Skip to Main

LexisNexis 데이터 처리 부속서

  1. 범위 정의


1.1. 본 LexisNexis 데이터 처리 부속서("DPA")는 고객("귀하")과 LexisNexis 법인("LN", "당사", "우리") 간의 계약("계약")의 일부를 구성하며, 당사가 귀하 및 해당되는 경우 귀하의 계열사에게 특정 서비스("서비스")를 제공하는 계약에 본 DPA가 참조됩니다.

 

1.2. "데이터 보호법"이란 모든 관련 개인정보 보호 및 데이터 보호 법률, 규칙, 규정, 명령, 지시 및 기타 정부 요건을 의미합니다. "관리자", "정보주체", "개인정보", "개인정보 침해", "처리", "처리자" 등의 용어는 데이터 보호법에서 정의된 의미를 가지며, 해당 법률에서 '개인정보' 대신 '개인 정보' 등의 유사 용어를 사용하는 경우에도 동일하게 해석됩니다.

 

  1. 처리


2.1. 당사는 데이터 보호법의 요구사항을 충족하고 정보주체의 권리를 보호하며, 데이터 보호법에서 요구하는 수준과 동일한 보호 수준을 제공할 수 있도록 적절한 기술적 및 조직적 조치를 구현합니다.

 

2.2. 당사의 처리 대상은 서비스와 관련하여 제공된 개인정보입니다. 처리 기간은 서비스 제공 기간 동안이며, 계약에 따라 개인정보가 폐기될 때까지입니다. 처리의 성격과 목적은 서비스 제공과 관련이 있습니다. 처리되는 개인정보의 유형은 서비스에 제출된 데이터이며, 정보주체의 범주는 서비스에 개인정보가 제출된 사람들입니다.

 

2.3. 당사가 귀하를 대신하여 개인정보를 처리하는 경우, 당사는 다음을 수행합니다:

 

  1. 귀하의 문서화된 지침에 따라 개인정보를 처리하며, 제3국 또는 국제기구로의 전송도 포함됩니다. 법률상 요구되는 경우를 제외하고는 귀하의 지침 없이 처리하지 않으며, 법률상 금지되지 않는 한 해당 요구사항을 사전에 귀하에게 통지합니다.
  2. 개인정보를 처리할 권한이 있는 자가 기밀 유지 의무를 서약하거나 법적 기밀 유지 의무를 지도록 합니다.
  3. 데이터 보호법에 따른 모든 보안 조치를 취합니다.
  4. 다른 처리자를 고용할 경우 3.1 및 3.2항의 조건을 준수합니다.
  5. 처리의 성격을 고려하여 정보주체의 권리 행사 요청에 대응할 수 있도록 적절한 기술적 및 조직적 조치를 통해 귀하를 지원합니다.
  6. 데이터 보호법 준수를 위해 필요한 정보를 고려하여 귀하를 지원합니다.
  7. 귀하의 선택에 따라 서비스 종료 후 모든 개인정보를 삭제하거나 반환하며, 법률상 보관이 요구되지 않는 한 기존 복사본도 삭제합니다.
  8. 데이터 보호법 준수를 입증하는 데 필요한 모든 정보를 제공하고, 귀하 또는 귀하가 지정한 감사인이 수행하는 감사 및 검사에 협조합니다.

 

귀하의 지침이 데이터 보호법을 위반한다고 판단되는 경우 즉시 귀하에게 통지합니다.

 

2.4. 계약 및 본 DPA, 그리고 귀하의 서비스 사용 및 구성은 당사에 대한 개인정보 처리에 대한 귀하의 완전하고 최종적인 문서화된 지침입니다. 추가 또는 대체 지침은 당사자 간 별도로 합의해야 합니다.

 

  1. 하위 처리자


3.1. 당사가 귀하를 대신하여 개인정보를 처리하는 경우, 당사는 https://www.lexisnexis.com/global/privacy/subprocessors.page 에 게시된 하위 처리자 목록에 따라 해당 개인정보 처리를 위해 다른 처리자를 고용할 수 있는 일반적인 권한을 가집니다. 당사는 목록을 업데이트함으로써 변경 사항을 최소 14일 전에 귀하에게 통지합니다. 귀하는 목록이 업데이트된 후 14일 이내에 반대 사유를 설명하여 당사에 통지함으로써 변경에 반대할 수 있습니다. 계약에 따른 환불 또는 해지 권리에 영향을 주지 않으며, 당사는 귀하가 합리적으로 반대한 새로운 처리자가 개인정보를 처리하지 않도록 합리적인 노력을 기울일 것입니다.

 

3.2. 당사가 귀하를 대신하여 특정 처리 활동을 수행하기 위해 다른 처리자를 고용하는 경우, 본 DPA에 명시된 것과 실질적으로 동일한 데이터 보호 의무를 해당 처리자에게 계약 또는 법적 행위를 통해 부과합니다. 해당 처리자가 데이터 보호 의무를 이행하지 못하는 경우, 당사는 계약 조건에 따라 해당 처리자의 의무 이행에 대해 귀하에게 전적으로 책임을 집니다.

 

  1. 정보주체 권리


4.1. 당사가 귀하를 대신하여 개인정보를 처리하는 경우, 법적으로 허용되는 범위 내에서 정보주체의 권리 요청을 받은 경우 지체 없이 귀하에게 통지합니다.

 

4.2. 각 당사자는 정보주체 권리 요청과 관련하여 데이터 보호법상의 의무를 이행할 수 있도록 상호 협력합니다.

 

  1. 전송


5.1. 귀하의 국가에서 발생한 개인정보가 다른 국가로 전송되는 경우, 당사는 데이터 보호법에 따라 적절한 보호 조치를 적용하여 전송이 이루어지도록 합니다.

 

  1. 처리의 보안


6.1. 기술 수준, 구현 비용, 처리의 성격, 범위, 맥락 및 목적, 그리고 자연인의 권리와 자유에 대한 위험의 가능성과 심각성을 고려하여, 당사자들은 다음을 포함한 적절한 기술적 및 조직적 보안 조치를 구현합니다:

  1. 개인정보의 가명처리 및 암호화
  2. 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력 확보
  3. 물리적 또는 기술적 사고 발생 시 개인정보의 가용성과 접근성의 신속한 복구 능력
  4. 처리 보안을 보장하기 위한 기술적 및 조직적 조치의 효과성을 정기적으로 테스트, 평가 및 검토하는 절차

 

6.2. 적절한 보안 수준을 평가할 때, 특히 우발적이거나 불법적인 파기, 손실, 변경, 무단 공개 또는 접근으로 인한 위험을 고려합니다.

 

6.3. 당사자들은 개인정보에 접근하는 권한을 가진 자연인이 귀하의 지침 없이 데이터를 처리하지 않도록 합리적인 조치를 취합니다. 단, 법률상 요구되는 경우는 예외입니다.

 

  1. 개인정보 침해


7.1. 당사가 귀하를 대신하여 개인정보를 처리하는 경우, 개인정보 침해 사실을 인지한 즉시 지체 없이 귀하에게 통지하며, 귀하가 데이터 보호법상의 의무를 이행할 수 있도록 필요한 추가 정보를 합리적으로 제공합니다.

 

  1. 처리 활동 기록


8.1. 당사는 데이터 보호법에 따라 요구되는 모든 기록을 유지하며, 귀하를 대신하여 개인정보를 처리하는 데 적용되는 범위 내에서 해당 기록을 귀하에게 제공할 것입니다.

 

 

  1. 감사


9.1. 감사는 다음 조건을 따릅니다:

 

  1. 적절한 비밀 유지 또는 비공개 계약 체결을 전제로 하며,
  2. 계약 위반에 대한 합리적인 의심이 입증되지 않는 한 연 1회를 초과하지 않으며, 최소 30일 전에 서면으로 통지하고 감사 계획을 제공해야 하며,
  3. 상호 합의된 시간, 장소 및 방식으로 수행됩니다.

 

  1. 충돌


10.1. 본 DPA의 조건과 계약 조건 간에 충돌이 있는 경우, 법률상 요구되는 범위 내에서 본 DPA의 조건이 우선합니다.

 

  1. 관할권별 조건


11.1. 당사가 본 부속서의 부록에 명시된 관할권의 데이터 보호법의 적용을 받는 개인정보를 처리하는 경우, 해당 관할권에 대한 조건이 본 DPA의 조건에 추가로 적용됩니다.

 

 

부록
관할권별 조건

 

  1. 유럽경제지역(EEA), 영국(UK), 스위스


1.1. 귀하가 유럽경제지역(“EEA”), 영국(“UK”) 또는 스위스에서 EEA, UK 또는 스위스 외부에 위치한 LN으로 개인정보를 전송하는 경우, 당사자들이 데이터 보호법에 따라 대체 전송 메커니즘이나 근거에 의존하지 않는 한, 해당 전송과 관련하여 당사자들은 2021년 6월 4일 유럽연합 집행위원회 시행결정(EU) 2021/914에 따라 승인된 표준 계약 조항(“조항”)을 체결한 것으로 간주됩니다. 해당 조항은 http://data.europa.eu/eli/dec_impl/2021/914/oj 에서 확인할 수 있습니다:

 

  1. 각주 및 조항 11(a) 옵션은 생략되며, 관련 부록은 DPA 및 계약에 명시된 정보로 작성됩니다.
  2. 양 당사자가 모두 관리자인 경우, 모듈 1이 적용되며 모듈 2, 3, 4 및 조항 17 옵션 2는 생략됩니다.
  3. 귀하가 관리자이고 LN이 처리자인 경우, 모듈 2가 적용되며 모듈 1, 3, 4 및 조항 17 옵션 1은 생략되고, 조항 9(a) 옵션 1은 생략되며, 조항 9(a) 옵션 2의 기간은 14일입니다.
  4. 양 당사자가 모두 처리자인 경우, 모듈 3이 적용되며 모듈 1, 2, 4 및 조항 17 옵션 1은 생략되고, 조항 9(a) 옵션 1은 생략되며, 조항 9(a) 옵션 2의 기간은 14일입니다.
  5. “관할 감독 기관”은 데이터 수출자가 설립된 국가의 기관입니다.
  6. 조항은 데이터 수출자가 설립된 국가의 법률을 따릅니다.
  7. 조항에서 발생하는 모든 분쟁은 데이터 수출자가 설립된 국가의 법원에서 해결됩니다.
  8. 계약 조건과 조항 간에 충돌이 있는 경우, 조항이 우선합니다.

 

1.2. 영국에서의 개인정보 전송과 관련하여, 위 1.1항에 따라 적용되는 조항은 다음과 같은 수정 사항을 따릅니다:

 

  1. 조항은 영국 데이터 보호법 2018 제119A(1)조에 따라 발행된 EU 위원회 표준 계약 조항에 대한 영국 국제 데이터 전송 부속서(UK Addendum)의 제2부에 명시된 대로 수정됩니다. (https://ico.org.uk/media2/migrated/4019539/international-data-transfer-addendum.pdf참조)
  2. UK Addendum 제1부의 표 1~3은 DPA 및 계약에 명시된 정보로 작성됩니다.
  3. 표 4는 “어느 당사자도 아님”으로 선택됩니다.

 

1.3. 스위스에서의 개인정보 전송과 관련하여, 위 1.1항에 따라 적용되는 조항은 다음과 같은 수정 사항을 따릅니다:

 

  1. “규정(EU) 2016/679”에 대한 언급은 스위스 연방 데이터 보호법(FADP)을 의미합니다.
  2. “규정(EU) 2016/679”의 특정 조항에 대한 언급은 FADP의 해당 조항 또는 섹션으로 대체됩니다.
  3. “EU”, “연합”, “회원국”, “회원국 법률”에 대한 언급은 “스위스” 또는 “스위스 법률”로 대체됩니다.
  4. “회원국”이라는 용어는 스위스의 정보주체가 권리를 행사할 수 있는 가능성을 배제하는 방식으로 해석되지 않습니다.
  5. 조항 13(a) 및 부록 I의 Part C는 사용되지 않으며, “관할 감독 기관”은 스위스 연방 데이터 보호 및 정보 위원회입니다.
  6. 조항은 스위스 법률을 따릅니다.
  7. 조항에서 발생하는 모든 분쟁은 스위스 법원에서 해결됩니다.

 

  1. 라틴 아메리카


LATAM 부속서

 

  1. 중동 아프리카

MEA 부속서

 

  1. 미국

미국 개인정보 보호법 부속서

최종 업데이트:

Last updated: 06 June 2025