- 원문의 의미와 톤을 유지합니다.- 고유한 법률 용어로 자연스럽게 옮깁니다.- 원문의 줄바꿈과 문장 구조를 그대로 유지합니다.- 숫자, 기호, 형식은 변경하지 않습니다.- 번역 후 의미와 형식 보존을 간단히 점검합니다.데이터 처리 계약

최종 업데이트: 15 April 2026

이 데이터 처리 계약(“DPA”)은 Accsible 계정에 식별된 법인(“고객”, “관리자”)과 Denizcom Ltd가 Accsible로서 영업하며, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom에 등록된 법인(“Accsible”, “처리자”) 간의 계약의 일부를 구성하며, 이용약관 및 개인정보처리방침 (이하 통칭하여 “주계약”)을 보완합니다.

본 DPA는 Accsible이 서비스 제공 과정에서 고객을 대신하여 개인정보를 처리하는 경우 및 그 범위에 적용됩니다. 이는 UK GDPR, EU GDPR (Regulation 2016/679) 및 기타 적용 가능한 데이터 보호 법령의 Article 28 준수를 보장하기 위해 마련되었습니다.

1. 정의

본 DPA에서, 문맥상 달리 요구되지 않는 한:

“데이터 보호 법률” — UK GDPR, EU GDPR, Data Protection Act 2018, Privacy and Electronic Communications Regulations 2003, 및 기타 적용 가능한 데이터 보호 법령.
“개인정보” — 주계약에 따라 고객을 대신하여 Accsible이 처리하는, 식별되었거나 식별 가능한 자연인과 관련된 모든 정보.
“처리” — 수집, 기록, 저장, 검색, 사용, 공개, 삭제 또는 파기를 포함하여 개인정보에 대해 수행되는 모든 작업.
“하위 처리자” — 고객을 대신하여 개인정보를 처리하도록 Accsible이 지정한 모든 제3자.
“데이터 주체” — 개인정보가 관련된 식별되었거나 식별 가능한 자연인.
“최종 사용자” — Accsible 위젯과 상호작용하는 고객 웹사이트 방문자.
“보안 사고” — 개인정보의 우발적 또는 불법적 파기, 분실, 변경, 무단 공개 또는 접근으로 이어지는 보안 침해.
“SCCs” — 유럽연합 집행위원회가 승인한 표준계약조항(Decision 2021/914) 또는 해당되는 경우 UK International Data Transfer Agreement (IDTA).

2. 처리의 범위 및 세부사항

2.1 대상

Accsible은 접근성 위젯 및 SaaS 플랫폼을 제공합니다. 고객이 자신의 웹사이트에 위젯을 통합하는 경우, Accsible은 고객을 대신하여 최종 사용자의 특정 개인정보를 처리합니다.

2.2 기간

처리는 고객이 위젯을 활성화할 때 시작되며 주계약의 기간 동안 계속됩니다. 종료 시에는 본 DPA의 Section 11이 적용됩니다.

2.3 처리의 성격 및 목적

항목	세부사항
목적	접근성 위젯의 제공 및 운영; 대시보드를 통해 고객에게 사용 분석 및 접근성 점수 제공; 최종 사용자가 제출한 피드백 처리.
처리의 성격	서비스 제공에 필요한 범위 내에서 개인정보의 수집, 저장, 집계, 분석 및 삭제.

2.4 개인정보의 유형

IP 주소(분석용으로 익명화됨; 보안 로그에는 최대 90 days 동안 전체 IP 저장)
브라우저 유형, 버전 및 사용자 에이전트 문자열
기기 유형 및 운영체제
고객 웹사이트에서 방문한 페이지 및 타임스탬프
최종 사용자가 선택한 접근성 기본 설정(최종 사용자의 기기에 로컬로 저장되며, 피드백이 제출되지 않는 한 전송되지 않음)
피드백 제출 내용(최종 사용자가 자발적으로 제공한 경우 이름 및/또는 이메일)
집계된 페이지 조회 지표

2.5 데이터 주체의 범주

최종 사용자 — Accsible 위젯과 상호작용하는 고객 웹사이트 방문자
고객 직원 — 고객을 대신하여 Accsible 대시보드에 접근하는 개인

3. 고객(관리자)의 의무

고객은 다음을 이행해야 합니다:

개인정보를 처리할 법적 근거와 Accsible에 그 처리를 지시할 법적 근거가 있음을 보장할 것.
데이터 보호 법률이 요구하는 바에 따라 데이터 주체에게 필요한 모든 고지를 제공하고 필요한 모든 동의를 얻을 것, 여기에는 고객의 자체 개인정보처리방침에서 Accsible 위젯의 사용에 대해 최종 사용자에게 알리는 것이 포함됩니다.
Accsible에 대한 지시가 데이터 보호 법률을 준수하도록 보장할 것.
Accsible의 처리 의무에 영향을 미칠 수 있는 적용 가능한 데이터 보호 법률의 변경 사항을 Accsible에 신속히 통지할 것.

4. Accsible(처리자)의 의무

Accsible은 다음을 이행해야 합니다:

적용 가능한 법률에 의해 요구되는 경우를 제외하고는 고객의 문서화된 지시에 따라서만 개인정보를 처리할 것(본 DPA 및 주계약에 명시된 지시 포함) — 이 경우 Accsible은 법적으로 금지되지 않는 한 처리 전에 고객에게 이를 알립니다.
개인정보를 처리하도록 승인된 자가 비밀유지 의무를 부담하고 있거나 적절한 법정 비밀유지 의무를 부담하고 있음을 보장할 것.
Section 5에 설명된 기술적 및 조직적 보안 조치를 구현하고 유지할 것.
Section 6에 명시된 하위 처리자 지정 조건을 준수할 것.
적절한 기술적 및 조직적 조치를 통해 데이터 주체 요청에 응답할 의무를 이행하는 데 고객을 지원할 것(Section 7).
처리의 성격과 Accsible이 이용할 수 있는 정보를 고려하여, GDPR Article 32–36에 따른 의무(보안, 침해 통지, 영향평가 및 사전 협의)를 준수하도록 고객을 지원할 것.
고객의 선택에 따라, 주계약 종료 시 모든 개인정보를 삭제하거나 반환할 것(Section 11).
GDPR Article 28에 규정된 의무 준수를 입증하는 데 필요한 모든 정보를 고객에게 제공하고, 감사 및 점검을 허용하며 이에 기여할 것(Section 10).
고객의 지시가 데이터 보호 법률을 위반한다고 Accsible이 판단하는 경우 이를 즉시 고객에게 알릴 것.

5. 보안 조치

Accsible은 무단 또는 불법적인 처리, 우발적 손실, 파기 또는 손상으로부터 개인정보를 보호하기 위해 다음과 같은 기술적 및 조직적 조치를 구현하고 유지합니다:

5.1 기술적 조치

CDN 전송, API 통신 및 대시보드 접근을 포함한 모든 연결에 대해 TLS/HTTPS를 사용한 전송 중 암호화.
솔트가 적용된 일방향 암호화 알고리즘을 사용한 비밀번호 해싱.
교차 사이트 스크립팅 및 주입 공격을 완화하기 위한 Content Security Policy (CSP) 헤더.
Cloudflare를 통한 DDoS 보호.
세션 재생에서 모든 텍스트를 마스킹하고 모든 미디어를 차단하도록 구성된 오류 모니터링(Sentry).
분석 처리에서 IP 주소 익명화.
최종 사용자의 접근성 기본 설정은 브라우저 로컬 스토리지에 저장됨(기기 측에만 저장되며, 피드백이 제출되지 않는 한 서버로 전송되지 않음).

5.2 조직적 조치

역할 기반 접근 통제; 개인정보 접근은 직무 수행에 필요한 인원으로 제한됨.
개인정보에 접근하는 모든 직원 및 계약자에 대한 비밀유지 의무.
정기적인 보안 평가 및 인프라 모니터링.
Section 8에 설명된 사고 대응 절차.
개인정보를 필요한 기간보다 더 오래 보관하지 않도록 보장하는 보존 정책(Section 9 참조).

6. 하위 처리자

6.1 일반 승인

고객은 Accsible이 고객을 대신하여 특정 처리 활동을 수행하기 위해 하위 처리자를 고용하는 것에 대해 일반적인 서면 승인을 부여합니다. Accsible은 각 하위 처리자에게 서면 계약을 통해 본 DPA보다 덜 보호적이지 않은 데이터 보호 의무를 부과해야 합니다.

6.2 현재 하위 처리자

본 DPA의 날짜 기준으로 다음 하위 처리자가 지정되어 있습니다:

하위 처리자	목적	위치
Cloudflare, Inc.	CDN, DDoS 보호, 위젯 및 API용 콘텐츠 전송	전 세계(미국 본사); SCCs에 따른 EU/UK 데이터 처리
Functional Software, Inc. (Sentry)	오류 모니터링 및 성능 진단	USA; SCCs에 따른 처리
Google LLC (Google Analytics)	집계된 웹사이트 트래픽 분석(동의 기반에 한함)	USA; SCCs 및 EU-US Data Privacy Framework에 따른 처리
Stripe, Inc.	결제 처리 및 구독 관리	USA; PCI DSS Level 1 인증; SCCs에 따른 처리

6.3 하위 처리자 변경

Accsible은 하위 처리자를 추가하거나 교체하기 최소 30 days 전에 이메일로 고객에게 통지해야 합니다. 통지에는 하위 처리자의 이름, 수행할 처리, 그리고 위치가 포함되어야 합니다.

고객이 데이터 보호상의 사유에 근거하여 새로운 하위 처리자에 대해 합리적인 이의를 제기하는 경우, 고객은 통지를 받은 날로부터 14 days 이내에 서면으로 Accsible에 통지해야 합니다. 당사자들은 선의로 해당 우려를 논의해야 합니다. 당사자들이 30 days 이내에 이의를 해결하지 못하는 경우, 고객은 서면 통지를 제공함으로써 영향을 받는 서비스를 종료할 수 있으며, Accsible은 사용되지 않은 구독 기간에 대한 선불 요금을 환불해야 합니다.

7. 데이터 주체의 권리

Accsible은 처리의 성격을 고려하여, 적절한 기술적 및 조직적 조치를 통해 데이터 보호 법률에 따른 권리를 행사하는 데이터 주체의 요청에 응답할 고객의 의무를 이행하도록 지원해야 하며, 여기에는 다음이 포함됩니다:

열람권
정정권
삭제권(“잊힐 권리”)
처리 제한권
데이터 이동권
이의제기권

Accsible이 고객의 데이터와 관련하여 데이터 주체로부터 직접 요청을 받는 경우, Accsible은 법적으로 금지되지 않는 한 해당 데이터 주체를 신속히 고객에게 안내하고 요청 사실을 고객에게 통지해야 합니다. Accsible은 고객의 지시가 있거나 법률상 요구되는 경우를 제외하고는 그러한 요청에 직접 응답하지 않습니다.

8. 보안 사고 통지

8.1 통지

Accsible은 확인된 보안 사고를 인지한 후 부당한 지체 없이, 어떠한 경우에도 48 hours 이내에 고객에게 통지해야 합니다. 통지는 고객 계정과 연결된 이메일 주소(또는 이 목적을 위해 고객이 지정한 대체 주소)로 발송됩니다.

8.2 통지 내용

통지에는, 해당 시점에 이용 가능한 범위 내에서, 다음이 포함되어야 합니다:

관련된 데이터 주체 및 데이터 기록의 범주와 대략적인 수를 포함한 보안 사고의 성격에 대한 설명.
Accsible의 담당 연락처 이름 및 연락처 정보.
사고의 예상 결과에 대한 설명.
사고를 해결하기 위해 취해졌거나 제안된 조치에 대한 설명, 그 영향 완화 조치 포함.

8.3 지속적 의무

Accsible은 이용 가능해지는 추가 정보를 제공해야 하며, 보안 사고의 조사, 시정 및 영향 완화를 위한 고객의 합리적인 요청에 협조해야 합니다. 또한 Accsible은 GDPR Article 33 및 34에 따라 감독기관 및 데이터 주체에 대한 고객의 자체 침해 통지 의무 이행을 지원해야 합니다.

8.4 기록 보관

Accsible은 사고와 관련된 사실, 그 영향 및 취해진 시정 조치를 포함하여 모든 보안 사고의 기록을 유지해야 합니다.

9. 데이터 보존

Accsible은 본 DPA에 따라 처리된 개인정보를 다음과 같이 보존합니다:

보안 로그(전체 IP 주소): 최대 90 days, 이후 영구 삭제.
집계된 분석 데이터: 매월 익명화됨; 개별 세션 데이터는 보존되지 않음.
최종 사용자 피드백 제출: 주계약 기간 동안 보존; 종료 후 30 days 이내 삭제.
오류 모니터링 데이터(Sentry): 최대 90 days.
위젯 사용 지표: 집계 및 익명화됨; 처리 이후 개별 수준 데이터는 보존되지 않음.

Accsible은 서비스 제공 목적에 필요한 기간 또는 적용 가능한 법률이 요구하는 기간보다 더 오래 개인정보를 보존하지 않습니다.

10. 감사 및 준수

10.1 정보

Accsible은 합리적인 요청이 있는 경우, 본 DPA 및 GDPR Article 28에 따른 의무 준수를 입증하는 데 합리적으로 필요한 모든 정보를 고객에게 제공해야 합니다.

10.2 감사 권리

고객(또는 고객이 지정한 독립적인 제3자 감사인)은 다음 조건에 따라 Accsible의 처리 활동 및 보안 조치를 감사할 수 있습니다:

고객은 감사 요청에 대해 최소 30 days’의 서면 통지를 제공해야 합니다.
감사는 정상 영업시간(월요일–금요일, 09:00–18:00 GMT) 중에 수행되어야 하며, Accsible의 운영을 부당하게 방해해서는 안 됩니다.
고객은 감독기관의 요구가 있거나 확인된 보안 사고 이후가 아닌 한, 12-month period당 1회를 초과하여 감사를 수행할 수 없습니다.
감사인은 주계약에 명시된 것보다 덜 보호적이지 않은 비밀유지 의무를 부담해야 합니다.
Accsible은 현재의 SOC 2 Type II 보고서, ISO 27001 인증서 또는 이에 상응하는 독립 인증이 있는 경우 이를 제공함으로써 감사 요청을 충족할 수 있습니다.

10.3 협조

Accsible은 본 DPA와 관련하여 Accsible의 시설 또는 기록에 대한 접근을 요구하는 고객 및 모든 감독기관과 협조해야 합니다.

11. 데이터 반환 및 삭제

주계약이 종료되거나 만료된 후, 고객은 30 days 이내에 Accsible이 다음을 수행하도록 요청할 수 있습니다:

반환 모든 개인정보를 구조화되고 일반적으로 사용되며 기계 판독 가능한 형식으로 반환할 것; 또는
삭제 모든 개인정보를 삭제하고 삭제 사실을 서면으로 확인할 것.

고객이 종료 후 30 days 이내에 요청하지 않는 경우, Accsible은 적용 가능한 법률에 따라 보존이 요구되는 범위(예: 세무 준수를 위한 청구 기록)를 제외하고 모든 개인정보를 영구 삭제해야 합니다. 법적으로 보존이 요구되는 경우, Accsible은 해당 데이터를 분리하여 보호하고 법률이 부과하는 목적에 한해 처리 범위를 제한해야 합니다.

12. 국제 이전

Accsible은 United Kingdom에 설립되어 있습니다. 개인정보가 UK 또는 EEA 외부에 위치한 하위 처리자에게 이전되는 경우, Accsible은 다음을 포함한 적절한 보호조치가 마련되도록 보장합니다:

UK International Data Transfer Agreement (IDTA) 또는 SCCs에 대한 UK Addendum
EU Standard Contractual Clauses (SCCs) — Commission Decision 2021/914
UK Secretary of State 또는 European Commission의 적정성 결정
해당되는 경우, ICO 또는 EDPB가 권고하는 추가 보완 조치

관련 이전 메커니즘의 사본은 서면 요청 시 고객에게 제공됩니다.

13. 책임

본 DPA에 따른 각 당사자의 책임은 주계약(이용약관)에 명시된 책임의 제한 및 면책의 적용을 받습니다. 다만, 어느 당사자도 적용 가능한 법률이 허용하지 않는 범위에서 데이터 보호 법률 위반에 대한 책임을 배제하거나 제한하지 않습니다.

14. 기간 및 우선순위

14.1 기간

본 DPA는 고객이 처음으로 Accsible 위젯을 통합한 날에 효력이 발생하며, 주계약의 기간 동안 유효하고, 그 이후에는 Section 11에 따라 모든 개인정보가 삭제되거나 반환될 때까지 계속 유효합니다.

14.2 우선순위

본 DPA와 주계약 사이에 충돌이 있는 경우, 개인정보의 처리 및 보호와 관련해서는 본 DPA가 우선합니다.

14.3 개정

Accsible은 데이터 보호 법률 또는 처리 활동의 변경을 반영하기 위해 본 DPA를 업데이트할 수 있습니다. 중대한 변경 사항은 이메일을 통해 최소 30 days 전에 고객에게 통지됩니다. 변경의 시행일 이후 서비스를 계속 사용하는 것은 해당 변경에 대한 수락을 의미합니다.

15. 연락처

본 DPA와 관련된 질문이나 요청은 다음으로 연락해 주십시오:

데이터 보호 연락처: [email protected]
보안 사고: [email protected]
등록 사무소: Denizcom Ltd, 71-75 Shelton Street, Covent Garden, London, WC2H 9JQ, United Kingdom
ICO 등록: ZC114350