데이터 처리 계약

본 데이터 처리 계약(「DPA」)은 귀사(「고객」, 「컨트롤러」)가 Kapsule Cloud 서비스를 사용하여 다른 개인(「데이터 주체」)에 관한 개인정보를 처리하는 경우에 적용됩니다. 본 DPA는 귀사와 Kapsule Group Limited(「Kapsule Cloud」, 「당사」, 「프로세서」) 간의 서비스 이용약관의 일부를 구성합니다.

본 DPA는 뉴질랜드 Privacy Act 2020의 요건을 반영합니다. 귀사가 다른 적용 가능한 개인정보 보호법(예: EU General Data Protection Regulation, UK GDPR 또는 Australian Privacy Act 1988)의 적용을 받는 경우, 본 DPA의 관련 규정은 당사의 개인정보 처리방침 및 하위 프로세서 목록과 함께 읽을 때 해당 법률과 비교할 수 있는 보호를 제공하기 위한 것입니다. 외국 법률에 따른 귀사의 준수를 지원하기 위해 추가적인 계약 조치가 필요한 경우, 당사는 요청에 따라 이를 검토할 것입니다.

귀사가 본 서비스를 귀사 자신의 개인정보만 처리하는 목적으로 사용하고 있으며 다른 개인에 관한 개인정보를 처리하지 않는 경우, 본 DPA는 적용되지 않으며 개인정보 처리방침만 적용됩니다.

본 DPA에서:

「적용 가능한 개인정보보호법」이란 Privacy Act 2020 및 고객이 서비스를 이용하여 개인정보를 처리하는 것과 관련하여 적용되는 기타 모든 개인정보보호 또는 데이터 보호법을 의미합니다.

「컨트롤러」란 개인정보 처리의 목적과 수단을 결정하는 자연인 또는 법인을 의미합니다.

「고객 개인정보」란 데이터 주체와 관련하여 서비스를 이용하여 당사가 귀사를 대신하여 처리하는 개인정보를 의미합니다.

「데이터 주체」란 고객 개인정보와 관련된 식별되었거나 식별 가능한 자연인을 의미합니다.

「통지 가능한 개인정보보호 침해」란 Privacy Act 2020의 제112조에서 규정한 의미를 가지며, 심각한 피해를 야기했거나 야기할 가능성이 있는 개인정보보호 침해를 의미합니다.

「개인정보」란 Privacy Act 2020에서 규정한 의미를 가집니다.

「프로세서」란 컨트롤러를 대신하여 개인정보를 처리하는 자를 의미합니다.

「처리」란 자동화 여부를 불문하고 개인정보에 대해 수행되는 모든 작업 또는 작업 집합을 의미합니다.

「서브프로세서」란 당사가 당사를 대신하여 고객 개人정보를 처리하도록 위임하는 제3자를 의미합니다.

「표준 계약 조항」이란 인정된 데이터 보호 당국(예: 유럽 위원회의 EU 표준 계약 조항)이 채택한 표준 데이터 보호 조항으로서, 제한적인 국경 간 데이터 이전 규칙이 있는 관할권에서 개인정보를 이전하기 위한 조항을 의미합니다.

기타 대문자로 표기된 용어는 이용약관에서 정의된 의미를 가집니다.

#2.1 역할. 고객 개인정보와 관련하여 귀사는 통제자(Controller)이고 당사는 처리자(Processor)입니다. 귀사는 고객 개인정보의 수집 및 처리의 적법성에 대한 책임이 있으며, 여기에는 모든 필수 개인정보 보호 공지 제공, 모든 필수 동의 획득, 그리고 데이터 주체와의 거래에서 모든 적용 가능한 개인정보 보호법(Applicable Privacy Laws) 준수가 포함됩니다.

#2.2 문서화된 지시사항. 당사는 고객 개인정보를 다음의 경우에만 처리합니다: (a) 서비스 약관(Terms of Service)에 따른 서비스 제공에 필요한 범위 내에서; (b) 귀사의 합리적이고 문서화된 지시사항에 따라 (서비스 약관, KPanel에서 귀사가 선택한 구성, 그리고 귀사가 당사에 제공하는 추가적인 서면 지시사항은 귀사의 문서화된 지시사항으로 간주됩니다); 그리고 (c) 당사에 적용되는 법률에 의해 요구되는 경우, 이 경우 당사는 해당 법률에 의해 금지되지 않는 한 처리 전에 귀사에 법적 요구사항을 알립니다. 단, 공공 이익의 중요한 사유로 법률에 의해 금지된 경우는 예외입니다.

#2.3 모순되는 지시사항. 당사는 귀사의 지시사항이 적용 가능한 개인정보 보호법을 위반한다고 합리적으로 판단되는 경우 귀사에 이를 알립니다. 당사는 고객 개인정보 처리가 당사를 적용 가능한 개인정보 보호법 위반에 빠뜨릴 수 있는 경우 고객 개인정보 처리를 거절할 수 있습니다.

#3.1 당사는 당사를 대신하여 고객 개인정보를 처리할 권한이 있는 모든 개인이 계약 또는 법률에 따라 기밀유지 의무로 구속되며, 당해 정보의 기밀성에 대하여 고지받도록 보장합니다.

#3.2 고객 개인정보에 대한 접근은 필요한 범위 내에서만 제한되며, 접근 제어, 필수 이중인증 및 감사 로깅으로 보호됩니다.

#4.1 당사는 고객 개인정보를 무단 또는 위법적 처리, 우발적 손실, 파괴 또는 손상으로부터 보호하기 위해 적절한 기술적 및 조직적 조치를 구현하고 유지할 것입니다. 현재 조치는 본 DPA의 부록 B 및 kapsulecloud.com/legal/security에 요약되어 있습니다.

#4.2 당사는 최신 기술 동향, 구현 비용, 처리의 성질, 범위, 맥락 및 목적, 그리고 데이터 주체의 권리 및 자유에 대한 위험을 고려하여 보안 조치를 정기적으로 검토하고 갱신할 것입니다.

#4.3 당사는 사전 통지 없이 전반적인 보호를 실질적으로 감소시키지 않을 것입니다.

#5.1 승인. 귀사는 당사가 kapsulecloud.com/legal/sub-processors에 기재된 하위 처리자를 고용하여 고객 개인정보를 처리하는 것을 승인합니다.

#5.2 하위 처리자 약관. 당사는 각 하위 처리자와 서면 계약을 체결하며, 이 DPA의 규정보다 덜 보호적이지 않은 데이터 보호 의무(기밀유지, 보안 및 제한된 처리 의무 포함)를 부과합니다.

#5.3 신규 하위 처리자 통지. 당사는 고객 개인정보를 처리할 신규 하위 처리자에 대해 해당 하위 처리자가 처리를 시작하기 최소 30일 전에 귀사에 통지합니다. 통지는 이메일 및 하위 처리자 페이지 게시를 통해 이루어집니다.

#5.4 이의제기. 귀사는 합리적인 근거(예: 제안된 하위 처리자의 보안, 규정 준수 또는 관할권에 대한 문서화된 우려)에 따라 30일 기간 내에 [email protected]으로 이메일을 보내 이의를 제기할 수 있습니다. 당사가 합리적으로 귀사의 이의를 수용할 수 없는 경우(예: 하위 처리자 변경 또는 구성 수정), 귀사는 해당 서비스를 해지할 수 있으며 관련 청구 주기의 미사용 부분에 대해 선불 수수료의 비례 환급을 받을 수 있습니다.

#5.5 하위 처리자에 대한 책임. 당사는 고객 개인정보와 관련하여 당사 하위 처리자의 행위 및 부작위에 대해 마치 당사 자신의 행위인 것처럼 귀사에 대한 책임을 유지합니다.

#6.1 당사는 처리의 성질을 고려하여, 적용 가능한 개인정보보호법에 따른 접근권, 정정권, 삭제권, 제한권 및 이동성 권리 등 정보주체가 보유한 권리를 행사하기 위한 요청에 대응하도록 귀사를 지원하기 위해 합리적인 지원을 제공합니다.

#6.2 당사가 귀사의 서비스 이용과 관련된 정보주체로부터의 요청을 받은 경우, 당사는 다음을 이행합니다: (a) 정보주체를 귀사(컨트롤러)에게 회부하며; (b) 법적으로 금지되지 않은 한, 부당한 지연 없이 귀사에게 해당 요청을 통지합니다.

#6.3 지원은 이러한 기능이 충분한 경우 KPanel의 접근, 내보내기 및 삭제 기능을 통해 제공되며, 기술적 기능이 요청을 충족할 수 없는 경우 수동 지원을 통해 제공됩니다.

#6.4 당사는 요청이 명백히 근거가 없거나 과도한 경우, 일상적인 지원을 실질적으로 초과하는 수동 지원에 대해 합리적인 수수료를 청구할 수 있습니다.

#7.1 알림. 당사는 고객 개인정보에 영향을 미치는 확인된 통보 가능한 개인정보 침해(Notifiable Privacy Breach)에 대해 부당한 지연 없이 당사가 이를 인식한 시점으로부터 72시간 이내에 귀사에 알립니다.

#7.2 알림의 내용. 알림에는 당시에 알려진 범위 및 합리적으로 이용 가능한 범위 내에서 다음 사항이 포함됩니다: (a) 침해의 성질로서 가능한 한 영향을 받은 정보주체 및 기록의 범주와 대략적인 수를 포함; (b) 침해의 가능한 결과; (c) 침해에 대응하고 그 부정적 영향을 완화하기 위해 당사가 취하였거나 취할 것으로 제안하는 조치; 및 (d) 추가 정보에 대한 연락처

#7.3 후속 갱신. 초기 알림 시점에 정보의 일부가 이용 불가능한 경우, 당사는 이를 가능한 한 빠른 시일 내에 추가 갱신으로 제공합니다.

#7.4 협력. 당사는 귀사가 요청하는 조사, 당국에 대한 알림, 영향을 받은 정보주체에 대한 알림 및 구제에 있어 합리적으로 협력합니다.

#7.5 고객의 책임. 귀사는 침해가 귀사의 적용 법률에 따른 통보 가능한 개인정보 침해인지 여부를 평가하고 개인정보보호위원회, 영향을 받은 정보주체 또는 기타 규제당국에 필요한 알림을 하여야 할 책임이 있습니다. 당사는 귀사가 이를 수행하는 데 합리적으로 필요한 정보를 제공합니다.

#8.1 정보. 당사는 특히 kapsulecloud.com/legal/security의 보안 성명서, 하위 처리자 목록, 당사가 보유한 제3자 감사 보고서 또는 인증서(있는 경우)를 포함하여 본 DPA 준수를 입증하기 위해 필요한 정보를 귀사에 제공할 것입니다.

#8.2 현장 감사. 제8.1항의 정보가 귀사가 서면으로 제기한 특정 사항과 관련하여 본 DPA 준수를 입증하기에 충분하지 않은 경우, 귀사는 다음의 조건 하에서 당사의 본 DPA 준수 여부에 대한 감사를 실시할 수 있습니다: (a) 감사는 귀사의 비용(당사의 합리적인 지원 비용 포함)으로 실시됩니다; (b) 귀사는 최소 30일(30) 이상의 서면 통지를 제공합니다; (c) 감사는 당사의 정상 업무 시간 중에 실시됩니다; (d) 감사는 12개월(12) 기간 내에 1회 이상 실시되지 않습니다(다만, 귀사에 영향을 미치는 확인된 통지 가능한 개인정보 침해 이후의 경우, 합리적인 통지를 통해 추가 감사를 실시할 수 있습니다); (e) 감사는 당사의 운영을 부당하게 방해하거나 다른 고객의 정보의 기밀성을 훼손하지 않습니다; (f) 감사자는 적격이어야 하며, 당사의 경쟁사로부터 독립적이어야 하고, 당사가 수용할 수 있는 조건의 기밀 유지 의무에 구속되어야 합니다; (g) 당사는 당사의 재량으로 제3자 감사 보고서 또는 인증서(이용 가능한 경우) 사본 제공 또는 보안 질문지에 대한 응답을 통해 감사 의무를 충족할 수 있습니다.

#8.3 귀사는 당사에 감사 보고서 및 발견 사항 사본을 제공할 것이며, 당사는 합의된 기간 내에 중요한 발견 사항을 해결하기 위해 합리적인 노력을 기울일 것입니다.

#9.1 당사의 일부 Sub-processor가 뉴질랜드 외부에 위치하고 있음을 인정합니다. 현재 위치는 kapsulecloud.com/legal/sub-processors에 명시되어 있습니다.

#9.2 고객 개인정보가 뉴질랜드 외부로 이전되는 경우, 당사는 다음을 포함한 비교 가능한 보호조치를 적용할 것을 보장합니다: (a) Sub-processor가 당사의 판단으로 Privacy Act 2020과 비교 가능한 보호를 제공하는 개인정보보호법의 적용을 받도록 보장하거나; (b) Sub-processor와 비교 가능한 보호를 요구하는 계약상 보호조치를 체결하거나(예를 들어, 필요한 경우 표준계약조항(Standard Contractual Clauses) 참조); (c) 이전에 대한 귀사의 명시적 승인을 얻습니다.

#9.3 본 DPA에 동의함으로써, 귀사는 9.2항의 보호조치에 기초하여 Privacy Policy의 7항 및 본 DPA의 5항에 설명된 이전을 승인합니다.

#10.1 서비스 제공 기간 중에는 KPanel을 통해 당사의 표준 내보내기 도구(데이터 유형에 따라 CSV, JSON, 아카이브 다운로드 또는 데이터베이스 덤프)를 사용하여 고객 개인정보를 내보낼 수 있습니다.

#10.2 서비스가 종료되면 귀사의 선택에 따라 당사는 다음을 수행합니다: (a) 종료 후 30일(유예 기간)동안 고객 개인정보를 내보낼 수 있도록 제공하며; (b) 그 이후에는 라이브 시스템에서 고객 개인정보를 영구적으로 삭제합니다.

#10.3 암호화된 백업 사본은 다음 예정된 로테이션 주기에 삭제되며, 라이브 시스템에서의 삭제로부터 30일 이내에 완료됩니다.

#10.4 당사는 법규에서 요구하는 경우(예: Tax Administration Act 1994에 따른 청구 및 세무 기록, 또는 법적 청구에 대한 방어) 종료 후에도 고객 개인정보를 보유할 수 있습니다. 이러한 보유는 필요한 최소 범위로 제한되며, 해당 정보는 본 DPA의 기밀 유지 및 보안 의무의 적용을 받습니다.

#11.1 서비스 약관의 책임 조항(제16조의 책임 제한 포함)이 본 DPA에 적용됩니다.

#11.2 제11.1조를 침해하지 않으면서, 본 DPA의 어떤 내용도 사기, 사기성 기만, 고의적 불행위, 또는 관련 개인정보보호법에 따라 법적으로 제한할 수 없는 책임에 대한 당사자의 책임을 제한하지 않습니다.

#11.3 귀사가 본 DPA 또는 관련 개인정보보호법에 따른 귀사의 의무 불이행의 결과로 또는 이와 관련하여 규제 처벌을 받는 경우, 해당 처벌액은 서비스 약관의 제한에 따라 귀사로부터 회수 가능한 손실로 취급됩니다.

#11.4 SLA에 따른 서비스 크레딧은 본 DPA에 따른 크레딧이 아닙니다.

#12.1 본 DPA는 귀사가 서비스를 처음 사용하는 시점(또는 2026년 5월 15일 중 더 늦은 시점)에 효력이 발생하며, 서비스가 종료되고 제10조에 따른 당사의 삭제 의무가 완료될 때까지 계속됩니다.

#12.2 당사는 법률 변화 또는 당사의 운영 변화를 반영하기 위해 본 DPA를 수시로 업데이트할 수 있습니다. 중요한 변경사항은 최소 30일 전에 통지됩니다.

#13.1 본 DPA와 고객 개인정보의 처리와 관련하여 이용약관 또는 개인정보처리방침 간에 충돌이 있는 경우, 본 DPA가 우선한다.

#13.2 본 DPA와 적용 가능한 개인정보보호법의 필수 조항 간에 충돌이 있는 경우, 충돌하는 범위 내에서 필수 조항이 우선한다.

개인정보 보호 담당자

Kapsule Group Limited, Christchurch, New Zealand.

이메일: [email protected]

A.1 주제. Kapsule Cloud 서비스 약관에 설명된 클라우드 호스팅, 도메인 등록, 이메일 호스팅 및 관련 서비스의 제공.

A.2 기간. 서비스 기간, 유예 기간 및 제10조에 명시된 바와 같이 법률에 의해 요구되는 모든 보관 기간.

A.3 성질 및 목적. 저장, 전송, 백업, 보안, 복제, 색인화, 형식 변환(기술적 호환성을 위한), 악용 방지, 청구 및 서비스 운영에 필요한 기타 처리.

A.4 고객 개인정보의 범주. 귀사가 결정하여 업로드한 정보. 다음이 포함될 수 있음: 이름, 연락처 세부사항(이메일, 전화, 주소), 계정 자격 증명, 신원 확인 정보, 결제 정보, 거래 데이터, IP 주소, 기기 식별자, 사진 및 기타 이미지, 웹사이트 및 애플리케이션의 콘텐츠, 이메일 콘텐츠, 메시지 메타데이터, 고객관계관리 기록, 지원 커뮤니케이션 및 귀사가 서비스를 통해 처리하기로 선택한 기타 모든 개인정보.

A.5 데이터 주체의 범주. 귀사가 결정한 바에 따름. 다음이 포함될 수 있음: 귀사의 직원, 계약자, 대리인, 고객, 잠재 고객, 공급자, 회원, 최종 사용자, 기부자 및 귀사가 서비스를 통해 처리하기로 선택한 기타 개인의 개인정보.

A.6 특수 범주. 건강 정보, 생체정보, 범죄 기록, 종교적 신념, 성적 지향 또는 노동조합 가입과 같은 특수 범주 또는 민감한 개인정보를 적절한 추가 보호 조치에 대한 당사의 사전 서면 동의 없이 서비스에 업로드해서는 안 됩니다. 당사의 동의 없이 이러한 정보를 업로드하는 경우, 귀사는 그렇게 하는 것의 적법성에 대해 책임을 지며 관련 청구에 대해 당사에 손해배상책임을 지게 됩니다.

A.7 처리의 빈도 및 기간. 서비스 기간 동안 지속적으로 수행.

당사는 다음의 기술적 및 조직적 조치를 구현하며, 전반적인 보호를 유지하거나 개선하기 위해 수시로 업데이트할 수 있습니다:

B.1 정보보안 정책 및 거버넌스. 최소 연 1회 검토되는 문서화된 정보보안 및 개인정보 보호 정책. 규정 준수를 담당하는 지정된 개인정보 보호 담당자. 채용 시 및 이후 연 1회의 직원 개인정보 보호 및 보안 교육. 법률에 따라 프로덕션 시스템에 접근할 수 있는 직원에 대한 신원 조회.

B.2 접근 통제. 최소 권한 원칙에 기반한 엄격한 역할 기반 접근 통제. 프로덕션 시스템에 접근할 수 있는 모든 직원을 위한 필수 2단계 인증. 정기적인 접근 권한 검토 및 역할 변경 또는 퇴직 시 신속한 권한 취소. 프로덕션 및 비프로덕션 환경의 분리. 권한 있는 접근 로깅.

B.3 암호화 및 데이터 보호. 모든 전송 중 데이터에 대한 TLS 암호화(최소 TLS 1.2). 오프사이트 백업(restic) 및 민감한 데이터 저장소에 대한 저장 중 암호화. Cloudflare R2(오세아니아 지역)에 저장된 Restic 암호화 오프사이트 백업. 마스터 복구 키의 오프라인 사본을 포함한 보안 키 관리.

B.4 네트워크 및 시스템 보안. 고객 환경 간 네트워크 분할. Cloudflare를 통한 웹 애플리케이션 방화벽 및 DDoS 보호. 운영 체제, 런타임 및 애플리케이션의 정기적인 보안 패치. 인터넷 연결 인프라의 취약성 스캔. 정기적인 침투 테스트.

B.5 로깅, 모니터링 및 사건 대응. 접근, 변경 및 보안 이벤트의 중앙 집중식 로깅. 플랫폼 상태 및 보안 신호의 24시간 모니터링. 정의된 심각도 및 에스컬레이션 경로를 포함하는 문서화된 사건 대응 계획. Privacy Act 2020 및 본 DPA 제7조에 부합하는 통보 가능한 개인정보 침해 알림 절차.

B.6 백업, 사업 연속성 및 재해 복구. 고객 사이트 데이터 및 이메일 데이터의 일일 암호화 오프사이트 백업. 최소 30일 이상의 오프사이트 백업 보유 기간(상위 요금제에서는 더 긴 보유 기간). 문서화된 재해 복구 절차 및 실행 설명서. 정기적인 복구 테스트.

B.7 직원 및 하위 처리자. 모든 직원을 위한 기밀 유지 약정. 본 DPA 이상으로 보호 수준을 부과하는 모든 하위 처리자와의 서면 계약. 지속적인 적합성을 위한 하위 처리자의 연 1회 검토.

B.8 물리적 보안. Tier III 이상의 데이터 센터에서 운영되는 프로덕션 서버(통제된 물리적 접근, 24시간 보안, 환경 통제 및 소화 시스템 포함).

B.9 애플리케이션 보안. 코드 검토, 종속성 스캔 및 출시 전 테스트를 포함하는 보안 소프트웨어 개발 생명 주기. 비밀 관리 사용(소스 코드에 비밀 미포함). 프로덕션 변경에 대한 필수 코드 검토.

B.10 데이터 분할 및 삭제. 고객 데이터의 논리적 분할. 본 DPA 제10조에 부합하는 문서화된 데이터 삭제 절차. 정보 주체 접근, 수정 및 삭제 요청 처리를 위한 문서화된 절차.

이러한 조치에 대한 더욱 상세한 버전은 kapsulecloud.com/legal/security에 게시되며 수시로 업데이트됩니다.