데이터 처리 계약서

iLost DPA 다운로드

DPA 열기 (PDF)

본 문서는 페이지 하단의 시각적 개요에 표시된 두 가지 별개의 처리 단계를 바탕으로 iLost 플랫폼 내에서 개인 데이터가 어떻게 처리되는지 설명합니다. 관할권별 법률 조항을 언급하지 않은 상태에서 관련된 개인 데이터 유형, 당사자들의 역할 및 적용 가능한 규제 체계를 설명합니다.

정의

  1. 클레임 / 분실물 신고: 사용자가 iLost 플랫폼을 통해 발견된 물품에 대한 소유권 또는 권리를 주장하기 위해 제출하는 정보.
    클레임은 사용자의 계정 확인(이메일 주소 제출 및 확인 링크를 통한 검증 포함)과 iLost의 정책에 따른 승인을 거쳐야만 유효해집니다. 승인 시, 해당 청구 정보는 관련 클라이언트에게 제공되며 발견된 물품은 사용자와 연결됩니다.
    이 시점은 아래 설명된 1단계에서 2단계로의 전환을 의미합니다.

  2. 클라이언트: iLost 플랫폼을 사용하여 발견된 물품을 등록 및 관리하는 조직, 기업 또는 기관(호텔, 장소, 운송 사업자 및 공공 기관을 포함하되 이에 국한되지 않음).
    의심의 여지를 없애기 위해, 클라이언트는 자연인이 아닙니다.

  3. 관리자(Controller): 개인정보 처리의 목적과 핵심적 수단을 결정하는 주체.

  4. 분실물(Found Item): 클라이언트가 iLost 플랫폼에 등록한 물품. 분실물은 초기에는 식별 가능한 개인과 연결되지 않을 수 있으며, 청구 제출 및 확인 후 사용자와 연결될 수 있습니다.

  5. iLost 플랫폼: iLost가 운영하는 온라인 소프트웨어 서비스(SaaS) 솔루션으로, 웹 인터페이스 및 내장 검색 위젯을 포함하며, 고객이 분실물을 등록 및 관리하고 사용자가 분실물을 검색, 신고, 청구 및 회수할 수 있도록 합니다.

  6. 개인 데이터: 식별되거나 식별 가능한 자연인과 관련된 모든 정보로, 이름, 연락처 정보, 신원 데이터, 사진, 청구 관련 정보 및 IP 주소와 같은 온라인 식별자를 포함하되 이에 국한되지 않습니다.

  7. 처리: 개인 데이터에 대해 수행되는 모든 작업 또는 일련의 작업으로, 수집, 저장, 사용, 공개 또는 삭제를 포함합니다.

  8. 처리자: 관리자를 대신하여 개인정보를 처리하는 주체.

  9. 사용자: 분실물 검색, 청구 또는 회수를 위해 iLost 플랫폼과 직접 상호작용하며 해당 맥락에서 개인정보가 처리되는 자연인. 해당되는 데이터 보호법이 적용될 경우, 사용자는 해당 법률상 "데이터 주체", "개인" 또는 이에 상응하는 법적 개념에 해당합니다.

1. 1단계 – 고객사 주도 처리

1단계에서는 고객사 직원이 발견된 물품 등록 및 관리 과정에서 개인 데이터를 iLost 플랫폼에 입력합니다.

잠재적 소유자에게 사전 통지하거나 물리적 서비스 데스크에서 물품을 매칭하는 등의 작업은 1단계의 일부로 간주되며, 고객사가 관리자로서 책임을 유지합니다.

여기에는 다음이 포함될 수 있으나 이에 국한되지는 않습니다:

  • 아직 사용자가 아닌 알려진 또는 추정 소유자의 연락처 정보
  • 분실물에 추가된 메모
  • 온라인 청구 없이 물품 수령을 확인하기 위해 입력된 개인정보

1단계의 역할

1단계에서:

  • 클라이언트는 처리 목적, 즉 발견된 물품을 정당한 소유자에게 반환하는 것을 결정합니다
  • 클라이언트는 관리자(Controller) 역할을 수행합니다
  • iLost는 처리자(Processor) 역할을 수행하며, 클라이언트 또는 클라이언트를 대신하여 입력된 개인 데이터를 처리합니다

1단계의 처리 관계는 해당 데이터 처리 계약(DPA)에 의해 규율됩니다.

2. 2단계 – 사용자 시작 처리 (검증 후)

2단계는 사용자가 청구 또는 분실 신고를 제출한 후 그리고 iLost가 검증 절차를 완료한 경우에만 시작됩니다.
이 검증에는 사용자의 연락처 정보 확인(이메일 인증 등) 및 iLost의 내부 검증 및 악용 방지 정책 준수가 포함됩니다.

검증이 완료되기 전까지 사용자가 제공한 개인 데이터는 iLost에 의해 독점적으로 처리되며 고객에게 제공되지 않습니다.

iLost가 클레임 또는 분실 보고서를 검증하고 승인하면 2단계가 활성화되며, 관련 사용자 개인 데이터가 추가 처리를 위해 고객에게 제공될 수 있습니다.

사용자가 제공하는 개인 데이터

청구 또는 분실 신고 과정에서 사용자는 다음과 같은 개인 데이터를 제공할 수 있습니다:

  • 이름 및 연락처 정보
  • 소유권을 입증하기 위한 청구 관련 정보 또는 설명
  • iLost 플랫폼을 통해 교환된 메시지
  • 물품 반환을 위한 배송 및 주소 정보
  • 증빙 이미지 또는 문서

청구 또는 분실 신고를 제출하고 해당 개인정보처리방침 및 약관에 동의함으로써, 사용자는 iLost 플랫폼 운영 및 분실물 회수 지원을 목적으로 iLost가 본 개인정보를 처리하는 데 동의합니다.

2단계에서 iLost의 역할

2단계에서:

  • iLost는 iLost 플랫폼에서 사용자가 시작한 모든 처리 과정에 대해 독립적인 관리자 역할을 수행하며, 여기에는 다음이 포함됩니다:
  • 사용자 인증
  • 계정 관리
  • 청구 처리
  • 커뮤니케이션 워크플로우

  • 배송 시작

  • iLost는 인증 결과 및 플랫폼 정책에 따라 사용자 개인 데이터가 클라이언트에게 제공되는지 여부와 시기를 결정합니다.

2단계에서 발견된 물품의 식별 가능성

1단계에 등록된 발견된 물품은 자동으로 개인정보를 구성하지 않습니다.

발견된 물품은 사용자의 클레임 또는 분실 신고가 iLost에 의해 검증된 경우에만 식별 가능한 개인과 연결됩니다.

이 시점부터 발견된 물품은 iLost 플랫폼 내에서 추적 가능한 개인정보로 간주됩니다.

고객사에 대한 개인정보 공개

확인 후, 특정 사용자 개인정보(예: 청구 관련 정보 또는 배송 세부사항)는 다음을 위해 필요한 범위 내에서 고객사에 공개될 수 있습니다:

  • 소유권 확인
  • 최종 일치 결정
  • 물품의 배송 또는 물리적 인도 준비 및 완료

iLost의 확인 및 승인 전에는 어떠한 사용자 개인정보도 고객사와 공유되지 않습니다.

3. 2단계에서의 관리자 간 관계

검증 후 사용자 개인 데이터가 클라이언트에게 공개되면, 해당 데이터는 관리자 간(C2C) 프레임워크 하에서 처리 및 교환됩니다.

이 프레임워크 하에서:

  • iLost는 검증, 커뮤니케이션 및 플랫폼 수준 워크플로를 포함한 iLost 플랫폼 내 사용자 주도 처리의 관리자로 남습니다.
  • 클라이언트는 자체 후속 처리에 대해 관리자로 남으며, 이는 다음을 포함합니다:
  • 소유권 확인 및 최종 일치 결정
  • 내부 기록 유지
  • 배송 또는 물리적 인도 준비 및 완료

각 당사자는 자체 처리 목적 및 필수 수단을 독립적으로 결정하며, 자체 처리 활동과 관련하여 적용 가능한 데이터 보호 법률 준수에 대한 책임을 집니다.

4. 책임 배분 요약

1단계

  • 고객사: 관리자(Controller)
  • iLost: 처리자(Processor) (DPA 하위)

2단계 (확인 및 공개 후)

  • iLost: 독립 관리자(Independent Controller) (사용자 주도 처리)
  • 고객사: 독립적 관리자 (자체 운영 처리)
  • 개인 데이터는 관리자 간 조항에 따라 교환됩니다

5. 적용 가능한 데이터 보호 및 개인정보 보호 규정

다음 목록은 비포괄적입니다.
적용 가능한 요건은 고객, 사용자 및 관련 처리 활동(1단계 및/또는 2단계)의 위치에 따라 다릅니다.

미주 지역

  • 미국(일부): 캘리포니아 소비자 개인정보 보호법 / 캘리포니아 개인정보 권리법(CCPA/CPRA) – 주로 2단계
  • 미국: 기타 주별 개인정보 보호법(해당되는 경우) – 1단계 및/또는 2단계
  • 브라질: 일반 데이터 보호법 (LGPD) – 1단계 및 2단계
  • 캐나다: PIPEDA 및 해당 주 개인정보 보호법 – 1단계 및 2단계
  • 멕시코: 민간 기관 보유 개인정보 보호에 관한 연방법 – 1단계 및 2단계
  • 아르헨티나: 개인정보 보호법 – 1단계 및 2단계

아시아 태평양

  • 중국: 개인정보 보호법 – 1단계 및 2단계 (해당되는 경우)
  • 일본: 개인정보 보호법 – 1단계 및 2단계
  • 싱가포르: 개인정보 보호법 – 1단계 및 2단계
  • 호주: 개인정보 보호법 1988 – 1단계 및 2단계
  • 대한민국: 개인정보 보호법 – 1단계 및 2단계
  • 인도: 디지털 개인정보 보호법 – 1단계 및 2단계 (해당되는 경우)
  • 인도네시아: 개인정보 보호법 – 1단계 및 2단계
  • 태국: 개인정보 보호법 – 1단계 및 2단계
  • 말레이시아: 개인정보 보호법 – 1단계 및 2단계
  • 필리핀: 데이터 프라이버시법 – 1단계 및 2단계
  • 베트남: 개인정보 보호령 – 1단계 및 2단계
  • 홍콩: 개인정보(프라이버시)조례 – 1단계 및 2단계
  • 대만: 개인정보 보호법 – 1단계 및 2단계

유럽

  • 유럽연합/유럽경제지역: 일반 개인정보 보호 규정(GDPR) – 1단계 및 2단계
  • 영국: 영국 GDPR 및 2018년 개인정보 보호법 – 1단계 및 2단계
  • 스위스: 연방 개인정보 보호법(FADP) – 1단계 및 2단계

중동 및 아프리카

  • UAE / DIFC / ADGM 데이터 보호 규정 – 1단계 및 2단계
  • 카타르: 데이터 보호법 – 1단계 및 2단계
  • 이스라엘: 개인정보 보호법 – 1단계 및 2단계
  • 사우디아라비아: 개인정보 보호법(PDPL) – 1단계 및 2단계
  • 바레인 / 오만: 적용 가능한 국가 데이터 보호법 – 1단계 및 2단계
  • 터키: 개인 데이터 보호법 – 1단계 및 2단계
  • 남아프리카 공화국: 개인정보 보호법 (POPIA) – 1단계 및 2단계
  • 나이지리아: 나이지리아 데이터 보호법(NDPA) – 1단계 및 2단계
  • 케냐: 데이터 보호법 – 1단계 및 2단계

각 당사자는 자체 처리 활동 및 관할권에 적용되는 데이터 보호 법률을 준수할 책임이 있으며, 상기 법률에 대한 중대한 추가 또는 변경 사항이 있을 경우 iLost에 서면으로 통보해야 합니다.

시각적 흐름 개요

아래 시각적 매핑 다이어그램은 조직 및 사용자의 역할과 관리자 책임의 전환을 포함하여 1단계와 2단계 간의 전체 데이터 흐름을 보여줍니다.

Phase 1 and Phase 2 data flow diagram