Acira AI Logo
가격기능소개비교
로그인

데이터 처리 부록

데이터 처리 부속 계약서

최종 업데이트: 2026년 3월 19일

본 데이터 처리 부속 계약서("DPA")는 Acira AI LLC("처리자", "당사")와 서비스 이용자("관리자", "귀하") 사이의 이용약관("계약")의 일부를 구성하며, 개인 데이터 처리와 관련하여 계약을 보완합니다.

본 DPA는 귀하가 유럽경제지역("EEA"), 영국("UK") 또는 스위스에 위치한 개인의 개인 데이터를 수집하거나 처리하는 웹사이트를 생성, 호스팅 및 게시하기 위해 서비스를 이용하거나, 그 밖에 해당 데이터 보호법이 요구하는 경우에 적용됩니다.

이 DPA는 귀하의 편의를 위해 다른 언어로 번역될 수 있습니다. 영어 버전과 번역된 버전 간에 충돌이나 불일치가 있는 경우, 영어 버전이 우선합니다.

목차

  1. 정의
  2. 범위 및 역할
  3. 데이터 처리 세부 사항
  4. 처리자의 의무
  5. 관리자의 의무
  6. 하위 처리자
  7. 국제 데이터 이전
  8. 데이터 주체의 권리
  9. 데이터 보안
  10. 데이터 침해 통지
  11. 감사 및 준수 확인
  12. 데이터 보존 및 삭제
  13. 기간 및 해지
  14. 책임의 제한
  15. 문의하기

1. 정의

**"해당 데이터 보호법"**이란 본 DPA에 따른 개인 데이터 처리에 적용되는 모든 법률 및 규정을 의미하며, 여기에는 (해당하는 경우) 일반 데이터 보호 규정(EU) 2016/679("GDPR"), 영국 GDPR, 스위스 연방 데이터 보호법("FADP"), 캘리포니아 소비자 개인정보 보호법("CCPA")이 포함됩니다.

**"관리자"**란 개인 데이터의 처리 목적과 수단을 결정하는 자연인 또는 법인을 의미하며, 본 문맥에서는 플랫폼을 통해 웹사이트를 운영하는 서비스 이용자인 귀하를 말합니다.

**"데이터 주체"**란 개인 데이터가 처리되는 식별되었거나 식별 가능한 자연인을 의미합니다.

**"개인 데이터"**란 서비스를 통해 처리되는 데이터 주체에 관한 모든 정보를 의미합니다.

**"처리"**란 수집, 기록, 정리, 구조화, 저장, 조정, 검색, 조회, 이용, 공개, 배포, 제한, 삭제 또는 파기를 포함한 개인 데이터에 대한 모든 작업을 의미합니다.

**"처리자"**란 관리자를 대신하여 개인 데이터를 처리하는 자연인 또는 법인을 의미하며, 본 문맥에서는 Acira AI LLC를 말합니다.

**"하위 처리자"**란 관리자를 대신하여 개인 데이터를 처리하기 위해 처리자가 고용한 제3자를 의미합니다.

**"표준 계약 조항" 또는 "SCC"**란 유럽 위원회가 채택한, 제3국에 설립된 처리자로의 개인 데이터 이전을 위한 표준 계약 조항을 의미합니다.

2. 범위 및 역할

2.1 처리 관계

귀하가 서비스를 이용하여 웹사이트 방문자로부터 개인 데이터(양식, 사용자 계정, 챗봇 상호작용, 댓글, 리뷰 또는 기타 대화형 기능을 통해)를 수집하는 웹사이트를 생성하고 운영하는 경우, 귀하는 해당 방문자 개인 데이터의 관리자로, 당사는 처리자로 행동합니다.

2.2 관리자로서 당사의 역할

당사는 당사의 자체 목적을 위해 수집하는 개인 데이터에 대해 독립적인 컨트롤러로서 활동합니다. 여기에는 귀하의 계정 정보, 청구 데이터, 사용 분석, 귀하의 웹사이트 콘텐츠에서 파생된 일반적인 웹사이트 특성(예: 산업 또는 비즈니스 유형), 그리고 플랫폼 운영 데이터가 포함됩니다. 이러한 데이터의 처리는 당사의 개인정보 처리방침에 의해 규율되며 본 DPA의 적용 범위 밖에 있습니다.

2.3 플랫폼 분석

당사는 웹사이트 방문자에 대한 기본적이고 개인정보 친화적인 분석 데이터를 수집합니다(계약에 설명된 바와 같이). 분석 데이터와 관련하여 당사는 귀하와 공동 관리자로 행동합니다. 당사는 개인 데이터 수집을 최소화하도록 분석 기능을 설계했으며, 원시 IP 주소를 저장하지 않고 방문자 식별자는 매일 교체됩니다. 각 공동 관리자의 책임은 다음과 같습니다:

  • Acira AI (처리자/공동 관리자): 수집되는 데이터 요소, 방문자 식별자 계산 방법(일별 교체 해시), 데이터 집계 방법을 포함한 분석 수집의 기술적 수단을 결정합니다. 당사는 분석 인프라의 보안 및 무결성과 플랫폼의 분석 작동 방식에 관한 일반적인 문의에 응답할 책임이 있습니다.
  • 귀하 (관리자/공동 관리자): 귀하의 웹사이트에서 분석을 사용할지 여부를 결정합니다(분석은 서비스의 일부로 기본적으로 활성화되어 있습니다). 귀하는 웹사이트의 개인정보처리방침에 분석 데이터 수집을 공개하고, 웹사이트 방문자로부터의 분석 데이터에 관한 데이터 주체 요청에 응답할 책임이 있습니다.
  • 데이터 주체를 위한 연락 창구: 데이터 주체는 웹사이트에서 수집된 분석 데이터에 관해 귀하(웹사이트 소유자)에게 연락할 수 있습니다. 분석 데이터에 관한 데이터 주체의 요청을 당사가 수신한 경우, 귀하가 달리 지시하지 않는 한 해당 요청을 귀하에게 전달합니다. 일반적인 플랫폼 문의의 경우 데이터 주체는 legal@acira.ai로 당사에 연락할 수 있습니다.

2.4 공동 관리자 약정의 본질

GDPR 제26조(2)에 따라, 분석 데이터에 대한 이 공동 관리자 약정의 본질은 다음과 같습니다: 당사(Acira AI)는 수집되는 기술적 수단과 데이터 요소를 결정하고, 귀하(웹사이트 운영자)는 귀하의 웹사이트에서 분석을 사용할지 여부를 결정합니다. 당사 각자는 해당 데이터 보호법에 따른 각자의 의무를 이행할 책임이 있습니다. 귀하는 분석 데이터에 관해 웹사이트 방문자의 주된 연락 창구입니다. 이 약정의 요약은 본 DPA 및 https://www.acira.ai/dpa를 통해 데이터 주체에게 제공됩니다.

2.5 CCPA 서비스 제공자 지정

당사가 귀하를 대신하여 캘리포니아 소비자 개인정보 보호법("CCPA")의 적용을 받는 개인 정보를 처리하는 범위 내에서, 당사는 Cal. Civ. Code § 1798.140(ag)에 정의된 귀하의 "서비스 제공자"입니다. 당사는 다음을 하지 않습니다:

  • 귀하가 당사에 제공한 개인 정보를 판매하거나 공유(CCPA에서 정의된 의미)하지 않습니다;
  • 본 DPA 및 계약에 명시된 사업 목적 이외의 어떠한 목적으로도, 또는 CCPA에서 허용하는 경우를 제외하고는 개인 정보를 보존, 이용 또는 공개하지 않습니다;
  • 귀하와 당사 간의 직접적인 사업 관계 밖에서 개인 정보를 보존, 이용 또는 공개하지 않습니다;
  • CCPA에서 허용하는 경우를 제외하고, 귀하로부터 받은 개인 정보를 다른 개인으로부터 또는 그를 대신하여 받거나 소비자와의 자체 상호작용에서 수집하는 개인 정보와 결합하지 않습니다.

당사는 섹션 2.2에 설명된 바와 같이, 관련 제품 추천을 제공하기 위해 귀하의 웹사이트 콘텐츠에서 일반적이고 비식별적인 비즈니스 특성(예: 산업 분류)을 도출할 수 있습니다. 이 제한된 사용은 CCPA의 의미에서 개인 정보의 판매, 공유 또는 결합에 해당하지 않습니다.

당사는 이러한 제한 사항을 이해하고 준수할 것을 확인합니다.

2.6 스위스 FADP 대리인 평가

스위스 연방 데이터 보호법("FADP") 제14조는 비스위스 민간 관리자가 스위스에 대리인을 지정하도록 요구하는데, 이는 다음의 네 가지 누적 조건이 모두 충족되는 경우에만 해당합니다: (1) 처리가 스위스 내 사람들에게 상품이나 서비스를 제공하거나 그들의 행동을 모니터링하는 것과 관련이 있는 경우; (2) 처리가 대규모인 경우; (3) 처리가 정기적으로 이루어지는 경우; (4) 처리가 데이터 주체의 인격권 또는 기본권에 높은 위험을 초래하는 경우.

당사는 이러한 조건들에 비추어 처리 활동을 평가한 결과, 조건 (1)과 (3)이 충족되지만 나머지 조건은 다음과 같은 이유로 충족되지 않는다고 판단했습니다:

  • 대규모 아님: 당사는 소규모 SaaS 플랫폼입니다. 당사 서비스를 통해 처리되는 스위스 거주자의 개인 데이터 양은 제한적이며 FADP 제14조의 의미에서 대규모 처리에 해당하지 않습니다.
  • 높은 위험 아님: 당사가 웹사이트 운영자를 대신하여 처리하는 개인 데이터는 주로 가명처리된 분석 식별자(일별 교체 해시), 기본 방문자 메타데이터(국가, 기기 유형, 브라우저), 양식 제출 내용 및 챗봇 메시지로 구성됩니다. 당사는 특수 범주의 개인 데이터(FADP 제5조(c))를 처리하지 않으며, 데이터 주체에게 높은 위험이 되는 프로파일링도 수행하지 않습니다. 스위스 연방 데이터 보호·정보 위원("FDPIC")은 이 의무가 주로 해외에서 운영되는 대형 인터넷 플랫폼 및 소셜 네트워크를 대상으로 한다고 밝혔으며, 이는 당사 서비스에는 해당하지 않습니다.

이 평가를 바탕으로 당사는 현재 FADP 제14조에 따라 스위스에 대리인을 지정할 의무가 없다고 결론지었습니다. 당사는 스위스 거주자에게 영향을 미치는 처리 활동의 규모나 성격에 중요한 변화가 있는 경우를 포함하여 이 결정을 주기적으로 재검토할 것입니다.

3. 데이터 처리 세부 사항

3.1 대상 및 기간

본 DPA에 따른 개인 데이터 처리는 계약에 설명된 서비스를 제공하기 위한 목적으로 수행되며 계약 기간 동안 지속됩니다.

3.2 처리의 성격 및 목적

당사는 다음을 위해 개인 데이터를 처리합니다:

  • 귀하의 웹사이트 콘텐츠 호스팅 및 제공
  • 귀하 웹사이트의 양식 및 대화형 기능을 통해 제출된 데이터의 저장 및 관리
  • 귀하 웹사이트의 보호 영역에 대한 사용자 계정 및 세션 유지
  • 귀하를 대신한 이메일 통신 발송
  • 귀하의 커스텀 도메인 이메일 주소로 수신된 이메일 전달
  • 귀하의 웹사이트 방문자와의 AI 챗봇 대화 지원
  • 업로드된 파일에 대한 AI 기반 설명 및 메타데이터 생성
  • 업로드된 파일을 웹 최적화 형식으로 변환
  • 방문자 분석 제공
  • 관련 플랫폼 추천을 제공하기 위한 일반적인 웹사이트 특성(예: 산업 또는 비즈니스 유형) 도출
  • 스팸 및 남용 탐지 및 방지(작업 증명 봇 챌린지 포함)
  • 업로드된 파일에 대한 콘텐츠 모더레이션 수행
  • 플랫폼 콘텐츠 정책 준수를 위한 게시 중 웹사이트 콘텐츠 검토
  • 웹사이트 이메일 수신자를 위한 이메일 수신 거부 설정 관리
  • WebSocket 연결을 통한 귀하 웹사이트의 실시간 채널 통신 지원(메시지는 일시적이며 저장되지 않음)
  • 플랫폼 안정성 및 문제 해결을 위한 오류 및 진단 로그 유지(IP 주소 및 요청 메타데이터 포함 가능; 최대 30일 보존)

3.3 개인 데이터의 유형

처리되는 개인 데이터의 유형은 귀하가 웹사이트를 통해 수집하는 내용에 따라 다르며, 다음이 포함될 수 있습니다:

  • 이름 및 연락처 정보
  • 이메일 주소
  • 메시지 및 양식 제출 내용
  • 웹사이트 방문자가 제출한 파일 업로드(이미지 및 문서 등)
  • 챗봇 대화 내용(방문자 메시지 및 AI 응답)
  • 사용자 계정 자격 증명(해시 형태로 저장)
  • 세션 데이터
  • IP 주소(분석에는 저장되지 않으며 일별 교체 해시만 저장됨; 양식 제출 및 챗봇 대화와 함께 메타데이터로 저장됨; 봇 챌린지 검증을 위해 일시적으로 사용되고 해시 처리됨; 속도 제한을 위해 최대 7일 동안 일시적으로 저장된 후 자동 삭제됨)
  • 브라우저 및 기기 정보
  • 위치 데이터(IP에서 파생된 국가 및 지역 수준)
  • 이메일 수신 거부 기록 (수신자 이메일 주소의 암호화 해시로 저장; 원시 형태로 저장되지 않음)
  • 스팸 분류 결과(제출이 스팸으로 판정되었는지 여부)
  • 오류 및 진단 로그 데이터(IP 주소, 요청 경로 및 오류 세부 정보; 최대 30일 보존 후 자동 삭제)

3.4 데이터 주체의 범주

  • 귀하의 웹사이트 방문자
  • 귀하의 웹사이트에 계정을 생성한 사용자
  • 귀하의 웹사이트에서 양식을 제출하거나 챗봇과 상호작용한 사용자
  • 귀하의 웹사이트에 댓글, 리뷰 또는 기타 기여를 제출한 사용자

4. 처리자의 의무

당사는 다음을 이행합니다:

  1. 적용 법률에 의해 요구되는 경우를 제외하고, 귀하의 문서화된 지침에 따라서만 개인 데이터를 처리합니다(법적 요구 사항이 있는 경우, 법에 의해 금지되지 않는 한 처리 전에 해당 법적 요건을 귀하에게 고지합니다);
  2. 개인 데이터를 처리하도록 승인된 자가 기밀 유지 의무를 약속했거나 적절한 법정 기밀 유지 의무를 부담하고 있음을 보장합니다;
  3. 제9조에 설명된 바와 같이 적절한 기술적·조직적 보안 조치를 시행합니다;
  4. 제6조에 규정된 하위 처리자 참여 조건을 준수합니다;
  5. 처리의 성격을 고려하여, 해당 데이터 보호법에 따른 권리를 행사하는 데이터 주체의 요청에 응답하는 데 귀하를 지원합니다;
  6. 처리의 성격과 당사가 이용할 수 있는 정보를 고려하여, GDPR 제32조-제36조(보안, 침해 통지, 데이터 보호 영향 평가 및 사전 협의)에 따른 귀하의 의무 이행을 지원합니다. 귀하의 서비스 이용이 데이터 보호 영향 평가(DPIA)가 필요할 수 있는 고위험 처리를 포함하는 경우, 당사는 귀하의 평가를 지원하기 위해 당사의 처리 활동, 기술적·조직적 조치 및 하위 처리자에 관한 정보를 제공합니다;
  7. 귀하를 대신하여 수행되는 자동화 처리(콘텐츠 모더레이션, 스팸 탐지 및 봇 보호 포함)에 관한 정보를 제공하고, 요청 시 자동화된 결정에 대한 인간 검토를 용이하게 함으로써 GDPR 제22조(자동화된 개별 의사결정)에 따른 귀하의 의무 이행을 지원합니다;
  8. 귀하의 지침이 해당 데이터 보호법을 위반한다고 판단될 경우 귀하에게 고지합니다;
  9. 귀하의 선택에 따라, 서비스 제공 종료 후 모든 개인 데이터를 삭제하거나 반환하며, 적용 법률에 의해 저장이 요구되지 않는 한 기존 사본을 삭제합니다;
  10. 본 DPA에 규정된 의무 준수를 입증하는 데 필요한 모든 정보를 귀하에게 제공하고, 제11조에 설명된 바와 같이 준수 확인에 협력합니다.

5. 관리자의 의무

귀하는 다음을 이행합니다:

  1. 귀하의 웹사이트를 통한 개인 데이터의 수집 및 처리가 모든 해당 데이터 보호법을 준수하도록 합니다;
  2. 플랫폼 수준의 분석, AI 기반 챗봇 상호작용, 스팸 탐지 및 봇 보호 공개를 포함하여 귀하의 데이터 수집 관행을 설명하는 적절한 개인정보 고지를 웹사이트 방문자에게 제공합니다;
  3. 귀하의 웹사이트를 통한 개인 데이터 처리에 필요한 모든 동의를 얻거나 다른 적법한 근거를 확립합니다;
  4. 개인 데이터 처리에 관한 당사에 대한 귀하의 지침이 해당 데이터 보호법을 준수하도록 합니다;
  5. 귀하의 웹사이트를 통해 당사에 제공된 개인 데이터의 정확성, 품질 및 적법성에 대해 책임을 집니다.

서비스를 이용함으로써, 귀하는 표준 플랫폼 운영의 일환으로 당사가 귀하를 대신하여 다음 처리 활동을 수행하도록 지시합니다: 업로드된 파일의 콘텐츠 모더레이션, 게시된 웹사이트 콘텐츠의 콘텐츠 정책 검토, 양식 제출에 대한 스팸 탐지, 작업 증명 챌린지를 통한 봇 보호, 웹사이트 방문자와의 AI 기반 챗봇 상호작용. 이러한 활동들은 GDPR 제28조(3)(a)에 따른 문서화된 지침입니다.

6. 하위 처리자

6.1 승인된 하위 처리자

귀하는 서비스 제공을 지원하기 위해 당사가 하위 처리자를 참여시키는 것에 대한 일반적인 승인을 제공합니다. 현재 당사의 하위 처리자는 아래 및 https://www.acira.ai/dpa에 나열되어 있습니다.

6.2 현재 하위 처리자 목록

하위 처리자 목적 위치
Amazon Web Services (AWS) 클라우드 인프라, 컴퓨팅, 스토리지, 데이터베이스, 이메일 전송, 도메인 등록, 콘텐츠 관리, 언어 감지 및 AI 추론(자체 및 타사 모델을 모두 실행할 수 있으며, 모델 출처에 관계없이 모든 처리는 AWS 인프라에서 이루어짐). EU 거주 웹사이트 운영자의 경우 자동화된 방문자 대면 작업(콘텐츠 제출 알림 및 거래 이메일 전송)은 유럽연합(스톡홀름)에서 처리됩니다. 미국 및 유럽연합(스톡홀름)
Cloudflare 엣지 호스팅, CDN, DNS, SSL, 웹사이트 제공, 영구 스토리지, 분석, 봇 보호, AI 기반 스팸 탐지 및 AI 챗봇 추론(Cloudflare 인프라에서 제3자 모델 실행; 모델 개발자는 사용자 데이터를 수신하지 않음). EU 거주 웹사이트 운영자의 경우, 영구 스토리지는 관할권상 유럽연합으로 제한됩니다. 전 세계(EU 계정의 경우 EU 관할권 스토리지)
Stripe 결제 처리, 구독 관리, 청구 미국
Fireworks AI AI 텍스트 생성, 대화형 AI, 콘텐츠 생성 미국
xAI AI 이미지 생성 미국
BrightData 공개 웹 데이터 수집(웹사이트 생성 시 사용자 지원용), SERP 키워드 추적(해당 플랜용) 이스라엘 / 글로벌
Black Forest Labs AI 이미지 생성 유럽연합(독일)
ScreenshotOne 웹사이트 스크린샷 캡처 유럽연합
CloudConvert 파일 형식 변환 유럽연합(독일)

6.3 하위 처리자 변경

새로운 하위 처리자가 개인 데이터 처리를 시작하기 최소 14일 전에 https://www.acira.ai/dpa의 하위 처리자 목록을 업데이트하여 현재 사용 중인 서비스에 대한 하위 처리자 목록의 변경 사항을 통지해 드립니다. 추가 하위 처리자가 관련된 새로운 기능이나 서비스를 도입할 때, 해당 하위 처리자는 기능이나 서비스가 제공되는 시점에 공개되며, 새로운 기능이나 서비스를 사용하는 것은 공개된 하위 처리자에 대한 동의로 간주됩니다. 변경 사항에 대해 하위 처리자 목록을 정기적으로 검토하는 것은 귀하의 책임입니다. 기존 서비스에 대한 데이터를 처리하는 새로운 하위 처리자에 대해 합리적인 이의가 있는 경우, 변경 사항이 게시된 후 14일 이내에 서면으로 통지할 수 있습니다. 당사는 귀하의 우려 사항을 해결하기 위해 성실하게 협력할 것입니다. 귀하가 합리적으로 만족할 수 있는 방식으로 이의를 해결할 수 없는 경우, 서면 통지를 통해 계약을 해지할 수 있습니다.

6.4 하위 처리자 의무

당사는 각 하위 처리자와 본 DPA에 규정된 것보다 낮지 않은 수준의 데이터 보호 의무를 부과하는 서면 계약을 체결합니다. 당사는 서비스를 직접 수행할 경우와 동일한 범위 내에서 하위 처리자의 행위 및 부작위에 대해 책임을 집니다.

7. 국제 데이터 이전

7.1 이전 메커니즘

서비스는 주로 미국에서 호스팅됩니다. 서비스를 통해 처리된 개인 데이터는 미국 및 당사 하위 처리자가 운영하는 기타 국가로 이전되고 처리될 수 있습니다. AI 추론 제공업체(Fireworks AI 및 xAI)는 미국에서 데이터를 처리합니다. BrightData는 이스라엘 및 전 세계 기타 지역에서 데이터를 처리할 수 있습니다. Cloudflare는 전 세계 엣지 위치에서 데이터를 처리합니다.

EU 데이터 거주: EU 거주자로 식별된 웹사이트 운영자의 경우, 유럽연합 외부로의 방문자 개인 데이터 전송을 최소화하기 위해 다음과 같은 데이터 거주 조치를 적용합니다:

  • 저장: 영구 에지 스토리지의 방문자 데이터 — 양식 제출, 챗봇 대화, 세션 데이터 및 사용자 테이블 데이터 포함 — 는 유럽연합으로 제한됩니다. 이 데이터는 EU 데이터 센터에만 저장됩니다.
  • 자동화된 방문자 대면 처리: 방문자 활동에 의해 자동으로 트리거되는 작업 — 콘텐츠 제출 알림 및 거래 이메일 전송 포함 — 은 유럽연합 내에서 처리되며 미국 인프라를 거치지 않습니다.
  • 플랫폼 관리 접근: 플랫폼 대시보드 또는 대화 인터페이스를 통해 웹사이트의 방문자 데이터에 접근할 때(예: 양식 제출 조회 또는 사용자 기록 관리), 이 데이터는 요청을 이행하기 위해 미국 기반 인프라를 통해 처리될 수 있습니다. 이러한 전송은 온디맨드로, 귀하(컨트롤러)에 의해 시작되며, 아래에 설명된 전송 메커니즘 및 보충 조치에 의해 보호됩니다.
  • 기타 미국 기반 처리: 분석 데이터 및 콘텐츠 관리와 AI 추론을 위해 미국 기반 클라우드 인프라에서 처리된 데이터는 아래 전송 메커니즘에 따라 여전히 미국으로 전송될 수 있습니다.

EEA, 영국 또는 스위스에서 적절한 수준의 데이터 보호를 제공하지 않는 것으로 인정된 국가로의 개인 데이터 이전에 대해 당사는 다음에 의존합니다:

  1. 표준 계약 조항(SCC): 당사는 유럽 위원회의 표준 계약 조항을 본 DPA에 참조로 통합합니다: 당사가 공동 관리자로 행동하는 분석 데이터의 경우 모듈 1(관리자 간), 귀하를 대신하여 처리되는 기타 모든 개인 데이터의 경우 모듈 2(관리자에서 처리자로). SCC는 https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en에서 확인할 수 있습니다.
  2. 영국 국제 데이터 이전 부속 계약: 영국으로부터의 이전의 경우, EU SCC에 대한 영국 부속 계약이 적용됩니다.
  3. 스위스 데이터 이전 메커니즘: 스위스로부터의 이전의 경우, 스위스 FADP가 요구하는 수정 사항을 적용한 SCC가 적용됩니다.

7.2 보완적 조치

당사는 이전된 개인 데이터를 보호하기 위해 다음과 같은 보완적 조치를 시행합니다:

  • 전송 중(TLS/SSL) 및 정지 중 데이터 암호화
  • 접근 통제 및 인증 메커니즘
  • 정기적인 보안 평가
  • 데이터 최소화 관행(예: 원시 IP 저장 대신 일별 교체 방문자 해시)
  • EU 거주 웹사이트 운영자를 위한 관할 데이터 거주(영구 저장 및 자동화된 방문자 대상 처리가 EU로 제한)
  • EU 거주 웹사이트 운영자를 위한 자동화된 방문자 대면 작업을 위한 EU 기반 컴퓨팅 및 이메일 인프라(콘텐츠 제출 알림 및 거래 이메일 전송이 유럽연합에서 처리됨)

7.3 이전 영향 평가

이러한 보완적 조치는 이전되는 데이터의 성격, 적용된 이전 메커니즘, 시행 중인 기술적·조직적 안전 장치를 고려하여 목적지 국가의 법률 및 관행에 대한 당사의 평가를 바탕으로 합니다. 당사는 위에 설명된 보완적 조치가 SCC의 약속과 함께 이전된 개인 데이터에 대한 적절한 수준의 보호를 제공한다고 평가했습니다. 당사의 이전 영향 평가는 https://www.acira.ai/tia에서 확인할 수 있습니다.

7.4 캐나다 데이터 이전

캐나다로부터의 개인 데이터 이전에 대해 당사는 개인정보 보호 및 전자 문서법(PIPEDA) 및 적용 가능한 주 개인정보 보호 법률(앨버타주 PIPA, 브리티시컬럼비아주 PIPA, 퀘벡주 민간 부문의 개인정보 보호에 관한 법률 포함)에 따라 요구되는 것과 동등한 수준의 보호를 캐나다 밖으로 이전된 개인 데이터가 받을 수 있도록 하기 위한 다음과 같은 안전 장치에 의존합니다:

  1. 계약적 보호: 적절한 보안 안전 장치, 이용 제한, 침해 통지 및 데이터 주체 접근 요건을 포함하여 캐나다 개인정보 보호법에 부합하는 수준으로 개인 데이터를 보호할 의무를 부과하는 각 하위 처리자와의 서면 데이터 처리 계약.
  2. 기술적 안전 장치: 제7.2조에 설명된 동일한 암호화, 가명처리, 접근 통제 및 데이터 최소화 조치가 캐나다 데이터 이전에도 적용됩니다.
  3. 조직적 안전 장치: 본 DPA에 설명된 하위 처리자 실사, 직원 기밀 유지 의무 및 문서화된 사고 대응 절차.

당사는 제안된 소비자 개인정보 보호법(CPPA)을 포함한 캐나다 개인정보 보호법의 발전을 모니터링하고 필요에 따라 이전 메커니즘을 업데이트합니다.

8. 데이터 주체의 권리

8.1 요청 지원

당사는 접근권, 정정권, 삭제권, 처리 제한권, 이동권 및 이의 제기권을 포함하여 해당 데이터 보호법에 따른 권리를 행사하는 데이터 주체의 요청에 응답하는 데 귀하를 지원합니다.

8.2 통지

당사가 귀하를 대신하여 처리되는 개인 데이터와 관련하여 데이터 주체로부터 직접 요청을 받은 경우, 귀하에게 즉시 통지하고 적용 법률에 의해 요구되는 경우를 제외하고 귀하의 지침 없이 요청에 응답하지 않습니다.

8.3 플랫폼 도구

당사는 귀하가 데이터 주체 요청을 이행하는 데 도움이 되는 서비스 내 도구를 제공합니다:

  • 귀하 웹사이트 데이터베이스에 저장된 데이터의 접근 및 관리
  • 귀하 웹사이트 데이터베이스에서 개별 레코드 삭제
  • 요청 시, 데이터 이동 의무 이행을 지원하기 위해 ZIP 형식의 데이터 내보내기 제공

9. 데이터 보안

9.1 보안 조치

당사는 무단 또는 불법적인 처리와 우발적인 손실, 파괴 또는 손상으로부터 개인 데이터를 보호하기 위해 적절한 기술적·조직적 조치를 시행하고 유지합니다. 이러한 조치에는 다음이 포함됩니다:

  • 암호화: TLS/SSL을 통한 전송 중 데이터 암호화 및 업계 표준 암호화를 사용한 정지 중 데이터 암호화
  • 접근 통제: 역할 기반 접근 통제, 플랫폼 관리를 위한 다중 인증, 최소 권한 접근 정책
  • 인프라 보안: 자동화된 보안 패치, DDoS 보호 및 웹 애플리케이션 방화벽(WAF)을 갖춘 관리형 클라우드 인프라
  • 데이터 격리: 전용 스토리지 인스턴스를 통한 웹사이트별 데이터 격리
  • 모니터링: 자동화된 보안 모니터링, 침입 탐지 및 구조화된 로깅
  • 자격 증명 보안: 전용 비밀 관리 서비스에 저장된 모든 API 키 및 비밀; 사용자별 솔트와 함께 강력한 암호화 알고리즘을 사용하여 해시 처리된 사용자 비밀번호
  • 봇 보호: 자동화된 남용을 방지하기 위한 작업 증명 챌린지 시스템

9.2 기밀성

당사는 개인 데이터를 처리하도록 승인된 모든 직원이 기밀 유지 의무에 구속됨을 보장합니다.

10. 데이터 침해 통지

10.1 관리자에 대한 통지

당사는 귀하를 대신하여 처리되는 개인 데이터에 영향을 미치는 개인 데이터 침해를 확인한 후 부당한 지체 없이 귀하에게 통지합니다. 통지는 귀하의 계정과 연결된 연락처 정보로 발송됩니다.

10.2 통지 내용

당사의 침해 통지에는 이용 가능한 범위 내에서 다음이 포함됩니다:

  1. 관련 데이터 주체 및 레코드의 범주 및 대략적인 수를 포함한 침해 성격에 대한 설명;
  2. 당사 데이터 보호 담당자의 이름 및 연락처 정보;
  3. 침해의 예상되는 결과에 대한 설명;
  4. 침해를 해결하고 그 영향을 완화하기 위해 취했거나 제안된 조치에 대한 설명.

10.3 귀하의 의무

귀하는 해당 데이터 보호법에서 요구하는 바에 따라 관련 감독 기관 및 영향을 받는 데이터 주체에게 개인 데이터 침해를 통지할 책임이 있습니다. 당사는 귀하가 침해 통지 의무를 준수할 수 있도록 협력하고 합리적인 지원을 제공합니다.

11. 감사 및 준수 확인

11.1 준수 문서

본 DPA 준수를 입증하기 위해, 합리적인 서면 요청 시(연 1회까지) 다음을 제공합니다:

  1. 관련 제3자 감사 보고서, 인증서 또는 보안 평가 요약;
  2. 현재 기술적 및 조직적 보안 조치의 요약;
  3. 당사의 처리 활동, 하위 처리자 및 데이터 보호 관행에 대한 정보.

제3자 인프라 제공업체(AWS 및 Cloudflare 등)에 의존하는 경우, 해당 업체의 보안 인증 및 준수 문서는 각 신뢰 및 준수 프로그램을 통해 이용 가능합니다.

11.2 추가 문의

제11.1항에 따라 제공된 문서가 귀하의 준수 우려를 합리적으로 해결하지 못하는 경우, 당사의 데이터 보호 관행에 관한 구체적인 서면 질문을 제출할 수 있으며, 합리적인 기간 내에 답변해 드리겠습니다.

12. 데이터 보존 및 삭제

12.1 계약 기간 중

당사는 계약 기간 동안 귀하를 대신하여 처리된 개인 데이터를 보존하며, 서비스를 통한 귀하의 지침에 따릅니다. 방문자 데이터의 구체적인 보존 기간은 다음과 같습니다:

  • 귀하의 웹사이트에서의 챗봇 대화: 각 대화의 마지막 상호작용으로부터 30일 동안 보존됩니다. 대화는 웹사이트의 엣지 인프라에 방문자 세션 내에 저장되며 비활동으로 인해 세션이 만료되면 자동으로 삭제됩니다.
  • 귀하의 웹사이트의 양식 제출 및 사용자 생성 콘텐츠: 귀하가 플랫폼 도구를 통해 더 일찍 삭제하지 않는 한 관련 웹사이트의 존속 기간 동안 보존됩니다.
  • 귀하의 웹사이트 방문자의 세션 데이터: 30일 비활동 후 자동으로 삭제됩니다.
  • 삭제된 방문자 콘텐츠(귀하의 웹사이트의 양식 제출, 댓글 및 기타 사용자 생성 콘텐츠): 귀하가 플랫폼 도구를 통해 방문자 콘텐츠를 삭제하면 소프트 삭제 상태로 이동되어 복구를 지원하기 위해 최대 30일 동안 보존됩니다. 이 기간이 지나면 소프트 삭제된 콘텐츠는 영구적으로 제거됩니다. 복구 대기열에서 삭제하여 즉시 영구적으로 삭제할 수 있습니다.
  • 웹사이트의 이메일 수신 거부 기록: 수신자가 재구독하지 않는 한 관련 웹사이트의 기간 동안 보존됩니다. 웹사이트가 파괴되면 수신 거부 기록이 삭제됩니다.
  • 분석 데이터: 관련 웹사이트의 존속 기간 동안 보존됩니다(플랜 기반 보존 제한에 따름; 무료 플랜 분석 데이터는 90일 동안 보존됩니다).

12.2 해지 시

계약 해지 시 또는 귀하의 요청에 따라, 당사는 계약에 설명된 데이터 보존 관행(계정 및 웹사이트 삭제에 대한 7일 유예 기간 포함)에 따라 귀하를 대신하여 처리된 개인 데이터를 삭제합니다. 유예 기간 후 삭제는 영구적이며 취소할 수 없습니다.

12.3 예외

당사는 적용 법률에서 요구하거나 데이터가 익명화되어 데이터 주체와 더 이상 연결될 수 없는 경우에 한해 개인 데이터를 보존할 수 있습니다.

13. 기간 및 해지

본 DPA는 귀하가 계약에 동의한 날부터 효력이 발생하며 당사가 귀하를 대신하여 개인 데이터를 처리하는 한 계속 유효합니다. 본 DPA에 규정된 기밀 유지 및 데이터 보호 의무는 계약 해지 후에도 존속합니다.

14. 책임의 제한

본 DPA에 따른 각 당사자의 책임은 계약에 규정된 책임 제한에 따릅니다.

15. 문의하기

본 DPA에 관한 문의 또는 권리 행사를 위해 다음으로 연락하십시오:

Acira AI LLC
수신: 데이터 보호 담당
11500 S Eastern Ave, Suite 150
Henderson, NV 89052
United States

전화: 888-389-1189
이메일: legal@acira.ai

귀하의 개인정보, 우리의 최우선

우리는 귀하의 데이터를 판매하지 않으며, 추적 쿠키를 사용하지 않습니다 — 그래서 여기에서 쿠키 배너를 볼 수 없습니다. 우리는 Global Privacy Control을 존중하며, EU 고객의 경우 방문자 데이터는 유럽 연합 내에서만 저장 및 처리됩니다.

데이터 보호 방법 알아보기
GDPR Art 27 representationUK-GDPR Art 27 representationDSA representation
Acira AI

AI로 아름다운 웹사이트를 구축하세요. 코딩 필요 없음.

미국에서 자랑스럽게 개발

회사
가격기능소개비교신뢰 및 개인정보 보호
법적 정보
개인정보 처리방침이용약관허용 사용데이터 처리전송 영향 평가
데이터 처리전송 영향 평가

© 2026 Acira AI LLC. All rights reserved.