협정

(다음 양자 사이)

LexCom Informationssysteme GmbH, Rüdesheimer Str. 23, 80686 München

- 이하 "계약자"또는 "프로세서"로 언급 -

고객쪽으로

- 이하 "고객"으로 언급 –

참고

제28조 (3) DSGVO에 따라 이 문서에는 고객과 계약자 사이의 주문 처리 계약에 대한 계약자의 조건이 포함된다. 고객은 계약자의 온라인 또는 기타 정보 서비스( "서비스 계약")에 대한 라이센스 계약의 체결 또는 서비스 계약이 이미 있는 경우 후속 선언의 맥락에서 이 계약 조건에 동의함을 선언한다.

1. 계약 대상과 기간

(1) 대상

정보 처리 관련 계약 대상은 기반이 되는 서비스 계약의 결과이다.

(2) 기간

이 계약 기간(기간)은 기반이 되는 서비스 계약의 기간이다.

2. 주문 내용 지정

(1) 의도된 정보 처리의 유형과 목적
주문은 다음과 같은 계약을 포함한다:

각각의 온라인 및 기타 정보 서비스의 사용과 관련하여 고객이 입력한 개인 정보 및 계약자가 프로그램 기능을 제공하기 위해 처리해야 하는 개인 정보의 처리.
다른 작업과 관련하여 계약자에 의한 액세스 가능성을 위해 배제할 수 없는 개인 정보 처리.
- 한편으로 계약자의 평가, 특히 제품 최적화와 성능 및 이용 평가를 위한 제품 기능성 분석의 맥락에서 a)에 언급된 개인 정보에 액세스할 수 있다. 이 경우 계약에 관한 정보는 평가 대상이 아니며 계약자에 의해 제거되거나 가명화/익명화된다
- 다른 한편으로는 관리 및/또는 지원 서비스의 맥락에서 고객에게 로컬로 저장된 기타 개인 정보에 액세스할 수 있다.
그 외에도 VIN에 따른 부품 조회 시 계약자가 해당 VIN을 각 제조사의 서버에 전달해야 할 수 있다. 제조사는 부품 정보 제공에 필요한 특정 정보와 관련된 VIN을 수집한 후 이를 계약자에게 반환한다. 제조사는 자체 목적으로도 VIN을 처리할 수 있으므로 DSGVO의 맥락에서 독자적 책임자이다. 이에 따라 고객은 계약자가 이와 같은 목적으로 VIN을 제조사에 전달하는 것을 허용한다.

(2) 정보 유형

개인 정보 처리 대상은 다음의 정보 유형/카테고리이다.(정보 카테고리 열거/설명)

고객이 온라인 서비스에 입력한 차량 식별 번호(VIN) 및/또는 차량 번호판
고객이 온라인 서비스에 입력한 최종 고객 정보, 특히:
- 부품 주문 시 주소 정보
- 이미지-텍스트-페이지 전송을 위한 이메일 주소
온라인 서비스 등록의 일환으로 최종 고객이 입력한 고객 정보
고객에게 로컬로 저장된 고객 데이터(고객 서비스를 통한 원격 유지 보수의 맥락에서)
- 개인 기본 정보
- 통신 정보(예: 전화, 이메일)

(3) 대상자의 범주

처리 대상자의 범주는 다음과 같다.

고객의 최종 고객

(4) 계약자는 개별 대상자의 식별이 불가하도록 고객 정보를 익명화하거나 종합할 수 있으며, 필요에 상응하는 디자인, 추가 개발, 최적화 및 기본 계약의 조항에 근거하여 합의된 서비스 제공의 목적에 따라 이러한 형식으로 고객 정보를 사용할 수 있다. 계약 당사자는 익명화되거나 위 조항에 따라 종합된 고객 정보가 본 계약의 맥락에서 더 이상 고객 정보로 간주되지 않음에 동의한다.

(5) 계약자는 법적 허용 규정 또는 대상자의 동의 선언에 따라 허용되는 경우, 개인 정보 보호법상 허용되는 범위에서 본인의 책임 하에 개인적 목적으로 고객 정보를 처리하고 사용할 수 있다. 이와 같은 정보 처리에는 본 계약이 적용되지 않는다.

3. 처리 장소

계약상 합의된 정보 처리 조항은 우선적으로 독일에서 또는 유럽 연합 회원국 또는 유럽 경제 지역 협정 당사국에서 발생한다. 제3국 소재 외주업체를 통해 정보를 처리할 경우, 이는 제44조 이후 DSGVO의 특별한 요건이 충족되는 경우에만 가능하다.

4. 기술-조직적 조치

(1) 계약자는 특히 주문의 구체적인 실행과 관련하여 계약 과정에 명시되고 요구되는 기술 및 조직적 조치의 이행을 문서화해야 하며, 이 문서를 이 선언문과 함께 고객에게 제공해야 한다. 고객이 수락하면 문서화된 조치가 계약의 기본이 된다. 그렇지 않은 경우 당사자는 서비스 계약을 맺지 않는다.

(2) 계약자는 제28조 (3) c), 32 DSGVO에 따라 특히 제5조 (1) (2) DSGVO와 관련하여 보안을 형성한다. 전체적으로 취해야 할 조치는 정보 보안 조치이며 시스템의 기밀성, 무결성, 가용성 및 복원력과 관련하여 위험에 대비하여 적절한 수준의 보호를 보장하는 것이다. 그렇게 함으로써 계약자는 제32조 (1) DSGVO의 의미에서 자연인의 권리와 자유에 대한 위험 가능성 및 중요성뿐만 아니라 최신 기술, 시행 비용, 처리의 유형, 범위 및 목적을 고려해야 한다[부록 1의 세부 사항].

(3) 기술 및 조직적 조치는 기술 진보 및 개발에 달려 있다. 그와 관련하여 계약자는 적절한 대체 조치를 취할 수 있다. 그렇게 하면 결정된 조치의 보안 수준을 충족하지 못한다. 중요한 변경은 문서화된다.

5. 정보의 수정, 제한 및 삭제

(1) 계약자는 문서화된 고객 지침에 따라 계약에서 처리되는 정보를 임의로 수정, 삭제하거나 처리를 제한하지 않는다. 처리 대상자가 이에 관하여 계약자를 직접 언급하는 한, 계약자는 즉시 이 요청을 고객에게 전달한다.

(2) 계약자는 서비스 범위에 포함되는 한, 문서화된 고객 지침에 따라 즉시 삭제 개념, 잊혀질 권리, 수정, 정보 이식성 및 정보를 보장한다. 서비스 계약에서 벗어나거나 추가 요구 사항을 설정하는 개별 지침은 계약자의 사전 동의가 필요하다. 이런 경우 고객의 개인 정보 보호 요구 사항 적용은 계약자가 제공하는 온라인 서비스가 높은 비용을 초래할 수 있는 표준 제품임을 고려해야 한다. 이 비용은 해당 개별 계약 후에 고객이 전액 지불해야 한다.

6. 계약자의 품질 보증 및 기타 의무

계약자는 이 계약서의 규정을 준수하는 것 외에도 제28조부터 제33조 DSGVO에 따른 법적 의무가 있다. 특히 다음 요구 사항을 준수한다:

제38조 및 제39조 DSGVO에 따라 자신의 작업을 수행하는 정보 보호 책임자에 대한 서면 약속. 연락처 정보는 고객과의 직접 연락을 위해 전달된다. 정보 보호 책임자가 변경되면 즉시 고객에게 전달한다.
제28조 3항 2호 b, 29, 32 4항 DSGVO에 따른 기밀 유지. 계약자는 기밀 유지 및 사전에 관련 정보 보호 규정을 숙지한 직원만 고용한다. 계약자 및 계약자에 종속된 사람(개인 정보에 액세스 할 수 있는)은 법적인 의무가 없는 한 이 계약서에 부여된 권한을 포함하여 고객의 지침에 따라 독점적으로 이 정보를 처리할 수 있다.
제28조 제3항 제2호 c, 32 DSGVO에 따라 이 계약에 필요한 모든 기술 및 조직적 조치 이행 및 준수 [부록 1의 세부 사항].
고객과 계약자는 업무 수행 시 감독 관청과 협력한다.
이 계약과 관련된 감독 관청의 통제 업무 및 조치에 관해 고객에게 즉각적인 정보 제공. 이는 관련 당국이 계약자 업무 처리 과정에서 개인 정보 처리와 관련된 행정 범죄 또는 형사 소송의 맥락에서 결정한 경우에도 적용된다.
고객이 감독 관청의 통제, 행정 범죄 또는 형사 소송, 당사자 또는 제3자의 책임 주장 또는 계약자의 주문 처리와 관련된 다른 청구의 대상이 되는 경우 계약자는 최선을 다하여 고객을 지원해야 한다.
계약자는 내부 프로세스와 기술 및 조직적 조치를 정기적으로 검토하여 해당 책임 영역 내에서 처리가 적용 가능한 개인 정보 보호법의 요구 사항을 준수하고 당사자의 권리를 확실히 보장한다.
본 계약 제7절에 따라 계약자의 통제 권한의 범위 내에서 고객에 대한 기술 및 조직적 조치 검증 가능성.

7. 하도급 관계

(1) 이 규정의 의미에서 하도급 관계는 주 서비스의 제공과 직접 관련이 있는 서비스이다. 여기에는 계약자가 제공하는 부수적 서비스는 포함되지 않는다. 예를 들면 정보 처리 설비의 하드웨어 및 소프트웨어의 기밀성, 가용성, 무결성 및 복원력을 보장하기 위한 통신 서비스, 우편 / 운송 서비스, 유지 보수 및 사용자 서비스 또는 정보 매체의 폐기 및 기타 조치. 그러나 계약자는 아웃소싱 된 부수적 서비스를 통해 고객의 개인 정보 보호 및 정보 보안을 보장하기 위하여 법의 허용 범위 내에서 적절하게 계약 협상 및 통제 조치를 취할 의무가 있다.

(2) 이로써 고객은 계약자에게 추가적인 프로세서를 요청할 수 있는 일반적인 권한을 부여한다.

고객은 제28조 (2-4) DSGVO에 따른 계약 조건에 따라 다음과 같은 외주업체 지정에 동의한다:

회사 외주업체	주소/국가	서비스
Belenus LOB GmbH	Rüdesheimer Str. 23 80686 München DEUTSCHLAND (독일)	내부 및 외부 전체 IT 운영 준비
LexCom (China) Co., Ltd	Suite G, 9/F Huamin Empire Plaza, 728 Yan An West Road, Changning Shanghai, 200050 CHINA	고객 지원 센터
LexCom Japan K.K.	Shin-Yokohama Daini Centre Bldg., 7F, 3-19-5 Shin-Yokohama, JAPAN	고객 지원 센터
LexCom Information Systems Ltd	Unit C3 Arena Business Centre, 9 Nimrod Way, Wimborne, BH21 7UH, UNITED KINGDOM	고객 지원 센터
LexCom France SARL	Espace Mama Works 51 Quai Lawton 33300 Bordeaux FRANCE	고객 지원 센터
OiC Imaging Comercial Ltda	Rua Kara 419, CEP 09750-300, São Bernardo do Campo, São Paulo, BRAZIL	고객 지원 센터
Element1 Media GmbH	Rüdesheimer Str. 21 80686 München DEUTSCHLAND (독일)	등록의 일환으로 입력된 고객 정보 처리

다음과 같은 경우 기존 외주업체의 변경이 허용된다:

계약자가 고객에게 합리적인 시간을 서면 또는 텍스트 형태로 사전에 외주업체에 아웃소싱
고객은 정보가 계약자에게 전달될 때까지 서면 또는 텍스트 형식으로 계획된 아웃소싱에 반대하지 않으며
제28조 (2-4) DSGVO에 따른 계약상의 협정 또는 구속력있는 선언을 기반으로 한다.

(3) 외주 계약의 모든 전제 조건이 충족된 경우에만 고객의 개인 정보를 외주업체로 이전하고 초기 계약을 수행할 수 있다.

(4) 외주업체의 추가 아웃소싱은 주 계약자의 명시적인 동의를 필요로 한다(최소한 텍스트 형식). 계약 사슬의 모든 계약 약정은 추가 외주업체에게 부과되어야 한다.

8. 고객의 결정권

(1) 고객은 계약자와 협의하여 검사를 실행하거나 개별적인 경우에 지명될 검사관을 통해 실행할 권리가 있다. 고객은 임의 추출 조사를 통해 계약자의 사업 및 영업 비밀에 대한 엄격한 비밀 유지 하에서 계약자의 업무 중단없이 정상 업무 시간 동안 행해지고 있음을 적시에 알리고 사업 운영에서 계약자를 통해 협약의 준수를 확인할 권리가 있다.

(2) 계약자는 고객이 제28조 DSGVO에 따라 계약자의 의무를 준수할 수 있음을 확인해야 한다. 계약자는 요청에 따라 고객에게 필요한 정보를 제공하고, 특히 기술 및 조직적 조치의 이행을 증명할 의무가 있다. 고객은 일반적으로 해당 연도에 검사를 수행할 수 있다. 특별한 사건이 있는 경우 추가 통제가 허용된다.

(3) 계약자는 자체 재량에 따라 고객의 법적 의무를 고려하여 계약자의 사업에 민감하거나 계약자가 법적 또는 계약상 의무를 공개함으로써 이를 위반하는 정보를 공개하지 않을 권리가 있다.

(4) 계약자의 선택에 따라, 특정 계약에만 관련이 없는 그러한 조치의 증거는 현장 점검 대신에

제40조 DSGVO에 따라 승인된 행동 강령을 준수함으로써 실행된다.
제42조 DSGVO에 따라 승인된 인증 절차에 따른 인증;
현재의 증명서, 보고서 또는 독립 단체의 보고서 발췌(예: 공인 회계사, 회계 감사, 정보 보호 책임자, IT 보안 부서, 내부 품질 감사인(IQA));
IT 보안 - 또는 개인 정보 보호 감사(예 : 연방 정보 보안실(BSI)-기본 보안)에 따른 적절한 인증.

이에 대한 전제 조건은 이 조치가 고객이 본 계약의 부속서에 명시된 기술 및 조직적 조치를 준수하는지 합리적인 방식으로 확인할 수 있도록 하는 것이다.

(5) 계약자는 고객의 제어가 실행될 수 있도록 보상 청구를 주장할 수 있다.

9. 계약자의 위반시 통보

(1) 계약자는 제32조부터 36조까지 DSGVO에 언급된 개인 정보 보호 의무, 개인 정보 유출 시 고지 의무, 개인 정보 보호 영향 평가 및 사전 협의에 대한 의무를 이행함에 있어 고객을 지원해야 한다. 여기에는 다음이 포함된다.

처리 상황과 목적은 물론 보안 취약성으로 인해 발생할 수 있는 권리 침해의 가능성 및 중대성을 고려하고 관련 상해 사건을 즉각적으로 확인할 수 있는 기술 및 조직적 조치를 통해 합리적인 보호 수준을 보장
개인 정보의 침해 시 고객에게 즉각 고지해야 하는 의무
당사자에 대한 정보 의무의 범주에서 고객을 지원하고 이와 관련하여 지체없이 모든 관련 정보를 제공할 의무
개인 정보 보호 영향 평가에 대한 고객 지원
감독 관청과의 사전 협의 맥락에서 고객 지원

10. 고객의 권한

(1) 고객은 구두 지침을 즉시 확인한다(최소 텍스트 형식).

(2) 계약자는 지침이 개인 정보 보호 규정을 위반한다고 판단하면 즉시 고객에게 알린다. 계약자는 고객이 확인하거나 변경하기 전까지 해당 지침의 실행을 일시 중단 할 수 있다. 이로 인해 계약자에게 발생하는 비용은 고객에게 보상 청구를 주장할 수 있다.

11. 개인 정보의 삭제 및 반환

(1) 고객의 지침없이 정보의 사본 또는 복제물을 생성하지 않는다. 여기에는 적절한 정보 처리를 보장하는 데 필요한 백업 사본 및 법적 보관 의무를 준수하는 데 필요한 정보는 포함되지 않는다.

(2) 계약상 합의된 업무 종료 후 또는 고객의 요청에 따라 더 일찍 -늦어도 서비스 계약 종료시 - 계약자는 자신이 가지고 있는 모든 문서, 처리 결과, 사용 결과 및 주문 관계와 관련된 데이터베이스를 고객에게 양도하거나 개인 정보 보호 규정에 따른 사전 동의 후 파기해야 한다. 시험 및 스크랩 자료에도 동일하게 적용된다. 요청 시 삭제 로그를 제출해야 한다.

(3) 계약자는 계약 종료 후 각 보존 기간에 따라 질서있고 적절한 정보 처리의 증거가 되는 문서를 보관한다. 계약자는 계약 종료 시 고객에게 계약금을 반환할 수 있다.

1. 기밀성(제32조 (1) b) DSGVO)

액세스 제어

권한 증명
액세스 코드 카드/ 액세스 트랜스폰더
액세스 권한 개념
모니터링 장치(예: 비디오 모니터링)
키 제어
회사 외부인, 방문객 증명 관련 규정
직원 동반 방문객 입장
방문객 입장 기록
경보 시스템 및/또는 설비 보안을 통한 근무 외 시간에도 보안 유지
정의된 보안 영역 및 액세스 제어
인도 및 발송을 위한- 보안 입구
도어 보안 장치(전자식 도어 개폐기, 신분증 리더기, TV 모니터, 경비원)
직원을 통한 통제(2인 원칙)
재산 보호를 위한 조치(예: 특수 유리, 경보 시스템, 현장 감시)
데이터 센터에 대한 특수 보안 액세스
폐쇄 가능한 공간에 서버 보관
잠금 장치 설치 또는 폐쇄 가능한 공간에 데이터 캐리어 보관
금고에 백업(예: 테이프, CD) 저장
키 발급 기록 관리
기타/상기 조치 상세:

액세스 제어

네트워크 암호화
정보 처리 시스템 잠금
DV 시스템에 대한 사용자 식별
식별 키 발급 및 보안
컴퓨터 워크 스테이션의 비밀번호 보호
워크 스테이션 컴퓨터 및 식별 기능의 기능적 및/또는 일시적으로 제한된 사용
사용자 인증 규정
개별 비밀번호 사용
비밀번호를 여러 번 잘못 입력한 경우 사용자 계정 자동 차단
비활성 후 자동 암호 입력 화면 잠금(스크린 세이버)
암호 복잡성과 업데이트 주기에 대한 최소 기준이 있는 암호 정책
저장된 비밀번호 해시
직원의 신규 입사 시 권리 양도 절차
직원의 부서 변경 시 권리 철회 절차
직원 퇴사 시 권리 철회 절차
제28조 (3) b) DSGVO에 따른 데이터 보안 관련 의무
파일 구성 관련 지침
시스템 사용의 로깅 및 평가
데이터 캐리어의 통제된 파기
데이터 수집을 위한 작업 지시 및 처리 절차
프로그램 검토 및 승인 프로세스
기타/상기 조치 상세:

액세스 제어

액세스 권한 정의, 권한 개념
데이터 입력, 변경, 삭제를 위한 권한 정의
권한 부여 승인(조직) 및
권한 부여 할당(기술)의 분리
드라이브 사용 및 할당 개념
백업으로부터 데이터 복원을 위한 규정(누가,
언제, 누구의 요청으로)
권한에 대한 정기적 점검
자유롭고 통제되지 않은
데이터 뱅크 쿼리 가능성 제한
로그(로그 파일)의 정기적 평가
터미널의 신분증 리더기
데이터 베이스 및 기능에 대한 부분 액세스 가능성(읽기, 쓰기, 실행)
파일 액세스, 삭제, 변경 로깅
워크 스테이션 컴퓨터의 멀웨어 스캐너
웹용 멀웨어 필터링
이메일용 멀웨어/스팸 필터링
방화벽
침입 탐지/예방(IDS/IPS)
로그 데이터에 대한 제한된 액세스(로그 관리자로 제한)
전용 로그 서버에 로그 데이터 저장
기타/상기 조치 상세:

분리 제어

클라이언트/위임자 분리
개발, 테스트 및 생산 시스템 분리

2. 무결성(제32조 (1) b) DSGVO)

릴레이 제어

안전한 파일 교환(SFTP/FTPS)
HTTPS 연결을 통한 데이터 교환(TLS 1.1 및 1.2)
이전 승인 정의, 권한 개념
직원을 통한 통제(2인 원칙)
인도 및 발송을 위한 보안 입구
데이터 캐리어 관리, 재고 관리
데이터 캐리어가 있어야 하는 영역 정의
기밀 데이터 캐리어 암호화
랩톱 암호화
잠금식 보안 캐비닛에 개인 정보
저장
보안 구역에 가방 및 기타 수하물 휴대 금지
데이터 캐리어 안전 삭제(예: 물리적 파괴, 다중 덮어쓰기)
안전한 서류 폐기: 금속 소재의 잠금 용기(이른바 자료 보호 보관함)
사본 생성 규정
전송해야 하는 데이터 캐리어의 보안 사본
포장 및 운송 지침
직접 픽업, 택배, 운송 동반
완전성 및 정확성 점검

입력 내용 제어

수집한 데이터의 라벨링/분류
사용자 권한 정의(역할/프로필)
차별화된 사용자 권한(데이터 읽기, 변경, 삭제, 데이터 또는 기능에 대한 부분 액세스)
입력 내용 책임에 대한 조직적 정의
데이터 입력/삭제 로깅
개정/검증 목적의 보존 기간 규정

3. 가용성 및 복원력(제32조 (1) b) DSGVO)

가용성 관리

백업 및 백업 개념
백업 및 백업 개념의 정기적 검토
필요한 직원에 대한 서버실 액세스 제한
서버실의 화재 경보 시스템
서버실의 자동 소화 시스템
서버실의 물을 사용하지 않는 소화기(예: CO2 소화기)
에어컨 설비가 된 서버실
낙뢰/과전압 보호
무정전 전원 공급 장치(UPS)
네트워크 교체 시스템(NEA)
서버실의 물 센서
별도의 공간 및 방화 구획에 백업 시스템 보관
데이터 보안 캐비닛, 금고에 데이터 보관
백업 저장 매체의 복구 가능성에 대한 정기 점검
향후 백업 저장 매체의 기술적 가독성 보장
필요한 저장 조건(온도 조정, 보안 요건 등)에 따라 백업 저장 매체 저장
(데이터) 백업 전송 계약
정기적인 취약성 분석(현장 보호, 건물 보호, 네트워크 및 IT 시스템 침입)
중복 저장 시스템
대체 데이터 센터

4. 가용성 및 액세스 복구(제32조 (1) c) DSGVO)

위기 또는 비상시 계획(예: 물, 화재, 폭발, 공격 위협, 충돌, 지진)

5. 검토, 평가 및 분석(제32조 (1) d) DSGVO; 제25조 (1) DSGVO)

정기 점검, 평가 및 분석 절차

데이터 보안 관리를 위한 프로세스 정의
사고 대응 관리를 위한 프로세스 정의
정보 보호 친화적인 사전 설정(제25조 DSGVO)

주문 관리

엄격한 실사 하에 하도급 업체 선정(특히 데이터 보안 관련)
법적 요건에 따른 계약 초안(제28조 DSGVO)
기존 하도급 업체의 중앙 기록(표준 계약 관리)
계약 시작 전 하도급 업체의 현장 사전 점검
계약 시작 후 하도급 업체에 대한 정기적 현장 점검(계약 기간 중)
하도급 업체의 데이터 보안 개념 검증
하도급 업체의 기존 정보 보안 인증서 검토
하도급 업체의 개인 정보 보호 개선을 위한 지시 사항 발행
하도급 업체 직원의 데이터 보호 규칙 준수 의무