(1) 중국 법률에 따라 설립된 회사인 MEFERI Technologies Co., Ltd.는 중국 쓰촨성 청두시 610000, 하이테크 존, 센추리 시티 로드 1129호, 티안푸 소프트웨어 파크 A5 5층에 등록 사무소를 두고 있습니다(이하 "MEFERI", "처리자", "당사", "저희" 또는 "당사의").

(2) 고객("고객", "통제자" 또는 "귀하")은 아래 정의된 대로 MEFERI의 서비스를 구독하거나 사용하고 MEFERI의 주요 서비스 약관 또는 기타 마스터 계약("주요 계약")에 동의한 법인입니다.

본 DPA는 주계약의 필수적인 부분을 구성하며, 서비스와 관련하여 고객을 대신하여 MEFERI가 개인 데이터를 처리하는 것과 관련된 당사자 간의 계약을 반영합니다.

본 계약을 수락하거나 본 DPA가 제공된 후 서비스에 액세스하거나 이를 사용함으로써 고객은 본인을 대신하여 본 DPA를 체결하며, 해당 데이터 보호법에 따라 요구되는 범위 내에서는 승인된 사용자의 이름으로, 승인된 사용자를 대신하여 본 DPA를 체결합니다.

본 DPA와 주 계약 사이에 충돌이 있는 경우, 개인 데이터 처리와 관련된 충돌의 범위 내에서 본 DPA가 우선합니다.

1. 정의

1.1. "주계약"이란 고객과 MEFERI(또는 제18.4조에 따른 MEFERI 계열사) 간에 서비스 제공을 위해 체결된 주요 서면 계약(서비스 약관, 일반 서비스 약관, 마스터 서비스 계약, 서비스 계약, 구독 계약 또는 이와 유사한 명칭으로 불릴 수 있음)을 의미하며, 여기에는 특정 서비스 플랜 약관(예: "MeCare(플랜명): 일반 서비스 약관") 및 그에 따라 작성된 주문서 또는 작업 명세서가 포함됩니다. 본 DPA는 해당 주계약의 필수적인 부분을 구성합니다.

1.2. "해당 데이터 보호법"이란 GDPR 및 수시로 개정 또는 업데이트되는 모든 국가별 시행법, 규정 및 보조 법률을 포함하되 이에 국한되지 않는, 본 DPA에 따른 개인 데이터 처리에 적용되는 모든 법률 및 규정을 의미합니다.

1.3. "통제자"는 GDPR 제4조(7)항에 명시된 의미를 갖습니다. 본 DPA의 목적상, 고객은 통제자입니다.

1.4. “데이터 주체”는 GDPR 제4조(1)항에 명시된 의미를 갖습니다.

1.5. “GDPR”이란 개인 데이터 처리와 해당 데이터의 자유로운 이동에 관한 자연인 보호에 관한 2016년 4월 27일 유럽 의회 및 이사회 규정(EU) 2016/679(일반 데이터 보호 규정)를 의미하며, 지침 95/46/EC를 폐지합니다.

1.6. "개인 데이터"는 GDPR 제4조(1)항에 명시된 의미를 가지며 부록 1에 자세히 설명된 대로 서비스 제공을 위해 고객을 대신하여 MEFERI가 처리하는 개인 데이터로 제한됩니다.

1.7. "개인 데이터 침해"는 GDPR 제4조(12)항에 명시된 의미를 가지며, 구체적으로는 MEFERI가 전송, 저장 또는 기타 방식으로 처리하는 고객 개인 데이터의 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 액세스로 이어지는 보안 침해를 의미합니다.

1.8. “처리”는 GDPR 제4조(2)항에 명시된 의미를 갖습니다. “처리” 및 “처리됨”은 이에 따라 해석됩니다.

1.9. "처리자"란 MEFERI Technologies Co., Ltd.(MEFERI)를 의미하거나, 본 DPA 제18.4절에 따라 해당되는 경우 고객과의 주계약에 대한 계약 당사자인 MEFERI 계열사를 의미합니다.

1.10. "서비스"란 MEFERI가 본 계약에 따라 고객에게 제공하는 제품 및 서비스를 의미하며, 구체적으로는 MEFERI의 Shadowalk MDM/EMM 클라우드 솔루션, MEFERI가 프로세서 역할을 하는 CIAO Intelligent Shopper Assistant(ISA) 솔루션의 클라우드 호스팅 구성 요소, 그리고 MEFERI가 고객 개인 데이터를 처리하는 관련 지원 서비스(MEFERI MeCare 서비스 계약에 따라 제공되는 서비스를 포함하되 이에 국한되지 않음)를 포함하되 이에 국한되지 않습니다. 명확히 하자면, 서비스에는 고객 환경 내에서만 개인 데이터 처리가 지속적으로 수행되는 MEFERI 소프트웨어의 온프레미스 배포는 포함되지 않습니다. 단, MEFERI가 고객의 지시에 따라 지원을 위해 해당 시스템에 액세스하는 경우는 예외입니다.

1.11. "하위 처리자"란 MEFERI가 서비스와 관련하여 고객을 대신하여 개인 데이터를 처리하도록 고용한 제3자를 의미합니다.

1.12. “기술적 및 조직적 조치” 또는 “TOM”은 MEFERI가 개인 데이터를 보호하기 위해 시행하는 보안 조치를 의미하며, 자세한 내용은 부록 2에 설명되어 있습니다.

1.13. "제3자 파트너 솔루션"이란 MEFERI의 하드웨어 또는 서비스와 통합되거나 함께 사용될 수 있는 제3자가 제공하는 소프트웨어 또는 서비스를 의미하며, 여기에는 결제 솔루션(예: WorldLine "Tap on Mobile") 또는 소매용 자체 스캐닝 소프트웨어(예: 4MAX "Scan & Go")가 포함되며, 고객은 이러한 제3자와 직접적인 계약 관계를 가질 수 있습니다.

2. 역할 및 책임

2.1. 당사자의 역할: 고객은 고객 개인정보의 관리자이고 MEFERI는 고객 개인정보의 처리자입니다. 각 당사자는 관련 데이터 보호법에 따른 각자의 의무를 준수해야 합니다.

2.2. 통제자로서 고객의 의무: 고객은 다음을 진술하고 보증합니다.

a. MEFERI는 개인 데이터 처리와 관련하여 적용 가능한 모든 데이터 보호법 조항을 준수했으며 앞으로도 계속 준수할 것입니다.

b. MEFERI는 개인 데이터의 정확성, 품질 및 합법성과 개인 데이터를 수집한 수단에 대한 전적인 책임을 집니다. 여기에는 모든 필요한 동의를 얻고, 모든 필요한 통지를 제공하고, 이 DPA 및 주 계약에 따라 MEFERI가 개인 데이터를 처리할 수 있는 유효한 법적 근거를 갖는 것이 포함됩니다.

c. MEFERI에 대한 개인정보 처리에 관한 지침은 해당 개인정보 보호법을 준수해야 합니다.

2.3. MEFERI의 처리자로서의 의무: MEFERI는 다음을 수행해야 합니다.

a. 고객의 문서화된 지침에 따라서만 개인 데이터를 처리합니다. 여기에는 제3국 또는 국제기구로의 개인 데이터 전송과 관련된 사항이 포함됩니다. 단, MEFERI가 적용되는 유럽연합 또는 회원국의 법률에 따라 요구되는 경우는 예외입니다. 이러한 경우, MEFERI는 해당 법률이 공익상 중요한 사유로 이러한 정보를 금지하는 경우를 제외하고 처리 전에 해당 법적 요건을 고객에게 알려야 합니다(GDPR 제28조(3)(a)). 본 계약 및 본 DPA는 고객이 MEFERI에 개인 데이터를 처리하도록 하는 문서화된 지침입니다.

b. MEFERI의 의견에 따라 지침이 적용 가능한 데이터 보호법(GDPR 제28조(3)항)을 위반하는 경우 즉시 고객에게 알립니다.

3. 처리 세부 사항

3.1. 처리의 주제, 처리 기간, 처리의 성격 및 목적, 개인 데이터의 유형, 데이터 주체의 범주는 이 DPA의 부록 1(처리 세부 정보)에 명시되어 있습니다.

4. 기밀 유지

4.1. MEFERI는 개인 데이터 처리를 승인받은 직원이 기밀 유지에 전념하거나 적절한 법적 기밀 유지 의무를 지고 있는지 확인해야 합니다(GDPR 제28조(3)항(b)).

5. 처리 보안

5.1. 최신 기술, 구현 비용, 처리의 특성, 범위, 맥락 및 목적과 더불어 자연인의 권리와 자유에 대한 다양한 가능성과 심각성의 위험을 고려하여 MEFERI는 부록 2(기술 및 조직적 조치)에 설명된 대로 위험에 적합한 보안 수준을 보장하기 위한 적절한 기술적 및 조직적 조치를 구현하고 유지해야 합니다(GDPR 제28조(3)(c) 및 제32조).

5.2. MEFERI는 이러한 업데이트 및 수정으로 인해 서비스의 전반적인 보안이 실질적으로 저하되지 않는 한 수시로 TOM을 업데이트하거나 수정할 수 있습니다.

6. 하위 처리

6.1. 일반 승인: 고객은 MEFERI에 서비스 제공과 관련하여 고객을 대신하여 개인 데이터를 처리하기 위해 하위 처리자를 고용할 수 있는 일반 서면 승인을 부여합니다(GDPR 제28조(2)항).

6.2. 현재 하위 처리업체 및 신규 하위 처리업체 알림: MEFERI는 현재 하위 처리업체 목록을 유지 관리해야 하며, 이는 고객의 요청 시 또는 지정된 웹페이지(부록 3 참조)를 통해 제공됩니다. MEFERI는 다른 하위 처리업체의 추가 또는 교체와 관련된 모든 변경 사항을 최소 삼십(30)일 전에 고객에게 알려야 하며, 이를 통해 고객이 해당 변경 사항에 이의를 제기할 수 있는 기회를 제공해야 합니다.

6.3. 새로운 하위 프로세서에 대한 이의 제기: 고객이 MEFERI의 새로운 하위 프로세서 사용에 대해 이의를 제기할 합리적인 근거가 있는 경우, 고객은 MEFERI의 통지를 받은 후 10(10) 영업일 이내에 서면으로 MEFERI에 즉시 통지해야 합니다. 고객이 이의를 제기하는 경우, MEFERI는 고객에게 서비스 변경 사항을 제공하거나, 이의를 제기한 새로운 하위 프로세서가 개인 데이터를 처리하지 않도록 고객의 서비스 구성 또는 사용 방식에 대한 상업적으로 합리적인 변경 사항을 권장하기 위해 합리적인 노력을 기울일 것이며, 이는 고객에게 부당한 부담을 주지 않습니다. MEFERI가 합리적인 기간(30일을 초과하지 않음) 내에 그러한 변경 사항을 제공할 수 없는 경우, 고객은 MEFERI에 서면 통지를 제공하여 이의를 제기한 새로운 하위 프로세서를 사용하지 않고는 MEFERI가 제공할 수 없는 해당 서비스의 해당 부분을 해지할 수 있습니다.

6.4. 하위 프로세서 의무: MEFERI는 참여하는 모든 하위 프로세서가 본 DPA에 따라 MEFERI에 부과된 것과 최소한 동등한 데이터 보호 의무를 부과하는 유럽 연합 또는 회원국 법률에 따른 서면 계약 또는 기타 법적 행위의 적용을 받도록 해야 하며, 특히 처리가 적용 가능한 데이터 보호법(GDPR 제28조(4)항)의 요구 사항을 충족하도록 적절한 기술적 및 조직적 조치를 구현하기 위한 충분한 보장을 제공해야 합니다.

6.5. 책임: MEFERI는 하청업체의 데이터 보호 의무 이행에 대해 고객에게 전적인 책임을 집니다.

7. 데이터 주체 권리

7.1. 처리의 특성을 고려하여 MEFERI는 가능한 한 GDPR 제3장에 명시된 데이터 주체의 권리 행사 요청에 응답할 의무를 이행하기 위해 적절한 기술적 및 조직적 조치를 시행하여 고객을 지원해야 합니다(예: 접근, 정정, 삭제 권리 등)(GDPR 제28조(3)(e)).

7.2. MEFERI가 고객 개인 정보와 관련하여 정보주체로부터 직접 요청을 받는 경우, MEFERI는 해당 요청을 고객에게 즉시 통지하고, 해당 요청이 고객과 관련이 있음을 확인하는 경우를 제외하고는 정보주체에게 응답하지 않습니다. 고객은 모든 정보주체 요청에 응답할 책임이 있습니다.

8. 컨트롤러 지원

8.1. MEFERI는 처리의 특성과 MEFERI에서 제공하는 정보를 고려하여 GDPR 제32조~제36조(처리 보안, 감독 기관에 대한 개인 데이터 침해 통지, 데이터 주체에 대한 개인 데이터 침해 통지, 데이터 보호 영향 평가 및 감독 기관과의 사전 협의)에 따라 고객이 의무를 준수하도록 합리적인 지원을 제공해야 합니다(GDPR 제28조(3)(f)).

9. 개인정보 침해 신고

9.1. 고객에 대한 통지:

MEFERI는 고객 개인 데이터에 영향을 미치는 개인 데이터 침해 사실을 인지한 후 지체 없이, 어떠한 경우에도 48시간(48) 이내에 고객에게 통지해야 합니다(GDPR 제28조(3)항(f) 및 제33조(2)).

9.2. 이러한 통지에는 가능한 한 다음 사항을 기술해야 합니다.

a. 개인 데이터 침해의 특성, 가능한 경우 해당 데이터 주체의 범주 및 대략적인 수, 해당 개인 데이터 기록의 범주 및 대략적인 수를 포함합니다.

b. MEFERI의 데이터 보호 책임자의 이름과 연락처 또는 추가 정보를 얻을 수 있는 다른 연락처.

c. 개인 정보 침해의 가능한 결과

d. MEFERI가 개인 정보 침해를 해결하기 위해 취했거나 취할 것을 제안한 조치. 여기에는 적절한 경우 발생할 수 있는 부정적 영향을 완화하기 위한 조치가 포함됩니다.

9.3. 모든 정보를 동시에 제공하는 것이 불가능한 경우, 불필요한 추가 지연 없이 단계적으로 정보를 제공할 수 있습니다.

9.4. 고객은 해당 데이터 보호법에 따른 자체 데이터 침해 통지 의무를 준수할 전적인 책임이 있습니다. MEFERI가 본 제9조에 따라 개인 데이터 침해를 통지하거나 이에 대응한다고 해서 MEFERI가 개인 데이터 침해와 관련하여 어떠한 잘못이나 책임이 있음을 인정하는 것으로 해석되지 않습니다.

10. 데이터 삭제 또는 반환

10.1. 고객의 선택에 따라, MEFERI는 처리 관련 서비스 제공 종료 후 모든 개인 데이터를 삭제하거나 고객에게 반환해야 하며, 유럽연합 또는 회원국 법률에서 개인 데이터 보관을 요구하지 않는 한 기존 사본을 삭제해야 합니다(GDPR 제28조(3)(g)). 구체적인 보관 및 삭제 일정은 본 계약에 명시되거나 별도로 합의된 바에 따릅니다.

11. 감사 및 검사

11.1. MEFERI는 GDPR 제28조에 규정된 의무 준수를 입증하는 데 필요한 모든 정보를 고객에게 제공하고 고객 또는 고객이 위임한 다른 감사자가 수행하는 감사(검사 포함)를 허용하고 이에 기여해야 합니다(GDPR 제28조(3)(h)).

11.2. 이러한 감사는 MEFERI의 정상 영업 시간 동안 수행되어야 하며, 최소 삼십(30)일 전에 합리적인 사전 서면 통지를 통해 이루어져야 하며, MEFERI의 영업 활동을 부당하게 방해해서는 안 됩니다. 고객과 MEFERI는 감사의 범위, 시기 및 기간에 대해 상호 합의해야 합니다.

11.3. 고객은 모든 감사인이 서면 기밀 유지 계약에 따라 업무를 수행하도록 보장해야 합니다. 고객은 자신의 비용과 위임된 감사인의 비용을 부담해야 합니다. 감사 결과 MEFERI의 본 기밀 유지 계약(DPA)에 대한 중대한 위반 사항이 발견되는 경우, MEFERI는 상호 합의된 한도까지 합리적인 감사 비용을 부담해야 합니다.

11.4. 법률이 허용하는 범위 내에서 MEFERI는 적절한 기밀 유지 의무를 준수하는 조건으로 독립적인 제3자 감사 기관(예: ISO 27001, SOC 2 유형 II)의 관련 인증서 또는 요약을 고객에게 제공하여 감사 의무를 이행할 수 있습니다.

12. 국제 데이터 전송

12.1. MEFERI는 GDPR 제5장에 따라 요구되는 적절한 안전장치가 마련되어 있는지 확인하지 않고(예: 유럽 위원회가 승인한 표준 계약 조항 체결) GDPR 제45조에 따라 유럽 위원회가 적절하다고 간주하는 국가 또는 유럽 경제 지역(EEA) 외부 국가로 개인 데이터를 전송해서는 안 됩니다.

12.2. 서비스의 주요 데이터 처리 위치, 특히 MEFERI가 자사의 주요 클라우드 인프라에 고객 개인 데이터를 호스팅하는 위치는 유럽 경제 지역(EEA) 내이며, Amazon Web Services(AWS) 지역 eu-west-3(프랑스 파리)을 활용합니다. 클라우드 인프라 제공업체 및 위치를 포함한 하위 처리업체에 대한 자세한 내용은 부록 3에 나와 있습니다.

12.3. MEFERI가 적절한 수준의 보호를 보장하지 않는 제3국(즉, EEA 외부 또는 유럽 위원회가 적절하다고 간주하지 않는 국가)의 하위 처리자에게 개인 데이터를 전송하는 경우, MEFERI는 이러한 전송이 GDPR 제5장에 따른 표준 계약 조항과 같은 적절한 전송 메커니즘에 의해 보호되도록 해야 합니다. 여기에는 MEFERI가 인프라 또는 지원 인력이 제3국에 위치한 하위 처리자의 서비스를 활용하는 경우 발생할 수 있는 전송이 포함되며, 12.2에 명시된 주요 처리 위치가 EEA 내에 있는 경우에도 마찬가지입니다.

13. MEFERI의 제3자 파트너 솔루션 사용

13.1. 고객은 MEFERI의 하드웨어 또는 서비스가 제3자 파트너 솔루션(예: CIAO 장치의 결제 처리 솔루션, 특정 소매 관리 소프트웨어)과 함께 사용될 수 있음을 인정합니다.

13.2. 고객이 해당 제3자 파트너 솔루션을 사용하기로 선택하는 경우, 고객은 해당 솔루션 제공업체와 직접 계약 관계를 체결할 수 있습니다. 이 경우, 제3자 제공업체는 고객과 해당 제3자 간의 계약에 따라, 자사 서비스와 관련하여 처리하는 개인 정보에 대한 관리자 또는 처리자 역할을 할 수 있습니다.

13.3. 본 DPA는 고객을 위한 처리자로서 MEFERI의 개인 데이터 처리에만 적용됩니다. 본 DPA는 고객이 제3자 파트너 솔루션 제공업체와 직접적인 관계를 맺고 있는 경우, 해당 제공업체가 본 DPA 제6항에 따라 MEFERI의 하위 처리업체 역할을 하는 경우를 제외하고, 해당 제공업체가 수행하는 처리 활동에는 적용되지 않습니다.

14. 책임 및 보상

14.1. 본 DPA에 따른 각 당사자의 책임은 주계약에 명시된 책임의 제한 및 배제에 따릅니다.

14.2. 고객은 본 DPA 또는 해당 데이터 보호법에 따른 의무 위반으로 인해 MEFERI가 입은 모든 청구, 소송, 제3자 청구, 손실, 피해 및 비용(합리적인 법률 비용 포함)에 대해 MEFERI를 면책하고 보상해야 합니다.

15. 기간 및 종료

15.1. 본 DPA는 주 계약의 발효일부터 시작되어 주 계약이 종료되거나 만료되거나 MEFERI가 고객을 대신하여 개인 데이터 처리를 중단할 때까지(이 중 늦은 시점)까지 유효합니다.

15.2. 기밀 유지 의무, 데이터 삭제/반환 의무 및 그 본질상 종료 후에도 유지되어야 하는 모든 조항은 본 DPA의 종료 또는 만료 후에도 유지됩니다.

16. 이 DPA의 변경 사항

16.1. MEFERI는 수정된 버전을 자사 웹사이트에 게시하거나 다른 방법으로 고객에게 통지함으로써 수시로 본 DPA를 수정할 수 있습니다.

16.2. MEFERI가 본 DPA에 중대한 변경을 가하는 경우, MEFERI는 고객에게 변경 사항을 합리적으로 통지합니다(예: 고객이 지정한 담당자에게 이메일 발송 또는 서비스 내 알림). 고객이 해당 통지 기간 이후에도 서비스를 계속 사용하는 경우, 변경된 DPA에 동의한 것으로 간주됩니다. 고객이 중대한 변경 사항에 이의를 제기하는 경우, 고객은 본 계약의 조건에 따라 본 계약을 해지할 수 있습니다.

17. 준거법 및 분쟁 해결

17.1. 준거법: 본 DPA는 고객과 해당 주 계약의 당사자인 MEFERI 법인("계약 MEFERI 법인") 간에 체결된 주 계약에 준거법으로 규정된 법률에 따라 지배되고 해석됩니다.

17.2. 분쟁 해결:

a. 당사자들은 본 DPA, 그 해석, 유효성, 위반 또는 해지와 관련하여 발생하는 모든 분쟁, 논쟁 또는 청구(이하 "분쟁")를 권한 있는 대리인 간의 성실한 협상을 통해 우호적으로 해결하기 위해 노력해야 합니다. b. 당사자의 서면 협상 개시 통지 후 삼십(30)일 이내에 협상을 통해 분쟁을 해결할 수 없는 경우, 해당 분쟁은 주 계약에 명시된 분쟁 해결 메커니즘(예: 중재 또는 법원 절차) 및 재판지에 따라 해결해야 합니다. c. 주 계약에 중재가 규정된 경우:

i. 이러한 중재는 이 DPA에 따른 분쟁을 해결하는 주요 메커니즘입니다.ii. 주 계약에 달리 명시되지 않는 한, 또는 주 계약에 이 DPA와 관련된 사항에 대한 중재의 세부 사항이 없는 경우, 당사자는 해당 분쟁이 상호 합의한 국제적으로 인정된 중재 기관(예: 심천 국제 중재 법원(SCIA), 싱가포르 국제 중재 센터(SIAC), 홍콩 국제 중재 센터(HKIAC) 또는 계약 당사자 MEFERI 기관이 EU 기반 계열사인 경우 유럽 연합 내의 적절한 기관)이 관리하는 중재에 제출될 수 있음에 동의합니다.iii. 중재는 영어로 진행됩니다.중재의 소재지 또는 법적 장소는 주 계약에 명시된 대로 하거나, 명시되지 않았거나 특정 분쟁에 대해 다른 장소가 상호 합의된 경우 당사자의 상호 합의에 따라 선택하거나, 그러한 합의가 실패하면 계약 당사자 MEFERI 기관이 합리적인 기간 내에 선택합니다.iv. 중재 판정은 양 당사자에게 최종적이고 구속력을 가지며, 절차적 부당성이나 관할권 부족에 대한 중재지의 법률에 따라 허용되는 항소권의 적용을 받습니다.

d. 본 계약에 법원 소송이 명시된 경우, 본 계약에 명시된 법원이 관할권을 가지며, 아래 17.3절에 따릅니다.

17.3. 의무적 데이터 보호법 고려 사항: a. 본 DPA 또는 주 계약의 다른 조항에도 불구하고, 적용 가능한 데이터 보호법(GDPR을 포함하되 이에 국한되지 않음)이 데이터 주체에게 상시 거주지 또는 근무지, 또는 주장된 침해가 발생한 장소의 법원에서 소송을 제기하거나 감독 기관에 불만을 제기할 의무적 권리를 부여하는 경우, 이러한 권리는 본 DPA의 조건에 의해 침해되지 않습니다.b. GDPR이 적용되는 경우, MEFERI와 고객은 준거법 또는 관할권의 선택이 데이터 주체가 거주하는 유럽 연합 회원국의 법률의 의무적 조항의 혜택을 받는 것을 방해하지 않도록 보장합니다.

17.4. 이행 지속: 분쟁이 해결될 때까지 당사자들은 DPA 또는 주 계약이 종료되지 않는 한, 실행 가능한 범위 내에서 본 DPA에 따른 각자의 의무를 계속 이행해야 합니다.

18. 연락처 정보 / 데이터 보호

18.1. 처리자: MEFERI Technologies Co., Ltd. 주소: 중국 쓰촨성 청두시 610000, 하이테크 존, 센추리 시티 로드 1129호, 티안푸 소프트웨어 파크 A5 5층

– 데이터 보호 문의 이메일: legal@meferi.com

18.2. 데이터 보호 문의 및 DPO(MEFERI Technologies Co., Ltd.용): 본 DPA에 따른 데이터 보호와 관련된 모든 문의는 위 18.1절에 명시된 MEFERI Technologies Co., Ltd.의 이메일 주소로 보내주시기 바랍니다.

18.3. MEFERI Technologies Co., Ltd.의 EU 담당자(GDPR 제27조에 따라): EU 담당자 이름: MEFERI Poland Sp. z oo 주소: Ul. Modelarska 18/2, 40-142 Katowice, Poland EU 데이터 보호 문의 이메일(MEFERI Technologies Co., Ltd.의 처리와 관련된 EU의 데이터 주체 및 감독 기관용): poland@meferi.com

18.4. MEFERI 계열사의 처리: 고객이 MEFERI Technologies Co., Ltd.의 계열사(예: MEFERI Poland Sp. z oo)("계약 MEFERI 계열사")와 주 계약을 체결하고, 해당 계약 MEFERI 계열사가 해당 주 계약에 따라 개인 데이터 처리자 역할을 하는 경우:

a) 본 DPA는 계약 당사자인 MEFERI 계열사가 수행하는 처리 활동에 적용되며, 본 계약에서 언급되는 "MEFERI" 또는 "처리자"에 대한 모든 참조는 해당 계약 당사자인 MEFERI 계열사를 지칭하는 것으로 간주됩니다.

b) 계약 당사자인 MEFERI 계열사의 데이터 처리와 관련된 데이터 보호 문의에 대한 연락처는 주 계약에 명시된 대로 또는 계약 당사자인 MEFERI 계열사가 고객에게 별도로 통지한 대로 합니다. MEFERI Poland Sp. z oo의 연락처는 다음과 같습니다. 주소: Ul. Modelarska 18/2, 40-142 Katowice, Poland

이메일: poland@meferi.com

전화: +48 734-143-579

c) 이러한 경우 이 DPA에 대한 준거법 및 분쟁 해결은 계약 당사자인 MEFERI 계열사와 체결한 주계약에 따라 결정됩니다.

19. 전체 동의MENT

19.1. 본 DPA는 부록을 포함하여 본 계약의 주제와 관련하여 당사자 간의 전체 계약을 구성하며, 본 계약의 주제와 관련하여 서면 또는 구두로 이루어진 모든 이전 및 동시 계약, 제안 또는 진술을 대체합니다.

이를 증거로 당사자들은 주 계약의 발효일 또는 고객의 서비스 이용일로부터 본 데이터 처리 계약에 동의함을 확인합니다.

—

부록 1

처리 세부 사항

이 부록 1은 DPA의 일부를 구성하며 MEFERI가 고객을 대신하여 개인 데이터를 처리하는 내용을 설명합니다.

A. 당사자 목록

관리자/고객:

MEFERI와 서비스 제공을 위한 주계약을 체결한 법인. 고객은 개인정보 처리의 목적과 수단을 결정합니다.

프로세서/MEFERI:

MEFERI Technologies Co., Ltd. 또는 본 DPA 제18.4절에 따라 해당되는 경우 고객과의 주계약에 대한 계약 당사자인 MEFERI 계열사가 고객에게 서비스를 제공합니다.

B. 처리 설명

1. 처리의 주제:

고객이 주 계약에 따라 구독한 MEFERI 서비스를 제공, 유지, 지원 및 개선하는 맥락에서 개인 데이터를 처리하는 것으로, 여기에는 MEFERI Shadowalk MDM/EMM 클라우드 솔루션 및 CIAO Intelligent Shopper Assistant(ISA) 솔루션의 클라우드 호스팅 구성 요소가 포함되지만 이에 국한되지는 않습니다.

2. 처리 기간:

MEFERI와 고객 간의 주 계약 기간 동안, 그리고 DPA 제10조에 따라 모든 개인 데이터가 삭제되거나 반환될 때까지입니다.

3. 처리의 성격 및 목적:

– MEFERI Shadowalk MDM/EMM 클라우드 솔루션의 경우: 고객이 모바일 기기를 원격으로 관리, 보안, 모니터링 및 지원할 수 있도록 지원합니다. 여기에는 기기 프로비저닝, 구성 관리, 애플리케이션 관리, 보안 정책 시행, 기기 추적(고객이 활성화한 경우), 원격 진단, 그리고 고객을 위한 기기 상태 및 사용 보고서 생성이 포함됩니다.

– MEFERI CIAO ISA 클라우드 구성 요소(MEFERI는 프로세서): 고객(소매업체)을 위한 지능형 쇼핑 도우미 솔루션의 운영을 용이하게 합니다. 여기에는 사용자 인증, 쇼핑 목록 관리, 제품 정보 처리, 고객 상호작용 데이터(소매업체에 제공되는 분석용) 및 고객의 지시에 따른 타사 서비스와의 통합 지원이 포함될 수 있습니다.

– MeCare 서비스 계약: MEFERI MeCare 서비스(MEFERI가 처리자 역할을 하는 경우): 해당 "MeCare(플랜 이름): 일반 서비스 약관" 및 MeCare 지원 서비스 가이드에 설명된 대로 계약된 지원, 유지 관리, 수리, 모니터링 및 장치 관리 서비스를 제공합니다. 여기에는 고객 장치에 저장되거나 전송되는 개인 데이터 또는 서비스 제공 과정에서 고객이 제공하는 개인 데이터에 대한 액세스, 수집 또는 기타 처리가 포함될 수 있습니다.

– 지원 서비스의 경우: 고객의 요청 및 지시에 따라 서비스 내에서 또는 고객 시스템에서 처리되는 개인 데이터에 접근하는 것을 포함할 수 있는 서비스에 대한 기술 지원, 문제 해결, 유지 관리 및 업데이트를 제공합니다.

– 본 DPA 및 주 계약에 명시된 고객의 문서화된 지침을 준수합니다.

– 해당 법적 의무를 준수하기 위함입니다.

4. 데이터 주체의 범주:

– 고객의 직원, 계약자 및 승인된 사용자: 고객을 대신하여 서비스를 관리하거나 사용하는 개인(예: Shadowalk를 사용하는 IT 관리자, CIAO를 관리하거나 사용하는 소매 직원).

– 고객의 관리 기기의 최종 사용자(Shadowalk의 경우): Shadowalk 솔루션을 통해 고객이 관리하는 모바일 컴퓨터나 기타 기기를 사용하는 개인(예: 고객의 직원).

– 고객의 고객(쇼핑객)(CIAO의 경우, MEFERI가 소매업체 고객을 대신하여 클라우드 백엔드에서 개인 데이터를 처리하는 경우): 소매업체 매장에서 CIAO ISA 장치를 사용하는 개인.

5. 처리되는 개인 데이터의 유형:

처리되는 개인 데이터의 구체적인 유형은 고객이 사용하는 서비스와 고객이 해당 서비스를 구성하고 사용하는 방식에 따라 달라집니다. 개인 데이터에는 다음이 포함될 수 있습니다.

– 사용자 계정 및 연락처 정보: 이름, 이메일 주소, 사용자 이름, 비밀번호, 전화번호, 직책, 부서, 직원 ID, 서비스 내에서의 역할/권한(고객의 서비스 관리에 해당하는 경우).

– 기기 정보(Shadowalk용): 기기 식별자(예: 일련 번호, IMEI, MAC 주소, UDID), 기기 모델, 운영 체제 버전, IP 주소, 네트워크 정보, 기기 구성 설정, 설치된 애플리케이션, 기기 위치 데이터(고객이 활성화한 경우).

– 사용 및 로그 데이터(Shadowalk 및 CIAO 클라우드용): 서비스 사용과 관련된 시스템 로그, 감사 추적, 활동 로그, 성능 데이터, 진단 데이터.

– 쇼핑객 데이터(해당되는 경우 CIAO용): 쇼핑객 계정 세부 정보(예: 충성도 ID, CIAO의 소매업체 앱을 통해 등록할 때 쇼핑객이 제공한 경우 이메일), 쇼핑 목록, 제품 스캔 기록, CIAO 기기와의 상호 작용 데이터.

– 지원 데이터: 연락처 정보, 문제 설명, 시스템 구성 세부 정보, 문제 해결을 위해 MEFERI와 공유되는 로그 또는 파일에 포함된 개인 데이터를 포함하여 지원 상호작용 중 고객이 제공한 정보입니다.

– 고객(또는 고객의 승인된 사용자나 데이터 주체)이 서비스에 제출하기로 선택한 기타 개인 데이터.

6. 개인 데이터의 특수 범주(있는 경우):

MEFERI는 고객을 대신하여 특수 범주의 개인 정보(GDPR 제9조에 정의됨)를 처리할 의도가 없습니다. 고객은 MEFERI와 서면으로 명시적으로 합의하고 적절한 안전 조치를 취하지 않는 한, 특수 범주의 개인 정보를 업로드, 제공하거나 MEFERI에 처리하도록 지시해서는 안 됩니다. 고객이 사전 동의 없이 해당 데이터를 제공하는 경우, 고객은 해당 처리에 대한 유효한 법적 근거를 확보할 전적인 책임을 집니다.

—

부록 2

기술 및 조직 보안 MEASURES(TOMS)

이 부록 2에서는 MEFERI가 개인 데이터 처리에 대한 적절한 수준의 보안을 보장하기 위해 시행하는 기술적 및 조직적 조치를 설명합니다. MEFERI는 이러한 업데이트가 서비스의 전반적인 보안을 실질적으로 약화시키지 않는 한 수시로 이러한 조치를 업데이트할 수 있습니다.

1. 정보 보안 정책 및 거버넌스:

a. MEFERI는 개인 데이터를 보호하기 위해 고안된 내부 정책과 절차를 유지 관리합니다.

b. 정보 보안에 대한 책임이 정의되고 할당됩니다.

c. 개인 데이터에 대한 위협을 식별하고 완화하기 위해 정기적인 위험 평가를 실시합니다.

2. 인사 보안:

a. 개인 정보에 접근할 수 있는 직원 및 계약자는 기밀 유지 의무를 준수해야 합니다.

b. 관련 직원에게 데이터 보호 및 보안 책임에 대한 보안 인식 교육을 제공합니다.

c. 해당 법률에 따라 허용되는 경우, 민감한 역할을 담당하는 직원에 대한 신원조사를 실시할 수 있습니다.

3. 물리적 접근 제어:

a. MEFERI의 개인 데이터가 처리될 수 있는 건물 및 시설(예: 사무실)에 대한 무단 물리적 접근을 방지하기 위한 조치가 마련되어 있습니다.

b. 여기에는 보안 경계, 출입 통제 시스템, 감시 및 필요한 경우 물리적 출입 기록이 포함됩니다.

c. MEFERI가 서비스에 사용하는 데이터 센터(즉, 주요 클라우드 서비스 제공업체인 Amazon Web Services(AWS)의 데이터 센터)의 경우, MEFERI는 AWS가 구현한 강력한 물리적 보안 조치를 활용합니다.

4. 시스템 접근 제어(논리적 접근):

a. IT 시스템 접근 개인 데이터 처리 업무는 승인된 직원에게만 제한됩니다.

b. 고유한 사용자 ID와 강력한 인증 메커니즘(예: 복잡한 비밀번호, 적절하고 실행 가능한 경우 다중 요소 인증)이 사용됩니다.

c. 접근 권한은 최소 권한 원칙(역할 기반 접근 제어)에 따라 부여됩니다.

d. 접근 권한에 대한 정기적인 검토가 수행됩니다.

e. 원격 접속에는 보안 프로토콜이 사용됩니다.

5. 데이터 접근 제어:

a. 데이터 처리 시스템을 사용할 권한이 있는 사람이 할당된 역할과 책임에 따라 해당 액세스 권한이 참조하는 개인 데이터에만 액세스할 수 있도록 보장하는 조치가 마련되어 있습니다.

b. 개인 데이터는 처리, 사용 및 저장 중에 승인 없이 읽거나, 복사하거나, 수정하거나, 제거될 수 없습니다. 단, 서비스 제공에 필요한 경우 또는 고객의 지시가 있는 경우는 예외입니다.

c. 적절한 경우 업무 및 데이터 분리가 구현됩니다.

6. 전송 제어:

a. 개인정보는 전자적 전송이나 운송 중 무단으로 읽히거나, 복사되거나, 수정되거나, 삭제되는 것을 방지합니다.

b. 암호화 기술(예: 전송 계층 보안 - TLS/보안 소켓 계층 - 전송 중인 데이터의 SSL)은 공용 네트워크를 통해 전송되는 개인 데이터를 보호하는 데 사용됩니다.

c. 개인 정보가 포함된 물리적 매체의 전송이 발생하는 경우, 안전한 방법을 사용하여 전송합니다.

7. 입력 제어:

a. 개인 데이터가 데이터 처리 시스템에 입력, 수정 또는 삭제되었는지 여부와 누가 이를 수행했는지를 후속적으로 확인하고 확인할 수 있도록 조치를 시행합니다(예: 감사 로그를 통해).

b. 개인 데이터 처리와 관련된 중요 시스템 활동에 대한 로깅 및 감사 기능이 구현됩니다.

8. 데이터 백업 및 복구:

a. 서비스 내에서 처리되는 개인 데이터의 정기적인 백업은 데이터 가용성과 무결성을 보장하기 위해 수행됩니다.

b. 백업 및 복구 절차는 주기적으로 정의되고 테스트됩니다.

c. 백업은 안전하게 저장됩니다.

9. 가용성 제어 및 복원력:

a. 시스템은 개인 데이터의 가용성과 처리 시스템 및 서비스의 복원력을 보장하도록 설계 및 구성됩니다.

b. 여기에는 중복성, 장애 허용성, 재해 복구 기능 등의 조치가 포함되며, 주로 MEFERI의 주요 클라우드 서비스 제공업체(Amazon Web Services – AWS)의 인프라를 활용합니다.

10. 데이터 분리:

a. 고객 개인 데이터는 서비스 내 다른 MEFERI 고객의 데이터와 논리적으로 분리됩니다.

11. 보안 소프트웨어 개발(MEFERI 클라우드 플랫폼용):

a. MEFERI의 클라우드 플랫폼용 소프트웨어 개발 라이프사이클에는 안전한 코딩 관행과 원칙이 통합되어 있습니다.

b. 보안 테스트(예: 취약성 스캐닝, 침투 테스트)는 서비스에 적합한 방식으로 수행됩니다.

c. MEFERI 소프트웨어의 취약점을 식별, 평가 및 수정하기 위한 절차가 마련되어 있습니다.

12. 사고 관리:

a. MEFERI는 개인 데이터 침해를 포함한 보안 사고를 탐지, 대응 및 복구하기 위한 사고 대응 계획 및 절차를 유지 관리합니다.

b. 사고를 조사하고 문서화하며, 적절한 시정 조치를 취합니다.

c. 적용 가능한 데이터 보호법 및 본 DPA에 따라 내부 및 외부 통지를 위한 커뮤니케이션 계획이 수립됩니다.

13. 하위 프로세서 관리:

a. 하위 처리업체를 고용하기 전에 실사를 실시하여 적절한 수준의 데이터 보호를 제공할 수 있는지 확인합니다.

b. 하위 처리업체와 계약적 합의가 체결되어 있으며, 이 계약은 본 DPA에 따라 MEFERI에 부과된 것과 최소한 동일한 수준의 데이터 보호 의무를 부과합니다.

14. 모니터링 및 로깅:

a. 개인 데이터를 처리하는 시스템은 적절하고 실행 가능한 경우 보안 이벤트 및 이상 징후를 모니터링합니다.

b. 보안 사고를 탐지, 조사 및 대응하기 위해 필요에 따라 관련 로그를 수집하고 검토합니다.

15. 암호화:

a. 적절하고 기술적으로 가능한 경우(예: 민감한 개인 데이터가 포함된 데이터베이스 저장의 경우) 저장 중인 개인 데이터의 암호화가 구현됩니다.

b. 공용 네트워크를 통해 전송되는 개인 데이터의 암호화는 업계 표준 프로토콜(예: TLS)을 사용하여 구현됩니다.

*(고객은 보안 조치가 기술적 진보와 개발의 대상이 되고 MEFERI가 고객이 구매한 서비스의 전반적인 보안을 약화시키지 않는 한 수시로 보안 조치를 업데이트하거나 수정할 수 있음을 인정합니다.)*

—

부록 3

하위 프로세서

고객은 MEFERI가 아래 나열된 하위 프로세서 범주를 사용할 수 있도록 일반적인 권한을 부여합니다. MEFERI는 특정 하위 프로세서의 최신 목록을 유지 관리하며, 이 목록은 MEFERI 웹사이트의 지정된 웹 페이지에 게시되어 고객에게 제공됩니다. https://meferi.com/en/us/legal/subprocessors ). 그리고 MEFERI의 데이터 보호 담당자에게 서면으로 요청하는 경우 이 목록을 고객에게 제공합니다(예: legal@meferi.com ).

하위 프로세서의 범주 및 목적:

1. 클라우드 인프라 제공자: – 주 계약에 따라 고객에게 제공되는 서비스의 주 호스팅에 대한 하위 프로세서 및 세부 사항:

– 엔터티: Amazon Web Services EMEA SARL(또는 EEA에서 제공되는 서비스의 경우 해당 AWS 계약 엔터티).

– 목적: 주 계약에 따라 고객에게 제공되는 MEFERI 서비스(예: Shadowalk Cloud, CIAO Cloud 백엔드)를 호스팅하기 위한 기본 클라우드 컴퓨팅 인프라(서버, 스토리지, 네트워킹, 데이터베이스)를 제공합니다.

– 고객 개인 데이터 처리 위치(주요 호스팅): 이 DPA에 따라 고객 개인 데이터를 처리하는 주요 AWS 지역은 유럽 경제 지역(EEA) 내의 eu-west-3(프랑스 파리)입니다.

– 데이터 전송 안전 조치: AWS는 개인 데이터 전송을 규율하는 표준 계약 조항(SCC)이 포함된 데이터 처리 부록(DPA)을 제공하며, 이는 AWS가 EEA 외부에서 데이터를 처리하거나 적정성 결정의 적용을 받지 않는 위치로 데이터를 전송하는 경우에 적용됩니다. 고객은 AWS의 데이터 처리 부록을 다음에서 검토할 수 있습니다.  https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf AWS GDPR 준수에 대한 정보는 다음과 같습니다.  https://aws.amazon.com/compliance/gdpr-center/

– CDN 관련 참고 사항(해당하는 경우): MEFERI가 서비스 성능 향상을 위해 AWS CloudFront 또는 유사한 콘텐츠 전송 네트워크(CDN) 서비스를 활용하는 경우, 특정 데이터(일반적으로 정적 자산 또는 캐시된 콘텐츠이며, 구성에 따라 개인 정보가 포함될 수도 있고 포함되지 않을 수도 있음)의 사본이 전 세계 AWS 엣지 로케이션에 임시로 캐시될 수 있습니다. 단, 서비스에 필요한 고객 개인 정보의 권한 있는 저장 및 기본 처리는 위에 명시된 AWS 리전(eu-west-3)에 유지됩니다. MEFERI는 CDN을 통해 배포되는 모든 고객 개인 정보가 GDPR 요구 사항에 따라 처리되도록 보장합니다.

– 주 계약에 따라 고객에게 제공되는 서비스를 위한 기타 클라우드 인프라 공급자:

– 현재 MEFERI는 주 계약에 정의된 서비스의 기본 호스팅이나 직접 제공을 위해 위에 설명된 것 외에 다른 제3자 클라우드 인프라 공급업체를 활용하지 않습니다.

2. 통신 서비스 제공자:

– 목적: 서비스 제공 및 사용과 관련하여 고객 또는 고객이 승인한 사용자에게 필수적인 커뮤니케이션을 원활하게 하기 위함(예: 서비스 알림을 위한 이메일 전송, 비밀번호 재설정, 보안 경고, 중요 경고 또는 2단계 인증 코드를 위한 SMS 전송).

– 사용된 특정 하위 프로세서:

– 이메일 통신의 경우:

– 법인: Amazon Web Services EMEA SARL(Amazon Simple Email Service – SES 활용).

– MEFERI의 특정 목적: 서비스와 관련하여 고객의 승인된 사용자에게 거래 및 서비스 관련 이메일 알림(예: 계정 알림, 비밀번호 재설정, 서비스 업데이트, 중요 보안 정보)을 전송하는 것입니다.

– 처리 위치: 이메일 전송 인프라는 주로 MEFERI가 서비스를 제공하는 AWS 지역 내에 위치합니다(예: 가능한 경우 eu-west-1 아일랜드 또는 eu-west-3 파리와 같은 EEA 지역에서 전송하도록 구성됨). SES를 통한 모든 개인 데이터(예: 이메일 주소 및 이메일 내용) 처리는 AWS 데이터 처리 부록의 적용을 받습니다.

– 데이터 전송 보호 조치: 표준 계약 조항을 포함하는 Amazon Web Services 데이터 처리 부록의 적용을 받습니다. 이용 가능

에: https://d1.awsstatic.com/legal/aws-dpa/aws-dpa.pdf.

– SMS 통신의 경우:

– 법인: Twilio Inc.

– MEFERI의 특정 목적: 중요한 알림이나 2단계 인증(2FA) 코드 전달 등 서비스의 일부로 고객의 승인된 사용자에게 SMS 알림을 보내는 경우(해당 기능이 고객이 활성화되어 있는 경우)입니다.

– 처리되는 데이터의 특성: 일반적으로 고객의 승인된 사용자의 전화번호와 SMS 메시지 내용(예: 인증 코드, 알림 텍스트)이 포함됩니다.

– 처리 위치: 주로 미국.

– 데이터 전송 안전장치: 개인 데이터 전송은 표준 계약 조항(SCC)을 포함하는 Twilio의 데이터 처리 추가 조항에 따라 관리됩니다. 고객은 Twilio의 데이터 처리 추가 조항을 다음에서 확인할 수 있습니다. https://www.twilio.com/legal/data-protection-addendum.

– 기타 통신 서비스 제공자:

– 현재 MEFERI는 본 DPA에 따라 고객 개인 정보를 처리하기 위해 이메일 및 SMS에 대해 위에 설명된 것 외에 다른 제3자 통신 서비스 제공업체를 이용하지 않습니다. 고객이 다른 유형의 통신 서비스를 필요로 하는 특정 기능을 도입하고 이에 동의하는 경우, MEFERI는 본 DPA 6.2항에 따라 이 목록을 업데이트하고 고객에게 통지합니다.

3. 분석 및 서비스 성능 모니터링 제공업체:

– 목적: MEFERI 서비스(예: Shadowalk Cloud, CIAO Cloud 백엔드)의 성능을 모니터링하고, 오류를 식별하고, 사용 패턴을 분석하여 서비스 안정성, 기능 및 사용자 경험을 유지 및 개선합니다. 이러한 제공업체가 MEFERI 서비스를 위해 처리하는 데이터는 일반적으로 가명화되거나, 집계되거나, 기술/운영 데이터로 구성됩니다. MEFERI는 지원 또는 문제 해결 목적으로 고객에게 명시적으로 지시되거나 동의하지 않는 한, 서비스 내 고객 개인 데이터의 특정 내용을 분석하기 위해 이러한 제공업체를 이용하지 않습니다.

– 사용된 특정 하위 프로세서:

– 법인: Functional Software, Inc. (Sentry라는 이름으로 사업 수행).

– MEFERI의 특정 목적: MEFERI의 클라우드 기반 서비스(Shadowalk Cloud, CIAO Cloud 백엔드) 내에서 실시간 오류 추적, 진단 및 성능 모니터링을 수행하여 기술적 문제를 식별하고 해결하는 데 도움이 됩니다.

– 처리되는 데이터의 특성: 일반적으로 오류 메시지, 스택 추적, 장치/브라우저 정보, IP 주소(MEFERI가 Sentry 기능 내에서 가능한 경우 익명화하거나 저장하지 않도록 설정할 수 있음) 및 서비스 이벤트와 관련된 기타 운영 메타데이터가 포함됩니다. MEFERI는 Sentry와의 통합을 구성하여 고객 개인 데이터 캡처를 최소화합니다.

– 처리 위치: 주로 미국.

– 데이터 전송 안전장치: 데이터 전송은 표준 계약 조항을 포함하는 Sentry의 데이터 처리 부록에 따라 관리됩니다. 다음에서 확인 가능: https://sentry.io/legal/dpa/

– 웹사이트 및 포털 분석(컨트롤러로서 MEFERI):

– MEFERI의 기업 웹사이트(예: meferi.com) 및 MEFERI가 데이터 관리자 역할을 하는 기타 MEFERI 소유 공개 포털 관련 분석의 경우, 분석 제공업체(예: Google Analytics) 및 데이터 처리에 대한 세부 정보는 MEFERI의 일반 개인정보 보호정책에 명시되어 있습니다. 이러한 제공업체는 고객에게 제공되는 서비스와 관련하여 MEFERI를 대신하여 고객 개인 데이터를 처리하지 않는 한 본 DPA에 따라 하위 처리업체로 명시되지 않습니다.

4. 지원 및 고객 서비스 도구:

– 목적: 고객 지원 문의를 관리하고, 헬프데스크 서비스를 제공하고, MEFERI 서비스 지원과 관련된 커뮤니케이션을 원활하게 합니다.

– 사용된 특정 도구:

– MEFERI는 support.meferi.com에서 접속 가능한 자체 고객 지원 포털 및 티켓팅 시스템을 활용합니다. 이 시스템은 MEFERI에서 개발 및 유지 관리하며, 본 부록 1항("클라우드 인프라 제공업체")에 자세히 설명된 바와 같이 Amazon Web Services(AWS)에서 제공하는 MEFERI의 클라우드 인프라에 호스팅됩니다.

– 고객의 승인된 사용자가 이 지원 포털을 통해 제출한 개인 데이터(예: 연락처 정보, 문의 내용)는 MEFERI가 운영하는 시스템 내에서 처리됩니다.

– MEFERI는 현재 이 DPA에 따른 고객 개인 데이터가 처리되는 고객 지원 플랫폼을 위해 타사 SaaS(Software-as-a-Service) 공급업체를 활용하지 않습니다. – 지원 포털에서의 데이터 처리 및 사용자 동의:

– support.meferi.com에 접속하는 사용자는 MEFERI의 개인정보 보호정책 및 지원 포털에 적용되는 모든 사용자 계약의 적용을 받습니다. 이는 사용자가 포털에 직접 제출한 개인 데이터를 MEFERI가 수집하고 사용하는 것을 규정합니다.

– 제3자 공급업체의 향후 참여:

– MEFERI가 향후 고객 개인 데이터 처리를 위해 제3자 지원 또는 고객 서비스 도구 제공업체를 참여시키기로 선택하는 경우, 이 목록은 업데이트되며, 본 DPA 6.2절에 따라 고객에게 통지됩니다.

5. 기술 하청업체(예: 전문 개발, 유지 관리 또는 보안 테스트):

– 현재 MEFERI는 주로 사내 인력을 활용하여 자사 서비스(예: MEFERI Shadowalk MDM/EMM 클라우드 솔루션 및 CIAO Intelligent Shopper Assistant(ISA) 솔루션의 클라우드 호스팅 구성 요소)에 대한 전문 기술 서비스, 소프트웨어 개발, 시스템 유지 관리 및 보안 테스트를 수행합니다.

– MEFERI는 현재 이 DPA에 따라 MEFERI를 대신하여 고객 개인 데이터를 처리해야 하는 제3자 기술 하청업체를 고용하지 않습니다.

– MEFERI가 향후 고객 개인 데이터를 처리할 기술 하청업체를 고용하기로 결정하는 경우, MEFERI는 하청업체 목록을 업데이트하고 본 DPA의 섹션 6.2에 따라 고객에게 통지하여 이러한 모든 계약이 본 DPA에 명시된 하청 처리 요구 사항을 준수하도록 보장하며, 필요한 경우 적절한 데이터 전송 보안 조치를 구현합니다.

6. 공인 수리 서비스 센터 및 물류 제공업체:

– 목적: 해당 서비스 계약(예: MeCare 서비스 플랜) 또는 보증 조건에 따라 MEFERI 제품에 대한 장치 수리, 진단, 재생 및 관련 물류 서비스를 제공합니다.

– 법인/범주: MEFERI 또는 그 계열사와 계약하여 MEFERI 기기의 수리 및 취급을 수행하는 공인 제3자 서비스 센터 또는 물류 파트너. (MEFERI는 이러한 공인 공급업체 네트워크를 유지하고 있으며, 특정 수리에 대한 구체적인 공급업체 정보는 고객의 위치 및 서비스 요청의 특성에 따라 달라질 수 있습니다.)

– 처리되는 데이터의 특성: 다음을 포함할 수 있습니다.

– 수리를 담당하는 고객 담당자의 연락처 정보(이름, 이메일, 전화번호, 배송 주소).

– 장치 식별자(일련 번호, 모델).

– 고객이 제공한 문제에 대한 설명.

수리를 위해 보낸 기기에 남아 있는 개인 정보는 배송 전에 고객이 삭제하거나 보호하지 않을 경우 잠재적으로 문제가 될 수 있습니다. MEFERI는 고객에게 수리를 위해 기기를 보내기 전에 개인 정보를 백업 및/또는 삭제하도록 안내하며, 이러한 데이터 손실에 대한 MEFERI의 책임은 주 계약 또는 해당 서비스 약관에 따라 제한됩니다. 단, 진단 또는 수리 과정에서 수리 센터가 해당 데이터에 접근하는 경우, 해당 데이터는 고객 개인 정보로 처리됩니다.

– 처리 담당자 위치: 수리 서비스 센터는 고객의 위치와 MEFERI의 서비스 네트워크에 따라 EEA, 중국 본토 또는 기타 국가를 포함하여 전 세계 다양한 지역에 위치할 수 있습니다. MEFERI는 가능한 경우 요청 시 또는 RMA 프로세스의 일부로 특정 수리 센터의 위치에 대한 정보를 제공합니다.

– 데이터 보호 조치: 고객 개인 데이터에 접근할 수 있는 모든 공인 수리 서비스 센터 및 물류 제공업체는 MEFERI(또는 계약 당사자인 MEFERI 계열사)와의 서면 계약을 준수해야 하며, 이 계약에는 기밀 유지 의무 및 본 DPA에 명시된 것과 최소한 동등한 데이터 보호 요건을 부과하는 데이터 처리 조건이 포함됩니다. 유럽 경제 지역(EEA) 외부에 위치하여 유럽 위원회가 적절하지 않다고 판단한 국가에 있는 이러한 제공업체로 고객 개인 데이터를 전송하는 경우, MEFERI는 GDPR 제5장에 따라 표준 계약 조항(SCC)과 같은 적절한 전송 메커니즘이 마련되어 있는지 확인합니다. 기기의 개인 데이터에 대한 접근은 진단 및 수리에 필요한 범위로 제한됩니다.