데이터 처리 계약

마지막 업데이트: 15 April 2026

본 데이터 처리 계약(“DPA”)은 Accsible 계정에 명시된 법인(“고객”, “컨트롤러”)과 Accsible이라는 상호로 영업하는 Denizcom Ltd(등록지: 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom, “Accsible”, “프로세서”) 간의 계약의 일부를 구성하며, 이용 약관 및 개인정보 처리방침 (통칭하여 “주요 계약”)을 보완합니다.

본 DPA는 Accsible이 서비스 제공 과정에서 고객을 대신하여 개인정보를 처리하는 경우 및 그 범위에 적용됩니다. 이는 UK GDPR, EU GDPR(규정 2016/679) 및 기타 관련 데이터 보호 법령의 제28조 준수를 보장하기 위해 설계되었습니다.

1. 정의

본 DPA에서, 문맥상 달리 요구되지 않는 한 다음과 같이 정의합니다.

“데이터 보호 법령” — UK GDPR, EU GDPR, Data Protection Act 2018, Privacy and Electronic Communications Regulations 2003 및 기타 적용 가능한 모든 데이터 보호 관련 법령을 의미합니다.
“개인정보” — 주요 계약에 따라 Accsible이 고객을 대신하여 처리하는, 식별되었거나 식별 가능한 자연인과 관련된 모든 정보를 의미합니다.
“처리” — 개인정보에 대해 수행되는 모든 작업으로, 수집, 기록, 저장, 검색, 이용, 공개, 삭제 또는 파기를 포함합니다.
“하위 프로세서” — 고객을 대신하여 개인정보를 처리하도록 Accsible이 지정한 제3자를 의미합니다.
“정보주체” — 개인정보가 관련된 식별되었거나 식별 가능한 자연인을 의미합니다.
“최종 사용자” — Accsible 위젯과 상호작용하는 고객 웹사이트 방문자를 의미합니다.
“보안 사고” — 개인정보의 우발적 또는 불법적인 파기, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 침해를 의미합니다.
“SCCs” — 유럽연합 집행위원회가 승인한 표준 계약 조항(결정 2021/914) 또는 해당되는 경우 영국 국제 데이터 전송 계약(IDTA)을 의미합니다.

2. 처리의 범위 및 세부사항

2.1 대상

Accsible은 접근성 위젯 및 SaaS 플랫폼을 제공합니다. 고객이 자신의 웹사이트에 위젯을 통합하면, Accsible은 고객을 대신하여 최종 사용자의 일부 개인정보를 처리합니다.

2.2 기간

처리는 고객이 위젯을 활성화하는 시점에 시작되며 주요 계약의 기간 동안 계속됩니다. 계약 종료 시에는 본 DPA의 제11조가 적용됩니다.

2.3 처리의 성격 및 목적

측면	세부사항
목적	접근성 위젯의 제공 및 운영; 대시보드를 통해 고객에게 사용 분석 및 접근성 점수 제공; 최종 사용자가 제출한 피드백 처리.
처리의 성격	서비스 제공에 필요한 범위 내에서 개인정보의 수집, 저장, 집계, 분석 및 삭제.

2.4 개인정보의 유형

IP 주소(분석용으로는 익명화; 보안 로그에는 최대 90일 동안 전체 IP 저장)
브라우저 유형, 버전 및 사용자 에이전트 문자열
디바이스 유형 및 운영체제
고객 웹사이트에서 방문한 페이지 및 타임스탬프
최종 사용자가 선택한 접근성 설정(최종 사용자의 디바이스에 로컬로 저장되며, 피드백이 제출되지 않는 한 전송되지 않음)
피드백 제출 내용(최종 사용자가 자발적으로 제공한 이름 및/또는 이메일)
집계된 페이지 조회수 지표

2.5 정보주체의 범주

최종 사용자 — Accsible 위젯과 상호작용하는 고객 웹사이트 방문자
고객 담당자 — 고객을 대신하여 Accsible 대시보드에 접근하는 개인

3. 고객(컨트롤러)의 의무

고객은 다음을 이행해야 합니다.

개인정보를 처리하고 Accsible에 그 처리를 지시할 수 있는 적법한 근거를 확보해야 합니다.
데이터 보호 법령에 따라 요구되는 모든 고지 사항을 제공하고 필요한 모든 동의를 정보주체로부터 획득해야 하며, 여기에는 고객의 자체 개인정보 처리방침에서 Accsible 위젯 사용에 대해 최종 사용자에게 알리는 것이 포함됩니다.
Accsible에 대한 모든 지시가 데이터 보호 법령을 준수하도록 해야 합니다.
Accsible의 처리 의무에 영향을 미칠 수 있는 관련 데이터 보호 법령의 변경 사항을 지체 없이 Accsible에 통지해야 합니다.

4. Accsible(프로세서)의 의무

Accsible은 다음을 이행해야 합니다.

적용 법률에 의해 요구되는 경우를 제외하고, 고객의 문서화된 지시(본 DPA 및 주요 계약에 명시된 지시를 포함)에 따라서만 개인정보를 처리해야 하며, 법률상 금지되지 않는 한 그러한 처리를 하기 전에 고객에게 이를 알려야 합니다.
개인정보를 처리할 권한이 부여된 자가 기밀 유지에 동의했거나 적절한 법정 기밀 유지 의무를 부담하도록 해야 합니다.
제5조에 설명된 기술적 및 조직적 보안 조치를 구현하고 유지해야 합니다.
제6조에 명시된 하위 프로세서 참여 조건을 준수해야 합니다.
적절한 기술적 및 조직적 조치를 통해 고객이 정보주체의 요청에 대응할 의무를 이행할 수 있도록 지원해야 합니다(제7조).
처리의 성격과 Accsible이 보유한 정보를 고려하여, GDPR 제32–36조(보안, 침해 통지, 영향 평가 및 사전 협의)에 따른 고객의 의무 준수를 지원해야 합니다.
고객의 선택에 따라, 주요 계약 종료 시 모든 개인정보를 삭제하거나 반환해야 합니다(제11조).
GDPR 제28조에 규정된 의무 준수를 입증하는 데 필요한 모든 정보를 고객에게 제공하고, 감사 및 검사에 응하며 협력해야 합니다(제10조).
Accsible의 판단에 따라 고객의 지시가 데이터 보호 법령을 위반한다고 여겨지는 경우 즉시 고객에게 알려야 합니다.

5. 보안 조치

Accsible은 개인정보가 무단 또는 불법적으로 처리되거나 우발적으로 손실, 파기 또는 손상되는 것을 방지하기 위해 다음과 같은 기술적 및 조직적 조치를 구현하고 유지합니다.

5.1 기술적 조치

CDN 전송, API 통신 및 대시보드 접근을 포함한 모든 연결에 TLS/HTTPS를 사용한 전송 중 암호화.
솔트가 적용된 일방향 암호화 알고리즘을 사용한 비밀번호 해싱.
크로스 사이트 스크립팅 및 인젝션 공격을 완화하기 위한 콘텐츠 보안 정책(CSP) 헤더.
Cloudflare를 통한 DDoS 보호.
세션 재생에서 모든 텍스트를 마스킹하고 모든 미디어를 차단하도록 구성된 오류 모니터링(Sentry).
분석 처리에서 IP 주소 익명화.
최종 사용자 접근성 설정을 브라우저 로컬 스토리지에 저장(디바이스 측에만 저장되며, 피드백이 제출되지 않는 한 서버로 전송되지 않음).

5.2 조직적 조치

역할 기반 접근 제어; 개인정보에 대한 접근은 업무 수행에 필요한 인원으로 제한.
개인정보에 접근하는 모든 직원 및 계약자에 대한 기밀 유지 의무.
인프라에 대한 정기적인 보안 평가 및 모니터링.
제8조에 설명된 사고 대응 절차.
제9조에 따라 개인정보가 필요 이상으로 보관되지 않도록 하는 보관 정책.

6. 하위 프로세서

6.1 일반 승인

고객은 Accsible이 고객을 대신하여 특정 처리 활동을 수행하기 위해 하위 프로세서를 참여시키는 것에 대해 일반적인 서면 승인을 부여합니다. Accsible은 각 하위 프로세서와의 서면 계약을 통해 본 DPA와 동등 이상으로 보호 수준이 높은 데이터 보호 의무를 부과해야 합니다.

6.2 현재 하위 프로세서

본 DPA 체결일 기준으로 참여 중인 하위 프로세서는 다음과 같습니다.

하위 프로세서	목적	위치
Cloudflare, Inc.	CDN, DDoS 보호, 위젯 및 API를 위한 콘텐츠 전송	글로벌(본사: USA); EU/UK 데이터 처리는 SCCs에 따라 수행
Functional Software, Inc. (Sentry)	오류 모니터링 및 성능 진단	USA; SCCs에 따라 처리
Google LLC (Google Analytics)	집계된 웹사이트 트래픽 분석(동의 기반에 한함)	USA; SCCs 및 EU-US Data Privacy Framework에 따라 처리
Stripe, Inc.	결제 처리 및 구독 관리	USA; PCI DSS Level 1 인증; SCCs에 따라 처리

6.3 하위 프로세서 변경

Accsible은 하위 프로세서를 추가하거나 교체하기 최소 30일 전에 이메일로 고객에게 통지해야 합니다. 통지에는 하위 프로세서의 이름, 수행할 처리 활동 및 위치가 포함되어야 합니다.

고객이 데이터 보호와 관련된 합리적인 사유로 새로운 하위 프로세서에 이의를 제기하는 경우, 통지를 받은 날로부터 14일 이내에 서면으로 Accsible에 통지해야 합니다. 당사자들은 선의로 해당 우려 사항을 논의해야 합니다. 당사자들이 30일 이내에 이의를 해결하지 못하는 경우, 고객은 서면 통지를 통해 해당 서비스 이용을 종료할 수 있으며, Accsible은 사용되지 않은 구독 기간에 대한 선불 요금을 환불해야 합니다.

7. 정보주체 권리

Accsible은 처리의 성격을 고려하여, 적절한 기술적 및 조직적 조치를 통해 고객이 데이터 보호 법령에 따른 정보주체의 권리 행사 요청에 대응할 의무를 이행할 수 있도록 지원해야 하며, 여기에는 다음이 포함됩니다.

열람권
정정권
삭제권(“잊힐 권리”)
처리 제한권
데이터 이동권
처리에 대한 반대권

Accsible이 고객의 데이터와 관련하여 정보주체로부터 직접 요청을 받은 경우, 법률상 금지되지 않는 한 지체 없이 정보주체를 고객에게 재지정하고 해당 요청에 대해 고객에게 통지해야 합니다. Accsible은 고객의 지시 또는 법률상 요구가 없는 한 이러한 요청에 직접 응답하지 않습니다.

8. 보안 사고 통지

8.1 통지

Accsible은 확인된 보안 사고를 인지한 후 부당한 지체 없이, 어떠한 경우에도 48시간 이내에 고객에게 통지해야 합니다. 통지는 고객 계정에 연결된 이메일 주소(또는 고객이 이 목적을 위해 지정한 대체 주소)로 발송됩니다.

8.2 통지 내용

통지에는 당시 이용 가능한 범위 내에서 다음 사항이 포함되어야 합니다.

보안 사고의 성격에 대한 설명(해당 정보주체의 범주 및 대략적인 수, 관련 데이터 기록 수 포함).
Accsible 내 연락 담당자의 이름 및 연락처.
사고의 발생 가능 결과에 대한 설명.
사고에 대처하기 위해 취한 또는 계획 중인 조치에 대한 설명(영향 완화 조치 포함).

8.3 지속적 의무

Accsible은 추가 정보가 이용 가능해지는 대로 제공하고, 보안 사고를 조사, 시정 및 그 영향을 완화하기 위한 고객의 합리적인 요청에 협력해야 합니다. 또한 Accsible은 GDPR 제33조 및 제34조에 따른 고객의 감독 당국 및 정보주체에 대한 침해 통지 의무 이행을 지원해야 합니다.

8.4 기록 유지

Accsible은 모든 보안 사고에 대해, 사고와 관련된 사실, 그 영향 및 취해진 시정 조치를 포함한 기록을 유지해야 합니다.

9. 데이터 보관

Accsible은 본 DPA에 따라 처리되는 개인정보를 다음과 같이 보관합니다.

보안 로그(전체 IP 주소): 최대 90일 동안 보관 후 영구 삭제.
집계 분석 데이터: 매월 익명화 처리; 개별 세션 데이터는 보관하지 않음.
최종 사용자 피드백 제출: 주요 계약 기간 동안 보관; 계약 종료 후 30일 이내 삭제.
오류 모니터링 데이터(Sentry): 최대 90일.
위젯 사용 지표: 집계 및 익명화; 처리를 위한 기간을 넘어 개별 수준 데이터는 보관하지 않음.

Accsible은 서비스 제공 목적 또는 적용 법률에 의해 요구되는 기간을 초과하여 개인정보를 보관하지 않습니다.

10. 감사 및 컴플라이언스

10.1 정보 제공

Accsible은 합리적인 요청이 있는 경우, 본 DPA 및 GDPR 제28조에 따른 의무 준수를 입증하는 데 합리하게 필요한 모든 정보를 고객에게 제공해야 합니다.

10.2 감사 권한

고객(또는 고객이 지정한 독립 제3자 감사인)은 다음 조건에 따라 Accsible의 처리 활동 및 보안 조치에 대한 감사를 수행할 수 있습니다.

고객은 감사 요청에 대해 최소 30일’ 전에 서면 통지를 제공해야 합니다.
감사는 정상 영업 시간(월요일–금요일, 09:00–18:00 GMT)에 수행되어야 하며, Accsible의 운영을 부당하게 방해해서는 안 됩니다.
고객은 12개월 기간당 1회를 초과하여 감사를 수행할 수 없으며, 감독 당국의 요구 또는 확인된 보안 사고 이후의 경우는 예외로 합니다.
감사인은 주요 계약에 규정된 것과 동등 이상으로 보호 수준이 높은 기밀 유지 의무를 부담해야 합니다.
Accsible은, 이용 가능한 경우, 최신 SOC 2 Type II 보고서, ISO 27001 인증 또는 이에 상응하는 독립 인증을 제공함으로써 감사 요청을 충족할 수 있습니다.

10.3 협력

Accsible은 본 DPA와 관련하여 Accsible의 시설 또는 기록에 대한 접근을 요구하는 고객 및 모든 감독 당국과 협력해야 합니다.

11. 데이터 반환 및 삭제

주요 계약이 종료되거나 만료되는 경우, 고객은 30일 이내에 Accsible에게 다음 중 하나를 요청할 수 있습니다.

반환: 모든 개인정보를 구조화되고, 일반적으로 사용되며, 기계 판독이 가능한 형식으로 반환할 것.
삭제: 모든 개인정보를 삭제하고 그 삭제 사실을 서면으로 확인할 것.

고객이 종료 후 30일 이내에 요청을 하지 않는 경우, Accsible은 적용 법률(예: 세무 준수를 위한 청구 기록)에서 보관을 요구하는 범위를 제외하고 모든 개인정보를 영구 삭제해야 합니다. 법적으로 보관이 요구되는 경우, Accsible은 해당 데이터를 분리 및 보호하고, 법에서 요구하는 목적에 한해서만 처리를 제한해야 합니다.

12. 국제 전송

Accsible은 영국에 설립된 회사입니다. 개인정보가 UK 또는 EEA 외 지역에 위치한 하위 프로세서에게 전송되는 경우, Accsible은 다음을 포함한 적절한 보호 조치를 마련합니다.

UK International Data Transfer Agreement(IDTA) 또는 SCCs에 대한 영국 부속서
EU 표준 계약 조항(SCCs) — 집행위원회 결정 2021/914
영국 국무장관 또는 유럽연합 집행위원회의 적정성 결정
해당되는 경우, ICO 또는 EDPB가 권고한 추가 보완 조치

관련 전송 메커니즘의 사본은 고객의 서면 요청 시 제공됩니다.

13. 책임

각 당사자의 본 DPA에 따른 책임은 주요 계약(이용 약관)에 규정된 책임 제한 및 면책 조항의 적용을 받으며, 다만 적용 법률이 허용하지 않는 범위까지 데이터 보호 법령 위반에 대한 책임을 배제하거나 제한하지 않습니다.

14. 기간 및 우선순위

14.1 기간

본 DPA는 고객이 처음으로 Accsible 위젯을 통합한 날에 효력이 발생하며, 주요 계약의 기간 동안 및 제11조에 따라 모든 개인정보가 삭제되거나 반환될 때까지 유효합니다.

14.2 우선순위

본 DPA와 주요 계약 간에 상충이 있는 경우, 개인정보의 처리 및 보호와 관련하여서는 본 DPA가 우선합니다.

14.3 개정

Accsible은 데이터 보호 법령 또는 처리 활동의 변경을 반영하기 위해 본 DPA를 업데이트할 수 있습니다. 중대한 변경 사항은 발효일 최소 30일 전에 이메일을 통해 고객에게 통지됩니다. 변경 사항 발효 이후에도 서비스를 계속 이용하는 경우, 변경 사항에 대한 동의로 간주됩니다.

15. 연락처

본 DPA와 관련된 문의 또는 요청은 다음으로 연락해 주십시오.

데이터 보호 담당 연락처: [email protected]
보안 사고: [email protected]
등록 사무소: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
ICO 등록: ZC114350