데이터 처리 계약

1. 소개

This Data Processing Agreement ("DPA") supplements the Terms of Service and Privacy Policy of Mewayz Global, Corp. ("Mewayz", "we", "us", or "our"). This DPA applies when Mewayz processes Personal Data on behalf of the Customer in the course of providing the Mewayz platform services.

본 데이터 처리 계약은 일반 데이터 보호 규정(GDPR)(EU) 2016/679 및 기타 적용 가능한 데이터 보호 법률에 따라 고객과 Mewayz 간의 관리자-처리자 관계를 설정합니다.

Mewayz 서비스를 사용함으로써 고객은 본 DPA의 조건에 구속되는 데 동의합니다. 본 DPA는 고객이 당사 서비스 약관을 수락하거나 서비스 사용을 시작한 날짜부터 효력이 발생합니다.

2. 정의

다음 정의는 GDPR 제4조에 따라 본 DPA에 적용됩니다:

• 컨트롤러 — 단독 또는 다른 자와 공동으로 개인 데이터 처리의 목적과 수단을 결정하는 자연인 또는 법인, 공공 기관, 기관 또는 기타 단체.
• 프로세서 — 관리자를 대신하여 개인 데이터를 처리하는 자연인 또는 법인, 공공 기관, 기관 또는 기타 단체.
• 하위 처리자 — 관리자를 대신하여 개인 데이터 처리 지원을 위해 처리자가 고용한 모든 제3자.
• 개인 데이터 — Any information relating to an identified or identifiable natural person ("Data Subject"). An identifiable natural person is one who can be identified, directly or indirectly, by reference to an identifier.
• 처리 중 — 개인 데이터에 대해 수행되는 수집, 기록, 정리, 구조화, 저장, 적응, 변경, 검색, 참조, 사용, 전송에 의한 공개, 배포 또는 기타 공개 가능하게 함, 정렬, 결합, 제한, 삭제 또는 파기 등 자동화된 수단 사용 여부와 관계없이 수행되는 모든 작업 또는 작업 집합.
• 데이터 주체 — 개인 데이터가 처리되는 식별되거나 식별 가능한 자연인.

3. 범위 및 역할

본 데이터 처리 계약(DPA)에 따라 고객은 Mewayz 플랫폼을 통해 처리되는 개인 데이터에 대해 관리자(Controller)의 역할을 하고 Mewayz는 처리자(Processor)의 역할을 합니다.

Mewayz는 제3국 또는 국제기구로의 개인 데이터 전송을 포함하여 관리자의 문서화된 지시에 따라만 개인 데이터를 처리하며, 처리자가 적용받는 유럽연합 또는 회원국 법률에 따라 요구되는 경우를 제외합니다.

Mewayz는 지시가 적용 가능한 데이터 보호 법규를 위반한다고 판단할 경우 즉시 관리자에게 통보합니다.

4. 데이터 처리 세부사항

다음은 Mewayz가 수행하는 데이터 처리 활동의 성격, 목적 및 범위를 설명합니다:

개인 데이터 범주:

• 계정 데이터 — 이름, 이메일 주소, 전화번호, 회사명, 직무, 로그인 자격 증명.
• 연락처 데이터 — Contact information of the Customer's end users, clients, or leads stored within the Mewayz platform.
• 사용 데이터 — 플랫폼 상호 작용 로그, 기능 사용량 분석, IP 주소, 브라우저 및 디바이스 정보.
• 콘텐츠 데이터 — 고객이 플랫폼 내에서 업로드하거나 생성한 파일, 문서, 메시지, 노트 및 기타 모든 콘텐츠.

데이터 주체 범주:

• The Customer's end users and platform users
• The Customer's employees and team members
• The Customer's contacts, clients, and leads

처리 목적:

이용약관에 설명된 대로 Mewayz 플랫폼 서비스(CRM, 프로젝트 관리, 인보이싱, 헬프데스크 및 플랫폼 내 모든 기타 모듈 포함)를 제공, 유지 및 개선합니다.

5. 보안 조치

Mewayz는 위험에 적합한 수준의 보안을 보장하기 위해 다음과 같은 적절한 기술적 및 조직적 조치를 구현합니다:

• 저장 데이터 암호화 — 당사 서버에 저장된 모든 개인 데이터는 AES-256 암호화 표준을 사용하여 암호화됩니다.
• 전송 중 암호화 — 고객과 Mewayz 간에 전송되는 모든 데이터는 TLS 1.2 이상의 암호화 프로토콜을 사용하여 보호됩니다.
• 접근 통제 — 엄격한 역할 기반 접근 제어를 통해 승인된 직원만 개인 데이터에 접근할 수 있습니다. 모든 관리자 접근에는 다중 인증이 적용됩니다.
• 정기 보안 검토 — We conduct periodic security assessments, vulnerability scans, and code reviews to identify and remediate potential security risks.
• 사고 대응 절차 — We maintain documented incident response procedures that include identification, containment, eradication, recovery, and post-incident review processes.
• 백업 및 복구 — 정기적인 자동 백업이 수행되며 안전하게 저장됩니다. 복구 절차는 주기적으로 테스트되어 데이터 무결성과 가용성을 보장합니다.

6. 하위 처리자들

Mewayz는 당사의 서비스 제공을 지원하기 위해 다음 하위 처리자들을 활용합니다. 각 하위 처리자는 적용 가능한 데이터 보호 요구 사항을 준수하는지 검토되었습니다:

• Stripe, Inc. — 결제 처리. 위치: 미국. 처리 데이터: 결제 및 청구 정보.
• Cloudflare, Inc. — 콘텐츠 전송 네트워크(CDN) 및 보안 서비스. 위치: 미국(글로벌 에지 네트워크). 처리 데이터: 트래픽 데이터, IP 주소.
• Hetzner Online GmbH — 서버 호스팅 및 인프라. 위치: 유럽 연합 / 미국. 처리 데이터: 서버에 저장된 모든 플랫폼 데이터.

Mewayz는 하위 처리자를 추가 또는 교체하기 전에 고객에게 통지하고, 고객이 이의를 제기할 기회를 제공합니다. 고객이 합리적으로 이의를 제기하는 경우, Mewayz는 대체 솔루션을 제공하기 위해 합리적인 노력을 기울이거나 고객이 영향을 받는 서비스를 종료할 수 있습니다.

Mewayz는 계약을 통해 각 하위 처리자에게 이 DPA에 규정된 것보다 보호 수준이 낮지 않은 데이터 보호 의무를 부과합니다.

7. 데이터 주체 권리

Mewayz는 GDPR에 따른 데이터 주체의 권리 행사 요청에 대응하기 위한 관리자의 의무 이행을 지원합니다:

• 접근 권리 (제15조) — 본인의 개인 데이터에 대한 확인 및 접근 권리를 얻을 수 있는 권리.
• 정정 권리 (제16조) — 부정확한 개인 데이터를 정정할 권리.
• 삭제 권리 (제17조) — 특정 상황에서 개인 데이터 삭제를 요청할 권리.
• 제한 권리 (제18조) — 개인 데이터 처리 제한 권리.
• 데이터 이동성 권리 (제20조) — 구조화되고 일반적으로 사용되며 기계 판독 가능한 형식으로 개인 데이터를 받을 권리.

Mewayz는 데이터 주체로부터 요청을 받은 경우 관리자에게 즉시 통지하며, 관리자의 승인을 받지 않는 한 해당 요청에 직접 응답하지 않습니다.

8. 데이터 유출 통지

개인 데이터 침해 사건 발생 시, Mewayz는 GDPR 제33조에 따라 지체 없이 그리고 사건 인지 후 72시간 이내에 관리자에게 통지합니다.

알림에는 다음이 포함되어야 합니다:

• 个人数据泄露性质的描述，包括受影响数据主体类别和数量及个人数据记录大致数量
• 데이터 보호 책임자 또는 추가 정보를 얻을 수 있는 기타 연락처의 이름 및 연락처.
• 个人数据泄露可能后果的描述
• 为解决泄露已采取或拟采取措施的描述，包括减轻其可能不利影响的措施

Mewayz는 관리자와 협력하고 각각의 위반에 대한 조사, 완화 및 수리를 지원하기 위해 합리적인 상업적 조치를 취합니다.

9. 데이터 전송

개인 데이터가 유럽 경제 지역(EEA)에서 EEA 외부의 국가로 이전되는 경우, 해당 국가들이 적절한 수준의 데이터 보호를 제공하는 것으로 간주되지 않을 때 Mewayz는 다음을 포함한 적절한 안전장치가 마련되도록 합니다:

• 국제 데이터 전송을 위한 유럽 위원회가 채택한 표준 계약 조항(SCC)
• 필요한 경우 전송 영향 평가를 기반으로 SCC를 보완하기 위한 추가 기술 및 조직적 조치.

Mewayz는 데이터 전송 메커니즘의 변경 사항을 관리자에게 알리고, 모든 전송이 적용 가능한 데이터 보호 법규를 준수하도록 보장합니다.

10. 데이터 보존 및 삭제

고객과 Mewayz 간 계약의 종료 또는 만료 시, Mewayz는 관리자(Controller)의 선택에 따라 다음 조치를 취해야 합니다:

• 컨트롤러로부터 서면 요청을 받은 후 30일 이내에 처리된 모든 개인 데이터를 삭제합니다. 또는
• 서면 요청을 받은 후 30일 이내에 모든 개인 데이터를 구조화되고 일반적으로 사용되며 기계가 읽을 수 있는 형식으로 관리자에게 반환합니다.

Mewayz는 유럽연합 또는 회원국 법률에서 개인 데이터의 저장을 요구하지 않는 한 기존 개인 데이터 사본을 삭제합니다. 요청 시 Mewayz는 데이터 삭제에 대한 서면 확인을 제공합니다.

11. 감사

Mewayz는 이 DPA 및 GDPR 제28조에 규정된 의무 준수를 입증하는 데 필요한 모든 정보를 관리자가 이용할 수 있도록 합니다.

The Controller, or an independent third-party auditor mandated by the Controller, may conduct audits to verify Mewayz's compliance with this DPA, subject to the following conditions:

• 통제자는 감사를 수행하기 최소 30일 전에 합리적인 사전 서면 통지를 제공해야 합니다.
• Audits shall be conducted during normal business hours and shall not unreasonably interfere with Mewayz's operations.
• 통제자는 감사 비용을 부담합니다. 단, 감사 결과 Mewayz의 중대한 미준수가 발견된 경우는 예외입니다.
• 감사 결과 및 획득된 모든 정보는 기밀로 취급됩니다.

12. 연락하다

본 데이터 처리 계약 또는 데이터 보호 문의사항에 대한 질문이 있으시면 다음 연락처로 문의해 주세요:

• 회사: Mewayz Global, Corp.
• 주소: 131 Continental Dr, Suite 305, Newark, DE 19713, USA
• 데이터 보호 이메일: [email protected]
• EIN: 38-4374855
• 웹사이트: https://mewayz.com