v2026.02.28 본 데이터 처리 부속약관("DPA")은 Giftpack, Inc.("Giftpack")와 Giftpack에 개인정보를 제출하거나 Giftpack 서비스를 이용하는 고객, 사용자, 파트너 또는 조직("고객") 간 계약의 일부를 구성합니다. 본 DPA는 Giftpack이 적용 데이터 보호법에 따라 처리자, 서비스 제공자, 수급인 또는 유사한 역할로 고객을 대신하여 개인정보를 처리하는 경우 적용됩니다. 본 DPA는 주문서 서명, 서비스 이용약관 수락, 플랫폼 내 클릭 수락, 수령인 데이터 제출, 캠페인 승인 또는 고객을 대신한 개인정보 처리를 포함하는 서비스 이용으로 수락될 수 있습니다. 별도로 서명된 데이터 처리 계약은 충돌 범위에서 본 온라인 DPA에 우선합니다.
“데이터 보호법”은 고객 개인정보 처리에 적용되는 개인정보 보호, 데이터 보호 및 보안 관련 법률을 의미하며 GDPR, UK GDPR, 스위스 연방 데이터 보호법, CCPA/CPRA 및 기타 적용 법률을 포함할 수 있습니다. “고객 개인정보”는 고객이 Giftpack에 제공하거나 고객을 대신한 처리를 위해 Giftpack에 제공하는 개인정보, 개인 정보 또는 유사한 규제 데이터를 의미합니다. “GDPR”은 Regulation (EU) 2016/679를 의미하고, “CCPA”는 California Privacy Rights Act 및 시행 규정에 의해 개정된 California Consumer Privacy Act를 의미합니다. 관리자, 처리자, 사업자, 서비스 제공자, 수급인, 개인정보, 개인 정보, 처리 및 정보주체 등의 용어는 적용 데이터 보호법에서 정한 의미를 가집니다.
고객이 관리하는 캠페인, 수령인 워크플로, 주문 이행, 플랫폼 관리, 보고 및 관련 서비스와 관련하여 처리되는 고객 개인정보에 대해 고객은 관리자 또는 사업자이고 Giftpack은 처리자, 서비스 제공자, 수급인 또는 유사한 역할을 수행합니다. Giftpack은 개인정보 처리방침에 설명된 바와 같이 계정 관리, 보안, 사기 방지, 분석, 법률 준수, 서비스 개선, 청구 및 내부 운영을 위해 일부 데이터를 독립적인 관리자 또는 사업자로 처리할 수 있습니다.
Giftpack은 본 DPA, 서비스 이용약관, 적용 주문서, 캠페인 주문, 플랫폼 설정, 서비스를 통해 제출된 고객 지시 및 당사자들이 합의한 기타 서면 지시를 포함한 고객의 문서화된 지시에 따라서만 고객 개인정보를 처리합니다. 다만 법률상 요구되는 경우는 예외입니다. Giftpack은 지시가 데이터 보호법을 위반한다고 판단하는 경우 법률상 금지되지 않는 한 고객에게 알립니다.
처리의 대상, 기간, 성격, 목적, 개인정보 범주 및 정보주체 범주는 부속서 A에 기재됩니다. 고객은 자신의 지시가 적법하고 Giftpack이 고객 개인정보를 처리하는 데 필요한 고지, 권리, 허가, 동의 및 법적 근거를 제공 또는 취득했음을 보장할 책임이 있습니다.
Giftpack은 고객 개인정보 처리 권한이 있는 인력이 기밀유지 의무 또는 직업상 기밀유지 의무를 부담하고 데이터 취급에 관한 적절한 지시를 받도록 합니다.
Giftpack은 고객 개인정보를 무단 또는 불법 처리와 우발적 손실, 파괴, 손상, 공개 또는 접근으로부터 보호하도록 설계된 적절한 기술적 및 조직적 조치를 시행하고 유지합니다. 현재 보안 조치는 부속서 B 및 Giftpack 보안 페이지에 설명됩니다. Giftpack은 고객 개인정보의 전반적 보호 수준을 실질적으로 낮추지 않는 범위에서 보안 조치를 수시로 업데이트할 수 있습니다.
고객은 Giftpack이 서비스를 제공하고 지원하기 위해 하위처리자를 사용하는 것을 승인합니다. Giftpack은 하위처리자의 서비스에 적용되는 범위에서 본 DPA와 실질적으로 유사한 서면 데이터 보호 의무를 하위처리자에게 부과합니다. Giftpack은 데이터 보호법이 요구하는 범위에서 하위처리자의 처리에 대해 책임을 집니다. 하위처리자 정보는 요청 시 또는 신뢰, 보안 또는 개인정보 채널을 통해 제공됩니다. 통지가 제공되는 경우 고객은 통지 후 합리적인 기간 내에 합리적인 데이터 보호 사유로 신규 하위처리자에게 이의를 제기할 수 있습니다.
Giftpack은 고객을 대신하여 처리되는 고객 개인정보의 우발적 또는 불법적 파괴, 손실, 변경, 무단 공개 또는 접근을 초래하는 확인된 보안 사고를 인지한 후 부당한 지체 없이 고객에게 통지합니다. Giftpack은 고객의 침해 통지 의무 이행을 돕기 위해 합리적으로 이용 가능한 정보를 제공합니다. 통지는 과실 또는 책임의 인정이 아닙니다.
처리의 성격을 고려하여 Giftpack은 가능한 경우 적절한 기술적 및 조직적 조치를 통해 고객이 적용 데이터 보호법에 따른 정보주체, 소비자 또는 개인정보 권리 요청에 대응할 수 있도록 합리적인 지원을 제공합니다. Giftpack이 고객 개인정보와 관련하여 개인으로부터 직접 요청을 받은 경우, 법률상 달리 응답해야 하는 경우를 제외하고 해당 개인을 고객에게 안내할 수 있습니다.
Giftpack은 데이터 보호법이 요구하고 요청된 지원이 Giftpack의 고객 개인정보 처리와 관련되는 경우, 데이터 보호 영향평가, 사전 협의, 사이버보안 평가 및 기타 준법 의무와 관련하여 고객에게 합리적인 지원을 제공합니다. 적용 법률상 금지되거나 달리 합의한 경우를 제외하고 Giftpack은 표준 지원을 초과하는 지원에 대해 합리적인 수수료를 청구할 수 있습니다.
서비스 종료 시 또는 고객의 서면 요청 시 Giftpack은 계약, 플랫폼 기능 및 적용 법률에 따라 고객 개인정보를 삭제하거나 반환합니다. Giftpack은 법률상 요구되거나 정당한 사업 기록, 사기 방지, 보안, 분쟁 해결, 세무, 회계, 준법 또는 백업 목적을 위해 고객 개인정보를 보유할 수 있으며, 보유 데이터는 삭제될 때까지 본 DPA에 따라 보호됩니다.
Giftpack은 본 DPA 준수를 입증하기 위해 합리적으로 필요한 정보를 제공합니다. 데이터 보호법이 요구하는 경우 고객은 Giftpack의 관련 통제에 대한 감사 또는 평가를 요청할 수 있습니다. 감사는 범위, 빈도, 시기 및 기밀성 측면에서 합리적이어야 하며 SOC 2 보고서, 보안 설문지, 인증, 요약 또는 기타 적절한 문서로 충족될 수 있습니다. 현장 감사에는 사전 서면 통지, 합리적인 범위, Giftpack의 보안 및 기밀성 승인이 필요합니다.
고객은 Giftpack 및 그 하위처리자가 미국 및 Giftpack 또는 하위처리자가 운영되는 기타 관할권에서 고객 개인정보를 처리하는 것을 승인합니다. 고객 개인정보가 유럽경제지역, 영국 또는 스위스에서 적정한 보호 수준을 제공하지 않는 국가로 이전되는 경우, 당사자들은 표준계약조항, 영국 부속서 또는 기타 적법한 이전 메커니즘 등 적절한 이전 메커니즘을 사용합니다. 필요한 경우 적용 SCC는 참조로 편입되며, 사실관계상 다른 구성이 필요한 경우를 제외하고 Giftpack은 데이터 수입자, 고객은 데이터 수출자가 됩니다.
CCPA가 적용되는 경우 Giftpack은 부속서 A에 설명된 사업 목적을 위해 고객 개인정보를 서비스 제공자 또는 수급인으로 처리합니다. Giftpack은 고객 개인정보를 판매하거나 공유하지 않으며, 계약에 명시된 사업 목적 또는 CCPA가 달리 허용하는 목적 외로 보유, 사용 또는 공개하지 않고, CCPA가 허용하는 경우를 제외하고 고객과의 직접적인 사업 관계 외에서 보유, 사용 또는 공개하지 않으며, CCPA가 허용하는 경우를 제외하고 다른 출처에서 받은 개인정보와 결합하지 않습니다. Giftpack은 서비스 제공자 및 수급인에게 적용되는 CCPA 의무를 준수하고 더 이상 해당 의무를 충족할 수 없다고 판단하는 경우 고객에게 통지합니다.
Giftpack은 분석, 벤치마킹, 제품 개선, 서비스 신뢰성 및 사업 운영을 위해 비식별, 집계 또는 익명화된 데이터를 처리할 수 있습니다. 단, 해당 데이터가 고객 또는 개인을 식별하지 않고 적용 법률에 따라 취급되어야 합니다.
본 DPA가 계약과 충돌하는 경우 고객 개인정보 처리와 관련해서는 본 DPA가 우선합니다. SCC가 필요하고 본 DPA와 충돌하는 경우 법률상 요구되는 범위에서 SCC가 우선합니다.
| 항목 | 세부사항 |
|---|---|
| 대상 | Giftpack의 플랫폼, 선물, 리워드, 소싱, 캠페인 관리, 수령인 참여, 이행 조정, 기부/임팩트 배분, 보고, 지원 및 관련 서비스 제공. |
| 기간 | 계약 기간 동안 및 보존, 삭제, 법률 준수, 분쟁 해결, 백업을 위해 달리 필요한 기간. |
| 성격 및 목적 | 서비스 제공을 위해 고객 개인정보를 호스팅, 저장, 구성, 전송, 표시, 분석, 보호, 지원, 이행, 배송, 커뮤니케이션, 보고, 문제 해결 및 기타 방식으로 처리. |
| 정보주체 | 고객 관리자, 승인된 사용자, 직원, 수령인, 최종 사용자, 구매자, 기부자, 공급업체 연락처, 수혜자 연락처 및 Giftpack에 데이터가 제출되는 기타 개인. |
| 개인정보 범주 | 이름, 업무 연락처, 제공된 경우 개인 연락처, 배송 주소, 이메일, 전화번호, 회사, 직책, 계정 자격 증명, 캠페인 정보, 선물 선호도, 메시지, 상환 활동, 주문 세부정보, 결제 메타데이터, 배송 상태, 지원 커뮤니케이션, 기기/로그 데이터 및 서비스를 통해 제출된 기타 데이터. |
| 민감정보 | Giftpack은 명시적으로 지원되고 서면 승인된 경우를 제외하고 고객에게 민감한 개인정보 제출을 요구하지 않습니다. 고객은 계약 및 적용 법률에 따라 승인되지 않는 한 민감정보를 제출해서는 안 됩니다. |
| 고객 의무 | 고객은 법적 근거, 고지, 허가, 데이터 정확성, 캠페인 자격 및 지시에 대해 책임을 집니다. |
Giftpack은 고객 개인정보를 보호하도록 설계된 조치를 유지하며, 여기에는 클라우드 인프라 통제, 전송 중 및 저장 시 암호화, 역할 기반 접근 통제, 최소 권한 관행, 내부 기밀유지 의무, 보안 인식, 로깅 및 모니터링, 취약점 스캔 및 정기 테스트, 사고 대응 절차, 백업 및 재해 복구 관행, 변경 관리, 벤더 및 하위처리자 검토, 서비스 성격에 적합한 물리적, 관리적 및 기술적 보호조치가 포함됩니다. Giftpack의 공개 보안 페이지는 상위 수준의 개요를 제공하며 수시로 업데이트될 수 있습니다.