데이터 처리 계약(DPA) - 스페인 스타트업

1. 객체

본 데이터 처리 계약(이하 "DPA")은 South Summit 이벤트와 관련된 협업 계약의 관리 및 실행과 관련하여 스페인 스타트업 및 투자자 서비스(이하 "스페인 스타트업")와 참여자 간에 교환되는 개인 데이터의 처리를 규율합니다. 양 당사자는 일반 데이터 보호 규정(EU) 2016/679(GDPR) 제26조에 따른 컨트롤러로서의 지위를 인정합니다.

2. 정의

1. 개인 데이터: 법정 대리인, 직원 및 기타 데이터 주체가 제공한 이름, 연락처 세부 정보 및 기타 정보 등 식별되거나 식별 가능한 자연인과 관련된 모든 정보입니다.
2. 처리: 수집, 기록, 저장, 사용 또는 전송을 포함하여 개인 데이터에 대해 수행되는 모든 작업.
3. 컨트롤러: 독립적으로 교환 및 관리되는 개인 데이터의 처리 목적과 수단을 결정하는 각 당사자.

3. 당사자의 역할 및 책임

양 당사자는 컨트롤러 역할을 수행하며 각자의 시스템에서 독립적으로 수집한 개인 데이터를 처리합니다. 어느 당사자도 상대방에 대한 처리자 역할을 할 수 없습니다.

4. 처리되는 데이터 및 목적

데이터 처리는 다음 사항으로 제한됩니다:

1. 이름, 성, 이메일 주소, 직위 등 각 당사자의 법정 대리인의 연락처 세부 정보.
2. 이러한 데이터는 다음 목적으로만 처리됩니다:
   - 협업 계약의 실행 및 관리.
   - 당사자 간의 계약 및 법적 의무 준수.
   참여자의 직원 및 게스트와 관련된 데이터는 당사자 간에 교환되지 않습니다. 이러한 개인은 인증 및/또는 티켓을 받으려면 South Summit 플랫폼에 직접 등록해야 하며, 스페인 스타트업은 개인정보 보호정책에 따라 해당 데이터의 처리에 대한 책임을 집니다.

5. 참가자에 의한 가상 데이터 전송

참가자가 스페인 스타트업에 참석자 목록을 제공하는 가상 시나리오에서 스페인 스타트업은 해당 데이터의 컨트롤러 역할을 합니다. 이 전송은 GDPR에 따라 데이터 공유 이벤트로 간주되며, 참가자는 다음을 포함하되 이에 국한되지 않는 해당 규정에 명시된 원칙을 준수해야 합니다:
- 데이터가 공유될 데이터 주체에게 데이터 전송의 목적과 데이터 주체가 행사할 수 있는 권리를 명시하여 적절하게 알립니다.
- 필요한 경우 데이터 전송에 대한 동의를 얻습니다.
- GDPR에 규정된 합법적인 근거에 따라 전송이 수행되는지 확인합니다.

6. IE(기업 기관)를 통한 액세스

스페인 스타트업의 우선 파트너인 스페인 기업연구소(IE)는 합의된 협업의 맥락에서 South Summit 이벤트의 참석자 및 참가자의 개인 데이터에 액세스할 수 있습니다. 모든 경우에 이러한 액세스는 GDPR의 조항에 따라 수행되며 협업 내에서 합의된 목적으로 제한되며, 스페인 스타트업은 IE가 액세스하는 데이터의 컨트롤러 역할을 합니다.

7. 국제 데이터 전송

스페인 스타트업은 브라질과 한국을 포함한 유럽경제지역(EEA) 이외의 국가에서 South Summit 이벤트를 주최하므로, 관리 목적 또는 이벤트 관리와 관련하여 개인 데이터가 EEA 외부로 전송될 수 있습니다.
스페인 스타트업은 이러한 국제 데이터 전송이 GDPR 제44조 이하에 따라 적절한 안전장치를 마련하여 수행될 것임을 보장합니다:
- 유럽연합 집행위원회에서 채택한 표준 계약 조항(SCC).
- 대상 국가와 관련하여 유럽 위원회가 채택한 적정성 결정(해당되는 경우).
- 또는 GDPR에 따라 허용되는 기타 메커니즘.
이러한 이전이 앞서 언급한 안전장치에 포함될 수 없는 경우 데이터 주체에게 정식으로 통지하고 필요한 경우 명시적인 동의를 얻습니다.

8. 정보 및 데이터 주체 권리의 원칙

각 당사자는 관리자로서 다음 사항을 준수할 것을 약속합니다:

1. GDPR 제13조에 따라 데이터 주체에게 다음 사항을 알립니다:
   - 개인정보처리자의 신원 및 연락처(처리하는 데이터에 대한 각 당사자).
   - 처리 목적 및 이를 뒷받침하는 법적 근거.
   - 해당되는 경우 국제 전송을 포함한 데이터 수신자.
   - 개인 데이터의 보존 기간.
   - 액세스, 수정, 삭제, 이의 제기, 처리 제한, 데이터 이동권 및 관련 감독 기관(스페인의 경우 스페인 데이터 보호청)에 불만을 제기할 수 있는 권리를 포함한 데이터 주체의 권리.
2. 데이터 주체의 권리: 양 당사자는 데이터 주체의 권리 행사에 관한 요청을 처리하고 이에 응답하며, 필요한 경우 해당 요청이 관련 법률에서 정한 기한 내에 적절하게 처리될 수 있도록 협력해야 합니다.

9. 데이터 보호 책임자(DPO)의 연락처 정보

각 당사자는 해당되는 경우 데이터 보호 책임자(DPO)의 연락처 정보를 데이터 주체에게 알려야 합니다. 스페인 스타트업의 경우 이해관계자는 데이터 처리와 관련된 문의 또는 요청을 다음 주소로 제출할 수 있습니다:
- 이메일: privacy@spain-startup.com
- 참조: "데이터 주체의 권리"
- DPO: 스페인 스타트업의 데이터 보호 책임자는 위에 제공된 이메일 주소로 연락할 수 있습니다.

10. 관리자로서의 당사자의 의무

각 당사자는 관리자로서 다음 사항을 준수할 것을 약속합니다:

1. 관련 법률을 준수하여 데이터를 수집합니다: 양 당사자는 GDPR 제13조를 준수하여 데이터 주체에게 개인 데이터 처리에 대해 정식으로 알려야 합니다.
2. 처리된 데이터를 보호합니다: GDPR 제32조에 따라 개인 데이터의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 시행합니다.
3. 데이터 교환 제한: 양 당사자는 개인 데이터의 교환을 협업 계약의 실행을 위해 꼭 필요한 경우로 제한할 것을 약속합니다.
4. 데이터 주체의 권리를 준수합니다: 양 당사자는 각 당사자가 처리하는 데이터의 범위 내에서 액세스, 수정, 삭제, 제한, 이의 제기 및 데이터 이동성과 같은 권리 행사와 관련된 데이터 주체의 요청을 처리해야 합니다.

11. 데이터 보존 및 삭제

1. 본 DPA에 따라 처리되는 데이터는 협업 계약의 목적을 달성하는 데 필요한 기간 동안 그리고 특정 문서를 최소 6년 동안 보관해야 하는 스페인 상법 등 관련 법률에서 요구하는 기간 동안 보관됩니다.
2. 계약이 종료되면 각 당사자는 관련 법률에서 보존을 요구하지 않는 한 개인 데이터를 삭제하거나 익명화해야 하며, 이 경우 데이터는 안전하게 저장되고 법적 또는 규제 목적으로만 사용할 수 있습니다.

12. 보안 침해

각 당사자는 본 DPA에 따라 처리되는 개인 데이터를 손상시킬 수 있는 보안 위반이 발생하는 경우 지체 없이 상대방에게 통지할 것을 약속합니다. 양 당사자는 보안 사고로 인해 발생하는 모든 결과를 관리하고 완화하는 데 협력해야 합니다.

13. 책임

각 당사자는 GDPR 및 관련 법률을 준수할 책임이 있습니다. 당사자가 의무를 이행하지 않는 경우, 해당 당사자는 그러한 불이행의 직접적인 결과로 상대방이 겪거나 상대방에게 발생한 모든 벌금 또는 손해에 대해 책임을 져야 합니다.

14. 분쟁 해결 및 관할권

본 DPA는 스페인 법의 적용을 받습니다. 본 계약과 관련하여 발생하는 모든 분쟁은 마드리드에 있는 관할 법원의 관할권을 따릅니다.