데이터 처리 계약

본 DPA에서 사용된 용어는 GDPR(규정 (EU) 2016/679)에서 부여된 의미를 가집니다. 구체적으로:

• 개인정보: 식별되었거나 식별 가능한 자연인과 관련된 모든 정보.
• 개인정보 처리자: 처리의 목적과 수단을 결정하는 고객.
• 수탁 처리자: 개인정보 처리자를 대신하여 개인정보를 처리하는 HummingDeck.
• 하위 처리자: HummingDeck이 개인정보를 처리하기 위해 위임한 모든 제3자로, hummingdeck.com/sub-processors에 게재됩니다.
• 정보주체: 개인정보가 관련된 자연인으로, 개인정보 처리자의 직원, 연락처, 그리고 HummingDeck을 통해 공유된 문서를 조회하는 수신자(이하 "문서 조회자")를 포함합니다.

HummingDeck은 다음을 포함하여 서비스와 관련하여 처리되는 모든 개인정보에 대해 개인정보 처리자를 대신하는 수탁 처리자로서 행동합니다:

• 개인정보 처리자가 워크스페이스에 추가한 계정 보유자 및 팀원.
• 개인정보 처리자가 가져오거나 생성한 연락처 및 리드.
• 개인정보 처리자가 공유한 링크를 여는 문서 조회자.
• 문서 조회자가 생성한 참여 이벤트(페이지 조회, 페이지 체류 시간, 재방문, 국가 단위 위치, IP 기반 신호).

개인정보 처리자는 처리의 적법성, GDPR 제6조에 따른 법적 근거의 선택, 그리고 정보주체의 권리에 대한 책임을 계속해서 부담합니다.

개인정보 처리자는 다음을 진술하고 보증합니다:

• HummingDeck에 수행하도록 지시하는 처리에 대해 GDPR 제6조에 따른 유효한 법적 근거를 보유하고 있다는 점.
• GDPR 제13조 및 제14조에 따라 정보주체에게 요구되는 모든 통지를 제공하였으며, 여기에는 HummingDeck 링크를 통해 수행되는 참여 추적에 대해 문서 조회자에게 알리는 것이 포함된다는 점. 개인정보 처리자는 자체 개인정보처리방침, 공유 링크에 동반되는 이메일이나 메시지, 또는 기타 적절한 채널 중 어느 것을 통해서든 본 공개에 대한 단독 책임을 부담합니다.
• 관련 데이터 보호법을 위반하는 방식으로 HummingDeck에게 개인정보를 처리하도록 지시하지 않는다는 점.

개인정보 처리자가 공개 의무를 이행하는 것을 지원하기 위해 HummingDeck은 다음을 제공합니다:

• 문서 조회자로부터 무엇이 어떤 근거로 수집되는지를 설명하는 hummingdeck.com/privacy의 공개 개인정보처리방침.
• 요청 시 제공되는, 개인정보 처리자의 자체 개인정보처리방침에 채택하거나 수정하여 사용할 수 있는 템플릿 문구.
• hummingdeck.com/sub-processors의 공개 하위 처리자 목록.

수탁 처리자로서 HummingDeck은 다음을 이행합니다:

• 서비스 사용을 통해 제공된 지시를 포함하여, 개인정보 처리자의 문서화된 지시에 따라서만 개인정보를 처리합니다.
• 개인정보 처리 권한이 있는 자가 비밀유지 의무를 부담하도록 보장합니다.
• 적절한 기술적 및 조직적 보안 조치를 구현합니다(제5조).
• 동등한 데이터 보호 의무를 부과하는 서면 계약 하에서만 하위 처리자를 위임하며, 제6조에 따라 변경 예정 사항을 개인정보 처리자에게 통지합니다.
• 처리의 성격을 고려하여 GDPR 제3장에 따른 정보주체 요청에 응하는 개인정보 처리자의 의무 이행을 지원합니다.
• GDPR 제32조부터 제36조에 따른 보안, 침해 통지, 데이터 보호 영향 평가 및 사전 협의 의무에 대해 개인정보 처리자를 지원합니다.
• 개인정보 처리자의 데이터에 영향을 미치는 개인정보 침해 사실을 인지한 후 부당한 지연 없이(가능한 경우 72시간 이내) 개인정보 처리자에게 통지합니다.
• 서비스 종료 후 개인정보 처리자의 선택에 따라 모든 개인정보를 삭제하거나 반환하며, 법률상 보존이 요구되지 않는 한 기존 사본을 삭제합니다.
• 본 DPA의 준수를 입증하는 데 필요한 모든 정보를 개인정보 처리자에게 제공하고, 개인정보 처리자 또는 개인정보 처리자가 위임한 감사인의 감사 또는 점검을 허용합니다(제7조에 따름).

HummingDeck은 다음을 포함한 적절한 기술적 및 조직적 조치를 구현하고 유지합니다:

• 전송 중(TLS 1.2 이상) 및 저장 시(Google Cloud Storage 기본 암호화) 개인정보 암호화.
• 최소 권한 원칙에 기반한 접근 제어 및 관리자 액세스 로깅.
• 안전한 세션 처리를 사용하는 Google Firebase를 통한 인증.
• 참여 분석에서 자동화된 트래픽을 필터링하기 위한 봇 및 남용 탐지 시스템.
• 백업 및 재해 복구 절차.
• 보안 관행의 정기적 검토.

HummingDeck은 현재 SOC 2 인증을 받지 않았습니다. 공식 인증이 필요한 고객은 현재의 보안 설문지 및 일정에 대해 hello@hummingdeck.com으로 문의하시기 바랍니다.

개인정보 처리자는 HummingDeck이 hummingdeck.com/sub-processors에 기재된 하위 처리자를 위임하는 것을 승인합니다. HummingDeck은 개인정보 처리자의 개인정보를 처리하는 하위 처리자를 추가하거나 교체하기 전에 다음의 방법으로 개인정보 처리자에게 최소 30일의 사전 통지를 제공합니다:

• 공개 하위 처리자 목록을 업데이트하고,
• 변경이 처리에 중대한 영향을 미치는 경우 워크스페이스 소유자에게 이메일로 통지합니다.

개인정보 처리자가 통지일로부터 30일 이내에 데이터 보호상의 이유로 새로운 하위 처리자에 대해 선의로 이의를 제기하는 경우, 양 당사자는 우려 사항을 해결하기 위해 선의로 협력합니다. 해결책에 도달하지 못하는 경우, 개인정보 처리자는 영향을 받는 서비스 부분을 편의에 따라 해지할 수 있습니다.

HummingDeck은 합리적인 통지 하에 12개월 기간당 1회 이하(또는 규제 당국이 요구하는 경우 더 빈번하게) 다음을 제공합니다:

• 현재의 처리 활동 기록(제30조 문서).
• 보안 조치 및 제3자 평가에 관한 정보.
• 개인정보 처리자의 비용 부담 하에 원격 감사(설문지 기반 또는 화상 회의)의 기회.

현장 점검은 관련 법률 또는 구속력 있는 규제 당국 명령에 의해 요구되는 경우에 한해, 합리적인 통지 하에 그리고 개인정보 처리자의 비용 부담으로만 허용됩니다.

개인정보 처리자는 일부 하위 처리자가 유럽 경제 지역 외부, 주로 미국에 소재함을 인정합니다. 이러한 전송에 대해 HummingDeck은 관련 하위 처리자와의 계약에 통합된 유럽위원회의 표준 계약 조항(모듈 2, 처리자에게의 처리자)에 의존하며, 제5조에 명시된 기술적 및 조직적 조치로 보완합니다.

서비스 해지 시, 개인정보 처리자는 30일 이내에 애플리케이션 또는 지원을 통해 자신의 데이터에 대한 구조화된 내보내기를 요청할 수 있습니다. 30일 이후, HummingDeck은 법률상 보존이 요구되는 경우(예: 청구 기록)를 제외하고 추가 30일 이내에 프로덕션 시스템에서 모든 개인정보 처리자의 개인정보를 삭제합니다. 백업 사본은 표준 백업 순환 일정에 따라 보존되고 정해진 시점에 덮어쓰여집니다.

본 DPA에 따른 각 당사자의 책임은 양 당사자 간의 기본 계약에 명시된 책임 제한을 따릅니다.

본 DPA와 기본 계약(HummingDeck의 이용약관 포함) 간에 충돌이 있는 경우, 본 DPA가 충돌의 범위 내에서 그리고 개인정보의 처리에 한해서만 우선합니다.

HummingDeck은 관련 법률 또는 처리 관행의 변경을 반영하기 위해 수시로 본 DPA를 업데이트할 수 있습니다. 중요한 변경 사항은 시행 최소 30일 전에 워크스페이스 소유자에게 이메일로 통지됩니다. 시행일 이후 서비스를 계속 사용하는 것은 동의로 간주됩니다.

본 DPA에 관한 문의, 서명된 사본 요청, 또는 공식 정보주체 요청은 hello@hummingdeck.com으로 보내주시기 바랍니다.