HIPAA 비즈니스 제휴 계약

비즈니스 제휴 계약

본 비즈니스 제휴 계약(“BAA”)은 귀하가 계약에 동의한 기존 고객 또는 지금 계약에 동의하는 신규 고객인지와 관계없이 당사의 서비스 약관 (“계약”)의 일부를 구성하게 됩니다. 귀하는 개인으로서 그리고 귀하의 고용주 또는 다른 법적 주체(총칭하여, “해당 주체” “귀하”, “귀하의” 또는 “고객”)를 대표하여 본 BAA를 읽고, 이해하고, 준수하는 것에 동의했으며, 비즈니스 협력사가 45 C.F.R. § 160.103에 정의된 해당 주체의 보호 건강 정보를 사용 또는 공개하는 것과 관련된 당사자들의 합의를 반영하기 위해 monday.com의 소유자인 monday.com Ltd(“monday.com”, “당사”, “우리”, “당사의” 또는 “서비스 제공자”)와 법적 구속력이 있는 계약을 체결하고 있다는 것을 알고 있습니다(“PHI”, 본 계약의 조건에 따라 전자, 종의, 구두를 포함한 모든 매체의 PHI를 총칭함}. 

양 당사자를 “당사자들”이라고 칭하고, 각각 “당자사”로 칭합니다. 본 문서에 정의되지 않은 대문자 용어는 본 계약 또는 1996년 건강보험이동성과 결과보고책무활동에 관한 법률 및 시행 규정에 따라 해당 용어에 할당된 의미를 갖으며, 종종 업데이트될 수 있습니다(총칭하여, “HIPAA”). 귀하는 본 BAA에 고객을 구속할 수 있는 모든 권한을 갖고 있거나 부여받은 것을 진술하고 보증합니다. 귀하가 본 BAA를 수행할 수 없거나, 동의, 준수, 구속될 수 없거나, 고객 또는 기타 단체를 구속할 권한이 없는 경우, 당사에 PHI를 제출하거나 제공하지 마십시오. 귀하 또는 고객이 “해당 주체”으로서 자격을 갖춘 경우, 귀하는 스스로를 대신하여, 그리고 HIPAA와 관련 데이터 보호 법률 및 규정에 따라 요구되는 범위 내에서 고객과 고객의 제휴사를 대신하여 본 BAA를 체결합니다. 본 BAA의 목적을 위해서만, 달리 명시된 경우를 제외하고, “해당 주체”이라는 용어에는 귀하, 고객 또는 고객의 제휴업체가 포함됩니다.

본 계약에 따라 서비스를 제공하는 과정에서 당사는 “비즈니스 제휴사”의 자격으로 귀하 또는 고객을 대신하여 PHI에 액세스할 수 있으며, 사용, 공개 또는 처리할 수 있습니다. 당사자들은 PHI와 관련하여 다음 조항을 합리적이고 성실하게 준수하는 데 동의합니다. 이 BAA의 서명된 사본이 필요한 경우  www.monday.com/terms/hipaa-baa에서 이 BAA를 다운로드한 뒤, 서명된 사본을 legal@monday.com으로 보내주시면 당사에서 서명한 사본을 전달해 드리겠습니다. 본 BAA의 특정 조항과 본 계약의 조항 사이에 충돌이 발생하는 경우, 상충되는 조항보다 본 BAA의 조항을 우선합니다. 

비즈니스 제휴사는 현재 당사자들 간의 계약에 명시된 대로 서비스를 제공하고, 계약에 따라 서비스를 제공하기 위해 해당 주체의 PHI를 사용 또는 공개하며, 비즈니스 제휴사는 해당 용어가 HIPAA에 따라 정의되는 해당 주체의 비즈니스 제휴사가 됩니다. 따라서 비즈니스 제휴사가 고객을 위해 생성하거나 고객을 대신하여 제공받는 PHI의 비밀성과 개인정보 보호에 관한 책임을 집니다.         

1. 승인된 사용 및 공개.  비즈니스 제휴사는 계약에 명시된 해당 주체에 대한 의무를 수행하기 위해 필요하거나 HIPAA에 따라 법률에 의해 허가가 요구되는 경우 PIA를 사용하거나 공개할 수 있습니다. 단, 비즈니스 제휴사는 해당 주체가 수행하는 경우 허용되지 않는 방식으로 PHI를 사용하거나 공개해서는 안 됩니다. 비즈니스 제휴사는 또한 다음을 수행할 수 있습니다:

 (a) PHI 사용 (i) 적절한 관리 및 집행에 필요한 경우 또는 (ii) 법적 책임을 수행하기 위한 경우.

 (b) 동일한 목적으로 제3자에게 PHI를 장기간 공개 (i) 법에 의해 공개가 요구될 경우 또는 (ii) 비즈니스 제휴사가 해당 제3자로부터 PHI가 비밀로 유지하고 사용하거나 법률에서 요구하는 경우 또는 공개된 목적을 위해서만 추가로 공개할 것이며, 제3자가 PHI의 비밀성이 침해된 경우 비즈니스 제휴사에게 통지할 것이라는 믿음직한 보증을 받은 경우.

 (c) 비즈니스 제휴사는 해당 주체의 최소한의 필요한 정책 및 절차에 부합하는 PHI를 사용, 공개, 요청하는 것에 동의합니다. 

2.   비즈니스 제휴사의 의무. 

(a)        공개 제한. 비즈니스 협력사는 본 문서, 서면 계약(계약 포함) 또는 법률에서 요구하는 사항 외에 PHI를 사용하거나 추가로 공개하지 않을 것에 동의합니다.

(b)         안전장치. 비즈니스 제휴사는 본 계약 또는 관련 계약에 따라 해당 주체를 대신하여 생성, 수신, 저장, 유지, 전송하는 PHI의 비밀성, 무결성, 사용성을 합리적이고 적절하게 보호하기 위한 행정적, 물리적, 기술적 안전 조치를 이행하고, 본 계약에서 규정하는 것 외에 또는 법률에서 요구하는 것 외에 해당 주체의 PHI를 사용하거나 공개하는 것을 방지하는 것에 동의합니다.

(c)         계약에 규정되지 않은 사용/공개 보고. 비즈니스 제휴사는 본 계약서 또는 기타 모든 서면 계약서에 의해 규정되지 않은 PHI의 사용 또는 공개에 대해 알게 되었을 경우 해당 주체에 보고하는 것에 동의합니다.

(d)         완화. 비즈니스 제휴사는 비즈니스 제휴사가 본 계약의 요건을 위반하여 PHI를 사용하거나 공개할 경우, 비즈니스 제휴사가 알고 있는 모든 폐해를 실무적으로 완화하는 데 동의합니다.

(e)         에이전트/하도급 업체 이용. 비즈니스 제휴사는 해당 주체를 대신하여 비즈니스 제휴사로부터 PHI를 받거나, 생성하거나, 수령하는 하도급 업체를 포함한 모든 에이전트가 PHI와 관련하여 비즈니스 제휴사에 적용되는 것과 실질적으로 유사한 제한 및 조건에 동의했다는 것을 보장하는 데 동의합니다. 비즈니스 제휴사는 HIPAA 및 본 계약에 따른 의무에 따라, 하도급업체와 계약을 체결할 때 본 계약의 조건보다 의무의 제한이 덜하지 않도록 보장할 전적인 책임이 있습니다.

(f)           PHI에 대한 액세스. 해당 주체로부터 PHI 사본에 대한 서면 요청을 받은 후 (15)일 이내에, 비즈니스 제휴사는 45 C.F.R. § 164.524에 따라 요청을 거부할 합리적인 사유가 있다고 판단하지 않는 한(이에 해당하는 경우 해당 주체에게 통지해야 함), 해당 주체가 해당 주체를 검사하거나 PHI를 복사하고자 하는 개인에게 응답할 수 있도록 요청한 PHI를 이용할 수 있도록 하는 데 동의합니다. 비즈니스 제휴사는 PHI가 전자적인 포맷으로 저장될 때, 서면 요청 시 제공되는 전자 형식의 PHI 사본을 포함하되 이에 국한되지 않는 전자 PHI와 관련된 보안 규칙을 준수해야 합니다.

(g)         PHI의 수정. 해당 주체로부터 PHI 수정을 요청하는 서면 요청을 받은 후 (15)일 이내에, 비즈니스 제휴사는 45 C.F.R. § 164.526에 따라 요청을 거부할 수 있는 합리적인 근가거 있다고 판단하지 않는 한(이에 해당하는 경우 해당 주체에게 통지해야 함), 해당 PHI를 수정하고 비즈니스 제휴사가 알고 있는 PHI를 보유한 모든 사람에게 수정한 사실을 통지해야 합니다.

(h)         특정 공개에 대한 회계처리.  해당 주체로부터 개인에 대한 PHI 공개 회계 처리를 서면으로 요청받은 (30)일 이내에, 비즈니스 제휴사는 해당 주체가 개인의 PHI 공개한 것에 대한 회계 처리를 요구하는 개인에게 응답할 수 있도록 지난 6년 동안 비즈니스 제휴사가 개인의 PHI를 공개한 개인 또는 단체의 목록과 공개 일자, 사유, 간략한 설명 등을 해당 주체에게 제공해야 합니다. (45 C.F.R. §164.528 참조.)

(i)           장부 및 기록에 대한 액세스.  비즈니스 제휴사는 내부 관행, 장부를 만들어야 하며, 미국 보건복지부에 요청하여 해당 주체의 개인정보보호규칙 준수 여부를 평가할 수 있도록 해당 주체를 대신하여 비즈니스 제휴사에서 수신하거나 생성하거나 수령하는 PHI의 사용과 공개에 관련된 사항을 기록으로 작성해야 합니다.

(j)           계약 해지 시 비즈니스 제휴사의 의무. 비즈니스 제휴사는 계약이 종료되거나 비즈니스 제휴사의 PHI 사용 또는 공개가 종료되었을 때, 실현 가능한 경우, 수신하거나 생성하거나 비즈니스 제휴사가 제공한 삭제 옵션을 통해 본 계약과 관련하여 어떠한 형태로든 유지하고 해당 정보의 사본을 보관하고 있지 않은 해당 주체를 대신하여 받은 모든 PHI를 반환하거나 해당 주체가 파기할 수 있도록 허용합니다. 이와 같은 반환이나 파기가 불가능한 경우 본 계약의 보호 내용을 PHI로 확장하고, PHI의 반환 또는 파기를 불가능하게 만드는 목적으로 추가적으로 사용하거나 공개하는 것을 제한합니다. 

(k)         보안 사고에 대한 보고. 비즈니스 제휴사는 보안 사고에 대하여 알게 된 경우, 해당 주체에게 보고해야 합니다.  (45 C.F.R. § 164.304에 따라 보안 사고는 허가 없이 정보에 접속하거나 사용, 공개, 파괴하거나 정보 시스템의 시스템 작동을 간섭하려는 시도 또는 성공한 것으로 정의됩니다.)  전술한 내용에도 불구하고, 당사자들은 본 조항이 시도했으나 성공하지 못한 보안 사고가 지속적으로 존재하거나 발생하는 것에 대해 비즈니스 제휴사가 해당 주체에게 통지하는 것을 인지하고 이에 동의합니다.  성공하지 못한 보안 사고에는 비즈니스 제휴사의 방화벽에 대한 핑 및 기타 브로드캐스트 공격, 포트 검색, 실패한 로그인 시도, 서비스 거부 및 위 내용의 모든 조합 또는 이러한 사고가 PHI의 무단 액세스, 사용 또는 공개를 초래하지 않은 다른 메커니즘이 포함되나 이에 국한되지 않습니다.

3.   통지 절차 위반. 

(a)         계약에 규정되어 있지 않은 사용/공개에 대한 보고. 비즈니스 제휴사는 HIPAA를 완전히 준수하여 (어떤 형태로든)PHI의 허가되지 않은, 허용할 수 없는 취득, 액세스, 사용, 공개를 포함하되 이에 국한되지 않는 모든 위반을 해당 주체에 보고하는 데 동의합니다. (어떤 형태로든) PHI의 무단 사용 또는 공개가 의심되는 경우, 이러한 통지는 비합리적인 지체 없이 그러나 비즈니스 제휴사가 이와 같이 허가되지 않은 사용이나 공개를 알게 되거나 합리적인 성실성을 발취하여 무단 사용이나 공개를 알게 된 날로부터 최소 (30)일 이내에(영업일 기준) 해당 주체에게 서면으로 통지되어야 합니다.   또한, PHI를 무단으로 사용하거나 공개한 경우, 비즈니스 제휴사는 알고 있거나 알고 있어야 할 해당 사용 또는 공개로 인해 발생한 피해를 실무적으로 가능한 범위 내에서 완화해야 합니다.

(b)        위반 보고 지침. HIPAA에 따라 보고 가능한 위반 사항이 발생할 경우, 비즈니스 제휴사는 해당 주체에 통지해야 하며, 이러한 통지에는 가능한 한 다음 정보가 포함되어 있어야 하며 이에 국한되지 않습니다: (1) 사건 날짜와 사건을 발견한 날짜가 포함되어 있는 사건에 대한 간략한 설명 (2) PHI가 훼손되었거나 손상되었을 가능성이 있는 각 개인 식별 (3) 사건에 연루된 PHI 유형에 대한 설명 (4) 사고로 인한 잠재적인 피해로부터 자신을 보호하기 위해 개인이 취해야 할 모든 조치 (5) 비즈니스 제휴사가 사건을 조사하고, PHI 손상을 완화하고, 추가 사고를 방지하기 위해 수행하고 있는 작업에 대한 간략한 설명. 통지 당시에 이러한 정보를 이용할 수 없는 경우, 비즈니스 제휴사는 정보가 입수되는 즉시 추가 정보를 제공할 수 있도록 해당 주체와 협력해야 합니다.

4. 규정 준수와 관련된 변경.

당사자들은 HIPAA가 수시로 변경되거나 명확해질 수 있으며, 이러한 변경 또는 명확화를 준수하기 위해 변호사의 조언에 따라 본 계약서의 조항이 개정될 수 있다는 것을 인지하고 있으며, 당사자들은 잠재적 또는 실제 위반이나 비준수의 원인이 되는 조항 또는 용어의 개정을 선의로 협상하는 데 동의합니다. 합리적으로 행동하는 당사자 중 한쪽이 전체 계약을 준수하기 위해 필요한 신규 조건이나 개정된 조건에 동의할 수 없는 경우, 각 당사자는 이러한 절차, 규칙, 규정, 법률에 따른 모든 의무의 준수를 보장하기 위해 필요한 경우 상대방에서 서면으로 (30)일 이내에 본 계약을 해지할 수 있습니다.

5.   기간 및 종료

(a)         기간.  본 계약은 위에 명시된 발효일에 효력이 발생하며, 계약이 종료되거나 만료됩니다. 당사자가 상대방에게 제공하거나 고객을 대신하여 생성 또는 수령하는 모든 PHI가 본 조항에 따라 파기 또는 고객에게 반환되거나, 당사자들이 PHI를 반환하거나 파기할 수 없다고 판단하는 경우, 본 계약서의 조항에 따라 해당 정보까지 보호 범위가 확장됩니다. 

(b)         종료.  계약의 다른 조항에도 불구하고, 어느 한 당사자가 합리적으로 행동하여 상대방이 본 BAA의 중요한 조건을 위반하고 서면 통지를 받은 (30)일 이내에 위반 사항을 시정하지 못했다고 판단할 경우, 어느 당사자든 즉시 본 계약을 해지할 수 있습니다.  계약이 종료되거나 비즈니스 제휴사의 PHI 사용 또는 공개가 종료될 때, 비즈니스 제휴사는 가능한 경우 해당 주체를 대신하여 수신, 생성, 관리하는 모든 PHI를 해당 주체에 반환하거나 파기할 수 있도록 허용해야 합니다. 비즈니스 제휴사는 비즈니스 제휴사에서 제공하는 자동 삭제 옵션을 통해 본 BAA와 관련된 것을 어떠한 형태로도 보관하거나, 해당 정보의 사본을 보유하지도 않습니다.

6.   기타.

(a)         통합 및 공유. 비즈니스 제휴사의 서비스를 통해 HIPAA를 준수하거나 준수하지 않을 수 있는 제3자 서비스 및 링크(모두 계약에 정의됨)와 정보를 통합, 공유, 교환하는 것을 허용합니다. 해당 주체가 이러한 제3자 서비스 또는 링크를 사용하기로 결정한 경우, 비즈니스 협력사의 서비스와 제3자 간의 PHI를 포함한 모든 정보 교환에 대한 책임은 전적으로 해당 주체에게 있습니다. 제3자 서비스 제공자는 monday.com을 대신하여 서비스를 제공하지 않으며 monday.com의 비즈니스 제휴사가 아닙니다. monday.com은 이러한 제3자 서비스 제공자가 취한 모든 사용, 공개 또는 기타 조치 또는 PHI를 포함한 모든 관련 법률, 규정 또는 계약 조항을 해장 제3자 서비스 제공업체가 준수하지 않을 경우 어떠한 책임도 명시적으로 부인합니다.

(b)        감사. 해당 법률을 준수하기 위해 필요한 경우, 비즈니스 제휴사는 합리적인 시간에 비즈니스 제휴사의 직원, PHI와 관련된 서비스가 제공되거나 제공되는 시설에 대한 적절한 통지 및 조정을 통해 해당 주체(및 해당 주체의 규제 기관)에게 접근 권한을 제공해야 합니다. 비즈니스 협력자의 기록과 기타 정보는 본 계약에 따른 비즈니스 협력자의 의무 준수 여부를 감사하는 것과 관련된 범위 내에서만 제공됩니다. 비즈니스 제휴사는 이러한 감사를 실시하는 데 있어 해당 주체 또는 그 피지명인이 합리적으로 요청한 모든 지원을 제공해야 합니다.

(c)         제3자 수혜자 없음. 본 계약에서 명시적이거나 묵시적인 어떠한 것도 해당 주체, 비즈니스 제휴사와 각각의 승계인 및 양수인을 제외한 다른 사람에게 어떠한 권리, 구제, 의무, 책임을 양도할 의도가 없으며, 양도하지 않을 것입니다.

비즈니스 제휴사는 법률이 요구하는 범위 내에서 모든 요건을 준수하고 자체 계약에 요건을 통합하는 것에 동의합니다. 본 계약은 본 문서의 주제와 관련된 당사자 간의 이전 HIPAA 비즈니스 제휴 계약을 대체합니다.

[다음 서명 페이지]

         이상의 증거로, 당사자들은 정식으로 권한을 위임받은 대리인이 본 비즈니스 제휴 계약을 실행하도록 하여 효력일부터 효력이 발생하도록 합니다.