NeuroCRM데이터 처리 부속서
본 데이터 처리 부속서(“DPA”)는 귀하(“고객”, 컨트롤러)와 Empire Luxury International Corporation (DBA Neuro Empire)(“NeuroCRM”, 프로세서) 간의 서비스 이용약관의 일부를 구성하며, 고객 콘텐츠에 포함된 개인정보의 처리를 규율합니다. 데이터 보호 사항에 관하여 충돌이 있는 경우, 본 DPA가 이용약관에 우선합니다.
1. 역할 및 범위
고객 콘텐츠에 관하여 고객은 컨트롤러(또는 자신의 고객을 위해 행위하는 프로세서)이며, NeuroCRM은 프로세서(또는 하위 프로세서)입니다. NeuroCRM은 본 서비스를 제공하기 위해서만, 그리고 이용약관, 본 DPA, 본 서비스 기능의 사용을 포함하는 고객의 문서화된 지시에 따라서만 고객 콘텐츠를 처리합니다. NeuroCRM은 개인정보 처리방침에 기재된 제한적인 계정, 청구 및 보안 데이터에 대해서만 독립적인 컨트롤러로서 행위합니다.
2. 처리의 세부사항
대상: NeuroCRM 서비스의 제공. 기간: 고객의 구독 기간 및 모든 종료 정리 기간. 성격 및 목적: 고객이 구성한 대로 본 서비스를 제공하는 데 필요한 호스팅, 저장 및 처리 작업. 정보주체의 범주: 고객의 연락처, 리드, 고객, 직원, 그리고 고객이 데이터를 입력하는 기타 개인. 개인정보의 범주: 고객이 결정하며, 일반적으로 식별 및 연락처 데이터, 사업 기록, 그리고 통신이 해당됩니다. 고객은 서면으로 합의되지 않는 한 특별 범주 데이터를 입력해서는 안 됩니다.
3. 고객 지시 및 준수
NeuroCRM은 적용 법률이 요구하는 경우를 제외하고는(이 경우 금지되지 않는 한 NeuroCRM은 고객에게 알립니다) 이전을 포함하여 문서화된 지시에 따라서만 고객 콘텐츠를 처리합니다. NeuroCRM은 자신의 견해로 어떤 지시가 적용 데이터 보호법을 위반한다고 판단되는 경우 고객에게 통지합니다. 고객은 고객 콘텐츠의 적법성, 그리고 필요한 모든 고지 및 동의의 확보에 대해 책임을 집니다.
4. 인력의 기밀유지
NeuroCRM은 고객 콘텐츠를 처리하도록 권한이 부여된 인력이 기밀유지 의무에 구속되고 지시받은 대로만 데이터를 처리하도록 보장합니다.
5. 보안 조치
NeuroCRM은 위험에 적절한 수준의 보안을 보장하기 위해 적절한 기술적·조직적 조치를 시행하며, 여기에는 전송 중 및 저장 중인 액세스 토큰의 암호화, 논리적 테넌트 격리, 접근 통제 및 로깅, 복원력 및 백업, 그리고 정기적인 검토가 포함됩니다. 요약본은 요청 시 및 개인정보 처리방침에서 제공됩니다.
6. 하위 처리자
고객은 NeuroCRM이 하위 처리자를 이용하도록 일반적 승인을 부여합니다. 현재 목록은 /legal/subprocessors에 있습니다. NeuroCRM은 각 하위 처리자에게 본 DPA 못지않게 보호적인 데이터 보호 의무를 부과하며 그들의 이행에 대해 계속 책임을 집니다. NeuroCRM은 새로운 또는 교체되는 하위 처리자에 대해 최소 30일의 통지를 제공합니다. 고객은 합리적인 데이터 보호 사유에 근거하여 이의를 제기할 수 있으며, 양 당사자가 그 이의를 해결할 수 없는 경우 고객은 해당 서비스를 해지하고 미사용 선납 요금을 환불받을 수 있습니다.
7. 정보주체 요청 및 지원
처리의 성격을 고려하여, NeuroCRM은 적절한 조치를 통해 그리고 상업적으로 합리적인 범위 내에서, 정보주체 요청에 대한 응답 및 보안, 침해 통보, 데이터 보호 영향평가, 사전 협의에 관한 의무 준수에 있어 고객을 지원합니다. NeuroCRM이 정보주체로부터 직접 요청을 받는 경우, 이를 고객에게 전달하며 지시받거나 법률이 요구하는 경우를 제외하고는 응답하지 않습니다.
8. 개인정보 침해 통보
NeuroCRM은 고객 콘텐츠에 영향을 미치는 확인된 또는 합리적으로 의심되는 개인정보 침해를 인지한 후 부당한 지체 없이, 어떠한 경우에도 24시간 이내에 고객에게 통지하며, 고객이 통보 의무를 이행하는 데 도움이 되는 이용 가능한 정보를 제공하고 조사 진행에 따라 업데이트를 제공합니다. 그러한 통지는 과실 또는 책임의 인정이 아닙니다. 규제기관 또는 정보주체에게 통보할지 여부를 결정하고 그러한 통보를 하는 것은 컨트롤러로서 고객의 책임이며, NeuroCRM은 합리적인 협력을 제공합니다.
9. 국제 이전
처리가 EEA, 영국 또는 스위스에서 적정성 결정이 없는 국가로의 개인정보 이전을 수반하는 경우, 양 당사자는 유럽위원회의 표준계약조항(2021/914), 모듈 2(컨트롤러 대 프로세서)를 본 DPA의 정보로 채워 편입하며, 해당되는 경우 영국 국제데이터이전 부속서 및 스위스 적용 조정을 함께 편입합니다. 또는 NeuroCRM은 인증된 경우 EU-US Data Privacy Framework에 의존할 수 있습니다. NeuroCRM은 적절히 보충 조치를 적용합니다. 충돌이 있는 경우, SCC는 필요한 범위 내에서만 우선합니다.
10. 러시아 데이터 영역(152-FZ)
러시아 연방 내 개인의 개인정보에 대해, NeuroCRM은 연방법 제152-FZ호에 따라 러시아 내에 위치한 서버에 1차 기록 및 저장을 두는 분리된 러시아 영역을 유지하며, 152-FZ 제6조 제3항에 따라 고객의 지시에 의해 그러한 데이터를 처리합니다. 이 영역과 그 침해 통보 절차(Roskomnadzor에 대한 예비 통보는 24시간 이내, 결과는 72시간 이내)는 GDPR 체계와 독립적으로 운영됩니다. 개인정보 처리 정책(러시아)을 참조하십시오.
11. 감사
NeuroCRM은 본 DPA의 준수를 입증하는 데 필요한 정보를 제공하고 감사를 허용합니다. 지장을 최소화하기 위해, NeuroCRM은 이용 가능한 경우 현행 제3자 인증 또는 보고서(예: ISO 27001 또는 SOC 2 Type II)를 제공함으로써 감사 요청에 응할 수 있습니다. 현장 또는 상세 감사는 (침해 이후를 제외하고) 연 1회로 제한되며, 최소 30일의 통지, 상호 합의된 범위, 기밀유지를 요하며, 부당한 방해 없이 업무 시간 중에 수행됩니다.
12. 반환 및 삭제
해지 시, 30일 이내에 이루어진 고객의 선택에 따라, NeuroCRM은 고객 콘텐츠를 일반적으로 사용되는 형식으로 반환하거나 이를 삭제하며, 요청 시 합리적인 기간 내에 삭제를 인증합니다. 다만 법률이 보관을 요구하는 범위는 예외로 합니다. 정기 백업은 표준 순환 주기에 따라 덮어쓰기됩니다.
13. 책임 및 우선순위
본 DPA에 따른 각 당사자의 책임은 데이터 보호 위반에 대한 가중 상한을 포함하여 서비스 이용약관의 제한 및 배제의 적용을 받습니다. 본 DPA는 편입된 SCC를 포함하여 데이터 보호 사항에 관하여 이용약관의 상충되는 조항에 우선합니다. 본 DPA는 고객에게 적용되는 이용약관의 준거법 및 분쟁 해결 조항의 규율을 받습니다.