Contracts
- Terms of Service (AIP Now)
- Data Protection Addendum (AIP Now)
- Use Case Restrictions
- [SPANISH] Terms of Service (AIP Now)
- [SPANISH] Data Protection Addendum (AIP Now)
- [FRENCH] Terms of Service (AIP Now)
- [FRENCH] Data Protection Addendum (AIP Now)
- [KOREAN] Terms of Service (AIP Now)
- [KOREAN] Data Protection Addendum (AIP Now)
Terms of Service (AIP Now)
Effective July 10th 2025
DownloadTable of Contents
Effective July 9th 2025 to July 10th 2025
DownloadTable of Contents
Effective June 18th 2025 to July 9th 2025
DownloadTable of Contents
Effective May 23rd 2025 to June 18th 2025
DownloadTable of Contents
Effective May 16th 2025 to May 23rd 2025
DownloadTable of Contents
Effective May 7th 2025 to May 16th 2025
DownloadTable of Contents
Effective April 9th 2025 to May 7th 2025
DownloadTable of Contents
Effective March 25th 2025 to April 9th 2025
DownloadTable of Contents
Effective October 2nd 2024 to March 25th 2025
DownloadTable of Contents
Effective June 25th 2024 to October 2nd 2024
DownloadTable of Contents
PALANTIR AIP NOW TERMS OF SERVICE
Effective June 20th 2024 to June 25th 2024
DownloadTable of Contents
PALANTIR AIP NOW TERMS OF SERVICE
Effective May 20th 2024 to June 20th 2024
DownloadTable of Contents
PALANTIR AIP NOW TERMS OF SERVICE
Effective May 6th 2024 to May 20th 2024
DownloadTable of Contents
PALANTIR AIP NOW TERMS OF SERVICE
Effective May 3rd 2024 to May 6th 2024
DownloadTable of Contents
PALANTIR AIP NOW TERMS OF SERVICE
Effective May 1st 2024 to May 3rd 2024
DownloadTable of Contents
PALANTIR AIP NOW TERMS OF SERVICE
Effective May 1st 2024 to May 1st 2024
DownloadTable of Contents
PALANTIR AIP NOW TERMS OF SERVICE
Data Protection Addendum (AIP Now)
Effective January 14th 2025
DownloadTable of Contents
- “Adequate Country” means a country that may import Personal Data and is deemed by the governing authority of the exporting country to provide an adequate level of data protection under the applicable Data Protection Laws;
- “Affiliate” means an entity that, directly or indirectly, owns or controls or is owned or controlled by, or is under common ownership or control with, a Party. As used herein, “control” means the power to direct, directly or indirectly, the management or affairs of an entity and “ownership” means the beneficial ownership of more than fifty percent of the voting equity securities or other equivalent voting interests of an entity. In respect of Palantir, Affiliate shall include, without being limited to, all entities listed in Exhibit A, Part II and any other Palantir affiliates from time to time;
- “Completions” has the meaning given to it in Exhibit D of this DPA;
- “Controller” means the entity which determines the purposes and means of the Processing of Personal Data and includes, as applicable, the term “controller” “business” and any other similar or equivalent terms under applicable Data Protection Laws;
- “Customer Personal Data” means any Personal Data contained within Customer Data that is subject to Data Protection Laws;
- “Data Incident” means any breach, as defined by applicable Data Protection Laws, of Palantir’s security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Customer Personal Data on systems managed or otherwise controlled by Palantir;
- “Data Protection Authority” means a competent authority responsible for enforcing the application of the relevant Data Protection Laws, and includes, as applicable, any data protection authority, privacy regulator, supervisory authority, Attorney General, state privacy agency or any governmental body or agency enforcing Data Protection Laws;
- “Data Protection Laws” means all applicable laws and regulations as amended from time to time regarding data protection, consumer privacy, electronic communications and marketing laws to the extent applicable to the Processing of Customer Personal Data by Palantir under the Agreement, such as:
- California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq. (“CCPA”);
- California Privacy Rights Act of 2020 (“CPRA”);
- Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (“EU GDPR”);
- The EU GDPR as amended and incorporated into UK law under the UK European Union (Withdrawal) Act 2018 (“UK GDPR”); and
- The Switzerland Federal Data Protection act of 19 June 1992 as replaced and/or updated from time to time (“FDP”).
- “Data Protection Officer” means the natural person or company appointed where necessary under applicable Data Protection Laws to ensure an organization's compliance with Data Protection Laws and cooperate with the Data Protection Authorities;
- “Data Subject” means the identified or identifiable person to whom Personal Data relates, and includes, as applicable, the term “consumer” and any other similar or equivalent terms under Applicable Data Protection Laws;
- “DPA Effective Date” means the Effective Date of the Agreement;
- “EEA” means the European Economic Area;
- “EU SCCs” means the standard contractual clauses for use in relation to exports of Personal Data from the EEA approved by the European Commission under Commission Implementing Decision 2021/914, or such other clauses as replace them from time to time;
- “Personal Data” means: (a) any information relating to (i) an identified or identifiable natural person and/or (ii) an identified or identifiable legal entity (where such information is protected similarly as Personal Data or personally identifiable information under applicable Data Protection Laws), and (b) any information treated or receiving similar treatment as “personal data”, “personal information”, “personally identifiable information or any similar, or equivalent terms under applicable Data Protection Laws;
- “Processing” means any operation or set of operations which is performed upon Personal Data, whether or not by automatic means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. The terms “process”, “processes” and “processed” will be interpreted accordingly;
- “Processor” means the entity which Processes Personal Data on behalf of a Controller, including as applicable the terms “processor”, “service provider” “contractor” and any equivalent or similar terms that address the same, or similar, responsibilities under applicable Data Protection Laws as applicable;
- “Request” means a request from a Data Subject or anyone acting on their behalf to exercise their rights under Data Protection Laws;
- “Restricted Transfer” means a transfer, or onward transfer, of Personal Data from a country where such transfer would be restricted or prohibited by applicable Data Protection Laws (or by the terms of a data transfer agreement put in place to address the data transfer restrictions of Data Protection Laws) without implementing safeguards such as the Standard Contractual Clauses to be established under clause 14 below;
- “Security Documentation” means the Documentation describing the security standards that apply to the Service as provided by or on behalf of Palantir from time to time;
- “Sell” or “Sale” means selling, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a Data Subject’s Personal Data to a third party for valuable consideration.
- “Service” shall have the meaning as set out in the Agreement and this DPA.
- “Share” means sharing, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a Data Subject’s Personal Data to a third party for cross-context behavioral advertising, whether or not for monetary or other valuable consideration, including transactions in which no money is exchanged;
- “Subprocessor” means any processor or service provider who processes personal data on behalf of Palantir for the purpose of providing the Service as set out in the Agreement, Exhibit A and any other relevant applicable exhibits of this DPA.
- “Standard Contractual Clauses” or “SCCs” means either (a) the standard data protection clauses approved pursuant to the Data Protection Laws of the applicable exporting country from time to time to legitimise exports of Personal Data from that country, or (b) where the applicable exporting country has Data Protection Laws that regulate the export of personal data but no approved standard data protection clauses, the EU SCCs shall apply- in each case incorporating the appropriate Completions, and where more than one form of such approved clauses exists in respect of a particular country, the clauses that shall apply shall be: (i) in respect of any situation where Customer acts as a Controller of Customer Personal Data, that form of clauses applying to Controller to Processor transfers; and (ii) in respect of any situation where Customer acts as a Processor of Customer Personal Data, that form of clauses applying to Processor to Processor transfers; and
- “Technical and Organisational Measures” means the technical and organisational measures agreed by the Parties in the Agreement and any additional technical and organisational measures implemented by Palantir pursuant to its obligations under applicable Data Protection Laws.
Authorized Third-Party Subprocessors | ||||
Subprocessor | Purpose | Registered Address | Location | Transfer Mechanism |
Amazon Web Services, Inc. | Cloud hosting and infrastructure, alerting and encrypted notification services and AI services. | 410 Terry Avenue North, Seattle, WA 98109, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement. | Standard Contractual Clauses |
Microsoft Corporation | Cloud hosting and infrastructure, and AI services (Microsoft Azure) | One Microsoft Way Redmond, WA 98052, USA | The location for the purpose of providing the cloud hosting service is as selected by Customer in the Order Form or, as applicable, other parts of the Agreement. The location for the purpose of providing the AI services is East US, South Central US, West Europe and other Azure regions as they become available. | Standard Contractual Clauses |
Google LLC | Cloud hosting and infrastructure (Google Cloud Platform) and AI services. | 1600 Amphitheatre Parkway Mountain View, 94043 CA, USA | The location for the purpose of providing the cloud hosting service is as selected by Customer in the Order Form or, as applicable, other parts of the Agreement. The location for the purpose of providing the AI services are all regions available for features of Generative AI on Google Vertex AI and other regions as they become available. | Standard Contractual Clauses |
Proofpoint, Inc. | Alerting and encrypted notification service. | 892 Ross Drive, Sunnyvale, CA 94089, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement. | Standard Contractual Clauses |
Microsoft Corporation | User authentication as an identity provider (where selected as chosen identity provider by Customer). | One Microsoft Way Redmond, WA 98052, USA | United States | Standard Contractual Clauses |
OpenAI LLC | AI services | 3180 18th Street, San Francisco, CA 94110, USA | The location for the purpose of providing the AI service can be the United States and other regions as they become available. | Standard Contractual Clauses |
X.AI LLC | AI services | 1450 Page Mill Rd. Palo Alto, CA 94034, United States | The location for the purpose of providing the AI service can be the United States and other regions as they become available. | Standard Contractual Clauses |
Oracle America, Inc. | Cloud hosting and infrastructure. | 500 Oracle Parkway, Redwood Shores, CA 94065 | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement | Standard Contractual Clauses |
Authorized Third-Party Subprocessors | ||||
Subprocessor | Purpose | Registered Address | Location | Transfer Mechanism |
Amazon Web Services, Inc. | Cloud hosting and infrastructure, alerting and encrypted notification services | 410 Terry Avenue North, Seattle, WA 98109, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement | Standard Contractual Clauses |
Microsoft Corporation | User authentication as an identity provider (where selected as chosen identity provider by Customer). | One Microsoft Way Redmond, WA 98052, USA | United States | Standard Contractual Clauses |
- Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915. ↑
- The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses. ↑
- This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7. ↑
- As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies. ↑
- Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915. ↑
- The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses. ↑
- This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7. ↑
- As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies. ↑
Effective May 23rd 2024 to January 14th 2025
DownloadTable of Contents
- “Adequate Country” means a country that may import Personal Data and is deemed by the governing authority of the exporting country to provide an adequate level of data protection under the applicable Data Protection Laws;
- “Affiliate” means an entity that, directly or indirectly, owns or controls or is owned or controlled by, or is under common ownership or control with, a Party. As used herein, “control” means the power to direct, directly or indirectly, the management or affairs of an entity and “ownership” means the beneficial ownership of more than fifty percent of the voting equity securities or other equivalent voting interests of an entity. In respect of Palantir, Affiliate shall include, without being limited to, all entities listed in Exhibit A, Part II and any other Palantir affiliates from time to time;
- “Completions” has the meaning given to it in Exhibit D of this DPA;
- “Controller” means the entity which determines the purposes and means of the Processing of Personal Data and includes, as applicable, the term “controller” “business” and any other similar or equivalent terms under applicable Data Protection Laws;
- “Customer Personal Data” means any Personal Data contained within Customer Data that is subject to Data Protection Laws;
- “Data Incident” means any breach, as defined by applicable Data Protection Laws, of Palantir’s security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Customer Personal Data on systems managed or otherwise controlled by Palantir;
- “Data Protection Authority” means a competent authority responsible for enforcing the application of the relevant Data Protection Laws, and includes, as applicable, any data protection authority, privacy regulator, supervisory authority, Attorney General, state privacy agency or any governmental body or agency enforcing Data Protection Laws;
- “Data Protection Laws” means all applicable laws and regulations as amended from time to time regarding data protection, consumer privacy, electronic communications and marketing laws to the extent applicable to the Processing of Customer Personal Data by Palantir under the Agreement, such as:
- California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq. (“CCPA”);
- California Privacy Rights Act of 2020 (“CPRA”);
- Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (“EU GDPR”);
- The EU GDPR as amended and incorporated into UK law under the UK European Union (Withdrawal) Act 2018 (“UK GDPR”); and
- The Switzerland Federal Data Protection act of 19 June 1992 as replaced and/or updated from time to time (“FDP”).
- “Data Protection Officer” means the natural person or company appointed where necessary under applicable Data Protection Laws to ensure an organization's compliance with Data Protection Laws and cooperate with the Data Protection Authorities;
- “Data Subject” means the identified or identifiable person to whom Personal Data relates, and includes, as applicable, the term “consumer” and any other similar or equivalent terms under Applicable Data Protection Laws;
- “DPA Effective Date” means the Effective Date of the Agreement;
- “EEA” means the European Economic Area;
- “EU SCCs” means the standard contractual clauses for use in relation to exports of Personal Data from the EEA approved by the European Commission under Commission Implementing Decision 2021/914, or such other clauses as replace them from time to time;
- “Personal Data” means: (a) any information relating to (i) an identified or identifiable natural person and/or (ii) an identified or identifiable legal entity (where such information is protected similarly as Personal Data or personally identifiable information under applicable Data Protection Laws), and (b) any information treated or receiving similar treatment as “personal data”, “personal information”, “personally identifiable information or any similar, or equivalent terms under applicable Data Protection Laws;
- “Processing” means any operation or set of operations which is performed upon Personal Data, whether or not by automatic means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. The terms “process”, “processes” and “processed” will be interpreted accordingly;
- “Processor” means the entity which Processes Personal Data on behalf of a Controller, including as applicable the terms “processor”, “service provider” “contractor” and any equivalent or similar terms that address the same, or similar, responsibilities under applicable Data Protection Laws as applicable;
- “Request” means a request from a Data Subject or anyone acting on their behalf to exercise their rights under Data Protection Laws;
- “Restricted Transfer” means a transfer, or onward transfer, of Personal Data from a country where such transfer would be restricted or prohibited by applicable Data Protection Laws (or by the terms of a data transfer agreement put in place to address the data transfer restrictions of Data Protection Laws) without implementing safeguards such as the Standard Contractual Clauses to be established under clause 14 below;
- “Security Documentation” means the Documentation describing the security standards that apply to the Service as provided by or on behalf of Palantir from time to time;
- “Sell” or “Sale” means selling, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a Data Subject’s Personal Data to a third party for valuable consideration.
- “Service” shall have the meaning as set out in the Agreement and this DPA.
- “Share” means sharing, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a Data Subject’s Personal Data to a third party for cross-context behavioral advertising, whether or not for monetary or other valuable consideration, including transactions in which no money is exchanged;
- “Subprocessor” means any processor or service provider who processes personal data on behalf of Palantir for the purpose of providing the Service as set out in the Agreement, Exhibit A and any other relevant applicable exhibits of this DPA.
- “Standard Contractual Clauses” or “SCCs” means either (a) the standard data protection clauses approved pursuant to the Data Protection Laws of the applicable exporting country from time to time to legitimise exports of Personal Data from that country, or (b) where the applicable exporting country has Data Protection Laws that regulate the export of personal data but no approved standard data protection clauses, the EU SCCs shall apply- in each case incorporating the appropriate Completions, and where more than one form of such approved clauses exists in respect of a particular country, the clauses that shall apply shall be: (i) in respect of any situation where Customer acts as a Controller of Customer Personal Data, that form of clauses applying to Controller to Processor transfers; and (ii) in respect of any situation where Customer acts as a Processor of Customer Personal Data, that form of clauses applying to Processor to Processor transfers; and
- “Technical and Organisational Measures” means the technical and organisational measures agreed by the Parties in the Agreement and any additional technical and organisational measures implemented by Palantir pursuant to its obligations under applicable Data Protection Laws.
Authorized Third-Party Subprocessors | ||||
Subprocessor | Purpose | Registered Address | Location | Transfer Mechanism |
Amazon Web Services, Inc. | Cloud hosting and infrastructure, alerting and encrypted notification services and AI services. | 410 Terry Avenue North, Seattle, WA 98109, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement. | Standard Contractual Clauses |
Microsoft Corporation | Cloud hosting and infrastructure, and AI services (Microsoft Azure) | One Microsoft Way Redmond, WA 98052, USA | The location for the purpose of providing the cloud hosting service is as selected by Customer in the Order Form or, as applicable, other parts of the Agreement. The location for the purpose of providing the AI services is East US, South Central US, West Europe and other Azure regions as they become available. | Standard Contractual Clauses |
Google LLC | Cloud hosting and infrastructure (Google Cloud Platform) and AI services. | 1600 Amphitheatre Parkway Mountain View, 94043 CA, USA | The location for the purpose of providing the cloud hosting service is as selected by Customer in the Order Form or, as applicable, other parts of the Agreement. The location for the purpose of providing the AI services are all regions available for features of Generative AI on Google Vertex AI and other regions as they become available. | Standard Contractual Clauses |
Proofpoint, Inc. | Alerting and encrypted notification service. | 892 Ross Drive, Sunnyvale, CA 94089, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement. | Standard Contractual Clauses |
Microsoft Corporation | User authentication as an identity provider (where selected as chosen identity provider by Customer). | One Microsoft Way Redmond, WA 98052, USA | United States | Standard Contractual Clauses |
OpenAI LLC | AI services | 3180 18th Street, San Francisco, CA 94110, USA | The location for the purpose of providing the AI service can be the United States and other regions as they become available. | Standard Contractual Clauses |
Oracle America, Inc. | Cloud hosting and infrastructure. | 500 Oracle Parkway, Redwood Shores, CA 94065 | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement | Standard Contractual Clauses |
Authorized Third-Party Subprocessors | ||||
Subprocessor | Purpose | Registered Address | Location | Transfer Mechanism |
Amazon Web Services, Inc. | Cloud hosting and infrastructure, alerting and encrypted notification services | 410 Terry Avenue North, Seattle, WA 98109, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement | Standard Contractual Clauses |
Microsoft Corporation | User authentication as an identity provider (where selected as chosen identity provider by Customer). | One Microsoft Way Redmond, WA 98052, USA | United States | Standard Contractual Clauses |
- Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915. ↑
- The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses. ↑
- This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7. ↑
- As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies. ↑
- Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915. ↑
- The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses. ↑
- This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7. ↑
- As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies. ↑
Effective May 3rd 2024 to May 23rd 2024
DownloadTable of Contents
- “Adequate Country” means a country that may import Personal Data and is deemed by the governing authority of the exporting country to provide an adequate level of data protection under the applicable Data Protection Laws;
- “Affiliate” means an entity that, directly or indirectly, owns or controls or is owned or controlled by, or is under common ownership or control with, a Party. As used herein, “control” means the power to direct, directly or indirectly, the management or affairs of an entity and “ownership” means the beneficial ownership of more than fifty percent of the voting equity securities or other equivalent voting interests of an entity. In respect of Palantir, Affiliate shall include, without being limited to, all entities listed in Exhibit A, Part II and any other Palantir affiliates from time to time;
- “Completions” has the meaning given to it in Exhibit D of this DPA;
- “Controller” means the entity which determines the purposes and means of the Processing of Personal Data and includes, as applicable, the term “controller” “business” and any other similar or equivalent terms under applicable Data Protection Laws;
- “Customer Personal Data” means any Personal Data contained within Customer Data that is subject to Data Protection Laws;
- “Data Incident” means any breach, as defined by applicable Data Protection Laws, of Palantir’s security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Customer Personal Data on systems managed or otherwise controlled by Palantir;
- “Data Protection Authority” means a competent authority responsible for enforcing the application of the relevant Data Protection Laws, and includes, as applicable, any data protection authority, privacy regulator, supervisory authority, Attorney General, state privacy agency or any governmental body or agency enforcing Data Protection Laws;
- “Data Protection Laws” means all applicable laws and regulations as amended from time to time regarding data protection, consumer privacy, electronic communications and marketing laws to the extent applicable to the Processing of Customer Personal Data by Palantir under the Agreement, such as:
- California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq. (“CCPA”);
- California Privacy Rights Act of 2020 (“CPRA”);
- Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (“EU GDPR”);
- The EU GDPR as amended and incorporated into UK law under the UK European Union (Withdrawal) Act 2018 (“UK GDPR”); and
- The Switzerland Federal Data Protection act of 19 June 1992 as replaced and/or updated from time to time (“FDP”).
- “Data Protection Officer” means the natural person or company appointed where necessary under applicable Data Protection Laws to ensure an organization's compliance with Data Protection Laws and cooperate with the Data Protection Authorities;
- “Data Subject” means the identified or identifiable person to whom Personal Data relates, and includes, as applicable, the term “consumer” and any other similar or equivalent terms under Applicable Data Protection Laws;
- “DPA Effective Date” means the Effective Date of the Agreement;
- “EEA” means the European Economic Area;
- “EU SCCs” means the standard contractual clauses for use in relation to exports of Personal Data from the EEA approved by the European Commission under Commission Implementing Decision 2021/914, or such other clauses as replace them from time to time;
- “Personal Data” means: (a) any information relating to (i) an identified or identifiable natural person and/or (ii) an identified or identifiable legal entity (where such information is protected similarly as Personal Data or personally identifiable information under applicable Data Protection Laws), and (b) any information treated or receiving similar treatment as “personal data”, “personal information”, “personally identifiable information or any similar, or equivalent terms under applicable Data Protection Laws;
- “Processing” means any operation or set of operations which is performed upon Personal Data, whether or not by automatic means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. The terms “process”, “processes” and “processed” will be interpreted accordingly;
- “Processor” means the entity which Processes Personal Data on behalf of a Controller, including as applicable the terms “processor”, “service provider” “contractor” and any equivalent or similar terms that address the same, or similar, responsibilities under applicable Data Protection Laws as applicable;
- “Request” means a request from a Data Subject or anyone acting on their behalf to exercise their rights under Data Protection Laws;
- “Restricted Transfer” means a transfer, or onward transfer, of Personal Data from a country where such transfer would be restricted or prohibited by applicable Data Protection Laws (or by the terms of a data transfer agreement put in place to address the data transfer restrictions of Data Protection Laws) without implementing safeguards such as the Standard Contractual Clauses to be established under clause 14 below;
- “Security Documentation” means the Documentation describing the security standards that apply to the Service as provided by or on behalf of Palantir from time to time;
- “Sell” or “Sale” means selling, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a Data Subject’s Personal Data to a third party for valuable consideration.
- “Service” shall have the meaning as set out in the Agreement and this DPA.
- “Share” means sharing, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a Data Subject’s Personal Data to a third party for cross-context behavioral advertising, whether or not for monetary or other valuable consideration, including transactions in which no money is exchanged;
- “Subprocessor” means any processor or service provider who processes personal data on behalf of Palantir for the purpose of providing the Service as set out in the Agreement, Exhibit A and any other relevant applicable exhibits of this DPA.
- “Standard Contractual Clauses” or “SCCs” means either (a) the standard data protection clauses approved pursuant to the Data Protection Laws of the applicable exporting country from time to time to legitimise exports of Personal Data from that country, or (b) where the applicable exporting country has Data Protection Laws that regulate the export of personal data but no approved standard data protection clauses, the EU SCCs shall apply- in each case incorporating the appropriate Completions, and where more than one form of such approved clauses exists in respect of a particular country, the clauses that shall apply shall be: (i) in respect of any situation where Customer acts as a Controller of Customer Personal Data, that form of clauses applying to Controller to Processor transfers; and (ii) in respect of any situation where Customer acts as a Processor of Customer Personal Data, that form of clauses applying to Processor to Processor transfers; and
- “Technical and Organisational Measures” means the technical and organisational measures agreed by the Parties in the Agreement and any additional technical and organisational measures implemented by Palantir pursuant to its obligations under applicable Data Protection Laws.
Authorized Third-Party Subprocessors | ||||
Subprocessor | Purpose | Registered Address | Location | Transfer Mechanism |
Amazon Web Services, Inc. | Cloud hosting and infrastructure, alerting and encrypted notification services and AI services. | 410 Terry Avenue North, Seattle, WA 98109, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement. | Standard Contractual Clauses |
Microsoft Corporation | Cloud hosting and infrastructure, and AI services (Microsoft Azure) | One Microsoft Way Redmond, WA 98052, USA | The location for the purpose of providing the cloud hosting service is as selected by Customer in the Order Form or, as applicable, other parts of the Agreement. The location for the purpose of providing the AI services is East US, South Central US, West Europe and other Azure regions as they become available. | Standard Contractual Clauses |
Google LLC | Cloud hosting and infrastructure (Google Cloud Platform) and AI services. | 1600 Amphitheatre Parkway Mountain View, 94043 CA, USA | The location for the purpose of providing the cloud hosting service is as selected by Customer in the Order Form or, as applicable, other parts of the Agreement. The location for the purpose of providing the AI services are all regions available for features of Generative AI on Google Vertex AI and other regions as they become available. | Standard Contractual Clauses |
Proofpoint, Inc. | Alerting and encrypted notification service. | 892 Ross Drive, Sunnyvale, CA 94089, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement. | Standard Contractual Clauses |
Microsoft Corporation | User authentication as an identity provider (where selected as chosen identity provider by Customer). | One Microsoft Way Redmond, WA 98052, USA | United States | Standard Contractual Clauses |
OpenAI LLC | AI services | 3180 18th Street, San Francisco, CA 94110, USA | The location for the purpose of providing the AI service can be the United States and other regions as they become available. | Standard Contractual Clauses |
Authorized Third-Party Subprocessors | ||||
Subprocessor | Purpose | Registered Address | Location | Transfer Mechanism |
Amazon Web Services, Inc. | Cloud hosting and infrastructure, alerting and encrypted notification services | 410 Terry Avenue North, Seattle, WA 98109, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement | Standard Contractual Clauses |
Microsoft Corporation | User authentication as an identity provider (where selected as chosen identity provider by Customer). | One Microsoft Way Redmond, WA 98052, USA | United States | Standard Contractual Clauses |
- Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915. ↑
- The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses. ↑
- This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7. ↑
- As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies. ↑
- Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915. ↑
- The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses. ↑
- This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7. ↑
- As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies. ↑
Effective May 1st 2024 to May 3rd 2024
DownloadTable of Contents
- “Adequate Country” means a country that may import Personal Data and is deemed by the governing authority of the exporting country to provide an adequate level of data protection under the applicable Data Protection Laws;
- “Affiliate” means an entity that, directly or indirectly, owns or controls or is owned or controlled by, or is under common ownership or control with, a Party. As used herein, “control” means the power to direct, directly or indirectly, the management or affairs of an entity and “ownership” means the beneficial ownership of more than fifty percent of the voting equity securities or other equivalent voting interests of an entity. In respect of Palantir, Affiliate shall include, without being limited to, all entities listed in Exhibit A, Part II and any other Palantir affiliates from time to time;
- “Completions” has the meaning given to it in Exhibit D of this DPA;
- “Controller” means the entity which determines the purposes and means of the Processing of Personal Data and includes, as applicable, the term “controller” “business” and any other similar or equivalent terms under applicable Data Protection Laws;
- “Customer Personal Data” means any Personal Data contained within Customer Data that is subject to Data Protection Laws;
- “Data Incident” means any breach, as defined by applicable Data Protection Laws, of Palantir’s security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Customer Personal Data on systems managed or otherwise controlled by Palantir;
- “Data Protection Authority” means a competent authority responsible for enforcing the application of the relevant Data Protection Laws, and includes, as applicable, any data protection authority, privacy regulator, supervisory authority, Attorney General, state privacy agency or any governmental body or agency enforcing Data Protection Laws;
- “Data Protection Laws” means all applicable laws and regulations as amended from time to time regarding data protection, consumer privacy, electronic communications and marketing laws to the extent applicable to the Processing of Customer Personal Data by Palantir under the Agreement, such as:
- California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq. (“CCPA”);
- California Privacy Rights Act of 2020 (“CPRA”);
- Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (“EU GDPR”);
- The EU GDPR as amended and incorporated into UK law under the UK European Union (Withdrawal) Act 2018 (“UK GDPR”); and
- The Switzerland Federal Data Protection act of 19 June 1992 as replaced and/or updated from time to time (“FDP”).
- “Data Protection Officer” means the natural person or company appointed where necessary under applicable Data Protection Laws to ensure an organization's compliance with Data Protection Laws and cooperate with the Data Protection Authorities;
- “Data Subject” means the identified or identifiable person to whom Personal Data relates, and includes, as applicable, the term “consumer” and any other similar or equivalent terms under Applicable Data Protection Laws;
- “DPA Effective Date” means the Effective Date of the Agreement;
- “EEA” means the European Economic Area;
- “EU SCCs” means the standard contractual clauses for use in relation to exports of Personal Data from the EEA approved by the European Commission under Commission Implementing Decision 2021/914, or such other clauses as replace them from time to time;
- “Personal Data” means: (a) any information relating to (i) an identified or identifiable natural person and/or (ii) an identified or identifiable legal entity (where such information is protected similarly as Personal Data or personally identifiable information under applicable Data Protection Laws), and (b) any information treated or receiving similar treatment as “personal data”, “personal information”, “personally identifiable information or any similar, or equivalent terms under applicable Data Protection Laws;
- “Processing” means any operation or set of operations which is performed upon Personal Data, whether or not by automatic means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. The terms “process”, “processes” and “processed” will be interpreted accordingly;
- “Processor” means the entity which Processes Personal Data on behalf of a Controller, including as applicable the terms “processor”, “service provider” “contractor” and any equivalent or similar terms that address the same, or similar, responsibilities under applicable Data Protection Laws as applicable;
- “Request” means a request from a Data Subject or anyone acting on their behalf to exercise their rights under Data Protection Laws;
- “Restricted Transfer” means a transfer, or onward transfer, of Personal Data from a country where such transfer would be restricted or prohibited by applicable Data Protection Laws (or by the terms of a data transfer agreement put in place to address the data transfer restrictions of Data Protection Laws) without implementing safeguards such as the Standard Contractual Clauses to be established under clause 14 below;
- “Security Documentation” means the Documentation describing the security standards that apply to the Service as provided by or on behalf of Palantir from time to time;
- “Sell” or “Sale” means selling, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a Data Subject’s Personal Data to a third party for valuable consideration.
- “Service” shall have the meaning as set out in the Agreement and this DPA.
- “Share” means sharing, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a Data Subject’s Personal Data to a third party for cross-context behavioral advertising, whether or not for monetary or other valuable consideration, including transactions in which no money is exchanged;
- “Subprocessor” means any processor or service provider who processes personal data on behalf of Palantir for the purpose of providing the Service as set out in the Agreement, Exhibit A and any other relevant applicable exhibits of this DPA.
- “Standard Contractual Clauses” or “SCCs” means either (a) the standard data protection clauses approved pursuant to the Data Protection Laws of the applicable exporting country from time to time to legitimise exports of Personal Data from that country, or (b) where the applicable exporting country has Data Protection Laws that regulate the export of personal data but no approved standard data protection clauses, the EU SCCs shall apply- in each case incorporating the appropriate Completions, and where more than one form of such approved clauses exists in respect of a particular country, the clauses that shall apply shall be: (i) in respect of any situation where Customer acts as a Controller of Customer Personal Data, that form of clauses applying to Controller to Processor transfers; and (ii) in respect of any situation where Customer acts as a Processor of Customer Personal Data, that form of clauses applying to Processor to Processor transfers; and
- “Technical and Organisational Measures” means the technical and organisational measures agreed by the Parties in the Agreement and any additional technical and organisational measures implemented by Palantir pursuant to its obligations under applicable Data Protection Laws.
Authorized Third-Party Subprocessors | ||||
Subprocessor | Purpose | Registered Address | Location | Transfer Mechanism |
Amazon Web Services, Inc. | Cloud hosting and infrastructure, alerting and encrypted notification services and AI services. | 410 Terry Avenue North, Seattle, WA 98109, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement. | Standard Contractual Clauses |
Microsoft Corporation | Cloud hosting and infrastructure, and AI services (Microsoft Azure) | One Microsoft Way Redmond, WA 98052, USA | The location for the purpose of providing the cloud hosting service is as selected by Customer in the Order Form or, as applicable, other parts of the Agreement. The location for the purpose of providing the AI services is East US, South Central US, West Europe and other Azure regions as they become available. | Standard Contractual Clauses |
Google LLC | Cloud hosting and infrastructure (Google Cloud Platform) and AI services. | 1600 Amphitheatre Parkway Mountain View, 94043 CA, USA | The location for the purpose of providing the cloud hosting service is as selected by Customer in the Order Form or, as applicable, other parts of the Agreement. The location for the purpose of providing the AI services are all regions available for features of Generative AI on Google Vertex AI and other regions as they become available. | Standard Contractual Clauses |
Proofpoint, Inc. | Alerting and encrypted notification service. | 892 Ross Drive, Sunnyvale, CA 94089, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement. | Standard Contractual Clauses |
Microsoft Corporation | User authentication as an identity provider (where selected as chosen identity provider by Customer). | One Microsoft Way Redmond, WA 98052, USA | United States | Standard Contractual Clauses |
OpenAI LLC | AI services | 3180 18th Street, San Francisco, CA 94110, USA | The location for the purpose of providing the AI service can be the United States and other regions as they become available. | Standard Contractual Clauses |
Authorized Third-Party Subprocessors | ||||
Subprocessor | Purpose | Registered Address | Location | Transfer Mechanism |
Amazon Web Services, Inc. | Cloud hosting and infrastructure, alerting and encrypted notification services | 410 Terry Avenue North, Seattle, WA 98109, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement | Standard Contractual Clauses |
Microsoft Corporation | User authentication as an identity provider (where selected as chosen identity provider by Customer). | One Microsoft Way Redmond, WA 98052, USA | United States | Standard Contractual Clauses |
- Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915. ↑
- The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses. ↑
- This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7. ↑
- As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies. ↑
- Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915. ↑
- The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses. ↑
- This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7. ↑
- As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies. ↑
Effective May 1st 2024 to May 1st 2024
DownloadTable of Contents
- “Adequate Country” means a country that may import Personal Data and is deemed by the governing authority of the exporting country to provide an adequate level of data protection under the applicable Data Protection Laws;
- “Affiliate” means an entity that, directly or indirectly, owns or controls or is owned or controlled by, or is under common ownership or control with, a Party. As used herein, “control” means the power to direct, directly or indirectly, the management or affairs of an entity and “ownership” means the beneficial ownership of more than fifty percent of the voting equity securities or other equivalent voting interests of an entity. In respect of Palantir, Affiliate shall include, without being limited to, all entities listed in Exhibit A, Part II and any other Palantir affiliates from time to time;
- “Completions” has the meaning given to it in Exhibit D of this DPA;
- “Controller” means the entity which determines the purposes and means of the Processing of Personal Data and includes, as applicable, the term “controller” “business” and any other similar or equivalent terms under applicable Data Protection Laws;
- “Customer Personal Data” means any Personal Data contained within Customer Data that is subject to Data Protection Laws;
- “Data Incident” means any breach, as defined by applicable Data Protection Laws, of Palantir’s security leading to the accidental or unlawful destruction, loss, alteration, unauthorized disclosure of, or access to, Customer Personal Data on systems managed or otherwise controlled by Palantir;
- “Data Protection Authority” means a competent authority responsible for enforcing the application of the relevant Data Protection Laws, and includes, as applicable, any data protection authority, privacy regulator, supervisory authority, Attorney General, state privacy agency or any governmental body or agency enforcing Data Protection Laws;
- “Data Protection Laws” means all applicable laws and regulations as amended from time to time regarding data protection, consumer privacy, electronic communications and marketing laws to the extent applicable to the Processing of Customer Personal Data by Palantir under the Agreement, such as:
- California Consumer Privacy Act, Cal. Civ. Code § 1798.100 et seq. (“CCPA”);
- California Privacy Rights Act of 2020 (“CPRA”);
- Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (“EU GDPR”);
- The EU GDPR as amended and incorporated into UK law under the UK European Union (Withdrawal) Act 2018 (“UK GDPR”); and
- The Switzerland Federal Data Protection act of 19 June 1992 as replaced and/or updated from time to time (“FDP”).
- “Data Protection Officer” means the natural person or company appointed where necessary under applicable Data Protection Laws to ensure an organization's compliance with Data Protection Laws and cooperate with the Data Protection Authorities;
- “Data Subject” means the identified or identifiable person to whom Personal Data relates, and includes, as applicable, the term “consumer” and any other similar or equivalent terms under Applicable Data Protection Laws;
- “DPA Effective Date” means the Effective Date of the Agreement;
- “EEA” means the European Economic Area;
- “EU SCCs” means the standard contractual clauses for use in relation to exports of Personal Data from the EEA approved by the European Commission under Commission Implementing Decision 2021/914, or such other clauses as replace them from time to time;
- “Personal Data” means: (a) any information relating to (i) an identified or identifiable natural person and/or (ii) an identified or identifiable legal entity (where such information is protected similarly as Personal Data or personally identifiable information under applicable Data Protection Laws), and (b) any information treated or receiving similar treatment as “personal data”, “personal information”, “personally identifiable information or any similar, or equivalent terms under applicable Data Protection Laws;
- “Processing” means any operation or set of operations which is performed upon Personal Data, whether or not by automatic means, such as collection, recording, organization, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction. The terms “process”, “processes” and “processed” will be interpreted accordingly;
- “Processor” means the entity which Processes Personal Data on behalf of a Controller, including as applicable the terms “processor”, “service provider” “contractor” and any equivalent or similar terms that address the same, or similar, responsibilities under applicable Data Protection Laws as applicable;
- “Request” means a request from a Data Subject or anyone acting on their behalf to exercise their rights under Data Protection Laws;
- “Restricted Transfer” means a transfer, or onward transfer, of Personal Data from a country where such transfer would be restricted or prohibited by applicable Data Protection Laws (or by the terms of a data transfer agreement put in place to address the data transfer restrictions of Data Protection Laws) without implementing safeguards such as the Standard Contractual Clauses to be established under clause 14 below;
- “Security Documentation” means the Documentation describing the security standards that apply to the Service as provided by or on behalf of Palantir from time to time;
- “Sell” or “Sale” means selling, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a Data Subject’s Personal Data to a third party for valuable consideration.
- “Service” shall have the meaning as set out in the Agreement and this DPA.
- “Share” means sharing, renting, releasing, disclosing, disseminating, making available, transferring, or otherwise communicating orally, in writing, or by electronic or other means, a Data Subject’s Personal Data to a third party for cross-context behavioral advertising, whether or not for monetary or other valuable consideration, including transactions in which no money is exchanged;
- “Subprocessor” means any processor or service provider who processes personal data on behalf of Palantir for the purpose of providing the Service as set out in the Agreement, Exhibit A and any other relevant applicable exhibits of this DPA.
- “Standard Contractual Clauses” or “SCCs” means either (a) the standard data protection clauses approved pursuant to the Data Protection Laws of the applicable exporting country from time to time to legitimise exports of Personal Data from that country, or (b) where the applicable exporting country has Data Protection Laws that regulate the export of personal data but no approved standard data protection clauses, the EU SCCs shall apply- in each case incorporating the appropriate Completions, and where more than one form of such approved clauses exists in respect of a particular country, the clauses that shall apply shall be: (i) in respect of any situation where Customer acts as a Controller of Customer Personal Data, that form of clauses applying to Controller to Processor transfers; and (ii) in respect of any situation where Customer acts as a Processor of Customer Personal Data, that form of clauses applying to Processor to Processor transfers; and
- “Technical and Organisational Measures” means the technical and organisational measures agreed by the Parties in the Agreement and any additional technical and organisational measures implemented by Palantir pursuant to its obligations under applicable Data Protection Laws.
Authorized Third-Party Subprocessors | ||||
Subprocessor | Purpose | Registered Address | Location | Transfer Mechanism |
Amazon Web Services, Inc. | Cloud hosting and infrastructure, alerting and encrypted notification services and AI services. | 410 Terry Avenue North, Seattle, WA 98109, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement. | Standard Contractual Clauses |
Microsoft Corporation | Cloud hosting and infrastructure, and AI services (Microsoft Azure) | One Microsoft Way Redmond, WA 98052, USA | The location for the purpose of providing the cloud hosting service is as selected by Customer in the Order Form or, as applicable, other parts of the Agreement. The location for the purpose of providing the AI services is East US, South Central US, West Europe and other Azure regions as they become available. | Standard Contractual Clauses |
Google LLC | Cloud hosting and infrastructure (Google Cloud Platform) and AI services. | 1600 Amphitheatre Parkway Mountain View, 94043 CA, USA | The location for the purpose of providing the cloud hosting service is as selected by Customer in the Order Form or, as applicable, other parts of the Agreement. The location for the purpose of providing the AI services are all regions available for features of Generative AI on Google Vertex AI and other regions as they become available. | Standard Contractual Clauses |
Proofpoint, Inc. | Alerting and encrypted notification service. | 892 Ross Drive, Sunnyvale, CA 94089, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement. | Standard Contractual Clauses |
Microsoft Corporation | User authentication as an identity provider (where selected as chosen identity provider by Customer). | One Microsoft Way Redmond, WA 98052, USA | United States | Standard Contractual Clauses |
OpenAI LLC | AI services | 3180 18th Street, San Francisco, CA 94110, USA | The location for the purpose of providing the AI service can be the United States and other regions as they become available. | Standard Contractual Clauses |
Authorized Third-Party Subprocessors | ||||
Subprocessor | Purpose | Registered Address | Location | Transfer Mechanism |
Amazon Web Services, Inc. | Cloud hosting and infrastructure, alerting and encrypted notification services | 410 Terry Avenue North, Seattle, WA 98109, USA | As selected by Customer in the Order Form or, as applicable, other parts of the Agreement | Standard Contractual Clauses |
Microsoft Corporation | User authentication as an identity provider (where selected as chosen identity provider by Customer). | One Microsoft Way Redmond, WA 98052, USA | United States | Standard Contractual Clauses |
- Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915. ↑
- The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses. ↑
- This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7. ↑
- As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies. ↑
- Where the data exporter is a processor subject to Regulation (EU) 2016/679 acting on behalf of a Union institution or body as controller, reliance on these Clauses when engaging another processor (sub-processing) not subject to Regulation (EU) 2016/679 also ensures compliance with Article 29(4) of Regulation (EU) 2018/1725 of the European Parliament and of the Council of 23 October 2018 on the protection of natural persons with regard to the processing of personal data by the Union institutions, bodies, offices and agencies and on the free movement of such data, and repealing Regulation (EC) No 45/2001 and Decision No 1247/2002/EC (OJ L 295, 21.11.2018, p. 39), to the extent these Clauses and the data protection obligations as set out in the contract or other legal act between the controller and the processor pursuant to Article 29(3) of Regulation (EU) 2018/1725 are aligned. This will in particular be the case where the controller and processor rely on the standard contractual clauses included in Decision 2021/915. ↑
- The Agreement on the European Economic Area (EEA Agreement) provides for the extension of the European Union’s internal market to the three EEA States Iceland, Liechtenstein and Norway. The Union data protection legislation, including Regulation (EU) 2016/679, is covered by the EEA Agreement and has been incorporated into Annex XI thereto. Therefore, any disclosure by the data importer to a third party located in the EEA does not qualify as an onward transfer for the purpose of these Clauses. ↑
- This requirement may be satisfied by the sub-processor acceding to these Clauses under the appropriate Module, in accordance with Clause 7. ↑
- As regards the impact of such laws and practices on compliance with these Clauses, different elements may be considered as part of an overall assessment. Such elements may include relevant and documented practical experience with prior instances of requests for disclosure from public authorities, or the absence of such requests, covering a sufficiently representative time-frame. This refers in particular to internal records or other documentation, drawn up on a continuous basis in accordance with due diligence and certified at senior management level, provided that this information can be lawfully shared with third parties. Where this practical experience is relied upon to conclude that the data importer will not be prevented from complying with these Clauses, it needs to be supported by other relevant, objective elements, and it is for the Parties to consider carefully whether these elements together carry sufficient weight, in terms of their reliability and representativeness, to support this conclusion. In particular, the Parties have to take into account whether their practical experience is corroborated and not contradicted by publicly available or otherwise accessible, reliable information on the existence or absence of requests within the same sector and/or the application of the law in practice, such as case law and reports by independent oversight bodies. ↑
Use Case Restrictions
Effective January 23rd 2025
DownloadTable of Contents
PALANTIR USE CASE RESTRICTIONS
By using the Palantir Foundry Platform or Palantir’s AI Platform (“AIP”) (including any other technology made available by Palantir to Customer “Palantir Technology”, which term if otherwise defined in the Agreement shall for purposes of these Palantir Use Case Restrictions have the definition provided in the Agreement), Customer agrees to abide by the following use case restrictions. Any capitalized terms not defined in these Use Case Restrictions will have the meaning provided to them in the Palantir Terms of Service, or any applicable agreement governing Customer’s use of the Palantir Technology (the “Agreement”).
In accordance with the Agreement, you and the Customer you represent (including such Customer’s users) will not use the Palantir Technology for any Prohibited Use Case. Customer must obtain Palantir’s prior written approval to use or permit any of Customer’s users to use the Palantir Technology for any Use Cases Requiring Pre-Approval.
Prohibited Use Cases:
- Political parties, committees, campaigns, or organizations workflows
- Offensive cyber workflows
- Predictive policing efforts
- Influencing union organizing efforts
- Facial recognition for surveillance workflows
- Predatory targeting workflows
- Clinical judgment or decision making, medical advice, diagnostic or therapeutic purposes, and/or as a medical device or accessory (as defined by the applicable law).
Use Cases Requiring Pre-Approval:
- Any use of non-public government data
- Law enforcement workflows (including, but not limited to, investigative watchlists)
- Immigration enforcement, monitoring, or surveillance workflows
- Mobility collecting, monitoring, or tracking workflows
- Video analysis workflows (e.g., CCTV)
- Tobacco, controlled substances, or illicit drugs related workflows
- Gambling related workflows.
- Employee monitoring workflows
- Biometric identity verification workflows
- Social media data use
Effective April 25th 2024 to January 23rd 2025
DownloadTable of Contents
PALANTIR USE CASE RESTRICTIONS
By using the Palantir Foundry Platform or Palantir’s AI Platform (“AIP”) (including any other technology made available by Palantir to Customer “Palantir Technology”, which term if otherwise defined in the Agreement shall for purposes of these Palantir Use Case Restrictions have the definition provided in the Agreement), Customer agrees to abide by the following use case restrictions. Any capitalized terms not defined in these Use Case Restrictions will have the meaning provided to them in the Palantir Terms of Service, or any applicable agreement governing Customer’s use of the Palantir Technology (the “Agreement”).
In accordance with the Agreement, you and the Customer you represent (including such Customer’s users) will not use the Palantir Technology for any Prohibited Use Case. Customer must obtain Palantir’s prior written approval to use or permit any of Customer’s users to use the Palantir Technology for any Use Cases Requiring Pre-Approval.
Prohibited Use Cases:
- Political parties, committees, campaigns, or organizations workflows
- Offensive cyber workflows
- Predictive policing efforts
- Influencing union organizing efforts
- Facial recognition for surveillance workflows
- Predatory targeting workflows
- Clinical judgment or decision making, medical advice, diagnostic or therapeutic purposes, and/or as a medical device or accessory (as defined by the applicable law).
Use Cases Requiring Pre-Approval:
- Any use of government data
- Law enforcement workflows (including, but not limited to, investigative watchlists)
- Immigration enforcement, monitoring, or surveillance workflows
- Mobility collecting, monitoring, or tracking workflows
- Video analysis workflows (e.g., CCTV)
- Tobacco, controlled substances, or illicit drugs related workflows
- Gambling related workflows.
- Employee monitoring workflows
- Biometric identity verification workflows
- Social media data use
Effective February 1st 2024 to April 25th 2024
DownloadTable of Contents
PALANTIR USE CASE RESTRICTIONS
By using the Palantir Foundry Platform or Palantir’s AI Platform (“AIP”) (including any other technology made available by Palantir to Customer “Palantir Technology”, which term if otherwise defined in the Agreement shall for purposes of these Palantir Use Case Restrictions have the definition provided in the Agreement), Customer agrees to abide by the following use case restrictions. Any capitalized terms not defined in these Use Case Restrictions will have the meaning provided to them in the Palantir Terms of Service, or any applicable agreement governing Customer’s use of the Palantir Technology (the “Agreement”).
In accordance with the Agreement, you and the Customer you represent (including such Customer’s users) will not use the Palantir Technology for any Prohibited Use Case. Customer must obtain Palantir’s prior written approval to use or permit any of Customer’s users to use the Palantir Technology for any Use Cases Requiring Pre-Approval.
Prohibited Use Cases:
- Political parties, committees, campaigns, or organizations workflows
- Offensive cyber workflows
- Predictive policing efforts
- Influencing union organizing efforts
- Facial recognition for surveillance workflows
- Predatory targeting workflows
- Clinical judgment or decision making, medical advice, diagnostic or therapeutic purposes, and/or as a medical device or accessory (as defined by the applicable law).
Use Cases Requiring Pre-Approval:
- Law enforcement workflows (including, but not limited to, investigative watchlists)
- Immigration enforcement, monitoring, or surveillance workflows
- Mobility collecting, monitoring, or tracking workflows
- Video analysis workflows (e.g., CCTV)
- Tobacco, controlled substances, or illicit drugs related workflows
- Gambling related workflows.
- Employee monitoring workflows
- Biometric identity verification workflows
- Social media data use
[SPANISH] Terms of Service (AIP Now)
Effective May 16th 2025
DownloadTable of Contents
Effective May 16th 2025 to May 16th 2025
DownloadTable of Contents
[SPANISH] Data Protection Addendum (AIP Now)
Effective May 16th 2025
DownloadTable of Contents
- "País Adecuado" se refiere a un país que puede importar Datos Personales y que la autoridad gobernante del país exportador considera que proporciona un nivel adecuado de protección de datos en virtud de las Leyes de Protección de Datos aplicables;
- "Afiliada" significa una entidad que, directa o indirectamente, posee o controla o es propiedad o está controlada por, o está bajo propiedad o control común con, una Parte. Tal y como se utiliza en el presente documento, por "control" se entiende el poder de dirigir, directa o indirectamente, la gestión o los asuntos de una entidad, y por "propiedad" se entiende la titularidad efectiva de más del cincuenta por ciento de las acciones con derecho a voto u otras participaciones con derecho a voto equivalentes de una entidad. Con respecto a Palantir, Afiliada incluirá, sin limitarse a ellas, todas las entidades enumeradas en el Anexo A, Parte II y cualesquiera otras filiales de Palantir en cada momento;
- "Finalizaciones" tiene el significado que se le da en el Anexo D del presente APD;
- "Responsable del Tratamiento" significa la entidad que determina los fines y medios del Tratamiento de Datos Personales e incluye, según proceda, el término "responsable del tratamiento" "empresa" y cualesquiera otros términos similares o equivalentes en virtud de las Leyes de Protección de Datos aplicables;
- "Datos Personales del Cliente" significa cualquier Dato Personal contenido en los Datos del Cliente que esté sujeto a las Leyes de Protección de Datos;
- "Incidente relacionado con los Datos" hace referencia a cualquier infracción, tal y como se define en las Leyes de Protección de Datos aplicables, de la seguridad de Palantir que provoque la destrucción accidental o ilegal, la pérdida, la alteración, la divulgación no autorizada o el acceso a los Datos Personales del Cliente en los sistemas gestionados o controlados de otro modo por Palantir;
- "Autoridad de Protección de Datos" significa una autoridad competente responsable de hacer cumplir la aplicación de las Leyes de Protección de Datos pertinentes, e incluye, según corresponda, cualquier autoridad de protección de datos, regulador de privacidad, autoridad de supervisión, Fiscal General, agencia estatal de privacidad o cualquier organismo gubernamental o agencia que haga cumplir las Leyes de Protección de Datos;
- "Leyes de protección de datos" hace referencia a todas las leyes y normativas aplicables, en su versión modificada en cada momento, relativas a la protección de datos, la privacidad del consumidor, las comunicaciones electrónicas y las leyes de marketing en la medida en que sean aplicables al Tratamiento de los Datos Personales del Cliente por parte de Palantir en virtud del Acuerdo, tales como:
- Ley de Privacidad del Consumidor de California, Cal. Civ. Code § 1798.100 et seq. ("CCPA");
- Ley de Derechos de Privacidad de California de 2020 ("CPRA");
- Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE ("RGPD UE");
- El GDPR de la UE modificado e incorporado a la legislación del Reino Unido en virtud de la Ley de la Unión Europea (Retirada) del Reino Unido de 2018 ("GDPR del Reino Unido"); y
- Ley federal suiza de protección de datos de 19 de junio de 1992, sustituida y/o actualizada periódicamente ("FDP").
- "Responsable de Protección de Datos" se refiere a la persona física o jurídica designada cuando sea necesario en virtud de las Leyes de Protección de Datos aplicables para garantizar el cumplimiento de las Leyes de Protección de Datos por parte de una organización y cooperar con las Autoridades de Protección de Datos;
- "Interesado" significa la persona identificada o identificable a la que se refieren los Datos Personales, e incluye, en su caso, el término "consumidor" y cualesquiera otros términos similares o equivalentes conforme a la Legislación Aplicable en materia de Protección de Datos
- "Fecha de entrada en vigor del APD" significa la Fecha de entrada en vigor del Acuerdo;
- "EEE" significa el Espacio Económico Europeo;
- "Cláusulas contractuales tipo de la UE": las cláusulas contractuales tipo para su uso en relación con las exportaciones de Datos Personales desde el EEE aprobadas por la Comisión Europea en virtud de la Decisión de Ejecución 2021/914 de la Comisión, u otras cláusulas que las sustituyan en su
- Por "Datos Personales" se entiende: (a) cualquier información relativa a (i) una persona física identificada o identificable y/o (ii) una persona jurídica identificada o identificable (cuando dicha información esté protegida de forma similar a los Datos Personales o a la información personalmente identificable en virtud de las Leyes de Protección de Datos aplicables), y (b) cualquier información tratada o que reciba un tratamiento similar a los "datos personales", la "información personal", la "información personalmente identificable" o cualquier término similar o equivalente en virtud de las Leyes de Protección de Datos aplicables;
- Por "tratamiento" se entenderá cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a Datos Personales, como la recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, cotejo o interconexión, así como su limitación, supresión o destrucción. Los términos "tratar", "procesar" y "procesado" se interpretarán en consecuencia;
- "Encargado del tratamiento" se refiere a la entidad que trata Datos Personales por cuenta de un Responsable del tratamiento, incluidos, según proceda, los términos "encargado del tratamiento", "proveedor de servicios" "contratista" y cualesquiera términos equivalentes o similares que aborden las mismas responsabilidades, o similares, en virtud de las Leyes de Protección de Datos aplicables, según proceda;
- "Solicitud" significa una petición de un Sujeto de Datos o de cualquier persona que actúe en su nombre para ejercer sus derechos en virtud de las Leyes de Protección de Datos
- "Transferencia restringida" significa una transferencia, o transferencia ulterior, de Datos Personales desde un país en el que dicha transferencia estaría restringida o prohibida por las Leyes de Protección de Datos aplicables (o por los términos de un acuerdo de transferencia de datos establecido para abordar las restricciones de transferencia de datos de las Leyes de Protección de Datos) sin aplicar salvaguardas como las Cláusulas Contractuales Tipo que se establecerán en virtud de la cláusula 14 a continuación;
- "Documentación de seguridad" hace referencia a la Documentación que describe las normas de seguridad que se aplican al Servicio y que proporciona Palantir o Palantir en su nombre cada cierto tiempo;
- "Vender" o "Venta" significa vender, alquilar, ceder, revelar, difundir, poner a disposición, transferir o comunicar de cualquier otro modo oralmente, por escrito o por medios electrónicos o de otro tipo, los Datos Personales de un Sujeto de Datos a un tercero a cambio de una contraprestación económica.
- "Servicio" tendrá el significado establecido en el Acuerdo y en el presente APD.
- "Compartir" significa compartir, alquilar, ceder, revelar, difundir, poner a disposición, transferir o comunicar de cualquier otro modo oralmente, por escrito o por medios electrónicos o de otro tipo, los Datos Personales de un Sujeto de Datos a un tercero para publicidad conductual de contexto cruzado, ya sea o no a cambio de una contraprestación monetaria u otra contraprestación valiosa, incluidas las transacciones en las que no se intercambia dinero;
- "Subprocesador" hace referencia a cualquier procesador o proveedor de servicios que procese datos personales en nombre de Palantir con el fin de prestar el Servicio, tal y como se establece en el Acuerdo, el Anexo A y cualquier otro anexo pertinente aplicable de este APD.
- Por "Cláusulas Contractuales Tipo" o "CEC" se entenderá (a) las cláusulas tipo de protección de datos aprobadas de conformidad con las Leyes de Protección de Datos del país exportador aplicable en cada momento para legitimar las exportaciones de Datos Personales desde dicho país, o bien (b) cuando el país exportador aplicable disponga de Leyes de Protección de Datos que regulen la exportación de datos personales pero no de cláusulas tipo de protección de datos aprobadas, se aplicarán las CEC de la UE -en cada caso incorporando las Complementaciones adecuadas, y cuando exista más de una forma de dichas cláusulas aprobadas con respecto a un país concreto, las cláusulas que se aplicarán serán: (i) con respecto a cualquier situación en la que el Cliente actúe como Controlador de los Datos Personales del Cliente, la forma de las cláusulas que se apliquen a las transferencias de Controlador a Procesador; y (ii) con respecto a cualquier situación en la que el Cliente actúe como Procesador de los Datos Personales del Cliente, la forma de las cláusulas que se apliquen a las transferencias de Procesador a Procesador;
- "Medidas técnicas y organizativas" se refiere a las medidas técnicas y organizativas acordadas por las Partes en el Acuerdo y a cualquier medida técnica y organizativa adicional implementada por Palantir de conformidad con sus obligaciones en virtud de las Leyes de Protección de Datos aplicables
Subprocesadores terceros autorizados | ||||
Subprocesador | Propósito | Dirección registrada | Ubicación | Mecanismo de transferencia |
Amazon Web Services, Inc. | Alojamiento e infraestructura en la nube, servicios de alerta y notificación cifrada y servicios de IA | 410 Terry Avenue North, Seattle, WA 98109, EE.UU. | Según lo seleccionado por el Cliente en la Orden de Pedido o, en su caso, en otras partes del Contrato. | Cláusulas contractuales tipo |
Corporación Microsoft | Alojamiento e infraestructura en la nube y servicios de IA (Microsoft Azure) | Una vía Microsoft Redmond, WA 98052, EE.UU. | La ubicación a efectos de la prestación del servicio de alojamiento en la nube es la seleccionada por el Cliente en el Formulario de pedido o, según proceda, en otras partes del Contrato. La ubicación a efectos de la prestación de los servicios de IA es el este de EE. UU., el centro-sur de EE. UU., el oeste de Europa y otras regiones de Azure a medida que estén disponibles. | Cláusulas contractuales tipo |
Google LLC | Alojamiento e infraestructura en la nube (Google Cloud Platform) y servicios de IA. | 1600 Amphitheatre Parkway Mountain View, 94043 CA, EE.UU. | La ubicación a efectos de la prestación del servicio de alojamiento en la nube es la seleccionada por el Cliente en el Formulario de pedido o, según proceda, en otras partes del Acuerdo. La ubicación a efectos de la prestación de los servicios de IA son todas las regiones disponibles para las funciones de IA Generativa en Google Vertex AI y otras regiones a medida que estén disponibles. | Cláusulas contractuales tipo |
Proofpoint, Inc. | Servicio de alerta y notificación encriptada. | 892 Ross Drive, Sunnyvale, CA 94089, EE.UU. | Según lo seleccionado por el Cliente en la Orden de Pedido o, en su caso, en otras partes del Contrato. | Cláusulas contractuales tipo |
Corporación Microsoft | Autenticación del usuario como proveedor de identidad (cuando el Cliente lo seleccione como proveedor de identidad). | Una vía Microsoft Redmond, WA 98052, EE.UU. | Estados Unidos | Cláusulas contractuales tipo |
OpenAI LLC | Servicios de IA | 3180 18th Street, San Francisco, CA 94110, EE.UU. | La ubicación a efectos de la prestación del servicio de IA puede ser Estados Unidos y otras regiones a medida que estén disponibles. | Cláusulas contractuales tipo |
Oracle America, Inc. | Infraestructura y alojamiento en la nube. | 500 Oracle Parkway, Redwood Shores, CA 94065 | Según lo seleccionado por el Cliente en la Orden de Pedido o, en su caso, en otras partes del Acuerdo. | Cláusulas contractuales tipo |
Subprocesadores terceros autorizados | ||||
Subprocesador | Propósito | Dirección registrada | Ubicación | Mecanismo de transferencia |
Amazon Web Services, Inc. | Alojamiento e infraestructura en la nube, servicios de alerta y notificación cifrada | 410 Terry Avenue North, Seattle, WA 98109, EE.UU. | Según lo seleccionado por el Cliente en la Orden de Pedido o, en su caso, en otras partes del Acuerdo. | Cláusulas contractuales tipo |
Corporación Microsoft | Autenticación del usuario como proveedor de identidad (cuando el Cliente lo seleccione como proveedor de identidad). | Una vía Microsoft Redmond, WA 98052, EE.UU. | Estados Unidos | Cláusulas contractuales tipo |
CLÁUSULAS CONTRACTUALES TIPO
CLÁUSULAS CONTRACTUALES TIPO
- Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe en nombre de una institución u organismo de la Unión como responsable del tratamiento, la confianza en las presentes Cláusulas al contratar a otro encargado (subtratamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimiento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones de la Unión, órganos y organismos de la Unión y sobre la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39), en la medida en que estas Cláusulas y las obligaciones de protección de datos establecidas en el contrato u otro acto jurídico entre el responsable y el encargado del tratamiento de conformidad con el artículo 29, apartado 3, del Reglamento (UE) 2018/1725 estén alineadas. Este será el caso, en particular, cuando el responsable y el encargado del tratamiento se basen en las cláusulas contractuales tipo incluidas en la Decisión 2021/915. ↑
- El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE: Islandia, Liechtenstein y Noruega. La legislación de la Unión en materia de protección de datos, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado a su anexo XI. Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero situado en el EEE no se considera una transferencia ulterior a efectos de las presentes cláusulas. ↑
- Este requisito podrá satisfacerse si el subencargado del tratamiento se adhiere a las presentes cláusulas en virtud del módulo correspondiente, de conformidad con la cláusula 7. ↑
- En lo que respecta al impacto de dichas leyes y prácticas en el cumplimiento de estas Cláusulas, pueden considerarse diferentes elementos como parte de una evaluación general. Dichos elementos pueden incluir la experiencia práctica pertinente y documentada con casos anteriores de solicitudes de revelación de información por parte de las autoridades públicas, o la ausencia de tales solicitudes, que abarquen un marco temporal suficientemente representativo. Esto se refiere, en particular, a los registros internos u otra documentación, elaborada de forma continua de conformidad con la diligencia debida y certificada a nivel de la alta dirección, siempre que esta información pueda compartirse legalmente con terceros. Cuando se confíe en esta experiencia práctica para llegar a la conclusión de que no se impedirá al importador de datos cumplir con estas Cláusulas, deberá apoyarse en otros elementos pertinentes y objetivos, y corresponderá a las Partes considerar cuidadosamente si estos elementos juntos tienen suficiente peso, en términos de su fiabilidad y representatividad, para apoyar esta conclusión. En particular, las Partes han de tener en cuenta si su experiencia práctica se ve corroborada y no contradicha por información fiable, públicamente disponible o accesible de otro modo, sobre la existencia o ausencia de solicitudes dentro del mismo sector y/o la aplicación de la ley en la práctica, como la jurisprudencia y los informes de organismos de supervisión independientes. ↑
- Cuando el exportador de datos sea un encargado del tratamiento sujeto al Reglamento (UE) 2016/679 que actúe en nombre de una institución u organismo de la Unión como responsable del tratamiento, la confianza en las presentes Cláusulas al contratar a otro encargado (subtratamiento) no sujeto al Reglamento (UE) 2016/679 también garantiza el cumplimiento del artículo 29, apartado 4, del Reglamento (UE) 2018/1725 del Parlamento Europeo y del Consejo, de 23 de octubre de 2018, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales por las instituciones de la Unión, órganos y organismos de la Unión y sobre la libre circulación de estos datos, y por el que se derogan el Reglamento (CE) n.º 45/2001 y la Decisión n.º 1247/2002/CE (DO L 295 de 21.11.2018, p. 39), en la medida en que estas Cláusulas y las obligaciones de protección de datos establecidas en el contrato u otro acto jurídico entre el responsable y el encargado del tratamiento de conformidad con el artículo 29, apartado 3, del Reglamento (UE) 2018/1725 estén alineadas. Este será el caso, en particular, cuando el responsable y el encargado del tratamiento se basen en las cláusulas contractuales tipo incluidas en la Decisión 2021/915. ↑
- El Acuerdo sobre el Espacio Económico Europeo (Acuerdo EEE) prevé la ampliación del mercado interior de la Unión Europea a los tres Estados del EEE: Islandia, Liechtenstein y Noruega. La legislación de la Unión en materia de protección de datos, incluido el Reglamento (UE) 2016/679, está cubierta por el Acuerdo EEE y se ha incorporado a su anexo XI. Por lo tanto, cualquier divulgación por parte del importador de datos a un tercero situado en el EEE no se considera una transferencia ulterior a efectos de las presentes cláusulas. ↑
- Este requisito podrá satisfacerse si el subencargado del tratamiento se adhiere a las presentes cláusulas en virtud del módulo correspondiente, de conformidad con la cláusula 7. ↑
- En lo que respecta al impacto de dichas leyes y prácticas en el cumplimiento de estas Cláusulas, se pueden considerar diferentes elementos como parte de una evaluación general. Dichos elementos pueden incluir la experiencia práctica pertinente y documentada con casos anteriores de solicitudes de revelación de información por parte de las autoridades públicas, o la ausencia de tales solicitudes, que abarquen un marco temporal suficientemente representativo. Esto se refiere, en particular, a los registros internos u otra documentación, elaborada de forma continua de conformidad con la diligencia debida y certificada a nivel de la alta dirección, siempre que esta información pueda compartirse legalmente con terceros. Cuando se confíe en esta experiencia práctica para llegar a la conclusión de que no se impedirá al importador de datos cumplir con estas Cláusulas, deberá apoyarse en otros elementos pertinentes y objetivos, y corresponderá a las Partes considerar cuidadosamente si estos elementos juntos tienen suficiente peso, en términos de su fiabilidad y representatividad, para apoyar esta conclusión. En particular, las Partes han de tener en cuenta si su experiencia práctica se ve corroborada y no contradicha por información fiable, públicamente disponible o accesible de otro modo, sobre la existencia o ausencia de solicitudes en el mismo sector y/o la aplicación de la ley en la práctica, como la jurisprudencia y los informes de organismos de supervisión independientes. ↑
[FRENCH] Terms of Service (AIP Now)
Effective May 23rd 2025
DownloadTable of Contents
Effective May 23rd 2025 to May 23rd 2025
DownloadTable of Contents
Effective May 23rd 2025 to May 23rd 2025
DownloadTable of Contents
[FRENCH] Data Protection Addendum (AIP Now)
Effective May 23rd 2025
DownloadTable of Contents
- "Pays adéquat" : un pays qui peut importer des données à caractère personnel et qui est considéré par l'autorité dirigeante du pays exportateur comme offrant un niveau adéquat de protection des données en vertu des lois sur la protection des données applicables ;
- On entend par "société affiliée" une entité qui, directement ou indirectement, possède ou contrôle une partie, ou est possédée ou contrôlée par elle, ou est sous propriété ou contrôle commun avec elle. Au sens des présentes, on entend par "contrôle" le pouvoir de diriger, directement ou indirectement, la gestion ou les affaires d'une entité et par "propriété" la propriété effective de plus de cinquante pour cent des titres de participation avec droit de vote ou d'autres intérêts avec droit de vote équivalents d'une entité. En ce qui concerne Palantir, la société affiliée comprend, sans s'y limiter, toutes les entités énumérées dans la pièce A, partie II, et toutes les autres sociétés affiliées de Palantir de temps à autre ;
- Le terme "achèvement" a la signification qui lui est donnée dans l'annexe D du présent DPA ;
- "Contrôleur" : l'entité qui détermine les finalités et les moyens du traitement des données à caractère personnel et comprend, le cas échéant, le terme "contrôleur", "entreprise" et tout autre terme similaire ou équivalent en vertu des lois sur la protection des données applicables ;
- "Données personnelles du client" : toutes les données personnelles contenues dans les données du client qui sont soumises aux lois sur la protection des données ;
- "Incident de données" : toute violation, telle que définie par les lois applicables en matière de protection des données, de la sécurité de Palantir entraînant la destruction, la perte, l'altération, la divulgation non autorisée ou l'accès accidentel ou illégal aux données personnelles du client sur les systèmes gérés ou contrôlés de quelque autre manière par Palantir ;
- "Autorité de protection des données" une autorité compétente chargée de veiller à l'application des lois pertinentes sur la protection des données, y compris, le cas échéant, toute autorité de protection des données, tout régulateur de la vie privée, toute autorité de contrôle, tout procureur général, toute agence nationale de protection de la vie privée ou tout organe ou agence gouvernemental chargé de l'application des lois sur la protection des données ;
- "Lois sur la protection des données" désigne toutes les lois et réglementations applicables, telles que modifiées de temps à autre, concernant la protection des données, la confidentialité des consommateurs, les communications électroniques et les lois sur le marketing, dans la mesure où elles s'appliquent au traitement des données personnelles du client par Palantir dans le cadre de l'accord, comme par exemple :
- Loi californienne sur la protection de la vie privée des consommateurs, Cal. Civ. Code § 1798.100 et seq. ("CCPA") ;
- Loi californienne de 2020 sur les droits à la vie privée ("CPRA") ;
- Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE ("GDPR UE") ;
- Le GDPR de l'UE tel que modifié et incorporé dans le droit britannique en vertu de la loi de 2018 sur l'Union européenne (retrait) du Royaume-Uni ("GDPR du Royaume-Uni") ; et
- La loi fédérale suisse sur la protection des données du 19 juin 1992, telle qu'elle a été remplacée et/ou mise à jour de temps à autre ("PFP").
- "Délégué à la protection des données" : la personne physique ou la société désignée, le cas échéant, en vertu des lois sur la protection des données applicables, pour garantir le respect de ces lois par une organisation et coopérer avec les autorités chargées de la protection des données ;
- La "personne concernée" est la personne identifiée ou identifiable à laquelle se rapportent les données à caractère personnel et comprend, le cas échéant, le terme "consommateur" et tout autre terme similaire ou équivalent en vertu des lois applicables en matière de protection des données
- "Date d'entrée en vigueur du DPA" : la date d'entrée en vigueur de l'accord ;
- "EEE" : Espace économique européen ;
- "Clauses contractuelles types de l'UE" : les clauses contractuelles types à utiliser pour les exportations de données à caractère personnel depuis l'EEE, approuvées par la Commission européenne en vertu de la décision d'exécution 2021/914 de la Commission, ou d'autres clauses qui les remplacent de temps à autre
- On entend par "données à caractère personnel" : (a) toute information concernant (i) une personne physique identifiée ou identifiable et/ou (ii) une entité juridique identifiée ou identifiable (lorsque cette information est protégée de la même manière que les données à caractère personnel ou les informations personnellement identifiables en vertu des lois sur la protection des données applicables), et (b) toute information traitée ou recevant un traitement similaire en tant que "données à caractère personnel", "informations à caractère personnel", "informations personnellement identifiables" ou tout autre terme similaire ou équivalent en vertu des lois sur la protection des données applicables ;
- Le "traitement" désigne toute opération ou tout ensemble d'opérations effectuées ou non à l'aide de procédés automatisés et appliquées à des données à caractère personnel, telles que la collecte, l'enregistrement, l'organisation, la structuration, la conservation, l'adaptation ou la modification, l'extraction, la consultation, l'utilisation, la divulgation par transmission, la diffusion ou toute autre forme de mise à disposition, le rapprochement ou l'interconnexion, la limitation, l'effacement ou la destruction. Les termes "traitement", "processus" et "traité" seront interprétés en conséquence ;
- Le terme "sous-traitant" désigne l'entité qui traite les données à caractère personnel pour le compte d'un contrôleur, y compris, le cas échéant, les termes "sous-traitant", "prestataire de services", "contractant" et tout terme équivalent ou similaire qui traite des mêmes responsabilités, ou de responsabilités similaires, en vertu des lois applicables en matière de protection des données, le cas échéant ;
- "Demande" : une demande émanant d'une personne concernée ou de toute personne agissant en son nom et visant à exercer ses droits en vertu des lois sur la protection des données
- "Transfert restreint" : transfert ou transfert ultérieur de données à caractère personnel à partir d'un pays où un tel transfert serait restreint ou interdit par les lois applicables en matière de protection des données (ou par les termes d'un accord de transfert de données mis en place pour traiter les restrictions de transfert de données des lois en matière de protection des données) sans mettre en œuvre des garanties telles que les clauses contractuelles types à établir en vertu de l'article 14 ci-dessous ;
- "Documentation de sécurité" : la documentation décrivant les normes de sécurité qui s'appliquent au service, telle qu'elle est fournie par Palantir ou en son nom de temps à autre ;
- "Vendre" ou "Vente" signifie vendre, louer, libérer, divulguer, diffuser, mettre à disposition, transférer ou communiquer de toute autre manière, oralement, par écrit, par voie électronique ou par d'autres moyens, les données à caractère personnel d'une personne concernée à un tiers à titre onéreux.
- Le terme "service" a la signification qui lui est donnée dans l'accord et dans le présent DPA.
- "Partager" signifie partager, louer, libérer, divulguer, diffuser, mettre à disposition, transférer ou communiquer de toute autre manière, oralement, par écrit ou par des moyens électroniques ou autres, les données à caractère personnel d'une personne concernée à un tiers à des fins de publicité comportementale inter-contexte, que ce soit ou non en échange d'une contrepartie monétaire ou d'une autre valeur, y compris les transactions dans lesquelles il n'y a pas d'échange d'argent ;
- "Sous-traitant" : tout sous-traitant ou prestataire de services qui traite des données à caractère personnel pour le compte de Palantir dans le but de fournir le service tel qu'il est défini dans l'accord, l'annexe A et toute autre annexe pertinente applicable de ce DPA.
- "Clauses contractuelles types" ou "CCS" signifie soit (a) les clauses types de protection des données approuvées conformément aux lois sur la protection des données du pays exportateur concerné pour légitimer les exportations de données à caractère personnel à partir de ce pays, soit (b) lorsque le pays exportateur concerné dispose de lois sur la protection des données qui réglementent l'exportation de données à caractère personnel mais pas de clauses types de protection des données approuvées, les CCAP de l'UE s'appliquent - dans chaque cas en incorporant les compléments appropriés, et lorsque plusieurs formes de ces clauses approuvées existent pour un pays donné, les clauses qui s'appliquent sont les suivantes : (i) pour toute situation où le client agit en tant que contrôleur des données personnelles du client, la forme de clauses s'appliquant aux transferts entre contrôleurs et sous-traitants ; et (ii) pour toute situation où le client agit en tant que sous-traitant des données personnelles du client, la forme de clauses s'appliquant aux transferts entre sous-traitants pour toute situation où le client agit en tant que sous-traitant des données personnelles du client, la forme de clauses s'appliquant aux transferts entre sous-traitants
- "Mesures techniques et organisationnelles" : les mesures techniques et organisationnelles convenues par les parties dans l'accord et toutes les mesures techniques et organisationnelles supplémentaires mises en œuvre par Palantir conformément à ses obligations en vertu des lois sur la protection des données applicables
Sous-traitants tiers autorisés | ||||
Sous-processeur | Objectif | Adresse du siège social | Localisation | Mécanisme de transfert |
Amazon Web Services, Inc. | Hébergement et infrastructure en nuage, services d'alerte et de notification cryptée et services d'IA | 410 Terry Avenue North, Seattle, WA 98109, USA | Tel que sélectionné par le client dans le bon de commande ou, le cas échéant, dans d'autres parties du contrat. | Clauses contractuelles types |
Microsoft Corporation | Hébergement et infrastructure en nuage, et services d'IA (Microsoft Azure) | One Microsoft Way Redmond, WA 98052, États-Unis | Le lieu de fourniture du service d'hébergement en nuage est celui choisi par le client dans le formulaire de commande ou, le cas échéant, dans d'autres parties du contrat. Le lieu de fourniture des services d'intelligence artificielle est l'est des États-Unis, le centre-sud des États-Unis, l'ouest de l'Europe et d'autres régions Azure au fur et à mesure de leur disponibilité. | Clauses contractuelles types |
Google LLC | Hébergement et infrastructure cloud (Google Cloud Platform) et services d'intelligence artificielle. | 1600 Amphitheatre Parkway Mountain View, 94043 CA, USA | Le lieu de fourniture du service d'hébergement en nuage est celui choisi par le client dans le formulaire de commande ou, le cas échéant, dans d'autres parties du contrat. Le lieu de fourniture des services d'IA est l'ensemble des régions disponibles pour les fonctionnalités d'IA générative sur Google Vertex AI et d'autres régions au fur et à mesure de leur disponibilité. | Clauses contractuelles types |
Proofpoint, Inc. | Service d'alerte et de notification cryptée. | 892 Ross Drive, Sunnyvale, CA 94089, USA | Tel que sélectionné par le client dans le bon de commande ou, le cas échéant, dans d'autres parties du contrat. | Clauses contractuelles types |
Microsoft Corporation | Authentification de l'utilisateur en tant que fournisseur d'identité (lorsque le client l'a choisi comme fournisseur d'identité). | One Microsoft Way Redmond, WA 98052, États-Unis | États-Unis | Clauses contractuelles types |
OpenAI LLC | Services d'IA | 3180 18th Street, San Francisco, CA 94110, USA | Le lieu de prestation du service d'IA peut être les États-Unis et d'autres régions en fonction des disponibilités. | Clauses contractuelles types |
Oracle America, Inc. | Hébergement et infrastructure en nuage. | 500 Oracle Parkway, Redwood Shores, CA 94065 | Tel que sélectionné par le client dans le bon de commande ou, le cas échéant, dans d'autres parties de l'accord. | Clauses contractuelles types |
Sous-traitants tiers autorisés | ||||
Sous-processeur | Objectif | Adresse du siège social | Localisation | Mécanisme de transfert |
Amazon Web Services, Inc. | Hébergement et infrastructure en nuage, services d'alerte et de notification cryptée | 410 Terry Avenue North, Seattle, WA 98109, USA | Tel que sélectionné par le client dans le bon de commande ou, le cas échéant, dans d'autres parties de l'accord. | Clauses contractuelles types |
Microsoft Corporation | Authentification de l'utilisateur en tant que fournisseur d'identité (lorsque le client l'a choisi comme fournisseur d'identité). | One Microsoft Way Redmond, WA 98052, États-Unis | États-Unis | Clauses contractuelles types |
- Lorsque l'exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d'une institution ou d'un organe de l'Union en tant que responsable du traitement, le recours à ces clauses lorsqu'il fait appel à un autre sous-traitant (sous-traitance secondaire) non soumis au règlement (UE) 2016/679 garantit également le respect de l'article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions de l'Union, organes et agences de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données énoncées dans le contrat ou autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l'article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera notamment le cas lorsque le responsable du traitement et le sous-traitant s'appuient sur les clauses contractuelles types incluses dans la décision 2021/915. ↑
- L'accord sur l'Espace économique européen (accord EEE) prévoit l'extension du marché intérieur de l'Union européenne aux trois États de l'EEE que sont l'Islande, le Liechtenstein et la Norvège. La législation de l'Union en matière de protection des données, y compris le règlement (UE) 2016/679, est couverte par l'accord EEE et a été incorporée à l'annexe XI de celui-ci. Par conséquent, toute divulgation par l'importateur de données à un tiers situé dans l'EEE n'est pas considérée comme un transfert ultérieur aux fins des présentes clauses. ↑
- Cette exigence peut être satisfaite par l'adhésion du sous-traitant ultérieur aux présentes clauses dans le cadre du module approprié, conformément à la clause 7. ↑
- En ce qui concerne l'impact de ces lois et pratiques sur le respect de ces clauses, différents éléments peuvent être pris en compte dans le cadre d'une évaluation globale. Ces éléments peuvent inclure une expérience pratique pertinente et documentée de cas antérieurs de demandes de divulgation de la part des autorités publiques, ou l'absence de telles demandes, couvrant une période suffisamment représentative. Il s'agit en particulier de registres internes ou d'autres documents, établis de manière continue conformément au principe de diligence raisonnable et certifiés au niveau de la direction générale, pour autant que ces informations puissent être légalement partagées avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l'importateur de données ne sera pas empêché de se conformer à ces clauses, elle doit être étayée par d'autres éléments pertinents et objectifs, et il appartient aux parties d'examiner attentivement si ces éléments ont, ensemble, un poids suffisant, en termes de fiabilité et de représentativité, pour étayer cette conclusion. En particulier, les parties doivent examiner si leur expérience pratique est corroborée et non contredite par des informations fiables, disponibles publiquement ou autrement accessibles, sur l'existence ou l'absence de demandes dans le même secteur et/ou sur l'application de la loi dans la pratique, telles que la jurisprudence et les rapports d'organismes de contrôle indépendants. ↑
- Lorsque l'exportateur de données est un sous-traitant soumis au règlement (UE) 2016/679 agissant pour le compte d'une institution ou d'un organe de l'Union en tant que responsable du traitement, le recours à ces clauses lorsqu'il fait appel à un autre sous-traitant (sous-traitance secondaire) non soumis au règlement (UE) 2016/679 garantit également le respect de l'article 29, paragraphe 4, du règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel par les institutions de l'Union, organes et agences de l'Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n° 45/2001 et la décision n° 1247/2002/CE (JO L 295 du 21.11.2018, p. 39), dans la mesure où les présentes clauses et les obligations en matière de protection des données énoncées dans le contrat ou autre acte juridique entre le responsable du traitement et le sous-traitant conformément à l'article 29, paragraphe 3, du règlement (UE) 2018/1725 sont alignées. Ce sera notamment le cas lorsque le responsable du traitement et le sous-traitant s'appuient sur les clauses contractuelles types incluses dans la décision 2021/915. ↑
- L'accord sur l'Espace économique européen (accord EEE) prévoit l'extension du marché intérieur de l'Union européenne aux trois États de l'EEE que sont l'Islande, le Liechtenstein et la Norvège. La législation de l'Union en matière de protection des données, y compris le règlement (UE) 2016/679, est couverte par l'accord EEE et a été incorporée à l'annexe XI de celui-ci. Par conséquent, toute divulgation par l'importateur de données à un tiers situé dans l'EEE n'est pas considérée comme un transfert ultérieur aux fins des présentes clauses. ↑
- Cette exigence peut être satisfaite par l'adhésion du sous-traitant ultérieur aux présentes clauses dans le cadre du module approprié, conformément à la clause 7. ↑
- En ce qui concerne l'impact de ces lois et pratiques sur le respect de ces clauses, différents éléments peuvent être pris en compte dans le cadre d'une évaluation globale. Ces éléments peuvent inclure une expérience pratique pertinente et documentée de cas antérieurs de demandes de divulgation de la part des autorités publiques, ou l'absence de telles demandes, couvrant une période suffisamment représentative. Il s'agit en particulier de registres internes ou d'autres documents, établis de manière continue conformément au principe de diligence raisonnable et certifiés au niveau de la direction générale, pour autant que ces informations puissent être légalement partagées avec des tiers. Lorsque cette expérience pratique est invoquée pour conclure que l'importateur de données ne sera pas empêché de se conformer à ces clauses, elle doit être étayée par d'autres éléments pertinents et objectifs, et il appartient aux parties d'examiner attentivement si ces éléments ont, ensemble, un poids suffisant, en termes de fiabilité et de représentativité, pour étayer cette conclusion. En particulier, les parties doivent examiner si leur expérience pratique est corroborée et non contredite par des informations fiables, disponibles publiquement ou autrement accessibles, sur l'existence ou l'absence de demandes dans le même secteur et/ou sur l'application de la loi dans la pratique, telles que la jurisprudence et les rapports d'organismes de contrôle indépendants. ↑
[KOREAN] Terms of Service (AIP Now)
Effective July 10th 2025
DownloadTable of Contents
1. 정의.
1.1 “계열사”란 효력 발생일 현재 및 그 이후 동안, 직접 또는 간접적으로 한 당사자를 소유 또는 지배하거나, 그 당사자에 의해 소유 또는 통제되거나, 그 당사자와 공동으로 소유 또는 지배되는 법인을 의미합니다.여기서 사용되는 “지배”는 한 법인의 경영 또는 업무를 직접 또는 간접적으로 지시하는 권한을 의미하며 “소유”는 법인의 의결권 있는 지분 또는 기타 동등한 의결권을 지니는 지분의 50%를 초과하여 실질적으로 보유하는 것을 의미합니다.
1.2 “계약”이란 본 팔란티어 AIP Now 서비스 이용약관과 그에 첨부되거나 부속된 문서, 조건, 고지, 운영 규칙, 정책(팔란티어 개인정보 처리방침을 포함함), 별첨, 일정표 또는 참조에 의하여 통합되거나 본 문서에 하이퍼링크로 연결된 문서(제13조에 따라 수시로 갱신될 수 있음)또는 웹사이트 또는 고객 계정에 수시로 게시할 수 있는 문서를 포함하며,주문 제출 양식을 포함한 팔란티어와 고객 간에 체결된 본 계약을 참조하는 모든 주문 문서를 총칭합니다.
1.3 “고객”이란 주문 제출 양식에 명시된 고객으로서 본 계약의 당사자이며, 귀하가 그 법적 대표자로서 본 계약의 조건에 동의하고 있는 고객을 의미합니다.
1.4 “고객 데이터”는 제3자로부터 직간접적으로 제공받거나 고객 또는 서비스 또는 웹사이트를 사용하는 사용자가 서비스 내 또는 서비스를 통한 통합, 사용 또는 기타 처리를 위해 생성한 모든 데이터(집계 또는 변환된 버전 및 분석 결과물 포함), 모델, 알고리즘, 분석, 변환 코드 또는 기타 콘텐츠를 의미합니다. 고객 데이터는 사용 데이터를 제외합니다.
1.5 “데이터 연결 소프트웨어”는 고객이 고객 데이터를 서비스에 연결하기 위해 로컬에 설치하도록 제공되는 팔란티어 소프트웨어를 의미합니다.
1.6 “문서”는 https://www.palantir.com/docs/ 에서 제공되는 서비스 관련 기술 문서를 포함하여 서비스와 관련하여 제공되는 모든 서비스 기술 문서를 의미하며, 팔란티어의 단독 재량에 따라 수시로 갱신될 수 있습니다.
1.7 “지식재산권”이란 영업 비밀, 특허, 저작권, 서비스표, 상표, 노하우, 상호, 제품의 외관 및 포장에 대한 권리, 인격권, 프라이버시권, 퍼블리시티권 및 기타 이와 유사한 권리에 대한 일체의 권리, 소유권 및 이익을 의미하며, 어떠한 정부기관, 규제기관 또는 상법기관의 법령 또는 규제에 따른 출원, 계속출원 또는 등록을 포함합니다,
1.8 “주문 제출 양식”이란 고객 정보를 포함하고 본 계약에 따라 제공될 서비스 및/또는 전문 서비스(해당되는 경우)를 명시하기 위해 귀하가 작성 및/또는 실행한 웹 기반 양식(또는 본 계약을 참조로 명시적으로 통합한 문서)으로, 귀하가 고객을 대신하여 팔란티어에 제출하는 것을 의미합니다.
1.9 “팔란티어”는 주문 제출 양식에 명시적으로 달리 명시되지 않는 한, (a) 고객의 주 사용 위치가 미국, 캐나다, 독일 연방 공화국, 네덜란드, 스페인, 오스트리아, 스위스, 프랑스, 이탈리아 또는 인도 공화국인 경우 Palantir Technologies Inc. 또는 (b) 고객의 주요 사용 위치가 영국인 경우 Palantir Technologies UK, Ltd.를 의미합니다. 전항에도 불구하고, (x) 고객의 최종 모기업의 본사(즉, 주요 영업소재지)가 대한민국에 위치한 경우, “팔란티어”는 Palantir Korea LLC를 의미합니다. (a), (b), (x)중 어느 것도 해당하지 않는 경우, “팔란티어”는 Palantir Technologies Inc.를 의미합니다.
1.10 “팔란티어 플랫폼”은 본 계약과 관련하여 고객에게 서비스로 제공되거나 제공 가능하도록 된 서비스, 문서, 데이터 연결 소프트웨어, 샘플 자료, 웹사이트, 모델 및 애플리케이션 프로그래밍 인터페이스(APIs) 및 이에 대한 모든 개선, 수정, 파생 저작물, 패치, 업그레이드 및 업데이트를 의미합니다.
1.11 “팔란티어 개인정보 처리방침”이란 웹사이트에서 제공되거나 주문 제출 양식을 통해 접근할 수 있는 모든 개인정보 관련 방침을 의미합니다.
1.12 “샘플 자료”는 샘플 코드, 소프트웨어 라이브러리, 명령줄 도구, 데이터 통합 코드, 템플릿 및 구성 파일을 포함하여 서비스와 함께 사용할 수 있도록 Palantir가 고객에게 제공하거나 제공 가능하도록 한 모든 기술 및 자료를 의미합니다.
1.13 “서비스”는 팔란티어 AIP Now(또는 주문 제출 양식에 명시될 수 있는 플랫폼)에 대한 서비스형 소프트웨어 액세스를 의미합니다.
1.14 “세금”이란 해당하는 모든 판매세, 사용세, 거래세, 부가가치세, 재화 및 용역세, 연계판매세, 원천징수세, 소비세 또는 이와 유사한 세금 및 모든 외국, 지방, 연방, 주 또는 지역 수수료 또는 요금, (환경 또는 유사한 수수료를 포함하되 이에 국한되지 않음) 관세, 수출입 통제 및 규정 준수 비용, 기타 정부 부과금 (본 계약에 따라 거래와 관련하여 부과되거나 이와 관련된 모든 벌금 및 이자 포함) 을 뜻합니다.
1.15 “제3자 콘텐츠”는 팔란티어가 고객의 전적인 재량에 따라 서비스와 연동하여 사용할 수 있도록 할 수 있는 모든 제3자 데이터, 서비스 또는 애플리케이션을 의미하며, 해당 제3자와 고객 간의 별도의 계약을 그 조건으로 합니다.
1.16 “제3자 서비스”는 문서에 명시된 대로(또는 양 당사자가 달리 합의한 대로) 팔란티어가 서비스 제공에 활용할 수 있는 제3자 서비스를 의미합니다.
1.17 “웹사이트”는 WWW.PALANTIR.COM 또는 전술한 하위 도메인을 포함한 기타 팔란티어의 소유 도메인 및 팔란티어가 웹사이트에서 또는 웹사이트를 통해 제공하는 모든 소프트웨어, 애플리케이션, 제품, 콘텐츠 및 서비스를 의미합니다.
2. 서비스 제공.
2.1 서비스 접속. 팔란티어는 제2.8조에 명시된 해제조건을 전제로, 해당 계약 기간 동안 고객 및 그 사용자가 본 계약의 약관 및 고객의 내부(및/또는 해당되는 경우 개인) 비즈니스 목적 또는 (해당하는 경우) 주문 제출 양식에 명시적으로 달리 제공된 대로만 사용할 수 있도록 고객에게 서비스를 제공합니다.
2.2 데이터 연결 소프트웨어 라이선스. 서비스 사용에 해당되는 경우, 그리고 이후 제2.8조에 명시된 해제조건에 따라, 팔란티어는 서비스 사용 및 접속만을 목적으로 데이터 연결 소프트웨어를 사용할 수 있는 비독점적이고 양도 불가하며 서브라이선스할 수 없는 제한적 사용권을 계약 기간 동안 고객에게 부여합니다. 고객은 서비스 제공을 위해 필요한 경우 팔란티어가 데이터 연결 소프트웨어에 원격으로 접속하는 것을 허용해야 합니다.
2.3 샘플 자료 라이선스. 팔란티어는 계약기간 동안 고객이 사용할 수 있도록 샘플 자료를 제공할 수 있습니다. 해당되는 경우, 그리고 이후 제2.8조에 명시된 해제조건에 따라, 팔란티어는 고객의 서비스 사용에 필요한 범위 내에서만 샘플 자료를 복사, 수정 및 사용할 수 있는 비독점적이고 양도 불가하며 서브라이선스할 수 없는 제한적 사용권을 계약 기간 동안 고객에게 부여합니다.
2.6 서비스 수준 및 지원. 계약 기간 동안 팔란티어는 본 계약에 따라 어떠한 지원 서비스도 제공할 의무가 없습니다. 본 계약은 귀하 또는 고객에게 향후 언제든지 팔란티어 플랫폼에 대한 업데이트 또는 업그레이드 또는 팔란티어가 개발한 팔란티어 플랫폼의 확장 또는 개선에 대한 어떠한 권리도 부여하지 않습니다. 팔란티어는 지원 서비스를 별도로 제공할 수 있습니다. 지원 서비스의 일부로 팔란티어가 귀하 또는 고객에게 제공하는 모든 추가 소프트웨어 코드 또는 관련 자료는 팔란티어 플랫폼의 일부로 간주되며, 이에 본 계약상의 조건이 적용됩니다.
2.7 전문 서비스. 팔란티어는 주문 제출 양식에 명시된 대로 고객에게 구현, 활성화, 교육 또는 기타 전문 서비스(“전문 서비스”)를 제공하며 그에 따른 이용료가 부과됩니다. 주문 제출 양식에 전문 서비스가 명시되지 않은 경우, 팔란티어는 재량에 따라 (별도의 계약이 없는 한 그렇게 할 의무 없이) 고객에게 전문 서비스를 제공할 수 있습니다. 전문 서비스의 수행은 본 계약에 따라 팔란티어가 제공하는 팔란티어 플랫폼 및 기타 자료의 소유권에 영향을 미치지 않습니다.
2.8 팔란티어 컴플라이언스 요건. 고객이 팔란티어 컴플라이언스 요건을 충족하지 못했다고 팔란티어가 재량으로 판단하는 경우, 제2.1조, 2.2조 및 2.3조에 따른 팔란티어의 의무(해당 조항에 따른 접속 권한 및 라이선스 부여 포함)는 고객이 팔란티어 컴플라이언스 요건을 충족하지 못했다고 판단하는 즉시 종료됩니다. 팔란티어는 고객이 서비스에 접속한 이후를 포함하여 언제든지 고객의 팔란티어 컴플라이언스 요건 만족도를 평가 (및 재평가) 할 수 있습니다. 또한, 고객의 서비스 및/또는 모든 팔란티어 플랫폼에 대한 지속적인 접속은 팔란티어의 재량으로 고객이 팔란티어 컴플라이언스 요건을 충족한다고 판단하는 것을 조건으로 합니다. “팔란티어 컴플라이언스 요건”은 고객과의 본 계약에 따른 이행이 팔란티어의 전적인 재량으로 판단될 떄, (i) 미국의 수출통제규정(미국 수출관리규정 포함) 또는 기타 관할권의 적용 가능한 수출통제법령을 위반하지 않고, (ii) 팔란티어가 제3자와 체결한 계약상 의무를 위반하거나 기타 위반에 해당하지 않으며, (iii) 팔란티어가 미국 재무부가 정의한 특별 지정 국민 또는 미국 정부기관이 관리하는 유사한 차단 또는 금지 대상자에게 재화, 지원 또는 서비스를 제공하는 것을 금지하는 법률을 위반하지 않고, (iv) 미국 및 기타 관련 관할권의 수출 및 제재 관련 법령 및 규정(미국 산업안보국(Bureau of Industry and Security) 및 해외자산통제국(Office of Foreign Assets Control)의 규정을 포함하되 이에 한정되지 않음)에 따른 팔란티어의 의무를 위반하지 않으며, (v) 그 밖에 팔란티어의 정책이나 가치에 반하지 않는 경우를 의미합니다. 팔란티어는 필요에 따라 언제든지 단독 재량에 따라 팔란티어 컴플라이언스 요건의 정의를 수정할 권리를 가집니다.
3. 고객의 서비스 사용.
(a) 고객이 기업, 조직 또는 교육 기관과 같이 자연인이 아닌 법인인 경우, 고객은 본 계약에 따라 허용된 목적을 위하여, (1) 임직원, (2) 계약 인력, (3) 주문 제출 양식에 명시된 기타 사용자(계열사의 임직원 또는 계약 인력 포함), 및/또는 (4) 고객의 클라이언트 (“승인된 제3자”)를 위해 서비스에 접속할 수 있는 계정(“계정”)을 최대 5개까지 부여할 수 있습니다. 이들은 본 계약 제3.1(a)(i) 내지 (vi)항에 명시된 추가 조건의 적용을 받으며, 총칭하여 “사용자”라 합니다 :
(i) 고객은 승인된 제3자에게, 고객의 사업 목적과 관련하여 고객이 승인된 제3자에게 제공하는 서비스를 사용하기 위한 목적으로만, 서비스에 대한 접속을 허용할 수 있습니다. 오해의 소지를 방지하기 위하여, 승인된 제3자는 고객이 제공하는 서비스와 무관한 자체 사업 목적으로 서비스에 접속할 수 없습니다.
(ii) 서비스에 대한 승인된 제3자의 접속은 고객이 팔란티어 플랫폼을 사용하여 구축한 고객 프론트엔드 애플리케이션으로 엄격하게 제한되며, 승인된 제3자는 데이터를 팔란티어 플랫폼에 직접 투입하는 것이 금지됩니다. 단, 고객은 위의 (i)항에 따라 승인된 제3자의 데이터를 팔란티어 플랫폼에 투입할 수 있습니다.
(iii) 승인된 제3자의 접속은 본 계약의 모든 제한 및 의무의 적용을 받으며, 고객은 승인된 제3자의 위반 또는 침해에 대한 모든 책임과 의무를 집니다. 고객은 팔란티어가 고객에게 별도로 제공한 변경되지 않은 접속 조건에 한하여 승인된 제3자에게 접속을 가능하게 할 수 있습니다.
(iv)승인된 제3자의 사용에는 본 계약에 명시된 이용료가 적용됩니다.
(v) 고객은 고객이 구축한 프론트엔드 애플리케이션과 관련하여 승인된 제3자를 지원할 책임이 있으며, 승인된 제3자가 모든 지원 요청을 고객에게 제출해야 한다는 내용을 포함하는 지원 정책을 유지해야 합니다. 단, 고객은 고객이 해결할 수 없는 승인된 제3자가 식별한 팔란티어 플랫폼 문제에 대해서는 팔란티어에게 상신할 수 있고, 팔란티어는 팔란티어가 지정한 지역의 정상 근무시간 중에 그러한 상신 사항에 대하여 고객에게 합리적인 수준의 지원을 제공합니다.
(vi)고객은 팔란티어가 고객에게 제공한 팔란티어의 금지 국가 목록에 명시된 국가(각각 “금지 국가”)에서 팔란티어 플랫폼에 접속해서는 안 되며 승인된 제3자로 하여금 접속하도록 허용해서도 안 됩니다.
(b) 고객이 자연인인 경우, 고객은 자연인(이때 각 자연인은 사용자로 간주됩니다)에게만 계정을 부여할 수 있으며, 그 수는 최대 5개로 제한됩니다. 해당 사용자들은 데이터가 관련 법령, 규정 또는 해당 사용자와의 계약에 따라 고객이 사용 및/또는 처리할 수 있도록 허용하기 위해 필요한 모든 동의, 인가, 승인 및/또는 합의를 고객에게 제공한 자이어야 하고, 팔란티어와 본 계약의 조건과 실질적으로 유사한 이용약관에 동의한 자이어야 합니다. 단, 고객이 승인된 사용자(또는 주문 제출 양식에 명시된 대로, 그와 동등한 사용자)로서 다른 팔란티어 고객의 서비스 건에 접속하는 자연인인 경우(이러한 다른 팔란티어 고객은 “주 사용자”로 정의함), 해당 고객은 어떠한 계정도 제공할 수 없습니다. 고객은 (i) 계정 관리, (ii) 계정을 보호하기 위한 업계 표준 보안 조치 사용(다중 인증 사용을 포함하되 이에 국한되지 않음), (iii) 계정에서의 모든 활동 및 계정에서의 그러한 활동 모니터링(그러한 모니터링이 본 계약의 다른 조항 또는 관련 법률을 위반하지 않는 범위 내에서만), 그리고 (iv) 팔란티어 플랫폼 및/또는 계정과 관련된 사용자의 행위 및 부작위에 대한 책임이 있습니다. 고객은 계정의 침해 또는 무단 사용 사실을 인지하는 즉시 해당 계정을 비활성화하여야 하며 (그러한 경우 해당 침해 또는 무단 사용 사실을 팔란티어에 지체 없이 통지하여야 하며), 또는 팔란티어가 합리적으로 요청하는 경우에도 고객은 해당 계정을 비활성화하여야 합니다.
3.2 데이터 보호. 양 당사자는 https://palantir.pactsafe.io/aip-now-6493.html#aip-now-dpa-022795 에서 제공되는 팔란티어 데이터 보호 부록(“DPA”)을 준수해야 합니다. 고객은 고객 데이터의 정확성, 내용 및 적법성에 대해 전적으로 책임을 지며 고객 데이터를 서비스에 통합할 때 데이터 현지화 요건을 포함하되 이에 국한되지 않는 관련 법률 및 규정을 준수해야 합니다. 고객과 관련하여 컨트롤러(DPA에 정의된 바와 같이)로서의 팔란티어의 역할에는 http://www.palantir.com/aip-now-statement 에서 제공되는 AIP Now 개인정보 처리방침이 적용되며 이는 본 계약에 참조로 통합됩니다.
4. 허용 가능한 사용.
4.1 관련 법률. 귀하와 고객은 서비스 및 웹사이트에 대한 접속 및 사용과 관련하여, 미국의 관련 법률 또는 귀하 또는 고객이 위치한 관할권, 고객 데이터를 참조하여 (직간접적으로) 식별할 수 있는 자연인(각각 “데이터 주체”)이 위치한 관할권 또는 고객 데이터가 저장된 관할권에서 적용되는 기타 법률을 위반하지 않으며 그러한 준수를 보장하는 것은 전적으로 귀하와 고객의 책임입니다. 팔란티어는 때때로 허용 가능한 사용 정책, 커뮤니티 가이드라인 또는 이와 유사한 정책을 제공할 수 있으며, 이는 제14조에 명시된 업데이트 정책에 따라 본 계약의 일부가 됩니다.
4.2 경쟁적 사용. 고객은 팔란티어 플랫폼과 유사하거나 경쟁적인 제품 또는 서비스를 구축하거나 제공할 목적으로 팔란티어 플랫폼을 사용, 접속, 평가 또는 열람해서는 안 됩니다.
4.3 수출 통제. 팔란티어 플랫폼은 미국 수출 관리 규정과 같은 미국의 무역 통제 규정 또는 본 계약 제15조에 언급된 수출 및 제재 법률 및 규정을 포함하여 기타 관할권에서 적용되는 기타 수출 통제법의 적용을 받을 수 있습니다. 고객은 미국 또는 기타 해당 관할권의 수출 통제 또는 기타 무역 통제를 위반하여 팔란티어 플랫폼을 사용할 수 없습니다. 여기에는 다음 금지 사항이 포함되며 이에 국한되지 않습니다:
(a) 고객은, 고객이 미국 재무부에서 정의한 특별 지정 국민 또는 미국 정부 기관에서 관리하는 유사한 차단 또는 금지 대상자의 대리로 활동하는 경우, 서비스를 사용하거나 이에 접속할 수 없습니다.
(b) 고객은 미국 국무부에서 관리하는 국제무기거래규정(ITAR)의 적용을 받는 활동을 수행하기 위해 서비스를 사용하거나 이에 접속할 수 없으며, 여기에는 ITAR이 통제하는 데이터 수집이 포함되나 이에 국한되지 않습니다.
4.4 PII 및/또는 PHI의 사용. 고객이 서비스와 관련하여 관련 법률에 정의된 대로 개인 식별 정보(“PII”), 개인 데이터, 개인 정보 또는 보호 건강 정보(“PHI”)를 사용하거나 사용할 것으로 예상되는 경우, 고객은 (a) 주문 제출 양식에서 해당 옵션이 제공되는 경우 그러한 (예상) 사용을 표시하고 서비스에 접속하거나 이를 사용하기 전에 비즈니스 제휴 계약을 체결해야 하며 (b) https://www.palantir.com/docs/foundry/security/overview/ 에서 제공되는 문서에 설명된 민감정보 보호를 위한 관련 지침 및 모범 사례를 따라야 합니다. 오해의 소지를 방지하기 위하여, 본 조에서는 주문 제출 양식에서 명시적으로 그러한 사용을 허용하지 않는 경우 서비스와 관련하여 앞서 언급한 정보를 사용할 수 있는 권한을 고객에게 부여하지 않습니다.
4.5 사용 사례 제한. 고객은 https://palantir.pactsafe.io/#ucr-985315에서 제공되는 팔란티어 사용 사례 제한을 준수해야 하며, 이는 팔란티어 플랫폼 사용과 관련하여 본 계약에 참조로 통합됩니다.
4.6 감사 권한. 고객은 제3.2조(데이터 보호), 4조(허용 가능한 사용), 5.3조(제한), 6조(비밀유지) 및 7조(이용료 및 지불)의 준수를 포함하되 이에 국한되지 않는 고객의 본 계약 준수 여부를 확인하기 위해, 팔란티어가 고객의 서비스 사용을 감사할 수 있음에 동의합니다. 팔란티어가 고객의 본 계약 위반을 인지하거나 합리적으로 의심하는 경우, 사전에 합리적인 통지를 제공한 후 팔란티어는 고객의 본 계약 준수, 고객의 팔란티어 플랫폼 사용, 고객의 소프트웨어 모니터링 시스템 및 기록을 감사할 수 있으며, 이러한 감사는 고객의 정규 업무 시간 중에 수행됩니다. 그러한 감사를 통해 고객이 본 계약을 위반한 것으로 합리적으로 판단되는 경우, 팔란티어는 제8.2조에 따른 해지 권한 및/또는 제8.4조에 따른 서비스 정지 권한을 행사할 수 있으며, 고객은 본 계약 및/또는 관련 법률에 따라 팔란티어가 받을 수 있는 기타 수수료, 손해배상, 벌금 또는 구제책과 더불어 해당 감사에 대한 합리적인 비용을 부담해야 합니다. 오해의 소지를 방지하기 위하여, 팔란티어가 제8.2조에 따른 계약 해지권 또는 제8.4조에 따른 서비스 정지 권한을 행사할 수 있는 요건이 충족되는 경우, 팔란티어가 감사를 개시하는 것이 해당 권리의 행사에 대한 선행조건이 되는 것은 아닙니다. 또한, 팔란티어가 감사를 개시하기로 결정하는 것은, 제 8.2조 또는 제8.4조에 따른 권리를 행사할 수 있는 요건이 충족되는 경우, 해당 권리를 행사할 수 있는 팔란티어의 권한을 제한하지도 않습니다.
5. 독점적 권리.
5.3 제한 사항. 고객은 다음을 수행할 수 없으며 제3자에게도 이를 허용하지 않습니다: (a) 서비스 또는 웹사이트 또는 인프라 또는 그 요소에 대한 무단 접속을 하거나 이를 시도하거나 서비스 또는 웹사이트의 인증 또는 보안 조치를 우회하거나 방해하는 행위, (b) 서비스 또는 웹사이트의 무결성 또는 성능을 방해하거나 방해하는 행위, (c) 다른 고객의 데이터에 접근하거나 접근하려고 시도하는 행위, (d) 다른 고객의 서비스 사용 능력에 부정적인 영향을 미치는 행위; (e) 서비스 또는 웹사이트를 통해 소프트웨어 바이러스 또는 기타 유해하거나 해로운 컴퓨터 코드, 파일, 스크립트, 에이전트 또는 프로그램이 포함된 자료를 전송하는 행위 (f) 팔란티어 플랫폼의 소스 코드 또는 기본 아이디어 또는 알고리즘을 디컴파일, 분해, 스캔, 리버스 엔지니어링 또는 발견하려는 시도 (단, 관련 법률에 따라 이러한 리버스 엔지니어링 제한이 명시적으로 금지되는 범위 내에서는 예외로 하며, 그러한 경우에도 팔란티어에 사전 서면 통지를 한 경우에 한함); (g) 제3자의 이익을 위해 서비스를 제공, 임대, 대여, 시분할 또는 서비스 사무국 목적으로 사용하거나 다른 사람이 서비스를 사용하거나 사용하도록 허용하는 행위 (h) 본 계약에서 명시적으로 허용하지 않는 목적으로 서비스 또는 웹사이트를 사용하는 행위; (i) 고객의 서비스 사용에 필요한 범위 내에서 샘플 자료를 제외한 모든 팔란티어 플랫폼의 코드를 나열하거나 달리 표시 또는 복사하는 행위; (j) 고객의 서비스 사용에 필요한 범위 내에서 샘플 자료를 제외한 모든 팔란티어 플랫폼(또는 그 구성 요소)을 복사하거나 그 개선, 수정 또는 파생 작업을 개발하는 행위; (k) 다른 서비스, 장비 또는 품목에 팔란티어 플랫폼의 일부를 포함시키는 행위 (l) 팔란티어 플랫폼 (또는 그 일부) 또는 팔란티어 기술 데이터의 전송, 전송(온라인, 전자 전송 또는 기타 통신을 통해 대중에게 제공하는 것을 포함하되 이에 국한되지 않음), 수출 또는 재수출을 허용하는 행위; (m) 팔란티어가 승인하지 않는 한 서비스에 대한 침투 테스트를 수행하는 행위; (n) 팔란티어 플랫폼과 유사하거나 경쟁적인 제품 또는 서비스를 구축하거나 제공할 목적으로 팔란티어 플랫폼에 대해 사용, 접속, 평가 또는 열람하는 행위; (o) 모든 저작권 고지, 상표, 로고 및 상호, 기타 고지(제3자 오픈 소스 또는 유사한 라이선스 포함) 또는 식별을 제거, 모호하게 하거나 변경하거나 기타 방식으로 위반하는 행위, 또는 팔란티어 플랫폼 및 관련 미디어에 표시되는 모든 저작권 고지, 상표, 로고 및 상표명, 기타 고지(제3자 오픈 소스 또는 유사한 라이선스 포함)의 조건을 위반하는 행위; (p) 사기 또는 허위 진술(주문 제출 양식에 대한 응답으로 사기 또는 오해의 소지가 있는 정보를 제공하는 것을 포함하되 이에 국한되지 않음)에 관여하거나 이를 진행하기 위해 웹사이트 또는 팔란티어 플랫폼을 사용하는 경우; 또는 (q) 스팸 활동 또는 커뮤니케이션에 관여하거나 지원할 목적으로 서비스를 사용하거나 이에 접속하는 경우 또는 비원조 포르노 및 마케팅 공격 통제법(15 U. C. § 7701)을 위반하는 마케팅 활동 또는 커뮤니케이션을 하는 경우(15.S.C. § 7701 이하), 전화 소비자 보호법(47 U.S.C. § 227) 및 스팸을 금지하거나 마케팅 자료 및/또는 통신의 전송을 규제하는 기타 모든 관련 법률을 위반하는 경우. 전술한 내용 또는 본 계약상의 어떠한 상반되는 계약 내용에도 불구하고, 제3자 콘텐츠는 해당 커뮤니티 및 제3자로부터 제공된 고지 사항 및 오픈 소스 또는 이와 유사한 라이선스와 함께 제공될 수 있으며, 고객은 그러한 부분의 사용에 적용되는 모든 라이선스의 조건에 구속되고 이를 완전히 준수할 것에 동의합니다. 다만, 본 계약에 따른 보증의 부인 및 책임 제한 조항은 모든 제3자 콘텐츠에 적용됩니다.
6. 비밀 유지. 각 당사자(“수령 당사자”)는 상대 당사자(“공개 당사자”)의 모든 비밀 정보를 엄격하게 비밀로 유지해야 하고, 본 계약의 목적 외에는 그러한 비밀 정보를 사용해서는 안 되며, 수령 당사자의 이사, 직원, 대리인, 변호사, 회계사, 하청업체 또는 본 계약에 따라 최소한 그와 같은 제한적인 비밀 유지 의무가 있는 기타 대표자(“승인된 대표자”)에게 공개하는 것 외에 제3자에게 공개해서는 안 됩니다. 수령 당사자는 자신의 비밀 정보 공개를 방지하기 위해 사용하는 것과 최소한 동일한 수준의 주의를 기울여야 하며, 어떠한 경우에도 합리적인 주의보다 낮은 주의를 기울여서는 안 됩니다. 수령 당사자는 유효한 법원 또는 정부 명령이 요구하는 범위 또는 관련 법률이 요구하는 범위 내에서 계약의 의무를 위반하지 않고 비밀 정보를 공개할 수 있으며, 수령 당사자가 (a) 공개 당사자에게 그러한 공개에 대한 합리적인 사전 서면 통지를 제공하고, (b) 공개를 제한하고 공개 당사자가 절차에 참여할 수 있도록 허용하면서 공개를 방지 또는 제한하는 비밀 취급 또는 보호 명령을 획득하거나 획득하도록 지원하기 위해 합리적인 노력을 기울이는 경우, 공개 당사자는 공개를 제한하는 데 필요한 범위 내에서 공개를 할 수 있습니다. “비밀 정보”는 (i) 팔란티어의 경우, 팔란티어 플랫폼(이와 관련된 모든 정보 포함), (ii) 고객의 경우, 고객 데이터, (iii) 공개되는 정보의 성격 또는 공개 방식에 따라 합리적인 사람이 비밀로 이해할 수 있는 기타 모든 정보를 의미하며, 각 경우에 모든 형태(전자 또는 구두 포함) 및 발효일 전, 당일 또는 이후에 제공된 것인지 여부에 관계없이 비밀로 이해될 수 있는 모든 정보를 의미합니다; 단, 비밀 정보에는 다음 각 호에 해당하는 정보는 포함되지 않습니다: (1) 수령 당사자 또는 승인된 대표자의 행위 또는 부작위 없이 공공 영역의 일부가 되었거나 되는 정보; (2) 비밀 유지 의무 없이 효력 발생일 또는 공개 당사자가 정보를 공개한 시점 중 더 이른 시점에 수령 당사자가 이미 알고 있었던 정보(서면 기록에 의해 입증되는 경우) ; (3) 제3자 공개자가 비밀 유지 의무를 위반하지 않고, 공개 또는 사용에 대한 제한 없이, 효력 발생일 이전에 다른 출처로부터 수령 당사자에게 정당하게 공개된 정보; (4) 수령 당사자가 그러한 정보가 비밀 정보를 사용하거나 참조하지 않고 독자적으로 개발되었음을 서면 증거로 입증할 수 있는 정보. 수령 당사자는 본 조에 따라 비밀 정보의 공개가 허용된 개인 또는 단체가 본 조항을 위반하는 경우 이에 대한 책임을 집니다. 비밀 정보와 관련한 수령 당사자의 의무는 본 계약이 해지된 후에도 5년 동안 존속하며, 단, 본 계약에 따른 수령 당사자의 의무는 해당 비밀정보가 관련 법률상 영업비밀에 해당하는 경우, 계약 종료 이후에도 존속하며 관련 법률이 허용하는 한도 내에서 영구적으로 계속 유효합니다.
7. 이용료 및 지불; 세금. 서비스는 고객에게 접속을 제공하거나 고객의 이익을 위해 제공되는 것으로 간주됩니다. 주문 제출 양식에 명시된 고정 이용료가 있는 경우 해당 이용료는 선불로 청구되고 지불하거나, 또는 주문 제출 양식에 달리 명시된 대로 지불해야 합니다. 주문 제출 양식에 명시된 사용량 기반 이용료(주문 제출 양식에 명시된 해당 포함 사용량을 초과하여 지불해야 하는 경우 포함)는 주문 제출 양식에 명시된 사용 요금에 따라 계산되며(해당하는 경우) 분기별로 연체료로 청구되어지불하거나, 또는 주문 제출 양식에 달리 명시된 대로 지불해야 합니다. 모든 지불은 해당 청구서에 명시된 통화 또는 양 당사자가 합의한 기타 지불 방법(주문 제출 양식에 명시된 것을 포함)을 통해, 해당 청구서 발행일로부터 삼십(30) 일 이내에 팔란티어가 지정한 계좌로 전신 송금을 통해 이루어져야 합니다. 모든 연체료에는 지불해야 할 금액의 월 1.5% 또는 관련 법률에서 허용하는 최대 이자 중 적은 금액에 해당하는 서비스 이용료가 부과됩니다. 주문 제출 양식에 달리 명시되지 않는 한, 이용료는 관련 세금(팔란티어의 순이익에 대한 세금 또는 순이익에 의해 측정된 세금 제외)을 제외한 금액입니다. 고객은 본 계약에 따라 발생하는 모든 세금에 대한 책임을 지며, 해당 세금 납부 후 팔란티어가 수령하는 금액이 주문 제출 양식에 명시된 이용료보다 적지 않도록 해야 합니다. 이중 과세 방지 협정이 적용되어 원천징수세율이 0% 또는 인하된 세율이 적용되는 경우, 고객은 (a) 원천징수세율이 0%인 경우에는 세금을 원천징수하지 않고 (b) 이중 과세 방지 협정에 따라 인하된 세율로 원천징수할 것에 동의합니다.
8. 계약 기간 및 해지; 정지.
8.1 계약 기간; 임의 해지. 주문 제출 양식에 달리 명시되지 않는 한, 본 계약은 발효일로부터 효력이 발생하며 본 계약에 따라 해지될 때까지 까지 효력이 지속됩니다(“계약 기간”). 단, 고객이 승인된 사용자(또는 주문 제출 양식에 명시된 대로, 그와 동등한 사용자)로서 주 사용자의 서비스 인스턴스에 접속하는 자연인인 경우, 주 사용자의 서비스 접속 권한이 만료되거나 해지될 때까지 계약 기간은 계속 유효합니다. 전술한 내용에도 불구하고 주문 제출 양식에 달리 명시된 경우 “계약 기간”은 발효일로부터 주문 제출 양식에 명시된 기간이 만료될 때까지의 기간을 의미합니다. 팔란티어는 고객에게 해지 60일 전에 사전 통지함으로써 본 계약을 임의로 해지할 수 있습니다.
8.2 정당한 사유에 의한 해지. 각 당사자의 다른 권리를 제한하지 않고, 각 당사자는 (a) 상대방이 본 계약의 어떠한 조항이라도 중대하게 위반하고, 비위반 당사자가 해당 위반에 대해 서면으로 통지한 날로부터 30일 이내에 위반을 시정하지 않거나(이때, 시정 사실에 대해 비위반 당사자에게 합리적인 서면 통지를 제공하지 않은 경우)또는 (b) 상대방 당사자가 파산, 회생절차 또는 유사한 절차에 따라 보호를 요청하거나 그러한 절차가 해당 당사자를 상대로 개시되고 90일 이내에 기각되지 않은 경우, 이를 사유로 본 계약을 해지할 수 있습니다. 본 계약에 배타적 구제책이 명시된 경우를 제외하고, 본 조항에 따른 당사자의 해지권 행사는 본 계약 또는 법률에 따라 가질 수 있는 다른 구제책에 영향을 미치지 않습니다. 고객이 제8.2(a)항에 따른 사유로 인해 본 계약을 해지하거나 고객이 8.4(c)항(서비스의 정지)에 명시된 팔란티어 컴플라이언스 요건을 충족하지 못하여 팔란티어가 이를 사유로 본 계약을 해지하는 경우, 팔란티어는 해지 발효일을 기준으로 사용하지 않은 서비스에 대해 선불로 지불한 요금 중 잔여 금액을 일할 계산하여 환불합니다.
8.3 해지의 효과. 아래에 구체적으로 명시된 경우를 제외하고 본 계약이 해지 또는 만료되는 경우, 팔란티어 플랫폼에 부여된 고객의 모든 권리, 접속권 및 사용권은 즉시 종료되며 고객은 모든 데이터 연결 소프트웨어, 샘플 자료 및 문서, 기타 모든 팔란티어 비밀정보를 즉시 반환 또는 파기해야 하며, 팔란티어의 서면 요청 시 해당 요청일로부터 10일 이내에 상기 조치를 이행하였음을 서면으로 증명해야 합니다. 본 계약의 해지 또는 종료 시, 고객의 요청이 있는 경우 고객은 본 계약의 조건에 따라 고객 데이터를 회수할 목적으로만 삼십(30) 일 동안 서비스에 접속할 수 있습니다. 팔란티어는 그 이후 모든 고객 데이터를 삭제해야 합니다. 전술한 내용에도 불구하고, 팔란티어는 본 계약의 다른 조건에 따라 보안 목적으로만 고객 데이터(IP 주소, 사용자 이름, 로그인 시도 및 검색 쿼리와 같은 보안 관련 정보 제외)를 제외한 서비스 보안과 관련된 사용 정보 및 메타데이터를 마지막으로 기록된 이벤트 이후 2년 동안 보유할 수 있습니다. 본 계약의 해지 또는 종료는 해지 또는 종료의 효력 발생일 이전에 발생한 권리 또는 의무(결제 의무를 포함하되 이에 국한되지 않음)를 제한하거나 영향을 미치지 않습니다. 제1조, 제4조(단, 제4.5조 제외), 제5조, 제6조, 제7조, 제8조, 제9조, 제10조, 제12조, 제13조, 제14조 및 제15조는 본 계약이 해지되거나 종료된 이후에도 그 효력이 존속됩니다.
8.4 서비스 정지. 팔란티어가 합리적으로 판단하는 경우: (a) 귀하가 고객을 대신하여 고객을 본 계약에 구속할 권한이 없는 경우(본 계약 서문의 명시적 진술 및 보증을 위반하는 경우), (b) 고객의 서비스, 팔란티어 플랫폼 또는 웹사이트 사용이 관련 법률을 위반하거나 본 계약의 중요한 조항(3.2조(데이터 보호), 4조(허용 가능한 사용), 5.3조(제한), 6조(비밀 유지) 및 7조(이용료 및 지불) 포함), (c) 고객이 팔란티어 컴플라이언스 요건을 충족하지 않는 경우, 또는 (d) 고객이 제11조에 명시된 보증을 위반한 경우, 팔란티어는 웹사이트 및/또는 팔란티어 플랫폼의 전체 또는 일부에 대한 고객의 접속 권한을 비활성화, 정지 또는 종료할 수 있는 권리를 보유합니다.
9. 면책 의무.
9.1 팔란티어의 면책 의무. 팔란티어는 본 계약의 조건에 따른 고객의 팔란티어 플랫폼 사용에 근거하여 제3자가 고객을 상대로 제기하는 지식재산권의 침해 또는 위반에 대한 모든 청구로부터 고객을 방어하고, 그러한 청구 또는 합의에 대해 관할 법원의 항소 불가 명령에 따라 최종적으로 고객에게 부여된 합리적인 비용, 변호사 비용 및 손해(있는 경우)로부터 고객을 면책하고 해를 입히지 않도록 해야 합니다. 고객의 팔란티어 플랫폼 사용이 위에 명시된 침해 유형으로 인해 관할 법원에 의해 금지 명령을 받았거나 그럴 가능성이 있다고 팔란티어가 판단하는 경우 또는 팔란티어가 서면으로 승인한 합의에 의해 요구되는 경우, 팔란티어는 단독 재량으로 다음과 같은 조치를 취할 수 있습니다: (a) 실질적으로 기능적으로 유사한 제품 또는 서비스로 대체, (b) 고객에게 팔란티어 플랫폼을 계속 사용할 수 있는 권리를 부여, (c) (a) 및 (b)의 사항이 상업적으로 실행 불가능하다고 합리적으로 판단하는 경우, 본 계약을 해지하고 해지 시점에 유효한 기간의 나머지 부분을 반영하여 해지된 팔란티어 플랫폼에 대해 지불된 요금의 비례 배분된 부분을 고객에게 환불합니다. 앞서 언급한 팔란티어의 배상 의무는 다음의 경우에는 적용되지 않습니다: (i) 고객 또는 사용자의 지시에 의해 또는 고객 또는 사용자의 지시에 따라 팔란티어 플랫폼이 수정된 경우, 그러나 그러한 수정이 없었다면 침해가 발생하지 않았을 것으로 주장되는 범위까지만, (ii) 팔란티어 플랫폼이 팔란티어가 승인하지 않은 비 팔란티어 제품과 결합된 경우, 그러나 그러한 결합이 없었다면 침해가 발생하지 않았을 것으로 주장되는 범위까지만, (iii) 무단으로 사용하거나 문서와 일치하지 않는 사용, 제4조(허용 가능한 사용)에 위반되는 사용 또는 (제8.4조에 명시된) 정지 기간동안 사용하는 경우, (iv) 고객 데이터, 또는 (v) 팔란티어 제품 또는 서비스가 아닌 모든 것.
9.2 고객의 면책 의무. 고객은 (a) 고객의 관련 법률 위반, (b) 고객 데이터, (c) 고객의 DPA 위반, (d) 고객의 제4조(허용 가능한 사용) 위반, (e) 고객의 제5.3조(제한 사항) 위반, 또는 (f) 고객이 제공하는 모든 제품 또는 서비스(단, 해당 청구가 팔란티어가 제공하는 서비스에 기인한 경우 제외)으로 인해 또는 이와 관련하여, 팔란티어에 제기된 모든 제3자 청구로부터 팔란티어를 방어해야 합니다. 또한, 고객은 관할 있는 당국에 의해 부과되거나 불복이 불가능한 판결에 따라 최종적으로 확정된 관련 비용, 변호사 비용 및 손해배상(있는 경우)으로부터 팔란티어를 면책하고 해를 입히지 않도록 합니다.
9.3 배상 절차. 면책 당사자의 의무는 피면책 당사자가 면책 당사자에게 다음을 제공하는 것을 조건으로 합니다: (a) 모든 청구, 소송 또는 요구를 인지한 즉시 서면 통지(어떠한 경우에도 20일을 초과할 수 없음), (b) 면책 대상인 모든 사안에 대한 배타적 방어 및 통제권(단, 면책 당사자가 피면책 당사자의 모든 책임을 무조건 면제하고 피면책 당사자의 잘못이나 잘못을 인정하지 않는 한 어떠한 청구도 합의하지 않는다는 전제 하에); (c) 면책 당사자의 방어 및 합의를 지원하는 합리적인 요청에 대한 협조(면책 당사자의 비용 부담). 본 조는 지식재산권 침해 청구와 관련하여 각 당사자의 단독 책임과 의무 및 유일하고 배타적인 구제 수단을 명시합니다.
10. 팔란티어 보증 및 면책 조항.
10.1 팔란티어 보증. 팔란티어는 계약 기간 동안 (a) 서비스가 문서에 따라 실질적으로 제공되고 (b) 전문 서비스가 전문적이고 업무적인 방식으로 제공될 것임을 보증합니다. 상기 보증을 위반하는 경우, 고객은 팔란티어에게 본 계약의 해지를 서면으로 통지할 수 있으며, 해지 효력 발생일 이전에 팔란티어가 위반을 시정할 수 없는 한, 해지는 팔란티어가 통지를 받은 후 삼십(30)일 후에 효력이 발생합니다. 본 보증은 그러한 위반이 고객 데이터 또는 서비스의 오용 또는 무단 수정(고객의 제4조(허용 가능한 사용)의 위반을 포함하되 이에 국한되지 않음) 또는 서비스와 관련하여 사용된 고객이 선택한 하드웨어로 인해 발생한 경우에는 적용되지 않습니다. 본 조항에 따른 고객의 권리 행사에 따라 본 계약이 해지되는 경우, 고객은 유일한 배타적 구제 수단으로서 해지 시점에 유효한 기간의 나머지 부분을 반영하여 본 계약에 따라 지불한 이용료의 비례 배분된 부분을 팔란티어로부터 환불받을 권리가 있습니다.
10.2 면책 조항. 본 계약에 명시적으로 규정된 경우를 제외하고는 본 약관에 따라 지불한 어떠한 금액도 환불 또는 상계할 수 없습니다. 본 계약에 명시적으로 명시된 경우를 제외하고, 그리고 관련 법률에서 허용하는 최대 범위까지만, 팔란티어 플랫폼 및 전문 서비스는 “있는 그대로” 제공됩니다. 팔란티어와 그 공급업체 및 서비스 제공자는 본 계약 하에서 또는 그 외의 방식으로 제공되는 팔란티어 플랫폼 및 전문 서비스와 관련하여 명시적이든 묵시적이든, 구두이든 서면이든, 모든 형태의 보증을 부인하며, 이에는 비침해, 상품성, 소유권 또는 특정 목적에의 적합성에 대한 어떠한 보증도 포함되나 이에 한정되지 않습니다. 전술한 제한을 제한함이 없이, 팔란티어는 팔란티어 플랫폼 및 전문 서비스가 고객의 요구 사항을 충족하거나 결과 또는 결론을 보장하거나 서비스 운영이 중단되지 않거나 오류가 없음을 보증하지 않습니다. 팔란티어는 제3자 서비스(가동 시간 보장, 중단 또는 장애를 포함하되 이에 국한되지 않음), 고객 데이터 또는 제3자 콘텐츠에 대해 어떠한 책임이나 의무도 지지 않습니다. 팔란티어는 통신 시설, 인터넷 또는 제3자 서비스를 통한 정보 또는 고객 데이터 전송을 통제하지 않으며, 이러한 통신 시설의 사용에 내재된 지연 및 기타 문제가 서비스에 영향을 미칠 수 있습니다. 팔란티어는 이러한 문제로 인해 발생하는 지연, 장애 또는 기타 손해에 대해 책임을 지지 않습니다.
11. 고객 보증. 고객은 다음의 사항을 진술하고 보증합니다. (a) 고객은 관련 법률 또는 정책에서 요구하는 대로 필요한 모든 통지를 제공하고 필요한 모든 동의, 허가, 승인 및/또는 계약을 획득했으며, 고객이 지정한 범위, 목적 및 지침에 따라 팔란티어가 개인 데이터를 포함한 고객 데이터를 처리하는 데 적용되는 의무사항을 팔란티어에 고지하였고, 고객은 팔란티어가 법률 또는 규정(현지화 요건 포함) 또는 제3자의 권리를 위반하는 방식으로 고객 데이터를 처리하도록 지시하지 않을 것임을 보증합니다; (b) 고객은 무단 또는 불법적인 목적으로 서비스를 사용하지 않을 것입니다;, (c) 고객은 추가 문서화가 필요한 고객 데이터를 해당 문서를 먼저 실행하지 않고 서비스에 업로드하거나 가져오지 않습니다. 고객이 서비스 내에서 또는 서비스 사용을 통해 통합, 사용 또는 기타 방식으로 제공하는 모든 고객 데이터와 그로부터 도출된 결론은 고객의 책임 하에 이루어지며, 고객은 그로 인해 발생하는 모든 당사자의 손해 또는 손실에 대해 전적으로 책임을 집니다.
12. 책임의 제한. 관련 법률이 허용하는 최대 한도 내에서 본 계약의 다른 조항에도 불구하고 어느 당사자도 상대방 또는 그 계열사에 대하여 다음과 같은 손해에 대해 책임을 지지 않습니다: (a) 대체 제품 또는 서비스의 조달 비용, 고객 데이터의 교체 또는 복원 비용, (b) 경제적 손실, 예상 이익 또는 손실된 이익, 수익 또는 예상 절감액, 사업 손실, 계약 손실, 영업권 또는 평판의 손상 또는 손실, (c) 간접적, 특별, 부수적, 징벌적 또는 결과적 손실 또는 손해(당사자가 그러한 손실 또는 손해의 가능성에 대해 조언을 받았더라도 본 계약의 이행 또는 위반 또는 Palantir 플랫폼 사용 또는 사용 불가로 인해 발생하는지 여부와 무관함). 단, 본 계약 제5조 및 제9.2조에 명시된 당사자의 의무, 그리고 고객의 본 계약상의 지급 의무에는 예외가 있으며, 관련 법률이 허용하는 최대 한도 내에서 각 당사자와 그 계열사가 상대방과 그 계열사에게 부담하는 모든 종류의 청구에 대한 총 책임의 한도는 다음 중 더 큰 금액을 초과하지 않습니다: A) 해당 청구 사유가 발생하기 직전 12개월 동안 고객이 팔란티어에 지불했거나 지불해야 하는 서비스 또는 전문가 서비스에 대한 수수료 또는 b) 미화 100,000달러(USD 100,000). 당사자는 이러한 구제책이 공정하고 적절하다는 점에 동의합니다. 전술한 문장에도 불구하고, 계약 기간 동안 고객이 지급해야 할 수수료가 없는 경우에는, 제5조 및 제9.2조에 명시된 당사자의 의무와 고객의 지급 의무를 제외하고, 관련 법률이 허용하는 최대 범위 내에서 각 당사자와 그 계열사가 상대방 및 그 계열사에게 부담하는 모든 종류의 청구에 대한 총 책임의 한도는 미화 50,000달러(USD 50,000)를 초과하지 않으며, 이는 공정하고 적절한 구제수단으로 간주됩니다. 본 제12조에 명시된 제한은 계약, 불법행위(과실 포함), 무과실책임 또는 기타 법적 또는 형평법상 이론에 근거한 청구인지 여부에 관계없이 적용됩니다.
13. 분쟁 해결. 중재 가능성을 포함하여 본 계약으로 인해 또는 본 계약과 관련하여 발생하는 모든 분쟁, 논쟁 또는 청구는 분쟁 통지 후 육십(60)일 이내에 선의의 논의를 거쳐 해결할 수 없는 경우 중재를 통해 최종적으로 해결됩니다. 준거법은 미국 뉴욕주의 실체법으로 하며 해당 법의 국제사법(CONFLICTS OF LAW) 조항은 적용되지 않습니다. 중재는 미국 뉴욕주 뉴욕에서 JUDICIAL ARBITRATION AND MEDIATION SERVICES, INC. (“JAMS”)의 포괄적 중재 규칙 (COMPREHENSIVE ARBITRATION RULES AND PROCEDURES) 및 미국 연방 증거법에 따라 진행됩니다(단, JAMS 규칙 22(d) 또는 이와 상반되는 기타 JAMS 규칙에도 불구하고, 연방증거법 적용). 당사자들은 개별적으로만 중재를 진행하기로 합의하며, 본 계약은 집단 중재 또는 어떠한 집단, 대표, PAGA, 공동 또는 대표 중재 절차에서의 원고 또는 집단 구성원으로서 제기하는 어떠한 청구도 허용하지 않습니다. 중재판정부는 둘 이상의 청구를 병합할 수 없으며, 기타 어떠한 형태로든 대표 또는 집단 절차도 주재할 수 없습니다. 전술한 내용에도 불구하고, 각 당사자는 중재인의 최종 결정이 내려지기 전까지의 기간 동안, 가처분 명령을 구하기 위하여 적절한 관할 법원에 언제든지 소를 제기할 권리를 갖습니다. 단, (a) 해당 소송을 제기하는 당사자는 본 계약 제6조에 따라, 공개 범위를 제한하기 위해, 소송을 비공개로 접수할 수 있는 명령(또는 최소한 비밀 정보 또는 영업 비밀이 포함된 서류에 대하여 비공개로 접수하는 명령)을 요청해야 하며, (b) 영구 금지 명령 및 손해배상은 오직 중재인(들)만이 결정할 수 있습니다.
14. 계약 업데이트.
14.1 본 계약의 업데이트. 팔란티어는 언제든지 본 계약을 수정할 수 있는 권리를 보유하며, 그러한 수정이 있을 경우 본 계약을 업데이트할 것입니다. 팔란티어는 웹사이트에 공지를 게시하거나 해당 주문 제출 양식 또는 고객 계정에 명시된 기본 이메일 주소로 이메일을 전송하여 본 계약의 사후 변경 사항을 고객에게 통지합니다. 본 계약의 모든 수정 사항은 팔란티어가 그러한 통지를 제공한 후 삼십(30)일 후에 효력이 발생합니다. 팔란티어가 상기 통지를 제공한 후 삼십(30) 일 이내에 고객이 팔란티어 플랫폼을 계속 사용하면 본 계약의 해당 개정에 동의하는 것으로 간주됩니다. 기타 모든 수정 사항의 경우, 고객이 팔란티어 플랫폼을 계속 사용하면 본 계약의 개정에 동의하는 것으로 간주됩니다. 팔란티어는 언제든지 수시로 팔란티어 플랫폼(또는 그 일부)을 일시적 또는 영구적으로 수정(기능 또는 도구의 사용 중단 포함)할 수 있는 권리를 보유합니다.
15. 기타. 팔란티어는 주문 제출 양식에 명시된 범위를 제외하고 고객의 구체적인 서비스 활용과 관계없이, 그리고 고객이 본 계약을 준수하는 것을 전제로, 데이터 보호 및 개인 데이터의 국제 전송에 관한 사항을 포함하되 이에 국한되지 않고 일반적으로 팔란티어의 서비스 및 전문 서비스 제공에 적용되는 법률 및 규정에 따라 서비스 및 전문 서비스를 제공해야 합니다. 양 당사자는 https://palantir.pactsafe.io/aip-legal-3791.html에서 제공되는 팔란티어 AIP 부록을 준수해야 하며, 이 부록은 본 계약에 참조로 통합되어 있습니다. 팔란티어의 사전 서면 동의가 없는 한, 본 계약 또는 본 계약에 따라 부여된 접속 권한 또는 사용 권한은 고객의 경영권 변경 또는 고객 자산의 전부 또는 실질적 전부 매각을 포함하되 이에 국한되지 않고 고객이 양도, 이전 또는 서브라이선스할 수 없으며, 그러한 시도는 무효가 됩니다. 팔란티어는 고객의 동의 여부에 관계없이 언제든지 본 계약의 전체 또는 일부를 다른 개인 또는 단체에 양도하거나 위임할 수 있습니다. 고객의 경영권이 변경되거나 고객 자산의 전부 또는 실질적 전부를 매각하는 경우 팔란티어는 본 계약을 해지할 수 있습니다. 팔란티어는 본 계약 또는 본 계약의 일부를 하도급할 수 있습니다. 본 계약에 따라 요구되거나 허용되는 모든 통지는 주문 제출 양식에 명시된 주소로 고객에게 서면으로 이루어져야 하며, 이메일로 통지하는 경우,legalnotices@palantir.com 또는 1200 17th Street Floor 15 Denver, CO 80202(ATTN: Legal)로 보내야 합니다. 본 계약의 어떠한 조항이 관할 법원 또는 재판소에 의해 집행 불가능하거나 무효로 판결되는 경우, 해당 조항은 필요한 최소한의 범위로 제한되거나 삭제되고, 그 외의 모든 부분에 대하여, 본 계약은 완전한 효력을 유지하고 집행 가능합니다. 어떠한 위반에 대한 권리 포기도 후속 위반에 대한 권리 포기로 간주되지 않습니다. 서비스 및 전문 서비스는 미국 상무부 산업안보국(“BIS”)이 관할하는 미국 수출관리규정(“EAR”)을 포함한 미국의 수출 및 제재 관련 법령 및 규정, 그리고 미국 재무부 해외자산통제실(“OFAC”)에서 관할하는 금수조치 및 제재 규정의 적용을 받습니다. 본 서비스는 5D002.c.1, ENC에 따라 통제됩니다. 고객은 서비스의 모든 수출, 재수출, 이전, 최종 사용 및 사용자가 미국 및 기타 해당 관할권의 수출 및 제재 법률 및 규정(미국 산업안보국 및 해외자산통제실의 규정을 포함하되 이에 국한되지 않음)을 준수하도록 보장해야 합니다. 고객은 미국 정부의 제한 대상 최종 사용자 목록에 따른 제한을 받지 않으며, 해당 목록에 명시된 개인 또는 단체가 직간접적으로 50% 이상 소유하거나 지배하지 않음을 진술합니다. 고객은 고객이 그러한 제한의 대상이 되는 경우 즉시 팔란티어에 통지해야 합니다. 고객은 팔란티어가 해당 수출 및 제재 법률 및 규정을 위반하게 하는 어떠한 조치도 취하지 않아야 합니다. 금전 지급 의무를 제외하고, 어느 당사자도 전쟁, 천재지변, 지진, 홍수, 금수 조치, 폭동, 방해 행위, 인력 부족 또는 분쟁, 정부 조치, 인터넷, 통신 또는 호스팅 서비스 제공업체의 실패, 컴퓨터 공격 또는 악의적 행위를 포함하되 이에 국한되지 않는, 합리적인 통제를 벗어나는 원인으로 인한 본 계약상의 불이행 또는 지연에 대해 책임을 지지 않습니다. 단, 지연된 당사자는 (a) 상대방 당사자에게 그러한 사유를 즉시 통지하고, (b) 그러한 이행 실패 또는 지연을 신속히 시정하기 위해 상업적으로 합리적인 노력을 기울여야 합니다. 팔란티어는 (a) 고객이 본 계약을 중대하게 위반하는 경우, (b) 고객, 고객 콘텐츠 또는 서비스에 영향을 미치는 보안 사고를 방지하기 위해, (c) 계속 접속하는 것이 관련 법률을 위반하는 경우 또는 관련 법률이나 규정 또는 정부, 규제 기관 또는 사법 당국의 요청이나 명령에 따라 필요한 경우에, 고객의 서비스에 대한 접속을 즉시 정지할 수 있는 권리를 가집니다. 본 계약에 따른 제3자 수혜자는 명시적이든 묵시적이든 존재하지 않습니다. 오해의 소지를 방지하기 위하여, 본 계약의 어떠한 내용도 당사자 간에 합작 투자, 고용, 파트너십, 전략적 제휴, 공식적인 제휴 또는 전략적 파트너십 관계를 형성하는 것으로 해석되어서는 안 됩니다. 본 계약은 양 당사자의 상호 이해에 대한 완전하고 배타적인 진술이며 본 계약의 주제와 관련된 이전의 모든 서면 및 구두 계약과 커뮤니케이션을 대체하고 이를 취소합니다. 본 서비스 이용약관과 주문 제출 양식 또는 부속서 간에 충돌이 발생하는 경우, 해당 주문 제출 양식 또는 부속서의 조건이 우선합니다. 팔란티어는 사울 자엔츠 컴퍼니(The Saul Zaentz Company d.b.a. Tolkien Enterprises) 또는 J.R.R. 톨킨의 유족과 어떠한 제휴 관계도 없으며, 이들로부터 어떠한 승인이나 후원을 받은 바도 없습니다.
Effective July 10th 2025 to July 10th 2025
DownloadTable of Contents
1. 정의.
1.1 “계열사”란 효력 발생일 현재 및 그 이후 동안, 직접 또는 간접적으로 한 당사자를 소유 또는 지배하거나, 그 당사자에 의해 소유 또는 통제되거나, 그 당사자와 공동으로 소유 또는 지배되는 법인을 의미합니다.여기서 사용되는 “지배”는 한 법인의 경영 또는 업무를 직접 또는 간접적으로 지시하는 권한을 의미하며 “소유”는 법인의 의결권 있는 지분 또는 기타 동등한 의결권을 지니는 지분의 50%를 초과하여 실질적으로 보유하는 것을 의미합니다.
1.2 “계약”이란 본 팔란티어 AIP Now 서비스 이용약관과 그에 첨부되거나 부속된 문서, 조건, 고지, 운영 규칙, 정책(팔란티어 개인정보 처리방침을 포함함), 별첨, 일정표 또는 참조에 의하여 통합되거나 본 문서에 하이퍼링크로 연결된 문서(제13조에 따라 수시로 갱신될 수 있음)또는 웹사이트 또는 고객 계정에 수시로 게시할 수 있는 문서를 포함하며,주문 제출 양식을 포함한 팔란티어와 고객 간에 체결된 본 계약을 참조하는 모든 주문 문서를 총칭합니다.
1.3 “고객”이란 주문 제출 양식에 명시된 고객으로서 본 계약의 당사자이며, 귀하가 그 법적 대표자로서 본 계약의 조건에 동의하고 있는 고객을 의미합니다.
1.4 “고객 데이터”는 제3자로부터 직간접적으로 제공받거나 고객 또는 서비스 또는 웹사이트를 사용하는 사용자가 서비스 내 또는 서비스를 통한 통합, 사용 또는 기타 처리를 위해 생성한 모든 데이터(집계 또는 변환된 버전 및 분석 결과물 포함), 모델, 알고리즘, 분석, 변환 코드 또는 기타 콘텐츠를 의미합니다. 고객 데이터는 사용 데이터를 제외합니다.
1.5 “데이터 연결 소프트웨어”는 고객이 고객 데이터를 서비스에 연결하기 위해 로컬에 설치하도록 제공되는 팔란티어 소프트웨어를 의미합니다.
1.6 “문서”는 https://www.palantir.com/docs/ 에서 제공되는 서비스 관련 기술 문서를 포함하여 서비스와 관련하여 제공되는 모든 서비스 기술 문서를 의미하며, 팔란티어의 단독 재량에 따라 수시로 갱신될 수 있습니다.
1.7 “지식재산권”이란 영업 비밀, 특허, 저작권, 서비스표, 상표, 노하우, 상호, 제품의 외관 및 포장에 대한 권리, 인격권, 프라이버시권, 퍼블리시티권 및 기타 이와 유사한 권리에 대한 일체의 권리, 소유권 및 이익을 의미하며, 어떠한 정부기관, 규제기관 또는 상법기관의 법령 또는 규제에 따른 출원, 계속출원 또는 등록을 포함합니다,
1.8 “주문 제출 양식”이란 고객 정보를 포함하고 본 계약에 따라 제공될 서비스 및/또는 전문 서비스(해당되는 경우)를 명시하기 위해 귀하가 작성 및/또는 실행한 웹 기반 양식(또는 본 계약을 참조로 명시적으로 통합한 문서)으로, 귀하가 고객을 대신하여 팔란티어에 제출하는 것을 의미합니다.
1.9 “팔란티어”는 주문 제출 양식에 명시적으로 달리 명시되지 않는 한, (a) 고객의 주 사용 위치가 미국, 캐나다, 독일 연방 공화국, 네덜란드, 스페인, 오스트리아, 스위스, 프랑스, 이탈리아 또는 인도 공화국인 경우 Palantir Technologies Inc. 또는 (b) 고객의 주요 사용 위치가 영국인 경우 Palantir Technologies UK, Ltd.를 의미합니다. 전항에도 불구하고, (x) 고객의 최종 모기업의 본사(즉, 주요 영업소재지)가 대한민국에 위치한 경우, “팔란티어”는 Palantir Korea LLC를 의미합니다. (a), (b), (x)중 어느 것도 해당하지 않는 경우, “팔란티어”는 Palantir Technologies Inc.를 의미합니다.
1.10 “팔란티어 플랫폼”은 본 계약과 관련하여 고객에게 서비스로 제공되거나 제공 가능하도록 된 서비스, 문서, 데이터 연결 소프트웨어, 샘플 자료, 웹사이트, 모델 및 애플리케이션 프로그래밍 인터페이스(APIs) 및 이에 대한 모든 개선, 수정, 파생 저작물, 패치, 업그레이드 및 업데이트를 의미합니다.
1.11 “팔란티어 개인정보 처리방침”이란 웹사이트에서 제공되거나 주문 제출 양식을 통해 접근할 수 있는 모든 개인정보 관련 방침을 의미합니다.
1.12 “샘플 자료”는 샘플 코드, 소프트웨어 라이브러리, 명령줄 도구, 데이터 통합 코드, 템플릿 및 구성 파일을 포함하여 서비스와 함께 사용할 수 있도록 Palantir가 고객에게 제공하거나 제공 가능하도록 한 모든 기술 및 자료를 의미합니다.
1.13 “서비스”는 팔란티어 AIP Now(또는 주문 제출 양식에 명시될 수 있는 플랫폼)에 대한 서비스형 소프트웨어 액세스를 의미합니다.
1.14 “세금”이란 해당하는 모든 판매세, 사용세, 거래세, 부가가치세, 재화 및 용역세, 연계판매세, 원천징수세, 소비세 또는 이와 유사한 세금 및 모든 외국, 지방, 연방, 주 또는 지역 수수료 또는 요금, (환경 또는 유사한 수수료를 포함하되 이에 국한되지 않음) 관세, 수출입 통제 및 규정 준수 비용, 기타 정부 부과금 (본 계약에 따라 거래와 관련하여 부과되거나 이와 관련된 모든 벌금 및 이자 포함) 을 뜻합니다.
1.15 “제3자 콘텐츠”는 팔란티어가 고객의 전적인 재량에 따라 서비스와 연동하여 사용할 수 있도록 할 수 있는 모든 제3자 데이터, 서비스 또는 애플리케이션을 의미하며, 해당 제3자와 고객 간의 별도의 계약을 그 조건으로 합니다.
1.16 “제3자 서비스”는 문서에 명시된 대로(또는 양 당사자가 달리 합의한 대로) 팔란티어가 서비스 제공에 활용할 수 있는 제3자 서비스를 의미합니다.
1.17 “웹사이트”는 WWW.PALANTIR.COM 또는 전술한 하위 도메인을 포함한 기타 팔란티어의 소유 도메인 및 팔란티어가 웹사이트에서 또는 웹사이트를 통해 제공하는 모든 소프트웨어, 애플리케이션, 제품, 콘텐츠 및 서비스를 의미합니다.
2. 서비스 제공.
2.1 서비스 접속. 팔란티어는 제2.8조에 명시된 해제조건을 전제로, 해당 계약 기간 동안 고객 및 그 사용자가 본 계약의 약관 및 고객의 내부(및/또는 해당되는 경우 개인) 비즈니스 목적 또는 (해당하는 경우) 주문 제출 양식에 명시적으로 달리 제공된 대로만 사용할 수 있도록 고객에게 서비스를 제공합니다.
2.2 데이터 연결 소프트웨어 라이선스. 서비스 사용에 해당되는 경우, 그리고 이후 제2.8조에 명시된 해제조건에 따라, 팔란티어는 서비스 사용 및 접속만을 목적으로 데이터 연결 소프트웨어를 사용할 수 있는 비독점적이고 양도 불가하며 서브라이선스할 수 없는 제한적 사용권을 계약 기간 동안 고객에게 부여합니다. 고객은 서비스 제공을 위해 필요한 경우 팔란티어가 데이터 연결 소프트웨어에 원격으로 접속하는 것을 허용해야 합니다.
2.3 샘플 자료 라이선스. 팔란티어는 계약기간 동안 고객이 사용할 수 있도록 샘플 자료를 제공할 수 있습니다. 해당되는 경우, 그리고 이후 제2.8조에 명시된 해제조건에 따라, 팔란티어는 고객의 서비스 사용에 필요한 범위 내에서만 샘플 자료를 복사, 수정 및 사용할 수 있는 비독점적이고 양도 불가하며 서브라이선스할 수 없는 제한적 사용권을 계약 기간 동안 고객에게 부여합니다.
2.6 서비스 수준 및 지원. 계약 기간 동안 팔란티어는 본 계약에 따라 어떠한 지원 서비스도 제공할 의무가 없습니다. 본 계약은 귀하 또는 고객에게 향후 언제든지 팔란티어 플랫폼에 대한 업데이트 또는 업그레이드 또는 팔란티어가 개발한 팔란티어 플랫폼의 확장 또는 개선에 대한 어떠한 권리도 부여하지 않습니다. 팔란티어는 지원 서비스를 별도로 제공할 수 있습니다. 지원 서비스의 일부로 팔란티어가 귀하 또는 고객에게 제공하는 모든 추가 소프트웨어 코드 또는 관련 자료는 팔란티어 플랫폼의 일부로 간주되며, 이에 본 계약상의 조건이 적용됩니다.
2.7 전문 서비스. 팔란티어는 주문 제출 양식에 명시된 대로 고객에게 구현, 활성화, 교육 또는 기타 전문 서비스(“전문 서비스”)를 제공하며 그에 따른 이용료가 부과됩니다. 주문 제출 양식에 전문 서비스가 명시되지 않은 경우, 팔란티어는 재량에 따라 (별도의 계약이 없는 한 그렇게 할 의무 없이) 고객에게 전문 서비스를 제공할 수 있습니다. 전문 서비스의 수행은 본 계약에 따라 팔란티어가 제공하는 팔란티어 플랫폼 및 기타 자료의 소유권에 영향을 미치지 않습니다.
2.8 팔란티어 컴플라이언스 요건. 고객이 팔란티어 컴플라이언스 요건을 충족하지 못했다고 팔란티어가 재량으로 판단하는 경우, 제2.1조, 2.2조 및 2.3조에 따른 팔란티어의 의무(해당 조항에 따른 접속 권한 및 라이선스 부여 포함)는 고객이 팔란티어 컴플라이언스 요건을 충족하지 못했다고 판단하는 즉시 종료됩니다. 팔란티어는 고객이 서비스에 접속한 이후를 포함하여 언제든지 고객의 팔란티어 컴플라이언스 요건 만족도를 평가 (및 재평가) 할 수 있습니다. 또한, 고객의 서비스 및/또는 모든 팔란티어 플랫폼에 대한 지속적인 접속은 팔란티어의 재량으로 고객이 팔란티어 컴플라이언스 요건을 충족한다고 판단하는 것을 조건으로 합니다. “팔란티어 컴플라이언스 요건”은 고객과의 본 계약에 따른 이행이 팔란티어의 전적인 재량으로 판단될 떄, (i) 미국의 수출통제규정(미국 수출관리규정 포함) 또는 기타 관할권의 적용 가능한 수출통제법령을 위반하지 않고, (ii) 팔란티어가 제3자와 체결한 계약상 의무를 위반하거나 기타 위반에 해당하지 않으며, (iii) 팔란티어가 미국 재무부가 정의한 특별 지정 국민 또는 미국 정부기관이 관리하는 유사한 차단 또는 금지 대상자에게 재화, 지원 또는 서비스를 제공하는 것을 금지하는 법률을 위반하지 않고, (iv) 미국 및 기타 관련 관할권의 수출 및 제재 관련 법령 및 규정(미국 산업안보국(Bureau of Industry and Security) 및 해외자산통제국(Office of Foreign Assets Control)의 규정을 포함하되 이에 한정되지 않음)에 따른 팔란티어의 의무를 위반하지 않으며, (v) 그 밖에 팔란티어의 정책이나 가치에 반하지 않는 경우를 의미합니다. 팔란티어는 필요에 따라 언제든지 단독 재량에 따라 팔란티어 컴플라이언스 요건의 정의를 수정할 권리를 가집니다.
3. 고객의 서비스 사용.
(a) 고객이 기업, 조직 또는 교육 기관과 같이 자연인이 아닌 법인인 경우, 고객은 본 계약에 따라 허용된 목적을 위하여, (1) 임직원, (2) 계약 인력, (3) 주문 제출 양식에 명시된 기타 사용자(계열사의 임직원 또는 계약 인력 포함), 및/또는 (4) 고객의 클라이언트 (“승인된 제3자”)를 위해 서비스에 접속할 수 있는 계정(“계정”)을 최대 5개까지 부여할 수 있습니다. 이들은 본 계약 제3.1(a)(i) 내지 (vi)항에 명시된 추가 조건의 적용을 받으며, 총칭하여 “사용자”라 합니다 :
(i) 고객은 승인된 제3자에게, 고객의 사업 목적과 관련하여 고객이 승인된 제3자에게 제공하는 서비스를 사용하기 위한 목적으로만, 서비스에 대한 접속을 허용할 수 있습니다. 오해의 소지를 방지하기 위하여, 승인된 제3자는 고객이 제공하는 서비스와 무관한 자체 사업 목적으로 서비스에 접속할 수 없습니다.
(ii) 서비스에 대한 승인된 제3자의 접속은 고객이 팔란티어 플랫폼을 사용하여 구축한 고객 프론트엔드 애플리케이션으로 엄격하게 제한되며, 승인된 제3자는 데이터를 팔란티어 플랫폼에 직접 투입하는 것이 금지됩니다. 단, 고객은 위의 (i)항에 따라 승인된 제3자의 데이터를 팔란티어 플랫폼에 투입할 수 있습니다.
(iii) 승인된 제3자의 접속은 본 계약의 모든 제한 및 의무의 적용을 받으며, 고객은 승인된 제3자의 위반 또는 침해에 대한 모든 책임과 의무를 집니다. 고객은 팔란티어가 고객에게 별도로 제공한 변경되지 않은 접속 조건에 한하여 승인된 제3자에게 접속을 가능하게 할 수 있습니다.
(iv)승인된 제3자의 사용에는 본 계약에 명시된 이용료가 적용됩니다.
(v) 고객은 고객이 구축한 프론트엔드 애플리케이션과 관련하여 승인된 제3자를 지원할 책임이 있으며, 승인된 제3자가 모든 지원 요청을 고객에게 제출해야 한다는 내용을 포함하는 지원 정책을 유지해야 합니다. 단, 고객은 고객이 해결할 수 없는 승인된 제3자가 식별한 팔란티어 플랫폼 문제에 대해서는 팔란티어에게 상신할 수 있고, 팔란티어는 팔란티어가 지정한 지역의 정상 근무시간 중에 그러한 상신 사항에 대하여 고객에게 합리적인 수준의 지원을 제공합니다.
(vi)고객은 팔란티어가 고객에게 제공한 팔란티어의 금지 국가 목록에 명시된 국가(각각 “금지 국가”)에서 팔란티어 플랫폼에 접속해서는 안 되며 승인된 제3자로 하여금 접속하도록 허용해서도 안 됩니다.
(b) 고객이 자연인인 경우, 고객은 자연인(이때 각 자연인은 사용자로 간주됩니다)에게만 계정을 부여할 수 있으며, 그 수는 최대 5개로 제한됩니다. 해당 사용자들은 데이터가 관련 법령, 규정 또는 해당 사용자와의 계약에 따라 고객이 사용 및/또는 처리할 수 있도록 허용하기 위해 필요한 모든 동의, 인가, 승인 및/또는 합의를 고객에게 제공한 자이어야 하고, 팔란티어와 본 계약의 조건과 실질적으로 유사한 이용약관에 동의한 자이어야 합니다. 단, 고객이 승인된 사용자(또는 주문 제출 양식에 명시된 대로, 그와 동등한 사용자)로서 다른 팔란티어 고객의 서비스 건에 접속하는 자연인인 경우(이러한 다른 팔란티어 고객은 “주 사용자”로 정의함), 해당 고객은 어떠한 계정도 제공할 수 없습니다. 고객은 (i) 계정 관리, (ii) 계정을 보호하기 위한 업계 표준 보안 조치 사용(다중 인증 사용을 포함하되 이에 국한되지 않음), (iii) 계정에서의 모든 활동 및 계정에서의 그러한 활동 모니터링(그러한 모니터링이 본 계약의 다른 조항 또는 관련 법률을 위반하지 않는 범위 내에서만), 그리고 (iv) 팔란티어 플랫폼 및/또는 계정과 관련된 사용자의 행위 및 부작위에 대한 책임이 있습니다. 고객은 계정의 침해 또는 무단 사용 사실을 인지하는 즉시 해당 계정을 비활성화하여야 하며 (그러한 경우 해당 침해 또는 무단 사용 사실을 팔란티어에 지체 없이 통지하여야 하며), 또는 팔란티어가 합리적으로 요청하는 경우에도 고객은 해당 계정을 비활성화하여야 합니다.
3.2 데이터 보호. 양 당사자는 https://palantir.pactsafe.io/aip-now-6493.html#aip-now-dpa-022795 에서 제공되는 팔란티어 데이터 보호 부록(“DPA”)을 준수해야 합니다. 고객은 고객 데이터의 정확성, 내용 및 적법성에 대해 전적으로 책임을 지며 고객 데이터를 서비스에 통합할 때 데이터 현지화 요건을 포함하되 이에 국한되지 않는 관련 법률 및 규정을 준수해야 합니다. 고객과 관련하여 컨트롤러(DPA에 정의된 바와 같이)로서의 팔란티어의 역할에는 http://www.palantir.com/aip-now-statement 에서 제공되는 AIP Now 개인정보 처리방침이 적용되며 이는 본 계약에 참조로 통합됩니다.
4. 허용 가능한 사용.
4.1 관련 법률. 귀하와 고객은 서비스 및 웹사이트에 대한 접속 및 사용과 관련하여, 미국의 관련 법률 또는 귀하 또는 고객이 위치한 관할권, 고객 데이터를 참조하여 (직간접적으로) 식별할 수 있는 자연인(각각 “데이터 주체”)이 위치한 관할권 또는 고객 데이터가 저장된 관할권에서 적용되는 기타 법률을 위반하지 않으며 그러한 준수를 보장하는 것은 전적으로 귀하와 고객의 책임입니다. 팔란티어는 때때로 허용 가능한 사용 정책, 커뮤니티 가이드라인 또는 이와 유사한 정책을 제공할 수 있으며, 이는 제14조에 명시된 업데이트 정책에 따라 본 계약의 일부가 됩니다.
4.2 경쟁적 사용. 고객은 팔란티어 플랫폼과 유사하거나 경쟁적인 제품 또는 서비스를 구축하거나 제공할 목적으로 팔란티어 플랫폼을 사용, 접속, 평가 또는 열람해서는 안 됩니다.
4.3 수출 통제. 팔란티어 플랫폼은 미국 수출 관리 규정과 같은 미국의 무역 통제 규정 또는 본 계약 제15조에 언급된 수출 및 제재 법률 및 규정을 포함하여 기타 관할권에서 적용되는 기타 수출 통제법의 적용을 받을 수 있습니다. 고객은 미국 또는 기타 해당 관할권의 수출 통제 또는 기타 무역 통제를 위반하여 팔란티어 플랫폼을 사용할 수 없습니다. 여기에는 다음 금지 사항이 포함되며 이에 국한되지 않습니다:
(a) 고객은, 고객이 미국 재무부에서 정의한 특별 지정 국민 또는 미국 정부 기관에서 관리하는 유사한 차단 또는 금지 대상자의 대리로 활동하는 경우, 서비스를 사용하거나 이에 접속할 수 없습니다.
(b) 고객은 미국 국무부에서 관리하는 국제무기거래규정(ITAR)의 적용을 받는 활동을 수행하기 위해 서비스를 사용하거나 이에 접속할 수 없으며, 여기에는 ITAR이 통제하는 데이터 수집이 포함되나 이에 국한되지 않습니다.
4.4 PII 및/또는 PHI의 사용. 고객이 서비스와 관련하여 관련 법률에 정의된 대로 개인 식별 정보(“PII”), 개인 데이터, 개인 정보 또는 보호 건강 정보(“PHI”)를 사용하거나 사용할 것으로 예상되는 경우, 고객은 (a) 주문 제출 양식에서 해당 옵션이 제공되는 경우 그러한 (예상) 사용을 표시하고 서비스에 접속하거나 이를 사용하기 전에 비즈니스 제휴 계약을 체결해야 하며 (b) https://www.palantir.com/docs/foundry/security/overview/ 에서 제공되는 문서에 설명된 민감정보 보호를 위한 관련 지침 및 모범 사례를 따라야 합니다. 오해의 소지를 방지하기 위하여, 본 조에서는 주문 제출 양식에서 명시적으로 그러한 사용을 허용하지 않는 경우 서비스와 관련하여 앞서 언급한 정보를 사용할 수 있는 권한을 고객에게 부여하지 않습니다.
4.5 사용 사례 제한. 고객은 https://palantir.pactsafe.io/#ucr-985315에서 제공되는 팔란티어 사용 사례 제한을 준수해야 하며, 이는 팔란티어 플랫폼 사용과 관련하여 본 계약에 참조로 통합됩니다.
4.6 감사 권한. 고객은 제3.2조(데이터 보호), 4조(허용 가능한 사용), 5.3조(제한), 6조(비밀유지) 및 7조(이용료 및 지불)의 준수를 포함하되 이에 국한되지 않는 고객의 본 계약 준수 여부를 확인하기 위해, 팔란티어가 고객의 서비스 사용을 감사할 수 있음에 동의합니다. 팔란티어가 고객의 본 계약 위반을 인지하거나 합리적으로 의심하는 경우, 사전에 합리적인 통지를 제공한 후 팔란티어는 고객의 본 계약 준수, 고객의 팔란티어 플랫폼 사용, 고객의 소프트웨어 모니터링 시스템 및 기록을 감사할 수 있으며, 이러한 감사는 고객의 정규 업무 시간 중에 수행됩니다. 그러한 감사를 통해 고객이 본 계약을 위반한 것으로 합리적으로 판단되는 경우, 팔란티어는 제8.2조에 따른 해지 권한 및/또는 제8.4조에 따른 서비스 정지 권한을 행사할 수 있으며, 고객은 본 계약 및/또는 관련 법률에 따라 팔란티어가 받을 수 있는 기타 수수료, 손해배상, 벌금 또는 구제책과 더불어 해당 감사에 대한 합리적인 비용을 부담해야 합니다. 오해의 소지를 방지하기 위하여, 팔란티어가 제8.2조에 따른 계약 해지권 또는 제8.4조에 따른 서비스 정지 권한을 행사할 수 있는 요건이 충족되는 경우, 팔란티어가 감사를 개시하는 것이 해당 권리의 행사에 대한 선행조건이 되는 것은 아닙니다. 또한, 팔란티어가 감사를 개시하기로 결정하는 것은, 제 8.2조 또는 제8.4조에 따른 권리를 행사할 수 있는 요건이 충족되는 경우, 해당 권리를 행사할 수 있는 팔란티어의 권한을 제한하지도 않습니다.
5. 독점적 권리.
5.3 제한 사항. 고객은 다음을 수행할 수 없으며 제3자에게도 이를 허용하지 않습니다: (a) 서비스 또는 웹사이트 또는 인프라 또는 그 요소에 대한 무단 접속을 하거나 이를 시도하거나 서비스 또는 웹사이트의 인증 또는 보안 조치를 우회하거나 방해하는 행위, (b) 서비스 또는 웹사이트의 무결성 또는 성능을 방해하거나 방해하는 행위, (c) 다른 고객의 데이터에 접근하거나 접근하려고 시도하는 행위, (d) 다른 고객의 서비스 사용 능력에 부정적인 영향을 미치는 행위; (e) 서비스 또는 웹사이트를 통해 소프트웨어 바이러스 또는 기타 유해하거나 해로운 컴퓨터 코드, 파일, 스크립트, 에이전트 또는 프로그램이 포함된 자료를 전송하는 행위 (f) 팔란티어 플랫폼의 소스 코드 또는 기본 아이디어 또는 알고리즘을 디컴파일, 분해, 스캔, 리버스 엔지니어링 또는 발견하려는 시도 (단, 관련 법률에 따라 이러한 리버스 엔지니어링 제한이 명시적으로 금지되는 범위 내에서는 예외로 하며, 그러한 경우에도 팔란티어에 사전 서면 통지를 한 경우에 한함); (g) 제3자의 이익을 위해 서비스를 제공, 임대, 대여, 시분할 또는 서비스 사무국 목적으로 사용하거나 다른 사람이 서비스를 사용하거나 사용하도록 허용하는 행위 (h) 본 계약에서 명시적으로 허용하지 않는 목적으로 서비스 또는 웹사이트를 사용하는 행위; (i) 고객의 서비스 사용에 필요한 범위 내에서 샘플 자료를 제외한 모든 팔란티어 플랫폼의 코드를 나열하거나 달리 표시 또는 복사하는 행위; (j) 고객의 서비스 사용에 필요한 범위 내에서 샘플 자료를 제외한 모든 팔란티어 플랫폼(또는 그 구성 요소)을 복사하거나 그 개선, 수정 또는 파생 작업을 개발하는 행위; (k) 다른 서비스, 장비 또는 품목에 팔란티어 플랫폼의 일부를 포함시키는 행위 (l) 팔란티어 플랫폼 (또는 그 일부) 또는 팔란티어 기술 데이터의 전송, 전송(온라인, 전자 전송 또는 기타 통신을 통해 대중에게 제공하는 것을 포함하되 이에 국한되지 않음), 수출 또는 재수출을 허용하는 행위; (m) 팔란티어가 승인하지 않는 한 서비스에 대한 침투 테스트를 수행하는 행위; (n) 팔란티어 플랫폼과 유사하거나 경쟁적인 제품 또는 서비스를 구축하거나 제공할 목적으로 팔란티어 플랫폼에 대해 사용, 접속, 평가 또는 열람하는 행위; (o) 모든 저작권 고지, 상표, 로고 및 상호, 기타 고지(제3자 오픈 소스 또는 유사한 라이선스 포함) 또는 식별을 제거, 모호하게 하거나 변경하거나 기타 방식으로 위반하는 행위, 또는 팔란티어 플랫폼 및 관련 미디어에 표시되는 모든 저작권 고지, 상표, 로고 및 상표명, 기타 고지(제3자 오픈 소스 또는 유사한 라이선스 포함)의 조건을 위반하는 행위; (p) 사기 또는 허위 진술(주문 제출 양식에 대한 응답으로 사기 또는 오해의 소지가 있는 정보를 제공하는 것을 포함하되 이에 국한되지 않음)에 관여하거나 이를 진행하기 위해 웹사이트 또는 팔란티어 플랫폼을 사용하는 경우; 또는 (q) 스팸 활동 또는 커뮤니케이션에 관여하거나 지원할 목적으로 서비스를 사용하거나 이에 접속하는 경우 또는 비원조 포르노 및 마케팅 공격 통제법(15 U. C. § 7701)을 위반하는 마케팅 활동 또는 커뮤니케이션을 하는 경우(15.S.C. § 7701 이하), 전화 소비자 보호법(47 U.S.C. § 227) 및 스팸을 금지하거나 마케팅 자료 및/또는 통신의 전송을 규제하는 기타 모든 관련 법률을 위반하는 경우. 전술한 내용 또는 본 계약상의 어떠한 상반되는 계약 내용에도 불구하고, 제3자 콘텐츠는 해당 커뮤니티 및 제3자로부터 제공된 고지 사항 및 오픈 소스 또는 이와 유사한 라이선스와 함께 제공될 수 있으며, 고객은 그러한 부분의 사용에 적용되는 모든 라이선스의 조건에 구속되고 이를 완전히 준수할 것에 동의합니다. 다만, 본 계약에 따른 보증의 부인 및 책임 제한 조항은 모든 제3자 콘텐츠에 적용됩니다.
6. 비밀 유지. 각 당사자(“수령 당사자”)는 상대 당사자(“공개 당사자”)의 모든 비밀 정보를 엄격하게 비밀로 유지해야 하고, 본 계약의 목적 외에는 그러한 비밀 정보를 사용해서는 안 되며, 수령 당사자의 이사, 직원, 대리인, 변호사, 회계사, 하청업체 또는 본 계약에 따라 최소한 그와 같은 제한적인 비밀 유지 의무가 있는 기타 대표자(“승인된 대표자”)에게 공개하는 것 외에 제3자에게 공개해서는 안 됩니다. 수령 당사자는 자신의 비밀 정보 공개를 방지하기 위해 사용하는 것과 최소한 동일한 수준의 주의를 기울여야 하며, 어떠한 경우에도 합리적인 주의보다 낮은 주의를 기울여서는 안 됩니다. 수령 당사자는 유효한 법원 또는 정부 명령이 요구하는 범위 또는 관련 법률이 요구하는 범위 내에서 계약의 의무를 위반하지 않고 비밀 정보를 공개할 수 있으며, 수령 당사자가 (a) 공개 당사자에게 그러한 공개에 대한 합리적인 사전 서면 통지를 제공하고, (b) 공개를 제한하고 공개 당사자가 절차에 참여할 수 있도록 허용하면서 공개를 방지 또는 제한하는 비밀 취급 또는 보호 명령을 획득하거나 획득하도록 지원하기 위해 합리적인 노력을 기울이는 경우, 공개 당사자는 공개를 제한하는 데 필요한 범위 내에서 공개를 할 수 있습니다. “비밀 정보”는 (i) 팔란티어의 경우, 팔란티어 플랫폼(이와 관련된 모든 정보 포함), (ii) 고객의 경우, 고객 데이터, (iii) 공개되는 정보의 성격 또는 공개 방식에 따라 합리적인 사람이 비밀로 이해할 수 있는 기타 모든 정보를 의미하며, 각 경우에 모든 형태(전자 또는 구두 포함) 및 발효일 전, 당일 또는 이후에 제공된 것인지 여부에 관계없이 비밀로 이해될 수 있는 모든 정보를 의미합니다; 단, 비밀 정보에는 다음 각 호에 해당하는 정보는 포함되지 않습니다: (1) 수령 당사자 또는 승인된 대표자의 행위 또는 부작위 없이 공공 영역의 일부가 되었거나 되는 정보; (2) 비밀 유지 의무 없이 효력 발생일 또는 공개 당사자가 정보를 공개한 시점 중 더 이른 시점에 수령 당사자가 이미 알고 있었던 정보(서면 기록에 의해 입증되는 경우) ; (3) 제3자 공개자가 비밀 유지 의무를 위반하지 않고, 공개 또는 사용에 대한 제한 없이, 효력 발생일 이전에 다른 출처로부터 수령 당사자에게 정당하게 공개된 정보; (4) 수령 당사자가 그러한 정보가 비밀 정보를 사용하거나 참조하지 않고 독자적으로 개발되었음을 서면 증거로 입증할 수 있는 정보. 수령 당사자는 본 조에 따라 비밀 정보의 공개가 허용된 개인 또는 단체가 본 조항을 위반하는 경우 이에 대한 책임을 집니다. 비밀 정보와 관련한 수령 당사자의 의무는 본 계약이 해지된 후에도 5년 동안 존속하며, 단, 본 계약에 따른 수령 당사자의 의무는 해당 비밀정보가 관련 법률상 영업비밀에 해당하는 경우, 계약 종료 이후에도 존속하며 관련 법률이 허용하는 한도 내에서 영구적으로 계속 유효합니다.
7. 이용료 및 지불; 세금. 서비스는 고객에게 접속을 제공하거나 고객의 이익을 위해 제공되는 것으로 간주됩니다. 주문 제출 양식에 명시된 고정 이용료가 있는 경우 해당 이용료는 선불로 청구되고 지불하거나, 또는 주문 제출 양식에 달리 명시된 대로 지불해야 합니다. 주문 제출 양식에 명시된 사용량 기반 이용료(주문 제출 양식에 명시된 해당 포함 사용량을 초과하여 지불해야 하는 경우 포함)는 주문 제출 양식에 명시된 사용 요금에 따라 계산되며(해당하는 경우) 분기별로 연체료로 청구되어지불하거나, 또는 주문 제출 양식에 달리 명시된 대로 지불해야 합니다. 모든 지불은 해당 청구서에 명시된 통화 또는 양 당사자가 합의한 기타 지불 방법(주문 제출 양식에 명시된 것을 포함)을 통해, 해당 청구서 발행일로부터 삼십(30) 일 이내에 팔란티어가 지정한 계좌로 전신 송금을 통해 이루어져야 합니다. 모든 연체료에는 지불해야 할 금액의 월 1.5% 또는 관련 법률에서 허용하는 최대 이자 중 적은 금액에 해당하는 서비스 이용료가 부과됩니다. 주문 제출 양식에 달리 명시되지 않는 한, 이용료는 관련 세금(팔란티어의 순이익에 대한 세금 또는 순이익에 의해 측정된 세금 제외)을 제외한 금액입니다. 고객은 본 계약에 따라 발생하는 모든 세금에 대한 책임을 지며, 해당 세금 납부 후 팔란티어가 수령하는 금액이 주문 제출 양식에 명시된 이용료보다 적지 않도록 해야 합니다. 이중 과세 방지 협정이 적용되어 원천징수세율이 0% 또는 인하된 세율이 적용되는 경우, 고객은 (a) 원천징수세율이 0%인 경우에는 세금을 원천징수하지 않고 (b) 이중 과세 방지 협정에 따라 인하된 세율로 원천징수할 것에 동의합니다.
8. 계약 기간 및 해지; 정지.
8.1 계약 기간; 임의 해지. 주문 제출 양식에 달리 명시되지 않는 한, 본 계약은 발효일로부터 효력이 발생하며 본 계약에 따라 해지될 때까지 까지 효력이 지속됩니다(“계약 기간”). 단, 고객이 승인된 사용자(또는 주문 제출 양식에 명시된 대로, 그와 동등한 사용자)로서 주 사용자의 서비스 인스턴스에 접속하는 자연인인 경우, 주 사용자의 서비스 접속 권한이 만료되거나 해지될 때까지 계약 기간은 계속 유효합니다. 전술한 내용에도 불구하고 주문 제출 양식에 달리 명시된 경우 “계약 기간”은 발효일로부터 주문 제출 양식에 명시된 기간이 만료될 때까지의 기간을 의미합니다. 팔란티어는 고객에게 해지 60일 전에 사전 통지함으로써 본 계약을 임의로 해지할 수 있습니다.
8.2 정당한 사유에 의한 해지. 각 당사자의 다른 권리를 제한하지 않고, 각 당사자는 (a) 상대방이 본 계약의 어떠한 조항이라도 중대하게 위반하고, 비위반 당사자가 해당 위반에 대해 서면으로 통지한 날로부터 30일 이내에 위반을 시정하지 않거나(이때, 시정 사실에 대해 비위반 당사자에게 합리적인 서면 통지를 제공하지 않은 경우)또는 (b) 상대방 당사자가 파산, 회생절차 또는 유사한 절차에 따라 보호를 요청하거나 그러한 절차가 해당 당사자를 상대로 개시되고 90일 이내에 기각되지 않은 경우, 이를 사유로 본 계약을 해지할 수 있습니다. 본 계약에 배타적 구제책이 명시된 경우를 제외하고, 본 조항에 따른 당사자의 해지권 행사는 본 계약 또는 법률에 따라 가질 수 있는 다른 구제책에 영향을 미치지 않습니다. 고객이 제8.2(a)항에 따른 사유로 인해 본 계약을 해지하거나 고객이 8.4(c)항(서비스의 정지)에 명시된 팔란티어 컴플라이언스 요건을 충족하지 못하여 팔란티어가 이를 사유로 본 계약을 해지하는 경우, 팔란티어는 해지 발효일을 기준으로 사용하지 않은 서비스에 대해 선불로 지불한 요금 중 잔여 금액을 일할 계산하여 환불합니다.
8.3 해지의 효과. 아래에 구체적으로 명시된 경우를 제외하고 본 계약이 해지 또는 만료되는 경우, 팔란티어 플랫폼에 부여된 고객의 모든 권리, 접속권 및 사용권은 즉시 종료되며 고객은 모든 데이터 연결 소프트웨어, 샘플 자료 및 문서, 기타 모든 팔란티어 비밀정보를 즉시 반환 또는 파기해야 하며, 팔란티어의 서면 요청 시 해당 요청일로부터 10일 이내에 상기 조치를 이행하였음을 서면으로 증명해야 합니다. 본 계약의 해지 또는 종료 시, 고객의 요청이 있는 경우 고객은 본 계약의 조건에 따라 고객 데이터를 회수할 목적으로만 삼십(30) 일 동안 서비스에 접속할 수 있습니다. 팔란티어는 그 이후 모든 고객 데이터를 삭제해야 합니다. 전술한 내용에도 불구하고, 팔란티어는 본 계약의 다른 조건에 따라 보안 목적으로만 고객 데이터(IP 주소, 사용자 이름, 로그인 시도 및 검색 쿼리와 같은 보안 관련 정보 제외)를 제외한 서비스 보안과 관련된 사용 정보 및 메타데이터를 마지막으로 기록된 이벤트 이후 2년 동안 보유할 수 있습니다. 본 계약의 해지 또는 종료는 해지 또는 종료의 효력 발생일 이전에 발생한 권리 또는 의무(결제 의무를 포함하되 이에 국한되지 않음)를 제한하거나 영향을 미치지 않습니다. 제1조, 제4조(단, 제4.5조 제외), 제5조, 제6조, 제7조, 제8조, 제9조, 제10조, 제12조, 제13조, 제14조 및 제15조는 본 계약이 해지되거나 종료된 이후에도 그 효력이 존속됩니다.
8.4 서비스 정지. 팔란티어가 합리적으로 판단하는 경우: (a) 귀하가 고객을 대신하여 고객을 본 계약에 구속할 권한이 없는 경우(본 계약 서문의 명시적 진술 및 보증을 위반하는 경우), (b) 고객의 서비스, 팔란티어 플랫폼 또는 웹사이트 사용이 관련 법률을 위반하거나 본 계약의 중요한 조항(3.2조(데이터 보호), 4조(허용 가능한 사용), 5.3조(제한), 6조(비밀 유지) 및 7조(이용료 및 지불) 포함), (c) 고객이 팔란티어 컴플라이언스 요건을 충족하지 않는 경우, 또는 (d) 고객이 제11조에 명시된 보증을 위반한 경우, 팔란티어는 웹사이트 및/또는 팔란티어 플랫폼의 전체 또는 일부에 대한 고객의 접속 권한을 비활성화, 정지 또는 종료할 수 있는 권리를 보유합니다.
9. 면책 의무.
9.1 팔란티어의 면책 의무. 팔란티어는 본 계약의 조건에 따른 고객의 팔란티어 플랫폼 사용에 근거하여 제3자가 고객을 상대로 제기하는 지식재산권의 침해 또는 위반에 대한 모든 청구로부터 고객을 방어하고, 그러한 청구 또는 합의에 대해 관할 법원의 항소 불가 명령에 따라 최종적으로 고객에게 부여된 합리적인 비용, 변호사 비용 및 손해(있는 경우)로부터 고객을 면책하고 해를 입히지 않도록 해야 합니다. 고객의 팔란티어 플랫폼 사용이 위에 명시된 침해 유형으로 인해 관할 법원에 의해 금지 명령을 받았거나 그럴 가능성이 있다고 팔란티어가 판단하는 경우 또는 팔란티어가 서면으로 승인한 합의에 의해 요구되는 경우, 팔란티어는 단독 재량으로 다음과 같은 조치를 취할 수 있습니다: (a) 실질적으로 기능적으로 유사한 제품 또는 서비스로 대체, (b) 고객에게 팔란티어 플랫폼을 계속 사용할 수 있는 권리를 부여, (c) (a) 및 (b)의 사항이 상업적으로 실행 불가능하다고 합리적으로 판단하는 경우, 본 계약을 해지하고 해지 시점에 유효한 기간의 나머지 부분을 반영하여 해지된 팔란티어 플랫폼에 대해 지불된 요금의 비례 배분된 부분을 고객에게 환불합니다. 앞서 언급한 팔란티어의 배상 의무는 다음의 경우에는 적용되지 않습니다: (i) 고객 또는 사용자의 지시에 의해 또는 고객 또는 사용자의 지시에 따라 팔란티어 플랫폼이 수정된 경우, 그러나 그러한 수정이 없었다면 침해가 발생하지 않았을 것으로 주장되는 범위까지만, (ii) 팔란티어 플랫폼이 팔란티어가 승인하지 않은 비 팔란티어 제품과 결합된 경우, 그러나 그러한 결합이 없었다면 침해가 발생하지 않았을 것으로 주장되는 범위까지만, (iii) 무단으로 사용하거나 문서와 일치하지 않는 사용, 제4조(허용 가능한 사용)에 위반되는 사용 또는 (제8.4조에 명시된) 정지 기간동안 사용하는 경우, (iv) 고객 데이터, 또는 (v) 팔란티어 제품 또는 서비스가 아닌 모든 것.
9.2 고객의 면책 의무. 고객은 (a) 고객의 관련 법률 위반, (b) 고객 데이터, (c) 고객의 DPA 위반, (d) 고객의 제4조(허용 가능한 사용) 위반, (e) 고객의 제5.3조(제한 사항) 위반, 또는 (f) 고객이 제공하는 모든 제품 또는 서비스(단, 해당 청구가 팔란티어가 제공하는 서비스에 기인한 경우 제외)으로 인해 또는 이와 관련하여, 팔란티어에 제기된 모든 제3자 청구로부터 팔란티어를 방어해야 합니다. 또한, 고객은 관할 있는 당국에 의해 부과되거나 불복이 불가능한 판결에 따라 최종적으로 확정된 관련 비용, 변호사 비용 및 손해배상(있는 경우)으로부터 팔란티어를 면책하고 해를 입히지 않도록 합니다.
9.3 배상 절차. 면책 당사자의 의무는 피면책 당사자가 면책 당사자에게 다음을 제공하는 것을 조건으로 합니다: (a) 모든 청구, 소송 또는 요구를 인지한 즉시 서면 통지(어떠한 경우에도 20일을 초과할 수 없음), (b) 면책 대상인 모든 사안에 대한 배타적 방어 및 통제권(단, 면책 당사자가 피면책 당사자의 모든 책임을 무조건 면제하고 피면책 당사자의 잘못이나 잘못을 인정하지 않는 한 어떠한 청구도 합의하지 않는다는 전제 하에); (c) 면책 당사자의 방어 및 합의를 지원하는 합리적인 요청에 대한 협조(면책 당사자의 비용 부담). 본 조는 지식재산권 침해 청구와 관련하여 각 당사자의 단독 책임과 의무 및 유일하고 배타적인 구제 수단을 명시합니다.
10. 팔란티어 보증 및 면책 조항.
10.1 팔란티어 보증. 팔란티어는 계약 기간 동안 (a) 서비스가 문서에 따라 실질적으로 제공되고 (b) 전문 서비스가 전문적이고 업무적인 방식으로 제공될 것임을 보증합니다. 상기 보증을 위반하는 경우, 고객은 팔란티어에게 본 계약의 해지를 서면으로 통지할 수 있으며, 해지 효력 발생일 이전에 팔란티어가 위반을 시정할 수 없는 한, 해지는 팔란티어가 통지를 받은 후 삼십(30)일 후에 효력이 발생합니다. 본 보증은 그러한 위반이 고객 데이터 또는 서비스의 오용 또는 무단 수정(고객의 제4조(허용 가능한 사용)의 위반을 포함하되 이에 국한되지 않음) 또는 서비스와 관련하여 사용된 고객이 선택한 하드웨어로 인해 발생한 경우에는 적용되지 않습니다. 본 조항에 따른 고객의 권리 행사에 따라 본 계약이 해지되는 경우, 고객은 유일한 배타적 구제 수단으로서 해지 시점에 유효한 기간의 나머지 부분을 반영하여 본 계약에 따라 지불한 이용료의 비례 배분된 부분을 팔란티어로부터 환불받을 권리가 있습니다.
10.2 면책 조항. 본 계약에 명시적으로 규정된 경우를 제외하고는 본 약관에 따라 지불한 어떠한 금액도 환불 또는 상계할 수 없습니다. 본 계약에 명시적으로 명시된 경우를 제외하고, 그리고 관련 법률에서 허용하는 최대 범위까지만, 팔란티어 플랫폼 및 전문 서비스는 “있는 그대로” 제공됩니다. 팔란티어와 그 공급업체 및 서비스 제공자는 본 계약 하에서 또는 그 외의 방식으로 제공되는 팔란티어 플랫폼 및 전문 서비스와 관련하여 명시적이든 묵시적이든, 구두이든 서면이든, 모든 형태의 보증을 부인하며, 이에는 비침해, 상품성, 소유권 또는 특정 목적에의 적합성에 대한 어떠한 보증도 포함되나 이에 한정되지 않습니다. 전술한 제한을 제한함이 없이, 팔란티어는 팔란티어 플랫폼 및 전문 서비스가 고객의 요구 사항을 충족하거나 결과 또는 결론을 보장하거나 서비스 운영이 중단되지 않거나 오류가 없음을 보증하지 않습니다. 팔란티어는 제3자 서비스(가동 시간 보장, 중단 또는 장애를 포함하되 이에 국한되지 않음), 고객 데이터 또는 제3자 콘텐츠에 대해 어떠한 책임이나 의무도 지지 않습니다. 팔란티어는 통신 시설, 인터넷 또는 제3자 서비스를 통한 정보 또는 고객 데이터 전송을 통제하지 않으며, 이러한 통신 시설의 사용에 내재된 지연 및 기타 문제가 서비스에 영향을 미칠 수 있습니다. 팔란티어는 이러한 문제로 인해 발생하는 지연, 장애 또는 기타 손해에 대해 책임을 지지 않습니다.
11. 고객 보증. 고객은 다음의 사항을 진술하고 보증합니다. (a) 고객은 관련 법률 또는 정책에서 요구하는 대로 필요한 모든 통지를 제공하고 필요한 모든 동의, 허가, 승인 및/또는 계약을 획득했으며, 고객이 지정한 범위, 목적 및 지침에 따라 팔란티어가 개인 데이터를 포함한 고객 데이터를 처리하는 데 적용되는 의무사항을 팔란티어에 고지하였고, 고객은 팔란티어가 법률 또는 규정(현지화 요건 포함) 또는 제3자의 권리를 위반하는 방식으로 고객 데이터를 처리하도록 지시하지 않을 것임을 보증합니다; (b) 고객은 무단 또는 불법적인 목적으로 서비스를 사용하지 않을 것입니다;, (c) 고객은 추가 문서화가 필요한 고객 데이터를 해당 문서를 먼저 실행하지 않고 서비스에 업로드하거나 가져오지 않습니다. 고객이 서비스 내에서 또는 서비스 사용을 통해 통합, 사용 또는 기타 방식으로 제공하는 모든 고객 데이터와 그로부터 도출된 결론은 고객의 책임 하에 이루어지며, 고객은 그로 인해 발생하는 모든 당사자의 손해 또는 손실에 대해 전적으로 책임을 집니다.
12. 책임의 제한. 관련 법률이 허용하는 최대 한도 내에서 본 계약의 다른 조항에도 불구하고 어느 당사자도 상대방 또는 그 계열사에 대하여 다음과 같은 손해에 대해 책임을 지지 않습니다: (a) 대체 제품 또는 서비스의 조달 비용, 고객 데이터의 교체 또는 복원 비용, (b) 경제적 손실, 예상 이익 또는 손실된 이익, 수익 또는 예상 절감액, 사업 손실, 계약 손실, 영업권 또는 평판의 손상 또는 손실, (c) 간접적, 특별, 부수적, 징벌적 또는 결과적 손실 또는 손해(당사자가 그러한 손실 또는 손해의 가능성에 대해 조언을 받았더라도 본 계약의 이행 또는 위반 또는 Palantir 플랫폼 사용 또는 사용 불가로 인해 발생하는지 여부와 무관함). 단, 본 계약 제5조 및 제9.2조에 명시된 당사자의 의무, 그리고 고객의 본 계약상의 지급 의무에는 예외가 있으며, 관련 법률이 허용하는 최대 한도 내에서 각 당사자와 그 계열사가 상대방과 그 계열사에게 부담하는 모든 종류의 청구에 대한 총 책임의 한도는 다음 중 더 큰 금액을 초과하지 않습니다: A) 해당 청구 사유가 발생하기 직전 12개월 동안 고객이 팔란티어에 지불했거나 지불해야 하는 서비스 또는 전문가 서비스에 대한 수수료 또는 b) 미화 100,000달러(USD 100,000). 당사자는 이러한 구제책이 공정하고 적절하다는 점에 동의합니다. 전술한 문장에도 불구하고, 계약 기간 동안 고객이 지급해야 할 수수료가 없는 경우에는, 제5조 및 제9.2조에 명시된 당사자의 의무와 고객의 지급 의무를 제외하고, 관련 법률이 허용하는 최대 범위 내에서 각 당사자와 그 계열사가 상대방 및 그 계열사에게 부담하는 모든 종류의 청구에 대한 총 책임의 한도는 미화 50,000달러(USD 50,000)를 초과하지 않으며, 이는 공정하고 적절한 구제수단으로 간주됩니다. 본 제12조에 명시된 제한은 계약, 불법행위(과실 포함), 무과실책임 또는 기타 법적 또는 형평법상 이론에 근거한 청구인지 여부에 관계없이 적용됩니다.
13. 분쟁 해결. 중재 가능성을 포함하여 본 계약으로 인해 또는 본 계약과 관련하여 발생하는 모든 분쟁, 논쟁 또는 청구는 분쟁 통지 후 육십(60)일 이내에 선의의 논의를 거쳐 해결할 수 없는 경우 중재를 통해 최종적으로 해결됩니다. 준거법은 미국 뉴욕주의 실체법으로 하며 해당 법의 국제사법(CONFLICTS OF LAW) 조항은 적용되지 않습니다. 중재는 미국 뉴욕주 뉴욕에서 JUDICIAL ARBITRATION AND MEDIATION SERVICES, INC. (“JAMS”)의 포괄적 중재 규칙 (COMPREHENSIVE ARBITRATION RULES AND PROCEDURES) 및 미국 연방 증거법에 따라 진행됩니다(단, JAMS 규칙 22(d) 또는 이와 상반되는 기타 JAMS 규칙에도 불구하고, 연방증거법 적용). 당사자들은 개별적으로만 중재를 진행하기로 합의하며, 본 계약은 집단 중재 또는 어떠한 집단, 대표, PAGA, 공동 또는 대표 중재 절차에서의 원고 또는 집단 구성원으로서 제기하는 어떠한 청구도 허용하지 않습니다. 중재판정부는 둘 이상의 청구를 병합할 수 없으며, 기타 어떠한 형태로든 대표 또는 집단 절차도 주재할 수 없습니다. 전술한 내용에도 불구하고, 각 당사자는 중재인의 최종 결정이 내려지기 전까지의 기간 동안, 가처분 명령을 구하기 위하여 적절한 관할 법원에 언제든지 소를 제기할 권리를 갖습니다. 단, (a) 해당 소송을 제기하는 당사자는 본 계약 제6조에 따라, 공개 범위를 제한하기 위해, 소송을 비공개로 접수할 수 있는 명령(또는 최소한 비밀 정보 또는 영업 비밀이 포함된 서류에 대하여 비공개로 접수하는 명령)을 요청해야 하며, (b) 영구 금지 명령 및 손해배상은 오직 중재인(들)만이 결정할 수 있습니다.
14. 계약 업데이트.
14.1 본 계약의 업데이트. 팔란티어는 언제든지 본 계약을 수정할 수 있는 권리를 보유하며, 그러한 수정이 있을 경우 본 계약을 업데이트할 것입니다. 팔란티어는 웹사이트에 공지를 게시하거나 해당 주문 제출 양식 또는 고객 계정에 명시된 기본 이메일 주소로 이메일을 전송하여 본 계약의 사후 변경 사항을 고객에게 통지합니다. 본 계약의 모든 수정 사항은 팔란티어가 그러한 통지를 제공한 후 삼십(30)일 후에 효력이 발생합니다. 팔란티어가 상기 통지를 제공한 후 삼십(30) 일 이내에 고객이 팔란티어 플랫폼을 계속 사용하면 본 계약의 해당 개정에 동의하는 것으로 간주됩니다. 기타 모든 수정 사항의 경우, 고객이 팔란티어 플랫폼을 계속 사용하면 본 계약의 개정에 동의하는 것으로 간주됩니다. 팔란티어는 언제든지 수시로 팔란티어 플랫폼(또는 그 일부)을 일시적 또는 영구적으로 수정(기능 또는 도구의 사용 중단 포함)할 수 있는 권리를 보유합니다.
15. 기타. 팔란티어는 주문 제출 양식에 명시된 범위를 제외하고 고객의 구체적인 서비스 활용과 관계없이, 그리고 고객이 본 계약을 준수하는 것을 전제로, 데이터 보호 및 개인 데이터의 국제 전송에 관한 사항을 포함하되 이에 국한되지 않고 일반적으로 팔란티어의 서비스 및 전문 서비스 제공에 적용되는 법률 및 규정에 따라 서비스 및 전문 서비스를 제공해야 합니다. 양 당사자는 https://palantir.pactsafe.io/aip-legal-3791.html에서 제공되는 팔란티어 AIP 부록을 준수해야 하며, 이 부록은 본 계약에 참조로 통합되어 있습니다. 팔란티어의 사전 서면 동의가 없는 한, 본 계약 또는 본 계약에 따라 부여된 접속 권한 또는 사용 권한은 고객의 경영권 변경 또는 고객 자산의 전부 또는 실질적 전부 매각을 포함하되 이에 국한되지 않고 고객이 양도, 이전 또는 서브라이선스할 수 없으며, 그러한 시도는 무효가 됩니다. 팔란티어는 고객의 동의 여부에 관계없이 언제든지 본 계약의 전체 또는 일부를 다른 개인 또는 단체에 양도하거나 위임할 수 있습니다. 고객의 경영권이 변경되거나 고객 자산의 전부 또는 실질적 전부를 매각하는 경우 팔란티어는 본 계약을 해지할 수 있습니다. 팔란티어는 본 계약 또는 본 계약의 일부를 하도급할 수 있습니다. 본 계약에 따라 요구되거나 허용되는 모든 통지는 주문 제출 양식에 명시된 주소로 고객에게 서면으로 이루어져야 하며, 이메일로 통지하는 경우,legalnotices@palantir.com 또는 1200 17th Street Floor 15 Denver, CO 80202(ATTN: Legal)로 보내야 합니다. 본 계약의 어떠한 조항이 관할 법원 또는 재판소에 의해 집행 불가능하거나 무효로 판결되는 경우, 해당 조항은 필요한 최소한의 범위로 제한되거나 삭제되고, 그 외의 모든 부분에 대하여, 본 계약은 완전한 효력을 유지하고 집행 가능합니다. 어떠한 위반에 대한 권리 포기도 후속 위반에 대한 권리 포기로 간주되지 않습니다. 서비스 및 전문 서비스는 미국 상무부 산업안보국(“BIS”)이 관할하는 미국 수출관리규정(“EAR”)을 포함한 미국의 수출 및 제재 관련 법령 및 규정, 그리고 미국 재무부 해외자산통제실(“OFAC”)에서 관할하는 금수조치 및 제재 규정의 적용을 받습니다. 본 서비스는 5D002.c.1, ENC에 따라 통제됩니다. 고객은 서비스의 모든 수출, 재수출, 이전, 최종 사용 및 사용자가 미국 및 기타 해당 관할권의 수출 및 제재 법률 및 규정(미국 산업안보국 및 해외자산통제실의 규정을 포함하되 이에 국한되지 않음)을 준수하도록 보장해야 합니다. 고객은 미국 정부의 제한 대상 최종 사용자 목록에 따른 제한을 받지 않으며, 해당 목록에 명시된 개인 또는 단체가 직간접적으로 50% 이상 소유하거나 지배하지 않음을 진술합니다. 고객은 고객이 그러한 제한의 대상이 되는 경우 즉시 팔란티어에 통지해야 합니다. 고객은 팔란티어가 해당 수출 및 제재 법률 및 규정을 위반하게 하는 어떠한 조치도 취하지 않아야 합니다. 금전 지급 의무를 제외하고, 어느 당사자도 전쟁, 천재지변, 지진, 홍수, 금수 조치, 폭동, 방해 행위, 인력 부족 또는 분쟁, 정부 조치, 인터넷, 통신 또는 호스팅 서비스 제공업체의 실패, 컴퓨터 공격 또는 악의적 행위를 포함하되 이에 국한되지 않는, 합리적인 통제를 벗어나는 원인으로 인한 본 계약상의 불이행 또는 지연에 대해 책임을 지지 않습니다. 단, 지연된 당사자는 (a) 상대방 당사자에게 그러한 사유를 즉시 통지하고, (b) 그러한 이행 실패 또는 지연을 신속히 시정하기 위해 상업적으로 합리적인 노력을 기울여야 합니다. 팔란티어는 (a) 고객이 본 계약을 중대하게 위반하는 경우, (b) 고객, 고객 콘텐츠 또는 서비스에 영향을 미치는 보안 사고를 방지하기 위해, (c) 계속 접속하는 것이 관련 법률을 위반하는 경우 또는 관련 법률이나 규정 또는 정부, 규제 기관 또는 사법 당국의 요청이나 명령에 따라 필요한 경우에, 고객의 서비스에 대한 접속을 즉시 정지할 수 있는 권리를 가집니다. 본 계약에 따른 제3자 수혜자는 명시적이든 묵시적이든 존재하지 않습니다. 오해의 소지를 방지하기 위하여, 본 계약의 어떠한 내용도 당사자 간에 합작 투자, 고용, 파트너십, 전략적 제휴, 공식적인 제휴 또는 전략적 파트너십 관계를 형성하는 것으로 해석되어서는 안 됩니다. 본 계약은 양 당사자의 상호 이해에 대한 완전하고 배타적인 진술이며 본 계약의 주제와 관련된 이전의 모든 서면 및 구두 계약과 커뮤니케이션을 대체하고 이를 취소합니다. 본 서비스 이용약관과 주문 제출 양식 또는 부속서 간에 충돌이 발생하는 경우, 해당 주문 제출 양식 또는 부속서의 조건이 우선합니다. 팔란티어는 사울 자엔츠 컴퍼니(The Saul Zaentz Company d.b.a. Tolkien Enterprises) 또는 J.R.R. 톨킨의 유족과 어떠한 제휴 관계도 없으며, 이들로부터 어떠한 승인이나 후원을 받은 바도 없습니다.
[KOREAN] Data Protection Addendum (AIP Now)
Effective July 10th 2025
DownloadTable of Contents
1. 정의
1.1 다음 대문자로 표시된 용어의 의미는 다음과 같습니다:
- “적정 국가”란 개인정보를 이전받을 수 있고 해당 데이터보호법에 따라 개인정보를 이전하는 국가의 감독기관이 개인정보 보호 수준이 적정하다고 간주한 국가를 의미합니다;
- “계열사”는 직간접적으로 당사자를 소유 또는 지배하거나 당사자가 소유 또는 지배되거나 당사자와 공동으로 소유 또는 지배 하에 있는 법인을 의미합니다. 여기서 사용되는 ‘지배’는 법인의 경영 또는 업무를 직접 또는 간접적으로 지시하는 권한을 의미하며, ‘소유’는 법인의 의결권 있는 지분 또는 기타 동등한 의결권 지분의 50%를 초과하여 실질적으로 소유하는 것을 의미합니다. 팔란티어와 관련하여 계열사는 별첨 A, 파트 II에 나열된 모든 법인을 포함하며, 여기에 한정되지 않고, 향후 수시로 추가될 수 있는 기타 팔란티어 계열사들도 포함됩니다.;
- “기입사항”는 본 DPA의 별첨 D에 명시된 의미를 갖습니다;
- “개인정보처리자”는 개인정보 처리의 목적과 수단을 결정하는 주체를 의미하며, 해당되는 경우에는 적용 가능한 데이터 보호 법률상 “처리자” 또는 “사업자” 또는 이에 개인정보처리자 유사하거나 동등한 용어를 포함합니다;
- “고객 개인정보”는 데이터 보호법의 적용을 받는 고객 데이터에 포함된 모든 개인정보를 의미합니다;
- “데이터 사고”란 해당 데이터 보호법에 정의된 바와 같이 팔란티어가 관리하거나 달리 통제하는 시스템에서 고객 개인정보의 우발적 또는 위법적 파기, 손실, 변경, 무단 공개 또는 접근으로 이어지는 팔란티어의 보안 위반을 의미합니다;
- “데이터 보호 감독기관”이란 관련 데이터 보호법의 적용을 집행할 책임이 있는 관할 기관을 의미하며, 해당되는 경우 데이터 보호 감독기관, 개인정보 보호 감독기구, 감독 기관, 법무장관, 주 개인정보 보호 기관 또는 데이터 보호법을 집행하는 모든 정부 기관 또는 기관 산하 부서를 포함합니다;
- “데이터 보호법”이란 다음과 같이 본 계약에 따라 팔란티어가 고객 개인정보를 처리하는 데 적용되는 범위 내에서 데이터 보호, 소비자 개인정보 보호, 전자 통신 및 마케팅 법과 관련하여 수시로 개정되는 모든 관련 법률 및 규정을 의미합니다:
- 캘리포니아 소비자 개인정보 보호법 (California Consumer Privacy Act, Cal. Civ. Code § 1798.100 이하, 이하 “CCPA”) ;
- 2020년 캘리포니아 개인정보 보호 권리법(California Privacy Rights Act of 2020, 이하 “CPRA”);
- 개인정보의 처리 및 해당 정보의 자유로운 이동에 관한 자연인의 보호 에 관한 2016년 4월 27일자 유럽 의회 및 이사회 규정(Regulation (EU) 2016/679)으로, 지침 95/46/EC를 폐지한 법령, 이하 “EU GDPR”);
- EU GDPR을 2018년 영국 유럽연합(탈퇴)법(UK European Union (Withdrawal) Act 2018)에 따라 개정 및 통합하여 영국법에 포함시킨 법령, 이하 “UK GDPR”; 그리고
- 1992년 6월 19일 제정되고 이후 개정되거나 대체된 스위스 연방 개인정보 보호법(Switzerland Federal Data Protection Act), 이하 “FDP”.
- “데이터 보호 책임자”란 조직의 데이터 보호법 준수를 보장하고 데이터 보호 감독기관과 협력하기 위해 해당 데이터 보호법에 따라 필요한 경우 지정된 자연인 또는 법인을 의미합니다;
- “정보 주체”란 개인정보와 관련된 식별되거나 식별 가능한 사람을 의미하며, 해당되는 경우 “소비자” 및 기타 해당 데이터 보호법에 따른 유사하거나 동등한 용어를 포함합니다;
- “DPA 효력 발생일”이란 본 계약의 효력 발생일을 의미합니다;
- “EEA”는 유럽경제지역을 의미합니다;
- “EU 표준 계약 조항 (EU SCCs)”는 위원회 이행결정 2021/914에 따라 유럽 위원회가 승인한 유럽경제지역(EEA)로부터의 개인정보를 국외 이전과 관련하여 사용되는 표준 계약 조항을 의미하며, 이후 이를 대체하는 기타 조항이 있는 경우, 그러한 조항을 포함합니다.;
- “개인정보”는 (a) (i) 식별되거나 식별 가능한 자연인 및/또는 (ii) 식별되거나 식별 가능한 법인(해당 정보가 해당 데이터 보호법에 따라 개인정보 또는 개인식별정보와 유사하게 보호되는 경우)과 관련된 모든 정보, (b) 해당 데이터 보호법에 따라 “개인 데이터”, “개인 정보”, “개인식별정보 또는 이와 유사하거나 동등한 조건으로 취급되거나 유사한 취급을 받는 모든 정보를 의미합니다;
- “처리”는 수집, 기록, 조직, 구조화, 저장, 조정 또는 변경, 검색, 상담, 사용, 이전에 의한 제공, 보급 또는 기타 방법으로 제공, 정렬 또는 조합, 제한, 삭제 또는 파기 등, 자동 수단에 의한 것인지 여부와 관계없이 개인정보에 대해 수행되는 모든 작업 또는 작업 집합을 의미합니다. “처리”, “처리하는” 및 “처리된”이라는 용어는 그에 따라 해석됩니다;
- “수탁자”는 개인정보처리자를 대신하여 개인정보를 처리하는 주체를 의미하며, 해당되는 경우 이는 “수탁자”, “서비스 제공자”, “계약자” 및 해당되는 데이터 보호법에 따라 동일하거나 유사한 책임을 다루는 동등하거나 유사한 용어를 모두 포함합니다;
- “요청”이란 정보주체 또는 그를 대신하는 자가 데이터 보호법에 따른 권리를 행사하기 위하여 제기하는 요청을 의미합니다;
- “제한적 이전”이란 해당 데이터 보호법(또는 데이터 보호법의 데이터 이전 제한을 해결하기 위해 체결된 데이터 이전 계약의 조건)에 따라, 표준 계약 조항과 같이 아래 제14조에 따라 설정되는 보호조치를 시행하지 않는 한, 이전이 제한되거나 금지되는 국가로부터 개인정보를 이전하거나 재이전하는 것을 의미합니다;
- “보안 문서”란 팔란티어가 직접 또는 이를 대리하여 수시로 제공하는 문서로서, 서비스에 적용되는 보안 기준을 설명하는 문서를 의미합니다;
- “판매”는 정보주체의 개인정보를 제3자에게 금전적 또는 그에 상응하는 대가를 받고, 판매, 임대, 공개, 보급, 이용 가능하게 제공, 이전, 또는 그 밖의 방식으로 구두, 서면, 또는 전자적 또는 기타 방법으로 전달하는 것을 의미합니다.
- “서비스”는 원 계약 및 본 DPA에 명시된 의미를 갖습니다.
- “공유”란 금전적 또는 그 밖의 대가의 수수 여부와 관계없이, 금전이 교환되지 않는 거래를 포함하여, 정보주체의 개인정보를 교차 맥락 기반 행동 광고를 위해 제3자에게 판매, 임대, 공개, 보급, 이용 가능하게 제공, 이전 또는 그 밖의 방식으로 구두, 서면, 전자적 수단 또는 기타 수단에 의해 전달하는 것을 의미합니다.;
- “하위 수탁자”는 본 계약, 별첨 A 및 본 DPA의 기타 관련 별첨에 명시된 대로, 서비스를 제공할 목적으로 팔란티어를 대신하여 개인정보를 처리하는 모든 수탁자 또는 서비스 제공업체를 의미합니다.
- “표준 계약 조항(“SCC”)”은 다음 중 하나를 의미합니다: (a) 해당 국가의 데이터 보호법에 따라 해당 국가로부터의 개인정보 국외 이전을 정당화하기 위한 표준 데이터 보호 조항, 또는 (b) 해당 국가에 개인정보의 국외 이전을 규율하는 데이터 보호 법률은 존재하지만 승인된 표준 데이터 보호 조항이 없는 경우, EU SCC가 적용되며, 각 경우에 적절한 기입사항을 포함합니다. 또한, 특정 국가와 관련하여 둘 이상의 형태의 승인된 조항이 존재하는 경우, 적용되는 조항은 다음과 같습니다:(i) 고객이 고객 개인정보의 개인정보처리자 역할을 하는 모든 상황과 관련하여 개인정보처리자에서 수탁자로의 이전에 적용되는 형태의 조항; (ii) 고객이 고객 개인정보의 수탁자 역할을 하는 모든 상황과 관련하여 수탁자에서 수탁자로의 이전에 적용되는 형태의 조항; 및
- “기술적 및 조직적 조치”는 본 계약에서 당사자들이 합의한 기술적 및 조직적 조치와 해당 데이터 보호법에 따른 의무에 따라 팔란티어가 시행하는 추가적인 기술적 및 조직적 조치를 의미합니다.
2.1 본 DPA는 DPA 발효일로부터 효력을 발생하며 본 계약에 따라 팔란티어가 모든 고객 개인정보를 파기 또는 반환할 때까지 유효하며, 그 시점에 자동으로 종료됩니다.
3. 범위 및 적용
3.1 본 DPA는 본 계약에 통합되어 계약의 일부를 구성하며 서비스 제공 과정에서 고객을 대신하여 팔란티어가 처리하는 모든 고객 개인정보와 관련하여 팔란티어와 고객의 권리와 의무를 정합니다. 원 계약의 조항과 본 DPA의 조항 간에 의미상 충돌이 있는 경우, 본 DPA의 조항이 우선하여 적용됩니다.
4. 당사자의 역할
4.1 고객 및 관련 고객 계열사는 고객 개인정보의 수탁자 또는 해당되는 경우 하위 수탁자로 팔란티어를 지정하고 지시합니다. 따라서 양 당사자는 본 계약에 따라, 각자의 고객 개인정보 처리와 관련하여 관련 데이터 보호법을 준수해야 합니다.
4.2 양 당사자 사이에서 본 계약에 따라 처리되는 고객 개인정보와 관련하여, 고객은 개인정보처리자(또는 고객이 제3자 개인정보처리자를 위한 서비스와 관련하여 개인정보를 처리하는 경우에는 수탁자)로서의 책임과 의무를 지며, 팔란티어는 수탁자(또는 하위 수탁자)로서의 책임과 의무를 지게 됩니다.
4.3 고객이 고객 개인정보와 관련하여 수탁자(또는 하위 수탁자) 역할을 하는 경우, 고객은 관련 개인정보처리자를 대신하여, 원 계약 및 본 DPA를 체결할 수 있고 고객 개인정보와 관련한 고객 지침(아래에 정의됨)을 제공할 수 있는 유효한 권한을 부여 받은 사실을 팔란티어에 진술하고 보증합니다.
4.4 고객이 팔란티어 또는 팔란티어 계열사의 직원인 경우, 고객은 자신이 팔란티어 또는 팔란티어 계열사를 대신하여 행동하는 것이 아니며 팔란티어 기술을 통한 고객 개인정보 처리와 관련하여 별도의 독립적인 개인정보처리자로서 행동하고 있음을 인정합니다.
4.5 고객이 제3자 개인정보처리자와 공동으로 고객 개인정보를 관리하는 경우, 고객은 팔란티어 기술 사용과 관련된 고객 개인정보를 처리하는 행위가 해당 제3자 개인정보처리자로부터 적법하게 권한을 부여받아 이루어지며, 해당 데이터 보호법을 준수하여 수행됨을 진술하고 보증합니다.
4.6 고객이 새로운 사용자를 팔란티어 기술에 소개하는 경우(해당 사용자가 자신을 대신하여 행동하든 제3자를 대신하여 행동하든), 고객은 해당 사용자가 그러한 사용과 관련하여 팔란티어와 직접 별도의 계약을 체결하도록 해야 하며(해당 팔란티어 서비스 이용약관 및 관련 DPA 포함), 그러한 사용자가 팔란티어 기술을 사용하는 것은 그러한 계약 체결을 전제로 함을 인정해야 합니다.
4.7 처리의 대상 및 세부 사항은 원 계약 및 본 DPA에 설명되어 있으며, 여기에는 별첨 B(고객 개인정보 처리의 대상 및 세부 사항) 및 관련 추가 서비스에 대한 기타 관련 별첨이 포함됩니다.
4.8 팔란티어는 남용 또는 악의적인 사용자 활동에 대한 모니터링을 포함하여 서비스를 보호하기 위해, 본 계약 및 AIP Now 개인정보 처리방침에 상세히 명시된 바에 따라, 프롬프트 및 출력물을 사용 데이터로 처리합니다.
5. 고객의 개인정보 처리
5.1 고객은 서비스의 이용을 통해 이루어지는 고객 개인정보의 모든 처리, 및 그러한 처리와 관련하여 팔란티어에 제공하는 모든 지시가 관련 데이터 보호 법률을 모두 준수하도록 하여야 합니다.
5.2 고객은 팔란티어에게 다음의 상황에 고객 개인정보를 처리할 것을 지시합니다: (a) 본 계약 및 문서에 명시된 서비스를 제공하거나 그에 따른 의무를 이행하기 위해, (b) 본 계약 및 문서에 따라 고객 또는 사용자의 서비스 사용을 통해 고객이 추가로 개시한 처리의 경우, (c) 원 계약 또는 본 DPA의 범위를 벗어난 추가 지시에 따라, 고객이 제공한 기타 서면 지침에 추가로 문서화되고 팔란티어가 본 DPA의 목적을 위한 지침으로 서면으로 인정한 경우(총칭하여 “고객 지침”). 고객은 위 (c)항에 따라 발행된 추가 고객 지침으로 인해 팔란티어가 고객에게 추가 비용 또는 수수료를 부과할 수 있으며, 이는 본 계약의 조건에 따라 지급되어야 함을 인정합니다.
5.3 고객은 팔란티어 기술의 이용 및/또는 관련 전문 서비스를 제공받는 것과 관련하여, 고객 개인정보를 관련 데이터 보호 법률에 따라 적법하게 처리하는 데 대한 전적인 책임을 집니다. 이러한 책임에는 고객 개인정보의 정확성, 품질 및 적법성, 고객이 해당 개인정보를 수집하고 사용하는 방식, 고객 개인정보 처리에 대한 고객의 지시 등을 포함하되 이에 한정되지 않습니다. 고객은 자신(또는 그 개인정보처리자가)이 고객 개인정보를 처리하기 위한 유효한 법적 근거를 보유하고 있으며, 팔란티어가 본 DPA, 원 계약 및 고객 지침에 따라 고객 개인정보를 수령하고 처리할 수 있도록 하기 위하여, 관련 법률 또는 정책에 따라 요구되는 모든 고지 및 동의, 인가, 승인 및/또는 합의(고객이 수탁자 또는 하위 수탁자인 경우에는 해당 개인정보처리자로부터의 동의 및 합의를 포함함)를 제공하였거나(또는 제공되도록 하였거나), 수령하였음을 진술하고 보증합니다.
5.4 고객은 서비스 사용, 특히 서비스 내 개인정보의 사용과 관련하여 사용자에게 지침을 제공할 책임이 있습니다.
5.5 고객 개인정보에는 다음이 포함되지 않습니다:
5.5.1 관련 데이터 보호법에 따라 그러한 정부 관련 식별자의 처리가 허용되지 않는 범위 내에서의 정부 관련 식별자(해당 용어가 해당 데이터 보호법에 정의된 경우);
5.5.2 아동(해당 관할권에서의 관련 성년 연령에 따라 정의됨)과 관련된 개인정보로서, 관련 데이터 보호 법률에 따라 허용되지 않거나 해당 법률을 준수하지 않는 경우; 또는
5.5.3 명시적인 승인 없이 다른 개인정보 관리자의 통제 하에 있는 개인정보.
6. 팔란티어의 고객 개인정보 처리
6.1 팔란티어는 고객의 지침 및 서비스 내에서 해당 옵션이 제공되는 경우 고객이 승인한 기타 목적에 따라 고객에게 팔란티어 기술 및 전문 서비스를 제공하는 사업 목적(“사업 목적”)을 위하여 고객 개인정보를 처리합니다. 이러한 처리는 본 계약 및 본 DPA의 조건과 관련 데이터 보호 법률에서 정한 요구사항에 따라 수행됩니다.명확히 하자면, 고객은 팔란티어에게 본 계약 및 고객 지침에 명시된 제한적이고 특정된 사업 목적에 한하여 고객 개인정보를 제공하는 것입니다. 팔란티어는 고객 지침에 따라 고객 개인정보를 처리하며 다음을 수행합니다:
(a) 데이터 보호법에서 요구하는 대로 데이터 보호 책임자를 지정하고 유지하며, 해당 책임자는 privacy@palantir.com 으로 연락할 수 있습니다;
(b) 고객 지침에 따른 사업 목적의 이행을 위한 경우를 제외하고, 양 당사자 간의 직접적인 사업적 관계 외에서 고객 개인정보를 판매, 공유, 또는 보유, 이용, 공개하거나 처리하지 않습니다. 단, 관련 법률 또는 규정, 사법·정부·규제 기관(소환장을 포함하되 이에 한정되지 않음)의 요청이나 명령에 따라 달리 처리할 의무가 있는 경우에는 예외로 하며, 이 경우 팔란티어는 해당 처리가 이루어지기 전에 고객에게 그러한 법적 요구사항을 통지합니다(단, 법적으로 그러한 통지가 금지된 경우는 제외).;
(c) 고객 개인정보를 다른 출처에서 수신하거나 정보주체와의 자체 상호 작용을 통해 수집한 개인정보와 결합하지 않습니다. 단, 팔란티어는 사업 목적을 수행하는 데 필요한 경우에 고객 개인정보를 결합할 수 있으며, 이 경우에도 고객 개인정보를 판매하거나 공유하지 않습니다.;
(d) 고객 개인정보를 처리하는 팔란티어의 시스템의 기밀성, 무결성, 가용성 및 복원력을 보호하기 위하여 적절한 기술적 및 조직적 보호조치를 구현합니다. 팔란티어는 기술적 및 조직적 보호조치를 수시로 업데이트할 수 있으나, 그러한 업데이트는 원래의 보호조치보다 보호 수준이 낮아서는 안 됩니다. 해당 지원이 팔란티어에게 데이터 보호 법이나 본 계약에 따라 부과된 의무를 초과하는 조치를 요구하거나, 고객 또는 고객을 대리하는 당사자가 본 계약 또는 데이터 보호 법을 위반한 행위 또는 부작위의 결과로 관련 기술적 및 조직적 보호조치가 요구되는 경우, 팔란티어의 해당 지원 제공 의무는 고객이 그러한 추가 지원에 대해 팔란티어의 합리적인 수수료를 지급하는 것을 조건으로 합니다. 본 DPA에 따른 팔란티어의 보안 의무는 관련 데이터 보호 법에 따른 고객의 자체적인 보안 의무를 침해하지 않습니다.;
(e) 하위 수탁자(아래에 정의됨)를 포함하여 고객 개인정보를 처리하도록 팔란티어에 의해 승인된 모든 사람이 본 DPA, 원 계약에 명시된 또는 기타 데이터 보호법의 요건을 충족하기에 충분한 수준으로 비밀 유지 의무를 준수하도록 보장합니다;
(f) 해당 데이터 보호법에 따라 보관이 달리 요구되지 않는 한, 본 계약의 종료 시, 관련 서비스 수행을 위해 더 이상 필요하지 않은 경우에는, 고객 개인정보를 반환하거나 파기하기 위한 합리적인 조치를 취합니다.
(g) 해당 데이터 보호법에 따라 고객에게 요구되는 것과 동일한 수준의 개인정보 보호에 부합하는 방식으로 고객 개인정보를 처리합니다.
6.2 고객은 고객 지침의 일환으로, 처리의 대상 및 기간, 처리의 성격과 목적, 개인정보의 유형 및 정보주체의 범주를 팔란티어에게 지시하여야 하며, 이때 처리의 맥락에서 수탁자가 수행하게 될 구체적인 업무와 책임 및 정보주체의 권리와 자유에 대한 위험을 고려하여야 합니다. 본 문서에 달리 정함이 있더라도, 고객은 팔란티어에 대한 어떠한 고객 지침을 포함하여, 고객의 행위 또는 부작위가 팔란티어로 하여금 데이터 보호 법률을 위반하게 하지 않도록 하여야 합니다.
6.3 고객은 데이터 보호법에 따른 의무의 맥락에서 처리에 적합한 보안 수준을 평가했으며 기술적 및 조직적 조치가 그러한 평가와 일치한다는 데 동의합니다. 고객은 또한, 팔란티어가 고객이 팔란티어에 제공하거나 서비스와 관련하여 팔란티어에 이용 가능하도록 한 구체적인 개인정보에 대해 평가하거나 인지할 수 없음을 인정하며, 그 결과 팔란티어가 제안한 기술적 및 조직적 보호조치는 일반적인 성격을 갖는 것이며, 해당 보호조치가 개인정보로 인해 발생할 수 있는 특정한 위험을 반영하는지 여부를 팔란티어는 평가할 수 없음을 인정합니다.
7. 하위 수탁자
7.1 고객은 (a) 별첨 A에 나열된 법인 및/또는 본 DPA에 명시된 특정 추가 서비스 및 (b) 모든 팔란티어 계열사의 하위 수탁자로서의 참여를 수시로 승인하지만, 팔란티어는 그러한 하위 수탁자가 어떠한 고객 개인정보도 처리하기 전에, 해당 하위 수탁자와 서면 계약을 체결하여, 본 부록에 명시된 조건과 일치하거나, 데이터 보호 법률의 요구사항을 충족하기에 충분한 조건을 부과하여야 합니다.
7.2 제7.3조에 따라 고객은 일반적으로 추가 하위 수탁자(“추가 하위 수탁자”)를 고용할 수 있는 권한을 팔란티어에게 부여하지만, 그러한 추가 하위 수탁자가 고객 개인정보를 처리하도록 허용하기 전에 팔란티어는 본 DPA에 명시된 것과 일치하거나 데이터 보호법의 요건을 충족하기에 충분한 조건을 부과하는 추가 하위 수탁자와 서면 계약을 체결해야 한다는 조건이 붙습니다.
7.3 팔란티어가 고객에 대한 서비스 제공과 관련하여 추가 하위 수탁자의 사용을 시작하기 최소 30일 전에 서비스에 대한 업데이트된 하위 수탁자 목록을 별첨 A에서 확인할 수 있으며 https://palantir.pactsafe.io/aip-now-6493.html#template-mykdyildz 에서도 확인할 수 있습니다. 팔란티어는 고객에게 해당 업데이트에 대한 통지를 받을 수 있는 메커니즘을 제공해야 합니다. 양 당사자는 이 통지가 GDPR 제28.2조 및 SCC 제9항의 통지 요건을 충족한다는 데 동의합니다. 고객이 그러한 추가 하위 수탁자에 의한 고객 개인정보 처리에 반대한다는 의사를 서면으로 표시하는 경우, 양 당사자는 고객의 우려를 해결하기 위해 노력하며 필요한 경우 고객은 계약을 해지할 수 있는 권리를 행사할 수 있습니다.
7.4 데이터 보호법이 요구하는 한도 내에서, 팔란티어는 본 7조와 관련된 하위 수탁자의 의무(“하위 수탁자의 데이터 보호 책임”)의 이행에 대해 고객에게 책임을 지며, 팔란티어는 그러한 의무의 재이행하거나 재이행 되도록 하며, 고객은 그러한 재이행으로 인해 하위 수탁자의 데이터 보호 책임과 관련하여 고객이 팔란티어에 대해 가질 수 있는 청구권이 제한됨을 인정해야 합니다.
8. 감사
8.1 팔란티어는 제3자 감사인을 통해 보안 조치의 적절성을 검증합니다. 이 감사는 독립적이고 평판이 좋은 제3자 감사인이 팔란티어의 선택과 비용 부담으로 서비스 조직 통제 2(SOC2) 또는 실질적으로 동등한 업계 표준에 따라 최소 매년 수행하며, 그 결과 감사 보고서(“보고서”)가 생성되고, 이는 팔란티어의 비밀 정보가 됩니다. 또한 서비스 및 운영은 https://www.palantir.com/information-security/ 의 “규정 준수 및 인증” 탭에 명시된 표준 및 인증을 준수하는 것으로 인증됩니다 (“인증”).
8.2 고객의 서면 요청이 있는 경우, 팔란티어는 고객에게 보고서의 기밀 요약본, 인증 준수를 입증하는 문서 및 본 DPA 제10조에 명시된 책임 정보를 제공하여 고객이 본 DPA에 따른 데이터 보안 및 데이터 보호 의무를 합리적으로 검증할 수 있도록 합니다. 제8.3조에 따라, 데이터 보호법, 표준 계약 조항 또는 본 계약에서 고객에게 보고서 및 책임 정보 외에 팔란티어 시설 또는 정보에 대한 접근을 제공하도록 요구하는 경우, 팔란티어는 본 계약, 표준 계약 조항 또는 데이터 보호법에서 명시적으로 요구하는 범위까지 고객 개인정보에 적용되는 본 DPA상의 조건의 준수에 대한 팔란티어의 감사를 고객이 허용해야 합니다.
8.3 본 8조에 따라 (그리고 8.2조에 따라 그러한 감사가 승인된 경우) 팔란티어 시설에 대한 감사를 요청하기 위해 고객은, 팔란티어에 통지해야 하며 양 당사자는 합리적으로 가능한 한 빨리 그러나 항상 사전에 감사의 합리적인 날짜, 기간 및 범위, 감사자의 신원 및 자격, 해당 감사 범위 내 정보 또는 프로세스에 대한 접근에 필요한 보안 및 기밀성 통제에 합의해야 합니다. 팔란티어는 감사 요청을 거부하거나 고객이 감사와 관련하여 요청하는 모든 지시를 따르지 않을 수 있습니다. 관련 데이터 보호법 또는 본 DPA에 따라 그러한 감사가 명백히 요구되는 경우임에도, 팔란티어가 감사 요청을 거부하는 경우, 고객은 본 계약에 따라 본 계약을 해지할 권리가 있습니다. 고객은 본 조항에 따른 요구 사항을 이행하는 데 필요한 합리적인 비용을 부담해야 합니다. 본 제8조에 따른 감사의 범위는 고객 개인정보 및 그러한 처리와 직접적으로 관련된 문서를 처리하는 데 사용되는 팔란티어 시스템 및 시설로 제한됩니다.
8.4 제8조에 따라 고객, 고객의 감사인 또는 본 DPA에 따라 상기 정보에 접근할 권한이 부여된 기타 제3자에게 제공되거나 제공된 모든 정보는 팔란티어의 비밀정보로 간주됩니다.
9. 데이터 보호 감독기관과의 협력 및 데이터 보호 영향 평가
9.1 팔란티어는 팔란티어가 수행하는 처리의 성격과 팔란티어가 이용할 수 있는 정보를 고려하여, 고객의 합리적인 요청이 있는 경우 고객의 비용으로, 데이터 보호 감독기관이 그 업무를 수행함에 있어 합리적으로 협력합니다.
9.2 서비스의 성격과 팔란티어가 이용할 수 있는 정보를 고려하여, 팔란티어는 보고서, 책임 정보 및 문서를 제공함으로써 데이터 보호 영향 평가(‘위험 평가’, ‘개인정보 영향 평가’, ‘데이터 보호 평가’ 또는 이에 준하는 문서 포함) 및 데이터 보호법에 따라 적용되는 경우 데이터 보호 감독기관에 사전 협의 또는 의무적 제출과 관련한 고객의 의무 이행을 지원합니다.
10 책임성
데이터 보호법에서 요구하는 범위 내에서, 팔란티어는 고객을 대신하여 수행한 모든 범주의 처리 활동에 대한 전자 기록을 유지하며, 여기에는 다음이 포함됩니다:
(a)수탁자 및 하위 수탁자의 이름 및 연락처 세부 정보;
(b) 수행되는 처리 유형에 대한 세부 정보;
(c) EEA 또는 영국 외부 지역 또는 국제 조직으로의 고객 개인정보 이전에 대한 세부 정보 및 적절한 보호 조치에 대한 문서(해당되는 경우); 그리고
(d) 처리와 관련하여 사용된 기술적 및 조직적 보안 조치에 대한 일반적인 설명.
11. 정보주체의 권리
11.1 고객 개인정보와 관련하여, 팔란티어가 정보주체 또는 그를 대리할 권한이 있는 자로부터 데이터 보호법에 따른 권리에 관한 요청, 청구 또는 불만 사항을 직접 접수하고, 제공된 정보로부터 해당 요청, 청구 또는 불만 사항이 고객 및 고객 개인정보와 관련된 것임을 합리적으로 확인할 수 있는 경우, 관련 법률에서 금지하는 경우를 제외하고 팔란티어는 해당 요청, 청구 또는 불만 사항을 고객에게 전달해야 합니다.
11.2 본 서비스는 고객이 고객 개인정보를 검색, 수정, 삭제 또는 제한할 수 있도록 하는 보안 기능 및 기능을 포함한 제어 기능을 제공합니다. 고객은 데이터 보호법에 따른 의무를 준수하고 정보주체의 요청에 응답하기 위한 기술적 및 조직적 조치로 이러한 제어 기능을 사용할 수 있습니다.
12. 데이터 사고
12.1 팔란티어는 데이터 사고가 발생했다고 믿을 만한 합리적인 근거가 있는 경우(또는 해당 데이터 보호법이 요구하는 경우) 이를 인지한 후 지체 없이 고객에게 통지하고 해당 데이터 보호법에 따라 포함해야 하는 모든 정보를 고객에게 제공해야 합니다. 명확히 하기 위하여, 데이터 사고에는 팔란티어의 보안 또는 하위 수탁자의 보안을 침해하지 않은 행위 또는 부작위, 포트 스캔, 공인 침투 테스트 및 서비스 거부 공격, 또는 고객 지침에 따른 고객 개인정보에 대한 접근 또는 처리 행위는 포함되지 않습니다. 팔란티어가 본 조 제12.1에 따라 데이터 사고를 통지하거나 이에 대응하는 것은, 해당 데이터 사고와 관련하여 팔란티어의 과실이나 책임이 있다는 것을 인정하는 것으로 간주되지 않습니다.
12.2 팔란티어는 데이터 사고와 관련하여 고객에게 합리적인 협조 및 지원을 제공하며, 특히 다음 사항과 관련하여 협조합니다: (a) 고객 개인정보와 관련된 개인정보 보호 또는 보안 문제를 해결하기 위하여 상업적으로 합리적인 조치를 취하는 것; (b) 데이터 사고로 영향을 받은 정보주체 또는 감독기관에 대해 고객이 적절한 통지를 할 수 있도록 필요한 범위 내에서 고객에게 요청된 지원을 제공하는 것.단, 고객은 법률 자문, 소송 또는 변호사-의뢰인 비밀특권의 적용을 포함한 효과적인 사이버 사고 대응 정책을 유지하고 이를 준수해야 하며, 데이터 사고와 관련하여 팔란티어와 선의로 협력해야 합니다. 또한 고객이 개인 또는 개인사업자인 경우, 그러한 개인 또는 개인사업자에게 합리적으로 기대되는 효과적이고 필요한 사고 대응 및 피해 완화 조치를 유지하고 준수해야 하며, 데이터 사고와 관련한 어떠한 공적 발표의 형식 및 방법에 대해서도 팔란티어와 사전 협의하여야 합니다.
12.3 본 제12조에 따라 팔란티어가 제공하는 모든 정보는 팔란티어의 비밀 정보이며, 또한 팔란티어가 본 제12조에 따라 데이터 사고를 통지하거나 이에 대응하는 것은, 해당 서비스 또는 전문 서비스(해당되는 경우)의 이행과 관련하여 팔란티어나, 해당되는 경우 그 하위 수탁자의 과실 또는 책임이 있다는 것을 인정하는 것으로 간주되지 않습니다.
13. 정보의 이전
13.1 팔란티어는 고객이 설립된 국가 외의 국가, 즉 팔란티어나 그 하위 수탁자가 시설, 직원 또는 인프라를 보유하고 있는 국가에서 개인정보를 처리할 수 있습니다.
13.2 서비스의 제공 과정에서 고객 개인정보의 처리에 제한 이전이 수반되는 경우, 즉 고객 또는 고객을 대리하여 개인정보가 적정 국가로 간주되지 않는 국가로 이전되는 것이 제한되는 국가로부터 이전되는 경우에는:
(a) 양 당사자는 이에 따라 일련의 SCC를 체결합니다. 적용 가능하고 별첨 D에 명시된 대로 해당 SCC 및 모든 필수 기입사항은 본 DPA에 통합된 것으로 간주되며 고객(이전자)과 팔란티어(수령자) 간에 적용됩니다;
(b) 팔란티어는 서비스 수행을 목적으로 한 팔란티어 계열사 간의 개인정보 이전과 관련하여, 향후 이전과 관련한 SCC의 요구사항을 충족하는 적절한 안전 장치를 제공해야 합니다.
(c) 팔란티어는 팔란티어와 제3자 하위 수탁자 간의 모든 고객 개인정보의 이전이 적절한 안전장치를 제공하고 SCC에 상응하는 조항을 포함하는 팔란티어와 해당 제3자 하위 수탁자 간의 계약 조건에 따르도록 보장합니다.
13.3 본 DPA 또는 계약의 어떠한 조항도 표준 계약 조항에 따른 팔란티어 또는 고객의 권리 또는 의무를 변경하지 않습니다.
14 책임
14.1 제14.2조에 따라, 본 계약 및 표준 계약 조항과 관련하여 또는 이와 관련하여 상대방 당사자 및 그 계열사에 대하여 각 당사자 및 그 계열사가 부담하는 총 책임은 해당 당사자에 대해 계약서상 명시된 책임 한도 및 책임 제한 조항의 적용을 받습니다.
14.2 본 DPA의 어떠한 내용도 책임의 배제 및/또는 제한을 포함하되 이에 국한되지 않는 책임과 관련된 계약 조건을 수정, 무효화 또는 개정하는 역할을 하지 않습니다.
14.3 고객은 서비스 제공 과정에서 업로드하는 모든 고객 데이터가 정확하고 모든 관련 법률을 준수하는지 확인해야 합니다. 고객 데이터와 관련하여 고객이 본 조항 또는 관련 법률을 준수하지 않아 발생하는 모든 손해, 책임, 벌금, 과징금 및 비용(제3자로부터 발생한 것을 포함함)에 대해 , 고객은 팔란티어를 방어하고 면책해야 합니다.
15. 준거법 및 관할권
15.1 양 당사자는 데이터 보호법을 준수하기 위해 또는 데이터 보호법에 따라 표준 계약 조항 또는 기타 허용된 준수 메커니즘을 이행하거나 준수하기 위해 수정이 필요한 경우 가능한 한 빨리 본 DPA의 조항을 수정해야 합니다.
15.2 본 DPA 및 이와 관련하여 발생하는 모든 분쟁 또는 청구(계약 외 분쟁 또는 청구 포함), 또는 그 대상이나 체결과 관련된 사항을 포함하여, 본 계약상 준거법에 따라 규율되고 해석됩니다. 데이터 보호법 또는 기타 관련 법률에 따라 본 DPA가 다음 중 하나의 법률을 준거법으로 하여야 한다는 요구가 있거나 그러한 요구가 발생하는 경우에는 다음의 사항이 적용됩니다: (a) 유럽연합 회원국 (그리고 현재 그러한 법률이 적용되고 있지 않은 경우), 본 DPA는 아일랜드 법률의 적용을 받고 그에 따라 해석됩니다; (b) 영국 법률의 경우, 본 DPA는 잉글랜드 및 웨일즈 법률의 적용을 받고 그에 따라 해석됩니다; 그리고/또는 (c) 기타 관할권의 법률의 경우, 본 DPA는 해당 법률을 충족하는 데 필요한 범위 내에서만 해당 관할권의 법률의 적용을 받고 그에 따라 해석됩니다.
15.3 양 당사자는 본 DPA 및 이에 따라 체결되는 문서로 인해 또는 이와 관련하여 발생할 수 있는 분쟁을 해결하기 위해 본 계약에 명시된 포럼이 독점적인 관할권을 가지며, 이에 따라 분쟁을 해결할 수 있다는 점을 취소할 수 없으며 이에 합의합니다. 단, 데이터 보호법 또는 기타 관련 법률의 의무 요건에 따라 본 DPA 및 이에 따라 체결되는 문서와 관련하여 발생하는 분쟁이 다음의 법정에서 심리되어야 하는 경우에는 예외로 합니다: (a) 유럽연합 회원국 내의 법정에서 심리되어야 하는 경우, 해당 분쟁은 아일랜드에서 심리되고; (b) 영국 내의 법정에서 심리되어야 하는 경우, 해당 분쟁은 영국과 웨일즈에서 심리되며; (c) 기타 대체적인 법정에서 심리되어야 하는 경우, 해당 분쟁은 법적으로 허용되는 범위 내에서 그 대체 법정에서 심리됩니다. 각 당사자는 그러한 법정의 관할권에 취소할 수 없이 복종하며, 해당 법정이 부적절한 장소이거나 불편한 법정이라는 이유로 소송 제기에 이의를 제기하지 않습니다.
16. 일반 조항
16.1 본 DPA의 조항이 무효이거나 집행할 수 없는 경우에도 본 DPA의 나머지 조항은 유효하며 효력을 유지합니다. 무효 또는 집행 불가능한 조항은 (i) 당사자의 의도를 최대한 보존하면서 유효성과 집행 가능성을 보장하기 위해 필요한 경우 수정하거나, 그러한 수정이 불가능할 경우에는 (ii) 해당 무효 또는 집행 불가능한 부분이 처음부터 포함되지 않은 것처럼 해석해야 합니다.
16.2 팔란티어는 데이터 보호법의 변경으로 인해 요구되는, 국외 이전을 포함한, 본 DPA의 변경 사항을 수시로 고객에게 서면 통지할 수 있습니다. 그러한 변경이 필요한 경우, 그러한 서면 통지가 고객에게 발송된 날로부터 영업일 기준 25일이 되는 날에 효력이 발생합니다.
승인된 제3자 하위 수탁자 | ||||
하위 수탁자 | 목적 | 등록 주소 | 지역 및 국가 | 국외이전방식 |
Amazon Web Services, Inc. | 클라우드 호스팅 및 인프라, 알림 및 암호화된 알림 서비스, AI 서비스. | 410 Terry Avenue North, Seattle, WA 98109, USA(미국 워싱턴주 시애틀시 테리 애비뉴 노스 410번지 (우편번호 98109)) | 고객이 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 선택한 국가 | 표준 계약 조항 |
Microsoft Corporation | 클라우드 호스팅 및 인프라, AI 서비스(Microsoft Azure) | One Microsoft Way Redmond, WA 98052, USA (미국 워싱턴주 레드먼드시 원 마이크로소프트 웨이 (우편번호 98052)) | 클라우드 호스팅 서비스를 제공하기 위한 목적상의 소재지는, 고객이 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 선택한 지역으로 합니다. 인공지능(AI) 서비스를 제공하기 위한 목적상의 소재지는 East US, South Central US, West Europe 및 향후 사용 가능해지는 기타 Azure 지역입니다. | 표준 계약 조항 |
Google LLC | 클라우드 호스팅 및 인프라(Google 클라우드 플랫폼) 및 AI 서비스. | 1600 Amphitheatre Parkway Mountain View, 94043 CA, USA (미국 캘리포니아주 마운틴뷰시 앰피시어터 파크웨이 1600번지 (우편번호 94043)) | 클라우드 호스팅 서비스를 제공하기 위한 목적상의 소재지는, 고객이 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 선택한 지역으로 합니다. 인공지능(AI) 서비스를 제공하기 위한 목적상의 소재지는 Google Vertex AI의 생성형 AI 기능이 제공되는 모든 지역 및 향후 사용 가능해지는 기타 지역입니다. | 표준 계약 조항 |
Proofpoint, Inc. | 경고 및 암호화된 알림 서비스. | 892 Ross Drive, Sunnyvale, CA 94089, USA (미국 캘리포니아주 서니베일시 로스 드라이브 892번지 (우편번호 94089)) | 고객이 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 선택한 바에 따릅니다. | 표준 계약 조항 |
Microsoft Corporation | ID 공급자로서의 사용자 인증(고객이 선택한 ID 공급자로 선택한 경우). | One Microsoft Way Redmond, WA 98052, USA (미국 워싱턴주 레드먼드시 원 마이크로소프트 웨이 (우편번호 98052)) | 미국 | 표준 계약 조항 |
OpenAI LLC | AI 서비스 | 3180 18th Street, San Francisco, CA 94110, USA (미국 캘리포니아주 샌프란시스코시 18번가 3180번지 (우편번호 94110)) | AI 서비스 제공 지역은 미국 및 향후 가능한 기타 지역이 될 수 있습니다. | 표준 계약 조항 |
Oracle America, Inc. | 클라우드 호스팅 및 인프라. | 500 Oracle Parkway, Redwood Shores, CA 94065 (미국 캘리포니아주 레드우드쇼어스 오라클 파크웨이 500번지 (우편번호 94065)) | 고객이 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 선택한 바에 따릅니다. | 표준 계약 조항 |
승인된 제3자 하위 수탁자 | ||||
하위 수탁자 | 목적 | 등록 주소 | 지역 및 국가 | 국외이전 방식 |
Amazon Web Services, Inc. | 클라우드 호스팅 및 인프라, 알림 및 암호화된 알림 서비스 | 410 Terry Avenue North, Seattle, WA 98109, USA (미국 워싱턴주 시애틀시 테리 애비뉴 노스 410번지 (우편번호 98109)) | 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 고객이 선택한 바에 따릅니다. | 표준 계약 조항 |
Microsoft Corporation | ID 공급자로서의 사용자 인증(고객이 선택한 ID 공급자로 선택한 경우). | One Microsoft Way Redmond, WA 98052, USA (미국 워싱턴주 레드먼드시 원 마이크로소프트 웨이 (우편번호 98052)) | 미국 | 표준 계약 조항 |
(i) EEA로부터의 이전과 관련된 EU 표준 계약 조항(“EU SCC”)에 대해:
(ii) EEA 이외의 다른 관할권으로부터의 국외이전과 관련된 EU SCC와 관련하여 상기 (i)(a)-(g)에 명시된 보완 사항은 이를 제외하고 적용됩니다:
(iii) 영국으로부터의 국외이전과 관련된 SCC와 관련하여, EU SCC는 (i) https://ico.org.uk/media/for-organisations/documents/4019539/international-data-transfer-addendum.pdfhttps://ico.org.uk/media/about-the-ico/consultations/2620398/draft-ico-addendum-to-com-scc-20210805.pdf 에 있는 정보 위원장의 “EU 위원회 표준 계약 조항에 대한 영국 부록” 또는 (ii) 정보 위원장이 수시로 발행할 수 있는 EU 표준 계약 조항에 대한 대체 부록(이러한 부록을 “영국 SCC”라 함)에 의해 수정된 대로 다음 항목(또는 (ii)의 경우 다음 항목과 가장 근접한 항목)을 보완하여 적용합니다:
(iv) 스위스로부터의 국외이전과 관련된 SCC와 관련여는,EU SCC가 적용되며 (위 (i)(a) ~(g)에서 정한 보완 사항들을 반영함), 다음 중 하나에 따라 수정된 형태로 적용됩니다: (a) 스위스 FDPIC의 2021년 8월 27일자 결정지침https://www.edoeb.admin.ch/edoeb/en/home/latest-news/aktuell_news.html#-1259254222]에 따라, 스위스 FADP이 적용되는 이전에 대하여 EU SCC에 적용되어야 할 수정사항을 반영한 경우, 또는 (b) 향후 FDPIC이 EU SCCs에 대하여 정한 수정사항에 관한 후속 결정(이러한 수정사항을 “스위스 SCCs”라 함)에 따라 적용되는 경우;
(v) 다른 국가로부터의 국외이전과 관련된 SCC와 관련하여 위의 (i)(a)-(g)에 명시된 기입사항을 적용하거나, 또는 해당 기입사항과 가장 유사한결과를 달성할 수 있는 기타 기입사항을 적용한다.
표준 계약 조항
Effective July 10th 2025 to July 10th 2025
DownloadTable of Contents
1. 정의
1.1 다음 대문자로 표시된 용어의 의미는 다음과 같습니다:
- “적정 국가”란 개인정보를 이전받을 수 있고 해당 데이터보호법에 따라 개인정보를 이전하는 국가의 감독기관이 개인정보 보호 수준이 적정하다고 간주한 국가를 의미합니다;
- “계열사”는 직간접적으로 당사자를 소유 또는 지배하거나 당사자가 소유 또는 지배되거나 당사자와 공동으로 소유 또는 지배 하에 있는 법인을 의미합니다. 여기서 사용되는 ‘지배’는 법인의 경영 또는 업무를 직접 또는 간접적으로 지시하는 권한을 의미하며, ‘소유’는 법인의 의결권 있는 지분 또는 기타 동등한 의결권 지분의 50%를 초과하여 실질적으로 소유하는 것을 의미합니다. 팔란티어와 관련하여 계열사는 별첨 A, 파트 II에 나열된 모든 법인을 포함하며, 여기에 한정되지 않고, 향후 수시로 추가될 수 있는 기타 팔란티어 계열사들도 포함됩니다.;
- “기입사항”는 본 DPA의 별첨 D에 명시된 의미를 갖습니다;
- “개인정보처리자”는 개인정보 처리의 목적과 수단을 결정하는 주체를 의미하며, 해당되는 경우에는 적용 가능한 데이터 보호 법률상 “처리자” 또는 “사업자” 또는 이에 개인정보처리자 유사하거나 동등한 용어를 포함합니다;
- “고객 개인정보”는 데이터 보호법의 적용을 받는 고객 데이터에 포함된 모든 개인정보를 의미합니다;
- “데이터 사고”란 해당 데이터 보호법에 정의된 바와 같이 팔란티어가 관리하거나 달리 통제하는 시스템에서 고객 개인정보의 우발적 또는 위법적 파기, 손실, 변경, 무단 공개 또는 접근으로 이어지는 팔란티어의 보안 위반을 의미합니다;
- “데이터 보호 감독기관”이란 관련 데이터 보호법의 적용을 집행할 책임이 있는 관할 기관을 의미하며, 해당되는 경우 데이터 보호 감독기관, 개인정보 보호 감독기구, 감독 기관, 법무장관, 주 개인정보 보호 기관 또는 데이터 보호법을 집행하는 모든 정부 기관 또는 기관 산하 부서를 포함합니다;
- “데이터 보호법”이란 다음과 같이 본 계약에 따라 팔란티어가 고객 개인정보를 처리하는 데 적용되는 범위 내에서 데이터 보호, 소비자 개인정보 보호, 전자 통신 및 마케팅 법과 관련하여 수시로 개정되는 모든 관련 법률 및 규정을 의미합니다:
- 캘리포니아 소비자 개인정보 보호법 (California Consumer Privacy Act, Cal. Civ. Code § 1798.100 이하, 이하 “CCPA”) ;
- 2020년 캘리포니아 개인정보 보호 권리법(California Privacy Rights Act of 2020, 이하 “CPRA”);
- 개인정보의 처리 및 해당 정보의 자유로운 이동에 관한 자연인의 보호 에 관한 2016년 4월 27일자 유럽 의회 및 이사회 규정(Regulation (EU) 2016/679)으로, 지침 95/46/EC를 폐지한 법령, 이하 “EU GDPR”);
- EU GDPR을 2018년 영국 유럽연합(탈퇴)법(UK European Union (Withdrawal) Act 2018)에 따라 개정 및 통합하여 영국법에 포함시킨 법령, 이하 “UK GDPR”; 그리고
- 1992년 6월 19일 제정되고 이후 개정되거나 대체된 스위스 연방 개인정보 보호법(Switzerland Federal Data Protection Act), 이하 “FDP”.
- “데이터 보호 책임자”란 조직의 데이터 보호법 준수를 보장하고 데이터 보호 감독기관과 협력하기 위해 해당 데이터 보호법에 따라 필요한 경우 지정된 자연인 또는 법인을 의미합니다;
- “정보 주체”란 개인정보와 관련된 식별되거나 식별 가능한 사람을 의미하며, 해당되는 경우 “소비자” 및 기타 해당 데이터 보호법에 따른 유사하거나 동등한 용어를 포함합니다;
- “DPA 효력 발생일”이란 본 계약의 효력 발생일을 의미합니다;
- “EEA”는 유럽경제지역을 의미합니다;
- “EU 표준 계약 조항 (EU SCCs)”는 위원회 이행결정 2021/914에 따라 유럽 위원회가 승인한 유럽경제지역(EEA)로부터의 개인정보를 국외 이전과 관련하여 사용되는 표준 계약 조항을 의미하며, 이후 이를 대체하는 기타 조항이 있는 경우, 그러한 조항을 포함합니다.;
- “개인정보”는 (a) (i) 식별되거나 식별 가능한 자연인 및/또는 (ii) 식별되거나 식별 가능한 법인(해당 정보가 해당 데이터 보호법에 따라 개인정보 또는 개인식별정보와 유사하게 보호되는 경우)과 관련된 모든 정보, (b) 해당 데이터 보호법에 따라 “개인 데이터”, “개인 정보”, “개인식별정보 또는 이와 유사하거나 동등한 조건으로 취급되거나 유사한 취급을 받는 모든 정보를 의미합니다;
- “처리”는 수집, 기록, 조직, 구조화, 저장, 조정 또는 변경, 검색, 상담, 사용, 이전에 의한 제공, 보급 또는 기타 방법으로 제공, 정렬 또는 조합, 제한, 삭제 또는 파기 등, 자동 수단에 의한 것인지 여부와 관계없이 개인정보에 대해 수행되는 모든 작업 또는 작업 집합을 의미합니다. “처리”, “처리하는” 및 “처리된”이라는 용어는 그에 따라 해석됩니다;
- “수탁자”는 개인정보처리자를 대신하여 개인정보를 처리하는 주체를 의미하며, 해당되는 경우 이는 “수탁자”, “서비스 제공자”, “계약자” 및 해당되는 데이터 보호법에 따라 동일하거나 유사한 책임을 다루는 동등하거나 유사한 용어를 모두 포함합니다;
- “요청”이란 정보주체 또는 그를 대신하는 자가 데이터 보호법에 따른 권리를 행사하기 위하여 제기하는 요청을 의미합니다;
- “제한적 이전”이란 해당 데이터 보호법(또는 데이터 보호법의 데이터 이전 제한을 해결하기 위해 체결된 데이터 이전 계약의 조건)에 따라, 표준 계약 조항과 같이 아래 제14조에 따라 설정되는 보호조치를 시행하지 않는 한, 이전이 제한되거나 금지되는 국가로부터 개인정보를 이전하거나 재이전하는 것을 의미합니다;
- “보안 문서”란 팔란티어가 직접 또는 이를 대리하여 수시로 제공하는 문서로서, 서비스에 적용되는 보안 기준을 설명하는 문서를 의미합니다;
- “판매”는 정보주체의 개인정보를 제3자에게 금전적 또는 그에 상응하는 대가를 받고, 판매, 임대, 공개, 보급, 이용 가능하게 제공, 이전, 또는 그 밖의 방식으로 구두, 서면, 또는 전자적 또는 기타 방법으로 전달하는 것을 의미합니다.
- “서비스”는 원 계약 및 본 DPA에 명시된 의미를 갖습니다.
- “공유”란 금전적 또는 그 밖의 대가의 수수 여부와 관계없이, 금전이 교환되지 않는 거래를 포함하여, 정보주체의 개인정보를 교차 맥락 기반 행동 광고를 위해 제3자에게 판매, 임대, 공개, 보급, 이용 가능하게 제공, 이전 또는 그 밖의 방식으로 구두, 서면, 전자적 수단 또는 기타 수단에 의해 전달하는 것을 의미합니다.;
- “하위 수탁자”는 본 계약, 별첨 A 및 본 DPA의 기타 관련 별첨에 명시된 대로, 서비스를 제공할 목적으로 팔란티어를 대신하여 개인정보를 처리하는 모든 수탁자 또는 서비스 제공업체를 의미합니다.
- “표준 계약 조항(“SCC”)”은 다음 중 하나를 의미합니다: (a) 해당 국가의 데이터 보호법에 따라 해당 국가로부터의 개인정보 국외 이전을 정당화하기 위한 표준 데이터 보호 조항, 또는 (b) 해당 국가에 개인정보의 국외 이전을 규율하는 데이터 보호 법률은 존재하지만 승인된 표준 데이터 보호 조항이 없는 경우, EU SCC가 적용되며, 각 경우에 적절한 기입사항을 포함합니다. 또한, 특정 국가와 관련하여 둘 이상의 형태의 승인된 조항이 존재하는 경우, 적용되는 조항은 다음과 같습니다:(i) 고객이 고객 개인정보의 개인정보처리자 역할을 하는 모든 상황과 관련하여 개인정보처리자에서 수탁자로의 이전에 적용되는 형태의 조항; (ii) 고객이 고객 개인정보의 수탁자 역할을 하는 모든 상황과 관련하여 수탁자에서 수탁자로의 이전에 적용되는 형태의 조항; 및
- “기술적 및 조직적 조치”는 본 계약에서 당사자들이 합의한 기술적 및 조직적 조치와 해당 데이터 보호법에 따른 의무에 따라 팔란티어가 시행하는 추가적인 기술적 및 조직적 조치를 의미합니다.
2.1 본 DPA는 DPA 발효일로부터 효력을 발생하며 본 계약에 따라 팔란티어가 모든 고객 개인정보를 파기 또는 반환할 때까지 유효하며, 그 시점에 자동으로 종료됩니다.
3. 범위 및 적용
3.1 본 DPA는 본 계약에 통합되어 계약의 일부를 구성하며 서비스 제공 과정에서 고객을 대신하여 팔란티어가 처리하는 모든 고객 개인정보와 관련하여 팔란티어와 고객의 권리와 의무를 정합니다. 원 계약의 조항과 본 DPA의 조항 간에 의미상 충돌이 있는 경우, 본 DPA의 조항이 우선하여 적용됩니다.
4. 당사자의 역할
4.1 고객 및 관련 고객 계열사는 고객 개인정보의 수탁자 또는 해당되는 경우 하위 수탁자로 팔란티어를 지정하고 지시합니다. 따라서 양 당사자는 본 계약에 따라, 각자의 고객 개인정보 처리와 관련하여 관련 데이터 보호법을 준수해야 합니다.
4.2 양 당사자 사이에서 본 계약에 따라 처리되는 고객 개인정보와 관련하여, 고객은 개인정보처리자(또는 고객이 제3자 개인정보처리자를 위한 서비스와 관련하여 개인정보를 처리하는 경우에는 수탁자)로서의 책임과 의무를 지며, 팔란티어는 수탁자(또는 하위 수탁자)로서의 책임과 의무를 지게 됩니다.
4.3 고객이 고객 개인정보와 관련하여 수탁자(또는 하위 수탁자) 역할을 하는 경우, 고객은 관련 개인정보처리자를 대신하여, 원 계약 및 본 DPA를 체결할 수 있고 고객 개인정보와 관련한 고객 지침(아래에 정의됨)을 제공할 수 있는 유효한 권한을 부여 받은 사실을 팔란티어에 진술하고 보증합니다.
4.4 고객이 팔란티어 또는 팔란티어 계열사의 직원인 경우, 고객은 자신이 팔란티어 또는 팔란티어 계열사를 대신하여 행동하는 것이 아니며 팔란티어 기술을 통한 고객 개인정보 처리와 관련하여 별도의 독립적인 개인정보처리자로서 행동하고 있음을 인정합니다.
4.5 고객이 제3자 개인정보처리자와 공동으로 고객 개인정보를 관리하는 경우, 고객은 팔란티어 기술 사용과 관련된 고객 개인정보를 처리하는 행위가 해당 제3자 개인정보처리자로부터 적법하게 권한을 부여받아 이루어지며, 해당 데이터 보호법을 준수하여 수행됨을 진술하고 보증합니다.
4.6 고객이 새로운 사용자를 팔란티어 기술에 소개하는 경우(해당 사용자가 자신을 대신하여 행동하든 제3자를 대신하여 행동하든), 고객은 해당 사용자가 그러한 사용과 관련하여 팔란티어와 직접 별도의 계약을 체결하도록 해야 하며(해당 팔란티어 서비스 이용약관 및 관련 DPA 포함), 그러한 사용자가 팔란티어 기술을 사용하는 것은 그러한 계약 체결을 전제로 함을 인정해야 합니다.
4.7 처리의 대상 및 세부 사항은 원 계약 및 본 DPA에 설명되어 있으며, 여기에는 별첨 B(고객 개인정보 처리의 대상 및 세부 사항) 및 관련 추가 서비스에 대한 기타 관련 별첨이 포함됩니다.
4.8 팔란티어는 남용 또는 악의적인 사용자 활동에 대한 모니터링을 포함하여 서비스를 보호하기 위해, 본 계약 및 AIP Now 개인정보 처리방침에 상세히 명시된 바에 따라, 프롬프트 및 출력물을 사용 데이터로 처리합니다.
5. 고객의 개인정보 처리
5.1 고객은 서비스의 이용을 통해 이루어지는 고객 개인정보의 모든 처리, 및 그러한 처리와 관련하여 팔란티어에 제공하는 모든 지시가 관련 데이터 보호 법률을 모두 준수하도록 하여야 합니다.
5.2 고객은 팔란티어에게 다음의 상황에 고객 개인정보를 처리할 것을 지시합니다: (a) 본 계약 및 문서에 명시된 서비스를 제공하거나 그에 따른 의무를 이행하기 위해, (b) 본 계약 및 문서에 따라 고객 또는 사용자의 서비스 사용을 통해 고객이 추가로 개시한 처리의 경우, (c) 원 계약 또는 본 DPA의 범위를 벗어난 추가 지시에 따라, 고객이 제공한 기타 서면 지침에 추가로 문서화되고 팔란티어가 본 DPA의 목적을 위한 지침으로 서면으로 인정한 경우(총칭하여 “고객 지침”). 고객은 위 (c)항에 따라 발행된 추가 고객 지침으로 인해 팔란티어가 고객에게 추가 비용 또는 수수료를 부과할 수 있으며, 이는 본 계약의 조건에 따라 지급되어야 함을 인정합니다.
5.3 고객은 팔란티어 기술의 이용 및/또는 관련 전문 서비스를 제공받는 것과 관련하여, 고객 개인정보를 관련 데이터 보호 법률에 따라 적법하게 처리하는 데 대한 전적인 책임을 집니다. 이러한 책임에는 고객 개인정보의 정확성, 품질 및 적법성, 고객이 해당 개인정보를 수집하고 사용하는 방식, 고객 개인정보 처리에 대한 고객의 지시 등을 포함하되 이에 한정되지 않습니다. 고객은 자신(또는 그 개인정보처리자가)이 고객 개인정보를 처리하기 위한 유효한 법적 근거를 보유하고 있으며, 팔란티어가 본 DPA, 원 계약 및 고객 지침에 따라 고객 개인정보를 수령하고 처리할 수 있도록 하기 위하여, 관련 법률 또는 정책에 따라 요구되는 모든 고지 및 동의, 인가, 승인 및/또는 합의(고객이 수탁자 또는 하위 수탁자인 경우에는 해당 개인정보처리자로부터의 동의 및 합의를 포함함)를 제공하였거나(또는 제공되도록 하였거나), 수령하였음을 진술하고 보증합니다.
5.4 고객은 서비스 사용, 특히 서비스 내 개인정보의 사용과 관련하여 사용자에게 지침을 제공할 책임이 있습니다.
5.5 고객 개인정보에는 다음이 포함되지 않습니다:
5.5.1 관련 데이터 보호법에 따라 그러한 정부 관련 식별자의 처리가 허용되지 않는 범위 내에서의 정부 관련 식별자(해당 용어가 해당 데이터 보호법에 정의된 경우);
5.5.2 아동(해당 관할권에서의 관련 성년 연령에 따라 정의됨)과 관련된 개인정보로서, 관련 데이터 보호 법률에 따라 허용되지 않거나 해당 법률을 준수하지 않는 경우; 또는
5.5.3 명시적인 승인 없이 다른 개인정보 관리자의 통제 하에 있는 개인정보.
6. 팔란티어의 고객 개인정보 처리
6.1 팔란티어는 고객의 지침 및 서비스 내에서 해당 옵션이 제공되는 경우 고객이 승인한 기타 목적에 따라 고객에게 팔란티어 기술 및 전문 서비스를 제공하는 사업 목적(“사업 목적”)을 위하여 고객 개인정보를 처리합니다. 이러한 처리는 본 계약 및 본 DPA의 조건과 관련 데이터 보호 법률에서 정한 요구사항에 따라 수행됩니다.명확히 하자면, 고객은 팔란티어에게 본 계약 및 고객 지침에 명시된 제한적이고 특정된 사업 목적에 한하여 고객 개인정보를 제공하는 것입니다. 팔란티어는 고객 지침에 따라 고객 개인정보를 처리하며 다음을 수행합니다:
(a) 데이터 보호법에서 요구하는 대로 데이터 보호 책임자를 지정하고 유지하며, 해당 책임자는 privacy@palantir.com 으로 연락할 수 있습니다;
(b) 고객 지침에 따른 사업 목적의 이행을 위한 경우를 제외하고, 양 당사자 간의 직접적인 사업적 관계 외에서 고객 개인정보를 판매, 공유, 또는 보유, 이용, 공개하거나 처리하지 않습니다. 단, 관련 법률 또는 규정, 사법·정부·규제 기관(소환장을 포함하되 이에 한정되지 않음)의 요청이나 명령에 따라 달리 처리할 의무가 있는 경우에는 예외로 하며, 이 경우 팔란티어는 해당 처리가 이루어지기 전에 고객에게 그러한 법적 요구사항을 통지합니다(단, 법적으로 그러한 통지가 금지된 경우는 제외).;
(c) 고객 개인정보를 다른 출처에서 수신하거나 정보주체와의 자체 상호 작용을 통해 수집한 개인정보와 결합하지 않습니다. 단, 팔란티어는 사업 목적을 수행하는 데 필요한 경우에 고객 개인정보를 결합할 수 있으며, 이 경우에도 고객 개인정보를 판매하거나 공유하지 않습니다.;
(d) 고객 개인정보를 처리하는 팔란티어의 시스템의 기밀성, 무결성, 가용성 및 복원력을 보호하기 위하여 적절한 기술적 및 조직적 보호조치를 구현합니다. 팔란티어는 기술적 및 조직적 보호조치를 수시로 업데이트할 수 있으나, 그러한 업데이트는 원래의 보호조치보다 보호 수준이 낮아서는 안 됩니다. 해당 지원이 팔란티어에게 데이터 보호 법이나 본 계약에 따라 부과된 의무를 초과하는 조치를 요구하거나, 고객 또는 고객을 대리하는 당사자가 본 계약 또는 데이터 보호 법을 위반한 행위 또는 부작위의 결과로 관련 기술적 및 조직적 보호조치가 요구되는 경우, 팔란티어의 해당 지원 제공 의무는 고객이 그러한 추가 지원에 대해 팔란티어의 합리적인 수수료를 지급하는 것을 조건으로 합니다. 본 DPA에 따른 팔란티어의 보안 의무는 관련 데이터 보호 법에 따른 고객의 자체적인 보안 의무를 침해하지 않습니다.;
(e) 하위 수탁자(아래에 정의됨)를 포함하여 고객 개인정보를 처리하도록 팔란티어에 의해 승인된 모든 사람이 본 DPA, 원 계약에 명시된 또는 기타 데이터 보호법의 요건을 충족하기에 충분한 수준으로 비밀 유지 의무를 준수하도록 보장합니다;
(f) 해당 데이터 보호법에 따라 보관이 달리 요구되지 않는 한, 본 계약의 종료 시, 관련 서비스 수행을 위해 더 이상 필요하지 않은 경우에는, 고객 개인정보를 반환하거나 파기하기 위한 합리적인 조치를 취합니다.
(g) 해당 데이터 보호법에 따라 고객에게 요구되는 것과 동일한 수준의 개인정보 보호에 부합하는 방식으로 고객 개인정보를 처리합니다.
6.2 고객은 고객 지침의 일환으로, 처리의 대상 및 기간, 처리의 성격과 목적, 개인정보의 유형 및 정보주체의 범주를 팔란티어에게 지시하여야 하며, 이때 처리의 맥락에서 수탁자가 수행하게 될 구체적인 업무와 책임 및 정보주체의 권리와 자유에 대한 위험을 고려하여야 합니다. 본 문서에 달리 정함이 있더라도, 고객은 팔란티어에 대한 어떠한 고객 지침을 포함하여, 고객의 행위 또는 부작위가 팔란티어로 하여금 데이터 보호 법률을 위반하게 하지 않도록 하여야 합니다.
6.3 고객은 데이터 보호법에 따른 의무의 맥락에서 처리에 적합한 보안 수준을 평가했으며 기술적 및 조직적 조치가 그러한 평가와 일치한다는 데 동의합니다. 고객은 또한, 팔란티어가 고객이 팔란티어에 제공하거나 서비스와 관련하여 팔란티어에 이용 가능하도록 한 구체적인 개인정보에 대해 평가하거나 인지할 수 없음을 인정하며, 그 결과 팔란티어가 제안한 기술적 및 조직적 보호조치는 일반적인 성격을 갖는 것이며, 해당 보호조치가 개인정보로 인해 발생할 수 있는 특정한 위험을 반영하는지 여부를 팔란티어는 평가할 수 없음을 인정합니다.
7. 하위 수탁자
7.1 고객은 (a) 별첨 A에 나열된 법인 및/또는 본 DPA에 명시된 특정 추가 서비스 및 (b) 모든 팔란티어 계열사의 하위 수탁자로서의 참여를 수시로 승인하지만, 팔란티어는 그러한 하위 수탁자가 어떠한 고객 개인정보도 처리하기 전에, 해당 하위 수탁자와 서면 계약을 체결하여, 본 부록에 명시된 조건과 일치하거나, 데이터 보호 법률의 요구사항을 충족하기에 충분한 조건을 부과하여야 합니다.
7.2 제7.3조에 따라 고객은 일반적으로 추가 하위 수탁자(“추가 하위 수탁자”)를 고용할 수 있는 권한을 팔란티어에게 부여하지만, 그러한 추가 하위 수탁자가 고객 개인정보를 처리하도록 허용하기 전에 팔란티어는 본 DPA에 명시된 것과 일치하거나 데이터 보호법의 요건을 충족하기에 충분한 조건을 부과하는 추가 하위 수탁자와 서면 계약을 체결해야 한다는 조건이 붙습니다.
7.3 팔란티어가 고객에 대한 서비스 제공과 관련하여 추가 하위 수탁자의 사용을 시작하기 최소 30일 전에 서비스에 대한 업데이트된 하위 수탁자 목록을 별첨 A에서 확인할 수 있으며 [LINK TO DPA]에서도 확인할 수 있습니다. 팔란티어는 고객에게 해당 업데이트에 대한 통지를 받을 수 있는 메커니즘을 제공해야 합니다. 양 당사자는 이 통지가 GDPR 제28.2조 및 SCC 제9항의 통지 요건을 충족한다는 데 동의합니다. 고객이 그러한 추가 하위 수탁자에 의한 고객 개인정보 처리에 반대한다는 의사를 서면으로 표시하는 경우, 양 당사자는 고객의 우려를 해결하기 위해 노력하며 필요한 경우 고객은 계약을 해지할 수 있는 권리를 행사할 수 있습니다.
7.4 데이터 보호법이 요구하는 한도 내에서, 팔란티어는 본 7조와 관련된 하위 수탁자의 의무(“하위 수탁자의 데이터 보호 책임”)의 이행에 대해 고객에게 책임을 지며, 팔란티어는 그러한 의무의 재이행하거나 재이행 되도록 하며, 고객은 그러한 재이행으로 인해 하위 수탁자의 데이터 보호 책임과 관련하여 고객이 팔란티어에 대해 가질 수 있는 청구권이 제한됨을 인정해야 합니다.
8. 감사
8.1 팔란티어는 제3자 감사인을 통해 보안 조치의 적절성을 검증합니다. 이 감사는 독립적이고 평판이 좋은 제3자 감사인이 팔란티어의 선택과 비용 부담으로 서비스 조직 통제 2(SOC2) 또는 실질적으로 동등한 업계 표준에 따라 최소 매년 수행하며, 그 결과 감사 보고서(“보고서”)가 생성되고, 이는 팔란티어의 비밀 정보가 됩니다. 또한 서비스 및 운영은 https://www.palantir.com/information-security/ 의 “규정 준수 및 인증” 탭에 명시된 표준 및 인증을 준수하는 것으로 인증됩니다 (“인증”).
8.2 고객의 서면 요청이 있는 경우, 팔란티어는 고객에게 보고서의 기밀 요약본, 인증 준수를 입증하는 문서 및 본 DPA 제10조에 명시된 책임 정보를 제공하여 고객이 본 DPA에 따른 데이터 보안 및 데이터 보호 의무를 합리적으로 검증할 수 있도록 합니다. 제8.3조에 따라, 데이터 보호법, 표준 계약 조항 또는 본 계약에서 고객에게 보고서 및 책임 정보 외에 팔란티어 시설 또는 정보에 대한 접근을 제공하도록 요구하는 경우, 팔란티어는 본 계약, 표준 계약 조항 또는 데이터 보호법에서 명시적으로 요구하는 범위까지 고객 개인정보에 적용되는 본 DPA상의 조건의 준수에 대한 팔란티어의 감사를 고객이 허용해야 합니다.
8.3 본 8조에 따라 (그리고 8.2조에 따라 그러한 감사가 승인된 경우) 팔란티어 시설에 대한 감사를 요청하기 위해 고객은, 팔란티어에 통지해야 하며 양 당사자는 합리적으로 가능한 한 빨리 그러나 항상 사전에 감사의 합리적인 날짜, 기간 및 범위, 감사자의 신원 및 자격, 해당 감사 범위 내 정보 또는 프로세스에 대한 접근에 필요한 보안 및 기밀성 통제에 합의해야 합니다. 팔란티어는 감사 요청을 거부하거나 고객이 감사와 관련하여 요청하는 모든 지시를 따르지 않을 수 있습니다. 관련 데이터 보호법 또는 본 DPA에 따라 그러한 감사가 명백히 요구되는 경우임에도, 팔란티어가 감사 요청을 거부하는 경우, 고객은 본 계약에 따라 본 계약을 해지할 권리가 있습니다. 고객은 본 조항에 따른 요구 사항을 이행하는 데 필요한 합리적인 비용을 부담해야 합니다. 본 제8조에 따른 감사의 범위는 고객 개인정보 및 그러한 처리와 직접적으로 관련된 문서를 처리하는 데 사용되는 팔란티어 시스템 및 시설로 제한됩니다.
8.4 제8조에 따라 고객, 고객의 감사인 또는 본 DPA에 따라 상기 정보에 접근할 권한이 부여된 기타 제3자에게 제공되거나 제공된 모든 정보는 팔란티어의 비밀정보로 간주됩니다.
9. 데이터 보호 감독기관과의 협력 및 데이터 보호 영향 평가
9.1 팔란티어는 팔란티어가 수행하는 처리의 성격과 팔란티어가 이용할 수 있는 정보를 고려하여, 고객의 합리적인 요청이 있는 경우 고객의 비용으로, 데이터 보호 감독기관이 그 업무를 수행함에 있어 합리적으로 협력합니다.
9.2 서비스의 성격과 팔란티어가 이용할 수 있는 정보를 고려하여, 팔란티어는 보고서, 책임 정보 및 문서를 제공함으로써 데이터 보호 영향 평가(‘위험 평가’, ‘개인정보 영향 평가’, ‘데이터 보호 평가’ 또는 이에 준하는 문서 포함) 및 데이터 보호법에 따라 적용되는 경우 데이터 보호 감독기관에 사전 협의 또는 의무적 제출과 관련한 고객의 의무 이행을 지원합니다.
10 책임성
데이터 보호법에서 요구하는 범위 내에서, 팔란티어는 고객을 대신하여 수행한 모든 범주의 처리 활동에 대한 전자 기록을 유지하며, 여기에는 다음이 포함됩니다:
(a)수탁자 및 하위 수탁자의 이름 및 연락처 세부 정보;
(b) 수행되는 처리 유형에 대한 세부 정보;
(c) EEA 또는 영국 외부 지역 또는 국제 조직으로의 고객 개인정보 이전에 대한 세부 정보 및 적절한 보호 조치에 대한 문서(해당되는 경우); 그리고
(d) 처리와 관련하여 사용된 기술적 및 조직적 보안 조치에 대한 일반적인 설명.
11. 정보주체의 권리
11.1 고객 개인정보와 관련하여, 팔란티어가 정보주체 또는 그를 대리할 권한이 있는 자로부터 데이터 보호법에 따른 권리에 관한 요청, 청구 또는 불만 사항을 직접 접수하고, 제공된 정보로부터 해당 요청, 청구 또는 불만 사항이 고객 및 고객 개인정보와 관련된 것임을 합리적으로 확인할 수 있는 경우, 관련 법률에서 금지하는 경우를 제외하고 팔란티어는 해당 요청, 청구 또는 불만 사항을 고객에게 전달해야 합니다.
11.2 본 서비스는 고객이 고객 개인정보를 검색, 수정, 삭제 또는 제한할 수 있도록 하는 보안 기능 및 기능을 포함한 제어 기능을 제공합니다. 고객은 데이터 보호법에 따른 의무를 준수하고 정보주체의 요청에 응답하기 위한 기술적 및 조직적 조치로 이러한 제어 기능을 사용할 수 있습니다.
12. 데이터 사고
12.1 팔란티어는 데이터 사고가 발생했다고 믿을 만한 합리적인 근거가 있는 경우(또는 해당 데이터 보호법이 요구하는 경우) 이를 인지한 후 지체 없이 고객에게 통지하고 해당 데이터 보호법에 따라 포함해야 하는 모든 정보를 고객에게 제공해야 합니다. 명확히 하기 위하여, 데이터 사고에는 팔란티어의 보안 또는 하위 수탁자의 보안을 침해하지 않은 행위 또는 부작위, 포트 스캔, 공인 침투 테스트 및 서비스 거부 공격, 또는 고객 지침에 따른 고객 개인정보에 대한 접근 또는 처리 행위는 포함되지 않습니다. 팔란티어가 본 조 제12.1에 따라 데이터 사고를 통지하거나 이에 대응하는 것은, 해당 데이터 사고와 관련하여 팔란티어의 과실이나 책임이 있다는 것을 인정하는 것으로 간주되지 않습니다.
12.2 팔란티어는 데이터 사고와 관련하여 고객에게 합리적인 협조 및 지원을 제공하며, 특히 다음 사항과 관련하여 협조합니다: (a) 고객 개인정보와 관련된 개인정보 보호 또는 보안 문제를 해결하기 위하여 상업적으로 합리적인 조치를 취하는 것; (b) 데이터 사고로 영향을 받은 정보주체 또는 감독기관에 대해 고객이 적절한 통지를 할 수 있도록 필요한 범위 내에서 고객에게 요청된 지원을 제공하는 것.단, 고객은 법률 자문, 소송 또는 변호사-의뢰인 비밀특권의 적용을 포함한 효과적인 사이버 사고 대응 정책을 유지하고 이를 준수해야 하며, 데이터 사고와 관련하여 팔란티어와 선의로 협력해야 합니다. 또한 고객이 개인 또는 개인사업자인 경우, 그러한 개인 또는 개인사업자에게 합리적으로 기대되는 효과적이고 필요한 사고 대응 및 피해 완화 조치를 유지하고 준수해야 하며, 데이터 사고와 관련한 어떠한 공적 발표의 형식 및 방법에 대해서도 팔란티어와 사전 협의하여야 합니다.
12.3 본 제12조에 따라 팔란티어가 제공하는 모든 정보는 팔란티어의 비밀 정보이며, 또한 팔란티어가 본 제12조에 따라 데이터 사고를 통지하거나 이에 대응하는 것은, 해당 서비스 또는 전문 서비스(해당되는 경우)의 이행과 관련하여 팔란티어나, 해당되는 경우 그 하위 수탁자의 과실 또는 책임이 있다는 것을 인정하는 것으로 간주되지 않습니다.
13. 정보의 이전
13.1 팔란티어는 고객이 설립된 국가 외의 국가, 즉 팔란티어나 그 하위 수탁자가 시설, 직원 또는 인프라를 보유하고 있는 국가에서 개인정보를 처리할 수 있습니다.
13.2 서비스의 제공 과정에서 고객 개인정보의 처리에 제한 이전이 수반되는 경우, 즉 고객 또는 고객을 대리하여 개인정보가 적정 국가로 간주되지 않는 국가로 이전되는 것이 제한되는 국가로부터 이전되는 경우에는:
(a) 양 당사자는 이에 따라 일련의 SCC를 체결합니다. 적용 가능하고 별첨 D에 명시된 대로 해당 SCC 및 모든 필수 기입사항은 본 DPA에 통합된 것으로 간주되며 고객(이전자)과 팔란티어(수령자) 간에 적용됩니다;
(b) 팔란티어는 서비스 수행을 목적으로 한 팔란티어 계열사 간의 개인정보 이전과 관련하여, 향후 이전과 관련한 SCC의 요구사항을 충족하는 적절한 안전 장치를 제공해야 합니다.
(c) 팔란티어는 팔란티어와 제3자 하위 수탁자 간의 모든 고객 개인정보의 이전이 적절한 안전장치를 제공하고 SCC에 상응하는 조항을 포함하는 팔란티어와 해당 제3자 하위 수탁자 간의 계약 조건에 따르도록 보장합니다.
13.3 본 DPA 또는 계약의 어떠한 조항도 표준 계약 조항에 따른 팔란티어 또는 고객의 권리 또는 의무를 변경하지 않습니다.
14 책임
14.1 제14.2조에 따라, 본 계약 및 표준 계약 조항과 관련하여 또는 이와 관련하여 상대방 당사자 및 그 계열사에 대하여 각 당사자 및 그 계열사가 부담하는 총 책임은 해당 당사자에 대해 계약서상 명시된 책임 한도 및 책임 제한 조항의 적용을 받습니다.
14.2 본 DPA의 어떠한 내용도 책임의 배제 및/또는 제한을 포함하되 이에 국한되지 않는 책임과 관련된 계약 조건을 수정, 무효화 또는 개정하는 역할을 하지 않습니다.
14.3 고객은 서비스 제공 과정에서 업로드하는 모든 고객 데이터가 정확하고 모든 관련 법률을 준수하는지 확인해야 합니다. 고객 데이터와 관련하여 고객이 본 조항 또는 관련 법률을 준수하지 않아 발생하는 모든 손해, 책임, 벌금, 과징금 및 비용(제3자로부터 발생한 것을 포함함)에 대해 , 고객은 팔란티어를 방어하고 면책해야 합니다.
15. 준거법 및 관할권
15.1 양 당사자는 데이터 보호법을 준수하기 위해 또는 데이터 보호법에 따라 표준 계약 조항 또는 기타 허용된 준수 메커니즘을 이행하거나 준수하기 위해 수정이 필요한 경우 가능한 한 빨리 본 DPA의 조항을 수정해야 합니다.
15.2 본 DPA 및 이와 관련하여 발생하는 모든 분쟁 또는 청구(계약 외 분쟁 또는 청구 포함), 또는 그 대상이나 체결과 관련된 사항을 포함하여, 본 계약상 준거법에 따라 규율되고 해석됩니다. 데이터 보호법 또는 기타 관련 법률에 따라 본 DPA가 다음 중 하나의 법률을 준거법으로 하여야 한다는 요구가 있거나 그러한 요구가 발생하는 경우에는 다음의 사항이 적용됩니다: (a) 유럽연합 회원국 (그리고 현재 그러한 법률이 적용되고 있지 않은 경우), 본 DPA는 아일랜드 법률의 적용을 받고 그에 따라 해석됩니다; (b) 영국 법률의 경우, 본 DPA는 잉글랜드 및 웨일즈 법률의 적용을 받고 그에 따라 해석됩니다; 그리고/또는 (c) 기타 관할권의 법률의 경우, 본 DPA는 해당 법률을 충족하는 데 필요한 범위 내에서만 해당 관할권의 법률의 적용을 받고 그에 따라 해석됩니다.
15.3 양 당사자는 본 DPA 및 이에 따라 체결되는 문서로 인해 또는 이와 관련하여 발생할 수 있는 분쟁을 해결하기 위해 본 계약에 명시된 포럼이 독점적인 관할권을 가지며, 이에 따라 분쟁을 해결할 수 있다는 점을 취소할 수 없으며 이에 합의합니다. 단, 데이터 보호법 또는 기타 관련 법률의 의무 요건에 따라 본 DPA 및 이에 따라 체결되는 문서와 관련하여 발생하는 분쟁이 다음의 법정에서 심리되어야 하는 경우에는 예외로 합니다: (a) 유럽연합 회원국 내의 법정에서 심리되어야 하는 경우, 해당 분쟁은 아일랜드에서 심리되고; (b) 영국 내의 법정에서 심리되어야 하는 경우, 해당 분쟁은 영국과 웨일즈에서 심리되며; (c) 기타 대체적인 법정에서 심리되어야 하는 경우, 해당 분쟁은 법적으로 허용되는 범위 내에서 그 대체 법정에서 심리됩니다. 각 당사자는 그러한 법정의 관할권에 취소할 수 없이 복종하며, 해당 법정이 부적절한 장소이거나 불편한 법정이라는 이유로 소송 제기에 이의를 제기하지 않습니다.
16. 일반 조항
16.1 본 DPA의 조항이 무효이거나 집행할 수 없는 경우에도 본 DPA의 나머지 조항은 유효하며 효력을 유지합니다. 무효 또는 집행 불가능한 조항은 (i) 당사자의 의도를 최대한 보존하면서 유효성과 집행 가능성을 보장하기 위해 필요한 경우 수정하거나, 그러한 수정이 불가능할 경우에는 (ii) 해당 무효 또는 집행 불가능한 부분이 처음부터 포함되지 않은 것처럼 해석해야 합니다.
16.2 팔란티어는 데이터 보호법의 변경으로 인해 요구되는, 국외 이전을 포함한, 본 DPA의 변경 사항을 수시로 고객에게 서면 통지할 수 있습니다. 그러한 변경이 필요한 경우, 그러한 서면 통지가 고객에게 발송된 날로부터 영업일 기준 25일이 되는 날에 효력이 발생합니다.
승인된 제3자 하위 수탁자 | ||||
하위 수탁자 | 목적 | 등록 주소 | 지역 및 국가 | 국외이전방식 |
Amazon Web Services, Inc. | 클라우드 호스팅 및 인프라, 알림 및 암호화된 알림 서비스, AI 서비스. | 410 Terry Avenue North, Seattle, WA 98109, USA(미국 워싱턴주 시애틀시 테리 애비뉴 노스 410번지 (우편번호 98109)) | 고객이 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 선택한 국가 | 표준 계약 조항 |
Microsoft Corporation | 클라우드 호스팅 및 인프라, AI 서비스(Microsoft Azure) | One Microsoft Way Redmond, WA 98052, USA (미국 워싱턴주 레드먼드시 원 마이크로소프트 웨이 (우편번호 98052)) | 클라우드 호스팅 서비스를 제공하기 위한 목적상의 소재지는, 고객이 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 선택한 지역으로 합니다. 인공지능(AI) 서비스를 제공하기 위한 목적상의 소재지는 East US, South Central US, West Europe 및 향후 사용 가능해지는 기타 Azure 지역입니다. | 표준 계약 조항 |
Google LLC | 클라우드 호스팅 및 인프라(Google 클라우드 플랫폼) 및 AI 서비스. | 1600 Amphitheatre Parkway Mountain View, 94043 CA, USA (미국 캘리포니아주 마운틴뷰시 앰피시어터 파크웨이 1600번지 (우편번호 94043)) | 클라우드 호스팅 서비스를 제공하기 위한 목적상의 소재지는, 고객이 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 선택한 지역으로 합니다. 인공지능(AI) 서비스를 제공하기 위한 목적상의 소재지는 Google Vertex AI의 생성형 AI 기능이 제공되는 모든 지역 및 향후 사용 가능해지는 기타 지역입니다. | 표준 계약 조항 |
Proofpoint, Inc. | 경고 및 암호화된 알림 서비스. | 892 Ross Drive, Sunnyvale, CA 94089, USA (미국 캘리포니아주 서니베일시 로스 드라이브 892번지 (우편번호 94089)) | 고객이 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 선택한 바에 따릅니다. | 표준 계약 조항 |
Microsoft Corporation | ID 공급자로서의 사용자 인증(고객이 선택한 ID 공급자로 선택한 경우). | One Microsoft Way Redmond, WA 98052, USA (미국 워싱턴주 레드먼드시 원 마이크로소프트 웨이 (우편번호 98052)) | 미국 | 표준 계약 조항 |
OpenAI LLC | AI 서비스 | 3180 18th Street, San Francisco, CA 94110, USA (미국 캘리포니아주 샌프란시스코시 18번가 3180번지 (우편번호 94110)) | AI 서비스 제공 지역은 미국 및 향후 가능한 기타 지역이 될 수 있습니다. | 표준 계약 조항 |
Oracle America, Inc. | 클라우드 호스팅 및 인프라. | 500 Oracle Parkway, Redwood Shores, CA 94065 (미국 캘리포니아주 레드우드쇼어스 오라클 파크웨이 500번지 (우편번호 94065)) | 고객이 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 선택한 바에 따릅니다. | 표준 계약 조항 |
승인된 제3자 하위 수탁자 | ||||
하위 수탁자 | 목적 | 등록 주소 | 지역 및 국가 | 국외이전 방식 |
Amazon Web Services, Inc. | 클라우드 호스팅 및 인프라, 알림 및 암호화된 알림 서비스 | 410 Terry Avenue North, Seattle, WA 98109, USA (미국 워싱턴주 시애틀시 테리 애비뉴 노스 410번지 (우편번호 98109)) | 주문서 또는 해당되는 경우 본 계약의 다른 부분에서 고객이 선택한 바에 따릅니다. | 표준 계약 조항 |
Microsoft Corporation | ID 공급자로서의 사용자 인증(고객이 선택한 ID 공급자로 선택한 경우). | One Microsoft Way Redmond, WA 98052, USA (미국 워싱턴주 레드먼드시 원 마이크로소프트 웨이 (우편번호 98052)) | 미국 | 표준 계약 조항 |