다.
  • 서명 및 날짜: 본 계약/DPA의 실행/수락을 통해
  • 역할(관리자/처리자): DPA의 섹션 3에 설명된 바와 같습니다.

2. 이전의 설명

필드세부 정보
정보 주체DPA의 Exhibit A에 설명된 바와 같습니다
개인정보의 범주DPA의 Exhibit A에 설명된 바와 같습니다
특별 범주 개인정보(해당되는 경우)DPA의 Exhibit A에 설명된 바와 같습니다
처리의 성격DPA의 Exhibit A에 설명된 바와 같습니다
처리의 목적DPA의 Exhibit A에 설명된 바와 같습니다
처리 및 보관 기간 (또는 해당 기간을 결정하기 위한 기준)DPA의 Exhibit A에 설명된 바와 같습니다
이전 빈도본 계약 또는 DPA에 명시된 개인정보와 관련된 모든 의무 및 권리를 제공하고 수행하는 데 필요한 범위 내
데이터 수입자에게 이전된 개인정보의 수령인당사는 다음 경로에서 하위 처리자 목록을 유지 관리합니다: Ultralytics Sub-Processor List

그룹 내 하위 처리자:

Ultralytics Ltd (영국) - 엔지니어링 지원, 고객 지원, 온보딩 지원 및 상업적 상호작용(데모 및 파트너십 포함)

Ultralytics AI Spain, S.L. (스페인) - 엔지니어링 지원, 상업적 상호작용 및 고객 대면 활동, 제한된 비즈니스 연락처 정보 처리 포함

3. 관할 감독 당국

감독 당국은 EU SCC의 제13조에 따라 결정된 데이터 수출자의 감독 당국이어야 합니다. 영국 부속서의 목적을 위한 감독 당국은 영국 정보 위원회(UK Information Commissioner's Office)입니다.

Link to this sectionExhibit C: 기술 및 조직적 보안 조치#

다음은 EU SCC의 부속서 II 및 영국 부속서의 부속서 II에서 요구하는 정보를 포함합니다.

기술 및 조직적 보안 조치세부 정보
개인정보의 가명화 및 암호화 조치고객 개인정보는 플랫폼 구성 요소와 외부 엔드포인트 간의 업계 표준 보안 연결(TLS)을 사용하여 전송 중 암호화로 보호됩니다. 클라우드 서비스에 저장된 데이터는 클라우드 공급자가 관리하는 저장 데이터 암호화 및 안전한 키 관리 제어의 이점을 누립니다.
처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하기 위한 조치Ultralytics는 무단 액세스를 제한하기 위해 설계된 시스템 구성, 침입 탐지 및 모니터링, 취약성 스캔 및 모의 해킹, 전송 및 저장 중 암호화, 데이터 보관/폐기 제어를 포함하여 서비스에 대한 보안, 기밀성 및 가용성 약속을 유지합니다. Ultralytics 플랫폼은 가용성을 갖춘 관리형 클라우드 서비스를 사용하여 운영됩니다. 당사의 IaaS(Infrastructure-as-a-Service) 공급자는 복제 및 고가용성을 통해 데이터베이스 복원력을 지원합니다. Ultralytics는 또한 하위 처리자의 기술 및 조직적 조치(TOM)가 본 계약에 명시된 기준을 충족하거나 초과하도록 보장합니다.
물리적 또는 기술적 사고 발생 시 적시에 개인정보에 대한 가용성 및 액세스를 복구할 수 있는 능력을 보장하기 위한 조치Ultralytics 플랫폼 내의 고객 데이터는 클라우드 공급자 네이티브 서비스를 사용하여 백업됩니다. 백업은 모니터링되며 예외 사항은 조사 및 해결됩니다. 백업 데이터는 저장 및 전송 시 암호화되며 액세스는 권한이 있는 인원에게만 제한됩니다. 비즈니스 연속성 및 재해 복구 계획에는 복구 지점 목표(RPO), 복구 시간 목표(RTO) 및 정의된 역할과 책임이 포함됩니다.
처리의 보안을 보장하기 위해 기술 및 조직적 조치의 효율성을 정기적으로 테스트, 평가 및 검토하기 위한 프로세스Ultralytics는 시스템 및 네트워크에 대한 정기적인 취약성 스캔과 운영 환경에 대한 모의 해킹을 수행합니다. 취약성 관리에는 CI/CD 파이프라인에 통합된 종속성 스캔 및 보안 개발 관행이 포함되며, 식별된 취약성은 심각도와 위험에 따라 우선순위가 지정되고 해결됩니다. 또한 Ultralytics는 표준 ISMS 관행의 일부로 연간 위험 평가 및 경영 검토를 수행합니다.
사용자 식별 및 권한 부여를 위한 조치Ultralytics 플랫폼은 사용자 인증 및 세션 관리를 지원하는 인증 및 ID 공급자를 사용합니다. 엔지니어링 시스템(소스 코드 저장소 포함)에 대한 액세스는 권한이 있는 인원에게만 제한되며 역할 기반 권한, 브랜치 보호 및 필수 검토에 의해 관리됩니다. 내부 액세스는 최소 권한 모델 및 역할 기반 액세스 제어를 따릅니다.
전송 중 데이터 보호를 위한 조치Ultralytics 플랫폼에 대한 네트워크 수신은 지정된 프론트엔드 엔드포인트를 통한 보안 HTTPS(TLS) 연결로 제한됩니다. 플랫폼 구성 요소와 스토리지 서비스 간의 내부 통신은 TLS를 사용하여 전송 중 암호화됩니다.
저장 중 데이터 보호를 위한 조치Ultralytics 플랫폼의 경우 고객 데이터는 중복성 및 백업 지원이 포함된 암호화된 관리형 클라우드 서비스에 저장됩니다. 관리형 클라우드 서비스는 내장된 암호화, 자동 백업, 중복 저장 및 고가용성을 제공합니다. 클라우드 공급자가 관리하는 암호화는 저장 중인 데이터에 적용됩니다.
개인정보가 처리되는 장소의 물리적 보안을 보장하기 위한 조치Ultralytics 플랫폼은 타사 클라우드 서비스 공급자를 사용하여 호스팅됩니다. 호스팅 데이터 센터에 대한 물리적 및 환경적 보호 조치는 관련 하위 처리 조직에 의해 운영됩니다. Ultralytics는 하위 처리 조직의 증명 보고서를 검토하고 최소 연 1회 위험 분석을 수행합니다.
이벤트 로깅을 보장하기 위한 조치Ultralytics는 모니터링, 문제 해결 및 사고 조사를 위해 클라우드 네이티브 로깅을 활용합니다. 플랫폼 가용성 및 보안 관련 알림은 내부 통신 및 이메일을 통해 내부적으로, 그리고 호스팅된 상태 페이지를 통해 외부적으로 전달됩니다. 또한 Ultralytics는 고객 데이터를 처리하거나 저장하는 애플리케이션, 도구 및 리소스에 대한 액세스를 정기적으로 검토합니다.
기본 구성을 포함한 시스템 구성을 보장하기 위한 조치Ultralytics는 Ultralytics 플랫폼 및 Ultralytics YOLO 모델 코드베이스의 변경 사항을 관리하는 문서화된 변경 관리 프로세스를 유지하며, 여기에는 릴리스 또는 배포 전 변경 시작, 문서화, 개발 표준, 테스트, 검토 및 승인이 포함됩니다. 변경 사항은 피어 검토 및 CI/CD 파이프라인 검증과 함께 버전 제어에서 추적됩니다.
내부 IT 및 IT 보안 거버넌스 및 관리를 위한 조치Ultralytics는 서비스 약속 및 내부 규정 준수 요구사항에 맞춘 보안 정책 및 절차를 유지하며, 주요 정책 및 절차에 대한 연례 검토를 수행합니다. 직원은 전용 GRC(거버넌스, 위험, 규정 준수) 도구를 통해 정책을 승인해야 하며, 엔지니어링 역할에 대한 보안 코딩 교육과 함께 연간 보안 인식 교육 및 개인정보 보호 교육을 이수해야 합니다. 위험은 중앙 집중식 위험 레지스터에 문서화되며 최소 연 1회 공식적으로 검토됩니다.
프로세스 및 제품의 인증/보증을 위한 조치Ultralytics는 타사 관리형 서비스(하위 서비스 조직 포함)에 의존하며, 모니터링 제어의 일환으로 매년 SOC 2 보고서를 검토합니다. 공급업체 실사는 위험 기반으로 수행되며, 공급업체는 계층(중대/상/중/하)으로 분류되고 계약적 안전 장치 및 주기적인 재평가가 적용됩니다.
데이터 최소화를 보장하기 위한 조치Ultralytics는 고객 계약 및 관련 데이터 보호 요구사항에 따라 고객 데이터를 처리하며, 서비스 제공 및 지원에 필요한 항목(데이터셋 관리, 주석, 모델 학습, 평가 및 관련 플랫폼 기능 포함)으로 처리를 제한합니다. Ultralytics YOLO 오픈 소스 사용은 고객이 직접 관리하며, 해당 맥락에서 Ultralytics는 고객의 추론 워크로드를 처리하지 않습니다.
데이터 품질을 보장하기 위한 조치Ultralytics는 플랫폼 및 오픈 소스 코드 릴리스에 대한 피어 검토, 자동화된 테스트, CI/CD 워크플로 및 통제된 변경 관리를 포함하여 무결성과 신뢰성을 지원하기 위해 설계된 통제된 개발 및 배포 관행을 사용합니다.
제한된 데이터 보관을 보장하기 위한 조치Ultralytics는 서비스 약속의 일환으로 데이터 보관 및 데이터 폐기 약속을 적용합니다. 플랫폼에 대한 고객 데이터는 관리형 서비스를 사용하여 백업되며, 삭제/반환은 고객 계약 및 관련 법률에 따라 처리됩니다.
책임성을 보장하기 위한 조치Ultralytics는 사고 대응 계획과 보안 및 개인정보 침해 사고를 식별, 보고, 관리 및 추적하기 위한 문서화된 절차를 유지하며, 여기에는 security@ultralytics.com을 통한 외부 취약성 보고 통신이 포함됩니다. 사고는 심각도에 따라 엔지니어링, 법무 및 경영진의 참여 하에 문서화되고 처리됩니다.
데이터 이동성을 허용하고 삭제를 보장하기 위한 조치Ultralytics 플랫폼에 제출된 고객 개인정보는 본 계약 및 본 DPA에 따라 고객이 삭제할 수 있거나 고객의 요청에 따라 삭제될 수 있습니다. 삭제가 요구되는 경우 Ultralytics는 고객의 지침 및 관련 법적 요구사항에 따라 행동합니다. (데이터 이동성은 고객이 서비스에서 자신의 고객 데이터를 내보내거나 검색할 수 있는 범위 내에서 지원됩니다.) Ultralytics YOLO 오픈 소스 모델은 고객이 전용 환경 내에서 배포하여 완전한 데이터 거버넌스 제어를 보장합니다.
하위 처리자의 기술 및 조직적 조치Ultralytics는 규정 준수 증명 검토와 계약적 보안 및 데이터 보호 요구사항을 포함하여 타사 서비스 공급자를 온보딩하고 모니터링하기 위한 위험 기반 공급업체 관리 프로그램을 사용합니다. Ultralytics는 또한 하위 서비스 조직을 모니터링하고 매년 SOC 2 보고서를 검토합니다. Ultralytics는 또한 본 DPA에 포함된 것과 실질적으로 유사한 데이터 보호 의무를 가진 데이터 처리 계약을 하위 처리자와 체결합니다.

Link to this sectionExhibit D: 영국 부속서#

EU 위원회 표준 계약 조항에 대한 국제 데이터 이전 부속서

Link to this section파트 1: 표#

표 1: 당사자

필드수출자수입자
시작일본 영국 부속서(UK Addendum)는 DPA와 동일한 효력 발생일을 가집니다.본 영국 부속서(UK Addendum)는 DPA와 동일한 효력 발생일을 가집니다.
당사자 세부 정보고객회사
주요 연락처본 DPA의 부록 B를 참조하십시오.본 DPA의 부록 B를 참조하십시오.

표 2: 선택된 SCC, 모듈 및 선택된 조항

필드세부 정보
EU SCC본 영국 부속서가 부속된 승인된 EU SCC의 버전으로, DPA에 정의되어 있으며 DPA의 섹션 6.2 및 6.3에 의해 작성됩니다.

표 3: 부록 정보

"부록 정보"란 승인된 EU SCC의 부록(당사자 제외)에 명시된 선택된 모듈에 대해 제공되어야 하는 정보를 의미하며, 본 영국 부속서의 경우 다음 항목에 명시되어 있습니다.

부속서(Annex)참조
부속서 1A: 당사자 목록위의 표 1에 따름
부속서 2B: 전송에 대한 설명본 DPA의 부록 B를 참조하십시오.
부속서 II: 데이터 보안을 보장하기 위한 기술적 및 조직적 조치를 포함한 기술적 및 조직적 조치본 DPA의 부록 C를 참조하십시오.
부속서 III: 하위 처리자 목록 (모듈 2 및 3만 해당)본 DPA의 부록 B를 참조하십시오.

표 4: 승인된 영국 부속서 변경 시 본 영국 부속서 종료

참고: 이 조항은 ICO가 승인된 영국 부속서를 변경하여 (a) 영국 부속서에 따른 의무 이행을 위한 직접 비용 또는 (b) 영국 부속서에 따른 위험이 실질적이고 불균형적이며 입증 가능한 수준으로 직접 증가하는 경우, 선택된 당사자(해당하는 경우)가 영국 부속서를 종료할 수 있도록 허용합니다.

필드선택
승인된 영국 부속서 변경 시 본 영국 부속서 종료x 수입자 x 수출자 ☐ 어느 당사자도 아님

Link to this section본 영국 부속서 체결#

각 당사자는 상대방 당사자 또한 본 영국 부속서에 구속되는 데 동의하는 대가로 본 영국 부속서에 명시된 약관에 구속될 것에 동의합니다.

승인된 EU SCC의 부속서 1A 및 제7조는 당사자의 서명을 요구하지만, 영국 외 전송(ex-UK Transfers)을 수행하기 위해 당사자들은 당사자들에게 법적 구속력을 부여하고 정보 주체가 본 영국 부속서에 명시된 자신의 권리를 행사할 수 있도록 하는 어떠한 방식으로든 본 영국 부속서를 체결할 수 있습니다. 본 영국 부속서를 체결하는 것은 승인된 EU SCC 및 승인된 EU SCC의 임의의 부분을 서명하는 것과 동일한 효력을 가집니다.

Link to this section본 영국 부속서의 해석#

본 영국 부속서에서 승인된 EU SCC에 정의된 용어를 사용하는 경우, 해당 용어는 승인된 EU SCC와 동일한 의미를 갖습니다. 또한 다음 용어는 다음과 같은 의미를 갖습니다.

용어정의
영국 부속서DPA의 부록 D로 첨부된 EU SCC를 통합하는 본 국제 데이터 전송 부속서를 의미합니다.
EU SCC표 2에 명시된 대로 부록 정보를 포함하여 본 영국 부속서가 부속된 승인된 EU SCC의 버전을 의미합니다.
부록 정보표 3에 명시된 바와 같습니다.
적절한 안전 조치귀하가 영국 GDPR 제46조(2)(d)항에 따른 표준 데이터 보호 조항에 의존하여 영국 외 전송을 수행할 때 영국 데이터 보호법이 요구하는 개인 데이터 및 정보 주체의 권리에 대한 보호 수준을 의미합니다.
승인된 영국 부속서2022년 2월 2일 2018년 데이터 보호법(Data Protection Act 2018) 제119A조에 따라 ICO가 발행하고 의회에 제출한 템플릿 부속서를 의미하며, 영국 부속서 섹션 18에 따라 개정될 수 있습니다.
승인된 EU SCC유럽 위원회가 적절한 수준의 개인 데이터 보호를 제공하는 것으로 인정하지 않은 국가로의 개인 데이터 전송을 위해 2021년 6월 4일자 위원회 결정 2021/914에서 유럽 위원회가 승인한 표준 계약 조항(수시로 수정 및 업데이트됨)을 의미합니다.
ICO정보 위원 사무국(Information Commissioner's Office)을 의미합니다.
영국 외 전송(ex-UK Transfer)DPA에 명시된 것과 동일한 정의를 갖습니다.
영국그레이트브리튼 북아일랜드 연합왕국을 의미합니다.
영국 데이터 보호법영국 GDPR 및 2018년 데이터 보호법을 포함하여, 영국에서 수시로 시행되는 데이터 보호, 개인 데이터 처리, 개인정보 보호 및/또는 전자 통신과 관련된 모든 법률을 의미합니다.
영국 GDPRDPA에 명시된 정의를 갖습니다.

영국 부속서는 항상 영국 데이터 보호법과 일관된 방식으로 해석되어야 하며, 당사자들이 적절한 안전 조치를 제공해야 하는 의무를 이행하도록 해야 합니다.

영국 부속서에 포함된 조항이 승인된 EU SCC 또는 승인된 영국 부속서에 따라 허용되지 않는 방식으로 승인된 EU SCC를 수정하는 경우, 그러한 수정 사항은 영국 부속서에 통합되지 않으며 승인된 EU SCC의 동등한 조항이 그 자리를 대신합니다.

영국 데이터 보호법과 영국 부속서 사이에 불일치나 충돌이 있는 경우, 영국 데이터 보호법이 적용됩니다.

영국 부속서의 의미가 불분명하거나 두 가지 이상의 의미가 있는 경우, 영국 데이터 보호법에 가장 부합하는 의미가 적용됩니다.

법률(또는 법률의 특정 조항)에 대한 모든 참조는 시간이 지남에 따라 변경될 수 있는 해당 법률(또는 특정 조항)을 의미합니다. 여기에는 영국 부속서가 체결된 후 해당 법률(또는 특정 조항)이 통합, 재정의 및/또는 대체된 경우가 포함됩니다.

Link to this section계층 구조#

승인된 EU SCC의 제5조는 승인된 EU SCC가 당사자 간의 모든 관련 계약에 우선한다고 명시하고 있지만, 당사자들은 영국 외 전송의 경우 아래 섹션 10의 계층 구조가 우선한다는 데 동의합니다.

승인된 영국 부속서와 EU SCC(해당되는 경우) 사이에 불일치나 충돌이 있는 경우, 승인된 영국 부속서가 EU SCC에 우선합니다. 단, EU SCC의 불일치하거나 상충되는 약관이 정보 주체에게 더 큰 보호를 제공하는 경우에는 해당 약관이 승인된 영국 부속서에 우선합니다.

본 영국 부속서가 GDPR의 적용을 받는 EU 외 전송을 보호하기 위해 체결된 EU SCC를 통합하는 경우, 당사자들은 영국 부속서의 어떠한 내용도 해당 EU SCC에 영향을 미치지 않음을 인정합니다.

Link to this sectionEU SCC의 통합 및 변경#

본 영국 부속서는 다음을 위해 필요한 범위 내에서 수정된 EU SCC를 통합합니다.

  • 데이터 수출자가 데이터 수입자에게 데이터 전송을 할 때 영국 데이터 보호법이 수출자의 처리에 적용되는 범위 내에서 함께 작동하며, 그러한 데이터 전송에 대한 적절한 안전 조치를 제공합니다.
  • 위의 섹션 9~11은 EU SCC의 제5조(계층 구조)에 우선합니다.
  • 영국 부속서(여기에 통합된 EU SCC 포함)는 (1) 잉글랜드 및 웨일즈 법률의 적용을 받으며 (2) 이로 인해 발생하는 모든 분쟁은 잉글랜드 및 웨일즈 법원에서 해결됩니다.

당사자들이 본 영국 부속서 섹션 12의 요건을 충족하는 대체 수정안에 합의하지 않는 한, 본 영국 부속서 섹션 15의 조항이 적용됩니다.

본 영국 부속서 섹션 12의 요건을 충족하기 위한 목적 외에는 승인된 EU SCC에 대한 어떠한 수정도 이루어질 수 없습니다.

(본 영국 부속서 섹션 12의 목적을 위해) EU SCC에 대한 다음 수정 사항이 이루어집니다.

  • "조항"에 대한 참조는 EU SCC를 통합하는 본 영국 부속서를 의미합니다.
  • 제2조에서 다음 문구를 삭제합니다: "또한 컨트롤러에서 프로세서로 및/또는 프로세서에서 프로세서로의 데이터 전송과 관련하여, 규정 (EU) 2016/679 제28조(7)항에 따른 표준 계약 조항";
  • 제6조(전송에 대한 설명)는 다음과 같이 대체됩니다: "전송에 대한 세부 정보, 특히 전송되는 개인 데이터의 범주 및 전송 목적은 영국 데이터 보호법이 해당 전송 시 데이터 수출자의 처리에 적용되는 경우 부속서 I.B에 명시된 내용입니다.";
  • 모듈 1의 제8.7(i)조는 다음과 같이 대체됩니다: "후속 전송을 포괄하는 영국 GDPR 제17A조에 따른 적절성 규정의 혜택을 받는 국가로의 전송인 경우";
  • 모듈 2 및 3의 제8.8(i)조는 다음과 같이 대체됩니다: "후속 전송은 후속 전송을 포괄하는 영국 GDPR 제17A조에 따른 적절성 규정의 혜택을 받는 국가로 이루어집니다;"
  • "규정 (EU) 2016/679", "개인 데이터 처리 및 그러한 데이터의 자유로운 이동과 관련하여 자연인을 보호하기 위한 2016년 4월 27일자 유럽 의회 및 이사회의 규정 (EU) 2016/679(일반 데이터 보호 규정)" 및 "해당 규정"에 대한 참조는 모두 "영국 데이터 보호법"으로 대체됩니다. "규정 (EU) 2016/679"의 특정 조항에 대한 참조는 영국 데이터 보호법의 동등한 조항 또는 섹션으로 대체됩니다.
  • 규정 (EU) 2018/1725에 대한 참조는 제거됩니다.
  • "유럽 연합", "연합", "EU", "EU 회원국", "회원국" 및 "EU 또는 회원국"에 대한 참조는 모두 "영국"으로 대체됩니다.
  • 모듈 1 제10(b)(i)조의 "제12(c)(i)조"에 대한 참조는 "제11(c)(i)조"로 대체됩니다.
  • 제13(a)조 및 부속서 I의 파트 C는 사용되지 않습니다.
  • "관할 감독 기관" 및 "감독 기관"은 모두 "정보 위원(Information Commissioner)"으로 대체됩니다.
  • 제16(e)조에서, 하위 조항 (i)는 다음과 같이 대체됩니다: "장관이 이러한 조항이 적용되는 개인 데이터의 전송을 포괄하는 2018년 데이터 보호법 제17A조에 따른 규정을 만드는 경우;";
  • 제17조는 다음과 같이 대체됩니다: "본 조항들은 잉글랜드 및 웨일즈 법률의 적용을 받습니다."
  • 제18조는 다음과 같이 대체됩니다: "본 조항들로 인해 발생하는 모든 분쟁은 잉글랜드 및 웨일즈 법원에서 해결되어야 합니다." 정보 주체는 또한 영국 내 모든 국가의 법원에서 데이터 수출자 및/또는 데이터 수입자를 상대로 법적 절차를 제기할 수 있습니다. 당사자들은 그러한 법원의 관할권에 따를 것에 동의합니다."; 및
  • 승인된 EU SCC의 각주는 주석 8, 9, 10 및 11을 제외하고 영국 부속서의 일부를 구성하지 않습니다.

Link to this section영국 부속서에 대한 수정#

당사자들은 EU SCC의 제17조 및/또는 제18조를 스코틀랜드나 북아일랜드의 법률 및/또는 법원을 참조하도록 변경하는 데 동의할 수 있습니다.

당사자들이 승인된 영국 부속서의 파트 1: 표에 포함된 정보의 형식을 변경하고자 하는 경우, 변경 사항이 적절한 안전 조치를 감소시키지 않는다는 전제하에 서면으로 해당 변경에 동의함으로써 이를 수행할 수 있습니다.

ICO는 수시로 다음을 수행하는 개정된 승인된 영국 부속서를 발행할 수 있습니다.

  • 승인된 영국 부속서의 오류 수정을 포함하여 승인된 영국 부속서에 대해 합리적이고 비례적인 변경을 가함; 및/또는
  • 영국 데이터 보호법의 변경 사항을 반영함.

개정된 승인된 영국 부속서는 승인된 영국 부속서에 대한 변경 사항이 유효한 시작일과 당사자들이 부록 정보를 포함하여 본 영국 부속서를 검토해야 하는지 여부를 명시합니다. 본 영국 부속서는 명시된 시작일부터 개정된 승인된 영국 부속서에 명시된 대로 자동으로 수정됩니다.

ICO가 본 영국 부속서 섹션 18에 따라 개정된 승인된 영국 부속서를 발행하는 경우, 당사자가 승인된 영국 부속서의 변경으로 인해 직접적인 결과로서 다음 사항에 있어 실질적이고 불균형적이며 입증 가능한 증가를 겪게 된다면:

  • 영국 부속서에 따른 의무 이행을 위한 직접 비용; 및/또는
  • 영국 부속서에 따른 위험,

그리고 두 경우 모두 해당 비용이나 위험이 실질적이고 불균형적이지 않도록 먼저 합리적인 조치를 취한 경우, 해당 당사자는 개정된 승인된 영국 부속서의 시작일 이전에 상대방에게 합리적인 통지 기간 동안 서면 통지를 제공함으로써 해당 기간이 끝날 때 본 영국 부속서를 종료할 수 있습니다.

당사자들은 본 영국 부속서를 변경하기 위해 제3자의 동의를 받을 필요는 없으나, 모든 변경 사항은 그 약관에 따라 이루어져야 합니다.