최종 업데이트 날짜 2021년 12월 1일
최종 업데이트 날짜 2021년 12월 1일
카드 처리 제품에 적용되는 본 PayPal 데이터 보호 부칙(이하 본 "부칙")은 PayPal 그룹(이하 "PayPal") 구성원이 사용자, 즉 해당 판매자(이하 "판매자" 또는 "사용자")에게 카드 처리, 게이트웨이 및/또는 사기 방지 서비스(이하 "결제 서비스")를 제공하는 모든 제품, 서비스 또는 기타 상품에 적용됩니다. 본 부칙은 PayPal로 지불하기 또는 PayPal의 나중에 결제 서비스 등 PayPal 전자지갑 서비스에는 적용되지 않습니다. 본 부칙은 PayPal이 사용자에게 결제 서비스를 제공하는 데 적용되는 판매자와 PayPal 간 관련 약정(이하 "약정")의 일부를 구성하며 이는 여기에서 인용됨으로써 해당 약관에 포함됩니다. 본 부칙과 해당 약정의 내용이 상충하는 경우에는 부칙의 내용이 우선합니다. 대문자로 표기되어 있으나 본 부칙에서 정의하지 않은 용어는 해당 약정에서 정한 의미를 갖습니다.
본 부칙은 (i) 해당 약정에서 명시하는 효력발생일 또는 (ii) 본 부칙과 관련하여 게시됐거나 사용자에게 제공된 통지서에서 명시하는 효력발생일 중 나중에 도래하는 시점에 시행됩니다. PayPal은 본 부칙을 수시로 수정할 수 있습니다. 수정된 버전은 별도로 명시하지 않았다면 당사 웹사이트에 게시한 시점부터 효력이 발생합니다. PayPal의 수정으로 인해 사용자의 권리가 축소되거나 책임이 증가하는 경우 PayPal은 본 약정에서 요구하는 기간 내에 웹사이트의 "정책 업데이트" 페이지에 공지 사항을 게시합니다. 본 부칙의 수정에 동의하지 않는 사용자는 언제든지 결제 서비스 사용을 중단할 수 있습니다.
정의
다음 용어는 본 부속서에서 다음에서 정하는 의미를 갖습니다.
"개인정보처리자"는 개인 데이터 처리의 목적과 수단을 결정하는 법인을 의미하며, 해당 용어(또는 이와 유사한 기능을 가지는 용어)가 데이터 보호법에 정의되어 있는 경우에는 "개인정보처리자"는 관련 데이터 보호법에 정의된 의미를 갖습니다.
"고객"은 본 부속서의 목적상 결제 서비스를 사용하는 고객을 말하며, 데이터 주체에 해당합니다.
"고객 데이터"는 (i) 고객이 판매자에게 제공하고 판매자가 결제 서비스를 사용하여 PayPal로 전달한 개인 데이터를 말하며, (ii) PayPal은 판매자가 결제 서비스를 사용할 때 고객의 기기 및 브라우저에서 고객 데이터를 수집할 수 있습니다.
"데이터 보호법"은 관련 데이터 보호법, 규정, 지침, 규제적 요건 및 결제 서비스에 적용되는 관련 실무 규범을 비롯해 이들의 수정본 및 관련 규정이나 법률 문서(예: 캘리포니아 소비자 개인정보보호법(2018)(캘리포니아 법전 제1798.100조 이하), 일반 데이터 보호 규정 (EU) 제2016/679호(GDPR), 호주 개인정보 보호법(1988)(Cth), 개인정보 보호 및 전자 문서법(캐나다), 개인 데이터(개인정보 보호) 조례(제486장)(홍콩), 브라질 일반데이터보호법(연방 법률 제13,709/2018호), 및 싱가포르 개인 데이터 보호법(2012))를 의미합니다.
"PayPal 그룹"은 PayPal, Inc. 및 PayPal 또는 그 승계자가 수시로 직간접적으로 소유 또는 지배하는 모든 회사를 의미합니다.
"개인 데이터"란 식별했거나 식별 가능한 자연인("데이터 주체")과 관련된 정보를 의미합니다. 식별 가능한 자연인이란 직간접적으로, 특히 해당 자연인의 이름, 식별 번호, 위치 데이터, 온라인 식별자를 참조하거나 해당 자연인의 신체적, 생리학적, 유전적, 정신적, 경제적, 문화적 또는 사회적 정체성과 관련된 하나 이상의 요소를 참조하여 식별할 수 있는 사람을 의미합니다.
본 부속서에서 사용하는 용어 "처리" 또는 이와 유사한 기능을 가지는 용어는 관련 데이터 보호법에서 정의한 의미를 갖습니다.
개인정보처리자로서의 PayPal
PayPal은 본 부속서에 따라 고객 데이터 처리와 관련하여 개인정보처리자에게 적용되는 데이터 보호법의 요건을 준수해야 합니다(여기에는 고객 데이터 처리와 관련하여 항상 적절한 보안 조치를 구현 및 유지하는 것이 포함되나 이에 국한되지 않습니다). 아울러 판매자의 데이터 보호법 위반을 초래할 수 있는 작업을 고객 데이터에 대해 고의로 수행하거나 허용해서는 안 됩니다. PayPal은 고객 데이터 보호에 대한 약관(본 부속서의 약관에서 정하는 것 이상의 보호 수준을 갖춰야 합니다)이 포함된 서면 계약에 서명해야 하는 제3자, 하위 처리자 또는 PayPal 그룹 구성원에게만 고객 데이터를 전송해야 합니다.
결제 서비스와 관련한 고객 데이터의 처리
당사자들은 판매자 및 PayPal이 결제 서비스와 관련하여 처리된 모든 고객 데이터에 대해 각각 독립적인 개인정보처리자가 된다는 점을 인정하고 이에 동의합니다. 따라서 PayPal은 그러한 고객 데이터의 처리 목적과 수단을 독립적으로 결정하며, 그러한 고객 데이터와 관련하여 판매자와 공동 개인정보처리자로 간주되지 않습니다.
당사자들은 PayPal이 아래의 제한된 목적으로 고객 데이터 및 결제 거래 데이터를 사용, 복제, 처리할 수 있음을 인정하고 이에 동의합니다.
고객에 대한 판매자의 통지
판매자는 (i) 본 부칙에 기술된 고객 데이터 처리 목적상 PayPal이 하나의 독립적 개인정보처리자가 된다는 점을 자신의 개인정보 취급방침을 통해 고객에게 통지하고 (ii) 판매자의 개인정보 취급방침에 PayPal 개인정보 취급방침(www.paypal.com) 링크를 포함시키기 위해 상업적으로 합당한 노력을 기울여야 합니다.
상호 지원
당사자들은 상대방 당사자가 데이터 보호법상 독립적인 개인정보처리자로서 자신이 지는 책임을 적절히 이행할 수 있도록 합리적으로 필요한 범위에서 상호 협력하는 데 동의합니다. 당사자들은 판매자가 데이터 주체로부터 액세스 요청을 받은 경우 또는 고객이 데이터 보호법상 자신이 가지는 권리를 행사하는 경우 판매자가 해당 고객의 액세스 요청에 직접 응답해야 한다는 점에 동의합니다. 또한 판매자는 www.paypal.com에서 확인 가능한 개인정보 취급방침에 명시된 안내에 따라 PayPal의 결제 서비스와 관련하여 데이터 주체로서의 권리를 행사할 수 있음을 고객에게 알려야 합니다. 또한 보안 사건과 관련하여 PayPal이 피해 고객에게 통지를 해야 한다고 자기 재량으로 결정을 내렸으나 그처럼 통지하는 데 필요한 피해 고객의 연락처 정보가 PayPal에 없는 경우, 판매자는 제한적 목적(데이터 보호법상 피해 고객에 대해 PayPal이 관련 통지 의무를 이행하게 하려는 목적 등)을 위해 판매자가 보유할 수 있는 고객 관련 정보를 PayPal에 제공하기 위해 상업적으로 합당한 노력을 기울여야 합니다.
데이터 해외 전송
당사자들은 PayPal이 본 계약에 따라 처리된 고객 데이터를 결제 서비스 제공을 위해 필요하다면 정보가 수집된 국가 외부로 고객 데이터를 전송할 수 있다는 데 동의합니다. PayPal이 본 부속서에 따라 보호되는 고객 데이터를 해당 데이터를 수집한 국가의 관련 규제 당국이 적절한 결정을 내릴 수 없는 관할 구역으로 전송하는 경우, PayPal은 관련 데이터 보호법에 따라 고객 데이터를 전송하기 위한 적절한 보호 조치를 적용하기로 합니다. 예를 들어, GDPR을 준수하기 위해 PayPal은 관할 감독 당국에서 승인한 법적 구속력 있는 사규 그리고 기타 데이터 전송 제도를 이용하여 다른 PayPal 그룹 구성원에게 고객 데이터를 전송합니다.
유럽 연합, 스위스, 유럽 경제 지역 및/또는 그 회원국 또는 영국에 있는 고객에 대해, 사용자가 이러한 자신의 고객 데이터를 PayPal로 전송하는 것과 관련하여, 당사에서는 각각 다음과 같은 점에 동의하는 바입니다. (i) 적용되는 한도 내에서, 본 약정에 사용자가 서명하는 행위는 GDPR에 따라 판매자가 제3국으로 개인 데이터를 이전할 때 적용되는 표준 계약 조항(이하 "유럽연합 전송 조항")의 2021년 6월 4일 자 유럽위원회 시행 결정(EU) 제2021/914호에 대해 사용자가 데이터 제공자로서 그리고 개인정보처리자의 역할로서 서명하고 이를 수락하는 행위이며, 또한 당분간 영국에서 시행 중인 2018년 데이터 보호법 제17C(b)조에 따라 영국 주무 장관이 정한 규정에서 명시된 표준 데이터 보호 조항("영국 전송 조항")에 대해서도 사용자가 데이터 제공자로서 서명하고 이를 수락하는 행위로 간주된다, (ii) 적용되는 한도 내에서, PayPal이 본 약정에 서명하는 행위가 EU 전송 조항에 대해 데이터 수령자로서 그리고 개인정보처리자의 역할로서 PayPal이 서명하고 수락하는 행위이며, 또한 영국 전송 조항에 대해 PayPal이 데이터 수령자로서 서명하고 이를 수락하는 행위로 간주된다, 그리고 (iii) 당사자들이 EU 전송 조항 모듈 1의 적용을 받는다. 유럽 위원회 또는 영국 주무 장관(또는 기타 관련된 영국 공인 기구)가 새로운 EU 전송 조항 또는 영국 전송 조항을 각각(혹은 유럽 위원회나 영국 주무장관 또는 기타 관련 영국 공인 기구에서 달리 요구 또는 시행하는 바에 따라) 수정하고 이를 게시하는 경우 당사자들은 이러한 EU 전송 조항 또는 영국 전송 조항의 신규 내용이 기존 EU 전송 조항 또는 영국 전송 조항을 우선하며 신규 유럽연합 전송 조항 또는 영국 전송 조항의 실행에 필요한 모든 조치를 취하기로 합의한다는 점에 동의합니다. EU 전송 조항(모듈 1) 및 영국 전송 조항은 여기에 인용함으로써 본 약정에 포함되며, 본 약정이 발효되는 즉시 다음 세부사항에 따라 당사자 간에 절차에 따라 실행되는 것으로 간주됩니다.
A) EU 전송 조항
B) 영국 전송 조항
별첨 1
EU 전송 조항의 부속서 및 영국 전송 조항의 부록 B
A) EU 전송 조항 및 영국 전송 조항에 따라 필요한 범위에서 다음이 적용됩니다.
부록 1.A. 당사자 목록
데이터 제공자
데이터 수령자
부록 1.B. 전송 관련 설명
데이터 주체
다음 범주의 데이터 주체에 관한 개인 데이터가 전송됩니다.
데이터 제공자와 그 고객, 직원 및 기타 비즈니스 연락처.
전송 대상 개인 데이터의 범주
전송 대상 개인 데이터에는 다음 범주의 데이터가 포함될 수 있습니다.
이름, 청구 금액, 날짜/시간, 은행계좌 세부정보, 결제카드 세부정보, CVC 코드, 우편번호, 국가 코드, 주소, 이메일 주소, 팩스, 전화, 웹사이트, 만료 데이터, 배송 세부정보, 납세자 구분, 고유 고객 식별자, IP 주소, 위치 및 PayPal이 본 약정에 따라 수령한 기타 모든 데이터.
민감 데이터(해당하는 경우) 및 적용되는 제한 또는 보호 조치
전송 대상 개인 데이터에는 다음 범주의 민감 데이터가 포함될 수 있습니다.
적용되는 제한 및 보호 조치:
처리의 특성
전송의 목적
전송은 다음의 목적을 위해 이루어집니다.
개인 데이터의 보존 기간(또는 보존할 수 없는 경우의 보유 기간 결정 기준)
데이터 수령자는 관련된 수집 목적에 필요한 기간에만 개인 데이터를 보유합니다(상기 목적 참조). 적절한 개인 데이터 보유 기간을 결정하기 위해 데이터 수령자는 개인 데이터의 수량, 특성 및 민감도, 개인 데이터 무단 사용 또는 공개로 인한 잠재적 위험, 개인 데이터 처리 목적, 기타 수단을 통해 관련 목적을 달성할 수 있는지 여부 및 관련 법적/규제적/세무상 요건이나 기타 요건을 고려해야 합니다.
(하위) 처리자에게 전송을 할 경우에는 처리 목적, 특성 및 기간을 명시할 것
데이터 수령자는 자신의 지시에 따라 그리고 자신을 대신하여 서비스 및 기능을 수행하는 제3자 서비스 제공업체와 개인 데이터를 공유할 수 있습니다. 예를 들어, 제3자 서비스 제공업체는 고객 인증, 거래 처리 또는 고객 지원 등 본 약정에 따라 제공되는 서비스 요소를 제공하거나, 데이터 저장 등 본 약정에 따라 제공되는 서비스를 지원하는 서비스를 데이터 수령자에게 제공할 수 있습니다. 제3자 서비스 제공업체가 실시하는 처리 작업의 기간을 결정할 때 데이터 수령자는 부록 1.B의 위 조항에서 정한 기준을 적용해야 합니다.
부록 1.C. 감독 당국
EU 전송 조항의 제13(a)조항에 따라 데이터 전송과 관련하여 데이터 제공자가 규정(EU) 제2016/679호를 준수하도록 보장할 책임을 지는 감독 당국은 언급된 바와 같이 관할 감독 당국으로 행위를 해야 합니다.
부록 II. 데이터 보안을 보장하기 위한 기술적 및 조직적 조치 등
PayPal 정책은 이 원칙의 준수를 보장하며, 개인 데이터가 공개될 위험을 방지하기 위해 기술적 제어 조치를 사용할 것을 요구합니다. PayPal은 모든 개인 데이터의 전송 및 저장 시에 암호화를 사용합니다. 또한 PayPal은 해당하는 경우 토큰화와 같은 업계 표준 가명화 기술을 사용하여 개인 데이터를 보호합니다. PayPal은 데이터가 기업 내에서 그리고 외부의 제3자에게 전송될 때 이를 보호하기 위해 주요 의무와 절차를 명시하는 포괄적인 정책을 보유하고 있습니다.
PayPal의 강력한 변화 관리 절차는 변화의 내용이 적절하게 계획, 승인, 수정 및 검토되도록 하여 데이터와 시스템이 수명 주기 내내 안정적인 가용성 및 회복 탄력성을 제공하도록 합니다. 회사의 비즈니스 지속성 관리 절차를 통해 PayPal은 주요 이해관계자의 이익을 보호하는 효과적 대응 능력을 바탕으로 조직의 회복 탄력성을 유지하고 있습니다.
PayPal의 강력한 재해 복구 프로그램은 심각한 중단이 발생할 경우 정보 또는 기술 시스템을 복구하는 절차를 갖추고 있으며, 이는 중요한 비즈니스 절차와 고객 활동을 지원하는 IT 시스템에 초점을 맞추고 있습니다. 기본 기능 및 보조 기능을 갖춘 PayPal의 기술 인프라는 다수의 보안 데이터 센터에 배치되며, 이들 각각은 네트워크 및 보안 인프라, 전용 애플리케이션, 데이터베이스 서버와 저장 장치를 갖추고 있습니다.
PayPal은 회사의 테스트 프로그램 결과를 정기적으로 기획, 작성 및 보고하여 기술적 조치 및 조직적 조치의 효과를 평가합니다. 이 프로그램은 관련 이해관계자와 함께 테스트, 보고 및 복구에 필요한 정보를 획득 및 평가하는 PayPal의 기업 위험 및 규정 준수팀에서 관리합니다.
PayPal의 액세스 관리 절차에 따라 사용자는 다른 관련 애플리케이션에 액세스하기 전에 고유 기업 네트워크 계정 ID 및 사용자 식별 및 인증용 비밀번호를 사용하여 기업 네트워크에 로그인해야 합니다. 이때에는 비밀번호 구성, 길이, 변경, 재사용 및 잠금에 대한 정책이 자동으로 적용됩니다. 최소 권한 원칙을 적용하기 위해 매 분기에 각 직원은 모든 관련 시스템에서 액세스 및 승인에 대한 인증을 거쳐야 합니다.
PayPal의 글로벌 안전 및 보안 정책 및 절차에서는 관련 법률, 규정 및 파트너 요건에 따라 견고한 안전 및 보안 절차(물리적 보안 포함)를 촉진하는 데 필요한 요건을 명시합니다. 회사 정보 보안 취급 기준에 따라 우편 취급실, 장비 저장소, 배송 및 수령 구역, 컴퓨터/서버실, 통신 보관소 또는 기밀 문서/정보 저장소 등 특별하거나 민감한 구역을 설정할 때에는 보안 시스템 및 보호 조치에 특별한 주의를 기울여야 합니다.
PayPal은 이벤트 로그 기록 및 모니터링의 유형과 속성을 요약하고 정의해 두었습니다. 당사는 여러 유형의 로그를 수집한 후 중앙 보안 모니터링 시스템에서 집계합니다. 로그를 시스템에서 수집한 다음 중앙 보안 모니터링 시스템으로 전달할 때에는 표준 구성 관리 시스템이 적용됩니다. PayPal의 정책 및 지원 절차에서는 시스템 구성 및 강화된 기본 조치가 모든 시스템에서 적용돼야 함을 명시하고 있습니다.
PayPal은 회사 전반에 걸쳐 강력한 보안 철학을 추구합니다. 글로벌 기업인 PayPal의 정보 보안은 최고 정보 보안 책임자가 감독합니다. PayPal의 기업 위험 및 규정 준수 관리 프로그램의 일환인 기술 감독 및 정보 보안 프로그램은 기술 및 정보 보안 위험을 관리하고 정보 보안 위협에 대해 식별, 보호, 감지, 대응 및 복구 조치를 취할 때 회사를 지원할 목적으로 고안되었습니다. PayPal은 (i) 기술 산업 표준(ISO 27001, 결제 카드 산업(PCI) 관련 표준(DSS, PIN, P2PE 등), 미국 공인 회계사 협회(AICPA) SOC-1 및 SOC-2를 포함하나 이에 국한하지 않음)에 따라 PayPal이 지는 의무에 대한 감사 및 평가 프로그램, (ii) 서비스 솔루션의 개발 및 배포와 관련한 위험의 측정, 관리 및 모니터링을 쉽게 안내하고 그에 대한 표준 접근 방식을 제공하는 위험 관리 식별 절차(RCIP), (iii) 제품 및 소프트웨어 개발 절차의 초기 단계에 통합된 개인정보 영향 평가 프로그램 및 (iv) 제3자가 참여하는 기간 동안 지속적으로 위험을 관리하는 포괄적인 제3자 관리 프로그램 등 다양한 기업 프로그램을 통해 당사 절차 및 서비스를 인증 및 보증합니다.
PayPal 정책에 의하면 기술적 통제 전체에 걸쳐 수집 및 생성된 데이터 요소는 적절성과 관련성이 있으며 처리 목적과 관련하여 필요한 것으로 한정됩니다. PayPal 개인정보 영향 평가 절차는 이러한 정책의 준수를 보장합니다.
PayPal의 액세스 및 품질 정책에 따라 모든 개인 데이터는 정확하고 완전하며 최신 상태를 유지하며, 이로써 개별 사용자가 시스템에 액세스하여 자신의 세부정보(예: 주소, 연락처 세부정보 등)를 수정할 수 있습니다. 또한 데이터 주체로부터 수정 요청을 접수한 경우 PayPal은 데이터 주체가 수정 권리를 행사할 수 있도록 관련 서비스를 제공합니다. PayPal은 데이터 거버넌스 프로그램을 통해 필요시 데이터 품질, 문제 및 시정 조치를 모니터링합니다. PayPal은 PayPal의 법적, 규제적 및 비즈니스상 기록 보관 요건을 고려하여 모든 데이터를 비즈니스상 가치에 따라 분류하고 해당 데이터에 보관 기간을 할당할 것을 요구합니다. 보관 기간이 만료된 데이터 및 정보는 폐기, 삭제 또는 파기됩니다.
PayPal은 전사적 인식 제고 및 규정 준수 프로그램에서 이해관계자가 참여 및 협력하도록 고안됐으며 업계 표준에 부합하는 일련의 정보 보안, 기술, 데이터 거버넌스, 제3자 관리 및 개인정보 취급방침과 원칙을 개발하여 조직 전체에 걸쳐 이러한 정책 및 통제에 대한 하향식 참여 및 책무 구조를 구현했습니다. 각 프로그램은 상호 기능 데이터 관련 의사 결정, 절차 및 통제 조치에 대한 책무를 정의합니다. 개인정보처리자인 PayPal은 개인정보 취급방침 시행을 통해 GDPR 및 기타 관련 데이터 보호법상 책무를 명시하는 관련 조항을 준수해야 할 뿐만 아니라 개인정보 보호법, 규정, 정책 및 절차의 전사적인 준수를 보장하는 단계별 형태의 기본 조직적 및 기술적 통제 체계를 준수할 책임을 지며 동시에 이들의 준수 여부도 입증해야 합니다. 여기에는 1) 강력한 규정 준수 문화 조성, 2) 위험 및 규정 준수 거버넌스 체계(관리위원회, 감독 직무, 개인정보 관련 보고 포함)의 운영, 3) 개인정보 보호 프로그램 준수를 위한 비즈니스 부서의 책무 이행(비즈니스 절차 및 통제 조치의 수립, 문서화 및 유지관리 포함), 4) 개인정보 보호 프로그램에 대한 비즈니스의 준수 여부를 감시하고 비즈니스 부서에서 운영하는 정책, 기준, 절차 및 도구를 정의하는 글로벌 개인정보 보호 부서의 기업 규정 준수 조직 내 설치, 5) 개인정보 보호에 대한 인식과 이해를 증진하는 글로벌 개인정보 보호 부서의 기업 상대 안내 활동, 6) 일관된 절차를 사용하도록 보장하는 기업 위험 및 규정 준수 관리 체계의 운영(개인정보 영향 평가, 개인정보 모니터링 및 테스트, 개인정보 문제 관리, 개인정보 관련 교육, 연간 개인정보 보호 계획 포함), 7) 개인정보 보호 프로그램을 감독하는 관리 위원회에 대한 보고 및 분석 활동 수행 등의 방식으로 데이터 보호법 준수 여부를 입증하는 조치가 포함됩니다.
PayPal은 데이터 주체의 권리(액세스, 수정 및 삭제 권리 포함) 행사를 보장하는 프로그램을 마련했습니다. 데이터 삭제 요청은 PayPal이 별도 법적 및 규제적 의무를 지지 않는 한, 또는 해당 데이터를 보유해야 할 기타 법적인 비즈니스 사유가 존재하지 않는 한 이행됩니다. PayPal 정책은 고객이 서비스를 사용하는 동안 삭제가 이행될 것을 보장합니다.
PayPal은 포괄적인 제3자 관리 프로그램을 통해 제3자가 서비스에 관여하는 동안 위험을 지속적으로 관리합니다. PayPal은 처리자와 그 하위 처리자가 처리 단계 전반에 걸쳐 포괄적인 데이터 보안 및 개인정보 보호 표준을 마련하도록 요구하는 계약상의 통제 조치를 적용하고 있습니다. 모든 하위 처리자는 서비스에 관여하기 전에 당사의 사전 승인을 받아야 합니다.
B) 다음은 영국 전송 조항에만 적용됩니다.
수취인
전송된 개인 데이터는 다음의 수취인에게만 공개될 수 있습니다.
데이터 제공자의 데이터 보호 등록 정보(해당하는 경우)
해당 없음.
그 밖에 유용한 정보(보관 한도 및 기타 관련 정보)
본 약정 및 본 별첨 1의 위 조항에서 명시된 것과 같습니다.