모라핏 이용을 위한 개인정보처리위탁 계약서

본 개인정보처리위탁 계약서는 관리자 회원(이하 “위탁자”)의 모라핏 서비스 이용에 관한 이용약관에 부속하여 체결되는 것으로서, 위탁자는 주식회사 에버엑스(이하 “수탁자”라 합니다)에게 “위탁자”의 개인정보 처리업무를 아래와 같이 위탁합니다.

제1조 [목적] 

위탁자가 개인정보처리업무를 수탁자에게 위탁하고, 수탁자는 이를 승낙하여 수탁자의 책임아래 성실하게 업무를 완성하도록 하는데 필요한 사항을 정함을 목적으로 합니다. 

제2조 [용어의 정의] 

본 계약에서 별도로 정의되지 아니한 용어는 개인정보 보호법, 같은 법 시행령, 개인정보의 안전성 확보조치 기준, 표준 개인정보 보호지침에서 정의된 바에 따릅니다. 

제3조 [위탁업무의 목적 및 범위] 

수탁자는 계약이 정하는 바에 따라 모라핏(MORA Fit) 서비스 사용을 목적으로 다음과 같은 개인정보 처리 업무를 수행합니다.

1. 트레이너 회원 등록 및 관리

2. 센터 회원 등록 및 관리

3. 센터(지점) 관리자 회원 등록을 위한 초대 메시지 발송, 등록 및 관리, 센터(지점) 관리

4 센터 회원의 측정 서비스 이용을 위한 메시지 발송, 관리, 센터 회원의 측정 및 분석 업무 수행, 평가 결과 도출 및 공유 

제4조 [위탁업무 기간]

개인정보 처리업무의 기간은 위탁자의 회원 가입일로부터 회원 탈퇴일까지로 합니다.

제5조 [재위탁 제한] 

1. 1. 수탁자는 위탁받은 개인정보 처리업무를 재위탁 하는 경우 재위탁을 받는 자의 정보 및 재위탁 업무의 범위를 포함한 재위탁 현황을 분기별 1회 서면(전자문서 포함)으로 위탁자에게 통지합니다. 

   2. 위탁자는 수탁자의 전항에 따른 주기적 통지로써 위탁자의 재위탁에 대한 동의를 갈음하는데에 동의합니다.

   3. 수탁자는 재위탁받는 자의 명칭과 재위탁 업무의 범위를 개인정보처리방침으로 공개하여야 합니다. 

   4. 본 계약 체결일 기준 수탁자의 개인정보처리방침 중 개인정보처리의 위탁 항목에 기재된 위수탁 관계에 대해서는 재위탁에 대하여 위탁자가 충분히 확인하고 동의한 것으로 봅니다. 

제6조 [개인정보의 안전성 확보조치]

수탁자는 개인정보 보호법 제29조, 같은 법 시행령 제30조 및 개인정보의 안전성 확보조치 기준(개인정보보호위원회 고시)에 따라 개인정보의 안전성 확보에 필요한 관리적·기술적 및 물리적 안전조치를 하여야 합니다.

제7조 [개인정보의 처리제한]

수탁자는 계약기간은 물론 계약 종료 후에도 위탁업무 수행 목적 범위를 넘어 개인정보를 이용하거나 이를 제3자에게 제공 또는 누설하여서는 안 됩니다.

제8조 [수탁자에 대한 관리·감독 등]

1. 위탁자는 수탁자에 대하여 개인정보의 처리 위탁과 관련하여 다음 각 호의 사항을 관리하도록 요구할 수 있으며, 수탁자는 특별한 사유가 없는 한 이에 응하여야 합니다.

1) 개인정보의 처리 현황

2) 개인정보의 접근 또는 접속기록

3) 개인정보 접근 또는 접속 대상자

4) 목적외 이용·제공 및 재위탁 제한 사항 준수 여부
5) 암호화 등 안전성 확보조치 이행여부
6) 그 밖에 개인정보의 보호를 위하여 필요한 사항

2. 위탁자는 수탁자에 대하여 제1항 각 호의 사항에 대한 현황을 점검하거나 수탁자 또는 제3자에 의한 현황 점검을 요구할 수 있고, 점검 사항에 대하여 시정을 요구할 수 있습니다. 수탁자는 특별한 사유가 없는 한 위탁자의 요구를 이행하여야 합니다.

3. 수탁자가 다음 각 호 중 어느 하나에 해당하는 경우에는 그러한 사정을 위탁자에게 알리고 위탁받은 개인정보의 처리 업무에 대한 점검 결과를 위탁자에게 3개월의 단위로 정기적으로 보고하는 것으로 위 각 항에 따른 위탁자와 수탁자의 의무 이행에 갈음할 수 있습니다. 위탁자에 대한 수탁자의 보고의 시기 등에 대하여는 위탁자와 수탁자가 협의하여 정할 수 있습니다. 

1. 개인정보 보호법 제32조의2에 따른 개인정보 보호 인증(ISMS-P)을 취득하여 주기적으로 점검을 받고 있는 경우 

2. 그 외 위 1호에 준하는 경우로서, 위탁자와 수탁자가 합의하여 개인정보 보호법 제31조 제7항의 개인정보 보호책임자 협의회 등에 의한 점검 등을 주기적으로 받고 있는 경우 

4. 제3항의 경우에도 수탁자는 수탁자의 처리위탁 업무와 관련하여 개인정보 보호법 위반 또는 본 계약 위반의 사항이 발생한 경우에는 즉시 이를 위탁자에게 통지하여야 하고 위탁자의 지시에 따라야 합니다. 

제9조 [수탁자에 대한 교육]

1. 1. 위탁자는 개인정보 보호법 제26조 제4항에 따라 개인정보 처리 업무의 위탁으로 인하여 정보주체의 개인정보가 분실･도난･유출･변조 또는 훼손되지 아니하도록 수탁자를 교육할 수 있으며, 수탁자는 이에 응하여야 합니다. 수탁자는 위탁자와  협의하여 수탁자의 책임 하에 그의 개인정보 취급자 등에게 교육을 실시할 수 있습니다. 

   2. 제1항에 따른 교육은 집합교육, 온라인 교육 등의 방식 등 교육 목적을 달성할 수 있는 범위 내에서 다양한 방식으로 진행될 수 있으며, 구체적인 방식에 대하여는 위탁자와 수탁자는 별도로 협의하여 정할 수 있습니다. 다만, 수탁자가 자체적으로 또는 제3자인 전문업체를 통해 교육을 실시하는 경우에는 수탁자는 교육의 시행 여부 및 결과 등을 위탁자에게 증빙자료와 함께 보고하여야 하고, 위탁자는 보고 내용을 주기적으로 점검할 수 있습니다. 

   3. 그 밖에 구체적으로 교육의 시기와 방법 등에 대해서는 위탁자는 수탁자와 협의하여 시행합니다.

제10조 [정보주체 권리보장] 

수탁자는 정보주체의 개인정보 열람, 정정·삭제, 처리 정지 요청 등에 대응하기 위한 연락처 등 민원 창구를 마련해야 합니다.

제11조 [개인정보의 파기]

1. 수탁자는 계약이 해지되거나 계약 기간이 만료된 경우 위탁업무와 관련하여 보유하고 있는 개인정보를 개인정보 보호법 시행령 제16조에 따라 즉시 파기하거나 위탁자에게 반환하여야 합니다. 

2. 제1항에 따라 수탁자가 개인정보를 파기한 경우에는 지체없이 위탁자에게 그 결과를 통보해야 합니다. 

제12조 [손해배상]

1. 1. 수탁자가 이 계약에 따른 의무를 위반하여 정보주체 또는 제3자에게 손해가 발생할 경우 위탁자와 수탁자는 공동으로 정보주체 또는 제3자의 손해를 배상하기로 합니다.

   2. 제1항과 관련하여 정보주체 또는 제3자의 손해를 배상한 당사자는 상대방에게 자신의 부담 비율을 초과하는 부분에 대하여 구상할 수 있습니다.