데이터 처리 부록

여기에 정의되지 않은 대문자 용어는 GDPR (Regulation (EU) 2016/679)에서 정의된 의미를 가지며, 해당되는 경우 UK GDPR / Data Protection Act 2018, CPRA로 개정된 California Consumer Privacy Act (“CCPA”), 그리고 다른 관할권의 동등한 법률의 의미를 가져요.

“개인 데이터”는 고객이 제출하거나 서비스에 의해 생성된 데이터로, 식별되었거나 식별 가능한 자연인을 식별하거나 그와 관련된 데이터를 의미해요. “하위 처리자”는 FixVibe를 대신해 개인 데이터를 처리하도록 FixVibe가 고용한 제3자를 의미하며 — /legal/privacy에 목록이 있어요.

각 당사자는 자신에게 적용되는 데이터 보호법 준수에 대해 독립적으로 책임져요. 고객은 관리자이고 FixVibe는 이 부록에 따라 처리되는 개인 데이터의 처리자예요. FixVibe는 법적으로 달리 요구되는 경우를 제외하고, 고객의 문서화된 지시에 따라서만 개인 데이터를 처리할 거예요 (서비스 구성이 그러한 지시를 구성해요).

FixVibe는 개인 데이터를 처리하도록 승인된 직원이 기밀 유지 의무에 구속되도록 보장해요. 프로덕션 데이터에 대한 접근은 최소 권한 운영 직원 일부로 제한되고, audit_logs를 통해 기록되며, 주기적으로 검토돼요. FixVibe 직원은 지원 티켓 조사, 보안 사고 대응, 또는 법적 절차 준수를 위한 경우를 제외하고는 고객 데이터에 접근하지 않아요.

FixVibe는 GDPR Art. 32에 부합하는 적절한 기술적·조직적 조치를 시행해요. 여기에는 다음이 포함돼요:

• 전송 중 개인 데이터 암호화 (TLS 1.2+) 및 저장 중 암호화 (데이터베이스 디스크 수준 + 인증 스캔 헤더와 OAuth 토큰에 대한 대상별 열 수준 AES-256-GCM);
• 모든 데이터베이스 테이블에 행 수준 보안 강제 적용 — 애플리케이션 코드가 실수로도 조직 경계를 넘어 읽거나 쓸 수 없어요;
• 고객이 소셜 로그인을 선택할 때 업스트림 OAuth 공급자(Google 또는 GitHub)를 통한 사용자별 다중 인증;
• FixVibe 코드베이스 자체의 지속적인 정적 분석 + 의존성 취약성 스캔;
• 포인트-인-타임 복구가 가능한 데이터베이스 공급자를 통한 백업; 연간 테스트;
• 정의된 보존 기간 (개인정보 처리방침 참조)은 종이 약속이 아닌 자동화된 일일 cron으로 시행돼요.

고객은 FixVibe가 개인정보 처리방침에 기재된 목적에 따라 목록에 있는 하위 처리자를 고용하도록 승인해요. FixVibe는 각 하위 처리자와 이 부록의 보호 수준보다 낮지 않은 데이터 보호 의무를 부과하는 서면 계약을 체결하며, 개인 데이터 처리와 관련하여 하위 처리자의 행위 및 태만에 대해 고객에게 책임져요.

FixVibe는 하위 처리자를 추가하거나 교체하려는 경우 최소 30일 전에 (앱 내 공지 또는 이메일로) 고객에게 알려 고객이 이의를 제기할 기회를 줄 거예요. 고객이 합리적인 데이터 보호 근거로 이의를 제기하는 경우, 고객은 영향을 받는 처리와 관련하여 서비스를 종료할 수 있어요.

FixVibe는 주로 미국에서 개인 데이터를 처리해요. EEA, UK, 또는 스위스에서 적절성 결정을 받지 않은 제3국으로 개인 데이터가 이전되는 경우, FixVibe는 다음에 의존해요:

• 유럽 위원회의 Standard Contractual Clauses (Decision (EU) 2021/914), 모듈 2 (관리자-대-처리자), 참조로 이 부록에 포함됨;
• ICO가 발표한 EU SCCs에 대한 영국의 International Data Transfer Addendum (또는 IDTA 단독);
• 제4조에 기술된 보충적 기술적·조직적 조치.

고객은 FixVibe가 고객을 대신해 각 후속 하위 처리자와 SCCs / IDTA를 체결하도록 승인해요.

FixVibe는 Articles 15–22 GDPR에 따른 데이터 주체 요청에 응답하기 위해 (처리의 성격과 이용 가능한 정보를 고려하여) 고객을 지원할 거예요. 대부분의 권리는 계정 → 개인정보에서 셀프서비스로 이용 가능해요; 나머지 요청의 경우 고객은 제목 “Privacy request”로 support@fixvibe.app에 이메일을 보낼 수 있어요. 30일 이내에 답변드려요.

FixVibe는 고객 개인 데이터에 영향을 미치는 개인 데이터 침해에 대해 불필요한 지연 없이 (어떠한 경우에도 인지 후 72시간 이내에) 고객에게 통지할 거예요. 고객이 자체 Article 33 / 34 의무를 준수하는 데 합리적으로 필요한 정보를 제공하며, 여기에는 침해의 성격, 영향받은 데이터 주체 및 기록의 범주와 대략적인 수, 가능한 결과, 그리고 이를 해결하기 위해 취한 또는 제안된 조치가 포함돼요.

FixVibe는 이 문서, 개인정보 처리방침, 허용 사용 정책, 약관, 및 보유한 제3자 보안 보고서(요청 시 NDA 하에 공유할 거예요)를 포함해 이 부록 준수를 입증하는 데 필요한 정보를 고객에게 제공해요. FixVibe는 합리적인 사전 통지와 업무 시간 내에 고객 또는 고객이 위임한 감사자가 수행하는 감사(검사 포함)를 허용하고 기여할 거예요, 매 달력 연도 최대 1회 (규제기관이 달리 요구하거나 개인 데이터 침해 발생 시 제외).

서비스 종료 시, 고객의 선택에 따라 FixVibe는 고객을 대신해 처리한 모든 개인 데이터를 30일 이내에 삭제하거나 반환할 거예요, 단 FixVibe가 적용 법률에 의해 보존하도록 요구되는 경우는 제외해요 (예: 세금/청구 기록). 계정 → 개인정보의 셀프서비스 계정 삭제 기능이 이를 즉시 실행해요.

CCPA의 목적상, FixVibe는 “서비스 공급업체”이고 고객은 이 부록에 따라 처리되는 모든 개인 정보와 관련하여 “사업자”예요. FixVibe는 다음을 하지 않을 거예요:

• 개인 정보를 판매하거나 공유 (CCPA에서 정의된 용어 의미로);
• 서비스 제공이라는 특정 사업 목적 이외의 목적으로, 그리고 FixVibe와 고객 간의 직접적인 사업 관계 외에서 개인 정보를 보유, 사용, 또는 공개;
• CCPA에서 명시적으로 허용하는 경우를 제외하고 고객으로부터 받은 개인 정보와 다른 출처로부터 받은 개인 정보를 결합.

FixVibe는 이러한 제한을 이해하고 준수할 것임을 확인해요.

이 부록과 서비스 약관 사이에 충돌이 있는 경우, 이 부록이 충돌 범위 내에서 우선해요. SCCs / IDTA는 적용되는 경우 두 문서 모두에 우선해요.

데이터 주체 권리 행사 및 하위 처리자 문의를 포함한 모든 데이터 보호 관련 사항은 EGO HERO LLC에 문의해 주세요:

• 이메일: support@fixvibe.app (라우팅을 위해 제목에 “DPA” 사용)
• 우편: 위 이메일을 통해 요청하면 주소를 안내드려요