1. 당사자
데이터 컨트롤러
귀하, 고객(처리 목적과 수단을 결정하는 주체)
데이터 프로세서
ClientFlow(귀하를 대신하여 개인 데이터 처리)
1.1 처리 범위
본 DPA는 다음과 같은 경우 개인 데이터 처리에 적용됩니다.
- ClientFlow는 서비스 제공의 일환으로 컨트롤러를 대신하여 개인 데이터를 처리합니다.
- 처리는 컨트롤러의 고객 관계 관리와 관련됩니다.
- 데이터 주체는 컨트롤러의 고객 및 비즈니스 연락처입니다.
처리 활동
- 고객 연락처 정보의 저장 및 구성
- 결제 거래 기록 및 추적
- 승인된 통신(알림, 알림) 전송
- 집계된 데이터를 기반으로 한 분석 및 보고서 생성
2. 데이터 카테고리
| 카테고리 | 예시 | 목적 |
|---|---|---|
| 계정 데이터 | 이메일, 이름, 프로필 사진 | 서비스 액세스 |
| 고객 데이터 | 클라이언트 이름, 전화, 이메일 | CRM 기능 |
| 결제 기록 | 금액, 날짜, 상태 | 결제 추적 |
| 사용 데이터 | 로그인 시간, 기능 사용 | 보안, 개선 |
3. 처리자의 의무
우리는:
- 문서화된 지침에 따라서만 데이터 처리
- 직원의 기밀 유지 보장
- 적절한 보안 조치 구현
- 데이터 주체 요청 지원
- 72시간 이내에 데이터 위반 알림
- 해지 시 데이터 삭제(보존 기간 후)
4. 보안 조치
인위적인
- TLS 1.3(전송)
- AES-256(유휴)
- OAuth 2.0 인증
- 역할 기반 접근 제어
- 실시간 모니터링
조직
- 보안 정책
- 사고 대응 계획
- 정기 감사
- 공급업체 보안 검토
- 직원 교육
5. 하위 프로세서
당사는 다음과 같은 승인된 하위 처리자를 사용합니다.
| 제공업체 | 서비스 | 위치 | DPF |
|---|---|---|---|
| Google Cloud | Authentication | USA | 예 |
| iyzico | 결제 | Turkey | 표준계약조항 |
| Meta (WhatsApp) | Messaging | USA | 예 |
| 재전송 | 이메일 | USA | 표준계약조항 |
| Hetzner | Hosting & Database | Germany (EU) | 표준계약조항 |
| Cloudflare | CDN & Storage | EU | 예 |
DPF = EU-US 데이터 개인 정보 보호 프레임워크 인증
하위 프로세서 변경 사항
우리는 하위 처리자에 대한 모든 변경 사항을 귀하에게 통보할 것입니다.
- 하위 처리자를 추가하거나 교체하기 최소 14일 전 사전 통지
- 등록된 계정 이메일 주소로 이메일을 통한 통지
- 14일 이내에 당사에 연락하여 변경 사항에 대해 이의를 제기할 수 있습니다.
- 이의가 해결되지 않는 경우 해당 서비스를 종료할 수 있습니다.
5.1 감사 권리
컨트롤러는 본 DPA 준수 여부를 확인할 권리가 있습니다.
- 관련 문서 및 인증 요청
- 최소 30일 서면 통지 후 감사 실시
- 감사는 정상 업무 시간 동안 실시
- 감사인은 비밀 유지 계약에 서명해야 함
감사 범위
- 보안 조치 및 기술적 보호 조치
- 하위 프로세서 규정 준수
- 데이터 처리 절차
- 사고 대응 능력
감사 결과 중대한 위반 사항이 밝혀지지 않는 한 감사 비용은 감사관이 부담해야 합니다.
6. 데이터 보관 및 삭제
귀하의 데이터는 계정 복구 및 규정 준수를 위해 보존됩니다.
| 기간 | 조치 |
|---|---|
| 즉시 | 계정 비활성화됨 |
| 무기한 | 데이터 보존(보관됨) |
| 언제든지 | 계정이 다시 활성화될 수 있음 |
7. CCPA 조항
CCPA에 따라 당사는 "서비스 제공업체" 역할을 하며 다음을 수행합니다.
- 특정 사업 목적으로만 데이터 처리
- 개인정보 판매 금지
- 소비자 권리 요청 지원
- 합당한 보안 조치 구현
8. 데이터 유출 알림
개인정보 침해가 발생한 경우 당사는 다음을 약속합니다.
알림 타임라인
- 위반 사실을 인지한 후 72시간 이내에 알림
- 위반 범위 및 영향에 대한 초기 평가 제공
- 영업일 기준 5일 이내에 자세한 서면 알림 전달
알림 내용
- 영향을 받는 데이터 주체의 범주 및 대략적인 수를 포함한 위반의 성격
- 데이터 보호 책임자의 이름 및 연락처 정보
- 위반으로 인해 발생할 수 있는 결과에 대한 설명
- 위반을 해결하기 위해 취하거나 제안한 조치
- 가능한 부작용을 완화하기 위한 조치
우리는 귀하의 조사 및 모든 규제 관련 문의에 전적으로 협조할 것이며 관련 법률에서 요구하는 대로 감독 당국 및 영향을 받는 개인에게 위반 통지를 제공하는 데 도움을 줄 것입니다.
9. 국제 데이터 전송
개인 데이터가 유럽 경제 지역(EEA) 외부로 전송되는 경우 당사는 적절한 보호 장치를 보장합니다.
전달 메커니즘
EU 적합성 결정
유럽 위원회가 적절하다고 간주하는 국가로의 전송
EU-US 데이터 개인 정보 보호 프레임워크
DPF에 따라 인증된 미국 기반 프로세서의 경우
표준 계약 조항(SCC)
기타 국가에 대한 EU 위원회 승인 조항(2021 버전) 전송
우리는 필요한 경우 이전 영향 평가를 수행하고, 본질적으로 동등한 수준의 보호를 보장하기 위해 필요한 경우 보완 조치(기술적, 조직적, 계약적)를 구현합니다.
귀하는 요청 시 관련 전송 메커니즘의 사본을 요청할 수 있습니다.
10. 책임 및 면책
프로세서 책임
ClientFlow는 본 DPA를 준수하지 않는 처리로 인해 발생한 손해에 대해 책임을 지거나 당사가 컨트롤러의 합법적인 지시를 따르지 않거나 그에 반하여 행동한 경우에 대해 책임을 집니다.
컨트롤러 책임
컨트롤러는 해당 데이터 보호법을 위반하거나 본 DPA에 따른 컨트롤러의 의무를 준수하지 않는 처리로 인해 발생한 손해에 대해 책임을 집니다.
제한 사항
- 어느 당사자도 간접적, 우발적 또는 결과적 손해에 대해 책임을 지지 않습니다.
- 본 DPA에 따른 총 책임은 청구 전 12개월 동안 지불한 수수료로 제한됩니다.
- 이러한 제한은 기밀 위반, 고의적 위법 행위 또는 중과실에는 적용되지 않습니다.
각 당사자는 배상 당사자의 본 DPA 또는 해당 데이터 보호법 위반으로 인해 발생하는 제3자 청구에 대해 상대방을 배상하는 데 동의합니다.
11. 종료 및 데이터 반환
지속
본 DPA는 서비스 계약 기간 동안 그리고 당사가 귀하를 대신하여 개인 데이터를 처리하는 동안 유효합니다.
종료 시
- 귀하의 선택에 따라 당사는 30일 이내에 모든 개인 데이터를 반환하거나 삭제할 것입니다.
- 일반적으로 사용되는 기계 판독 가능 형식으로 데이터 내보내기를 요청할 수 있습니다.
- 요청 시 삭제를 인증합니다.
- 해당 법률에서 요구하는 경우 데이터가 보관될 수 있습니다.
기밀 유지, 책임 및 데이터 보호 권리와 관련된 조항은 본 DPA가 종료된 후에도 유효합니다.