기능 가격 API 레퍼런스

데이터 처리 계약 (DPA)

v1.0 -- 2026년 3월 시행

Morlivo는 일반 데이터 보호 규정(EU) 2016/679("GDPR"), 영국 GDPR 및 기타 모든 관련 데이터 보호법을 준수하여 개인정보를 처리할 것을 약속합니다. 본 데이터 처리 계약은 고객("컨트롤러")을 대신하여 Morlivo("처리자")가 수행하는 개인정보 처리를 규율합니다.

1. 정의

본 데이터 처리 계약의 목적상:

  • "개인정보"란 GDPR 제4조 제1항에 정의된 바와 같이, 식별되었거나 식별 가능한 자연인에 관한 모든 정보를 의미합니다
  • "처리"란 GDPR 제4조 제2항에 정의된 바와 같이, 수집, 저장, 이용, 공개 또는 삭제를 포함하여 개인정보에 대해 수행되는 모든 작업을 의미합니다
  • "컨트롤러"란 개인정보 처리의 목적과 수단을 결정하는 고객을 의미합니다
  • "처리자"란 컨트롤러를 대신하여 개인정보를 처리하는 Morlivo를 의미합니다
  • "하위 처리자"란 컨트롤러를 대신하여 개인정보를 처리하기 위해 처리자가 고용한 제3자를 의미합니다
  • "정보주체"란 개인정보가 처리되는 식별되었거나 식별 가능한 자연인을 의미합니다

2. 처리 세부사항

처리자는 처리자에게 적용되는 EU 또는 회원국 법률에 의해 요구되는 경우를 제외하고, 제3국으로의 개인정보 이전에 관한 사항을 포함하여 컨트롤러의 문서화된 지침에 따라서만 개인정보를 처리해야 합니다.

처리의 세부 사항은 다음과 같습니다:

  • 대상 사항: 번역, 전사 및 언어 처리 서비스 제공
  • 기간: 기본 서비스 계약 기간 동안
  • 성격 및 목적: 번역, 전사 및 관련 언어 서비스를 제공하기 위한 고객 콘텐츠 처리
  • 정보주체의 범주: 최종 사용자 및 고객 콘텐츠에 데이터가 포함된 개인
  • 개인정보의 유형: 처리를 위해 제출된 자료에 포함된 이름, 연락처 정보 및 기타 개인정보

3. 보안 조치

처리자는 GDPR 제32조에 따라, 위험에 적합한 수준의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 시행해야 합니다. 이러한 조치에는 다음이 포함됩니다:

  • 저장 시(AES-256) 및 전송 중(TLS 1.2+) 개인정보 암호화
  • 처리 시스템 및 서비스의 지속적인 기밀성, 무결성, 가용성 및 복원력을 보장하는 능력
  • 물리적 또는 기술적 사고 발생 시 적시에 개인정보의 가용성과 접근을 복원하는 능력
  • 기술적 및 조직적 조치의 효과에 대한 정기적인 테스트, 평가 및 검증
  • 기술적으로 가능하고 적절한 경우 개인정보의 가명화
  • 최소 권한 원칙에 기반한 엄격한 접근 제어
  • 데이터 접근에 대한 포괄적인 감사 로깅 및 모니터링

처리자는 개인정보를 처리할 권한이 있는 사람들이 기밀 유지를 약속했거나 적절한 법적 기밀 유지 의무를 지고 있음을 보장해야 합니다.

4. 하위 처리자

컨트롤러는 처리자가 하위 처리자를 고용할 수 있도록 일반적인 승인을 제공합니다. 처리자는 하위 처리자의 최신 목록을 유지하고 요청 시 컨트롤러에게 제공해야 합니다. 현재 하위 처리자 목록은 개인정보 보호 정책 페이지에 게시되어 있습니다.

처리자는 하위 처리자의 추가 또는 교체에 관한 변경 의사를 컨트롤러에게 알리고, 컨트롤러에게 해당 변경에 대해 이의를 제기할 합리적인 기회를 부여해야 합니다. 처리자가 하위 처리자를 고용하는 경우, 처리자는 계약을 통해 해당 하위 처리자에게 본 DPA에 명시된 것과 동일한 데이터 보호 의무를 부과해야 합니다.

처리자는 본 DPA에 따른 하위 처리자의 의무 이행에 대해 컨트롤러에게 전적으로 책임을 집니다.

5. 정보주체의 권리

처리자는 GDPR 제3장에 따른 권리를 행사하는 정보주체의 요청에 대응하는 컨트롤러의 의무 이행을 지원해야 하며, 여기에는 다음이 포함됩니다:

  • 접근권 (제15조)
  • 정정권 (제16조)
  • 삭제권 (제17조)
  • 처리 제한권 (제18조)
  • 데이터 이동권 (제20조)
  • 이의 제기권 (제21조)

처리자가 정보주체로부터 직접 요청을 받은 경우, 처리자는 해당 요청을 즉시 컨트롤러에게 전달해야 하며, 컨트롤러의 승인 없이 정보주체에게 직접 응답해서는 안 됩니다.

6. 국제 이전

처리자는 GDPR 제5장에서 요구하는 적절한 보호 조치가 마련되지 않는 한 개인정보를 제3국 또는 국제기구에 이전해서는 안 됩니다. 승인된 이전 메커니즘에는 다음이 포함됩니다:

  • 유럽 위원회가 채택한 표준 계약 조항(SCC) (위원회 이행 결정 (EU) 2021/914)
  • GDPR 제45조에 따른 적정성 결정
  • 관할 감독 기관이 승인한 구속력 있는 기업 규칙

엔터프라이즈 고객은 데이터 상주 설정을 구성하여 개인정보의 처리 및 저장을 특정 지리적 영역(EU, US 또는 APAC)으로 제한함으로써 국경 간 이전의 필요성을 최소화할 수 있습니다.

7. 침해 통지

처리자는 GDPR 제4조 제12항에 정의된 개인정보 침해를 인지한 후 부당한 지연 없이, 어떠한 경우에도 48시간 이내에 컨트롤러에게 통지해야 합니다.

통지에는 다음이 포함되어야 합니다:

  • 정보주체 및 관련 기록의 범주와 대략적인 수를 포함한 개인정보 침해의 성격에 대한 설명
  • 처리자의 데이터 보호 담당자의 이름 및 연락처
  • 침해로 인한 예상 결과에 대한 설명
  • 침해를 해결하기 위해 취했거나 제안된 조치에 대한 설명(부정적인 영향을 완화하기 위한 조치 포함)

8. 감사 및 검사

처리자는 GDPR 제28조에 명시된 의무 준수를 입증하는 데 필요한 모든 정보를 컨트롤러에게 제공해야 합니다. 처리자는 합리적인 사전 통지 및 기밀 유지 의무에 따라, 컨트롤러 또는 컨트롤러가 위임한 감사인이 수행하는 검사를 포함한 감사를 허용하고 협력해야 합니다.

9. 기간 및 데이터 삭제

본 DPA는 기본 서비스 계약 기간 동안 유효합니다. 서비스 계약 종료 시, 처리자는 컨트롤러의 선택에 따라 모든 개인정보를 삭제하거나 반환하고 기존 사본을 삭제해야 합니다. 단, EU 또는 회원국 법률에서 개인정보의 보관을 요구하는 경우는 예외입니다. 처리자는 컨트롤러의 요청에 따라 이 의무를 준수했음을 서면으로 인증해야 합니다.

DPA 요청

데이터 처리 계약을 요청하려면 규정 준수 팀에 문의하세요. 귀하의 조직의 데이터 보호 요구 사항을 충족하는 DPA를 체결할 수 있도록 도와드리겠습니다.

규정 준수 팀에 문의 DPA 템플릿 다운로드