본 약관에 동의하는 '측정 서비스' 고객('고객')은 '고객'이 '데이터 공유 설정'을 사용 설정한 서비스의 사용자 인터페이스를 통해 'Google' 또는 서드 파티 리셀러(해당하는 경우)와 '측정 서비스' 제공 계약(때때로 수정됨, '계약')을 체결했습니다.
본 Google 측정 컨트롤러 간 데이터 보호 약관('컨트롤러 약관')은 'Google'과 '고객' 간에 체결됩니다. '고객'과 'Google' 간의 '계약'인 경우 본 '컨트롤러 약관'은 '계약'을 보완합니다. '고객'과 서드 파티 리셀러 간의 '계약'인 경우 본 '컨트롤러 약관'은 'Google'과 '고객' 간의 별도 계약으로 인정됩니다.
의심의 소지를 없애기 위해, '측정 서비스' 제공에는 본 '계약'이 적용됩니다. 본 '컨트롤러 약관'은 '데이터 공유 설정'과 관련된 데이터 보호 조항만을 명시하며 '측정 서비스' 제공에는 적용되지 않습니다.
제6.2항('프로세서 약관'에 미치는 영향 없음)에 따라 본 '컨트롤러 약관'은 '약관 시행일'부터 효력이 발생하며 관련 주제에 관한 모든 이전 약관을 대체합니다.
'고객'을 대신해 본 '컨트롤러 약관'에 동의하는 경우 (a) '고객'에게 본 '컨트롤러 약관'을 준수하도록 구속할 충분한 법적 권한이 귀하에게 있으며, (b) 귀하가 본 '컨트롤러 약관'의 내용을 읽고 이해했으며, (c) '고객'을 대신해 본 '컨트롤러 약관'에 동의함을 보증합니다. '고객'을 구속할 법적 권한이 없는 경우 본 '컨트롤러 약관'에 동의하지 마십시오.
리셀러인 경우 '컨트롤러 약관'에 동의하지 마십시오. 본 '컨트롤러 약관'에는 '측정 서비스' 사용자와 'Google' 간에 적용되는 권리와 의무가 명시되어 있습니다.
1. 소개
본 '컨트롤러 약관'은 '데이터 공유 설정'에 따라 '컨트롤러 개인 정보' 처리에 대한 당사자의 동의를 반영합니다.
2. 정의 및 해석
2.1
본 '컨트롤러 약관'에 나오는 용어의 정의는 다음과 같습니다.
'추가 약관'은 '부록 1'에 언급된 추가 약관을 의미하며, 특정 '관련 데이터 보호법'과 관련된 '컨트롤러 개인 정보' 처리에 적용되는 약관에 대한 당사자의 동의를 반영합니다.
'계열사'는 일방 당사자를 직접 또는 간접적으로 지배하거나, 일방 당사자의 지배를 받거나, 일방 당사자와 공동 지배하에 있는 법인을 의미합니다.
'관련 데이터 보호법'은 '유럽 데이터 보호법', LGPD, '미국 주 개인 정보 보호법' 등 '컨트롤러 개인 정보'의 처리에 적용되는 국가, 연방, EU, 주/도 수준의 또는 그 밖의 개인 정보 보호, 데이터 보안 또는 데이터 보호와 관련된 법이나 규정을 의미합니다.
'기밀 정보'는 본 '컨트롤러 약관'을 의미합니다.
'컨트롤러 정보주체'는 '컨트롤러 개인 정보'와 관련 있는 정보주체를 의미합니다.
'컨트롤러 개인 정보'는 '데이터 공유 설정'에 따라 당사자가 처리하는 개인 정보를 의미합니다.
'데이터 공유 설정'은 '고객'이 '측정 서비스'의 사용자 인터페이스를 통해 사용 설정한 데이터 공유 설정을 의미하며, 'Google'과 'Google 계열사'가 자사의 제품 및 서비스를 개선하는 데 개인 정보를 사용할 수 있게 해줍니다.
'최종 컨트롤러'는 '컨트롤러 개인 정보'에 대한 각 당사자의 최종 컨트롤러를 의미합니다.
'EU GDPR'은 2016년 4월 27일, 유럽의회 및 위원회에서 제정한 개인 정보 처리 및 개인 정보의 자유로운 이동과 관련된 자연인 보호 규정(EU) 2016/679를 의미하며, 지침 95/46/EC를 폐지 및 대체합니다.
'유럽 데이터 보호법'은 경우에 따라 (a) GDPR 및/또는 (b) '스위스 FDPA'를 의미합니다.
'GDPR'은 경우에 따라 (a) 'EU GDPR' 및/또는 (b) '영국 GDPR'을 의미합니다.
'Google'은
- (a) 'Google 법인'이 '계약' 당사자인 경우, 해당 'Google 법인'을 의미합니다.
- (b) '고객'과 서드 파티 리셀러 간의 '계약'인 경우:
- (i) 서드 파티 리셀러가 북아메리카에서 조직되었거나 유럽, 중동, 아프리카, 아시아 및 오세아니아 이외의 다른 지역에서 조직되었다면 Google LLC(이전의 Google Inc.)를 의미하고,
- (ii) 서드 파티 리셀러가 유럽, 중동 또는 아프리카에서 조직되었다면 Google Ireland Limited를 의미하며,
- (iii) 서드 파티 리셀러가 아시아 및 오세아니아에서 구성된 경우에는 Google Asia Pacific Pte. Ltd를 의미합니다.
'Google 법인'은 Google LLC, Google Ireland Limited 또는 기타 Google LLC '계열사'를 의미합니다.
'LGPD'는 브라질 일반 데이터 보호법(Lei Geral de Proteção de Dados Pessoais)을 의미합니다.
'측정 서비스'는 당사자가 본 '컨트롤러 약관'에 동의한 '데이터 공유 설정'에 따라 Google 애널리틱스, Google 애널리틱스 360, Firebase용 Google 애널리틱스, Google 최적화 도구 또는 Google 최적화 도구 360을 의미합니다.
'정책'은 Google 최종 사용자 동의 정책(https://www.google.com/about/company/user-consent-policy.html)을 의미합니다.
'프로세서 약관'은
- (a) 'Google'이 '계약' 당사자인 경우, https://business.safety.google/adsprocessorterms에서 확인할 수 있는 프로세서 약관을 의미하며,
- (b) '고객'과 서드 파티 리셀러 간의 '계약'인 경우, '고객'과 서드 파티 리셀러 간에 동의한 컨트롤러와 프로세서의 관계가 반영된 약관을 의미합니다.
'스위스 FDPA'는 1992년 6월 19일 자 연방 데이터 보호법(스위스)을 의미합니다.
'약관 시행일'은 '고객'이 본 '컨트롤러 약관'을 클릭하여 동의하거나 양 당사자가 본 '컨트롤러 약관'에 동의한 날짜를 의미합니다.
'영국 컨트롤러 개인 정보'는 영국에 위치한 '컨트롤러 정보주체'의 '컨트롤러 개인 정보'를 의미합니다.
'영국 GDPR'은 영국의 2018년 유럽연합(탈퇴)법과 해당 법에 따라 제정된 관련 2차 법률에 의거하여 수정되고 통합된 'EU GDPR'을 의미합니다.
'미국 주 개인 정보 보호법'은 해당할 경우 (i) 2018년 '캘리포니아 소비자 개인 정보 보호법'(2020년 '캘리포니아 개인 정보 보호 권리법'에 따른 개정안 포함)과 모든 시행 규정('CCPA'), (ii) '버지니아 소비자 데이터 보호'법, Va. Code Ann. § 59.1-571, (iii) '콜로라도 개인 정보 보호법', Colo. Rev. Stat. § 6-1-1301, (iv) '코네티컷 데이터 개인 정보 보호 및 온라인 모니터링 관련법', Pub. Act No. 22015 및 (v) '유타 소비자 개인 정보 보호법', Utah Code Ann. § 13-61-101 등을 의미합니다.
2.2
본 '컨트롤러 약관'에 사용되는 용어 '컨트롤러', '정보주체', '개인 정보', '처리', '프로세서'는 (a) '관련 데이터 보호법' 또는 (b) 그러한 의미나 법률이 없는 경우 'GDPR'에 명시된 의미를 가집니다.
2.3
본 '컨트롤러 약관'의 모든 예는 이해를 돕기 위해 제시되었으며 특정 개념의 유일한 예는 아닙니다.
2.4
참조된 법적 제도, 법령 또는 기타 법규는 때때로 개정되거나 다시 제정된 상태를 참조합니다.
2.5
본 '계약'의 번역본이 영문본의 내용과 일치하지 않은 부분이 있다면 영문본이 우선합니다.
2.6
'컨트롤러 표준 계약 조항'에서 언급하는 'Google Ads 컨트롤러 간 데이터 보호 약관'은 'Google 측정 컨트롤러 간 데이터 보호 약관'을 의미하는 것으로 간주됩니다.
3. '컨트롤러 약관'의 적용
3.1 일반
본 '컨트롤러 약관'은 양 당사자가 본 '컨트롤러 약관'에 동의한 '데이터 공유 설정'에만 적용됩니다(예: '고객'이 본 '컨트롤러 약관'을 클릭하여 동의한 '데이터 공유 설정').
3.2 기간
본 '컨트롤러 약관'은 '약관 시행일'부터 적용되고 'Google' 또는 '고객'이 '컨트롤러 개인 정보'를 처리하는 동안 효력이 유지되며 그 이후 본 '컨트롤러 약관'은 자동으로 종료됩니다.
4. 처리에 대한 역할 및 제한사항
4.1 독립적인 컨트롤러
제4.4항('최종 컨트롤러')에 따라 각 당사자는
- (a) '컨트롤러 개인 정보'의 독립적인 컨트롤러이며,
- (b) '컨트롤러 개인 정보'의 처리 목적과 수단을 개별적으로 결정하고,
- (c) '컨트롤러 개인 정보' 처리와 관련된 '관련 데이터 보호법'에 따라 해당하는 의무를 준수합니다.
4.2 처리 제한사항
제4.1항(독립적인 컨트롤러)은 본 '계약'에 따라 '컨트롤러 개인 정보'를 사용하거나 달리 처리할 수 있는 당사자의 권리에 적용되는 그 어떠한 제한사항에도 영향을 미치지 않습니다.
4.3 최종 사용자 동의
'고객'은 '데이터 공유 설정'에 따라 공유되는 '컨트롤러 개인 정보'와 관련하여 '정책'을 준수하고, 정책을 준수한다는 사실을 상시 입증할 책임을 집니다.
4.4 '최종 컨트롤러'
각 당사자는 본 '컨트롤러 약관'에 따른 당사자의 의무를 축소하지 않으면서 (a) 상대방의 '계열사' 또는 고객이 '최종 컨트롤러'일 수도 있고, (b) 상대방이 '최종 컨트롤러'를 대신하여 프로세서 역할을 할 수도 있음을 인정합니다. 각 당사자는 '최종 컨트롤러'가 '컨트롤러 약관'을 준수하도록 해야 합니다.
4.5 투명성
'고객'은 'Google'이 자사의 서비스를 사용하는 사이트, 앱 또는 기타 서비스로부터 얻은 정보를 사용하는 방식에 대해 https://business.safety.google/privacy/에 게시했음을 확합니다. '고객'은 제4.1(c)항에 따른 의무를 침해하지 않고 '컨트롤러 정보주체'에게 Google의 '컨트롤러 개인 정보'의 처리에 대한 정보를 제공하기 위해 해당 페이지에 연결할 수 있습니다.
5. 책임
5.1
만약
- (a) 'Google'이 '계약'의 당사자이며 '계약'에 다음 법률이 적용되는 경우
- (i) '계약'에 미국 주의 법률이 적용되는 경우, '계약'의 다른 조항에 관계없이, 본 '컨트롤러 약관'에 따르거나 본 '컨트롤러 약관'과 관련하여 상대방에 대한 일방 당사자의 책임 한도는 '계약'에 따라 설정된 해당 당사자의 최대 금액 또는 결제 기반 금액으로 제한됩니다(따라서 '계약'의 책임의 제한에 따른 배상 청구의 배제는 '관련 데이터 보호법'과 관련해 '계약'에 따른 배상 청구에 적용되지 않음). 또는,
- (ii) '계약'에 미국의 주가 아닌 관할권의 법률이 적용되는 경우, 본 '컨트롤러 약관'에 따라 또는 본 '컨트롤러 약관'과 관련하여 양 당사자의 책임은 '계약'상 책임의 배제 및 제한사항의 적용을 받습니다. 또는,
- (b) 'Google'이 '계약'의 당사자가 아닌 경우, 'Google'은 관련 법에서 허용하는 범위 내에서, '고객'의 수익 손실이나 간접적, 특별, 부수적, 결과적, 징계적 또는 징벌적 손해에 대해 'Google' 또는 'Google'의 '계열사'가 그러한 손해가 구제 조치 조건을 만족시키지 않는다는 사실을 사전에 통보받았거나, 미리 알고 있었거나, 알았어야 하더라도 이러한 손해에 대해 책임지지 않습니다. 본 '컨트롤러 약관'으로 인해 또는 본 '컨트롤러 약관'과 관련하여 발생하는 청구, 손해 또는 법적 조치에 따르는 손실이나 손해에 대해 'Google'(및 'Google'의 '계열사')이 '고객' 또는 기타 당사자에게 배상해야 하는 누적 책임 총액은 500달러(미화)를 초과하지 않습니다.
6. '컨트롤러 약관'의 영향
6.1 우선순위
'추가 약관', 본 '컨트롤러 약관'의 나머지 조항 및/또는 '계약'의 나머지 부분이 상충하거나 일치하지 않는 경우 제4.2항(처리 제한사항) 및 제6.2항('프로세서 약관'에 미치는 영향 없음)에 따라 (a) '추가 약관'(해당하는 경우), (b) 본 '컨트롤러 약관'의 나머지 조항, (c) '계약'의 나머지 부분(해당하는 경우)의 순서로 적용됩니다. 본 '컨트롤러 약관'의 수정안에 따라 'Google'과 '고객' 간의 '계약'은 완전한 효력을 유지합니다.
6.2 '프로세서 약관'에 미치는 영향 없음
본 '컨트롤러 약관'은 그 어떠한 '프로세서 약관'도 대체하지 않으며 영향을 주지 않습니다. 의심의 소지를 없애기 위해, '고객'이 '측정 서비스'와 관련하여 '프로세서 약관'의 당사자인 경우, '프로세서 약관'은 본 '컨트롤러 약관'이 '데이터 공유 설정'에 따라 처리되는 '컨트롤러 개인 정보'에 적용됨에도 불구하고 '측정 서비스'에 계속 적용됩니다.
7. '컨트롤러 약관' 변경사항
7.1 '컨트롤러 약관' 변경사항
다음과 같은 경우 'Google'에서 본 '컨트롤러 약관'을 변경할 수 있습니다.
- (a) 변경사항이 법인의 이름 또는 형태의 변경을 반영하는 경우
- (b) 관련 법률, 관련 규정, 법원 명령 또는 정부 규제 기관이나 다른 기관에서 발표한 지침을 준수하기 위해 변경이 반드시 필요한 경우 또는 해당 변경사항이 (부록 1A에 정의된 대로) 'Google'의 '대체 전송 솔루션' 채택을 반영하는 경우
- (c) 변경사항이 제7.2항(URL 변경)에 설명된 내용에 해당하는 경우 또는
- (b) 해당 변경으로 인해 (i) '관련 데이터 보호법'에 따라 양 당사자가 '컨트롤러 개인 정보'의 컨트롤러라는 분류가 바뀌지 않는 경우, (ii) '컨트롤러 개인 정보'를 사용하거나 달리 처리할 수 있는 당사자의 권리의 범위가 확대되거나 제한사항이 삭제되지 않는 경우, (iii) 'Google'의 합당한 판단 결과 '고객'에게 상당히 부정적인 영향이 발생하지 않는 경우
7.2 URL 변경
'Google'은 본 '컨트롤러 약관'에서 참조하는 URL과 이러한 URL의 내용을 때때로 변경할 수 있습니다.
7.3 변경사항 알림
'Google'이 제7.1(b)항에 따라 본 '컨트롤러 약관'을 변경하고자 하고 그러한 변경사항이 'Google'의 합당한 판단 결과 '고객'에게 상당히 부정적인 영향을 미칠 경우, 'Google'은 상업적으로 합당한 노력을 기울여 변경사항이 적용되기 최소 30일(또는 관련 법규, 관련 규정, 법원 명령 또는 정부 규제 기관/정부 기관이 발표한 지침을 준수해야 하는 경우 보다 짧은 기간) 전에 '고객'에게 통지해야 합니다. '고객'이 변경사항에 이의가 있는 경우 '데이터 공유 설정'의 사용을 중지할 수 있습니다.
8. 추가 조항
8.1
본 제8항(추가 조항)은 'Google'이 '계약' 당사자가 아닌 경우에만 적용됩니다.
8.2
각 당사자는 합당한 기술을 사용하고 주의를 기울여 본 '컨트롤러 약관'에 따른 의무를 준수합니다.
8.3
양 당사자는 본 '컨트롤러 약관'에 따른 각자의 권리를 행사하거나 의무를 이행할 목적으로 이뤄지는 경우 또는 법률, 규정, 법원 명령에 의해 요구되는 경우를 제외하고 상대방의 사전 서면 동의 없이 상대방의 '기밀 정보'를 사용하거나 공개하지 않습니다. '기밀 정보'를 공개해야 하는 당사자는 상대방에게 '기밀 정보'를 공개하기 전에 합리적으로 실행 가능한 최대한 많은 고지를 제공해야 합니다.
8.4
관련 법률에서 허용하는 최대 범위 내에서, 본 '컨트롤러 약관'에서 명시된 경우를 제외하고, 'Google'은 상품성, 특정 용도에 대한 적합성, 비침해성에 대한 보증을 포함하되 이에 국한되지 않는 명시적, 묵시적, 법적 또는 기타 어떤 방식으로든 보증을 하지 않습니다.
8.5
양 당사자는 당사자의 합당한 통제력을 벗어난 상황으로 인해 발생하는 의무의 이행 실패 또는 지연에 대해 책임을 지지 않습니다.
8.6
본 '컨트롤러 약관'의 특정 조항 또는 조항의 일부분이 잘못되었거나 불법이거나 유효하지 않다고 판단되더라도 '컨트롤러 약관'의 나머지 조항은 효력을 유지합니다.
8.7
(a) 아래 (b)항에 명시된 경우를 제외하고 본 '컨트롤러 약관'은 법 원칙의 충돌 여부와 관계없이 캘리포니아 주법이 적용되고 그에 따라 해석합니다.' 외국 법률, 규칙, 규정과 캘리포니아 주법, 규칙, 규정이 충돌하는 경우에는 캘리포니아 주법, 규칙, 규정이 우선으로 적용됩니다. 각 당사자는 캘리포니아주 샌타클래라 카운티 법정의 전속 그리고 인적 관할권을 따르는 데 동의합니다. 국제물품매매계약에 관한 UN 협약(United Nations Convention on Contracts for the International Sale of Goods)과 단일컴퓨터정보거래법(Uniform Computer Information Transactions Act, UCITA)은 본 '컨트롤러 약관'에 적용되지 않습니다.
(b) '고객'과 서드 파티 리셀러 간의 '계약'이고 서드 파티 리셀러가 유럽, 중동 또는 아프리카에서 조직된 경우 본 '컨트롤러 약관'에는 영국 법률이 적용됩니다. 각 당사자는 본 '컨트롤러 약관'으로 인해 발생하거나 이와 관련하여 발생하는 모든 분쟁(계약상 및 계약 외적)에 대해 영국 법원의 전속 관할권을 따를 것에 동의합니다.
(c) '컨트롤러 표준 계약 조항'이 위의 (a) 및 (b)절에 설명된 법규와 다른 준거법을 적용하고 허용하는 경우 '컨트롤러 표준 계약 조항'에 명시된 준거법은 '컨트롤러 표준 계약 조항'과 관련해서만 적용됩니다.
(d) 국제물품매매계약에 관한 UN 협약(United Nations Convention on Contracts for the International Sale of Goods)과 단일컴퓨터정보거래법(Uniform Computer Information Transactions Act, UCITA)은 본 '컨트롤러 약관'에 적용되지 않습니다.
8.8
계약 해지 또는 위반에 대한 고지는 영어로 서면 작성하고 상대방의 법무팀을 수신처로 지정해야 합니다. 'Google' 법무팀으로 보내는 고지는 이메일 주소 legal-notices@google.com으로 발송합니다. 고지는 수신과 동시에 제공한 것으로 간주되며, 수신 여부는 자동/서면 답장 또는 전자 로그(해당하는 경우)를 통해 확인합니다.
8.9
어느 당사자도 본 '컨트롤러 약관'에 따른 권리를 행사하지 않는다고 하더라도(또는 권리 행사를 연기하더라도) 해당 권리를 포기한 것으로 간주되지 않습니다. 어느 당사자도 상대방의 서면 동의 없이는 본 '컨트롤러 약관'의 어떤 부분도 위임할 수 없습니다. 단, (a) 양수인이 본 '컨트롤러 약관'의 조항을 준수하는 데 서면으로 동의했고, (b) 양수인이 '계약'을 이행하지 않을 경우 양도자가 계속해서 본 '컨트롤러 약관'의 의무를 이행할 책임을 지고, (c) 양도자가 '고객'인 경우 '측정 서비스' 계정을 양수인에게 이전했으며, (d) 양도자가 '계약'의 상대 당사자에게 위임 사실을 통지한 경우에는 '계열사'에 위임할 수 있습니다. 기타 양도 시도는 모두 무효입니다.
8.10
각 당사자는 독립 계약자입니다. 본 '컨트롤러 약관'으로 양 계약 당사자 사이에 대행 관계, 파트너십 또는 합작 관계가 형성되지 않습니다. 본 '컨트롤러 약관'은 해당 사실이 명시된 경우를 제외하고 어떠한 제3자에게도 혜택을 부여하지 않습니다.
8.11
관련 법률이 허용하는 범위 내에서 본 '컨트롤러 약관'은 당사자 간에 합의된 모든 조항을 명시합니다. 본 '컨트롤러 약관'을 체결함에 있어 양 계약 당사자는 본 '컨트롤러 약관'에 명시적으로 언급되지 않은 (태만으로 또는 악의 없이 제공된) 어떠한 설명, 진술 또는 보증도 참고하지 않았으며, 그에 근거한 어떠한 권리 또는 구제 조치도 받을 수 없습니다.
부록 1: '관련 데이터 보호법'의 '추가 약관'
파트 A - '유럽 데이터 보호법'의 '추가 약관'
1. 소개
본 부록 1A는 '유럽 데이터 보호법'이 '컨트롤러 개인 정보' 처리에 적용되는 범위에만 적용됩니다.
2. 정의
2.1 본 부록 1A에서 각 용어는 다음과 같이 정의됩니다.
'적정 데이터 보호 국가'란 다음을 의미합니다.
- (a) 'EU GDPR'에 따라 처리되는 데이터의 경우: 'EU GDPR'에 따른 적절한 데이터 보호 조치를 취하고 있는 것으로 인정되는 'EEA' 또는 개별 국가 또는 지역,
- (b) '영국 GDPR'에 따라 처리되는 데이터의 경우: '영국 GDPR' 및 2018년 데이터 보호법(Data Protection Act 2018)에 따라 적절한 보호 조치를 취하고 있는 것으로 인정되는 영국 또는 개별 국가 또는 지역 및/또는
- (c) '스위스 FDPA'에 따라 처리되는 데이터의 경우: 선택사항인 데이터 보호 프레임워크에 기초한 경우를 제외하고, (i) 스위스 연방 데이터 보호 및 정보 위원회가 공표한 대로 법률에 따라 보호 조치를 취하고 있는 주의 목록에 포함되거나 (ii) 각각의 경우 '스위스 FDPA'에 따라 스위스 연방 위원회에 의해 적절한 보호 조치가 이루어지는 것으로 인정되는 스위스 또는 개별 국가 또는 지역
'대체 전송 솔루션'은 '컨트롤러 표준 계약 조항' 이외에 '유럽 데이터 보호법'에 따라 개인 정보를 제3의 국가에 합법적으로 전송할 수 있는 솔루션을 의미합니다. 예를 들면, 참여하는 지역 법인이 적절한 보호 조치를 제공하는 것으로 인정되는 데이터 보호 프레임워크가 포함됩니다.
'컨트롤러 표준 계약 조항'은 business.safety.google/adscontrollerterms/sccs/c2c에 명시된 약관을 의미합니다.
'EEA'는 '유럽 경제 지역'을 의미합니다.
'유럽 컨트롤러 개인 정보'는 EEA 또는 스위스에 있는 '컨트롤러 정보주체'의 '컨트롤러 개인 정보'를 의미합니다.
'유럽 법'은 해당하는 경우에 따라 (a) EU 또는 EU 회원국 법률('EU GDPR'이 '컨트롤러 개인 정보'의 처리에 적용되는 경우), (b) 영국 또는 영국 일부의 법률('영국 GDPR'이 '컨트롤러 개인 정보'의 처리에 적용되는 경우) 및 (c) 스위스의 법률('스위스 FDPA'가 '컨트롤러 개인 정보'의 처리에 적용되는 경우)을 의미합니다.
'Google 최종 컨트롤러'는 'Google'에서 처리하는 '컨트롤러 개인 정보'의 '최종 컨트롤러'를 의미합니다.
'허용된 유럽 전송'은 '컨트롤러 개인 정보'를 '적정 데이터 보호 국가'에서 처리하거나 '적정 데이터 보호 국가'로 전송하는 것을 의미합니다.
'제한된 유럽 전송'은 (a) '유럽 데이터 보호법'이 적용되며 (b) '허용된 유럽 전송'이 아닌 '컨트롤러 개인 정보' 전송을 의미합니다.
'영국 컨트롤러 개인 정보'는 영국에 위치한 '컨트롤러 정보주체'의 '컨트롤러 개인 정보'를 의미합니다.
2.2 '데이터를 가져오는 측'과 '데이터를 내보내는 측'은 '컨트롤러 표준 계약 조항'에 정의된 의미를 갖습니다.
3. 'Google 최종 컨트롤러'
'Google 최종 컨트롤러'는 (i) 'Google'에서 처리하는 '유럽 컨트롤러 개인 정보'의 경우 Google Ireland Limited, (ii) 'Google'에서 처리하는 '영국 컨트롤러 개인 정보'의 경우 Google LLC입니다. 각 당사자는 '최종 컨트롤러'가 '컨트롤러 표준 계약 조항'을 준수하도록 해야 합니다(해당하는 경우).
4. 데이터 전송
4.1 '제한된 유럽 전송'. 양 당사자는 '유럽 데이터 보호법'의 '제한된 유럽 전송' 조항을 준수하는 경우 '제한된 유럽 전송'을 실행할 수 있습니다.
4.2 '대체 전송 솔루션'
- (a) 'Google'이 '제한된 유럽 전송'에 대해 '대체 전송 솔루션'을 채택한 경우 (i) 'Google'은 이러한 '제한된 유럽 전송'이 해당 '대체 전송 솔루션'에 따라 이루어질 수 있도록 하며, (ii) 본 부록 1A의 제5항('컨트롤러 표준 계약 조항')은 이러한 '제한된 유럽 전송'에 적용되지 않습니다.
- (b) 'Google'이 '제한된 유럽 전송'에 대해 '대체 전송 솔루션'을 채택하지 않거나 '고객'에게 'Google'이 더 이상 '제한된 유럽 전송'에 대해 '대체 전송 솔루션'을 채택하지 않는다고 알리는 경우 본 부록 1A의 제5항('컨트롤러 표준 계약 조항')이 '제한된 유럽 전송'에 적용됩니다.
4.3 제3자 전송 조항
- (a) 제4.3항의 적용. 본 부록 1A의 제4.3(b)항('데이터 제공자 개인 정보'의 사용) 및 제 4.3(c)항('데이터 제공자 개인 정보'의 보호)은 다음의 경우에만 적용됩니다.
- (i) 일방 당사자('데이터 수신자')가 '계약'과 관련하여 상대방('데이터 제공자')이 제공한 '컨트롤러 개인 정보'(이러한 '컨트롤러 개인 정보, '데이터 제공자 개인 정보')를 처리하는 경우
- (ii) '데이터 제공자' 또는 그 '계열사'가 '대체 전송 솔루션'에 따라 인증된 경우, 그리고
- (iii) '데이터 제공자'가 이러한 '대체 전송 솔루션' 인증을 '데이터 수신자'에게 서면으로 알리는 경우
- (b) '데이터 제공자 개인 정보'의 사용
- (i) 관련 '대체 전송 솔루션'에 제3자 전송 원칙이 포함된 경우 관련 '대체 전송 솔루션'에 포함된 이러한 제3자 전송 원칙에 따라 '데이터 수신자'는 관련 '컨트롤러 정보주체'가 제공한 동의와 일치하는 방식으로만 '데이터 제공자 개인 정보'를 사용합니다.
- (ii) '데이터 제공자'가 관련 '컨트롤러 정보주체'로부터 계약에 따라 요구되는 동의를 얻지 못한 경우 '데이터 수신자는' '데이터 제공자 개인 정보'를 필수 동의와 일관되게 사용하는 경우 제4.3(b)(i)항을 위반하지 않습니다.
- (c) '데이터 제공자 개인 정보'의 보호
- (i) '데이터 수신자'는 최소한 관련 '대체 전송 솔루션'에서 요구하는 수준으로 '데이터 제공자 개인 정보'를 보호합니다.
- (ii) 제4.3(c)(i)항을 준수할 수 없다고 판단하는 경우 '데이터 수신자'는 (A) '데이터 제공자'에게 서면으로 알리고, (B) '데이터 제공자 개인 정보' 처리를 중단하거나 요구사항을 준수하지 못하는 원인을 해결하는 데 필요한 합당하고 적합한 조치를 취합니다.
- (d) '대체 전송 솔루션' 채택 및 인증. 'Google' 및/또는 'Google 제휴사'의 '대체 전송 솔루션' 채택 또는 이에 따른 인증에 대한 정보는 https://policies.google.com/privacy/frameworks에서 확인할 수 있습니다. 본 제4.3(d)항은 제4.3(a)(iii)항의 목적을 위해 약관 발효일 현재 'Google' 및 'Google' 계열사의 현재 인증에 대한 서면 고지를 구성합니다.
5. '컨트롤러 표준 계약 조항'
5.1 '고객'에게 '유럽 컨트롤러 개인 정보' 전송. 다음에 해당하는 경우:
- (a) 'Google'이 '유럽 컨트롤러 개인 정보'를 '고객'에게 전송하고
- (b) 전송이 '제한된 유럽 전송'인 경우, 데이터를 가져오는 측인 '고객'은 데이터를 내보내는 측인 Google Ireland Limited(해당하는 'Google 최종 컨트롤러')와 '컨트롤러 표준 계약 조항'을 체결한 것으로 간주되며 전송에는 '컨트롤러 표준 계약 조항'이 적용됩니다.
5.2 '고객'에게 '영국 컨트롤러 개인 정보' 전송 다음에 해당하는 경우:
- (a) 'Google'이 '영국 컨트롤러 개인 정보'를 '고객'에게 전송하고
- (b) 전송이 '제한된 유럽 전송'인 경우, '고객'은 데이터를 가져오는 측으로서 데이터를 내보내는 측인 Google LLC(관련 'Google 최종 컨트롤러')와 '컨트롤러 표준 계약'을 체결한 것으로 간주되며 전송에는 '컨트롤러 표준 계약 조항'이 적용됩니다.
5.3 'Google'로의 '유럽 컨트롤러 개인 정보' 전송 양 당사자는 '고객'이 '유럽 컨트롤러 개인 정보'를 'Google'로 전송하는 경우 Google Ireland Limited(관련 'Google 최종 컨트롤러')의 주소가 '적정 데이터 보호 국가'이고 해당 전송이 '허용된 유럽 전송'이므로 '컨트롤러 표준 계약 조항'이 요구되지 않는다는 것을 인정합니다. 이는 본 부록 1A의 제4.1항('제한된 유럽 전송')에 따른 Google의 의무에 영향을 미치지 않습니다.
5.4 Google로의 '영국 컨트롤러 개인 정보 전송' '고객'이 '영국 컨트롤러 개인 정보'를 'Google'로 전송하는 경우 '고객'은 데이터를 내보내는 측으로, 데이터를 가져오는 측인 Google LLC(해당 'Google 최종 컨트롤러')와 '컨트롤러 표준 계약 조항'을 체결한 것으로 간주되며, Google LLC의 주소가 '적정 데이터 보호 국가'가 아니므로 전송에 '컨트롤러 표준 계약 조항'이 적용됩니다.
5.5 'Google'에 문의, 고객 정보
- (a) '고객'은 https://support.google.com/policies/troubleshooter/9009584 또는 'Google'에서 때때로 제공하는 다른 방법을 통해 '컨트롤러 표준 계약 조항'과 관련하여 Google Ireland Limited 및/또는 Google LLC에 문의할 수 있습니다.
- (b) '고객'은 '컨트롤러 표준 계약 조항'에 따라 'Google'이 (i) 데이터를 가져오는 측의 신원 및 연락처 세부정보(데이터 보호 책임이 있는 담당자 포함), (ii) 데이터를 가져오는 측이 구현하는 기술적 수단 및 조직적 수단 등의 특정 정보를 기록해야 한다는 것을 인정합니다. 따라서 '고객'은 요청 시, 그리고 '고객'에 해당하는 경우 'Google'이 제공하는 수단을 통해 'Google'에 이러한 정보를 제공하며, 반드시 최신 상태의 정확한 정보를 제공합니다.
5.6 정보주체의 질의에 응답 해당 데이터를 가져오는 측은 관련된 '컨트롤러 개인 정보'의 처리에 관해 정보주체 및 감독 당국의 질의에 응답할 책임이 있습니다.
5.7 해지 시 데이터 삭제 다음에 해당하는 경우:
- (a) '컨트롤러 표준 계약 조항'에 따라 Google LLC가 데이터를 가져오는 측, '고객'이 데이터를 내보내는 측의 역할을 하고,
- (b) '고객'이 '컨트롤러 표준 계약 조항'의 제16(c)조에 따라 '계약'을 해지하는 경우, '컨트롤러 표준 계약 조항' 제16(d)조의 목적상 '고객'은 'Google'에 '컨트롤러 개인 정보'를 삭제하도록 지시하며, '유럽 법'에서 보관을 요구하지 않는 한, 'Google'은 ('측정 서비스'의 특성 및 기능뿐만 아니라 'Google'이 해당 데이터의 독립적인 컨트롤러임을 고려하여) 합리적으로 가능한 범위 내에서 가능한 한 빨리 해당 삭제를 추진합니다.
6. '컨트롤러 표준 계약 조항'이 적용되는 경우의 책임
본 부록 1A의 제5항('컨트롤러 표준 계약 조항')에 따라 '컨트롤러 표준 계약 조항'이 적용되는 경우
- (a) '고객'에 대한 'Google', Google LLC, Google Ireland Limited의 총 합산 책임 및
- (b) 'Google', Google LLC 및 Google Ireland Limited에 대한 '고객'의 총 합산 책임에는 계약 및 컨트롤러 표준 계약 조항에 따라, 그리고 그와 관련해, 제5항('책임')이 적용됩니다. '컨트롤러 표준 계약 조항'의 제12조는 위 문장에 영향을 주지 않습니다.
7. 제3의 수혜자
Google LLC 및/또는 Google Ireland Limited가 '계약' 당사자가 아니지만 본 부록 1A의 제5항('컨트롤러 표준 계약 조항')에 따라 해당하는 '컨트롤러 표준 계약 조항'의 당사자인 경우, Google LLC 및/또는 Google Ireland Limited(해당하는 경우)는 본 부록 1A의 제4.4항('최종 컨트롤러'), 제3항('Google 최종 컨트롤러'), 제5항('컨트롤러 표준 계약 조항') 및 제6항('컨트롤러 표준 계약 조항'이 적용되는 경우의 책임)의 제3의 수혜자입니다. 본 제7항('제3의 수혜자)이 '계약'의 다른 조항과 상충하거나 일치하지 않는 경우 본 제7항('제3의 수혜자')이 적용됩니다.
8. 우선 적용
8.1 '컨트롤러 표준 계약 조항', 본 부록 1A, 본 '컨트롤러 약관'의' 나머지 내용 및/또는 '계약'의 나머지 내용이 상충하거나 불일치하는 경우 '컨트롤러 표준 계약 조항'이 우선적으로 적용됩니다.
8.2 추가 상업 조항 본 '컨트롤러 약관'의 수정안에 따라 '계약'은 완전한 효력을 유지합니다. 본 부록 1A의 제5.5항('Google'에 문의)~제5.7항(해지 시 데이터 삭제) 및 제6항('컨트롤러 표준 계약 조항'이 적용되는 경우의 책임)은 '컨트롤러 표준 계약 조항'의 2(a)조(본 조항의 영향 및 불변성)에 따라 허용되는 '컨트롤러 표준 계약 조항'과 관련된 추가 상업 조항입니다.
8.3 '컨트롤러 표준 계약 조항' 수정 금지 '계약'(본 '컨트롤러 약관' 포함)의 어떠한 내용도 '컨트롤러 표준 계약 조항'을 수정 또는 부정하거나 '유럽 데이터 보호법'에 따른 정보주체의 기본권 및 자유를 침해하려는 의도로 작성되지 않습니다.
파트 B - '미국 주 개인 정보 보호법'의 '추가 약관'
1. 소개
'Google'에서는 경우에 따라 업데이트되는 business.safety.google/rdp의 지원 문서에 설명된 대로 제한적인 데이터 처리(제한적인 데이터 처리)와 관련해 '측정 서비스'에 대해 특정 제품 내 설정, 구성 또는 기타 기능을 제공할 수 있으며 '고객'은 이를 사용 설정할 수 있습니다. 본 부록 1B는 아래에 정의된 '미국 주 개인 정보 보호법'과 관련하여 '계약'에 따른 '고객 개인 정보' 및 '익명화된 데이터(아래에 정의됨)' 처리에 대한 당사자의 계약을 반영하며, 각 '미국 주 개인 정보 보호법'이 적용되는 범위에서만 효력이 발생합니다.
2. 추가 정의 및 해석
본 부록 1B에 나오는 용어의 정의는 다음과 같습니다.
- (a) '고객 개인 정보'는 Google의 측정 서비스 제공 시 '고객'을 대신하여 'Google'이 처리하는 개인 정보를 의미합니다.
- (b) '익명화된 데이터'는 일방 당사자가 상대방에게 공개할 때 '익명화'된 데이터 정보(해당 용어는 CCPA에서 정의) 및 '익명화된 데이터'(기타 '미국 주 개인 정보 보호법'에서 정의)를 의미합니다.
- (c) '지침'은 (a) RDP 서비스 및 관련 기술 지원을 제공하기 위해, (b) '고객'의 'RDP 서비스'(해당 'RDP 서비스'의 설정 및 기타 기능 포함) 및 관련 기술 지원의 사용을 통해 추가로 명시된 대로, (c) 본 부록 1B를 포함하여 '계약'의 형태로 문서화된 대로, (d) '고객'이 제공하고 'Google'이 본 부록 1B의 목적상 지침을 구성하는 것으로 인정한 다른 서면 지침에 추가로 문서화된 대로, (e) '미국 주 개인 정보 보호법'에 따라 서비스 제공자 및 프로세서에게 허용된 대로 '고객 개인 정보'를 처리하기 위해 '미국 주 개인 정보 보호법'에 따라서만 '고객 개인 정보'를 처리하도록 하는 Google에 대한 '고객'의 지침을 통칭하여 의미합니다.
- (d) 'RDP 서비스'는 '제한적인 데이터 처리'에 따라 운영하는 '컨트롤러 서비스'를 의미합니다.
- (e) '기간'은 '약관 시행일'부터 '계약'에 따라 'Google'의 '측정 서비스' 제공이 종료되는 날까지의 기간을 의미합니다.
- (f) 본 부록 1B에 사용되는 용어 '비즈니스', '소비자', '개인 정보', '매매', '판매', '서비스 제공자' 및 '공유'는 '미국 주 개인 정보 보호법'에 명시된 의미를 가집니다.
- (g) '제한적인 데이터 처리'를 비롯한 Google 서비스 이용 시의 각 '미국 주 개인 정보 보호법' 준수에 대한 책임은 온전히 '고객'에게 있습니다.
3. '미국 주 개인 정보 보호법' 약관('제한적인 데이터 처리')
3.1 데이터 처리
3.1.1
- (a) '프로세서' 및 '컨트롤러' 책임. 양 당사자는 다음을 인정하고 이에 동의합니다.
- (i) 본 부록 1B의 제7항('미국 주 개인 정보 보호법'에 따른 '데이터 처리'의 '주제' 및 세부정보)에서는 '고객 개인 정보' 처리의 주제 및 세부정보를 설명합니다.
- (ii) 'Google'은 '미국 주 개인 정보 보호법'에 따라 '고객 개인 정보'의 서비스 제공자이자 프로세서입니다.
- (iii) '고객'은 해당하는 경우 '미국 주 개인 정보 보호법'에 따라 '고객 개인 정보'의 컨트롤러 또는 프로세서입니다.
- (b) 프로세서 고객. '고객'이 프로세서인 경우:
- (i) '고객'은 관련 컨트롤러가 (A) '지침', (B) '고객'이 'Google'을 다른 프로세서로 지명하는 것, (C) 'Google'이 본 부록 1A의 제3.6항('하도급업체')에 설명된 하도급업체로 참여하는 것을 승인했음을 지속적으로 보증합니다.
- (ii) '고객'은 제3.3.2(a)항('이슈 알림') 및 제3.6항('하도급업체')에 따라 'Google'이 제공한 모든 알림을 관련 컨트롤러에게 즉시 전달합니다.
- (iii) '고객'은 제3.3.3(c)항('고객'의 감사 권리) 및 제3.6항('하도급업체')에 따라 'Google'이 제공한 모든 정보를 관련 컨트롤러에게 제공할 수 있습니다.
3.1.2 고객의 지침. 본 부록 1B를 체결함으로써 '고객'은 지침에 따라서만 '고객 개인 정보'를 처리하도록 Google에 지시합니다.
3.1.3 Google의 지침 준수. 'Google'은 '미국 주 개인 정보 보호법'에서 금지하지 않는 한 '지침'을 준수합니다.
3.1.4 추가 제품. '고객'이 Google 또는 서드 파티가 제공하는 다음과 같은 (a) 'RDP 서비스'의 일부가 아니고, (b) 'RDP 서비스'의 사용자 인터페이스 내에서 사용하기 위해 액세스할 수 있거나 기타 다른 방식으로 'RDP 서비스'와 통합되는 제품, 서비스 또는 애플리케이션을 사용하는 경우('추가 제품'), 'RDP 서비스'는 해당 '추가 제품'에서 'RDP 서비스'와 '추가 제품'의 상호 운용에 필요한 '고객 개인 정보'에 액세스하도록 허용할 수 있습니다. 명확하게 말하면, 본 부록 1B는 해당 '추가 제품'과의 사이에 전송된 개인 정보를 포함하여 '고객'이 사용하는 '추가 제품'의 제공과 관련된 개인 정보의 처리에는 적용되지 않습니다.
3.2. 계약 기간 만료 시 데이터 삭제. '고객'은 관련 법률에 따라 '계약 기간' 종료 시 남아 있는 모든 '고객 개인 정보'(기존 사본 포함)를 Google의 시스템에서 삭제하도록 Google에 지시합니다. 'Google'은 관련 법률에 따라 보관해야 하는 경우가 아니라면 최대 180일 안에, 합리적으로 실행 가능한 최대한 빠른 시점에 이러한 지시를 준수합니다.
3.3. 데이터 보안
3.3.1 Google의 보안 조치 및 지원
- (a) Google의 보안 조치. 'Google'은 '고객 개인 정보'가 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 액세스되는 것을 방지하기 위해 기술적 조치 및 조직적 조치를 이행하고 유지합니다('보안 조치'). 보안 조치로는 (i) 개인 정보를 암호화하거나, (ii) Google의 시스템 및 서비스의 기밀성, 무결성, 가용성 및 탄력성을 지속적으로 유지하거나, (iii) 이슈 이후 개인 정보에 대한 접근을 빠르게 복구하거나, (iv) 정기적인 효율성을 테스트하는 조치 등이 있습니다. 'Google'은 보안 조치를 때때로 업데이트하거나 수정할 수 있습니다. 단, 이러한 업데이트와 수정이 '고객 개인 정보'의 전체적인 보안을 약화시키지 않는 경우에 한합니다.
- (b) 접근 및 규정 준수. 'Google'은 '고객 개인 정보'를 처리하도록 승인된 모든 사람이 기밀 유지를 약속하거나 적절한 법적 기밀 유지 의무를 이행하도록 합니다.
- (c) 'Google'의 보안 지원. 'Google'은 ('고객 개인 정보' 처리의 특성 및 'Google'이 사용할 수 있는 정보를 고려하여) 다음과 같이 '고객'이 '미국 주 개인 정보 보호법'에 따른 개인 정보 보안 및 개인 정보 유출과 관련된 고객(또는 '고객'이 프로세서인 경우 관련 컨트롤러)의 의무를 포함하여 '고객'(또는 '고객'이 프로세서인 경우 관련 컨트롤러)의 개인 정보 보안 및 개인 정보 유출에 관한 의무를 이행하도록 지원합니다.
- (i) 제3.3.1(a)항(Google의 '보안 조치')에 따른 '보안 조치' 이행 및 유지
- (ii) 제3.3.2항('데이터 이슈')의 조건 준수, 그리고
- (iii) '고객'에게 제3.3.3(c)항('고객'의 감사 권리)에 따라 부여된 권리 제공
3.3.2 데이터 이슈
- (a) 이슈 알림. 'Google'은 데이터 이슈(아래에 정의됨)를 알게 되는 경우 (i) 부당한 지연 없이 '고객'에게 데이터 이슈를 알리고, (ii) 피해를 최소화하고 '고객 개인 정보'를 보호하기 위해 신속하게 합리적인 조치를 취합니다. 본 부록 1B에서 '데이터 이슈'는 'Google'이 관리하거나 기타 다른 방식으로 통제하는 시스템에 저장된 '고객 개인 정보'의 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 이러한 데이터에 대한 액세스로 이어지는 'Google' 보안에 대한 위반을 의미합니다. 실패한 로그인 시도, 핑, 포트 검색, DoS 공격, 기타 방화벽이나 네트워크로 연결된 시스템에 대한 네트워크 공격을 포함해 '고객 개인 정보'의 보안을 훼손하지 않는 실패한 시도나 활동은 '데이터 이슈'에 포함되지 않습니다.
- (b) 알림의 전달. 'Google'은 본 부록 1B와 관련하여 Google로부터 특정 알림을 받기 위해 RDP 서비스의 사용자 인터페이스 또는 'Google'이 제공하는 기타 수단을 통해 '고객'이 지정한 이메일 주소('알림 이메일 주소') 또는 'Google'의 재량에 따라('고객'이 '알림 이메일 주소'를 제공하지 않은 경우 포함) 기타 직접적인 커뮤니케이션(예: 전화 통화, 이메일 또는 대면 회의)을 통해 데이터 이슈에 대한 알림을 전달합니다. '고객'은 '알림 이메일 주소'를 제공하고 유효한 최신 '알림 이메일 주소'를 제공할 전적인 책임을 집니다.
- (c) 제3자 알림. '고객'은 '고객'에게 적용되는 이슈 알림에 관한 법규를 준수하고 '데이터 이슈'에 관한 제3자 알림 의무를 이행해야 할 단독 책임이 있습니다.
- (d) 'Google'의 과실 인정 금지. 'Google'이 본 제3.3.2항(데이터 이슈)에 따라 '데이터 이슈'를 알리거나 대응한다고 해서 'Google'이 '데이터 이슈'에 대한 과실이나 책임을 인정하는 것은 아닙니다.
3.3.3 고객의 보안 책임 및 평가
- (a) 고객의 보안 책임. '고객'은 제3.3.1항('Google'의 보안 조치 및 지원)과 제3.3.2항(데이터 이슈)에 따른 'Google'의 의무에 영향을 주지 않는 범위에서 다음과 같이 동의합니다.
- (i) '고객'은 (1) '고객 개인 정보'와 관련된 위험에 대해 적절한 수준의 보안을 보장하기 위해 'RDP 서비스'를 적절히 사용하고, (2) '고객'이 'RDP 서비스'에 액세스하는 데 사용하는 계정 인증 정보, 시스템 및 기기를 보호하는 것을 포함하여 'RDP 서비스 사용'에 대해 책임이 있습니다.
- (ii) 'Google'은 '고객'이 'Google' 및 'Google'의 하도급업체 시스템 외부에 저장하거나 전송하기로 선택한 '고객 개인 정보'를 보호할 의무가 없습니다.
- (b) 고객의 보안 평가. '고객'은 제3.3.1(a)항('Google'의 '보안 조치')에 명시된 대로 'Google'이 이행하고 유지하는 '보안 조치'가 최신 기술, 이행 비용, '고객 개인 정보' 처리의 특성, 범위, 맥락 및 목적은 물론 개인에 대한 위험을 고려하여 '고객 개인 정보'와 관련된 위험에 대해 적절한 수준의 보안을 제공한다는 것을 인정하고 이에 동의합니다.
- (c) '고객'의 감사 권리
- (i) '고객'은 다음을 요청 및 검토하여 'Google'에서 본 부록 1B에 따른 의무를 준수하고 있는지 확인할 수 있습니다. (1) '고객'의 요청 일자 기준 12개월 이내에 제3자 감사자가 실시한 감사 결과를 반영하는 보안 인증에 대해 발급된 인증서(예: SOC 2 Type II, ISO/IEC 27001 인증서 또는 이와 유사한 인증서 또는 '고객'과 'Google'이 동의한 제3자 감사자에 의해 실시된 기타 보안 인증서), (2) '고객'이 이러한 준수 여부를 확인하는 데 합리적으로 필요하다고 'Google'에서 판단한 모든 기타 정보
- (ii) 또는 'Google'은 단독 재량으로 '고객'의 요청에 따라 'Google'이 본 부록 1B에 따른 의무를 준수하는지 확인하기 위해 제3자에 의한 감사를 시작할 수 있습니다. 이러한 감사 과정에서 'Google'은 제3자 감사자에게 이러한 준수 여부를 입증하는 데 필요한 모든 정보를 제공합니다. '고객'이 이러한 감사를 요청하는 경우 'Google'은 모든 감사에 대해 비용('Google'의 합당한 비용 기준)을 청구할 수 있습니다. 'Google'은 이러한 감사 비용의 세부 내역과 계산의 근거를 '고객'에게 제공합니다. '고객'은 '고객'이 임명한 제3자 감사자가 이러한 모든 감사를 수행하기 위해 청구한 모든 요금에 대한 책임을 집니다.
- (iii) 본 부록 1B의 어떠한 조항도 'Google'이 '고객' 또는 제3자 감사자에게 다음 정보를 공개하거나 '고객' 또는 제3자 감사자가 다음 정보에 액세스할 수 있도록 허용하도록 요구하지 않습니다.
- (1) 'Google 법인'의 기타 모든 고객의 모든 데이터
- (2) 'Google 법인'의 모든 내부 회계 또는 재무 정보
- (3) 'Google 법인'의 모든 영업비밀
- (4) 'Google'의 합당한 의견에 따라 (A) 'Google 법인'의 시스템 또는 사내 보안을 침해할 수 있거나 (B) 모든 'Google 법인'이 '미국 주 개인 정보 보호법'에 따른 의무 또는 '고객'이나 서드 파티에 대한 보안 및/또는 개인 정보 보호 의무를 위반할 수 있는 정보, 또는
- (5) '고객' 또는 제3자 감사자가 '미국 주 개인 정보 보호법'에 따른 '고객'의 의무를 선의의 원칙으로 이행하기 위해서가 아닌 다른 이유로 액세스하려고 하는 정보
3.4 영향 평가 관련 지원. 'Google'은 (처리의 특성 및 'Google'이 사용할 수 있는 정보를 고려하여) 다음과 같은 방법으로 '고객'이 '미국 주 개인 정보 보호법'이 요구하는 범위 내에서 데이터 보호 영향 평가 및 사전 규제 협의와 관련된 고객(또는 '고객'이 프로세서인 경우 관련 컨트롤러)의 의무를 이행하도록 지원합니다.
- (a) 보안 문서 제공
- (b) '계약'(본 부록 1B 포함)에 포함된 정보 제공
- (c) 'Google'의 표준 관행에 따라 'RDP 서비스'의 특성 및 '고객 개인 정보' 처리와 관련된 기타 자료(예: 고객센터 자료)를 제공하거나 그 밖의 방법으로 공개
3.5. 정보주체의 권리
3.5.1 정보주체의 요청에 대한 응답. 'Google'이 '고객 개인 정보'와 관련하여 정보주체로부터 요청을 받는 경우 '고객'은 'Google'에 권한을 부여하며 이에 따라 'Google'은 '고객'에게 다음과 같이 할 것임을 알립니다.
- (a) 'Google'이 '고객 개인 정보'와 관련한 정보주체의 특정 요청에 직접 그리고 표준화된 방식으로 직접 대응할 수 있도록 하고 'Google 법인'이 정보주체에 제공하는 도구(있는 경우)의 표준 기능에 따라 정보주체의 요청에 직접 대응(예: 온라인 광고 설정 또는 선택 해제 브라우저 플러그인)('정보주체 도구')('정보주체 도구'를 통해 요청한 경우), 또는
- (b) '고객'에게 요청을 제출하도록 정보주체에게 조언하고, 이 경우 '고객'은 해당 요청에 응답할 책임이 있습니다('정보주체 도구'를 통해 요청하지 않은 경우).
3.5.2 정보주체의 요청에 대한 'Google'의 지원. 'Google'은 모든 경우 '고객 개인 정보' 처리의 특성을 고려하고 다음과 같이 하여 '고객'이 '미국 주 개인 정보 보호법'에 따라 정보주체의 권리 행사 요청에 응답해야 하는 고객(또는 '고객'이 프로세서인 경우 관련 컨트롤러)의 의무를 이행하도록 지원합니다.
- (a) 'RDP 서비스'의 기능 제공
- (b) 제3.5.1항(정보주체 요청에 대한 응답)에 명시된 약속 준수
- (c) 'RDP 서비스'에 해당하는 경우 '정보주체 도구' 제공
3.5.3 정정. '고객 개인 정보'가 부정확하거나 오래되었다는 사실을 알게 된 경우 '고객'은 (가능한 경우) 'RDP 서비스'의 기능을 사용하는 등의 방법으로, '미국 주 개인 정보 보호법'에서 요구하는 경우 해당 데이터를 정정하거나 삭제할 책임이 있습니다.
3.6. 하도급업체.
- (a) '고객'은 일반적으로 'Google'에게 'RDP 서비스'의 제공과 관련하여 다른 법인을 하도급업체로 고용할 수 있는 권한을 부여합니다. 하도급업체를 고용할 때 'Google'은 다음과 같이 합니다.
- (i) 서면 계약을 통해, (1) 하도급업체가 하도급된 의무를 이행하는 데 필요한 범위 내에서만 '계약'(본 부록 1B 포함)에 따라 '고객 개인 정보'에 액세스하고 이를 사용하며, (2) '고객 개인 정보'의 처리에 '미국 주 개인 정보 보호법'이 적용되는 경우 본 부록 1B의 데이터 보호 의무가 하도급업체에 부과되도록 해야 합니다.
- (ii) 새로운 하도급업체를 고용할 때 '미국 주 개인 정보 보호법'에서 요구하는 경우 '고객'에게 해당 새 하도급업체에 대해 알리고, '미국 주 개인 정보 보호법'에서 요구하는 경우 '고객'이 해당 하도급업체를 거부할 수 있는 기회를 제공합니다.
- (iii) 하도급업체에게 하도급된 모든 의무에 대해서, 그리고 하도급업체의 모든 작위와 부작위에 대해서 전적으로 책임을 집니다.
- (b) '고객'은 이 문서의 제3.6(a)항에 설명된 대로 'Google'에 서면 알림을 보내는 즉시 편의상 '계약'을 종료하여 새로운 하도급업체를 거부할 수 있으며, 이는 새 하도급업체의 참여를 통보받은 후 90일 이내에 그러한 알림을 제공하는 조건으로 합니다.
3.7 Google에 문의. '고객'은 본 부록 1B에 따른 권리의 행사와 관련하여 privacy.google.com/businesses/processorsupport에 설명된 방법으로 또는 'Google'에서 때때로 제공하는 다른 수단을 통해 'Google'에 문의할 수 있습니다.
4. 미국 주 개인 정보 보호법 약관
4.1 '익명화된 데이터'. '제한적인 데이터 처리'를 사용 설정하거나 사용 설정하지 않고 처리된 '고객 개인 정보'와 관련하여, 하나 이상의 '미국 주 개인 정보 보호법'이 '고객 개인 정보'의 처리에 적용되는 경우 각 당사자는 '계약'에 따라 상대방으로부터 수신하는 '익명화된 데이터'와 관련하여 '미국 주 개인 정보 보호법'에 명시된 '익명화된 데이터'를 처리하기 위한 요건을 준수합니다. 본 제4.1항('익명화된 데이터')의 목적상 '고객 개인 정보'는 '측정 서비스'의 제공 또는 사용과 관련하여 '계약'에 따라 일방 당사자가 처리하는 모든 개인 정보를 의미합니다.
5. Google의 CCPA 의무
5.1 '제한적인 데이터 처리'에 따라 처리되는 '고객 개인 정보'와 관련하여 CCPA가 이러한 '고객 개인 정보'의 처리에 적용되는 경우, 'Google'은 CCPA에 따라 서비스 제공자에게 달리 허용되지 않는 한 'Google'에서 합리적으로 결정한 대로 '고객'의 서비스 제공자 역할을 합니다.
- (a) 'Google'은 '계약'과 관련하여 '고객'으로부터 얻은 '고객 개인 정보'를 판매하거나 공유하지 않습니다.
- (b) 'Google'은 business.safety.google/rdp에 제공되며 수시로 업데이트되는 지원 문서에 자세히 설명된 대로, '고객'을 대신해 CCPA에 따른 비즈니스 목적을 달성하고 'RDP 서비스'를 실행한다는 구체적인 목적 이외의 다른 목적으로 '고객 개인 정보'를 유지, 사용 또는 공개하지 않습니다('Google'과 '고객' 간의 직접적인 비즈니스 관계를 벗어나는 경우 포함).
- (c) 'Google'은 CCPA에 따라 허용하는 경우를 제외하고 business.safety.google/rdp에 제공된 지원 문서에 자세히 설명된 대로, 'Google'이 '고객'으로부터 또는 '고객'을 대신하여 수신하는 '고객 개인 정보'를 (i) 'Google'이 다른 사람으로부터 또는 다른 사람을 대신하여 수신하는 개인 정보 또는 (ii) 소비자와의 자체 상호작용으로부터 수집된 개인 정보와 결합하지 않습니다.
- (d) 'Google'은 '계약' 및 지원 문서(예: 고객센터 문서)에 자세히 설명되거나 CCPA에 따라 달리 허용된 대로, 'RDP 서비스'를 실행한다는 구체적인 목적을 위해 이러한 '고객 개인 정보'를 처리하며, 양 당사자는 '고객'이 이러한 목적으로 'Google'에 이러한 '고객 개인 정보'를 제공한다는 데 동의합니다.
- (e) 'Google'은 제3.3.3(c)항('고객'의 감사 권리)에 따라 'Google'이 본 부록 1B에 따른 의무를 준수하는지 확인하기 위한 감사를 허용합니다.
- (f) 'Google'에서 더 이상 CCPA에 따른 의무를 준수할 수 없다고 판단하는 경우 '고객'에게 고지해야 합니다. 본 제5.1(f)항은 '계약'의 다른 부분에 명시된 각 당사자의 권리와 의무를 축소하지 않습니다.
- (g) '고객'이 'Google'에서 '고객 개인 정보'를 무단으로 처리하고 있다고 합리적으로 판단하는 경우, '고객'은 privacy.google.com/businesses/processorsupport에 설명된 방법을 통해 'Google'에 이러한 판단을 알릴 권리가 있으며, 양 당사자는 필요한 경우 규정을 위반한 것으로 의심되는 처리 활동을 선의에 따라 해결하기 위해 협력합니다.
- (h) 'Google'은 CCPA에 따른 관련 의무를 준수하며 CCPA에서 요구하는 것과 동일한 수준의 개인 정보 보호 기능을 제공합니다.
5.2 '제한적인 데이터 처리'를 사용 설정하지 않고 처리된 '고객 개인 정보'와 관련하여 '고객 개인 정보'의 처리에 CCPA가 적용되는 범위에 한해,
- (a) 'Google'은 해당하는 경우 '계약' 및 지원 문서(예: 고객센터 문서)에 자세히 설명되거나 CCPA에 달리 허용된 대로, 측정 서비스를 실행한다는 구체적인 목적을 위해 이러한 '고객 개인 정보'를 처리하며, 양 당사자는 '고객'이 이러한 목적으로 'Google'에 이러한 '고객 개인 정보'를 제공한다는 데 동의합니다.
- (b) 'Google'은 제3.3.3(c)항('고객'의 감사 권리)에 따라 'Google'이 본 부록 1B에 따른 의무를 준수하는지 확인하기 위한 감사를 허용합니다.
- (c) 'Google'에서 더 이상 CCPA에 따른 의무를 준수할 수 없다고 판단하는 경우 '고객'에게 고지해야 합니다.
- (d) '고객'이 'Google'에서 '고객 개인 정보'를 무단으로 처리하고 있다고 합리적으로 판단하는 경우, '고객'은 privacy.google.com/businesses/processorsupport에 설명된 방법을 통해 'Google'에 이러한 판단을 알릴 권리가 있으며, 양 당사자는 필요한 경우 규정을 위반한 것으로 의심되는 처리 활동을 선의에 따라 해결하기 위해 협력합니다.
- (e) 'Google'은 CCPA에 따른 관련 의무를 준수하며 CCPA에서 요구하는 것과 동일한 수준의 개인 정보 보호 기능을 제공합니다.
6. 본 부록 1B의 변경
'컨트롤러 약관' 제7항(본 '컨트롤러 약관'에 대한 변경사항) 외에도, 해당하는 경우, 'Google'에서는 고지 없이 본 부록 1B를 변경할 수 있습니다. 이때 이러한 변경사항은 다음에 해당해야 합니다. (a) 관련법, 관련 규정, 법원 명령 또는 정부 규제 기관 또는 정부 기관이 발표한 지침에 의거하는 경우, 또는 (b) 'Google'의 합당한 판단 결과 '미국 주 개인 정보 보호법'에 따라 '고객'에게 중대하고 부정적인 영향을 미치지 않는 경우
7. '미국 주 개인 정보 보호법' 주제에 따른 데이터 처리의 주제 및 세부정보
고객에 대한 'Google'의 'RDP 서비스' 및 관련 기술 지원 제공
처리 기간
'계약 기간'과 '계약 기간' 종료 시점부터 본 부록 1B에 따라 'Google'이 '고객 개인 정보'를 모두 삭제하는 시점까지의 기간
처리 성격 및 목적
'Google'은 부록 1B에 따라 '고객'에게 'RDP 서비스' 및 관련 기술 지원을 제공하기 위해, 또는 '미국 주 개인 정보 보호법에 따라' 프로세서가 달리 허용하는 대로, ('RDP 서비스' 및 수집, 기록, 구성, 구조화, 저장, 변경, 검색, 사용, 공개, 결합, 삭제, 파기에 관한 지침에 해당하는 경우를 포함하여) '고객 개인 정보'를 처리합니다.
개인 정보의 유형
'고객 개인 정보'에는 '미국 주 개인 정보 보호법'에 설명된 '개인 정보'의 유형이 포함될 수 있습니다.
정보주체의 범주
'고객 개인 정보'는 다음과 같은 정보주체 범주에 관한 것입니다.
- 'Google'이 'RDP 서비스' 제공 시 개인 정보를 수집하는 대상에 대한 정보주체 및/또는
- 'RDP 서비스'와 관련하여 '고객'에 의해, '고객'의 지시에 따라 또는 '고객'을 대신하여 'Google'로 전송되는 개인 정보의 대상이 되는 정보주체
'RDP 서비스'의 특성에 따라 이러한 정보주체에는 (a) 온라인 광고가 게재되거나 게재될 예정이거나, (b) 'Google'이 'RDP 서비스'를 제공하는 특정 웹사이트 또는 애플리케이션을 방문하거나, (c) '고객'의 제품 또는 서비스의 고객이거나 사용자인 개인이 포함될 수 있습니다.
'Google 측정 컨트롤러 간 데이터 보호 약관', 버전 4.0
이전 버전
