데이터 처리 계약 EasySIGN

이 데이터 처리 계약은 계약의 불가분의 일부를 구성합니다. 사용자는 개인 데이터에 대한 책임이 있는 계약("컨트롤러")에 있습니다. EasySIGN BV는 개인 데이터의 계약 처리자("처리자")에 있습니다. 그 후 양 당사자는 컨트롤러 또는 프로세서로 인용됩니다.

이므로

양 당사자는 컨트롤러가 EasySIGN 그래픽 제작 소프트웨어의 소프트웨어 공급업체로 프로세서를 사용하는 데 동의했습니다. 프로세서는 계약 실행과 관련하여 컨트롤러의 개인 데이터를 처리합니다.

양 당사자가 법에 부합하는 방식으로 관계를 수행할 수 있도록 양 당사자는 다음과 같이 본 데이터 처리 계약("DPA")을 체결했습니다.

1. 정의

이 DPA의 목적:

'관련 데이터 보호법'	: 개인 데이터 처리와 관련하여 개인의 기본 권리와 자유, 특히 개인 정보 보호에 대한 권리를 보호하는 법률로, 이 법률은 컨트롤러와 프로세서에 적용됩니다. 관련 데이터 보호법이라는 용어에는 GDPR도 포함됩니다.
"제어 장치"	: 자연인 또는 법인으로서 단독으로 또는 다른 사람과 함께 개인 데이터 처리의 목적과 수단을 결정하는 위에 명시된 EasySIGN의 고객
"GDP는"	: 2016년 679월 25일에 발효된 개인 데이터 처리 및 해당 데이터의 자유로운 이동에 관한 유럽 의회 및 이사회의 규정(EU) 2018/XNUMX
"국제기구"	: 국제공법의 적용을 받는 조직 및 그 하위 조직 또는 둘 이상의 국가 간의 합의에 따라 또는 이를 기반으로 설립된 기타 조직
“회원 상태”	: 유럽 연합에 속한 국가;
"개인 정보"	: 식별되거나 식별 가능한 자연인(데이터 주체)과 관련된 모든 정보
"데이터 주체"	: 특히 이름, 식별 번호, 위치 데이터, 온라인 식별자 또는 물리적, 생리적, 유전적 특징을 나타내는 하나 이상의 요소와 같은 식별자를 통해 직접 또는 간접적으로 식별될 수 있는 식별 가능한 사람, 해당 자연인의 정신적, 경제적, 문화적 또는 사회적 정체성
"개인 데이터 침해"	: 전송, 저장 또는 처리되는 개인 데이터의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 위반
“처리/가공”	: 수집, 기록, 조직, 구조화, 저장, 적응 또는 변경, 검색, 상담, 사용, 공개와 같은 자동화된 수단에 의한 것인지 여부를 불문하고 개인 데이터 또는 개인 데이터 세트에 대해 수행되는 모든 작업 또는 작업 세트 전송, 배포 또는 기타 방식으로 제공, 정렬 또는 결합, 제한, 삭제 또는 파기,
"프로세서"	: 컨트롤러를 대신하여 개인 데이터를 처리하는 EasySIGN BV,
“고객과 입장 시 EasySIGN 신청"	: 서비스 제공 조건을 명시하는 컨트롤러와 프로세서 간에 체결된 주요 계약
"서비스"	: 프로세서가 컨트롤러에 제공하고 본 DPA 부록 1의 '처리 대상'에 설명된 서비스
"개인 데이터의 특수 범주"	: 인종 또는 민족, 정치적 견해, 종교적 또는 철학적 신념 또는 노동 조합 구성원을 나타내는 개인 데이터 자연인, 건강에 관한 데이터 또는 자연인의 성생활이나 성적 취향에 관한 데이터를 고유하게 식별할 목적으로 유전 데이터 및 생체 데이터를 처리하는 행위
"하위 처리자"	: 지시, 이 DPA의 조건 및 서면 하위 조건에 따라 컨트롤러를 위해 수행해야 하는 처리 활동만을 위해 프로세서로부터 개인 데이터를 수신할 의사가 있음을 선언하는 프로세서와 관련된 데이터 프로세서 - 처리 계약;
“감독당국”	: GDPR 제51조에 따라 회원국이 설립한 독립적인 공공 기관
“기술적이고 조직적인 보안 조치"	: 특히 처리가 네트워크를 통한 데이터 전송과 관련된 경우 및 기타 모든 불법적인 형태의 처리에 대해 우발적 파괴 또는 우발적 손실, 변경, 무단 공개 또는 액세스로부터 개인 데이터를 보호하기 위한 조치
"제XNUMX국”	: 유럽 위원회가 해당 국가 또는 해당 국가 내의 지역 또는 하나 이상의 특정 부문이 적절한 수준의 데이터 보호를 보장한다고 결정하지 않은 국가.

2. 처리내용

프로세서가 그러한 취지의 지시를 받은 데이터 프로세서로서 컨트롤러를 위해 수행하는 처리 활동의 세부사항(예: 주제, 처리의 성격 및 목적, 개인 데이터의 유형 및 범주 데이터 주체의 수)는 이 DPA의 부록 1에 명시되어 있습니다.

3. 컨트롤러의 권리와 의무

컨트롤러는 프로세서에 지시했으며 지시가 주어진 데이터 처리 기간 동안 프로세서에 계속 지시하여 컨트롤러를 위해 그리고 관련 데이터 보호법, 계약에 따라 개인 데이터를 처리하도록 합니다. Subscription, 이 DPA 및 컨트롤러의 지침을 사용할 때 고객과 EasySIGN 사이. 컨트롤러는 일반적으로 그리고 개별적인 경우에 개인 데이터 처리에 대한 지침을 프로세서에 제공할 자격과 의무가 있습니다. 지침은 또한 개인 데이터의 수정, 삭제 및 차단과 관련될 수 있습니다. 긴급하거나 기타 특정 상황에서 다른 형식(예: 구두 또는 전자)이 필요한 경우가 아니면 지침은 일반적으로 서면으로 제공됩니다. 컨트롤러는 서면으로 작성되지 않은 지시를 즉시 확인해야 합니다. 지시를 수행하는 과정에서 프로세서에 비용이 발생하는 경우 프로세서는 먼저 컨트롤러에 해당 비용을 통지해야 합니다. 프로세서는 컨트롤러가 해당 명령을 수행하는 비용에 대해 책임이 있음을 확인한 후에만 명령을 수행해야 합니다.

4. 처리자의 의무

프로세서는 다음을 수행합니다.

컨트롤러의 지시에 따라 컨트롤러를 대신하여 개인 데이터를 처리합니다. 이러한 지침은 구독을 시작할 때 고객과 EasySIGN 간의 계약, 이 DPA 및 위의 3조에 언급된 문서 형식으로 제공됩니다. 컨트롤러의 지시를 따라야 하는 이러한 의무는 개인 데이터를 제XNUMX국 또는 국제 기구로 전송하는 경우에도 적용됩니다.
프로세서가 어떤 이유로든 컨트롤러의 지시를 따를 수 없는 경우 컨트롤러에 즉시 알립니다.
프로세서가 컨트롤러를 대신하여 개인 데이터를 처리하도록 승인한 사람이 기밀 유지를 약속하거나 해당 개인에게 적절한 기밀 유지 의무가 적용되며 개인 데이터에 액세스할 수 있는 사람이 해당 개인 정보를 처리하도록 합니다. 컨트롤러의 지시에 따른 데이터
개인 데이터를 처리하고 해당 기술 및 조직 보안 조치와 관련하여 컨트롤러에게 충분한 보증을 제공하도록 보장하기 전에 부록 2에 추가로 명시된 관련 데이터 보호법의 요구 사항을 충족하는 기술적 및 조직적 보안 조치를 구현합니다.
정보, 접근, 수정 및 삭제, 처리 제한에 관한 정보 주체의 권리 행사 요청에 응답해야 하는 컨트롤러의 의무를 이행하기 위해 가능한 범위 내에서 적절한 기술적 및 조직적 조치를 통해 컨트롤러를 지원합니다. , 알림, 데이터 이동성, 이의 제기 및 자동화된 의사 결정 실행 가능한 기술 및 조직적 조치가 부록 2에 언급된 바와 같이 기술적 및 조직적 조치의 변경 또는 변경을 요구하는 경우 프로세서는 이러한 추가 또는 변경된 기술 및 조직적 조치를 구현하는 비용을 컨트롤러에게 알립니다. 컨트롤러가 이러한 비용이 자신의 계정에 대한 것임을 확인하는 즉시 프로세서는 컨트롤러가 데이터 주체의 요청을 준수할 수 있도록 지원하기 위해 추가 또는 변경된 기술 및 조직적 조치를 구현합니다.
본 DPA 및 GDPR 28조에 규정된 의무 준수를 입증하는 데 필요한 모든 정보를 컨트롤러에 제공하고 컨트롤러 또는 컨트롤러가 위임한 다른 감사자가 수행한 검사를 포함하여 감사를 허용하고 이에 기여합니다. 컨트롤러는 직접 및 현장 감사가 프로세서의 비즈니스 운영을 크게 방해하고 많은 비용과 시간이 소요될 수 있음을 알고 있습니다. 따라서 컨트롤러는 비즈니스 운영 중단으로 인해 프로세서에 발생한 비용을 상환하는 경우에만 현장에서 직접 감사를 수행할 수 있습니다.
불필요한 지연 없이 컨트롤러에 알립니다.

i.
법 집행 기관의 개인 데이터 공개에 대한 법적 구속력 있는 요청(예: 형법에 따른 법 집행 수사의 기밀 유지 금지)

II.
해당 요청을 더 이상 처리하지 않고 데이터 주체로부터 직접 접수된 불만 및 요청(예: 액세스, 수정, 삭제, 처리 제한, 알림, 데이터 이동성, 데이터 처리에 대한 반대, 자동화된 의사 결정과 관련된 불만 및 요청) 달리 그렇게 하도록 승인되지 않는 한;

III.
처리자가 EU 법률 또는 해당 범위를 넘어 개인 데이터를 처리하기 위해 적용되는 회원국 법률에 따라 해당 범위를 넘어 처리를 수행해야 하는 경우 EU 법률 또는 법률이 아닌 한 해당 회원국은 공익을 위한 불가피한 이유로 해당 정보를 금지합니다. 통지는 해당 EU 법률 또는 회원국 법률에 따른 법적 요건을 명시해야 합니다.

IV.
처리자의 의견에 따라 지침이 관련 데이터 보호법에 위배되는 경우 해당 통지를 하는 경우 프로세서는 컨트롤러가 확인하거나 변경할 때까지 지시를 따를 의무가 없습니다. 그리고

v.
처리자가 개인 데이터 침해를 인지하는 즉시 24시간 이내. 그러한 개인 데이터 침해가 발생하는 경우 프로세서는 컨트롤러의 서면 요청에 따라 데이터 주체 또는 감독 기관에 위반을 보고하고 개인 데이터 침해를 문서화해야 하는 관련 데이터 보호법에 따른 의무와 함께 컨트롤러를 지원해야 합니다. . 보고서와 관련된 연락처는 고객 서비스 시스템에 기록됩니다. 연락 담당자는 이 계약서의 부록에 나와 있습니다.
프로세서가 컨트롤러에 제공하는 서비스 및 프로세서가 컨트롤러를 위해 처리하는 개인 데이터와 관련하여 GDPR 35조에 따라 데이터 보호 영향 평가에서 컨트롤러를 지원합니다.
개인 데이터 처리와 관련된 컨트롤러의 모든 질문을 처리하고(예: 컨트롤러가 데이터 주체의 불만 또는 요청에 신속하게 응답할 수 있도록 하기 위해) 전송된 데이터 처리에 대한 감독 기관의 조언 준수 데이터;
이 DPA에 따라 처리되는 개인 데이터를 수정, 삭제 및/또는 차단하도록 의무화되고 요청되는 한 즉시 이를 수행하십시오. 법적 데이터 보존 요구 사항으로 인해 개인 데이터를 삭제할 수 없는 경우 처리자는 관련 개인 데이터를 삭제하는 대신 개인 데이터의 추가 처리 및/또는 사용을 제한하거나 개인 데이터에서 해당 ID를 제거해야 합니다. ('블로킹'). 그러한 차단 의무가 프로세서에 적용되는 경우 프로세서는 보유 기간이 종료되는 역년의 마지막 날까지 관련 개인 데이터를 삭제해야 합니다.

5. 부처리

컨트롤러는 서비스 제공을 위해 프로세서가 고용한 하위 프로세서의 사용을 허가합니다. 컨트롤러는 다음과 관련하여 하위 프로세서에 대한 승인을 부여합니다.

웹고래	우커머스 웹샵
Hubspot	CRM
코 페르 니차	CRM
팀 리더	CRM
U-디지털	마케팅 서비스 제공자
Hotjar	온라인 행동 기록 도구
몰리	결제 서비스 제공 업체
정확한 온라인	클라우드 기반 부기
천칭자리 서비스 자동화	컴퓨터 서비스 제공업체
마이크로 소프트 오피스 365	클라우드 기반 이메일 및 스프레드시트
위부	클라우드 기반 라이선스 관리자
구글	Google Analytics

그들에 의해 제공되는 처리 계약은 이러한 당사자와 체결되었습니다.

프로세서가 신규 또는 더 많은 하위 프로세서를 사용하려는 경우 프로세서는 EasySIGN '개인정보 보호정책'(https://www.easysign.com/about-us/privacy-policy/)가 업데이트됩니다. 컨트롤러는 EasySIGN '개인정보 보호정책'을 주기적으로 협의합니다. 컨트롤러가 새로운 하위 프로세서의 사용에 반대할 합리적인 근거가 있는 경우 컨트롤러는 통지 하위 프로세서를 받은 후 14일 이내에 서면으로 프로세서에 즉시 통지해야 합니다. 컨트롤러가 신규 또는 다른 하위 프로세서에 대해 이의를 제기하고 해당 보유가 부당하지 않은 경우 프로세서는 컨트롤러가 사용할 수 있는 서비스를 변경하거나 컨트롤러 또는 컨트롤러에게 부당한 부담을 주지 않고 이의가 제기된 신규 또는 다른 하위 프로세서의 개인 데이터 처리를 방지하기 위해 서비스 컨트롤러가 사용합니다. 프로세서가 60일을 초과하지 않는 합리적인 기간 내에 해당 변경 사항을 제공할 수 없는 경우 컨트롤러는 '이용약관'(https://www.easysign.com/about-us/general-terms-and-conditions/) 그러나 프로세서에 대한 서면 통지를 통해 이의를 제기한 신규 또는 다른 하위 프로세서를 사용하지 않고 프로세서가 제공할 수 없는 서비스에 대해서만.
프로세서는 모든 하위 프로세서에 대해 본 DPA에 포함된 것과 동일한 데이터 보호 의무를 계약에 따라 부과합니다. 프로세서와 하위 프로세서 간의 계약은 즉, 기술적 및 조직적 보안 조치가 하위 프로세서에서 제공하는 서비스에 중요한 한, 부록 2에 명시된 기술적 및 조직적 보안 조치의 구현에 대한 적절한 보장을 제공해야 합니다. .
프로세서는 최대한 신중하게 하위 프로세서를 선택합니다.
이러한 하위 프로세서가 제2010국에 있는 경우 프로세서는 컨트롤러의 서면 요청에 따라 Commission Decision에 따라 컨트롤러를 대신하여(컨트롤러 이름으로) EU 모델 계약(컨트롤러 > 프로세서)을 체결해야 합니다. 87/XNUMX/EU. 이 경우 컨트롤러는 프로세서가 컨트롤러의 이름으로 하위 프로세서에 지시를 내리고 EU 모델 계약에 따라 하위 프로세서와 관련된 모든 컨트롤러의 권리를 집행하도록 지시하고 권한을 부여합니다.
프로세서는 하위 프로세서가 의무를 이행하지 않는 경우 컨트롤러에 대해 하위 프로세서의 의무를 이행할 책임이 있습니다. 그러나 프로세서는 하위 프로세서에 대한 컨트롤러의 지시로 인해 발생하는 손상/손실 및 청구에 대해 책임을 지지 않습니다.

6. 책임의 제한

본 DPA로 인해 또는 본 DPA와 관련하여 발생하는 모든 책임은 '이용약관'에 명시되거나 달리 적용되는 책임 조항을 따르며 단독으로 적용됩니다. 따라서 책임 한도를 계산하고/하거나 다른 책임 한도의 적용을 결정할 목적으로 이 DPA에 따라 발생하는 모든 책임은 관련 '약관'에 따라 발생하는 것으로 간주됩니다.

7. 기간 및 종료

이 DPA의 기간은 관련 '이용약관'의 기간과 동일합니다. 본 계약에서 달리 규정하지 않는 한 해지에 관한 권리와 의무는 관련 '이용약관'에 명시된 것과 동일합니다.
프로세서는 컨트롤러의 첫 번째 요청에 따라 서비스 제공이 종료된 후 모든 개인 데이터를 삭제하거나 컨트롤러에게 반환하고 프로세서가 EU 또는 회원에 따라 해당 개인 데이터를 보관해야 하는 의무가 없는 한 모든 기존 사본을 삭제합니다. 주법.

8. 여러 가지 잡다한

본 DPA의 규정과 당사자 간의 기타 계약이 상충하는 경우, 당사자의 데이터 보호 의무와 관련하여 이 DPA의 규정이 우선합니다. 다른 계약의 조항이 당사자의 데이터 보호 의무와 관련이 있는지 여부가 의심되는 경우 이 DPA가 우선합니다.
본 DPA 조항의 무효 또는 집행 불가능은 본 DPA의 나머지 조항의 유효성 또는 집행 가능성에 영향을 미치지 않습니다. 유효하지 않거나 시행할 수 없는 조항은 (i) 당사자의 의도를 최대한 보존하는 동시에 유효성 또는 시행 가능성을 보장하는 방식으로 수정되거나 – 이것이 불가능한 경우 – (ii) 유효하지 않거나 시행할 수 없는 부분은 여기에 포함된 적이 없습니다. 위의 내용은 이 DPA에 누락이 있는 경우에도 적용됩니다.
이 DPA는 필수 적용 데이터 보호법이 적용되는 범위를 제외하고 구독을 시작할 때 고객과 EasySIGN 간의 계약과 동일한 법률의 적용을 받습니다.
이 처리 계약은 네덜란드 법의 적용을 받습니다. 구현에 관한 모든 분쟁은 아인트호벤의 관할 법원에 제출됩니다.

프로세서를 대신하여:

전체 이름 :	폴 쇼 프스
위치:	Managing Director
주소:	Melkweg 5, 5527 CZ 하퍼트
시간	월 21 2022

서명 :

부록 1 – 데이터 주체의 범주

전송된 개인 데이터는 다음 범주의 데이터 주체와 관련됩니다.

기업
고객의 고객
교직원
공급 업체

처리 대상

표지판 및 기타 그래픽 제작의 설계 및 제조를 위한 소프트웨어 사용.

처리의 성격과 목적

프로세서는 다음을 포함하여 계약을 실행하기 위해 컨트롤러를 대신하여 데이터 주체의 개인 데이터를 수집, 저장, 처리 및 사용합니다.

작업, 회의 및 통화 관리;
이메일 후속 조치, 연락처 및 회사 관리를 위해 CRM 도구에 개인 데이터 추가
판매 프로세스의 후속 조치
인보이스 발행
시간 등록;
지원 티켓 생성 및 관리(통계 포함)
목표 생성 및 관리
VoIP

개인정보의 종류

컨트롤러를 대신하여 처리자가 수집, 처리 및 사용하는 개인 데이터는 다음 범주의 개인 데이터와 관련이 있습니다. 사용 데이터 및 연락처 세부 정보, 보다 구체적으로: 아본네먼트게벤스:

원하는 구독;
사용자 이름;
암호;

당신의 세부 사항:

이름과 성;
전화 번호;
이메일 주소;
부커탈;

회사 세부정보:

회사 이름;
송장 주소;
우편 번호 및 도시;
국가;
이메일 주소;
VAT 번호;

지불 세부 사항:

IBAN 및 ascription.

보안 침해 시 담당자

이것은 계약의 담당자로 임명된 사람입니다. 이것은 로그인하여 찾을 수 있습니다 www.EasySIGN.com '내 세부 정보'에서.

프로세서에 문의

규정 준수 및 개인 정보 보호 관리자: EasySIGN BV, Paul Schofs support@easysign.com

부록 2 – 보안 조치 시트

관련 데이터 보호법에 따라 프로세서가 구현하는 기술적 및 조직적 보안 조치에 대한 설명: 이 부록에서는 생성, 수집, 수신된 개인 데이터의 보안을 보호하기 위해 프로세서가 유지해야 하는 기술적 및 조직적 보안 조치 및 절차에 대해 설명합니다. , 또는 달리 얻은 것입니다.

일반

기술 및 조직적 조치는 서비스 계약 체결 당시의 최신 기술로 간주될 수 있습니다. 프로세서는 구현 비용, 처리의 성격, 범위, 맥락 및 목적, 자연인의 권리와 자유에 대한 확률 및 심각도의 차이 위험을 고려하여 시간이 지남에 따라 기술 및 조직적 조치를 평가합니다.

상세한 기술적 조치

암호를 사용하여 EasySIGN 시스템에 대한 논리적 액세스 제어:

모든 EasySIGN 직원은 "사회 공학"에 대해 알고 경계합니다.

EasySIGN은 연중무휴로 시스템을 모니터링합니다.

가용성은 XNUMX분마다 측정됩니다.
EasySIGN의 (가상) 서버 모니터링은 자격을 갖춘 운영 엔지니어 및 개발자 팀에 의해 수행되며, 이를 통해 시스템 및 서비스별로 사용 가능 여부와 합의된 서비스 수준을 충족하는 데 필요한 성능을 제공하는지 여부를 측정할 수 있습니다. 경고는 Whatsapp 및 이메일을 통해 이루어집니다.

고객의 구성에 따라 EasySIGN은 일반적으로 부분적으로 클라우드에서 작동합니다. 즉, 로그인 라이선스를 사용하려면 Wibu Systems(하도급업체인 Claranet GmbH) 및 Webwhales Woocommerce의 데이터 센터를 사용할 수 있어야 합니다. 고객 라이센스 액세스 시스템의 작동 및 가용성은 Hapert에 있는 당사 사무실의 로컬 서버에 의존하지 않습니다. EasySIGN은 SSL 보안 프로토콜을 사용합니다. 컴퓨터 바이러스를 포함한 악성 소프트웨어를 탐지하고 처리하기 위한 적절한 최신 메커니즘이 마련되어 있습니다. 승인된 직원만 개인 데이터에 액세스할 수 있습니다. 직원은 고용 계약에 포함된 엄격한 기밀 유지 의무가 있습니다. 건물에는 경보 시스템이 있으며 근무 시간 외에 24시간 모니터링됩니다. 근무 시간 동안에는 문이 닫혀 있으며 EasySIGN 직원의 안내와 예약을 통해서만 출입이 가능합니다.

로그 파일

모든 사용자 작업은 무기한으로 기록되고 저장됩니다. 로그는 다음 구성 요소로 구성됩니다.

수신 메일: EasySIGN으로 보내는 모든 메일
EasySIGN 웹사이트 및 소프트웨어: 사용자가 EasySIGN으로 수행하는 모든 작업 및 이로 인해 발생하는 모든 오류

다음 개인 데이터가 로그에 있습니다.

ID / Username
컴퓨터 이름
사용자 ID
IP 주소
이메일 주소 / 전체 이메일

이 데이터를 통해 이 사용자가 누구이며 이 사람이 무엇을 했는지 알 수 있습니다. EasySIGN은 "문서 워크플로 상태"를 로그 파일에 무기한 저장하므로 무기한 저장합니다. 이 로그에서 문서에 수행된 작업, 라이선스 부여, 이름 변경, 열기, 삭제, 분할, 그룹화, 내보내기, 플로팅, 오류 메시지 등과 같은 작업을 항상 확인할 수 있습니다. 이 로그 데이터는 프로덕션 서버에 저장됩니다. 로그 데이터베이스에서. 이것은 WooCommerce 웹샵 데이터베이스와 다른 데이터베이스입니다.