GDPR

1. 당사자

• 데이터 컨트롤러: Crisphive 서비스를 이용하는 고객.
• 데이터 프로세서: WicWac Inc. (Crisphive로 운영), Suite 1420, 99 Bank Street, Ottawa, Ontario, K1P 1H4, Canada

2. 정의

본 DPA에서 정의되지 않은 대문자 용어는 GDPR 또는 계약에서 부여된 의미를 갖습니다.

• "개인 데이터"란 식별되었거나 식별 가능한 자연인에 관한 모든 정보를 의미합니다.
• "처리"란 GDPR 제4조(2)에 명시된 의미를 갖습니다.
• "하위 처리자"란 고객을 대신하여 개인 데이터를 처리하기 위해 Crisphive가 관여하는 제3자를 의미합니다.
• "EEA"란 유럽 경제 지역을 의미합니다.

3. 처리의 범위 및 목적

Crisphive는 다음을 포함하여 Crisphive 스케줄링 및 인력 관리 플랫폼 제공만을 목적으로 개인 데이터를 처리합니다:

• 계정 관리
• 스케줄링 및 작업 조율
• 알림 및 커뮤니케이션
• 플랫폼 지원 및 유지보수
• 보안 및 성능 모니터링

처리는 서비스 제공에 필요한 범위로 제한됩니다.

4. 데이터 카테고리 및 데이터 주체

5. 컨트롤러 및 프로세서의 책임

6. 비밀 유지

Crisphive는 개인 데이터를 처리하도록 승인된 모든 인력이 계약적이든 법적이든 적절한 비밀 유지 의무를 준수하도록 보장합니다.

7. 보안 조치(GDPR 제32조)

Crisphive는 다음을 포함하여 합리적이고 적절한 보안 조치를 시행합니다:

• 역할 기반 접근 제어
• 해당되는 경우 전송 중 암호화
• 안전한 인프라 및 호스팅 환경
• 로깅 및 모니터링
• 사고 대응 절차

보안 조치는 정기적으로 검토되고 필요에 따라 조정됩니다.

8. 하위 처리자

9. 국제 데이터 이전

개인 데이터는 캐나다 및 미국을 포함하여 EEA 외부에서 처리될 수 있습니다. 필요한 경우 Crisphive는 GDPR에 따른 표준 계약 조항(SCC) 및 기타 합법적인 이전 메커니즘에 의존합니다.

10. 데이터 주체 권리 지원

Crisphive는 합리적으로 가능한 범위에서 다음과 관련된 요청에 대응하는 데 있어 고객을 지원합니다:

• 접근
• 정정
• 삭제
• 제한
• 반대
• 데이터 이동성

Crisphive는 법적으로 요구되지 않는 한 데이터 주체 요청에 직접 응답하지 않습니다.

11. 데이터 침해 통지

Crisphive는 다음을 수행합니다:

• 개인 데이터 침해를 인지한 경우 부당한 지체 없이 고객에게 통지
• GDPR 제33조 및 제34조 준수를 지원하기 위한 가용 정보 제공

통지에는 침해의 성격, 예상되는 결과 및 가용한 경우 완화 조치가 포함됩니다.

12. 데이터 보존 및 삭제

계약 종료 시:

• Crisphive는 합리적인 기간 내에 개인 데이터를 삭제하거나 반환합니다
• 법적으로 요구되는 경우 데이터가 보존될 수 있습니다
• 백업은 덮어쓰기될 때까지 제한된 기간 동안 유지될 수 있습니다

13. 감사 및 준수

합리적인 서면 통지를 통해 고객은 다음을 수행할 수 있습니다:

• 준수를 증명하는 문서 요청
• 연 1회로 제한된 감사 실시(법률에 의해 요구되지 않는 한)

감사는 Crisphive의 운영을 불합리하게 방해해서는 안 됩니다.

14. 책임

본 DPA에 따른 책임은 적용 가능한 법률이 허용하는 최대 범위에서 계약에 명시된 제한에 따릅니다.

15. 준거법

본 DPA는 캐나다 온타리오 주 법률 및 필요한 경우 적용 가능한 EU/영국 데이터 보호법에 의해 규율됩니다.

16. 우선순위

충돌이 발생하는 경우:

• 1. 본 DPA
• 2. 계약
• 3. 기타 적용 가능한 문서

17. 데이터 보호 관련 문의

부록 1 — 처리 요약