"고객 컨텐츠”(또는 “귀하의 컨텐츠”)는 고객으로서 귀하 또는 귀하의 사용자가 귀하의 계정과 관련하여 처리, 저장 또는 호스팅을 위해 클라우드 서비스에 업로드하는 모든 컨텐츠입니다. 지원 서비스의 맥락에서 “고객 컨텐츠”는 지원 서비스의 일환으로 귀하가 VMware에 제공하는 모든 컨텐츠입니다. “고객 컨텐츠”의 정의는 VMware 일반 약관에서 확인할 수 있습니다. 예를 들어, 고객 컨텐츠에는 귀하 또는 귀하의 사용자가 Workspace ONE에 저장하는 데이터가 포함됩니다. 무엇보다도, 계정과 관련된 이름, 사용자명, 전화번호, 청구 정보 등의 계정 정보와 귀하의 클라우드 서비스 사용에 관련하여 VMware에서 수집하는 정보는 “고객 컨텐츠”의 정의에 포함되지 않습니다. VMware에서는 이러한 정보를 개인정보 취급방침에 따라 취급합니다.

고객 컨텐츠에 대한 소유권은 언제나 귀하에게 있습니다. 고객 컨텐츠의 처리, 저장 및 호스팅에 어떤 VMware Cloud Services를 사용할지, 클라우드 서비스에 어떤 정보를 고객 컨텐츠로 업로드할지 결정하는 것은 귀하입니다. 또한 VMware는 귀하께 클라우드 서비스를 제공하는 데 필요한 경우 또는 VMware 일반 약관에 혀용된다고 명시되어 있는 경우를 제외하고는 어떤 목적으로도 고객 컨텐츠에 액세스하거나 이를 사용하지 않습니다. 마지막으로, VMware는 고객 컨텐츠를 마케팅이나 광고를 목적으로 사용하지 않습니다.

VMware는 고객이 여러 시스템 및 환경에서 애플리케이션을 구축, 관리, 보호 및 실행할 수 있게 하는 엔터프라이즈 솔루션을 제공합니다. VMware는 고객에게 제공하는 서비스 제품의 특성상 일반적으로 고객 컨텐츠에 대한 정부의 직접적인 액세스 요청이 정당화되지 않는다고 생각하지만, Schrems II 판결을 준수하고 제어자로서 처리하는 데이터와 관련한 고객의 규정 준수 노력을 지원하고자 다음과 같은 조치를 취했습니다.

정부 액세스 요청에 대한 강화된 계약상의 약속
VMware는 VMware 일반 약관의 '필수 공개' 섹션을 업데이트하여, VMware가 다음 약속을 추가함으로써 어떻게 정부 액세스 요청을 처리하는지 명확하게 설명합니다.

고객 통지가 법적으로 금지되지 않은 경우 VMware는 다음을 수행합니다.

• 고객에게 통지: 고객 컨텐츠 공개 요구가 있는 경우 고객에게 이를 알립니다.

• 정부 기관을 고객에게 안내: 관련 정부 당국에 VMware는 고객을 대신하여 행동하는 Service Provider이며 고객 컨텐츠에 대한 모든 액세스 요청은 고객이 VMware에 알려 준 담당자나 고객의 법무 부서에 서면으로 전달해야 함을 알립니다.

• 액세스 제한: 고객의 승인이 있는 경우에만 고객 컨텐츠에 대한 액세스를 제공합니다. 고객이 요청하는 경우 당사는 모든 요구에 이의를 제기하기 위해 합리적인 조치를 고객의 비용으로 취할 것입니다.

VMware가 고객에게 통지하는 것이 법적으로 금지된 경우 VMware는 다음을 수행합니다.

• 법적 유효성 평가: VMware는 공개 요구를 평가하여 법적으로 유효하고 구속력이 있는지 확인합니다.

• 불법 요청에 대한 이의 제기: 명령이 관련 법률을 준수하지 않는다고 합리적으로 판단되는 경우 VMware는 해당 명령에 이의를 제기합니다.

• 공개 범위 제한: VMware는 공개 범위를 반드시 공개해야 하는 정보로만 제한하고, 관련 법률에 따라 정보를 공개합니다.

정부 액세스 요청 및 미국 당국 처리 절차에 관한 투명성

VMware의 BCR에 명시된 약속을 포함한 정부 액세스 요청을 처리하기 위한 VMware의 약속과 프로세스를 고객이 더 잘 이해할 수 있도록, VMware는 고객 컨텐츠 액세스에 대한 정부 요청 처리를 위한 VMware 원칙을 마련했습니다.

또한 VMware는 Schrems II 관점에서의 FISA 702항 및 행정 명령 12333 적용에 관한 VMware 성명서를 준비했습니다. 이 성명서의 목적은 EU에서 미국으로 전송되는 데이터에 미국 정보 기관이 액세스하는 것에 대한 우려를 해결하고, 행정 명령(EO) 12333 및 국외정보감시법(FISA) 702항이라는 두 미국 법률의 적용 가능성을 고객이 이해하도록 지원하는 것입니다. VMware는 VMware에서 제공하는 서비스의 특성을 고려할 때 서비스 제품 제공과 관련하여 702항 또는 EO 12333의 적용을 받을 가능성이 낮다고 확신합니다.

개인 데이터 전송에 대한 법적 근거를 보장하기 위해 업데이트된 하위 처리자와의 계약

미국-유럽 개인정보 보호 실드(EU-U.S. Privacy Shield) 무효화 이후, VMware는 이전에는 데이터 전송 메커니즘으로 미국-유럽 개인정보 보호 실드를 사용했던 모든 하위 처리자와 함께 표준 계약 조항을 이행했습니다. 데이터 처리자로서 VMware는 VMware의 데이터 처리 부록에 명시된 관련 VMware 서비스 제품의 제공과 관련하여 EU 외부로 개인 데이터를 전송할 때 구속력 있는 기업 규칙에 의존합니다.

기술적 및 조직적 조치

VMware는 VMware의 데이터 처리 부록에 명시된 적절한 기술적 및 조직적 조치를 이행하고 유지하겠다고 확약합니다. VMware의 Trust Center는 서비스 제품과 관련하여 VMware가 유지 관리하는 제3자 인증 및 감사가 요약되어 있습니다. 또한 VMware 서비스 제품의 특성을 감안할 때, 고객은 서비스 제품을 구성하는 방법을 제어할 수 있으며 해당 서비스 제품의 사용과 관련하여 처리되는 데이터를 보호하는 데 필요한 관리 및 기술적 통제를 이행할 수 있습니다. 많은 경우 VMware는 시스템 및 인프라를 관리할 때 고객이 선택할 수 있는 온프레미스 솔루션과 호스팅 솔루션을 모두 제공합니다.

전송 영향 평가
VMware는 TIA FAQ에 자세히 설명되어 있는 전송 영향 평가를 수행하기 위한 프로세스를 구현했습니다. 또한 VMware는 전송 영향 평가를 수행하기로 한 약속을 포함시키기 위해 감독 기관의 승인을 받은 처리자를 위한 구속력 있는 기업 규칙(BCR-P)을 업데이트했습니다. VMware의 BCR-P에 명시된 VMware의 전송 영향 평가 절차를 참조하십시오.

VMware 서비스에서 처리하는 데이터 유형에 대한 투명성 – 데이터 시트
유럽 데이터 보호 이사회(European Data Protection Board, EDPB)는 'Schrems II'에 대한 FAQ에서, 유럽연합 외부로의 개인 데이터 전송에 대한 적절한 수준의 보호 장치가 있는지를 결정할 때 전송되는 데이터 유형을 고려해야 하며, 제어자는 사례별 분석을 수행하여 이러한 전송이 제기하는 위험을 결정해야 한다고 설명했습니다. VMware 서비스 제품 사용과 관련하여 처리되는 데이터 유형을 고객이 쉽게 이해할 수 있도록, VMware는 각 서비스 제품에 대한 서비스 설명을 제공하고 VMware Trust Center의 개인정보 보호 섹션에서 특정 서비스 제품에 대한 데이터 시트를 제공합니다. Workspace One 서비스 제품의 경우 VMware는 Workspace One 공개도 제공합니다.

VMware는 VMware 서비스 제품 또는 지원 및 구독 서비스 제공과 관련하여 VMware를 대신해 서비스를 수행하는 제3자를 고용하고 활용합니다. 하위 처리자로서 개인 데이터를 처리하는 제3자의 참여와 관련하여(관련 용어는 데이터 처리 부록에 정의되어 있음), VMware는 다음 과정 및 절차를 구현했습니다.

1. 계약상의 약속 및 국제 데이터 전송: VMware는 데이터 처리 부록을 통해 고객과 맺는 계약상의 약속과 상당히 유사한 조건으로 하위 처리자가 개인 데이터의 적절한 개인정보 보호, 보안 및 기밀성을 유지해야 한다는 내용의 데이터 처리 계약을 모든 하위 처리자와 함께 체결합니다. VMware는 다른 합법적인 데이터 전송 메커니즘이 있고 하위 처리자가 적절한 계약상의 약속을 하지 않는 한, EU 표준 계약 조항에 의존합니다.
   
   
2. 개인정보 보호 검토 프로세스 및 개인정보 보호를 고려한 설계: VMware는 신규 공급업체의 온보딩을 위해 포괄적인 중앙 집중식 외부 벤더 관리 프로세스를 구축했습니다. 이 프로세스에는 중앙 집중식 도구를 사용하여 제3자 개인정보 보호 및 보안 검토를 시작하고, 수행하고, 추적하여 규정 준수 노력을 지원하는 작업이 포함됩니다. VMware 개인정보 보호 팀은 처리되는 개인 데이터의 범주 및 처리 목적을 결정하는 것을 포함하여 하위 처리자가 제공하는 서비스에 대한 상세한 개인정보 보호 검토를 수행합니다. 하위 처리자의 개인 데이터 액세스 및 처리와 관련된 위험을 완화하고 규정 준수를 보장하기 위한 개인정보 보호 관리 이행도 검토 대상에 포함됩니다.
   
   
3. 보안 검토 프로세스: VMware는 하위 처리자에 대한 보안 검토 수행을 위한 정책과 프로세스를 유지합니다. VMware 보안 팀은 신규 하위 처리자에 대한 최초 보안 검토를 수행하고, 파악된 보안 위험 수준을 기반으로 지속적인 모니터링을 수행합니다.
   
   
4. 하위 처리자 목록 및 신규 하위 처리자 알림: VMware는 개별 서비스 제품에서 사용하며 지원 및 구독 서비스와 관련된 하위 처리자의 목록을 유지 관리합니다. VMware는 특정 서비스에 대한 알림을 받도록 구독한 고객에게 신규 하위 처리자 고용을 사전에 통지합니다.

VMware는 서비스 제공 또는 비즈니스 운영과 관련하여 VMware에 적용될 수 있는 새로운 법률, 규정, 구속력 있는 지침 및 판례를 추적, 분석 및 평가하기 위한 내부 프로세스를 보유하고 있습니다. 개인정보 보호 팀은 외부 변호사, 외부 개인정보 보호 리서치 도구 및 법률 사무소 뉴스 알림을 활용하여 새로운 법률 및 규정이 제정되는 시점을 파악합니다.

예를 들어 중국, 일본, 캘리포니아, 콜로라도, 버지니아 및 유타의 법률과 같이 VMware에 특정 개인 정보 보호법이 적용된다고 판단되면 VMware는 법적 요구 사항을 추적하고 규정 준수를 보장하기 위한 프로젝트 계획을 구현합니다. 구현 프로세스의 일환으로, VMware 개인정보 보호 팀은 관련 내부 이해관계자를 참여시키고 새로운 법적 요구 사항을 준수하기 위해 업데이트가 필요한 프로세스와 제어를 파악합니다. VMware 개인정보 보호 팀은 회사 내 개인정보 보호 위원회(마케팅, HR, 영업과 같은 기능 영역에서 주도) 에코시스템을 활용하여 새롭거나 변경된 법률을 적시에 효율적으로 시행하도록 지원합니다.

또한 VMware 개인정보 보호 팀은 표준 개인정보 보호 교육 및 기타 회사 교육을 활용하여 모든 직원과 협력업체가 이들의 비즈니스 기능에 영향을 미칠 수 있는 새로운 법적 요구 사항에 대해 제대로 교육을 받을 수 있도록 합니다. 예를 들어 처리자를 위한 구속력 있는 기업 규칙에 대한 VMware의 규정 준수의 일환으로, 보안 및 인식 관련 필수 연례 교육을 통해 필요한 교육을 시행했을 뿐만 아니라 새로운 요구 사항을 반영하도록 비즈니스 행동 규범을 업데이트했습니다.

클라우드 서비스의 보안은 VMware에게 가장 중요합니다. VMware가 클라우드 서비스를 보호하는 방법에 대한 자세한 내용은 Trust Center 보안 페이지를 참조하십시오. VMware는 ISO 27001 표준에 부합하고 적합한 관리, 시행, 절차가 이루어지고 있는지 연간 1회 이상 검토되는 정보 보안 관리 프로그램을 유지 관리하고 있습니다.

VMware Cloud Services를 사용할 때 귀하는 클라우드 서비스 사용에 적용되는 모든 법률을 준수할 수 있도록 필요한 기술적, 조직적 및 관리적 통제를 구성하고 구현할 책임이 있습니다. 이러한 구성과 구현은 서비스를 사용하여 처리하기 위해 선택한 데이터 유형에 따라 달라질 수 있습니다. 고객 컨텐츠 보안에 관한 귀하의 책임은 관련 계약에 명시되어 있으며 (a) 귀하가 귀하의 사용자에게 제공하는 액세스 권한 관리, (b) 클라우드 서비스의 알맞은 구성, (c) 고객 컨텐츠를 클라우드 서비스로, 또는 서비스 제품에서 전송하는 동안 보안 유지, (d) 필요하다고 판단되는 경우 암호화 기술을 사용하여 고객 컨텐츠 보호, (e)고객 컨텐츠 백업 등을 포함합니다.