스카우트 데이터 처리 계약서
Data Processing Agreement

한국어

스카우트 데이터 처리 계약서

본 데이터 처리 계약서(이하 "DPA")는 귀하(이하 "조직" 또는 "데이터 통제자")와 Team Scout Inc. ("Team Scout" 또는 "데이터 처리자") 간의 구독 계약의 일부를 구성하며, 본 계약에 포함됩니다. Team Scout Inc.는 델라웨어 법인으로서 본사 주소는 1916 Pike Place, Seattle, WA 98101입니다. 본 계약서에 명시되지 않은 용어는 구독 계약서 또는 관련 데이터 보호 법령에 따라 해석됩니다.

1. 정의

1.1 정의

• "조직 데이터"는 Team Scout가 서비스 제공을 위해 처리하는 조직 회원의 개인정보로서 Team Scout 데이터가 아닌 것을 의미합니다.
• "개인정보"란 식별되었거나 식별 가능한 자연인과 관련된 모든 정보를 의미하며, 관련 데이터 보호 법령에서 정의한 바에 따릅니다.
• "데이터 보호 법령"이란 EU GDPR, 영국 GDPR, 스위스 데이터 보호법, 대한민국 개인정보 보호법(PIPA), 미국 주 법령(CCPA, CPRA 등) 및 관련 개정 또는 대체 법률을 포함한 데이터 보호, 프라이버시 및 보안 관련 모든 관련 법률을 의미합니다.
• "SCCs"란 EU 개인정보보호위원회의 표준 계약 조항(EU SCCs), 영국 부속 문서(UK SCCs), 스위스 수정 SCCs 등을 의미하며, 제3국으로의 개인정보 이전 시 데이터 보호 법령에 따라 요구되는 경우 적용됩니다.
• "사업자(Business)", "데이터 통제자(data controller)", "데이터 처리자(data processor)", "서비스 제공자(service provider)", "개인정보 유출(personal data breach)" 등은 관련 데이터 보호 법령에서 정한 정의를 따릅니다.

2. 역할 및 처리 지시

2.1 역할

조직은 데이터 통제자(또는 해당 법률상 이에 상응하는 자)로서, Team Scout는 조직 데이터의 처리에 관하여 데이터 처리자(또는 서비스 제공자)의 역할을 수행합니다.

2.2 지시 사항

Team Scout는 구독 계약 및 본 DPA에 명시된 문서화된 조직의 합법적인 지시에 따라서만 조직 데이터를 처리하며, 법령에 의해 요구되는 경우를 제외하고는 이에 따릅니다.

3. 처리의 범위

3.1 처리 개요

데이터 주체의 범주, 처리되는 개인정보 유형, 처리 활동 및 승인된 하위 처리자에 대한 세부 사항은 별첨 1(처리 개요)에 명시되어 있습니다. Team Scout는 구독 계약, 본 DPA 또는 조직의 서면 지시서에서 명시된 목적 이외의 목적으로 조직 데이터를 처리하지 않습니다.

4. 데이터 처리자의 의무

4.1 법령 및 지시 준수

Team Scout는 조직 데이터를 처리함에 있어 EU GDPR, UK GDPR, 스위스법, 미국 주 법령 및 한국 PIPA 등 적용 가능한 데이터 보호 법령을 준수합니다.

4.2 기밀 유지

Team Scout는 조직 데이터를 처리할 권한이 있는 모든 인원이 기밀 유지 의무를 지도록 보장합니다.

4.3 보안 조치

Team Scout는 위험 수준에 적절한 기술적 및 조직적 보안 조치를 구현하고 유지합니다. 해당 조치는 별첨 2(기술적 및 조직적 조치)에 설명되어 있으며, 가명처리, 암호화, 접근 통제, 정기 테스트, 백업 및 복구 절차 등을 포함할 수 있습니다.

4.4 정보주체의 권리 및 협력

Team Scout는 처리의 성격을 고려하여 정보주체의 권리(예: 열람, 정정, 삭제 요청 등)에 대응하고, 프라이버시 영향 평가 수행, 감독기관과의 협력 등 관련 법령상의 의무 이행을 조직이 수행할 수 있도록 기술적 및 조직적 조치를 통해 지원합니다.

4.5 준수 증명 및 감사

Team Scout는 정당한 요청이 있는 경우, 기밀 유지 의무를 전제로 준수를 증명하는 데 필요한 정보를 제공하며, 합리적인 통지, 범위 및 빈도에 따라 감사 또는 점검을 허용합니다.

4.6 하위 처리자

Team Scout는 별첨 3(하위 처리자)에 명시된 하위 처리자를 활용할 수 있으며, 조직은 이에 대한 일반적인 승인을 제공합니다. Team Scout는 하위 처리자의 행위에 대해 계속 책임을 집니다. 조직은 새로운 하위 처리자에 대해 통지를 받은 후 10일 이내에 서면으로 이의를 제기할 수 있으며, 해결되지 않을 경우 해당 서비스 이용을 종료할 수 있습니다.

4.7 유출 통지

Team Scout는 조직 데이터에 대한 개인정보 유출 사실을 인지한 즉시 지체 없이 조직에 이를 통지합니다.

4.8 데이터 반환 또는 삭제

구독 계약 종료 시점 또는 조직의 요청이 있는 경우, Team Scout는 법령에 따라 보관이 요구되지 않는 한 모든 조직 데이터를 삭제하거나 반환합니다.

5. 국제 데이터 전송

5.1 EU/영국/스위스 출발 데이터의 국외 이전

Team Scout가 EU, 영국 또는 스위스로부터 제공받은 개인정보를 제3국으로 전송하는 경우, SCCs 또는 승인된 전송 메커니즘을 통해 처리합니다.

5.2 대한민국 출발 데이터의 국외 이전

대한민국으로부터 수집된 개인정보가 국외로 전송되거나 접근되는 경우, Team Scout는 PIPA 및 관련 법령을 준수하며, 필요한 경우 정보주체의 동의를 확보하고, 적법한 전송 메커니즘과 보완 조치를 적용합니다.

5.3 데이터 지역화 요건

대한민국 법령에서 특정 범주의 개인정보를 국내 서버에 보관 및 처리하도록 요구하는 경우, Team Scout는 이에 따라 조치를 취합니다. 조직이 국내 저장 또는 처리 지시를 내리는 경우, Team Scout는 이를 이행합니다.

5.4 SCC 우선 적용

SCC가 요구되는 경우, 본 DPA에 포함된 것으로 간주되며, 본 DPA와 충돌하는 경우 SCC가 우선합니다.

6. 조직의 보증

6.1 합법적 근거 및 준수

조직은 다음을 보증합니다:

• 관련 법령(PIPA 포함)에 따라 조직 데이터의 처리 및 국외 전송에 필요한 모든 동의와 합법적 근거를 확보했습니다.
• 조직이 내린 모든 처리 지시(예: 데이터 지역화 또는 국외 전송)는 관련 법령을 준수합니다.

6.2 정확성 및 최소화

조직은 조직 데이터의 정확성, 품질 및 합법성을 보장하고, 서비스 수행에 필요한 범위 내에서만 Team Scout에 데이터를 제공함을 책임집니다.

7. 미국 주 개인정보 보호법

적용 가능한 미국 주법(CCPA, CPRA 등)이 적용되는 경우, 별첨 4에 추가 조건이 명시됩니다. Team Scout는 개인정보를 판매하거나 공유하지 않으며, 직접적인 업무 관계 이외의 목적으로 사용하지 않습니다.

별첨 1: 처리 개요

데이터 주체

• 조직 구성원: 선수, 학부모/보호자, 코치, 관리자, 자원봉사자, 직원 등

개인정보 범주

• 식별 정보: 이름, 생년월일, 연락처(이메일, 전화번호), 주소
• 소속 정보, 출석 정보, 퍼포먼스 지표, 경기 기록 등
• 민감 정보: 건강 정보, 비상 연락처, 결제 정보, 신분증 정보, 인종/성별 등
• 기기/사용 정보: IP 주소, 장치 식별자, 로그인 기록

처리 목적

• 팀 관리, 일정, 커뮤니케이션, 성과 추적, 이벤트 조직 등 구독 계약상 서비스 제공 목적
• 법적 의무 준수 및 보안 확보

보관 기간

• 구독 계약 기간 중 또는 조직 지시 또는 법률상 요구되는 경우

별첨 2: 기술적 및 조직적 조치

Team Scout는 다음을 포함한 적절한 보안 조치를 시행합니다:

• 접근 제어(인증, 권한 부여, 역할 기반 접근)
• 데이터 전송 및 저장 시 암호화
• 정기 백업 및 재해 복구 계획
• 보안 평가, 취약점 검사, 침투 테스트
• 데이터 센터의 물리적 보안
• 직원의 데이터 보호 교육
• 시스템 접근 모니터링 및 로깅
• 한국법(PIPA) 및 지역법에 따른 준수 조치, 데이터 지역화 포함

별첨 3: 하위 처리자

조직은 다음 하위 처리자의 사용을 승인합니다. Team Scout는 최신 목록을 유지합니다.

호스팅 및 인프라

• AWS: 호스팅, 저장, 백업
• Cloudflare: 콘텐츠 전송 및 보안

커뮤니케이션 및 지원

• Twilio: SMS 및 음성
• SendGrid / Resend: 이메일
• RevenueCat: 인앱 결제

결제 처리

• Stripe: 글로벌 결제
• KG 이니시스: 한국 내 결제

분석 및 로깅

• Datadog: 성능 모니터링
• Google Analytics: 웹 분석(법적 설정 시)

지역별 제공업체

• 한국: 네이버 클라우드, KT 클라우드 등 지역화 필요시

별첨 4: 미국 주법 부속 조항

해당되는 경우, Team Scout는 다음을 보장합니다:

• 개인정보를 판매하거나 공유하지 않습니다.
• 본 DPA 및 구독 계약 외 목적에 개인정보를 사용하지 않습니다.
• 소비자 권리 요청을 법에 따라 지원합니다.

본 한국어 번역본은 참고용이며, 법적 효력은 영어 원문에 따릅니다.

---

English

Scout's Data Processing Agreement

This Data Processing Agreement ("DPA") forms part of and is incorporated into the Subscription Agreement between you ("Organization" or "Data Controller") and Team Scout Inc. ("Team Scout" or "Data Processor"), a Delaware corporation with its principal place of business at 1916 Pike Place, Seattle, WA 98101. Capitalized terms not defined herein shall have the meanings set forth in the Subscription Agreement or applicable data protection laws. In the event of a conflict between the terms of this DPA and the Subscription Agreement, this DPA will take precedence.

1. DEFINITIONS

1.1 Definitions:

• "Organization Data" means any Personal Data relating to the Organization's Members that Team Scout processes to provide the Services and that is not Team Scout Data.
• "Personal Data" means any information relating to an identified or identifiable natural person, or as otherwise defined under applicable Data Protection Legislation.
• "Data Protection Legislation" means all applicable laws related to data protection, privacy, and security, including, but not limited to, the EU General Data Protection Regulation (EU GDPR), the UK GDPR, the Swiss Federal Act on Data Protection, the South Korean Personal Information Protection Act (PIPA), and any applicable U.S. state privacy laws (e.g., CCPA, CPRA), as well as related amendments or replacements.
• "SCCs" means the EU Commission's Standard Contractual Clauses (EU SCCs), including any applicable UK Addendum (UK SCCs), and/or Swiss-modified SCCs, for transfers of Personal Data to third countries where required by Data Protection Legislation.
• Terms such as "Business," "data controller," "data processor," "service provider," and "personal data breach" shall have the meanings ascribed by applicable Data Protection Legislation.

2. ROLES AND INSTRUCTIONS

2.1 Roles

The Organization acts as Data Controller (or equivalent under applicable law) and Team Scout acts as Data Processor (or Service Provider) with respect to the Organization Data.

2.2 Instructions

Team Scout shall process Organization Data only on the Organization's documented lawful instructions, as described in the Subscription Agreement and this DPA, unless otherwise required by law.

3. SCOPE OF PROCESSING

3.1 Processing Overview

Details of the categories of data subjects, types of Personal Data processed, processing activities, and authorized Sub-Processors are set forth in Schedule 1 (Processing Overview). Team Scout shall not process Organization Data for any purpose other than those stated in the Subscription Agreement, this DPA, or as otherwise instructed by the Organization in writing, unless required by law.

4. DATA PROCESSOR OBLIGATIONS

4.1 Compliance with Instructions and Law

Team Scout will comply with applicable Data Protection Legislation, including EU GDPR, UK GDPR, Swiss data protection law, U.S. state privacy laws, and South Korean PIPA, when processing Organization Data.

4.2 Confidentiality

Team Scout will ensure that all personnel authorized to process Organization Data are subject to obligations of confidentiality.

4.3 Security Measures

Team Scout will implement and maintain appropriate technical and organizational measures to ensure a level of security appropriate to the risk. Such measures are described in Schedule 2 (Technical and Organizational Measures) and may include pseudonymization, encryption, access controls, regular testing, and backup and recovery procedures.

4.4 Data Subject Rights and Cooperation

Taking into account the nature of the processing, Team Scout will assist the Organization by appropriate technical and organizational measures, insofar as possible, in responding to data subject requests (e.g., access, rectification, deletion) and ensuring compliance with other obligations (e.g., conducting privacy impact assessments, cooperating with supervisory authorities) under Data Protection Legislation.

4.5 Demonstrating Compliance and Audits

Upon reasonable request and subject to confidentiality obligations, Team Scout will provide information necessary to demonstrate compliance and allow for audits or inspections (governed by reasonable notice, scope, and frequency).

4.6 Sub-Processors

Team Scout may engage Sub-Processors to process Organization Data, as listed in Schedule 3 (Sub-Processors). The Organization hereby provides a general authorization for Team Scout to engage Sub-Processors. Team Scout shall remain liable for the actions of its Sub-Processors. The Organization may object to a new Sub-Processor by notifying Team Scout in writing within 10 days of receiving notice of the change. If no resolution can be reached, the Organization may terminate the relevant affected services.

4.7 Breach Notification

Team Scout will notify the Organization without undue delay upon becoming aware of a personal data breach affecting Organization Data.

4.8 Return or Deletion of Data

At the end of the Subscription Agreement or upon request, Team Scout will delete or return all Organization Data, except where retention is required by law.

5. INTERNATIONAL DATA TRANSFERS

5.1 Cross-Border Transfers (EU/UK/Switzerland)

If Team Scout processes Personal Data originating from the EU, UK, or Switzerland and transfers it to a third country without an adequate level of protection, Team Scout shall ensure such transfers are made under the SCCs (EU SCCs, UK Addendum, or Swiss modifications) or other approved mechanisms.

5.2 Cross-Border Transfers (South Korea)

If Personal Data originating from South Korea is transferred or accessed outside of South Korea, Team Scout shall ensure compliance with PIPA and any local requirements. This includes obtaining necessary consents from data subjects (if required), ensuring lawful transfer mechanisms, and implementing supplementary measures to maintain a level of protection essentially equivalent to that required under PIPA.

5.3 Data Localization Requirements (South Korea)

Where South Korean law requires certain categories of Personal Data to be stored and processed only on servers located in South Korea, Team Scout shall comply with such requirements. If the Organization instructs Team Scout to store/process Personal Data locally, Team Scout will follow those instructions. If any lawful exceptions apply (e.g., explicit consent for cross-border transfer), the Organization warrants that it has obtained such consent or complied with legal conditions before instructing Team Scout to transfer such data internationally.

5.4 SCCs and Hierarchy

Where the SCCs are required, they are incorporated by reference. In the event of a conflict between this DPA and the SCCs, the SCCs shall prevail.

6. ORGANIZATION WARRANTIES

6.1 Lawful Basis and Compliance

The Organization warrants that:

• It has obtained all necessary consents and lawful bases for processing Organization Data under applicable Data Protection Legislation, including PIPA for South Korean data subjects.
• Its instructions for processing, including cross-border transfers and any data localization directives, comply with applicable law.

6.2 Accuracy and Minimization

The Organization is responsible for ensuring the accuracy, quality, and lawfulness of Organization Data and that it discloses Organization Data to Team Scout only as necessary for the Services.

7. U.S. STATE PRIVACY LAWS

Where applicable U.S. state privacy laws (e.g., CCPA, CPRA) apply, Schedule 4 outlines additional terms. Team Scout shall not sell or share Personal Data or use it for its own independent purposes outside the direct business relationship, consistent with such laws.

SCHEDULE 1 (PROCESSING OVERVIEW)

Data Subjects

• Organization's Members: including athletes, parents/legal guardians, coaches, administrators, volunteers, staff.

Categories of Personal Data

• Identification details: Name, date of birth, contact information (email, phone number), address.
• Membership and team affiliation details, attendance, performance metrics, competition results.
• Sensitive Data: May include health data, emergency contact info, payment information, government IDs, race/ethnicity, gender identity (if provided).
• Device/usage data: IP address, device identifiers, login history.

Purposes of Processing

• To provide team management, scheduling, communication, performance tracking, event organization, and related services under the Subscription Agreement.
• To comply with legal obligations and ensure security.

Retention

• For the duration of the Subscription Agreement or as instructed by the Organization or required by law.

SCHEDULE 2 (TECHNICAL AND ORGANIZATIONAL MEASURES)

Team Scout implements measures appropriate to the risk, including:

• Access controls (authentication, authorization, role-based access).
• Encryption of data in transit and at rest where appropriate.
• Regular backups and disaster recovery planning.
• Regular security assessments, vulnerability scans, and penetration testing.
• Physical security measures for data centers.
• Employee training on data protection.
• Monitoring and logging of system access.
• Measures to ensure compliance with PIPA and other local laws, including data localization (e.g., hosting South Korean Personal Data on servers within South Korea if required).

SCHEDULE 3 (SUB-PROCESSORS)

The Organization authorizes the use of the following Sub-Processors. Team Scout shall maintain an up-to-date list of Sub-Processors:

Hosting and Infrastructure Providers

• Amazon Web Services (AWS): Hosting, storage, backup.
• Cloudflare: Content delivery and security services.

Communications and Support

• Twilio: SMS and voice communication services.
• SendGrid (Twilio) / Resend: Email delivery services.
• RevenueCat: In-app subscriptions and purchases.

Payment Processing

• Stripe: Payment gateway and processor.
• KG Inicis: Payment gateway and processor for South Korea only.

Analytics and Logging

• Datadog: Monitoring and analytics tool for infrastructure and application performance.
• Google Analytics: Web analytics (if applicable and configured lawfully).

Additional Region-Specific Providers (if needed)

• For South Korean data subjects, a local data center provider based in South Korea (e.g., Naver Cloud or KT Cloud) for compliance with localization requirements when instructed by the Organization.

SCHEDULE 4 (U.S. STATE ADDENDUM)

If applicable, Team Scout:

• Will not sell or share Personal Data as defined under U.S. state privacy laws.
• Will not retain, use, or disclose Personal Data for any purpose other than the business purposes described in this DPA and the Subscription Agreement.
• Will assist Organization in fulfilling consumer rights requests as required by law.

By executing the Subscription Agreement referencing this DPA or otherwise indicating acceptance, the Organization and Team Scout agree to be bound by the terms of this DPA, including compliance with EU GDPR, UK GDPR, Swiss law, South Korean PIPA, and other applicable Data Protection Legislation. For any questions related to this data processing agreement please contact us via email at: hello@teamscout.app.