Uber의 데이터 처리 계약 소개

Uber는 공급업체가 Uber 개인정보를 포함한 Uber 기밀 정보의 처리에 관한 데이터 처리 계약(Data Processing Agreement, DPA)에 명시된 약관에 동의할 것을 요구합니다.

이 약관은 Uber 기밀 정보의 기밀성 및 보안을 보호하고 Uber 글로벌 데이터 보호법(공급업체의 Uber 개인 데이터 처리에 따라 적용되는 경우 포함)에 따른 유럽 연합의 일반 개인정보 보호 규정(General Data Protection Regulation, GDPR), 브라질의 개인정보 보호법(Lei Geral de Proteção de Dados Pessoais, LGPD’), 호주의 개인정보 보호법, 인도의 디지털 개인정보 보호법 및 캘리포니아주 소비자 개인정보 보호법(California Consumer Privacy Act, CCPA)을 포함한 미국 개인정보 보호법에 따른 요건을 충족할 수 있도록 하기 위한 것입니다.

DPA는 구체적으로 다음과 같은 내용을 다룹니다.

1. 데이터 보안, 데이터 보안 사고, 위험 평가 및 감사, 데이터 보존 및 삭제, 하위 처리자 사용과 관련된 사항을 포함하여 공급업체의 Uber 기밀 정보 처리에 관한 일반적인 요건 및 제한 사항.
   
2. Uber 개인정보 처리와 관련하여 Uber와 공급업체가 수행하는 역할 지정.
   1. DPA는 당사자가 각각이 다음 역할을 수행하는지 여부를 지정하도록 구체적으로 요구합니다.
      1. ‘정보 처리자’ 또는 ‘처리자’
      2. CCPA에 따라 정의된 바에 따라 ‘사업체’, ‘서비스 제공업체’, ‘계약자’ 또는 ‘제3자’.
   2. 또한 DPA는 위에서 지정한 사항에 따라 각 당사자의 책임을 명시합니다.

Uber의 DPA와 관련하여 질문이 있는 경우 Uber 담당자에게 알려주시기 바랍니다.

Uber 데이터 처리 계약

본 데이터 처리 계약(이하 '계약')은 공급업체의 다음 정보 처리에 적용되는 요건을 명시합니다. (1) Uber 개인정보를 포함한 Uber 기밀 정보(아래 제2조 참조), (2) Uber 개인정보(아래 제3조 참조).

본 계약은 Uber와 회사 또는 법인(이하 ‘공급업체’)(각각 개별적으로 당사자, 총칭하여 ‘당사자’) 간에 체결되는 주 계약과 이에 따라 실행되는 모든 추가 계약(총칭하여 ‘주 계약’)의 일부를 구성합니다.

제1조: 정의

아래 정의된 용어 외에도 ‘사업체’, ‘계약자’, ‘판매’, ‘판매’, ‘서비스 제공업체’ 및 ‘공유’는 CCPA/CPRA에 명시된 의미를 가집니다.

1. 정보 처리자: 단독으로 또는 다른 사람과 공동으로 개인정보의 목적과 처리 수단을 결정하는 자연인 또는 법인.
2. 데이터 보호법: 본 DPA에 따라 Uber 개인정보 처리에 적용되는 모든 법률 및 규정.
   
3. 정보 주체: 개인정보와 관련된 자연인.
4. 데이터 보안 사고: Uber 기밀 정보에 대한 실제 또는 합리적으로 의심되는 무단 액세스, 취득 또는 불법 처리, 또는 그러한 Uber 기밀 정보 또는 그러한 데이터를 처리하기 위해 공급업체 또는 그 하위 처리자가 사용하는 시스템의 보안 또는 무결성의 손상.
   
5. 삭제: Uber 기밀 정보를 복구할 수 없도록 물리적 또는 논리적으로 파기하는 행위.
   
6. 발견: 공급업체가 데이터 보안 사고를 발견하거나, 데이터 보안 사고에 대해 통지를 받거나, 합리적인 주의를 기울였다면 데이터 보안 사고를 발견할 수 있었던 모든 경우.
   
7. 개인정보: 식별되거나 식별 가능한 데이터 주체와 관련된 모든 정보.
   
8. 처리: 수집, 기록, 정리, 구조화, 보관, 번안 또는 변경, 검색, 협의, 사용, 전송, 유포 또는 기타 방법으로 공개, 정렬 또는 조합, 제한, 삭제 또는 파기 등 자동화된 수단에 의한 것인지 여부에 관계없이 개인정보 또는 개인정보 집합에 대해 수행되는 모든 작업 또는 일련의 작업.
   
9. 처리자: 정보 처리자를 대신하여 개인정보를 처리하는 자연 또는 법인.
   
10. 하위 처리자: Uber 기밀 정보 처리를 위해 공급업체가 고용한 처리자.
    
11. 시스템: 모든 개발, 품질 보증, 스테이징 및 생산 환경을 포함하나 이에 국한되지 않는 모든 파일 시스템, 컴퓨팅 시스템, 데이터베이스, 장치, 장비, 서버, 웹사이트, 애플리케이션, 소프트웨어, 스토리지 미디어, 네트워크, 인프라, 네트워크 환경 또는 도메인.
    
12. Uber: Uber Technologies, Inc.와 Uber의 자회사 또는 계열사.
    
13. Uber 데이터 주체: 공급업체에 의해 Uber 개인정보가 처리 중이거나 처리할 예정인 모든 데이터 주체.
    
14. Uber 개인정보: 계약 목적을 위해 공급업체가 처리하는 Uber 데이터 주체의 개인정보.
    
    본 계약의 목적상, 주 계약과 관련하여 공급업체와 상호 작용할 책임이 있는 Uber 직원의 이름과 연락처 정보, 그리고 이러한 상호 작용의 결과 공급업체가 부수적으로 받은 개인정보는 Uber 개인정보에 포함되지 않습니다.
    
15. Uber 기밀 정보: Uber가 소유하거나 관리하며 Uber가 또는 Uber를 대신하여 공급업체에 공개, 제공 또는 이용 가능하게 된 수집, 생성, 유지 또는 사용되는 모든 데이터, 기록 또는 정보(Uber 개인정보 포함) 계약에 추가로 설명될 수 있는 바와 같이, 서비스와 관련하여 Uber를 대리하여 공급업체가 수행하는 정보.
    
16. Uber 시스템: Uber가 소유, 라이선스, 운영 또는 관리하거나 Uber가 공급업체에 대한 액세스 권한을 부여한 모든 시스템.

제2조: 요건: UBER 기밀 정보

1. 데이터 보안: 공급업체는 Uber 기밀 정보의 무결성, 보안 및 기밀성을 유지하기 위해 적절한 물리적, 관리적, 조직적, 기술적 안전 조치와 기타 보안 조치를 유지해야 하며, 이러한 조치에는 최소한 본 계약의 부록 1에 명시된 조치가 포함되어야 합니다.
2. 보안 관리자: 공급업체는 주 계약에 따른 공급업체의 의무 이행을 관리 및 조정하고 기본 계약 기간 동안 Uber가 이를 이용할 수 있도록 할 책임이 있는 개인을 지정해야 합니다.
3. 데이터 보안 사고
   1. 조사. 공급업체는 데이터 보안 사고를 발견한 즉시 공급업체가 비용을 부담하여 침해의 원인과 성격, 범위를 완전하고 철저하게 조사하기 위해 합리적인 모든 조치를 취해야 합니다. 데이터 보안 사고의 영향을 개선하고 완화하며, Uber가 준거법과 내부 데이터 보안 사고 대응 절차를 준수하는 데 필요하거나 요청되는 모든 정보를 Uber에 제공합니다. Uber가 요청하는 경우 공급업체는 조사 및 발견 사항에 관한 심층 보충 보고서를 제공해야 합니다. 공급업체는 각 데이터 보안 사건을 조사하고 대응하는 데 자체 비용으로 Uber 및/또는 Uber의 조사 담당자가 시스템 및/또는 시설에 신속하게 접근하도록 허용하는 등 Uber에 전적으로 협력해야 합니다.
      
   2. Uber에 대한 통지. 공급업체는 발견 후 사십팔(48) 시간 이내에 주 계약에 따라 통지를 받도록 지정된 Uber 담당자 또는 팀을 통해 vendorsecurity@uber.com으로 이메일을 보내 Uber에 통지해야 합니다. 공급업체는 이러한 통지에 다음을 포함하고 이후 필요한 경우 이를 보완해야 합니다.
      1. 원인(식별 가능한 경우), 위치, 날짜/시간, 데이터 보안 사고와 그 발견을 포함한 데이터 보안 사고에 대한 설명
         
      2. 데이터 보안 사고를 조사하고 그 영향을 완화하기 위해 공급업체가 취했거나 취할 조치에 대한 설명
         
      3. 데이터의 암호화 또는 편집 여부를 포함하여 영향을 받는 Uber 기밀 정보의 유형과 양
         
      4. 해당하는 데이터 보호법에서 요구하는 경우 영향을 받는 아동, 청소년 또는 노인 Uber 데이터 주체의 수를 포함하여 영향을 받는 모든 Uber 데이터 주체의 수, 위치(주/국가) 및 신원(해당하는 경우)
         
      5. 데이터 보안 사고로 인해 예상되는 결과
         
      6. 이러한 결과를 완화하고 Uber 기밀 정보를 더욱 안전하게 보호하기 위해 공급업체가 취했거나 취할 계획에 대한 설명
         
      7. 데이터 보안 사고에 대응한 시정 조치에 대한 공급업체의 계획.
   3. 제3자 통지. 공급업체는 Uber가 데이터 주체, 규제 기관 또는 기타 제3자에게 법률에 따라 요구되는 모든 통지('필수 통지')를 제공할 수 있도록 지원해야 합니다. 이러한 경우 (i) 법률에서 달리 요구하지 않는 한 Uber는 해당 통지의 내용, 시기 및 배포 방법을 독점적으로 통제하며, (ii) 공급업체는 준거법에서 달리 요구하지 않는 한 Uber의 사전 서면 승인과 지침이 있는 경우에만 필수 통지를 전달할 수 있으며(공급업체는 법률에서 달리 요구하지 않는 한, 어떤 경우에도 통지를 전달하기 전에 가능한 한 빨리 Uber에 통지 사본을 제공해야 합니다), (ⅲ) 공급업체는 공급업체가 데이터 보안 사고에 전적으로 또는 부분적으로 책임이 있는 경우 해당 통지와 관련하여 Uber에 의해 발생한 모든 합당한 경비를 Uber에 보상해야 합니다.
      
   4. 비공개. 공급업체는 Uber의 사전 서면 동의 없이 Uber 또는 모든 Uber 기밀 정보, Uber 데이터 주체 또는 Uber 시스템과 관련된 데이터 보안 사고의 존재 또는 관련 정보를 정부 기관을 포함한 모든 기관에 공개해서는 안 됩니다.
      
   5. 완화 및 시정. 공급업체는 부당한 지연 없이 즉시 (i) 데이터 보안 사고를 유발하거나 발생시킨 모든 취약성, 활동 및 기타 상황을 통제하고, (ii) 모든 필요하고 적절한 시정 조치를 취하고 이러한 데이터 보안 사고를 완화 및 시정하기 위해 Uber에 합리적으로 협력해야 합니다.
      
   6. 공개 문의. 공급업체는 데이터 보안 사건과 관련된 미디어, 언론 또는 기타 대중의 문의, 질문 또는 기타 요청('공개 문의')을 관리하고 이에 응답할 책임이 있습니다. 공급업체는 공공 문의를 관리하고 응답할 책임이 있는 사람을 한 명 이상 지정해야 하며, 요청이 있을 경우 해당 직원의 이름과 연락처 정보를 모두 Uber에 제공해야 합니다.
      
4. 데이터 보존 및 삭제: 공급업체는 (i) 주 계약의 해지 또는 만료 시, (ⅱ) 공급업체의 사업이 도산되거나 파산한 경우, (ⅲ) 주 계약에 따른 의무를 수행하는 데 더 이상 필요하지 않은 경우, (iv) Uber가 요청하는 경우, 소유, 보관 및 관리하는 모든 Uber 기밀 정보를 즉시 삭제하거나 Uber의 재량에 따라 Uber에 반환해야 합니다.
   
5. 위험 평가
   1. 공급업체는 발효일 전에 Uber가 실시하는 정보 보안 위험 평가('위험 평가')를 완료하고 통과해야 합니다.
      
      최초 위험 평가 후 공급업체는 Uber의 요청에 따라 1년에 한 번 이하로 완료해야 하며, (i) 공급업체가 Uber에 추가 제품 또는 서비스를 제공하기 시작하거나 초기 또는 최근 평가 시점에 포함되지 않았던 추가 Uber 기밀 정보를 처리하기 시작하는 경우, (ii) Uber 기밀 정보 처리의 성격 또는 목적이 변경되는 경우, (ⅲ) 공급업체가 유럽 경제 지역(‘EEA’) 내 Uber 데이터 주체의 Uber 개인정보를 EEA 외부로 이전하기 시작하거나, 최초 또는 최근 평가 시점에 포함되지 않았던 다른 제3국으로 Uber 개인정보를 이전하기 시작하는 경우, (iv) 공급업체가 Uber 기밀 정보 처리 방식에 대한 중대한 변경을 가하여 해당 데이터의 보안 또는 공급업체의 본 계약 준수 능력에 영향을 미칠 수 있는 경우, (v) Uber가 데이터 보호법이나 기타 데이터 보안 준수 의무를 준수하기 위해 평가가 합리적으로 필요한 경우, (vi) Uber가 감독 기관의 요청, 명령 또는 합의, 기타 법적 의무를 이행하기 위해 평가가 합리적으로 필요한 경우, (vii) 데이터 보안 사고가 발생한 경우에도 수행해야 합니다.
      
   2. 요건. 공급업체는 위험 평가를 완료하는 데 합리적으로 필요한 모든 정보를 Uber에 제공해야 합니다. 이러한 정보에는 위험 평가 설문, 정보 보안 정책 및 절차, 데이터 분류 및 처리 정책 및 절차; 공급업체의 정보 보안 프로그램, 시스템, 내부 통제, Uber 개인 정보 처리 절차가 ISO, SSAE16, SOC 또는 NIST와 같이 업계에서 인정하는 프레임워크에 따라 효과적인지 평가하는 데이터 보안 규정 준수 또는 감사 보고서 ; Uber가 공급업체의 정보 보안 프로그램, 통제 및 Uber 기밀 정보 처리를 평가하기 위해 요청하는 기타 정보가 포함될 수 있지만 이에 국한되지 않습니다. 이러한 정보에는 데이터 유형, 처리 목적, Uber 데이터 주체의 유형 및 수, 처리 위치, 하위 처리자, 데이터 보존 등 공급업체의 Uber 개인정보 처리에 관한 세부 정보도 포함됩니다. 공급업체의 정책, 절차 또는 기타 문서의 사본은 Uber에 제공되거나 상호 합의된 화면 공유 애플리케이션을 통해 제공될 수 있습니다.
      
   3. 감사 로그. 공급업체는 불법, 무단 또는 부적절한 시스템 활동을 모니터링, 분석, 조사 및 보고하고 개별 정보 시스템 사용자의 행동을 해당 사용자가 자신의 행동에 대해 책임을 지고 데이터 보안 사고에 대한 적절한 조사를 수행할 수 있도록 하기 위해 필요한 범위 내에서 애플리케이션 로그, 액세스 로그, 인증 로그, 네트워크 로그, 최종 사용자 기기 로그, 보안 시스템 로그 등의 정보 시스템 감사 로그 및 기록을 유지해야 합니다.
6. 감사.
   1. 감사. 공급업체는 합리적인 사전 서면 통지 후 업무 시간 중 Uber가 자체 비용으로 공급업체의 시설, 네트워크, 시스템, 절차, Uber 기밀 정보 처리 및 본 계약의 준수 여부를 감사할 수 있도록 허용해야 합니다. Uber는 데이터 보안 사고가 발생한 경우 또는 데이터 보호법이나 기타 법적 의무를 준수해야 하는 경우를 제외하고 이 권리를 에 한 번만 행사할 수 있습니다.
   2. 감사 요건. 공급업체는 Uber 기밀 정보를 처리하거나 Uber의 시설, 네트워크, 시스템, 절차에 접근할 수 있는 애플리케이션을 포함하여, 해당하는 경우 지식이 풍부한 직원, 물리적 건물, Uber 기밀 정보를 처리하는 서류, 인프라 및 접근을 제공함으로써 전항에 설명된 감사에 합리적으로 협력해야 합니다. Uber는 해당 감사가 주 계약을 포함한 본 계약의 중대한 위반을 발견하거나 이로 인해 시작된 경우를 제외하고 해당 감사 비용(또는 감사를 수행하는 제3자의 수수료 및 비용)을 지불할 책임이 있습니다. 이 경우 공급업체는 해당 비용을 Uber에 상환해야 합니다. 공급업체는 이러한 감사에서 확인된 모든 결함을 즉시 해결하고 시정해야 합니다.
7. 하위 처리자
   1. 허용된 하위 처리자. 공급업체는 위험 평가 중에 확인된 경우를 제외하고는 하위 처리자가 Uber 기밀 정보를 처리하도록 허용해서는 안 됩니다. 공급업체가 다른 하위 처리자를 고용하려는 경우, 공급업체는 해당 하위 처리자가 Uber 기밀 정보를 처리하기 최소 30일 전에 처리 목적을 포함하여 Uber에 통지해야 합니다. Uber가 이러한 참여에 이의를 제기하지 않는 경우 Uber는 해당 참여를 승인한 것으로 간주됩니다.
      
   2. 하위 처리자의 의무. 공급업체는 Uber 기밀 정보를 처리하기 전에 각 하위 처리자와 본 계약에 따라 공급업체에 부과되는 의무보다 덜 제한적이거나 최소한 동등하게 Uber 기밀 정보를 보호하는 의무를 부과하는 계약을 체결해야 합니다. Uber는 그러한 계약서의 사본을 요청할 수 있으며, 공급업체가 그러한 계약서를 제공하지 않거나 그러한 계약서에 Uber 기밀 정보의 충분한 보호가 포함되어 있지 않은 경우 그러한 하위 처리자의 사용에 대한 동의를 보류할 수 있습니다. 공급업체는 영업 비밀이나 기밀 정보를 보호하는 데 필요한 범위 내에서 Uber와 정보를 공유하기 전에 해당 계약을 수정할 수 있습니다.
      
   3. 하위 처리자의 데이터 보호법 준수. 공급업체는 하위 처리자의 Uber 개인정보 처리와 관련하여 하위 처리자가 해당 데이터 보호법을 준수하도록 할 책임이 있습니다.
      
   4. 책임. 공급업체의 하위 처리자 이용은 본 계약에 따른 공급업체의 책임에 영향을 미치거나 이를 제한하지 않습니다.
8. 면책: 주 계약에 달리 명시되지 않는 한, 회사는 Uber 개인 정보 손실, 변경 또는 오용, Uber 개인 정보의 무단 액세스나 파괴 또는 공개, 회사의 이 DPA 의 제4조 위반과 어떤 식으로든 관련이 있는 행위로 인해 발생한 모든 손실, 손해, 수수료 및 비용으로부터 Uber와 Uber의 이사진, 임원, 직원 및 대리인을 완전히 면책하고 방어하며 피해를 보지 않도록 하기로 동의합니다.
9. 민감한 개인정보의 미국으로 대량 이전에 대한 제한
   1. 정의: 이 제2.8조의 목적상
      1. ‘액세스’, ‘대량’, ‘민감한 개인정보의 미국으로 대량 이전’, ‘우려 국가’, ‘해당 정보 거래’, ‘해당 개인’, ‘데이터 중개’, ‘정부 관련 정보’, ‘민감한 개인정보’ 및 ‘미국인’이라는 용어는 미국 법무부의 Sensitive Data Rule, 28 C.F.R. part 202;
         
      2. ‘해당 데이터’는 ‘대량의 미국 민감 개인정보’ 및/또는 ‘정부 관련 정보’를 의미합니다.
         
      3. ‘해당 법인’은 ‘해당 개인’ 또는 ‘우려 국가’를 의미합니다.
   2. 공급업체가 주 계약과 관련하여 해당 데이터에 대한 액세스 권한을 제공받는 경우, 공급업체는 다음을 진술하고 보증합니다.
      1. 해당 법인이 아닙니다.
         
      2. 해당 법인과 해당 데이터의 데이터 중개와 관련된 대상 데이터 거래에 관여하지 않습니다.
         
      3. Uber가 명시적으로 허용하거나 28 CFR Part 202에서 달리 허용하지 않는 한, (A) 해당 법인이 해당 데이터에 액세스하는 것을 허용하지 않으며, (B) 하위 처리자가 해당 주체에 해당 데이터에 대한 액세스 권한을 제공하는 것을 금지합니다.
         
      4. 28 CFR Part 202와 관련하여 Uber가 배치한 암호화, 마스킹, 익명화 또는 개인정보 보호 강화 전략이나 보안 통제를 우회하거나 우회하려고 시도해서는 안 됩니다.
         
      5. Uber가 실시하는 조사와 관련하여 이 제2.8조 또는 28 CFR Part 202를 준수하는 것과 관련하여 Uber가 합리적으로 요청한 모든 정보를 Uber에 제공합니다.
         

제3조: 요건: UBER 개인정보

1. 당사자의 역할: 주 계약에 달리 명시되지 않는 한, 당사자들은 주 계약과 관련하여 처리되는 Uber 개인정보의 정보 처리자가 Uber이며, ^[1]공급업체는 해당 처리와 관련하여 처리자 및/또는 서비스 제공업체임을 인정하고 이에 동의합니다.
2. 일반 요건: 공급업체는 다음을 인정하고 이에 동의합니다.
   1. Uber 개인정보 처리와 관련하여 적용 가능한 정보 보호법의 모든 요건을 이해하고 준수해야 합니다.
   2. 법률에서 달리 요구하지 않는 한, 해당 데이터 보호법에 따른 의무를 더 이상 이행할 수 없다고 판단되는 경우 Uber에 통지합니다. 이러한 통지를 받은 Uber는 합당하고 적절한 조치를 취해 공급업체의 Uber 개인정보 처리를 중단하고 그러한 처리로 인해 Uber 데이터 주체가 받는 위험을 시정할 수 있으며, 공급업체는 이러한 단계와 관련하여 Uber를 합리적으로 지원합니다(해당하는 경우, 그러한 처리 중단 포함).
      
   3. 당사자가 서면으로 달리 합의하지 않는 한, 주 계약에 따른 의무를 수행하는 데 필요한 경우를 제외하고 어떤 목적으로든 Uber 개인정보를 임대, 판매, 공유, 공개하거나 다른 정보와 결합하거나 기타 방식으로 처리하지 않습니다.
      
   4. 공급업체에 제공되거나 수집된 비식별화된 정보를 사용하여 Uber 데이터 주체를 재식별하려고 시도하지 않습니다.
      
   5. 공급업체의 직원이 Uber 개인정보를 기밀로 유지하기로 동의했거나 법률에 따라 Uber 개인정보를 기밀로 유지해야 하는 경우를 제외하고는 공급업체의 직원이 Uber 개인정보를 처리하도록 허용하지 않습니다.
3. 처리자/서비스 제공업체/계약자 요건: 공급업체가 주 계약에서 처리자, 서비스 제공업체 또는 계약자로 지정된 경우 해당 지정에 따라 처리되는 모든 Uber 개인정보와 관련하여 다음을 준수해야 합니다.
   
   1. 지정된 처리자 및/또는 서비스 제공업체인 경우, (a) 법률에서 달리 요구하는 경우를 제외하고는 Uber의 서면 지침에 따라서만 Uber 개인정보를 처리하고, (b) 기계 학습 모델, 인공 지능 시스템 또는 유사한 기술을 교육, 개발 또는 개선할 목적을 포함하여 Uber 자체 또는 하위 처리자 또는 기타 제3자의 목적을 위해 Uber 개인정보를 복사하거나 복제하지 않습니다.
      
   2. 공급업체의 개인정보 처리와 관련하여 합리적이고 적절한 범위 내에서 Uber를 지원하여 다음을 수행합니다.
      1. 해당하는 경우 GDPR 제32조부터 제36조에 따른 Uber의 의무 또는 기타 해당하는 데이터 보호법에 따른 유사한 의무를 이행합니다.
         
      2. GDPR 제28조를 포함하여 관련 데이터 보호법을 준수함을 입증합니다.
         
   3. Uber가 합당하고 적절한 조치를 취하여 공급업체가 해당 데이터 보호법에 따른 의무에 부합하는 방식으로 Uber 개인정보를 사용하도록 하고, Uber 개인정보의 무단 사용을 중지 및 시정하도록 허용합니다.
      
   4. 법률에서 달리 요구하지 않는 한, Uber 정보 주체, 공급업체나 Uber에 대한 권한을 가진 정부 또는 규제 기관이 공급업체의 Uber 개인 정보 처리 요청을 즉시 Uber에 알리고, 그러한 요청 또는 요구에 대한 대응과 관련하여 Uber와 협력해야 합니다
4. 정보 처리자 요건: 공급업체가 주 계약에서 정보 처리자로 지정된 경우 다음을 확인하고 동의합니다.
   1. 데이터 보호법에 따라 Uber 개인정보를 관리하는 독립적인 정보 처리자입니다.
      
   2. Uber 개인정보 처리 목적과 수단을 결정합니다.
      
   3. 데이터 주체에게 개인정보 처리 사실과 데이터 주체의 권리 행사 방법을 고지하고 필요한 동의를 얻는 등 관련 정보 보호법을 준수할 책임이 있습니다.
      
   4. Uber 개인정보 처리와 관련하여 정보 보호법에 따라 적용되는 의무를 준수합니다.
5. 국경 간 이전: 공급업체의 개인정보 처리에 Uber 데이터 주체의 개인정보 이전이 수반되는 경우:
   1. 이러한 이전에 적용되는 모든 개인정보 보호법을 준수해야 합니다.
      
   2. 개인정보가 이전되는 Uber 데이터 주체의 위치에 따라 해당하는 범위 내에서 본 계약의 부속서 2에 명시된 요건을 준수해야 합니다.

제4조: 기타

1. 발효일: 주 계약은 본 계약의 시행일부터 효력이 발생합니다.
2. 해지 및 존속: 주 계약과 상반되는 내용이 있더라도 본 계약과 모든 조항은 공급업체가 Uber 기밀 정보를 처리하거나 보유하는 한, 그 범위 내에서 유효합니다.
   
3. 규정 미준수. 공급업체는 본 계약을 준수할 수 없는 경우 즉시 Uber에 알려야 합니다. 공급업체가 합리적인 기간 내에 이를 준수할 수 없거나 공급업체가 본 계약이나 본 계약에 따른 의무를 실질적으로 또는 지속적으로 위반하는 경우, Uber는 Uber 기밀정보 처리와 관련하여 본 계약과 주 계약을 해지할 권한을 가집니다. 단, 제2.9조를 위반하는 경우 중대한 위반으로 간주되며 Uber는 주 계약을 즉시 해지할 권리를 가집니다.
4. 무효 조항. 본 계약의 개별 조항이 효력을 상실하거나 무효가 되더라도 나머지 조항의 효력은 영향을 받지 않습니다. 당사자는 무효 조항을 법적으로 허용되는 조항으로 대체해야 하며, 이는 의도된 상업적 의도를 최대한 달성해야 합니다.
   
5. 충돌. 본 계약이 본 계약 사이에 충돌이 발생하는 경우, (i) 본 계약과 주 계약 간에는 본 계약이 우선하며, (b) Uber와 공급업체 간의 HIPAA에 의거한 비즈니스 제휴 계약(‘BAA’)이 충돌하는 경우 해당 BAA가 우선합니다.
   
6. 준거법 및 관할권. 주 계약에는 메인 계약에 명시된 준거법과 관할권이 적용됩니다.

부록 1
조직적/행정적, 물리적, 기술적 조치

1. 조직적/행정적 보안 조치: 공급업체는 Uber 기밀 정보를 처리하는 동안 다음을 구현했으며 적절하게 유지하고 업데이트할 것입니다(단, 이러한 업데이트가 Uber 기밀 정보 보호를 위해 사용되는 안전장치를 약화시키거나 저하시키지 않아야 함).
   1. 포괄적인 정보 및 네트워크 보안 프로그램은 서비스에 적용되는 정책, 관행 및 절차로 구성되며(이하 총칭하여 '데이터 보안 프로그램') (i) 현행 모범 사례를 준수하며, (ii) 해당하는 모든 데이터 보호법을 준수하고, (ⅲ) 해당하는 범위 내에서 결제 카드 업계 데이터 보안 표준(PCI DSS)을 준수하며 (iv) ISO 27000, NIST 800-53, CIS 상위 20위 또는 HITRUST 보안 표준을 준수하거나 준수하고 (v) 해당하는 범위 내에서 미국 법무부 민감한 정보 규칙, 28 CFR Part 202. 규정을 준수합니다. 공급업체는 요청 시 Uber에 제공할 수 있는 데이터 보안 프로그램 문서를 제공해야 합니다.
   2. 데이터 보안 사고의 위험을 감지, 예방 및 완화하기 위해 고안된 문서화된 데이터 손실 방지 프로그램에는 최소한 다음이 포함되어야 합니다.
      1. Uber 기밀 정보의 손실을 방지하기 위해 고안된 적절한 정책과 기술적 통제.
      2. Uber 기밀 정보에 대한 지속적인 액세스, 유지 보수 및 저장과 백업 사이트 및 대체 통신 네트워크에 대한 보안 요구 사항을 해결하는 재해 복구/비즈니스 연속성 계획.
   3. 주 계약과 관련된 역할과 책임을 수행하기 위해 액세스가 필요한 사람으로만 Uber 기밀 정보에 대한 액세스를 제한하는 정책 및 절차.
   4. 효과적인 인증 방법을 통해 모든 접근 권한을 확인하는 절차.
   5. Uber 기밀 정보에 액세스할 수 있는 공급업체 처리자 또는 하위 처리자에 대해 최소 2년에 한 번씩 정보 보안 위험 평가를 수행하는 절차. 이러한 처리자/하위 처리자는 본 계약의 요건 못지않게 Uber 기밀 정보를 보호하는 정보 보안 통제 장치를 갖추고 있어야 합니다. Uber는 공급업체가 하위 처리자에 대해 실시한 위험 평가의 사본을 요청할 수 있으며, 평가 결과 하위 처리자에 Uber 기밀 정보를 보호하기에 충분한 정보 보안 통제 수단이 없는 것으로 확인되는 경우 해당 하위 처리자의 사용에 대한 동의를 보류할 수 있습니다.
   6. 공급업체 직원을 위한 보안 인식 프로그램에는 안전한 데이터 취급, 비밀번호 및 자격 증명 보호, 사회 공학, 잠재적 보안 사고를 식별하고 보고하는 방법과 같은 정보 보안 주제에 대한 정기 교육이 포함됩니다.
   7. 업계 표준 위험 평가 프로세스를 활용한 지속적인 취약점 관리 프로그램을 통해 발견된 취약점을 우선적으로 해결합니다. Uber 기밀 정보의 기밀성, 가용성 또는 무결성에 영향을 미칠 수 있는 취약점이 감지되는 경우, 공급업체는 요청에 따라 취약점이 개선되었음을 입증하고 Uber가 데이터 보안 사고가 발생했는지 여부를 판단할 수 있도록 충분한 증거를 제공해야 합니다.
   8. 업계 표준 보안 기준을 시행하는 안전한 자산 관리 프로그램으로, Uber 기밀 정보가 처리되는 장치/시스템의 자산 분류 및 재고 관리가 포함됩니다.
   9. 데이터 보안 사고를 적시에 감지, 식별, 보고, 대응, 완화 및 수정하기 위한 공식적이고 서면화된 프로세스에는 시스템 관리자를 포함한 공급업체의 인력이 비정상적인 이벤트를 사고 처리 팀에 보고하고, 필요하거나 요구되는 경우 영향을 받는 개인 및 단체, 규제 기관 및 기타 대중에게 알리는 프로세스가 포함되어야 하며, 여기에는 공급업체의 인력에 대한 공식적인 서면 절차가 포함됩니다.
   10. 정기적으로 계획하고 실시하는 테이블 탑 또는 레드 팀 연습과 같은 사고 시뮬레이션입니다.
   11. 클라이언트 기반 및 웹 애플리케이션과 같은 혼합 공격의 전체 범위를 포함하는 침투 테스트를 위한 확립된 프로그램입니다.
   12. 클라우드 서비스에 대한 거버넌스 및 위험 관리 프로그램을 통해 기본 보안 구성 및 보호 기능을 활성화합니다.
   13. 사용 중인 프로그래밍 언어에 적합한 보안 코딩 관행과 모든 직원에게 보안 코드 작성에 대한 교육을 제공합니다.
   14. 법률에 의해 데이터 액세스가 요구되거나 개인에게 심각한 피해가 발생할 위험이 있는 경우를 제외하고는 데이터에 대한 정부 기관의 액세스를 거부하는 정부 기관 데이터 액세스 정책입니다.
   15. 정부 기관의 데이터 요청에 대한 법적 근거를 평가하고 이에 대응하기 위한 정책 및 절차입니다.
   16. 적용 가능한 데이터 보호법상 요구사항을 포함할 수 있는, 정부 기관의 데이터 접근 요청 관리 담당 직원에 대한 특정 교육입니다.
   17. 정부 기관의 데이터 요청, 제공된 응답, 관련 정부 기관을 문서화하고 기록하는 절차입니다.
   18. 법적으로 금지되지 않는 한 정부 기관의 데이터 액세스 요청 또는 요건에 대해 Uber에 통지하는 절차입니다.
2. 물리적 보안 조치
   1. 공급업체는 Uber 기밀 정보를 처리하는 동안 Uber 기밀 정보를 처리하는 데 사용되는 모든 시설에 적절한 물리적 보안 조치를 시행했으며 이를 유지 및 업데이트하고 물리적 인프라, 비즈니스의 변경 사항 및 알려진 위협을 지속적으로 모니터링합니다.
3. 기술적 보안 조치: 공급업체는 Uber 기밀 정보를 처리하는 동안 다음을 수행해야 합니다.
   1. Uber 기밀 정보를 처리하는 데 사용되는 애플리케이션과 인프라에 대한 취약점 스캔 및 평가를 수행합니다.
   2. 다단계 인증을 포함한 다단계 접근 제어를 통해 무단 액세스로부터 컴퓨터 네트워크를 보호합니다.
   3. 관리 승인, 강력한 통제, 기록, 접근 이벤트 모니터링 및 후속 감사와 같은 메커니즘을 통해 접근을 제한합니다.
   4. Uber 기밀 정보를 처리하는 모든 시스템에 데이터 보안 사고가 발생했는지 여부와 Uber 기밀 정보의 액세스, 취득, 수정 또는 삭제 여부를 포함하나 이에 국한되지 않는 데이터 보안 사고의 결과를 공급업체가 판단할 수 있도록 충분히 상세한 이벤트 로그를 구현하고 유지합니다. 이러한 이벤트 로그는 최소 십삼(13) 개월 동안 유지되어야 하며 Uber가 요청하는 경우 요청일로부터 역일 기준 칠(7) 일 이내에 제공해야 합니다. 로그에 다른 법인이나 고객과 관련된 이벤트 정보가 포함된 경우, 공급업체는 요청이 있을 때 Uber 이벤트 로그 데이터를 분리할 수 있어야 합니다.
   5. 보안 이벤트 모니터링 및 기록이 필요한 다른 컴퓨터 시스템과 애플리케이션을 식별하고 로그 파일을 합리적으로 유지 관리합니다.
   6. 지속적이고 자동화된 모니터링 및 알림 프로세스를 사용하여 이벤트 로그를 검토하고 분석하여 비정상적인 이벤트와 활동을 감지하고 이에 대응하며 조사합니다.
   7. 최신 업계 표준 상용 바이러스/멀웨어 검사 소프트웨어를 사용하여 Uber 기밀 정보를 처리하는 모든 시스템에서 악성 코드를 식별합니다.
   8. 네트워크 경계 및 네트워크 간 보호를 시행합니다.
   9. 이전되는 Uber 기밀 정보를 암호화합니다.
   10. 저장 상태의 Uber 기밀 정보를 암호화하고 모든 암호화 키를 단독으로 관리 및 보호합니다(예: 처리자나 하위 처리자 등을 포함한 다른 제삼자는 이러한 암호화 키에 접근할 수 없음).

부록 2
국가 간 이전

당사자가 달리 합의하지 않는 한, 이 부록 2는 데이터 보호법에서 요구하는 경우 당사자가 개인정보의 국가 간 이전을 가능하게 하기 위해 사용하는 메커니즘을 정의합니다. 구체적으로, 다음 국가에서 서비스를 위해 Uber 정보 주체의 개인정보를 이전해야 하며, 당사자는 다음 사항에 동의합니다.

1. EEA 또는 스위스. 공급업체의 서비스가 EEA 또는 스위스 내 Uber 정보 주체의 개인정보를 유럽연합 집행위원회(European Commission)가 적절한 수준의 정보 보호를 제공하는 것으로 인정하지 않은 지역 이외의 국가나 지역으로 이전하는 경우, 당사자가 본 계약에서 달리 합의하지 않는 한, 유럽연합 집행위원회가 승인한 2021년 6월 4일자 표준 계약 조항('SCC')을 준수할 것에 동의합니다. SCC가 통합된 경우:
   1. 모듈 1(정보 처리자 간)은 공급업체가 정보 처리자로 지정된 경우 적용됩니다.
   2. 모듈 2(정보 처리자 대 처리자)는 공급업체가 처리자로 지정된 경우 적용됩니다.
   3. 선택 사항인 도킹(Docking) 조항(7항)은 적용되지 않습니다.
   4. 11조(구상)에 포함된 선택 사항은 적용되지 않습니다.
   5. 17항(준거법)의 준거법은 네덜란드법입니다.
   6. 18항(관할 법원 및 관할권 선택)에 따른 법원은 본 계약에서 당사자가 달리 합의하지 않는 한 네덜란드 법원으로 합니다.
   7. 본 계약에서 당사자가 달리 합의하지 않는 한, SCC의 13항(감독) 목적에 따른 권한 있는 감독 기관은 네덜란드 데이터 보호 기관(Autoriteit Persoonsgegevens)으로 합니다.
   8. 당사자들은 본 계약의 목적으로 Uber 개인정보가 이전되는 국가의 법률과 관행이 공급업체가 SCC에 따른 의무를 이행하는 것을 방해할 것으로 생각하지 않음을 진술합니다.
   9. 당사자들은 SCC 부속서 1 대신 다음 사항에 동의한다.
      1. 데이터 수출자인 Uber와 데이터 수입자인 공급업체의 신원과 연락처 세부 정보는 기본 계약서와 본 계약서에 명시된 바와 같습니다.
         
      2. 처리의 성격과 목적은 서비스를 위한 것이거나 주 계약 또는 본 계약에 달리 명시된 바와 같습니다.
      3. 이전된 Uber 개인정보는 주 계약 또는 본 계약에 명시된 바에 따라 공급업체가 보유합니다.
      4. Uber 데이터 주체와 이전되는 Uber 개인정보는 Uber 개인정보를 처리하기 전에 수행된 위험 평가에 문서화된 범주에 해당합니다.
      5. 당사자들은 SCC 부속서 2 대신 이 협정의 부록 1을 준수하는 데 동의합니다.
      6. 당사자들은 SCC 부속서 3(해당하는 경우) 대신 Uber 개인정보의 승인된 하위 처리자가 Uber 개인정보를 처리하기 전에 수행된 위험 평가에서 식별되었거나 본 계약 또는 주 계약에 달리 명시된 대로 확인된 자라는 데 동의합니다.
2. 영국: 공급업체 서비스가 영국 내 Uber 데이터 주체의 개인정보를 적절한 수준의 데이터 보호를 제공하는 것으로 인정되지 않는 관할권으로 이전하는 경우, SCC는 영국 데이터 보호법 2018(‘UK Addendum’) 제119A조에 따라 정보위원회 사무소가 발행한 ‘EU 표준 계약 조항의 영국 부칙’의 조건에 따라 적용됩니다. 이러한 영국 부칙은 적절한 경우 본 계약의제3.5(b)조에 따라 공급업체와 Uber 간에 체결된 것으로 간주됩니다.
3. 브라질: 공급업체의 개인정보 처리 과정에서 당사자 간 또는 제3자에 대한 브라질 내 Uber 데이터 주체의 Uber 개인정보 국외 이전이 포함되는 경우, 공급업체는 표준계약조항 또는 기타 법적으로 요구되는 수단과 같은 적절한 법적 메커니즘의 채택을 포함하여 모든 관련 데이터 보호법을 준수해야 하며 처리가 최소한 본 계약에 명시된 것과 동일한 수준의 개인정보 보호 및 안전장치를 제공하도록 보장해야 합니다.
   1. 브라질 내 Uber 데이터 주체의 개인정보 당사자 간 국가 간 이전. 개인 데이터의 처리에 브라질 내 Uber 정보 주체의 개인 데이터를 관할 당국이 적절한 수준의 데이터 보호를 제공하는 것으로 인정하지 않은 국가 또는 지역으로 당사자 간에 국경을 넘는 전송이 수반되는 경우, 양 당사자는 본 계약에 완전히 명시된 것처럼 브라질 데이터 보호 당국이 발행한 2024년 결의안 제19호의 부속서 II에 포함된 브라질 표준 계약 조항(“브라질 SCC”)을 통합하고 준수하기로 동의하며, 해당 조항은 다음에서 확인할 수 있습니다. 브라질 표준 계약 조항. 이러한 경우:
      1. 개인정보의 국가 간 이전을 위해 Uber 또는 Uber의 계열사는 데이터 처리 대리인으로 간주됩니다.
      2. 브라질 SCC의 1.1항에 포함된 정보 표는 주 계약, 본 계약, 각 당사자의 개인정보 처리방침에 명시된 바와 같이 Uber와 공급업체의 자격 및 연락처 정보로 대체됩니다.
      3. 당사자의 역할과 관련하여 브라질 SCC 1.1항에 명시된 체크박스의 목적상, ‘수출자/정보 처리자’ 체크박스는 Uber에 대해 선택된 것으로 간주됩니다. 공급업체의 경우, 본 계약의 3.1항('당사자의 역할')에 따라 또는 주 계약에 명시된 공급자 분류에 해당하는 ‘수입자’ 확인란이 선택된 것으로 간주됩니다.
      4. 양 당사자는 (i) Uber 개인정보 국외 이전의 주된 목적은 주 계약 또는 본 계약에 명시된 서비스의 이행이며, (ii) 이전된 Uber 개인정보는 관련 데이터 보호법 및 각 당사자의 개인정보 처리방침에 따라 주 계약 또는 본 계약에 명시된 대로 보관되며, (iii) Uber 데이터 주체의 범주와 전송되는 각 Uber 개인정보는 해당 개인정보 처리 이전에 수행된 위험 평가에 문서화된 범주라는 데 동의합니다. 이 정보는 브라질 SCC의 2.1항에 포함된 데이터 이전 설명 표를 대체합니다.
      5. 향후 전송을 다루는 브라질 SCC 3.1항의 목적상, 양 당사자는 양 당사자가 모두 정보 처리자 역할을 하는 경우 옵션 A가 적용된다는 데 동의합니다. 공급업체가 처리자 역할을 하는 경우, 옵션 B가 적용되며, 3.1항에 명시된 설명 표는 공급업체가 Uber 개인정보를 처리하기 전에 수행한 위험 평가 또는 주 계약에 명시된 것으로 대체됩니다.
      6. 양 당사자의 책임을 다루는 브라질 SCC 4.1항의 목적상, 양 당사자는 옵션 A가 적용되며 수출자와 수입자 모두 ‘a’, ‘b’ 및 ‘c’ 항목에 명시된 의무를 이행할 책임이 있다는 데 동의하며, 양 당사자가 모두 정보 처리자 역할을 하는 경우, 수출자와 수입자는 ‘a’, ‘b’ 및 ‘c’ 항목의 의무를 이행할 책임이 있습니다. 공급업체가 처리자 역할을 하는 경우 이러한 의무는 전적으로 Uber의 책임입니다.
      7. 브라질 SCC의 제III조에 포함된 표는 본 계약의 부록 1로 대체됩니다.
   2. 사우디아라비아. 공급업체의 개인 데이터 처리에 사우디아라비아 내 Uber 정보 주체의 개인 데이터를 관할 당국이 적절한 수준의 데이터 보호를 제공하는 것으로 인정하지 않은 국가 또는 지역으로 이전하는 것이 포함되는 경우, 양 당사자는 본 계약에서 달리 합의하지 않는 한 사우디 데이터 및 인공지능 당국(SDAIA)이 승인한 개인 데이터 이전을 위한 표준 계약 조항, 2024년 9월 버전 1.0(‘KSA SCC’)을 통합하고 준수하는 데 동의합니다. SCC가 통합된 경우:
      1. 템플릿 1: (정보 처리자 간)은 공급업체가 정보 처리자로 지정된 경우 적용됩니다.
      2. 템플릿 2: (정보 처리자 대 처리자)는 공급업체가 처리자로 지정된 경우에 적용됩니다.
      3. 8항(준거법 및 관할권)에 따른 준거법은 사우디아라비아 왕국법으로 합니다. 본 조항의 조항 적용으로 인해 발생하는 모든 분쟁은 사우디아라비아 왕국의 관할권에 속하며 사우디아라비아 왕국의 법원에 귀속됩니다.
      4. 9항(관할 당국의 요청에 대한 준수)의 목적상 관할 당국은 사우디 데이터 및 인공지능 당국(SDAIA)입니다.
      5. 양 당사자는 본 계약의 목적을 위해 Uber 개인정보가 이전되는 국가의 법률 및 관행이 공급업체 ‘개인정보 수입자’가 KSA SCC에 따른 의무를 준수하고 이행하는 것을 방해한다고 생각하지 않음을 진술합니다.
      6. 부속서 1의 목적상, 당사자의 정보는 본 계약 및 본 계약에 명시된 바와 같습니다. Uber는 Uber 정보주체의 개인정보 수출자 및 정보 처리자로 지정되며, 공급자는 Uber 정보주체의 개인정보 수입자로 지정되어 본 계약의 3.1항 '당사자의 역할'에 명시된 역할을 수행합니다.
      7. 부속서 2의 목적상, 양 당사자는 다음과 같이 동의합니다.
         1. Uber 데이터 주체와 이전되는 Uber 개인정보는 Uber 개인정보를 처리하기 전에 수행된 위험 평가에 문서화된 범주에 해당합니다.
         2. 이전 목적은 서비스를 위한 것이거나 주 계약 또는 본 계약에 달리 명시된 것입니다.
         3. 이전된 Uber 개인정보는 주 계약 또는 본 계약에 명시된 대로 공급업체가 보유합니다.
         4. 양 당사자는 KSA SCC의 부속서 3 대신에 본 계약의 부록 1을 준수하는 데 동의합니다.

1. 해당 지역의 Uber 기밀 정보 처리자에 대한 결정은Uber 개인정보 처리방침을참조하시기 바랍니다. 지정된 정보 처리자가 아닌 다른 법인이 Uber를 대신하여 본 계약을 체결하는 경우 관련 개인정보 처리자로부터 권한을 부여받습니다. Uber는 본 계약의 목적을 위해 다른 Uber 계열사를 개인정보 처리자로 지정할 권리를 보유합니다. ↑