DPA(데이터 처리 계약)
번역판
아래 내용은 Exit Games사의 조건을 한국어로 번역한 것으로, 필요에 따라 참고하십시오.
법적 구속력이 있는 영어 ver. 는 아래를 확인해 주십시오.
법적 구속력이 있는 영어 ver. 는 아래를 확인해 주십시오.
별첨 C 데이터 처리 부칙
주 사업장이 ‘111 SW 5th Ave. STE 3150, Portland OR 97204, USA’에 소재하는 델라웨어주 기업인 Exit Games, Inc.(“Exit Games”)와 본 약관에 합의하는 상대방(“고객”)은 Exit Games가 공급하는 Exit Games의 네트워킹 엔진 및 다중 사용자 플랫폼과 소프트웨어(“서비스”로 통칭함)의 제공에 관련하여 엔터프라이즈 호스팅 서비스 계약, Exit Games의 이용약관(https://dashboard.photonengine.com/en-US/Account/LicenseTerms에서 확인할 수 있음) 또는 기타 서면 또는 전자 방식 계약(각각 “기본계약”으로 지칭함)을 체결했다. 그 부속서를 포함한 본 데이터 처리 부칙(“DPA”)은 기본계약의 일부를 구성한다.
본 문서에서 Exit Games와 고객은 개별적으로는 "일방 당사자", 집합적으로는 "양 당사자"로 지칭할 수 있다.
본 DPA는 고객이 클릭하여 본 DPA를 승낙하거나 양 당사자가 기타의 방식으로 본 DPA에 합의한 날짜부터 효력을 발생하며, 해당 계약 주제에 관련하여 이전에 적용된 모든 약관(서비스에 관련된 모든 데이터 처리 계약서 또는 그 부칙 포함)을 대체한다.
귀하가 고객을 대리하여 본 DPA를 수락하는 경우에는 (a) 본 DPA의 구속력을 고객에 미칠 수 있는 완전한 법적 권한을 보유하고 있으며, (b) 본 DPA를 읽고 숙지했고, (c) 고객을 대리하여 본 DPA에 동의함을 보증하는 것이다. 고객에 구속력을 미칠 법적 권한이 없는 경우에는 본 DPA를 승낙하지 않아야 한다.
전문:
(A) 서비스에 관련하여 양 당사자는 고객 또는 고객 그룹의 구성원이 해당 EU 개인정보보호법 또는 영국 개인정보보호법에 따라 컨트롤러 역할을 수행할 수 있는 특정 개인정보를 Exit Games가 EEA 외부에서 처리할 수 있는 상황을 예상한다.
(B) 양 당사자는 EU 개인정보보호법, 영국 개인정보보호법 및 적용되는 기타 개인정보보호법에서 요구하는 개인정보 보호에 관련하여 적절한 보호장치를 수립하기 위해 본 DPA를 체결하기로 합의했다.
1. 정의
1.1 본 DPA에서 다음 용어는 아래에 명시된 의미를 가지며, 동일 계통의 용어는 이에 따라 해석해야 한다.
(a) "적정 국가"란 (해당되는 대로) (i) 정보위원회(ICO)가 해당 영국 법률(영국의 GDPR 등)에 따라 또는 (ii) 유럽집행위원회가 EU GDPR에 따라 수시로 내리는 적정성 결정에 따라 개인정보에 적절한 보호수준을 제공하는 것으로 인정된 국가 또는 영토를 말한다.
(b) "관계사"란 특정 당사자와 관련하여, 해당 당사자를 직간접적으로 지배하거나 그의 지배를 받거나 해당 당사자와 동일지배하에 있는 법인을 말한다(단, 해당 지배가 존속하는 동안에만 해당).
(c) “고객 그룹"이란 고객 및/또는 고객을 직간접적으로 지배하거나 고객의 지배를 받거나 고객과 동일지배하에 있으면서 본 DPA의 계약 당사자인 법인을 말하며, 이 경우에 “지배”는 관계사를 포함한 해당 법인의 이사 과반수를 선임 또는 해임할 수 있는 권한을 (직간접적으로) 보유하고 있는 것을 의미한다.
(d) "개인정보보호법"이란(i) (해당되는 경우에) EU 일반 개인정보보호법(개인정보 처리와 관련된 자연인의 보호 및 해당 정보의 자유로운 이동에 관한 2016년 4월 27일 자 유럽의회 및 이사회의 규정 (EU) 2016/ 679) 등, 기본계약에 따른 개인정보 처리에 적용되는 유럽연합, 유럽경제지역 및 그 회원국의 모든 법률 및 규정(”EU GDPR"), 또는(ii) 2019년 개인정보 보호, 프라이버시 및 전자통신(개정법 등)(EU Exit) 규정, 2020년 개인정보 보호, 프라이버시 및 전자통신(개정법 등)(EU Exit) 규정 및 2018년 개인정보보호법으로 시행되는 영국 일반 개인정보보호법 2016/679 등, 기본계약에 따른 개인정보의 처리에 적용되는 영국의 모든 법률 및 규정("UK GDPR")을 말한다.
(e) "정보주체의 요청"이란 정보주체가 개인정보보호법에 따른 자신의 개인정보에 관련된 권리를 행사하기 위해 직간접적으로 제출하는 요청을 말한다.
(f) "EEA"란 유럽경제지역을 말한다.
(g) "EU 조항"이란 2021년 6월 4일 자 유럽집행위원회 결정 2021/914(http://data.europa.eu/eli/dec_impl/2021/ 914/oj)에 명시된 개인정보를 제3국으로 국제 이전하는 행위에 대해 규정하고 있고
컨트롤러에서 프로세서로 이전하는 모듈 2를 통합하며 별표 2에 따라 본 DPA의 일부를 구성하는 표준계약조항을 말한다.(h) "Exit Games 그룹"이란 Exit Games 및 그 관계사를 말한다.
(i) "개인정보"란 Exit Games가 본 DPA 및 개인정보보호법에 따라 고객을 대리하여 처리한 고객의 개인정보를 말한다. 본 DPA의 제2.1항에 따라 고객 그룹 회사의 개인정보도 이에 포함될 수 있다.
(j) "규제대상 이전"이란 (i) 개인정보를 고객 그룹 회사에서 Exit Games로 이전하거나, (ii) 이후에 개인정보를 Exit Games에서 Exit Games의 하위 프로세서로 이전하는 경우로서 각 경우에 이전된 개인정보를 수령하는 당사자가 EEA 밖에 소재함으로 인해 EU GDPR 또는 영국 GDPR에 따라 금지되는 이전 행위를 말한다.
(k) "보안 위반"이란 Exit Games 직원 또는 하위 프로세서 또는 신원이 확인되었거나 확인되지 않은 제3자가 저지른 개인정보의 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 접근을 유발하는 보안 위반 또는 기타 작위 또는 부작위를 말한다.
(l) "감독기관"이란 영국에서는 정보위원회("ICO")(및 해당되는 경우에 장관 또는 정부)를, EU에서는 GDPR에 따라 설립된 독립적인 공공기관을 말한다.
(m) “UK"란 영국을 말한다.
(n) "영국 승인 부칙"이란 영국 정보위원회에서 발행하여 2022년 2월 2일에 영국의 2018년 개인정보보호법 s119A에 따라 의회에 상정되어 2022년 3월 21일부터 발효되는 템플릿 부칙 B.1.0을 말한다.
(o) “영국 강행조항”이란 영국 승인 부칙의 강행조항을 말하며, 수시로 업데이트되거나 정보위원회에서 발행하는 최종 버전으로 대체된다.
1.2 법인은 (a) 해당 법인 의결권의 과반수를 보유하고 있거나, (b) 해당 법인의 구성원 또는 주주로서 그 이사회 또는 이에 상당한 관리기관의 과반수를 해임할 수 있는 권리를 가지고 있거나, (c) 해당 법인의 구성원 또는 주주로서 단독으로 또는 다른 주주 또는 구성원과의 계약에 따라 해당 법인 의결권의 과반수를 보유하고 있거나, (d) 정관 문서 또는 계약에 따라 지배적 영향력을 행사할 수 있는 권리가 있는 경우 다른 법인을 "지배"한다. 일방 법인이 상대방 법인을 (직간접적으로) 지배하거나 두 법인 모두 동일한 법인에 의해 (직간접적으로) 지배받는 경우에는 "동일지배"하에 있는 것으로 취급된다.
1.3 "컨트롤러", "정보주체", "프로세서" 및 "하위 프로세서"라는 용어는 개인정보보호법에 명시된 의미를 가진다.
1.4 본 DPA에 정의되어 있지 않은 모든 용어는 기본계약의 정의에 따른다.
2. 개인정보보호법의 역할 및 준수
2.1 고객은 개인정보의 컨트롤러이며, Exit Games는 개인정보의 프로세서이다. 각 당사자는 개인정보 처리 시에 해당 당사자에 적용되는 개인정보보호법을 준수해야 한다(그리고 그 직원도 이를 준수하도록 보장하고 그 하위 프로세서도 이를 준수할 수 있도록 상업적으로 적절한 노력을 기울여야 한다). 양 당사자 사이에서 개인정보의 정확성, 품질 및 합법성과 개인정보를 취득한 수단은 고객이 전적으로 책임을 진다.
2.2 의심의 여지를 없애기 위해 고객 이외의 고객 그룹 회사는 기본계약의 당사자가 아니고 기본계약의 당사자가 될 수도 없으며, 다음 조항에 따라 본 DPA의 당사자일 뿐이라는 규정을 둔다.
2.3 본 DPA는 기본계약에 따른 양 당사자의 권리 및 의무를 침해할 수 없으며, 기본계약에 따른 양 당사자의 권리 및 의무는 지속적으로 그 완전한 효력을 유지한다. 본 DPA의 조건과 기본계약의 조건이 상충하는 경우에 개인정보 처리에 관련된 문제에 관한 한 본 DPA의 조건이 우선한다.
3. 처리에 대한 설명
3.1 처리의 주제, 성격 및 목적과 개인정보의 존속기간 및 유형과 정보주체의 범주는 별표 2의 부속서 I에 명시되어 있다.
3.2 프로세서로서 Exit Games는 (i) 기본계약에서 합의한 대로 고객에 서비스를 제공하기 위해서나 (ii) 서면 또는 이메일을 통한 고객의 지시에 따라서만 개인정보를 처리해야 한다. Exit Games는 개인정보를 해당 법률에 따라 고객의 지시 이외의 방식으로 처리해야 하는 경우에 (해당 법률에서 금지한 경우를 제외하고는) 이를 고객에 통지해야 한다. Exit Games가 고객이 내린 지시가 해당 개인정보보호법을 침해한다고 판단한 경우에는 해당 사실을 알게 된 후에 합리적으로 실행 가능한 한 신속하게 이를 고객에 통지해야 한다. 기본계약이 해지되고 고객이 서면으로 요청하는 경우에는 법률에서 개인정보 사본을 계속 보관하도록 요구하는 경우를 제외하고는 개인정보를 반환하거나 삭제해야 한다.
4. 기술적, 관리적 보안조치
4.1 Exit Games는 기본계약에 따라 Exit Games의 서비스를 사용하는 고객을 위해 Exit Games가 보관하고 액세스하는 개인정보의 기밀성, 가용성 및 무결성을 보호하기 위해 상업적으로 합리적이고 적절한 기술적, 물리적 및 관리적 보호장치를 시행하고 유지해야 할 책임이 있다. Exit Games가 개인정보를 보유, 보관 또는 통제하는 동안 해당 정보를 보호하기 위한 보안조치는 본 DPA의 별표 2 부속서 II에 명시된 조치이다(해당되는 대로). Exit Games는 이 조치를 수정하거나 업데이트하는 경우에 해당 개인정보 보호가 약화되는 경우를 제외하고는 재량에 따라 이를 수행할 수 있다.
4.2 Exit Games는 허가된 직원만 개인정보에 액세스하고 개인정보 액세스 권한을 가진 모든 사람이 기밀유지 의무를 이행할 수 있도록 적절한 조치를 취해야 한다.
4.3 고객은 개인정보가 인터넷 또는 기타 제3자 네트워크를 통해 전송되는 상황을 포함하여 개인정보를 보유, 보관 또는 통제하는 동안 해당 데이터의 보안을 유지해야 할 책임이 있다. 보안 의무의 이행을 촉진하기 위해 고객은 (i) 고객 및 그 수권 직원의 모든 액세스 자격 증명을 보호하고, (ii) 고객이 직접 운영하든 제3자 서비스를 통해 운영하든, 컴퓨터, 소프트웨어, 데이터베이스, 전자 시스템(데이터베이스 관리 시스템 포함) 및 네트워크 등의
고객 정보기술 인프라("고객 시스템")를 보호하며, (iii) 고객 시스템이나 고객 시스템 또는 그 수권 직원의 액세스 자격 증명을 통해 직간접적으로 서비스에 무단 액세스하거나 이를 사용하는 것을 방지하고, (iv) 해당 데이터를 처리를 위해 Exit Games에 업로드하거나 기타의 방식으로 제공하는 상황을 포함하여 해당 데이터를 Exit Games에 전송하는 동안 모든 개인정보의 기밀성, 무결성 및 가용성을 보호하는 데 필요한 모든 물리적, 관리적, 기술적 보안조치를 취할 것에 동의한다.
4.4 고객은 Exit Games의 보안조치가 고객의 요구사항 및 해당 법률 및 규정에 따른 개인정보 보호 의무를 충족하는지의 여부를 독자적으로 결정해야 할 전적인 책임이 있다. 고객은 Exit Games가 시행 및 유지하는 보안 관행 및 정책이 최신 기술, 시행 비용과 개인정보 처리의 특성, 범위, 상황 및 목적과 개인에 제기되는 위험을 감안할 때 개인정보에 관련된 위험에 적절한 보안 수준을 제공하고 있다는 사실을 인정하고 이에 동의한다.
5. 하위 처리 및 감사
5.1 고객은 본 조항에 따라 Exit Games에 하위 프로세서를 선임할 수 있는 권한을 부여한다(그리고 각 하위 프로세서에도 추가 하위 프로세서를 선임할 수 있는 권한을 부여한다). 고객은 프로세서에 https://download.photonengine.com/subprocessors(“하위 프로세서 목록”)에 명시된 하위 프로세서를 고용할 수 있도록 허가하고 이를 지시한다. 하위 프로세서 목록은 수시로 업데이트할 수 있으며 각 현행 하위 프로세서의 이름과 위치, 수행하는 처리에 대한 간략한 설명을 명시해야 한다. 고객은 Exit Games가 추가 하위 프로세서를 고용할 수 있다는 사실을 인정하고 이에 동의한다. 고객이 신규 또는 대체 하위 프로세서에 합리적인 이의를 제기하는 경우에는 이 이의를 통지를 받은 후 15일 이내에 서면으로 Exit Games에 통지해야 하며, 양 당사자는 해당 문제를 신의성실하게 해결해야 한다. 고객이 하위 프로세서가 보안 및 프라이버시 보호를 충족한다는 것을 합리적으로 납득하지 못하는 경우에 각 당사자는 유일한 구제책으로서 해당 15일 이내에 기본계약을 해지할 수 있다.
5.2 Exit Games는 개인정보 보호 수준이 본 DPA에서 Exit Games에 부과한 조건보다 낮지 않은 하위 프로세서 조건("관련 조건")을 해당 하위 프로세서에 부과하는 서면 계약을 각 하위 프로세서와 체결해야 한다. Exit Games는 하위 프로세서가 제13.3항에 명시된 관련 조건을 위반한 경우에 개인정보보호법 또는 기타 해당 법률에서 달리 요구한 경우를 제외하고는 고객에 해당 책임을 이행해야 한다.
5.3 Exit Games는 고객이 요청하는 경우에 본 DPA에 명시된 의무에 대한 Exit Games의 준수에 관한 정보를 본 기본계약에 명시된 기밀유지 의무에 따라 고객에 즉시 제공해야 하며, 이는 고객의 요청에 따라 (i) 적절한 정보 보안 관련 설문서에 대한 답변서, (ii) 가능한 경우에 제3자가 작성한 인증 및 규정 준수 감사의 관련 요약서 사본, (iii) 개인정보 보호 및 보안에 관련된 Exit Games의 운영 관행 요약서 중 하나 이상일 수 있다. 고객이 앞의 방법에 따라 제공된 정보가 불충분하다고 판단하는 경우에는 Exit Games에 연락하여 Exit Games가 지정한 시설에서 고객 개인정보 보호에 관련된 절차에 대해 수행하는 현장 감사 일정을 수립할 수 있다. 고객은 고객이 요청한 경우에 제공된 해당 현장 감사 소요 시간에 대해 당시에 적용되는 Exit Games의 전문 서비스 요율에 따라 Exit Games에 보상해야 한다. 해당 현장 감사를 시작하기 전에 고객과 Exit Games는 감사의 범위, 시기 및 기간에 상호 합의해야 한다. 고객은 감사 과정 중에 발견된 모든 미준수 사항에 대한 정보를 즉시 Exit Games에 통지해야 한다. 명확한 해석을 위해 아래에 명시된 감사는 Exit Games의 하위 프로세서 감사에는 적용되지 않는다는 규정을 둔다. 이 감사에는 필요한 경우에 개인정보보호법이 적용된다.
6. 보안 위반, 정보주체의 요청 및 추가 지원
6.1 Exit Games는 보안 위반이 발생한 경우에 부당한 지체 없이 그리고 이를 알게 된 후 48시간 이내에 고객에 통지해야 한다.
6.2 Exit Games는 정보주체의 요청을 수령한 경우에 법률적으로 허용되는 범위 내에서 이를 즉시 고객에 통지해야 한다. Exit Games는 정보주체의 요청에 응해서는 안 된다. 다만 고객은 Exit Games가 자신의 재량에 따라 해당 요청이 고객에 관련이 있음을 확인해 줄 수 있다는 데 동의한다. 고객은 고객이 정보주체의 요청을 Exit Games의 추가 지원 없이 서비스를 통해 직접 관리할 수 있는 기능이 서비스에 포함될 수 있다는 사실을 인정하고 이에 동의한다. 고객이 정보주체의 요청을 처리할 수 있는 능력이 없는 경우에 Exit Games는 고객이 서면 요청하는 경우에 개인정보보호법에 부합되는 범위 내에서 정보주체의 요청에 대한 고객의 응답을 촉진할 수 있는 적절한 지원을 제공해야 한다.
6.3 처리의 특성과 Exit Games에 제공되는 정보를 감안하여 Exit Games는 (i) 개인정보보호영향평가, (ii) 개인정보보호법에 따라 감독기관에 제출하는 통지 및/또는 고객이 보안 위반에 대응하여 정보주체에 제공하는 통신, (iii) 고객이 처리의 보안에 관련하여 (해당되는 대로) EU GDPR 또는 영국 GDPR에 따라 이행해야 할 의무의 준수 등, 개인정보보호법에 따른 고객의 의무에 관련하여 고객이 합리적으로 요청하는 지원을 제공해야 한다.
6.4 Exit Games는 Exit Games가 보유하거나 통제하고 Exit Games가 개인정보 처리에 관련하여 개인정보보호법에 따른 프로세서의 의무를 준수했음을 입증하기 위해 고객이 합리적으로 요청할 수 있는 정보를 고객에 제공해야 한다.
7. 국제 이전
7.1 고객은 서비스의 사용 중에 개인정보가 Exit Games가 소재하는 국가 및 적정 국가로 인정되지 않는 EEA 외부의 기타 국가 등, 다양한 국가로 이전되거나 다양한 국가에서 처리될 수 있다는 데 동의한다.
7.2 영국 이전:
7.2.1 해당 이전을 이전 메커니즘이 없는 영국 GDPR에서 금지하는 상황에서 개인정보를 Exit Games에 이전하고 Exit Games가 영국 외부(적정 국가는 제외)에서 개인정보를 직간접적으로 처리하는 경우에 양 당사자는 영국 승인 부칙이 적용되는 EU 조항이 적용된다는 데 합의한다. 영국 승인 부칙은 본 DPA에 통합되었다.
7.2.2 별표 1에는 영국 승인 부칙 등, 표 1~4에서 요구하는 정보가 명시되어 있다.
7.3 EU 이전:
7.3.1 해당 이전을 이전 메커니즘이 없는 EU GDPR에서 금지하는 상황에서 개인정보를 Exit Games에 이전하고 Exit Games가 EEA 외부(적정 국가는 제외)에서 개인정보를 직간접적으로 처리하는 경우에 양 당사자는 EU 조항이 해당 처리에 적용되고 별표 2에 따라 본 DPA에 통합된다는 데 합의한다.
7.3.2 별표 2의 부속서에는 EU 조항에서 요구하는 정보가 명시되어 있다.
7.4 EU 조항 또는 영국 승인 부칙과 DPA 사이에 불일치가 발생한 경우에는 EU 조항 또는 경우에 따라 영국 승인 부칙이 제7.2항 또는 제7.3항에 따라 적용되는 경우에 본 DPA에 우선한다.
7.5 고객이 EU 조항 또는 영국 승인 부칙에 따른 권리를 Exit Games에 주장하는 경우에 Exit Games는 이로 인해 발생한 서비스에 대해 합리적인 수수료를 청구할 수 있다.
7.6 Exit Games는 (해당되는 경우에) (i) 일반적으로 또는 (해당되는 대로) EEA 및/또는 영국에 관련하여 EU 조항 및/또는 영국 승인 부칙을 수시로 승인되는 추가 또는 대체 표준계약조항 등, 해당 개인정보보호법을 준수하는 대체 이전 메커니즘으로 대체하거나, (ii) (해당 내용이 관련 결정 또는 승인을 준수하는 것을 조건으로) 새로운 이전 메커니즘 또는 새로운 표준계약조항의 내용을 고객에 통지함으로써 본 DPA를 합리적으로 필요한 내용으로 변경할 수 있다.
8. CCPA
8.1 DPA의 본 제8조에 명시된 조건은 (i) Exit Games가 고객을 대리하여 캘리포니아 소비자의 개인정보를 처리하는 행위에만 적용되며, (ii) 이 처리 시점에 고객에는 2020년 캘리포니아 프라이버시 권리법으로 개정된 캘리포니아 소비자 프라이버시법("CCPA")이 적용된다.
8.2 DPA의 본 조항에서 대문자로 표시된 용어는 DPA 또는 기본계약에 별도로 규정된 당사자 및 계약 명칭(예: "고객" 및 "기본계약"에 대한 언급)을 제외하고는 CCPA 및 CCPA 규정에서 정의한 의미를 가진다.
8.3 CCPA가 고객에 적용되고 Exit Games가 고객을 대리하여 개인정보를 처리하는 경우에 해당 개인정보 처리에 관련하여 고객은 비즈니스(사업)가 되고 Exit Games는 서비스 제공자가 된다.
8.4 양 당사자는 CCPA 및 CCPA 규정에 따른 각각의 의무를 준수하는 데 합의한다. Exit Games는 CCPA 및 CCPA 규정의 모든 해당 조항에 따른 의무를 준수해야 하며, 기본계약에 따라 수집한 개인정보에 관련하여 CCPA 및 CCPA 규정에 따라 고객에 요구되는 것과 동일한 수준의 프라이버시 보호를 제공해야 한다(예: 고객이 CCPA에 따라 제기된 소비자의 요청에 대응하고 이를 이행하는 작업을 지원하거나, 캘리포니아 민법 조항 1798.81.5에 따라 개인정보의 무단 또는 불법 액세스, 파기, 사용, 수정 또는 공개를 방지하기 위해 해당 개인정보의 특성에 적절한 합리적인 보안 절차 및 관행을 시행한다).
8.5 EXIT GAMES가 기본계약에 따라 개인정보를 처리하는 제한적인 특정 업무 목적에는 (i) 개인정보의 사용이 이 목적에 합리적으로 필요하고 비례적인 범위 내에서 보안 및 무결성을 보장할 수 있도록 지원하고, (ii) 기존의 의도된 기능을 손상시키는 오류를 파악 및 복구하는 디버깅 작업을 수행하며, (iii) 고객을 대리한 계정 유지 또는 서비스, 고객 서비스 제공, 스토리지 제공 또는 유사한 서비스 제공 등, 고객을 대리하여 서비스 및 관련 지원 서비스를 수행하고, (iv) 기술 개발 및 시연을 위한 내부 연구를 수행하며, (v) 고객이 통제하는 서비스의 품질과 안전을 검증하거나 유지하기 위한 활동을 수행하는 것 등이 있다. 고객은 개인정보를 제한적인 특정 목적(즉, 본 조항에 명시된 제한적인 특정 업무 목적)을 위해서만 Exit Games에 공개한다.
8.6 Exit Games는 기본계약에 따라 수집한 개인정보를 (i) 개인정보의 사용이 이 목적에 합리적으로 필요하고 비례적인 범위 내에서 보안 및 무결성을 보장할 수 있도록 지원하고, (i) 기존의 의도된 기능을 손상시키는 오류를 파악 및 복구하는 디버깅 작업을 수행하며, (iii) 고객을 대리한 계정 유지 또는 서비스, 고객 서비스 제공, 스토리지 제공 또는 유사한 서비스 제공 등, 고객을 대리하여 서비스 및 관련 지원 서비스를 수행하고, (iv) 기술 개발 및 시연을 위한 내부 연구를 수행하며, (v) 고객이 통제하는 서비스의 품질과 안전을 검증하거나 유지하기 위한 활동을 수행하거나, (vi) CCPA와 CCPA 규정에서 달리 허용하는 목적 등, 본 DPA 또는 기본계약에 명시된 업무 목적 이외의 어떤 목적을 위해서든 보유, 사용 또는 공개해서는 안 된다. 이 금지는 본 DPA, 기본계약에 명시된 업무 목적 또는 CCPA 및 CCPA 규정에서 달리 허용하는 목적 이외의 상업적 목적을 위해 개인정보를 보유, 사용 또는 공개하는 데에도 확장 적용된다.
8.7 EXIT GAMES는 CCPA 및 CCPA 규정에서 명시적으로 허용한 경우를 제외하고는 기본계약에 따라 수집한 개인정보를 고객과 EXIT GAMES 사이의 직접적인 비즈니스 관계의 범위를 벗어나 보유, 사용 또는 공개하지 않아야 한다.
8.8 Exit Games는 CCPA 및 CCPA 규정에서 명시적으로 허용한 업무 목적을 수행하기 위해 개인정보를 통합하는 경우를 제외하고는 Exit Games가 기본계약에 따라 수집한 개인정보 또는 고객으로부터나 고객을 대리하여 기타의 방식으로 수령한 개인정보를 다른 사람 또는 출처로부터나 다른 사람 또는 출처를 대리하여 또는 자신이 소비자와 수행한 상호작용으로부터 수령한 개인정보와 통합하거나 이러한 개인정보로 업데이트해서는 안 된다. 그러나 Exit Games는 Exit Games가 고객으로부터 또는 고객을 대리하여 수령하는 개인정보의 판매 또는 공유를 거부하는 소비자의 개인정보를 다른 사람 또는 출처로부터 또는 다른 사람 또는 출처를 대리하여
또는 자신이 소비자와 수행한 상호작용으로부터 수령한 개인정보와 통합해서는 안 된다.
8.9 Exit Games는 CCPA에 규정된 조건과 같이 기본계약에 따라 수집한 개인정보를 판매하거나 공유해서는 안 된다.
8.10 Exit Games는 Exit Games가 기본계약에 따라 수집한 개인정보에 관련하여 소비자가 CCPA에 따라 제기한 요청을 고객이 준수할 수 있도록 보장해야 한다.
8.11 고객은 EXIT GAMES가 기본계약에 따라 수집되거나 고객이 기타의 방식으로 EXIT GAMES로 이전한 개인정보를 DPA의 제5.3항에 명시된 프로세스를 통해 CCPA 및 CCPA 규정에 따라 고객에 부과된 의무와 일치하는 방식으로 사용할 수 있도록 보장하는 데 도움이 되는 합리적이고 적절한 조치를 취할 수 있다.
8.12 Exit Games가 CCPA 및 CCPA 규정에 따른 의무를 더 이상 이행할 수 없다고 결정하는 경우에는 이 결정을 고객에 통지해야 한다.
8.13 고객은 Exit Games로부터 더 이상 CCPA 의무를 이행할 수 없다는 통지를 받거나 개인정보의 무단 사용을 중단하고 시정하기 위한 조치를 취할 것이라는 통지를 Exit Games에 제공한 경우에는 개인정보의 무단 사용을 중단하고 시정하기 위한 합리적이고 적절한 조치를 취할 수 있는 권리가 있다.
8.14 양 당사자는 적절한 규제 또는 자율규제 지침 등, CCPA의 수정, 개정 또는 업데이트를 규율할 수 있는 추가 또는 수정된 계약 조건을 체결하기 위해 신의성실하게 협력해야 한다.
9. VCDPA
9.1 DPA의 본 제9조에 명시된 조건은 (i) Exit Games가 고객을 대리하여 버지니아 소비자의 개인정보를 처리하는 행위에만 적용되며, (ii) 이 처리 시점에 고객에는 버지니아 소비자 개인정보보호법(” VCDPA”)이 적용된다.
9.2 DPA의 본 조항에서 대문자로 표시된 용어는 DPA에 별도로 규정된 당사자 및 계약 명칭(예: “고객” 및 “기본계약”에 대한 언급)을 제외하고는 VDCPA에서 정의한 의미를 가진다.
9.3 VCDPA가 고객에 적용되고 Exit Games가 고객을 대리하여 개인정보를 처리하는 경우에 해당 개인정보 처리에 관련하여 고객은 컨트롤러가 되고 Exit Games는 프로세서가 된다.
9.4 양 당사자는 VDCPA, 기본계약, 본 DPA 및 양 당사자가 체결한 기타 모든 계약에 따른 각각의 의무를 준수하는 데 합의한다. 각 당사자는 또한 VDCPA, 기본계약, 본 DPA 및 양 당사자가 체결한 기타 모든 계약에 따른 상대방의 권리를 존중하는 데 동의한다.
9.5 Exit Games는 고객의 처리 지침을 준수하는 데 동의한다.
9.6 Exit Games는 고객을 대리하여 처리하는 버지니아 소비자의 개인정보에 관련하여 VDCPA에 따른 고객의 의무를 이행할 수 있도록 고객을 지원하는 데 동의한다. 이 지원으로는 (i) (처리의 특성 및 Exit Games에 제공된 정보를 감안하여) 합리적으로 실행 가능한 경우에 Exit Games의 적절한 기술적, 관리적 조치의 이행을 통해 고객이 소비자 권리 요청에 대응되는 의무를 이행할 수 있도록 지원하거나, (ii) (처리의 특성 및 Exit Games에 제공된 정보를 감안하여) 고객이 개인정보 처리의 보안 및 Exit Games의 보안 시스템 위반 통지에 관련된 의무를 이행할 수 있도록 지원하거나, (iii) 고객이 Exit Games에서 처리하는 버지니아 소비자의 개인정보에 관련된 개인정보 보호 평가를 수행 및 문서화하는 데 필요한 정보를 본 DPA의 제5.3항에 명시된 조치를 통해 제공하는 것 등이 있다.
9.7 처리되는 개인정보의 유형, 처리 기간과 처리의 성격 및 목적은 본 DPA 별표 2의 부속서 I에 명시되어 있다. 이 개인정보 처리에 대한 지침은 기본계약에 명시되어 있다.
9.8 Exit Games는 개인정보를 처리하는 각 사람이 해당 개인정보에 관련하여 기밀유지 의무를 이행하도록 보장해야 한다.
9.9 Exit Games는 고객이 적절하게 요청하는 경우에 Exit Games가 VCDPA에 따른 의무를 준수했음을 입증하는 데 필요한 보유 중인 모든 정보를 DPA의 제5.3항에 명시된 프로세스를 통해 고객에 제공해야 한다.
9.10 Exit Games가 각 하도급업체를 고용할 때는 하도급업체에게도 해당 개인정보에 관련하여 Exit Games의 의무를 이행하도록 요구하는 서면 계약을 체결해야 한다. 이 계약으로 인해 VCDPA에 따른 양 당사자의 책임이 면제될 수 없다.
9.11 Exit Games는 DPA의 제5.3항에 명시된 프로세스를 통해 고객 또는 고객이 지정한 평가자의 합리적인 평가를 허용하고 이에 협력해야 한다.
9.12 Exit Games는 법률에서 개인정보를 보관하도록 요구하는 경우를 제외하고는 서비스 제공 종료 시에 요청하는 모든 개인정보를 고객의 지시에 따라 삭제하거나 고객에 반환해야 한다.
9.13 양 당사자는 적절한 규제 또는 자율규제 지침 등, VCDPA의 수정, 개정 또는 업데이트를 규율할 수 있는 추가 또는 수정된 계약 조건을 체결하기 위해 신의성실하게 협력해야 한다.
10. CPA
10.1 DPA의 본 제10조에 명시된 조건은 (i) Exit Games가 고객을 대리하여 콜로라도 소비자의 개인정보를 처리하는 행위에만 적용되며, (ii) 이 처리 시점에 고객에는 콜로라도 프라이버시법(”CPA”)이 적용된다.
10.2 DPA의 본 조항에서 대문자로 표시된 용어는 DPA에 별도로 규정된 당사자 및 계약 명칭(예: “고객” 및 “기본계약”에 대한 언급)을 제외하고는 CPA 및 CPA 규칙에서 정의한 의미를 가진다.
10.3 CPA가 고객에 적용되고 Exit Games가 고객을 대리하여 개인정보를 처리하는 경우에 해당 개인정보 처리에 관련하여 고객은 컨트롤러가 되고 Exit Games는 프로세서가 된다.
10.4 양 당사자는 CPA, 기본계약, 본 DPA 및 양 당사자가 체결한 기타 모든 계약에 따른 각각의 의무를 준수하는 데 합의한다. 각 당사자는 또한 CPA, 기본계약, 본 DPA 및 양 당사자가 체결한 기타 모든 계약에 따른 상대방의 권리를 존중하는 데 동의한다.
10.5 처리되는 개인정보의 유형, 처리 기간과 처리의 성격 및 목적을 포함한 처리 지침은 본 DPA 별표 2의 부속서 I과 기본계약에 명시되어 있다.
10.6 Exit Games는 개인정보를 처리하는 각 사람이 해당 개인정보에 관련하여 기밀유지 의무를 이행하도록 보장해야 한다.
10.7 Exit Games가 각 하도급업체를 고용할 때는 고객에 이의를 제기할 기회를 제공한 후에 CPA에 따라 하도급업체에게도 해당 개인정보에 관련하여 Exit Games의 의무를 이행하도록 요구하는 서면 계약을 체결해야 한다.
10.8 요청 시에 Exit Games는 CPA를 준수했음을 입증하는 데 필요한 모든 정보를 DPA의 제5.3항에 명시된 프로세스에 따라 고객에 제공해야 한다.
10.9 Exit Games는 DPA의 제5.3항에 명시된 프로세스를 통해 고객 또는 고객이 지정한 감사자의 합리적인 감사와 검사를 허용하고 이에 협력해야 한다.
10.10 Exit Games는 법률에서 개인정보를 보관하도록 요구하는 경우를 제외하고는 서비스 제공 종료 시에 요청하는 모든 개인정보를 고객의 선택에 따라 삭제하거나 고객에 반환해야 한다.
10.11 양 당사자는 적절한 규제 또는 자율규제 지침 등, CPA의 수정, 개정 또는 업데이트를 규율할 수 있는 추가 또는 수정된 계약 조건을 체결하기 위해 신의성실하게 협력해야 한다.
11. CTDPA
11.1 DPA의 본 제11조에 명시된 조건은 (i) Exit Games가 고객을 대리하여 코네티컷 소비자의 개인정보를 처리하는 행위에만 적용되며, (ii) 이 처리 시점에 고객에는 코네티컷 데이터 프라이버시법(”CTDPA”)이 적용된다.
11.2 DPA의 본 제11조에서 대문자로 표시된 용어는 DPA에 별도로 규정된 당사자 및 계약 명칭(예: “고객” 및 “기본계약”에 대한 언급)을 제외하고는 CTDPA에서 정의한 의미를 가진다.
11.3 CTDPA가 고객에 적용되고 Exit Games가 고객을 대리하여 개인정보를 처리하는 경우에 해당 개인정보 처리에 관련하여 고객은 컨트롤러가 되고 Exit Games는 프로세서가 된다.
11.4 양 당사자는 CTDPA, 기본계약, 본 DPA 및 양 당사자가 체결한 기타 모든 계약에 따른 각각의 의무를 준수하는 데 합의한다. 각 당사자는 또한 CTDPA, 기본계약, 본 DPA 및 양 당사자가 체결한 기타 모든 계약에 따른 상대방의 권리를 존중하는 데 동의한다.
11.5 Exit Games는 고객의 처리 지침을 준수하는 데 동의한다.
11.6 Exit Games는 고객을 대리하여 처리하는 코네티컷 소비자의 개인정보에 관련하여 CTDPA에 따른 고객의 의무를 이행할 수 있도록 고객을 지원하는 데 동의한다. 이 지원으로는 (i) (처리의 특성 및 Exit Games에 제공된 정보를 감안하여) 합리적으로 실행 가능한 경우에 Exit Games의 적절한 기술적, 관리적 조치의 이행을 통해 고객이 소비자 권리 요청에 대응되는 의무를 이행할 수 있도록 지원하거나, (ii) (처리의 특성 및 Exit Games에 제공된 정보를 감안하여) 고객이 개인정보 처리의 보안 의무 및 Exit Games의 시스템 보안 위반 통지 의무를 이행할 수 있도록 지원하거나, (iii) 고객이 Exit Games에서 처리하는 소비자의 개인정보에 관련된 개인정보 보호 평가를 수행 및 문서화하는 데 필요한 정보를 본 DPA의 제5.3항에 명시된 조치를 통해 제공하는 것 등이 있다.
11.7 처리되는 개인정보의 유형, 처리 기간과 처리의 성격 및 목적은 본 DPA 별표 2의 부속서 I에 명시되어 있다. 이 개인정보 처리에 대한 지침은 기본계약에 명시되어 있다.
11.8 Exit Games는 개인정보를 처리하는 각 사람이 해당 개인정보에 관련하여 기밀유지 의무를 이행하도록 보장해야 한다.
11.9 Exit Games는 고객이 적절하게 요청하는 경우에 Exit Games가 CTDPA에 따른 의무를 준수했음을 입증하는 데 필요한 보유 중인 모든 정보를 DPA의 제5.3항에 명시된 프로세스를 통해 고객에 제공해야 한다.
11.10 Exit Games가 각 하도급업체를 고용할 때는 고객에 이의를 제기할 기회를 제공한 후에 하도급업체에게도 해당 개인정보에 관련하여 Exit Games의 의무를 이행하도록 요구하는 서면 계약을 체결해야 한다.
11.11 Exit Games는 DPA의 제5.3항에 명시된 프로세스를 통해 고객 또는 고객이 지정한 평가자의 합리적인 평가를 허용하고 이에 협력해야 한다.
11.12 Exit Games는 법률에서 개인정보를 보관하도록 요구하는 경우를 제외하고는 Exit Games의 서비스 제공 종료 시에 요청하는 모든 개인정보를 고객의 지시에 따라 삭제하거나 고객에 반환해야 한다.
11.13 양 당사자는 적절한 규제 또는 자율규제 지침 등, CTDPA의 수정, 개정 또는 업데이트를 규율할 수 있는 추가 또는 수정된 계약 조건을 체결하기 위해 신의성실하게 협력해야 한다.
12. UCPA
12.1 DPA의 본 제12조에 명시된 조건은 (i) Exit Games가 고객을 대리하여 유타 소비자의 개인정보를 처리하는 행위에만 적용되며, (ii) 이 처리 시점에 고객에는 유타 소비자 프라이버시법(”UCPA”)이 적용된다.
12.2 DPA의 본 제12조에서 대문자로 표시된 용어는 DPA에 별도로 규정된 당사자 및 계약 명칭(예: “고객” 및 “기본계약”에 대한 언급)을 제외하고는 UCPA에서 정의한 의미를 가진다.
12.3 UCPA가 고객에 적용되고 Exit Games가 고객을 대리하여 개인정보를 처리하는 경우에 해당 개인정보 처리에 관련하여 고객은 컨트롤러가 되고 Exit Games는 프로세서가 된다.
12.4 양 당사자는 UCPA, 기본계약, 본 DPA 및 양 당사자가 체결한 기타 모든 계약에 따른 각각의 의무를 준수하는 데 합의한다. 각 당사자는 또한 UCPA, 기본계약, 본 DPA 및 양 당사자가 체결한 기타 모든 계약에 따른 상대방의 권리를 존중하는 데 동의한다.
12.5 Exit Games는 고객의 처리 지침을 준수해야 한다.
12.6 Exit Games는 처리의 특성 및 Exit Games에 제공된 정보를 감안하여 합리적으로 실행 가능한 경우에 Exit Games의 적절한 기술적, 관리적 조치의 이행을 통해 개인정보 처리의 보안 의무 및 Exit Games의 시스템 보안 위반 통지 의무 등, 고객이 UCPA에 따른 고객의 의무를 이행할 수 있도록 지원해야 한다.
12.7 처리되는 개인정보의 유형, 처리 기간과 처리의 성격 및 목적은 본 DPA 별표 2의 부속서 I에 명시되어 있다. 이 개인정보 처리에 대한 지침은 기본계약에 명시되어 있다.
12.8 Exit Games는 개인정보를 처리하는 각 사람이 해당 개인정보에 관련하여 기밀유지 의무를 이행하도록 보장해야 한다.
12.9 Exit Games가 각 하도급업체를 고용할 때는 하도급업체에게도 해당 개인정보에 관련하여 Exit Games와 동일한 의무를 이행하도록 요구하는 서면 계약을 체결해야 한다.
12.10 양 당사자는 적절한 규제 또는 자율규제 지침 등, UCPA의 수정, 개정 또는 업데이트를 규율할 수 있는 추가 또는 수정된 계약 조건을 체결하기 위해 신의성실하게 협력해야 한다.
13. 일반 사항
13.1 양 당사자는 향후 개인정보 보호와 프라이버시 법률 및 규정을 다룰 수 있는 추가 또는 수정된 계약 조건을 체결하기 위해 신의성실하게 협력해야 한다.
13.2 본 DPA에서는 DPA가 적용되는 주제에 관련하여 양 당사자가 합의한 모든 조건을 규정한다. 허위로 제출된 진술에 관련된 경우를 제외하고는 기타 어떤 진술이나 조건도 적용되거나 본 DPA의 일부를 구성할 수 없다.
13.3 본 DPA는 기본계약에 따른 양 당사자의 권리 및 의무를 침해할 수 없으며, 기본계약에 따른 양 당사자의 권리 및 의무는 지속적으로 그 완전한 효력을 유지한다.
13.4 본 DPA의 조건과 기본계약의 조건이 상충하는 경우에 개인정보 처리에 관련된 문제에 관한 한 본 DPA의 조건(정의 및 별표 포함)이 우선한다. DPA와 EU 조항(또는 경우에 따라 영국 승인 부칙이 적용되는 EU 조항) 사이에 불일치가 발생하는 경우에는 영국 승인 부칙(해당되는 경우)을 포함한 후자가 우선 적용된다.
13.5 해당 법률에 따라 허용되는 범위 내에서 Exit Games가 본 DPA에 따라 또는 이에 관련하여 고객에 이행해야 할 최대 책임 총액은 어떤 경우에도 Exit Games가 기본계약에 따라 고객에 이행해야 할 최대 책임 총액을 초과할 수 없다.
13.6 본 DPA 및 이에 관련된 모든 조치는 법률 충돌 규정에 관계없이 뉴욕주 법률에 따라 규율 및 해석한다. 양 당사자는 뉴욕시 법원의 대인관할권 및 재판적에 합의한다.
13.7 본 DPA는 제3 수익자 권리를 부여하지 않고, 계약 당사자들과 각각의 허가된 승계인 및 양수인만의 이익을 위한 문서이며, 기타 사람의 이익을 위한 문서가 아니고 기타 사람은 본 문서의 어떤 조항도 집행할 수 없다.
13.8 본 DPA는 본 문서의 주제에 관련하여 양 당사자가 체결한 최종적이고 완전하며 배타적인 합의로서, 해당 주제에 관련하여 양 당사자 간에 수수된 이전의 모든 논의 및 합의를 대체 및 통합한다. 허위로 제출된 진술에 관련된 경우를 제외하고는 기타 어떤 진술이나 조건도 적용되거나 본 DPA의 일부를 구성할 수 없다. DPA에 따른 권리의 수정, 개정 또는 포기는 각 당사자의 수권 서명 대리인이 서면으로 작성하여 서명한 경우를 제외하고는 효력을 발생할 수 없다.
13.9 각 당사자는 본 DPA의 작성 및 교부와 해당 당사자의 본 계약에 따른 의무 이행이 정당하게 허가되었고 본 DPA가 해당 당사자에 유효하고 법적 구속력이 있는 계약이며 그 조건에 따라 집행할 수 있음을 상대방에 진술 및 보증한다.
13.10 본 DPA는 부본을 작성할 수 있으며, 각 부본은 원본으로 간주되면서도 부본 전부가 단일하고 동일한 계약을 구성한다.
별표 1: 영국 이전:
영국 승인 부칙의 목적상,
1. 표 1에 필요한 정보는 본 DPA 별표 2의 부속서 I에 명시되어 있으며, 시작일은 EU 조항과 동일한 날짜로 간주한다.
2. 표 2에 관련하여 영국 승인 부칙이 적용되는 EU 조항 버전은 컨트롤러에서 프로세서로 이전하는 모듈 2이다.
3. 표 3에 관련하여 양 당사자 목록 및 이전에 대한 설명은 본 DPA 별표 2의 부속서 I에 명시되어 있고, Exit Games의 기술적, 관리적 조치는
본 DPA 별표 2의 부속서 II에 명시되어 있으며, Exit Games의 하위 프로세서 목록은 본 DPA의 별표 2의 부속서 III에 따라 제공한다.
4. 표 4에 관련하여 어떤 당사자도 영국 강행 조항의 제19조에 따라 영국 승인 부칙을 해지할 수 없는 권리가 없다.
별표 2: EU 조항
1. 이 별표 2의 목적상, 현재 https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN에서 볼 수 있는 EU 조항(모듈 II)은 본 별표 및 DPA를 참조함으로써 이에 통합되고 그 통합 부분으로 간주되며,
DPA의 양 당사자 서명은 EU 조항에 대한 양 당사자의 서명으로 해석해야 한다. DPA와 EU 조항이 불일치하는 경우에는 후자가 우선한다.
2. EU 조항의 목적상, 다음 사항이 적용된다.
- 고객은 데이터 반출자이며, Exit Games는 데이터 반입자이다. 각 당사자는 EU 조항에 명시된 것과 같이 각각 반출자 및 반입자의 역할을 수행할 때 그 의무에 구속되고 이를 준수하는 데 동의한다.
- 제7항(도킹 조항)이 포함된 것으로 간주한다.
- 제9조(하위 프로세서의 사용): 옵션 2 – 일반 서면 허가가 적용된다. 데이터 반입자는 하위 프로세서의 추가 또는 교체를 통한 예정된 모든 해당 목록 변경사항을 최소 15일 전에 서면으로 데이터 반출자에 구체적으로 통지해야 한다.
- 제11조(구제책): 임의 조항(독립적인 외부 분쟁해결 기관에 제기하는 임의 구제 장치)은 포함되지 않은 것으로 간주한다.
- 제13(a)호(감독):
o 고객이 EU 회원국에서 설립된 경우: 부속서 I. C에 명시된 데이터 이전에 관련하여 데이터 반출자가 규정 (EU) 2016/679를 준수하도록 보장해야 할 책임이 있는 감독기관은 관할 감독기관의 역할을 수행해야 한다.
o 고객이 EU 회원국에서 설립되지 않았지만 제3(2)항에 따라 규정 (EU) 2016/679의 영토적 적용 범위에 속하고 규정 (EU) 2016/679 제27(1)항에 따라 대리인을 선임한 경우: 규정 (EU) 2016/679의 제27(1)항의 의미 범위 내에 속하는 대리인이 설립된 회원국의 감독기관은 부속서 I. C에 명시된 관할 감독기관의 역할을 수행해야 한다.
o 고객이 EU 회원국에서 설립되지 않았지만 제3(2)항에 따라 규정 (EU) 2016/679의 영토적 적용 범위에 속하고 규정 (EU) 2016/679 제27(2)항에 따라 대리인을 선임하지 않은 경우: 제공되는 상품 또는 서비스에 관련하여 개인정보가 본 조항에 따라 이전되거나 그 행동을 모니터링하는 정보주체가 소재하는 회원국 중 하나의 감독기관은 부속서 I. C에 명시된 관할 감독기관의 역할을 수행해야 한다.
- 제17조(준거법): 본 조항들은 데이터 반출자가 설립된 EU 회원국의 법률에 따라 규율한다. 이 법률이 제3 수익자 권리를 허용하지 않는 경우에는 제3 수익자 권리를 허용하는 다른 EU 회원국의 법률이 적용된다. 양 당사자는 이 법률이 독일법이라는 데 합의한다.
- 제18(b)호(재판적 및 관할권의 선택): 양 당사자는 EU 조항으로 인해 발생하는 양 당사자 간의 모든 분쟁을 독일 법원에서 해결한다는 데 합의한다.
별표 2의 부속서 I
A. 양 당사자 목록
데이터 반출자: 컨트롤러로서 멀티플레이어 게임 또는 기타 서비스를 제공하는 본 DPA의 계약 당사자(위의 DPA에 명시된 고객)이다.
데이터 반입자:
성명: Exit Games, Inc.
주소: 111 SW 5th Ave. STE 3150, Portland OR 97204, USA
연락처 이름, 직위 및 연락처 정보: Christof Wegmann, CTO,
privacy@photonengine.com
본 조항에 따라 이전된 데이터에 관련된 활동: 멀티플레이어용의 온라인 서비스 제공(Photonengine)
역할(컨트롤러/프로세서): 프로세서
B. 이전에 대한 설명
개인정보가 이전되는 정보주체의 범주
- 네트워킹 온라인 플레이어
- 애플리케이션 사용자
이전되는 개인정보의 범주
- 사용자 ID
- IP 주소
- 채팅 콘텐츠(선택적 채팅 필터를 사용하는 동안)
이전된 민감한 데이터(해당되는 경우) 및 적용된 규제 또는 보호장치
- 없음.
이전의 빈도(예: 데이터를 일회성으로 이전하는지 또는 지속적으로 이전하는지의 여부).
서비스를 제공하는 동안 지속적으로 이전.
처리의 특성
서비스 제공.
데이터 이전 및 추가 처리의 목적
- 서비스 제공:
o 사용자를 현행 이름, 로비 및 게임 서버에 라우팅하거나 서버에서 처리
o Photonengine.com 오류 분석
- 아동 온라인 프라이버시 보호법(COPPA) 및 GDPR 준수 채팅 콘텐츠 필터링
개인정보를 보관하는 기간 또는 해당 기간을 알 수 없는 경우에 해당 기간을 결정하는 데 적용되는 기준
기본계약 기간.
(하위) 프로세서로 이전하는 경우에는 처리 주제, 특성 및 기간도 명시한다.
보조 서비스.
C. 관할 감독기관
제13조에 따라 관할 감독기관을 명시한다.
고객에 대한 관할 감독기관은 별표 2에 명시된 EU 조항의 제13조에 관련된 사양에 따라 옵션 (A), (B) 또는 (C)가 적용되는지의 여하에 따라 결정된다.
별표 2의 부속서 II – 데이터의 보안을 보장하기 위한 기술적, 관리적 조치 등, 기술적, 관리적 조치
Exit Games는 최신 기술, 시행 비용과 처리의 특성, 범위, 상황 및 목적(부속서 I 참조)과 자연인의 권리 및 자유에 대한 다양한 가능성 및 심각도를 감안하여 특히 다음 등(해당되는 경우), 위험에 적절한 보안 수준을 보장할 수 있는 적절한 기술적, 관리적 조치를 시행해야 한다.
o 개인정보의 가명처리 및 암호화.
o 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 탄력성을 보장할 수 있는 능력.
o 물리적 또는 기술적 사고가 발생한 경우에 개인정보에 대한 가용성 및 액세스를 적시에 복원할 수 있는 능력.
o 처리 보안을 보장할 수 있는 기술적, 관리적 조치의 효과를 정기적으로 테스트 및 평가하는 프로세스.
Exit Games는 고객의 요청에 따라 실제로 수행한 기술적, 관리적 조치 목록을 제출해야 한다.
별표 2의 부속서 III – 하위 프로세서 목록
컨트롤러/데이터 반출자는 다음 하위 프로세서의 사용을 허가했다.
https://download.photonengine.com/subprocessors
영어 ver.
DATA PROCESSING ADDENDUM
Exit Games, Inc., a Delaware corporation, whose principal place of business is at 111 SW 5th Ave. STE 3150, Portland OR 97204, USA ("Exit Games") and the counterparty agreeing to this terms ("Customer") have entered into an Main Agreement, Exit Games' Terms of Use (available at https://dashboard.photonengine.com/en-US/Account/LicenseTerms), or other written or electronic agreement for the provision of Exit Games' networking engine and multiplayer platform (collectively, the "Services") provided by Exit Games (the "Main Agreement"). This Data Processing Addendum, including its Annexes, (the "DPA") forms part of the Main Agreement.
Each of Exit Games and Customer may be referred to herein as a "Party" and together as the "Parties".
This DPA will be effective and replace any previously applicable terms relating to their subject matter (including any data processing agreement or addendum relating to the Services), from the date on which Customer clicked to accept or the Parties agreed to this DPA otherwise.
If you are accepting this DPA on behalf of Customer, you warrant that: (a) you have full legal authority to bind Customer to this DPA; (b) you have read and understand this DPA; and (c) you agree, on behalf of Customer, to this DPA. If you do not have the legal authority to bind Customer, please do not accept this DPA.
RECITALS:
(A) In connection with the Services, the Parties anticipate that Exit Games may process outside of the EEA certain Personal Data in respect of which the Customer or any member of the Customer Group may be a Controller under applicable EU Data Protection Laws or UK Data Protection Laws.
(B) The Parties have agreed to enter into this DPA in order to ensure that adequate safeguards are put in place with respect to the protection of such Personal Data as required by EU Data Protection Laws, UK Data Protection Laws and other applicable data protection laws, to the extent applicable.
1. Definitions
1.1 In this DPA, the following terms shall have the meanings set out below and cognate terms shall be construed accordingly:
(a) "Adequate Country" means a country or territory recognised as providing an adequate level of protection for Personal Data under an adequacy decision made, from time to time, by (as applicable) (i) the Information Commissioner's Office and/or under applicable UK law (including the UK GDPR), or (ii) the European Commission under the EU GDPR;
(b) "Affiliate" means, with respect to a Party, any corporate entity that, directly or indirectly, Controls, is Controlled by, or is under Common Control with such Party (but only for so long as such Control exists;
(c) "Customer Group" means the Customer and/or any entity that, directly or indirectly, controls, is controlled by, or is under common control with the Customer and is Party to this DPA, where "control" means the power (directly or indirectly) to appoint or remove a majority of the directors of that entity and includes Affiliates;
(d) "Data Protection Laws" means (i) all laws and regulations of the European Union, the European Economic Area, their member states, applicable to the processing of Personal Data under the Main Agreement, including (where applicable) the General Data Protection Regulation (Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of Personal Data and on the free movement of such data ("EU GDPR"), or (ii) all laws and regulations of the UK, applicable to the processing of Personal Data under the Main Agreement, including the UK General Data Protection Regulation 2016/679, as implemented by the Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2019 and the Data Protection, Privacy and Electronic Communications (Amendments etc) (EU Exit) Regulations 2020 and the Data Protection Act 2018 (the "UK GDPR");
(e) "Data Subject Request" means a request from or on behalf of a data subject to exercise any rights in relation to his/her Personal Data under Data Protection Laws;
(f) "EEA" means the European Economic Area;
(g) "EU Clauses" means the standard contractual clauses for international transfers of Personal Data to third countries set out in the European Commission's Decision 2021/914 of 4 June 2021 (at http://data.europa.eu/eli/dec_impl/2021/914/oj)
incorporating Module Two for Controller to Processor transfers and which form part of this DPA in accordance with Schedule 2; (h) "Exit Games Group" means Exit Games and any of its Affiliates;
(i) "Personal Data" means personal data or personal information of Customer processed by Exit Games on behalf of Customer under this DPA and as defined in the Data Protection Laws. In accordance with Section 2.1 of this DPA, this may include the Personal Data of a Customer Group Company;
(j) "Restricted Transfer" means a (i) transfer of Personal Data from any Customer Group Company to Exit Games; or (ii) an onward transfer of Personal Data from Exit Games to a sub-processor of Exit Games, in each case, where and to the extent the Party receiving the transferred Personal Data is outside the EEA and such transfer would be prohibited under the EU GDPR or the UK GDPR;
(k) "Security Breach" means any breach of security or other action or inaction leading to the accidental or unlawful destruction, loss, alteration, unauthorised disclosure of, or access to, Personal Data by any of Exit Games' staff or sub-processors, or any other identified or unidentified third-party;
(l) "Supervisory Authority" means in the UK, the Information Commissioner's Office ("ICO") (and, where applicable, the Secretary of State or the government), and in the EU, an independent public authority established pursuant to the GDPR;
(m) "UK" means the United Kingdom;
(n) "UK Approved Addendum" means the template Addendum B.1.0 issued by the UK's Information Commissioner's Office and laid before Parliament in accordance with s119A of the Data Protection Act 2018 of the UK on 2 February 2022, and in force since 21 March 2022; and
(o) "UK Mandatory Clauses" means the Mandatory Clauses of the UK Approved Addendum, as updated from time to time and/or replaced by any final version published by the Information Commissioner's Office.
1.2 An entity "Controls" another entity if it: (a) holds a majority of the voting rights in it; (b) is a member or shareholder of it and has the right to remove a majority of its board of directors or equivalent managing body; (c) is a member or shareholder of it and controls alone or pursuant to an agreement with other shareholders or members, a majority of the voting rights in it; or (d) has the right to exercise a dominant influence over it pursuant to its constitutional documents or pursuant to a contract; and two entities are treated as being in "Common Control" if either controls the other (directly or indirectly) or both are controlled (directly or indirectly) by the same entity.
1.3 The terms "Controller", "Data Subject", "Processor" and "sub-processor have the meanings ascribed to them in the Data Protection Laws.
1.4 Any defined terms which are not defined in this DPA are as defined in the Main Agreement.
2. Roles and Compliance with Data Protection Laws
2.1 Customer is the Controller of Personal Data, and Exit Games is the Processor of Personal Data. Each Party will comply (and will procure that any of its personnel comply and use commercially reasonable efforts to procure that its sub-processors comply), with Data Protection Laws applicable to such Party in the processing of Personal Data. As between the Parties, Customer shall have sole responsibility for the accuracy, quality, and legality of Personal Data and the means by which the Personal Data was acquired.
2.2 For the avoidance of doubt, a Customer Group Company other than the Customer is not and does not become a party to the Main Agreement and, subject to the following, is only a party to this DPA.
2.3 This DPA is without prejudice to the rights and obligations of the Parties under the Main Agreement which shall continue to have full force and effect. In the event of any conflict between the terms of this DPA and the terms of the Main Agreement, the terms of this DPA shall prevail so far as the subject matter concerns the processing of Personal Data.
3. Description of Processing
3.1 The subject matter, nature and purposes of the processing, duration, types of Personal Data and categories of Data Subject are as set out in ANNEX I to Schedule 2.
3.2 As a Processor, Exit Games will only process Personal Data (i) in order to provide the Services to Customer as agreed in the Main Agreement or (ii) per Customer's instructions in writing or via email. Exit Games will notify Customer (unless prohibited by applicable law) if it is required under applicable law to process Personal Data other than pursuant to Customer's instructions. As soon as reasonably practicable upon becoming aware, inform the Customer if, in Exit Games' opinion, any instructions provided by the Customer infringe applicable Data Protection Laws. Upon termination of the Main Agreement and upon written request of the Customer, return or delete the Personal Data, unless required by law to continue to store a copy of the Personal Data.
4. Technical and Organisational Security Measures
4.1 Exit Games is responsible for implementing and maintaining commercially reasonable and appropriate technical, physical, and organizational safeguards to protect the confidentiality, availability, and integrity of Personal Data that is maintained and accessed by Exit Games for a Customer using Exit Games' Services pursuant to the Main Agreement. Exit Games' security measures for protecting such personal data while it is Exit Games' possession, custody, or control shall include, as appropriate, the measures described in ANNEX II to Schedule 2 of this DPA. Exit Games may modify or update these measures at its discretion provided that such modification or update does not result in a degradation of its protection of such Personal Data.
4.2 Exit Games will take reasonable steps to ensure that only authorised personnel have access to Personal Data and that any persons whom it authorizes to access the Personal Data are under obligations of confidentiality.
4.3 Customer is responsible for the security of Personal Data throughout the time that such data is in Customer's possession, custody, or control, including while personal data is in transit over the Internet or other third-party network. In furtherance of meeting its security obligations, Customer agrees to employ all physical, administrative, and technical security measures necessary to (i) protect all of its and its Authorized Personnel's access credentials; (ii) protect Customer's information technology infrastructure, including computers, software, databases, electronic systems (including database management systems) and networks whether operated directly by Customer or through the use of third-party services (the
"Customer Systems"); (iii) protect against any unauthorized access to or use of the Services directly or indirectly through Customer Systems or its Authorized Personnel's access credentials; and (iv) protect the confidentiality, integrity, and availability of all personal data while such data is in transit to Exit Games, including while such data is being uploading or otherwise provided to Exit Games for processing.
4.4 Customer is solely responsible for making an independent determination whether Exit Games' security measures meet Customer's requirements and data protection obligations under applicable laws and regulations. Customer acknowledges and agrees that, taking into account the state of the art, cost of implementation, and the nature, scope, context and purposes of the processing of personal data, as well as the risks to individuals, the security practices and policies implemented and maintained by Exit Games provide a level of security appropriate to the risk with respect to Personal Data.
5. Sub-processing and Audits
5.1 Customer authorizes Exit Games to appoint sub-processors (and permits each sub-processor to appoint additional sub-processors) in accordance with this Section. Customer hereby authorizes and instructs Processor to engage those sub-processors set out at https://download.photonengine.com/subprocessors (the "Sub-Processor List"). The Sub-Processor List may be updated from time to time and shall include the name and location of, and a brief description of the processing undertaken by, each current sub-processor. Customer acknowledges and agrees that Exit Games may engage additional sub-processors. If Customer has a reasonable objection to any new or replacement sub-processor, it shall notify Exit Games of such objections in writing within 15 days of the notification and the Parties will seek to resolve the matter in good faith. If Customer is not reasonably satisfied that the sub-processor meets the security and privacy protections then either Party as its sole remedy may, within such 15-day period, terminate the Main Agreement.
5.2 Exit Games will enter into a written contract with each sub-processor which imposes on such sub-processor terms no less protective of Personal Data than those imposed on Exit Games in this DPA (the "Relevant Terms2). Exit Games shall be liable to Customer for any breach by such sub-processor of any of the Relevant Terms as set out in Section 13.3 unless otherwise required under the Data Protection Laws or any other applicable laws.
5.3 Upon Customer's request, and subject to the confidentiality obligations set forth in the Main Agreement, Exit Games shall promptly make available to Customer information regarding Exit Games' compliance with the obligations set forth in this DPA, which may include one or more of the following as Customer may request: (i) responses to a reasonable information security-related questionnaire; (ii) copies of relevant executive summaries of the third-party certifications and compliance audits to the extent available; and (iii) a summary of Exit Games' operational practices related to data protection and security. If Customer determines that information provided in accordance with the preceding methods is insufficient, then Customer may contact Exit Games to schedule an on-site audit at Exit Games' designated facility of the procedures relevant to the protection of Customer Personal Data. Customer shall reimburse Exit Games for any time expended for any such on-site audit at the Exit Games' then-current professional services rates, which shall be made available to Customer upon request. Before the commencement of any such on-site audit, Customer and Exit Games shall mutually agree upon the scope, timing, and duration of the audit. Customer shall promptly notify Exit Games with information regarding any non-compliance discovered during the course of an audit. For clarity, the audits referenced hereunder do not apply to audits of Exit Games' sub-processors. Such audits are subject to the Data Protection Laws, to the extent required.
6. Security Breaches, Data Subject Requests and further Assistance
6.1 Exit Games will notify Customer of any Security Breach without undue delay and within 48 hours after becoming aware of the Security Breach.
6.2 To the extent legally permitted, Exit Games will promptly notify Customer if it receives a Data Subject Request. Exit Games will not respond to a Data Subject Request, provided that Customer agrees Exit Games may at its discretion respond to confirm that such request relates to Customer. Customer acknowledges and agrees that the Services may include features which will allow Customer to manage Data Subject Requests directly through the Services without additional assistance from Exit Games. If Customer does not have the ability to address a Data Subject Request, Exit Games will, upon Customer's written request, provide reasonable assistance to facilitate Customer's response to the Data Subject Request to the extent such assistance is consistent with the Data Protection Laws.
6.3 Taking into account the nature of processing and the information available to Exit Games, Exit Games will provide such assistance as Customer reasonably requests in relation to Customer's obligations under Data Protection Laws with respect to (i) data protection impact assessments, (ii) notifications to the Supervisory Authority under Data Protection Laws and/or communications to data subjects by the Customer in response to a Security Breach, or (iii) Customer's compliance with its obligations under the EU GDPR or UK GDPR (as applicable) with respect to the security of processing.
6.4 Exit Games shall make available to the Customer such information in Exit Games' possession or control as Customer may reasonably request with a view to demonstrating Exit Games' compliance with the obligations of Processors under Data Protection Laws in relation to its processing of Personal Data.
7. International Transfers
7.1 Customer agrees that its use of the Services can involve the transfer of Personal Data to, and processing of Personal Data in, various countries, including the country in which Exit Games is based and other countries outside the EEA that are not recognized as Adequate Country.
7.2 UK transfers:
7.2.1 To the extent Personal Data is transferred to Exit Games and processed by or on behalf of Exit Games outside the UK (except if in an Adequate Country) in circumstances where such transfer would be prohibited by the UK GDPR in the absence of a transfer mechanism, the Parties agree that the EU Clauses subject to the UK Approved Addendum will apply. The UK Approved Addendum is incorporated into this DPA.
7.2.2 Schedule 1 references the information required by Tables 1 to 4 inclusive of the UK Approved Addendum.
7.3 EU transfers:
7.3.1 To the extent Personal Data is transferred to Exit Games and processed by or on behalf of Exit Games outside the EEA (except if in an Adequate Country) in circumstances where such transfer would be prohibited by EU GDPR in the absence of a transfer mechanism, the Parties agree that the EU Clauses will apply in respect of that processing and are incorporated into this DPA in accordance with Schedule 2.
7.3.2 The ANNEXES to Schedule 2 contain the information required by the EU Clauses.
7.4 In case of any discrepancies between the EU Clauses or UK Approved Addendum and the DPA, the EU Clauses or, as the case may be, the UK Approved Addendum shall take precedence when applicable pursuant to Section 7.2 or 7.3.
7.5 Insofar as Customer asserts any rights from the EU Clauses or the UK Approved Addendum against Exit Games, Exit Games may charge a reasonable fee for the services incurred thereby.
7.6 Exit Games may (i) replace the EU Clauses and/or the UK Approved Addendum generally or in respect of the EEA, and/or the UK (as appropriate) with any alternative or replacement transfer mechanism in compliance with applicable Data Protection Laws, including any further or alternative standard contractual clauses approved from time to time and (ii) make reasonably necessary changes to this DPA by notifying Customer of the new transfer mechanism or content of the new standard contractual clauses (provided their content is in compliance with the relevant decision or approval), as applicable.
8. CCPA
8.1 The terms set forth in this Section 8 of the DPA shall only apply to the extent that (i) Exit Games Processes Personal Information of California Consumers on behalf of Customer; and (ii) the California Consumer Privacy Act, as amended by the California Privacy Rights Act of 2020 ("CCPA"), is applicable to Customer at the time of such Processing.
8.2 With the exception of party and agreement references (e.g., references to "Customer" and the "Main Agreement"), which are separately defined in the DPA, or the Main Agreement the capitalized terms in this Section of the DPA shall have the meaning given to them under the CCPA, and the CCPA Regulations.
8.3 If the CCPA applies to Customer, and Exit Games Processes Personal Information on behalf of Customer, Customer shall be a Business and Exit Games shall be a Service Provider with respect to the Processing of such Personal Information.
8.4 The Parties agree to comply with their respective obligations under the CCPA and the CCPA Regulations. Exit Games will comply with its obligations under all applicable sections of the CCPA and CCPA regulations and will provide the same level of privacy protection regarding Personal Information it Collects pursuant to the Main Agreement Customer as is required of Customer under the CCPA and CCPA regulations (e.g., cooperating with Customer in responding to and complying with Consumers' requests made pursuant to the CCPA; implementing reasonable security procedures and practices appropriate to the nature of the Personal Information to protect the Personal Information from unauthorized or illegal access, destruction, use, modification, or disclosure in accordance with California Civil Code section 1798.81.5).
8.5 The limited and specified Business Purposes for which Exit Games is Processing Personal Information pursuant to the Main Agreement include: (i) helping to ensure security and integrity to the extent the use of the Personal Information is reasonably necessary and proportionate for these purposes; (ii) debugging to identify and repair errors that impair existing intended functionality; (iii) performing the Services and related support services on behalf of Customer, including by maintaining or servicing accounts, providing customer service, providing storage, or providing similar services on behalf of Customer; (iv) undertaking internal research for technological development and demonstration; and (v) undertaking activities to verify or maintain the quality and safety of services controlled by Customer. Personal Information is only disclosed by Customer to Exit Games for limited and specified purposes (i.e., the limited and specified Business Purposes set forth in this provision).
8.6 Exit Games will not retain, use, or disclose the Personal Information that it has Collected pursuant to the Main Agreement for any purpose other than the Business Purposes specified n this DPA or the Main Agreement, which shall include (i) helping to ensure security and integrity to the extent the use of the Personal Information is reasonably necessary and proportionate for these purposes; (ii) debugging to identify and repair errors that impair existing intended functionality; (iii) performing the Services and related support services on behalf of Customer, including by maintaining or servicing accounts, providing customer service, providing storage, or providing similar services on behalf of Customer; (iv) undertaking internal research for technological development and demonstration; and (v) undertaking activities to verify or maintain the quality and safety of services controlled by Customer, or (vi) as otherwise permitted by the CCPA and CCPA Regulations. This prohibition extends to the retention, use, or disclosure of Personal Information for a commercial purpose other than the Business Purposes specified in this DPA, the Main Agreement, or as otherwise permitted by the CCPA and CCPA Regulations.
8.7 Exit Games will not retain, use, or disclose Personal Information that it Collects pursuant to the Main Agreement outside of the direct business relationship between Customer and Exit Games, unless expressly permitted by the CCPA and CCPA regulations.
8.8 Exit Games will not combine or update Personal Information that Exit Games Collects pursuant to the Main Agreement or otherwise receives from, or on behalf of, Customer with Personal Information that it received from, or on behalf of, another person or source or from its own interaction with a Consumer, other than combining Personal Information to perform any Business Purpose that is expressly permitted by the CCPA and CCPA Regulations. However, Exit Games will not combine the Personal Information of Consumers who have opted-out of the Sale or Sharing of Personal Information that Exit Games receives from, or on behalf of, Customer with Personal Information that Exit Games receives from, or on behalf
of, another person or collects from its own interactions with Consumers.
8.9 Exit Games will not Sell or Share, as such terms are defined under the CCPA, the Personal Info rmation it Collects pursuant to the Main Agreement.
8.10 Exit Games will enable Customer to comply with Consumer requests made pursuant to the CCPA that involve Personal Information Exit Games has Collected pursuant to the Main Agreement.
8.11 Customer may take reasonable and appropriate steps to help ensure that Exit Games uses Personal Information that is Collected pursuant to the Main Agreement, or otherwise transferred to Exit Games by Customer, in a manner consistent with the obligations imposed on Customer under the CCPA and CCPA Regulations, through the process set forth in Section 5.3 of the DPA.
8.12 In the event Exit Games ever determines that it can no longer meet its obligations under the CCPA and CCPA Regulations, Exit Games will notify Customer of such determination.
8.13 Upon Customer's receipt of notice from Exit Games that it can no longer meet its CCPA obligations or Customer's provision of Exit Games with notice that it will be taking steps to stop and remediate any unauthorized use of Personal Information, Customer shall have the right to take reasonable and appropriate steps to stop and remediate any unauthorized use of Personal Information.
8.14 The Parties will cooperate in good faith to enter into additional or modified contract terms to address any modifications, amendments, or updates to the CCPA, including any applicable regulatory or self-regulatory guidance.
9. VCDPA
9.1 The terms set forth in this Section 9 of the DPA shall only apply to the extent that (i) Exit Games Processes Personal Data of Virginia Consumers on behalf of Customer; and (ii) the Virginia Consumer Data Protection Act ("VCDPA") is applicable to Customer at the time of such Processing.
9.2 With the exception of party and agreement references (e.g., references to "Customer" and the "Main Agreement"), which are separately defined in the DPA, the capitalized terms in this Section of the DPA shall have the meaning given to them under the VDCPA.
9.3 If the VCDPA applies to Customer, and Exit Games Processes Personal Data on behalf of Customer, Customer shall be a Controller and Exit Games shall be a Processor with respect to the Processing of such Personal Data.
9.4 The Parties agree to comply with their respective obligations under the VDCPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter. Additionally, each Party agrees to respect the rights of the other Party under the VDCPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter.
9.5 Exit Games agrees to adhere to the Processing instructions of Customer.
9.6 Exit Games agrees to assist Customer in meeting Customer's obligations under the VDCPA with respect to any Personal Data of Virginia Consumers that Exit Games Processes on behalf of Customer. Such assistance will include (i) assisting Customer in fulfilling its obligation to respond to Consumer rights requests through Exit Games' implementation of appropriate technical and organizational measures, insofar as is reasonably practicable (taking into account the nature of the Processing and the information available to Exit Games); (ii) assisting Customer in meeting Customer's obligations in relation to the security of Processing the Personal Data and in relation to the notification of a breach of security system of Exit Games (taking into account the nature of Processing and the information available to Exit Games); and (iii) providing necessary information to enable Customer to conduct and document data protection assessments relating to Personal Data of Virginia Consumers that is Processed by Exit Games through the measures set forth in Section 5.3 of the DPA.
9.7 The types of Personal Data being Processed, the duration of such Processing, and the nature and purpose(s) of such Processing, are described in ANNEX I to Schedule 2 of this DPA. The instructions for such Personal Data Processing are as set forth in the Main Agreement.
9.8 Exit Games will ensure that each person Processing the Personal Data is subject to a duty of confidentiality with respect to such Personal Data.
9.9 Upon the reasonable request of Customer, Exit Games will make available to Customer all information in its possession necessary to demonstrate Exit Game's compliance with its obligations under the VCDPA through the process set forth in Section 5.3 of the DPA.
9.10 Exit Games will engage each of its subcontractors pursuant to a written contract that requires the subcontractor to meet the obligations of Exit Games with respect to the Personal Data. Such contract shall not relieve the Parties of their respective liabilities under the VCDPA.
9.11 Exit Games will allow, and cooperate with, reasonable assessments by Customer or the Customer's designated assessor through the process set forth in Section 5.3 of the DPA.
9.12 At Customer's direction, Exit Games will either delete or return all Personal Data to Customer as requested at the end of the provision of services, unless retention of the Personal Data is required by law.
9.13 The Parties will cooperate in good faith to enter into additional or modified contract terms to address any modifications, amendments, or updates to the VCDPA, including any applicable regulatory or self-regulatory guidance.
10. CPA
10.1 The terms set forth in this Section 10 of the DPA shall only apply to the extent that (i) Exit Games Processes Personal Data of Colorado Consumers on behalf of Customer; and (ii) the Colorado Privacy Act ("CPA") is applicable to Customer at the time of such Processing.
10.2 With the exception of party and agreement references (e.g., references to "Customer" and the "Main Agreement"), which are separately defined in the DPA, the capitalized terms in this Section of the DPA shall have the meaning given to them under the CPA and the CPA Rules.
10.3 If the CPA applies to Customer, and Exit Games Processes Personal Data on behalf of Customer, Customer shall be a Controller and Exit Games shall be a Processor with respect to the Processing of such Personal Data.
10.4 The Parties agree to comply with their respective obligations under the CPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter. Additionally, each Party agrees to respect the rights of the other Party under the CPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter.
10.5 The type of Personal Data being Processed, the duration of such Processing, and the processing instructions, including the nature and purpose(s) of such Processing, are described in ANNEX I to Schedule 2of this DPA and in the Main Agreement.
10.6 Exit Games will ensure that each person Processing the Personal Data is subject to a duty of confidentiality with respect to such Personal Data.
10.7 After providing Customer an opportunity to object, Exit Games will engage each of its subcontractors pursuant to a written contract in accordance with the CPA that requires the subcontractor to meet the obligations of Exit Games with respect to the Personal Data.
10.8 Upon request, Exit Games will make available to Customer all information necessary to demonstrate its compliance with the CPA in accordance with the process set forth in Section 5.3 of the DPA.
10.9 Exit Games will allow for, and contribute to, reasonable audits and inspections by Customer or Customer's designated auditor through the process set forth in Section 5.3 of the DPA.
10.10 At the choice of Customer, Exit Games will delete or return all Personal Data to Customer as requested by Customer at the end of the provision of services described in the Main Agreement, unless retention of the Personal Data is required by law.
10.11 The Parties will cooperate in good faith to enter into additional or modified contract terms to address any modifications, amendments, or updates to the CPA, including any applicable regulatory or self-regulatory guidance.
11. CTDPA
11.1 The terms set forth in this Section 11 of the DPA shall only apply to the extent that (i) Exit Games Processes Personal Data of Connecticut Consumers on behalf of Customer; and (ii) the Connecticut Data Privacy Act ("CTDPA") is applicable to Customer at the time of such Processing.
11.2 With the exception of party and agreement references (e.g., references to "Customer" and the "Main Agreement"), which are separately defined in the DPA, the capitalized terms in this Section 11 of the DPA shall have the meaning given to them under the CTDPA.
11.3 If the CTDPA applies to Customer, and Exit Games Processes Personal Data on behalf of Customer, Customer shall be a Controller and Exit Games shall be a Processor with respect to the Processing of such Personal Data.
11.4 The Parties agree to comply with their respective obligations under the CTDPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter. Additionally, each Party agrees to respect the rights of the other Party under the CTDPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter.
11.5 Exit Games agrees to adhere to the Processing instructions of Customer.
11.6 Exit Games agrees to assist Customer in meeting Customer's obligations under the CTDPA with respect to any Personal Data of Connecticut Consumers that Exit Games Processes on behalf of Customer. Such assistance will include (i) assisting Customer in fulfilling its obligation to respond to Consumer rights requests through Exit Games' implementation of appropriate technical and organizational measures, insofar as is reasonably practicable (taking into account the nature of the Processing and the information available to Exit Games); (ii) assisting Customer in meeting Customer's Personal Data security obligations and obligations for notification of any breach of security of a system of Exit Games (taking into account the nature of Processing and the information available to Exit Games); and (iii) providing necessary information to enable Customer to conduct and document data protection assessments relating to Personal Data of Consumers that is Processed by Exit Games through the measures set forth in Section 5.3 of the DPA.
11.7 The types of Personal Data being Processed, the duration of such Processing, and the nature and purpose(s) of such Processing, are described in ANNEX I to Schedule 2 of this DPA. The instructions for such Personal Data Processing are as set forth in the Main Agreement.
11.8 Exit Games will ensure that each person Processing the Personal Data is subject to a duty of confidentiality with respect to the Personal Data.
11.9 Upon the reasonable request of Customer, Exit Games will make available to Customer all information in its possession necessary to demonstrate Exit Game's compliance with the CTDPA in accordance with the process set forth in Section 5.3 of the DPA.
11.10 After providing Customer an opportunity to object, Exit Games will engage each of its subcontractors pursuant to a written contract that requires the subcontractor to meet the obligations of Exit Games with respect to the Personal Data.
11.11 Exit Games will allow, and cooperate with, reasonable assessments by Customer or Customer's designated assessor through the process set forth in Section 5.3 of the DPA.
11.12 At Customer's direction, Exit Games will either delete or return all Personal Data to Customer, as requested, at the end of Exit Games' provision of services, unless retention of the Personal Data is required by law.
11.13 The Parties will cooperate in good faith to enter into additional or modified contract terms to address any modifications, amendments, or updates to the CTDPA, including any applicable regulatory or self-regulatory guidance.
12. UCPA
12.1 The terms set forth in this Section 12 of the DPA shall only apply to the extent that (i) Exit Games Processes Personal Data of Utah Consumers on behalf of Customer; and (ii) the Utah Consumer Privacy Act ("UCPA") is applicable to Customer at the time of such Processing.
12.2 With the exception of party and agreement references (e.g., references to "Customer" and the "Main Agreement"), which are separately defined in the DPA, the capitalized terms in this Section 12 of the DPA shall have the meaning given to them under the UCPA.
12.3 If the UCPA applies to Customer, and Exit Games Processes Personal Data on behalf of Customer, Customer shall be a Controller and Exit Games shall be a Processor with respect to the Processing of such Personal Data.
12.4 The Parties agree to comply with their respective obligations under the UCPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter. Additionally, each Party agrees to respect the rights of the other Party under the UCPA, the Main Agreement, this DPA, and any other agreement into which the Parties enter.
12.5 Exit Games will adhere to the Processing instructions of Customer.
12.6 Taking into account the nature of the Processing and information available to the Exit Games, by appropriate technical and organizational measures, insofar as reasonably practicable, Exit Games will assist Customer in meeting Customer's obligations under the UCPA, including obligations relating to the security of Processing Personal Data and notification of a breach of system security of Exit Games.
12.7 The types of Personal Data being Processed, the duration of such Processing, and the nature and purpose(s) of such Processing, are described in ANNEX I to Schedule 2 of this DPA. The instructions for such Personal Data Processing are as set forth in the Main Agreement.
12.8 Exit Games will ensure that each person Processing Personal Data is subject to a duty of confidentiality with respect to the Personal Data.
12.9 Exit Games will engage each of its subcontractors pursuant to a written contract that requires the subcontractor to meet the same obligations as Exit Games with respect to such Personal Data.
12.10 The Parties will cooperate in good faith to enter into additional or modified contract terms to address any modifications, amendments, or updates to the UCPA, including any applicable regulatory or self-regulatory guidance.
13. General
13.1 The Parties will cooperate in good faith to enter into additional or modified contract terms to address future data protection and privacy laws and regulations.
13.2 This DPA sets out all of the terms that have been agreed between the Parties in relation to the subjects covered by it. Other than in respect of statements made fraudulently, no other representations or terms shall apply or form part of this DPA.
13.3 This DPA is without prejudice to the rights and obligations of the Parties under the Main Agreement which shall continue to have full force and effect.
13.4 In the event of any conflict between the terms of this DPA and the terms of the Main Agreement, the terms (including definitions and the Schedules) of this DPA shall prevail so far as the subject matter concerns the processing of Personal Data. In the event of an inconsistency between the DPA and the EU Clauses (or, as the case may be, the EU Clauses subject to the UK Approved Addendum) the latter, including the UK Approved Addendum, if applicable, will prevail.
13.5 To the extent allowed under the applicable laws, Exit Games' maximum aggregate liability to Customer under or in connection with this DPA shall not under any circumstances exceed the maximum aggregate liability of Exit Games to the Customer as set out in the Main Agreement.
13.6 This DPA and any action related thereto shall be governed by and construed in accordance with the laws of the State of New York, without giving effect to any conflicts of laws principles. The Parties consent to the personal jurisdiction of, and venue in, the courts of New York City.
13.7 This DPA does not confer any third-party beneficiary rights, it is intended for the benefit of the Parties hereto and their respective permitted successors and assigns only, and is not for the benefit of, nor may any provision hereof be enforced by, any other person.
13.8 This DPA is the final, complete and exclusive agreement of the Parties with respect to the subject matter hereof and supersedes and merges all prior discussions and agreements between the Parties with respect to such subject matter. Other than in respect of statements made fraudulently, no other representations or terms shall apply or form part of this DPA. No modification of, amendment to, or waiver of any rights under the DPA will be effective unless submitted electronically and electronically confirmed by each Party.
13.9 Each Party represents and warrants to the other that the execution and delivery of this DPA, and the performance of such Party's obligations hereunder, have been duly authorized and that this DPA is a valid and legally binding agreement on each such Party, enforceable in accordance with its terms.
13.10 This DPA may be executed in counterparts, each of which shall be deemed to be an original, but all of which, taken together, shall constitute one and the same agreement.
SCHEDULE 1: UK TRANSFERS
For the purposes of the UK Approved Addendum,
1. the information required for Table 1 is contained in ANNEX I of Schedule 2 of this DPA and the start date shall be deemed dated the same date as the EU Clauses;
2. in relation to Table 2, the version of the EU Clauses to which the UK Approved Addendum applies is Module Two for Controller to Processor;
3. in relation to Table 3, the list of Parties and description of the transfer are as set out in ANNEX I of Schedule 2 of this DPA, Exit Games' technical and organisational measures are set
in ANNEX II of Schedule 2 of this DPA, and the list of Exit Games' sub-processors shall be provided pursuant to ANNEX III of Schedule 2 of this DPA; and
4. in relation to Table 4, neither Party will be entitled to terminate the UK Approved Addendum in accordance with clause 19 of the UK Mandatory Clauses.
SCHEDULE 2: EU CLAUSES
1. For the purposes of this Schedule 2, the EU Clauses (Module II), currently available at https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32021D0914&from=EN, shall be incorporated by
reference to this Schedule and the DPA and shall be considered an integral part thereof, and the Parties' signatures in the DPA shall be construed as the Parties' signature to the EU Clauses. In the event of an inconsistency between the DPA and the EU Clauses, the latter will prevail.
2. For the purposes of the EU Clauses, the following shall apply:
- Customer shall be the data exporter and Exit Games shall be the data importer. Each Party agrees to be bound by and comply with its obligations in its role as exporter and importer respectively as set out in the EU Clauses.
- Clause 7 (Docking clause) shall be deemed as included.
- Clause 9 (Use of sub-processors): OPTION 2 - GENERAL WRITTEN AUTHORISATION shall apply. The data importer shall specifically inform the data exporter in writing of any intended changes to that list through the addition or replacement of sub-processors at least 15 days in advance.
- Clause 11 (Redress): optional clause (optional redress mechanism before an independent dispute resolution body) shall be deemed as not included.
- Clause 13 (a) (Supervision):
o Where Customer is established in an EU Member State: The supervisory authority with responsibility for ensuring compliance by the data exporter with Regulation (EU) 2016/679 as regards the data transfer, as indicated in Annex I. C, shall act as competent supervisory authority.
o Where Customer is not established in an EU Member State but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) and has appointed a representative pursuant to Article 27(1) of Regulation (EU) 2016/679: The supervisory authority of the Member State in which the representative within the meaning of Article 27(1) of Regulation (EU) 2016/679 is established, as indicated in Annex I. C, shall act as competent supervisory authority.
o Where Customer is not established in an EU Member State, but falls within the territorial scope of application of Regulation (EU) 2016/679 in accordance with its Article 3(2) without however having to appoint a representative pursuant to Article 27(2) of Regulation (EU) 2016/679: The supervisory authority of one of the Member States in which the data subjects whose Personal Data is transferred under these Clauses in relation to the offering of goods or services to them, or whose behaviour is monitored, are located, as indicated in Annex I. C, shall act as competent supervisory authority.
- Clause 17 (Governing law): These Clauses shall be governed by the law of the EU Member State in which the data exporter is established. Where such law does not allow for third-party beneficiary rights, they shall be governed by the law of another EU Member State that does allow for third-party beneficiary rights. The Parties agree that this shall be the law of Germany.
- Clause 18 (b) (Choice of forum and jurisdiction): The Parties agree that any dispute between them arising from the EU Clauses shall be resolved by the courts of Germany.
ANNEX I to Schedule 2
A. LIST OF PARTIES
Data exporter(s): is the agreeing Party to this DPA (Customer, as described in the DPA above), providing multiplayer games or other services, as controller.
Data importer(s):
Name: Exit Games, Inc.
Address: 111 SW 5th Ave. STE 3150, Portland OR 97204, USA
Contact person's name, position and contact details: Christof Wegmann, CTO,
privacy@photonengine.com
Activities relevant to the data transferred under these Clauses: Provision of online services for multiplayers (Photonengine)
Role (controller/processor): Processor
B. DESCRIPTION OF TRANSFER
Categories of data subjects whose Personal Data is transferred
- Networking Online Players
- Application Users
Categories of Personal Data transferred
- User ID
- IP address
- Chat content (while using optional filter)
Sensitive data transferred (if applicable) and applied restrictions or safeguards
- None.
The frequency of the transfer (eg. whether the data is transferred on a one-off or continuous basis).
Continuous while providing the Services.
Nature of the processing
Provision of the Services.
Purpose(s) of the data transfer and further processing
- Providing Photoengine Services:
o Routing user to/ processing user on current Name-, Lobby- and Game-Server
o Analyzing Photonengine.com errors
- Children's Online Protection Act (COPPA) and GDPR compliant chat content filtering
The period for which the Personal Data will be retained, or, if that is not possible, the criteria used to determine that period
Duration of the Main Agreement.
For transfers to (sub-) processors, also specify subject matter, nature and duration of the processing
Auxiliary services.
C. COMPETENT SUPERVISORY AUTHORITY
Identify the competent supervisory authority/ies in accordance with Clause 13:
The competent supervisory for the Customer, depending on whether Option (A), (B) or (C) applies according to the specifications with regard to Clause 13 of the EU Clauses, as described in Schedule 2.
ANNEX II to Schedule 2 - TECHNICAL AND ORGANISATIONAL MEASURES INCLUDING TECHNICAL AND ORGANISATIONAL MEASURES TO ENSURE THE SECURITY OF THE DATA
Taking into account the state of the art, the costs of implementation and the nature, scope, context and purposes of processing (see Annex I) as well as the risk of varying likelihood and severity for the rights and freedoms of natural persons, Exit Games implements appropriate technical and organizational measures to ensure a level of security appropriate to the risk, including inter alia as appropriate:
o the pseudonymization and encryption of Personal Data;
o the ability to ensure the ongoing confidentiality, integrity, availability and resilience of processing systems and services;
o the ability to restore the availability and access to Personal Data in a timely manner in the event of a physical or technical incident;
o a process for regularly testing, assessing and evaluating the effectiveness of technical and organizational measures for ensuring the security of the processing.
Exit Games will provide a list of the actual technical and organizational measures on request of the Customer.
ANNEX III to Schedule 2 - LIST OF SUB-PROCESSORS
The controller / data exporter has authorised the use of the following sub-processors:
https://download.photonengine.com/subprocessors