2021년 9월부터 유효한 버전

이 데이터 처리 부록("DPA")을 참조하는 계약 조건을 수락함으로써 귀하("가입자")는 참조로 계약에 통합된 여기에 명시된 조건에 동의하는 것입니다.

설명 조항

벤틀리와 가입자는 벤틀리가 자신과 그 계열사를 대표하여 본 계약(통칭, "서비스")에 설명된 대로 가입자에게 소프트웨어, 제품 라이선스 부여 및/또는 서비스 제공에 동의한 하나 이상의 주문 양식, 계약 및/또는 협약(“계약”)을 체결했습니다.본 DPA에서 사용되었지만 달리 정의되지 않은 대문자 용어는 계약서에 명시된 의미를 가집니다. 본 DPA의 조건과 계약의 조건이 상충하는 경우, 그러한 상충과 관련하여 본 DPA의 조건이 우선합니다. 계약서에는 본 DPA를 포함하여 계약서의 일부이거나 계약서에 포함된 모든 전시물, 일정, 부록, 업무 명세서 또는 기타 첨부물이 포함됩니다.

본 계약을 이행함으로써, 가입자는 벤틀리가 해당 계열사가 통제자 자격을 갖추고 개인 정보를 처리하는 경우 및 그 범위 내에서 관련 데이터 보호법 및 규정에 따라 요구되는 범위 내에서 자신과 해당 계열사를 대신하여 본 DPA를 체결합니다. 본 DPA의 목적에 한해, 달리 명시되지 않는 한 "가입자"라는 용어는 가입자 및 계열사를 포함합니다.

본 계약에 따라 가입자에게 서비스를 제공하는 과정에서, 벤틀리는 가입자를 대신하여 개인 정보를 처리할 수 있으며 양 당사자는 개인 정보와 관련하여 다음 조항을 준수하고 각각 합리적이고 성실하게 행동하는 데 동의합니다.

1. 정의

 “계열사”는 직간접적으로 통제하거나, 통제를 받거나, 해당 주체와 함께 공동 통제를 받는 모든 주체를 의미합니다. 이 정의의 목적상, "통제"는 해당 주체의 의결권 지분의 50% 이상을 직간접적으로 소유하거나 통제하는 것을 의미합니다.

“CCPA”는 California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq., 그리고 그 실행 규정을 의미합니다.

“통제자”는 개인 정보 처리의 목적과 수단을 결정하는 주체를 의미합니다.

“데이터 침해”는 본 계약에 따라 벤틀리가 전송, 저장 또는 기타 방법으로 처리한 개인 정보에 대한 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 침해를 의미합니다.

“데이터 보호법 및 규정”은 수시로 개정되는 계약에 따라 개인 정보 처리에 적용되는 법률 및 규정을 포함하는 모든 법률 및 규정을 의미합니다. 의문을 없애기 위해, 개인 정보와 관련된 벤틀리의 처리 활동이 주어진 데이터 보호법의 범위에 속하지 않는 경우, 해당 법률은 본 DPA의 목적을 위해 적용되지 않습니다.

“데이터 주체”는 개인 정보와 관련된 식별되거나 식별 가능한 사람을 의미합니다.

“GDPR”은 개인 정보 처리 및 해당 데이터의 자유로운 이동과 관련하여 자연인 보호에 관한 2016년 4월 27일 유럽 의회 및 이사회 규정(EU) 2016/679를 의미하며, 지침 95/46/EC(일반 데이터 보호 규정)를 폐지합니다. 여기에는 영국 법률에 따라 실행되거나 채택된 규정이 포함됩니다.

 “개인 정보”는 (i) 식별되거나 식별 가능한 자연인 및 (ii) 식별되거나 식별 가능한 법인(해당 정보가 관련 데이터 보호법 및 규정에 따라 개인 정보 또는 개인 식별 정보와 유사하게 보호되는 경우)과 관련된 모든 정보를 의미합니다.

“처리”는 수집, 기록, 구성, 구조화, 저장, 적응 또는 변경, 검색, 상담, 사용, 전송, 배포 또는 기타 방법에 의한 공개, 정렬 또는 조합, 제한, 삭제 또는 파괴와 같은 자동 수단에 의하는 것인지 여부에 관계없이 개인 정보에 대해 수행되는 모든 작업 또는 일련의 작업을 의미합니다.

“처리자"는 CCPA에서 정의한 해당 용어인 "서비스 제공자"를 포함하여 통제자를 대신하여 개인 정보를 처리하는 주체를 의미합니다.

“가입자"1"은 계약을 체결한 단체와 그 계열사를 의미합니다(계열사인 상태를 유지하는 한).

"EU 표준 계약 조항"은 유럽 의회와 이사회의 규정(EU) 2016/679에 따라 제3국으로의 개인 정보 전송에 대한 표준 계약 조항에 관련된 2021년 6월 4일자 위원회 이행 결정(EU) 2021/914에 명시된 표준 계약 조항을 의미하며 여기에서 확인할 수 있습니다.

“서브프로세서”은 벤틀리가 또는 벤틀리를 대신하여 벤틀리 계열사가 고용한 처리자를 의미합니다.

“감독 기관”은 GDPR 또는 영국의 경우 정보 위원회(“ICO”)에 따라 EU 회원국이 설립한 독립적인 공공 기관을 의미합니다.

2. 개인 정보의 처리

2.1. 당사자의 역할.양 당사자는 개인 정보 처리와 관련하여 구독자가 통제자이고 벤틀리가 처리자이며 벤틀리가 아래 섹션 5 "서브프로세서"에 명시된 요구 사항에 따라 서브프로세서를 고용할 것임을 인정하고 동의합니다.

2.2. 가입자의 개인 정보 처리.가입자는 서비스 사용 시 데이터 보호법 및 규정의 요구 사항에 따라 개인 정보를 처리해야 합니다. 여기에는 처리자로서 벤틀리 사용에 대해 데이터 주체에게 통지해야 하는 해당 요구 사항이 포함됩니다. 의심의 여지를 없애기 위해, 가입자의 개인 정보 처리 지침은 데이터 보호법 및 규정을 준수해야 합니다. 가입자는 (i) 가입자에 의해 또는 가입자를 대신하여 벤틀리에 제공된 개인 정보, (ii) 가입자가 개인 정보를 획득한 수단 및 (iii) 벤틀리에 제공하는 지침의 정확성, 품질 및 적법성에 대해 전적인 책임을 집니다. 가입자는 계약을 위반하거나 서비스의 성격에 부적합한 개인 정보를 벤틀리에 제공하거나 사용하게 할 수 없으며 가입자의 해당 데이터 보호법 및 규정 위반과 관련된 모든 청구 및 손실로부터 벤틀리를 면책해야 합니다.

 2.3. 벤틀리의 개인 정보 처리.벤틀리는 개인 정보를 기밀 정보로 취급하고 다음 목적을 위해 벤틀리에 적용되는 법적 요구 사항에 의해 달리 요구되지 않는 한 가입자를 대신하여 그리고 가입자의 문서화된 지침에 따라서만 개인 정보를 처리합니다. (i) 계약 및 주문 양식에 따른 처리, (ii) 사용자가 서비스를 사용하면서 시작한 처리, (iii) 해당 지침이 계약 조건과 일치하는 경우 가입자가 제공한(예: 이메일을 통해) 문서화된 기타 합당한 지침을 준수하기 위한 처리, (iv) 데이터 보호법 및 규정에 따라 처리. 벤틀리에 법적 요구 사항이 적용되는 경우, 해당 법률에서 이를 금지하지 않는 한 벤틀리는 가입자에게 해당 법적 요구 사항을 통지해야 합니다.

가입자는 전술한 내용에 따라 그리고 가입자의 서비스 사용의 일부로 개인 데이터를 처리하도록 벤틀리에 지시합니다.

 2.4. CCPA에 따른 서비스 제공자로서의 Bentley의 역할.양 당사자는 벤틀리가 CCPA의 목적을 위한 서비스 제공자이며 비즈니스 목적으로 계약에 따라 가입자로부터 개인 정보를 수신하고 있다는 것을 인정하고 동의합니다. 벤틀리는 서비스를 수행하는 데 필요한 경우 또는 계약에 명시되거나 CCPA에서 허용하는 경우를 제외하고, 계약에 따라 가입자가 제공하는 개인 정보를 판매, 보유, 사용 또는 공개할 수 없습니다. "서비스 제공자" 및 "판매"라는 용어는 CCPA 섹션 1798.140에 정의되어 있습니다. 벤틀리는 본 섹션의 제한 사항을 이해함을 증명합니다.

 2.5. 처리 세부 사항. 벤틀리에 의한 개인 정보 처리의 주제는 계약에 따른 서비스의 수행입니다. 처리 기간, 처리의 성격 및 목적, 개인 정보의 유형 및 본 DPA에 따라 처리되는 데이터 주체의 범주, 그리고 EU 표준 계약 조항 부속 문서 I 및 II에서 요구하는 개인 정보 전송에 대한 정보(해당되는 경우)는 이 DPA 부칙 2에 추가로 명시됩니다.

3. 데이터 주체의 권리

 데이터 주체 요청. 벤틀리는 법적으로 허용되는 한도 내에서 벤틀리가 데이터 주체로부터 데이터 주체의 액세스 권한, 수정 권한, 처리 제한, 삭제("잊혀질 권리"), 데이터 이동성, 처리 반대, 자동화된 개별 의사 결정의 대상이 되지 않을 권리와 같은 각각의 "데이터 주체 요청"을 받을 경우 즉시 가입자에게 알려야 합니다. 벤틀리는 처리의 특성을 고려하여 데이터 보호법 및 규정에 따라 데이터 주체 요청에 응답해야 하는 가입자의 의무를 이행하기 위해 가능한 한 적절한 기술적 및 조직적 조치를 통해 가입자를 지원합니다

4. 벤틀리 직원

 4.1. 기밀 유지. 벤틀리는 개인 데이터 처리에 종사하는 직원이 개인 데이터의 기밀성을 알고, 그들의 책임에 대해 적절한 교육을 받으며, 서면 기밀 유지 계약을 이행할 것을 보장해야 합니다. 벤틀리는 이러한 기밀 유지 의무가 인사 계약 종료 후에도 존속되도록 보장해야 합니다.

4.2. 액세스 제한. 벤틀리는 개인 데이터에 대한 벤틀리의 액세스가 계약에 따라 서비스를 수행하는 직원으로 제한되도록 해야 합니다.

4.3. 데이터 보호 담당자. 벤틀리는 데이터 보호 담당자를 임명했습니다. 임명된 사람은 [email protected]으로 연락할 수 있습니다.

5.  서브프로세서

 5.1. 서브프로세서 임명. 가입자는 (a) 벤틀리의 계열사가 서브프로세서로 유지될 수 있으며 (b) 벤틀리 및 벤틀리 계열사는 각각 서비스 제공과 관련하여 타사 서브프로세서를 고용할 수 있음을 인정하고 동의합니다. 벤틀리 또는 벤틀리 계열사는 각 서브프로세서가 제공하는 서비스의 특성에 적용 가능한 범위 내에서 가입자 개인 데이터 보호와 관련하여 본 DPA의 의무 이상으로 보호되는 데이터 보호 의무를 포함하는 각 서브프로세서와 서면 계약을 체결했습니다.

5.2. 현재 서브프로세서 목록, 새 서브프로세서에 대한 알림 및 동의 메커니즘.벤틀리는 서비스에 대한 서브프로세서의 현재 목록을 가입자에게 제공해야 합니다. 가입자는 여기에서 온라인으로 유지 관리되는 서브프로세서 목록을 찾을 수 있습니다. 가입자는 일반적으로 벤틀리 및 벤틀리 계열사가 본 섹션 5에 따라 새로운 서브프로세서를 제거하거나 추가할 수 있는 권한을 부여합니다. 가입자의 개인 데이터에 액세스하는 새로운 서브프로세서는 다음과 같은 동의 메커니즘을 통해 가입자의 승인을 받아야 합니다.

1. 벤틀리는 서브프로세서 목록을 벤틀리 Trust Center에서 온라인으로 업데이트하여 새로운 서브프로세서가 개인 데이터에 액세스할 수 있도록 승인하기 최소 삼십(30)일 전에 가입자에게 통지해야 합니다.
2. 가입자가 삼십(30)일의 기간 내에 벤틀리에 서면으로 합리적인 이의를 제기하지 않을 경우, 이는 가입자가 새로운 서브프로세서를 승인한 것으로 간주됩니다.
3. 가입자가 합리적인 이의를 제기하는 경우, 벤틀리는 (a) 가입자가 반대한 서브프로세서의 참여 없이 서비스를 계속 진행하거나, (b) 가입자가 제기한 우려 사항을 해결하기 위해 충분한 조치를 취하거나, (c) 가입자와 합의하여 서브프로세서의 사용과 관련된 서비스의 특정 측면 제공을 (일시적으로 또는 영구적으로) 중단하기로 결정하지 않는 한 십사(14)일 전에 통지하고 영향을 받는 가입자에 대한 서비스를 종료할 권리를 가집니다. 각 서브프로세서는 본 계약에 명시된 데이터 보호 의무를 준수해야 합니다.

5.3. 책임. 벤틀리는 계약에 달리 명시된 경우를 제외하고는 본 DPA의 조건에 따라 직접 각 서브프로세서의 서비스를 수행하는 경우 벤틀리가 책임을 지는 것과 동일한 범위 내에서 서브프로세서의 작위 및 부작위에 대해 책임을 집니다.

6. 보안

벤틀리는 최신 기술, 구현 비용 그리고 프로세싱의 성격, 범위, 맥락 및 목적은 물론 자연인의 권리와 자유에 대한 다양한 가능성과 심각성을 고려하여 개인 데이터 처리 위험에 적절한 보안 수준을 보장하기 위한 적절한 기술 및 조직적 조치를 유지해야 합니다. 벤틀리는 최소한 다음을 수행해야 합니다.

• 정보 보안과 관련된 정책 및 표준을 채택합니다.
• 정보 보안 관리에 대한 책임을 부여합니다.
• 정보 보안에 적절한 인적 자원을 투입합니다.
• 개인 데이터에 액세스할 수 있고 규정 준수 요구 사항에 필요한 경우(각 관련 관할 구역에서 실행 가능하고 합법적인 경우) 영구 직원에 대한 참조 또는 배경 조사를 수행합니다.
• 모든 벤틀리 직원은 서면 정보 보안 정책을 준수해야 합니다.
• 해당되는 경우, 물리적 및 논리적 입력 제어, 처리를 위한 보안 영역 및 데이터 손실 방지 도구를 사용하여 개인 데이터에 대한 무단 액세스를 방지하는 절차를 마련하십시오.
• 데이터 보호와 관련된 정책과 표준을 지속적으로 준수합니다.

벤틀리는 서비스의 전반적인 보안 수준이 저하되지 않는 한 독자적인 재량에 따라 기술적 및 조직적 조치를 변경할 수 있습니다. 벤틀리의 기술적 및 조직적 조치에 관한 추가 정보는 벤틀리의 Trust Center에서 수시로 업데이트 됩니다.

7. 감사 권한

 이 DPA 기간 동안 가입자의 요청에 따라 1년에 1회 이하이며, 비공개 계약에 따라 벤틀리는 가입자가 벤틀리의 데이터 보호 의무 준수를 합리적으로 확인할 수 있도록 독립 감사인이 수행한 가장 최근의 감사 보고서를 가입자에게 제공해야 합니다. 가입자는 그러한 감사 보고서를 요청하고 검토함으로써 독자적으로 가질 수 있는 모든 감사 및 검사 권한을 행사하는 데 동의합니다. 가입자가 앞서 설명한 내용을 검토한 후 벤틀리의 데이터 보호 의무 준수를 입증하기 위해 추가 정보가 필요한 경우, 가입자는 보고서가 규정 준수를 입증하지 못한 의무, 감사 보고서의 미비점 및 추가 정보가 요청된 영역을 서면에 구체적으로 명시하여 벤틀리에 통지해야 합니다. 벤틀리는 검토 후에 확인된 미비점을 감사 절차에 포함하도록 독립 감사인에게 알릴 수 있습니다. 벤틀리는 자신의 재량에 따라 가입자(본인 또는 비공개 의무에 따라 가입자를 대신하여 활동하는 등록된 공인 감사인)에게 추가 정책, 절차, 프로세스 및/또는 통제의 작동을 입증하는 증거를 뒷받침하는 액세스 권한을 제공해야 합니다. 가입자는 최소 30일 전에 벤틀리에 통지해야 하며 추가 문서의 사본을 보관하거나 복사하는 것은 허용되지 않으며 벤틀리의 사업 운영을 부당하게 방해해서는 안 됩니다. 가입자는 그러한 감사의 모든 비용을 부담해야 하며 벤틀리에서 발생하는 비용을 상쇄하기 위한 추가 요금이 부과될 수 있습니다.

8. 데이터 침해 관리 및 알림

벤틀리는 데이터 침해가 발견되는 즉시 구독자에게 통지하는 데 동의합니다. 구독자에게 통지하는 과정에서 벤틀리는 구독자가 데이터 보호법 및 규정에서 요구하는 일정 내에 필요한 통지를 할 수 있도록 최대한 충분한 정보를 구독자에게 제공합니다. 이러한 정보는 다음을 포함할 수 있지만 반드시 이에 국한되지는 않습니다. (i) 데이터 침해의 성격, 영향을 받는 데이터 주체 및 개인 데이터 기록의 범주와 대략적인 수 (ii) 결과를 판단할 수 있는 범위 내에서 데이터 침해로 인해 일어날 수 있는 결과 (iii) 데이터 침해를 해결하거나 완화하기 위해 취해진 모든 조치.

2. 개인 정보의 반환 및 삭제

벤틀리는 가입자로부터 받거나 가입자를 대신하여 생성한 개인 정보를 계약에 따라 서비스를 수행하는 데 필요한 기간 동안 또는 해당 법률에 따라 필요한 기간 동안만 보관합니다. 가입자의 요청이 있을 경우 벤틀리는 해당 법률이 허용하는 범위 내에서 계약에 따라 수신하거나 생성한 개인 정보를 반환하거나 파기하는 데 동의합니다.

10. 책임의 제한

 계약, 불법 행위 또는 기타 책임 이론에 관계없이 본 DPA로 인해 또는 이와 관련하여 발생하는 각 가입자 및 벤틀리(및 각각의 직원, 이사, 임원, 계열사, 승계인 및 양수인)의 총 책임은 본 계약의 '책임 제한' 섹션과 해당 섹션에서 언급되는 모든 내용을 따르며 이는 계약 및 모든 DPA 하에 해당 당사자 및 모든 계열사의 총 책임을 의미합니다.

11. 유럽 특정 조항

 11.1. GDPR. 벤틀리는 서비스 제공에 직접 적용되는 GDPR 요구 사항에 따라 개인 정보를 처리합니다.

11.2. 데이터 보호 영향 평가. 벤틀리는 GDPR에 따라 요구되는 범위 내에서 계약에 따라 수행되는 처리와 관련하여 필요할 수 있는 데이터 보호 영향 평가 및/또는 사전 협의와 관련하여 가입자에게 합당한 지원을 제공해야 합니다.

11.3. 검사 통지. 벤틀리는 계약에 따라 제공되는 서비스와 관련된 범위 내에서 데이터 보호법 및 규정 준수와 관련된 감독 기관의 검사 또는 감사를 가입자에게 통지하는 데 동의합니다. 벤틀리는 가입자의 요청이 있을 경우 관련 감독 기관과 합리적인 범위 내에서 협력해야 합니다.

11.4. 데이터 전송을 위한 전송 메커니즘.벤틀리는 본 DPA에 따라 유럽 연합, 유럽 경제 지역 및/또는 그 회원국, 스위스 및 영국으로부터, 그러한 전송이 해당 데이터 보호법 및 규정의 적용을 받는 범위 내에서, 해당 지역의 데이터 보호법 및 규정 내의 적절한 수준의 데이터 보호를 보장하지 않는 국가로의 모든 개인 정보 전송에 적용해야 하는 부칙 1에 나열된 전송 메커니즘을 제공합니다. 또한, 부칙 1에는 그에 명시된 전송 메커니즘의 적용에 대한 추가 조항이 포함되어 있습니다.

12. 기타

12.1. 법적 효력.본 DPA는 부본으로 시행될 수 있으며, 각 부본은 원본으로 간주되지만 모두 함께 하나의 동일한 계약으로 간주됩니다. 팩스, 이메일 또는 기타 전자 전송 수단(서명된 PDF 사본 첨부)을 통해 전달된 이 DPA의 서명된 사본은 서명된 이 DPA 원본의 전달과 동일한 법적 효력을 갖는 것으로 간주됩니다.

12.2. 관할권 특정 조건.본 DPA 부칙 5(관할권 특정 조건)에 나열된 관할권 중 하나에서 데이터 보호법 및 규정에 의해 보호되며 그에 기인한 개인 정보를 벤틀리가 처리하는 범위 내에서 해당 관할권과 관련하여 부칙 5에 명시된 조건이 본 DPA의 조건에 추가로 적용됩니다.

 12.3. 상충. 본 DPA 본문(EU 표준 계약 조항 이외의 부칙 및 부록 포함)과 EU 표준 계약 조항 사이에 상충 또는 불일치가 있는 경우 EU 표준 계약 조항이 우선합니다.

부칙 목록

부칙 1: 유럽 데이터 전송에 대한 전송 메커니즘 및 추가 조건  부칙 2: 개인 정보 처리 및 전송에 대한 세부 정보

부칙 3: SCC-매트릭스

부칙 4: 당사자의 연락처 세부 정보 및 관할 감독 기관 식별  부칙 5: 관할권 특정 조건

부칙 1 – 유럽 데이터 전송에 대한 전송 메커니즘 및 추가 조건

본 부칙 1은 유럽 연합, 유럽 경제 지역 및/또는 그 회원국, 스위스 및 영국의 적용 가능한 데이터 보호법에 따른 가입자의 개인 데이터 이전에 대한 이전 메커니즘을 Bentley Systems, Incorporated 연락처("유럽 데이터 이전")에 제시하며, 벤틀리가 제공하는 서비스를 사용할 때 이러한 이전 메커니즘의 범위 및 적용에 대한 추가 조건을 설명합니다.

유럽 데이터 전송

본 은 벤틀리의 서비스를 사용할 때 가입자의 개인 정보를 Bentley Systems, Incorporated로 전송하는 데 적용되며, 그러한 개인 정보의 전송은 GDPR의 적용을 받습니다.

1.1. EU 표준 계약 조항의 적용

GDPR의 적용을 받는 가입자의 개인 정보가 Bentley Systems, Incorporated로 전송되는 경우, 그러한 전송에는 EU 표준 계약 조항이 적용됩니다. EU 표준 계약 조항은 가입자의 개인 정보를 내보내고 가져오는 주체에 따라 적용되는 여러 모듈을 제공합니다.

• 본 DPA의 계약 당사자가 Bentley Systems International Limited인 경우, 가입자의 개인 정보를 Bentley Systems, Incorporated로 전송하는 것과 관련하여 "데이터 발송자"인 Bentley Systems International Limited와 "데이터 수신자"인 Bentley Systems, Incorporated 간에 EU 표준 계약 조항 모듈 3(프로세서 간)이 적용됩니다. 벤틀리는 요청 시 Bentley Systems International Limited와 Bentley Systems, Incorporated 간에 체결된 EU 표준 계약 조항의 사본을 가입자에게 제공합니다.
• 본 DPA의 계약 당사자가 Bentley Systems, Incorporated인 경우, 가입자의 개인 정보를 Bentley Systems, Incorporated로 전송하는 것과 관련하여 "데이터 발송자"인 가입자와 "데이터 수신자"인 Bentley Systems, Incorporated 간에 EU 표준 계약 조항의 모듈 2(통제자 대 처리자)가 적용됩니다. 이 경우, 가입자는 본 부칙 1 섹션 1.2에 정의된 이행 절차를 준수해야 합니다.

1.2. EU 표준 계약 조항 모듈 2 이행 절차

본 부칙 1 섹션 1.1에 정의된 대로 EU 표준 계약 조항 모듈 2가 적용되는 경우, 가입자는 다음의 이행 절차를 준수해야 합니다.

부칙 3에는 EU 표준 계약 조항 모듈 2에서 제공하는 옵션 중 어떤 것이 적용 가능한지와 DPA에서 EU 표준 계약 조항의 부록에 요구되는 개인 데이터 전송에 관한 정보가 어디에서 정의되는지를 명시하는 매트릭스("SCC-매트릭스")가 포함되어 있습니다.

1.3. 보완 조치

벤틀리는 제 44조 이하 조항에 따라 적절한 수준의 보호를 보장하기 위해 다음과 같은 보완 조치를 제공합니다. Bentley Systems, Incorporated로 전송된 구독자의 개인 정보에 대한 GDPR은 벤틀리가 해당 법률 하에서 다음과 같은 보완 조치를 준수하는 것이 금지되지 않는다는 조건 하에 적용됩니다.

• 벤틀리는 공공 기관이 가입자의 개인 정보에 대한 액세스를 요청하는 경우 지체 없이 가입자에게 통지해야 합니다. 관련 법률에 의해 벤틀리가 가입자에게 통지하는 것이 금지된 경우, 벤틀리는 지체 없이 액세스를 요청한 국가로의 개인 정보 전송을 중단하고 가입자에게 이를 통지해야 합니다. 양 당사자는 상황을 완화하는 방법에 대해 논의해야 합니다.
• 벤틀리는 공공 기관의 모든 데이터 액세스 요청에 대해 지체 없이 이용 가능한 법적 수단을 취해야 하며, 최종적이고 구속력 있는 법원 결정에 따른 명령을 받을 때까지 개인 정보를 공개하지 않습니다.
• 벤틀리는 가입자의 개인 정보가 공공 기관의 데이터 액세스 요청에 의해 영향을 받는 경우, 가입자가 데이터 주체에게 알리기로 결정했다면 합리적인 범위 내에서 모든 정보를 제공함으로써 가입자를 지원해야 합니다.
• 벤틀리는 정기적으로 가입자에게 데이터 요청의 양에 대한 최소 정보, 요청된 데이터의 유형, 요청하는 공공 기관 및 벤틀리가 해당 공공 기관에 공개한 개인 정보의 범위를 포함하여 공공 기관으로부터 받은 개인 정보에 대한 액세스 요청에 대한 집계된 형식의 명확한 보고서를 제공할 것입니다.
• 벤틀리는 EU 표준 계약 조항에 따른 의무를 준수할 수 없게 될 수 있는 법적 또는 정책적 발전을 지속적으로 모니터링하고 그러한 변경 및 개발을 지체 없이 가입자에게 알려야 합니다.
• 벤틀리는 벤틀리의 시스템 및/또는 그 안에 저장된 가입자의 개인 데이터에 액세스하는 데 사용할 수 있는 백도어 또는 유사한 프로그래밍을 고의적으로 생성하지 않았음을 확인합니다.

추가적인 보호 조치와 관련된 추가 정보는 요청 시 제공됩니다.

부칙 2 – 개인 정보의 처리 및 전송에 대한 세부 정보

이 부칙 2는 DPA 섹션 2.5에 따라 개인 정보의 처리 및 전송에 대한 정보를 명시합니다.

당사자의 처리 활동 및 역할에 대한 설명

가입자의 벤틀리 서비스 이용에는 가입자를 대신하여 벤틀리가 개인 정보를 처리하는 것이 포함됩니다. 가입자에게 속한 개인 정보의 모든 처리는 처리자 역할을 하는 벤틀리에 의해 수행되며, 가입자는 통제자 역할을 합니다.

벤틀리의 가입자 개인 정보 처리에는 벤틀리가 벤틀리 시스템을 통해 가입자에게 제공하는 서비스를 제공, 유지 및 업데이트 하는 데 필요한 수집, 전송, 저장 및 기타 처리 활동이 포함됩니다. 벤틀리가 제공하는 서비스를 사용할 때 벤틀리의 시스템에서 처리되는 모든 개인 정보는 미국에 위치한 Bentley Systems, Incorporated가 운영하는 서버로 전송되어 저장됩니다.

프로세싱의 성격 및 목적

벤틀리는 계약에 따라 서비스를 수행하는 데 필요한 경우 문서에 추가로 명시된 대로 그리고 서비스 사용에 대한 가입자의 추가 지침에 따라 개인 정보를 처리합니다.

처리 기간

벤틀리는 DPA 섹션 9에 따라 별도의 서면 합의가 없는 한 계약 기간 동안 개인 정보를 처리합니다.

 데이터 주체의 범주 

가입자는 서비스에 개인 정보를 제출할 수 있으며, 그 범위는 가입자가 단독 재량으로 결정하고 통제하며 다음과 같은 데이터 주체 범주와 관련된 개인 정보를 포함할 수 있지만 이에 국한되지 않습니다.

• 구독자의 비즈니스 파트너 및 공급업체(자연인)
• 가입자의 직원, 대리인, 고문, 프리랜서(자연인)
• 가입자가 서비스 사용 권한을 부여한 가입자의 사용자(자연인)

개인 정보의 범주

가입자는 서비스에 개인 정보를 제출할 수 있으며, 그 범위는 가입자가 단독 재량으로 결정하고 통제하며 다음과 같은 개인 정보 범주를 포함할 수 있지만 이에 국한되지 않습니다.

• 현지화 데이터 가입자 ID 데이터
• 성 및 이름
• 연락처 정보(회사, 이메일, 전화, 실제 사업장 주소)
• 벤틀리의 클라우드 환경에서 가입자가 저장한 모든 개인 정보
• 계약과 관련하여 서비스에 업로드된 구독자의 개인 정보

데이터의 특수 범주(해당하는 경우)

해당 없음

전송 빈도

가입 기간 동안 가입자가 벤틀리 서비스를 사용하는 것은 개인 정보를 지속적으로 전송하는 것을 포함합니다.

보유 기간

벤틀리는 가입 기간 동안 가입자의 개인 정보를 보유합니다. 가입자의 가입 기간이 종료되는 경우, 벤틀리는 가입자의 개인 정보 전송 및 처리를 중단하고 본 DPA에 명시된 조항에 따라 그러한 개인 정보를 반환하거나 삭제합니다.

(서브)프로세서로 전송 

벤틀리는 가입자에게 서비스를 제공할 때 특정 (서브)프로세서를 이용합니다. 이를 위해, 해당 (서브)프로세서는 가입자의 개인 정보도 처리할 수 있습니다. 이러한 (서브)프로세서의 기능과 이러한 (서브)프로세서가 수행하는 처리의 주제, 특성 및 기간에 대한 추가 정보는 벤틀리의 Trust Center에서 확인할 수 있습니다.

기술적 및 조직적 조치

벤틀리는 벤틀리의 Trust Center에 자세히 설명되어 있거나 벤틀리가 합리적으로 생성한 서비스를 제공하는 맥락에서 처리된 개인 정보의 보안, 기밀 및 무결성을 보호하기 위한 행정적, 물리적 및 기술적 보호 조치를 유지합니다.

부칙 3 – SCC-매트릭스

본 부칙 3은 Bentley Systems, Incorporated가 이 DPA의 계약 당사자이고 EU 표준 계약 조항 모듈 2가 부칙 1 섹션 1.1에 정의된 대로 가입자와 Bentley Systems, Incorporated 사이에 적용되는 경우에만 해당됩니다. 본 DPA의 계약 당사자가 Bentley Systems International Limited인 경우에는 부칙 3이 적용되지 않습니다.

본 부칙 3은 선택 가능한 옵션과 EU 표준 계약 조항에 따라 요구되는 제3국 전송에 필요한 정보를 명시합니다.

부칙 4 – 당사자의 연락처 세부 정보 및 관할 감독 기관의 식별

본 부칙 4는 Bentley Systems, Incorporated가 본 DPA의 계약 당사자이고 EU 표준 계약 조항의 모듈 2가 부칙 1 섹션 1.1에 정의된 대로 가입자와 Bentley Systems, Incorporated 간에 적용되는 경우에만 적용됩니다. 본 DPA의 계약 당사자가 Bentley Systems International Limited인 경우에는 부칙 4가 적용되지 않습니다.

본 부칙 4는 EU 표준 계약 조항 부속 문서 I에서 요구하는 데이터 전송자 및 데이터 수신자의 연락처 세부 정보를 이러한 정보가 본 DPA 및 기타 부칙 1~3에 아직 지정되지 않은 범위까지, 그리고 EU 표준 계약 조항 제13조에 따른 관할 감독 기관의 신원으로 명시합니다.

Bentley Systems, Incorporated 연락처  

데이터 보호 담당자: [email protected]

가입자의 연락 담당자 및/또는 데이터 보호 책임자(해당되는 경우)

이름: 계약에 명시된 대로

직위, 직책 : 계약에 명시된 대로

연락처 세부 정보 : 계약에 명시된 대로

EU 구독자 대리인(해당되는 경우)

이름: 계약에 명시된 대로

연락처 세부 정보 : 계약에 명시된 대로

조항 13에 따른 관할 감독 기관의 식별

이름: 계약에 추가로 정의된 대로 데이터 내보내기가 설정된 관할 지역의 관할 감독 기관.

부칙 5 – 관할권 별 조건

호주:

• "데이터 보호법 및 규정"의 정의에는 호주 개인 정보 보호 원칙 및 호주 개인 정보 보호법(1988)이 포함됩니다.
• "개인 정보"의 정의에는 데이터 보호법 및 규정에 정의된 "개인 정보"가 포함됩니다.

브라질:

• "데이터 보호법 및 규정"의 정의에는 Lei Geral de Proteção de Dados("LGPD")가 포함됩니다.
• "처리자"의 정의에는 LGPD에 정의된 "운영자"가 포함됩니다.

캐나다:

• "데이터 보호법 및 규정"의 정의에는 연방 개인 정보 보호 및 전자 문서법("PIPEDA")이 포함됩니다.
• 본 DPA 섹션5(서브프로세서)에 설명된 바와 같이 벤틀리의 서브프로세서는 PIPEDA에 따른 제3자이며, 벤틀리는 본 DPA와 실질적으로 유사한 조건을 포함하는 서면 계약을 체결했습니다. 벤틀리는 서브프로세서에 대한 적절한 실사를 수행했습니다.

이스라엘:

• "데이터 보호법 및 규정"의 정의에는 개인 정보 보호법("PPL")이 포함됩니다.
• "통제자"의 정의에는 PPL에 정의된 "데이터베이스 소유자"가 포함됩니다.
• "처리자"의 정의에는 PPL에 정의된 "보유자"가 포함됩니다.

일본:

• "데이터 보호 법률 및 규정"의 정의에는 개인 정보 보호법("APPI")이 포함됩니다.
• "개인 정보"의 정의에는 APPI에 정의된 "개인 정보"가 포함됩니다.
• "통제자"의 정의에는 APPI에 정의된 "비즈니스 운영자"가 포함됩니다. 비즈니스 운영자로서 벤틀리는 보유하고 있는 개인 정보를 처리할 책임이 있습니다.
• "처리자"의 정의에는 APPI에 설명된 바와 같이 비즈니스 운영자가 개인 정보의 전체 또는 일부를 처리하도록 위임한 비즈니스 운영자("수탁자")가 포함됩니다. 수탁자로서 벤틀리는 위탁된 개인 정보의 사용이 안전하게 통제되도록 할 것입니다.

멕시코:

• "데이터 보호법 및 규정"의 정의에는 민간 당사자가 보유한 개인 정보 보호에 대한 연방법 및 해당 규정(“FLPPIPPE”)이 포함됩니다.

싱가포르:

• "데이터 보호법 및 규정"의 정의에는 2012 개인 정보 보호법("PDPA")이 포함됩니다. 벤틀리는 본 DPA 섹션 6(보안)에 명시된 적절한 기술적 및 조직적 조치를 구현하고 계약 조건을 준수함으로써 PDPA에 따라 개인 정보를 보호 표준에 맞춰 처리합니다.

스위스:

• "데이터 보호법 및 규정"의 정의에는 데이터 보호에 관한 스위스 연방법이 포함됩니다.
• 벤틀리가 본 DPA 섹션5(서브프로세서)에 따라 서브프로세서를 고용하는 경우, (a) 특히 처리가 GDPR의 요구 사항을 충족하는 방식으로 적절한 기술적 및 조직적 조치를 이행함을 충분히 보장한다면 GDPR 제28조(3)에 언급된 동일한 데이터 보호 의무를 포함하는 것과 같이 데이터 보호법 및 규정에서 요구하는 표준에 따라 가입자 데이터를 보호하기 위해 임명된 서브프로세서가 필요하며, (b) 임명된 서브프로세서는 (i) 유럽 연합이 "적절한" 수준의 보호를 제공한다고 선언한 국가에서만 개인 정보를 처리하는 데 서면으로 동의하거나 (ii) EU 표준 계약 조항과 동등한 조건 또는 관할 유럽 연합 데이터 보호 당국이 부여한 구속력 있는 기업 규칙 승인에 따라서만 개인 정보를 처리해야 합니다.

영국:

• GDPR에 대한 본 DPA의 언급은 해당 범위 내에서 영국의 해당 법률(영국 GDPR 및 데이터 보호법 2018 포함)에 대한 언급으로 간주됩니다.
• 벤틀리가 본 DPA 섹션 5(서브프로세서)에 따라 서브프로세서를 고용하는 경우, (a) 특히 처리가 GDPR의 요구 사항을 충족하는 방식으로 적절한 기술적 및 조직적 조치를 이행함을 충분히 보장한다면 GDPR 제28조(3)에 언급된 동일한 데이터 보호 의무를 포함하는 것과 같이 데이터 보호법 및 규정에서 요구하는 표준에 따라 가입자 데이터를 보호하기 위해 임명된 서브프로세서가 필요하며, (b) 임명된 서브프로세서는 (i) 영국이 "적절한" 수준의 보호를 제공한다고 선언한 국가에서만 개인 정보를 처리하는 데 서면으로 동의하거나 (ii) EU 표준 계약 조항과 동등한 조건 또는 관할 영국 데이터 보호 당국이 부여한 구속력 있는 기업 규칙 승인에 따라서만 개인 정보를 처리해야 합니다.
• 본 DPA 또는 본 계약(일방 당사자의 배상 의무를 포함하되 이에 국한되지 않음)의 상반되는 내용에도 불구하고, 어느 당사자도 상대방의 영국 GDPR 위반과 관련하여 규제 당국 또는 정부 기관이 상대방에 대해 영국 GDPR 제83조에 따라 발행하거나 부과하는 영국 GDPR 벌금에 대해 책임을 지지 않습니다.