GDPR: 일반 데이터 보호 규정

이 페이지는 RapidFoundry LTD("우리", "저희", "당사")가 규정 (EU) 2016/679, 일반 데이터 보호 규정("GDPR")을 준수하는 방법을 설명합니다. 이 성명서는 당사의 데이터 보호 관행에 대한 투명성을 제공하기 위한 것이며, 당사가 수집하는 특정 개인 데이터와 그 사용 방법을 자세히 설명하는 개인정보 보호정책과 함께 읽어야 합니다.

GDPR 준수에 대한 당사의 약속

RapidFoundry LTD는 개인 데이터 처리와 관련하여 자연인의 기본권과 자유를 보호하기 위해 최선을 다하고 있습니다. EU 기반 Software-as-a-Service 제공업체로서, 당사는 모든 운영 측면에서 GDPR을 완전히 준수하기 위한 포괄적인 조치를 구현했습니다.

당사는 데이터 보호가 단순한 법적 의무가 아니라 당사 조직, 고객 및 당사가 처리하는 데이터의 개인 간의 신뢰의 초석임을 인식합니다. 당사의 규정 준수 프로그램은 진화하는 규제 지침과 모범 사례를 반영하기 위해 지속적인 검토 및 개선의 대상입니다.

역할: 데이터 컨트롤러 및 데이터 프로세서

당사가 데이터 컨트롤러로 행동하는 경우

GDPR 제4조(7)에 따라, RapidFoundry LTD는 개인 데이터 처리의 목적과 수단을 결정할 때 데이터 컨트롤러로 행동합니다. 여기에는 다음이 포함됩니다:

  • 웹사이트 방문자의 개인 데이터 처리
  • 고객과의 계정 및 관계 관리
  • 직원 및 구직자 데이터 처리
  • 마케팅 및 커뮤니케이션 활동 수행
  • 결제 및 계약 관련 사항 관리

데이터 컨트롤러로서, 당사는 처리 활동이 GDPR 요구 사항을 준수하고 데이터 주체 요청에 응답하는 전적인 책임을 집니다.

당사가 데이터 프로세서로 행동하는 경우

GDPR 제4조(8)에 따라, RapidFoundry LTD는 SaaS 플랫폼 제공과 관련하여 고객을 대신하여 개인 데이터를 처리할 때 데이터 프로세서로 행동합니다. 이 역할에서:

  • 고객은 당사 플랫폼에 업로드하거나 처리하는 개인 데이터에 대한 데이터 컨트롤러로 남습니다
  • 당사는 고객의 문서화된 지시에 따라 엄격하게 해당 데이터를 처리합니다
  • 당사는 모든 고객과 적절한 데이터 처리 계약을 유지합니다
  • 당사는 계약된 서비스 제공에 필요한 것 이상으로 자체 목적을 위해 고객 데이터를 사용하지 않습니다

적법한 처리 원칙(GDPR 제5조)

RapidFoundry LTD는 GDPR 제5조에 명시된 데이터 보호 원칙을 준수합니다. 모든 개인 데이터 처리 활동은 다음 원칙에 따라 수행됩니다:

적법성, 공정성 및 투명성

당사는 개인 데이터를 적법하고, 공정하며, 투명한 방식으로 처리합니다. 개인은 개인정보 보호정책 및 기타 적용 가능한 통지를 통해 자신의 데이터가 어떻게 처리되는지에 대해 정보를 제공받습니다.

목적 제한

개인 데이터는 명시되고, 명확하며, 정당한 목적으로 수집되며, 해당 목적과 양립할 수 없는 방식으로 추가 처리되지 않습니다.

데이터 최소화

당사는 처리되는 개인 데이터가 처리 목적과 관련하여 적절하고, 관련성이 있으며, 필요한 것으로 제한되도록 보장합니다.

정확성

당사는 개인 데이터가 정확하고, 필요한 경우 최신 상태로 유지되도록 합리적인 조치를 취합니다. 부정확한 데이터는 지체 없이 삭제되거나 수정됩니다.

보관 제한

개인 데이터는 수집된 목적을 달성하는 데 필요한 기간 동안만 보관되며, 해당 법적 보관 요구 사항에 따릅니다.

무결성 및 기밀성

당사는 개인 데이터의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 구현하며, 여기에는 무단 또는 불법 처리로부터의 보호와 우발적 손실, 파괴 또는 손상으로부터의 보호가 포함됩니다.

책임성

당사는 위의 원칙 및 모든 적용 가능한 GDPR 요구 사항을 준수함을 입증하기 위한 문서 및 기록을 유지합니다.

처리의 법적 근거

GDPR 제6조에 따라, RapidFoundry LTD는 유효한 법적 근거가 확인된 경우에만 개인 데이터를 처리합니다. 당사가 의존하는 법적 근거는 다음과 같습니다:

  • 계약적 필요성(제6조(1)(b)): 데이터 주체와의 계약 이행 또는 그들의 요청에 따라 계약 전 단계를 취하는 데 필요한 처리
  • 법적 의무(제6조(1)(c)): 당사가 적용 받는 법적 의무를 준수하는 데 필요한 처리
  • 정당한 이익(제6조(1)(f)): 데이터 주체의 권리와 자유에 의해 무시되지 않는 한, 당사 또는 제3자가 추구하는 정당한 이익을 위해 필요한 처리
  • 동의(제6조(1)(a)): 데이터 주체가 하나 이상의 특정 목적을 위한 처리에 명시적 동의를 제공한 경우

당사가 특별 범주의 개인 데이터를 처리하는 경우, GDPR 제9조에 따른 추가 조건이 충족되도록 보장합니다. 특정 처리 활동에 적용되는 구체적인 법적 근거에 관한 세부 사항은 당사의 개인정보 보호정책에 명시되어 있습니다.

데이터 처리 계약

GDPR 제28조에 따라, RapidFoundry LTD는 당사가 컨트롤러-프로세서 관계를 맺고 있는 모든 당사자와 데이터 처리 계약("DPA")을 체결합니다.

고객과의 DPA

당사가 고객을 대신하여 데이터 프로세서로 행동할 때, 당사는 GDPR 제28조(3)의 모든 요구 사항을 다루는 포괄적인 DPA를 제공하며, 여기에는 다음이 포함됩니다:

  • 처리의 주제, 기간, 성격 및 목적
  • 처리되는 개인 데이터의 유형 및 데이터 주체의 범주
  • 컨트롤러의 의무 및 권리
  • 문서화된 지시에 따라서만 데이터를 처리하겠다는 약속
  • 직원에 대한 기밀 유지 의무
  • 구현된 보안 조치
  • 하위 프로세서 참여 조건
  • 데이터 주체 권리 및 규정 준수 의무 지원
  • 계약 종료 시 데이터 삭제 또는 반환
  • 감사 및 검사 권리

당사의 표준 DPA는 요청 시 제공되며 서비스 약관의 일부를 구성합니다.

하위 프로세서와의 DPA

당사는 모든 하위 프로세서와 DPA를 유지하며, 이는 고객과의 계약에 포함된 데이터 보호 의무를 충족하거나 초과하여 처리 체인 전체에 걸쳐 동일한 수준의 보호를 보장합니다.

하위 프로세서 및 공급업체 관리

RapidFoundry LTD는 서비스 제공을 지원하기 위해 제3자 하위 프로세서를 참여시킵니다. 당사는 모든 하위 프로세서가 데이터 보호 표준을 충족하도록 엄격한 공급업체 관리 프로그램을 유지합니다.

하위 프로세서 실사

하위 프로세서를 참여시키기 전에, 당사는 다음을 포함한 그들의 데이터 보호 관행에 대한 철저한 평가를 수행합니다:

  • 보안 인증 및 감사 보고서 검토
  • 기술적 및 조직적 조치 평가
  • 해당되는 경우 데이터 전송 메커니즘 평가
  • GDPR 준수 능력 확인

하위 프로세서 목록

당사는 요청 시 또는 고객 포털을 통해 고객에게 제공되는 현재 하위 프로세서 목록을 유지합니다. 이 목록에는 각 하위 프로세서의 신원, 위치 및 처리 활동이 포함됩니다.

하위 프로세서 변경

DPA 약관에 따라, 당사는 하위 프로세서에 대한 의도된 변경 사항을 고객에게 사전에 통지하여 합리적인 데이터 보호 근거로 그러한 변경에 이의를 제기할 기회를 제공합니다.

국제 데이터 전송 및 보호 조치

RapidFoundry LTD는 유럽 연합에 본사를 두고 있습니다. 개인 데이터가 유럽 경제 지역("EEA") 외부로 전송되는 경우, 당사는 GDPR 제5장(제44-49조)에 따라 적절한 보호 조치가 마련되도록 보장합니다.

전송 메커니즘

당사는 국제 데이터 전송을 합법화하기 위해 다음 메커니즘에 의존합니다:

  • 적정성 결정(제45조): 유럽 위원회로부터 적정성 결정을 받은 국가로의 전송
  • 표준 계약 조항(제46조(2)(c)): 당사는 적정성 결정이 없는 국가로의 전송을 위해 위원회 이행 결정(EU) 2021/914에 따라 채택된 유럽 위원회의 표준 계약 조항("SCCs")을 활용합니다
  • 보완 조치: 전송 영향 평가 후 필요한 경우, 본질적으로 동등한 수준의 보호를 보장하기 위해 추가적인 기술적, 계약적, 조직적 조치를 구현합니다

전송 영향 평가

SCCs에 의존하는 전송의 경우, 당사는 수신국의 법적 프레임워크가 적절한 보호를 보장하는지 평가하기 위해 전송 영향 평가를 수행합니다. 이러한 평가는 관련 법률, 공공 기관의 접근, 데이터 주체 권리의 효과를 고려합니다.

EU-미국 데이터 개인정보 프레임워크

해당되는 경우, 당사는 2023년 7월 10일 유럽 위원회의 적정성 결정에 따라 인증된 미국 조직으로의 전송을 위해 EU-미국 데이터 개인정보 프레임워크에 의존할 수 있습니다.

기술적 및 조직적 조치

GDPR 제24조 및 제32조에 따라, RapidFoundry LTD는 당사의 처리 활동이 제시하는 위험에 적합한 수준의 보안을 보장하기 위해 적절한 기술적 및 조직적 조치를 구현합니다.

기술적 조치

  • 암호화: 저장 및 전송 중인 데이터는 업계 표준 암호화 프로토콜(AES-256 및 TLS 1.2+)을 사용하여 보호됩니다
  • 접근 제어: 역할 기반 접근 제어, 다중 인증 및 최소 권한 원칙
  • 네트워크 보안: 방화벽, 침입 탐지 시스템 및 정기적인 취약점 평가
  • 가명화: 데이터 주체에 대한 위험을 줄이기 위해 적절한 경우 적용됩니다
  • 백업 및 복구: 테스트된 복원 절차가 있는 정기적인 암호화 백업
  • 로깅 및 모니터링: 포괄적인 감사 로깅 및 실시간 보안 모니터링

조직적 조치

  • 정보 보안 정책: 데이터 처리, 접근 및 보안을 관리하는 문서화된 정책
  • 직원 교육: 모든 직원을 위한 정기적인 데이터 보호 및 보안 인식 교육
  • 기밀 유지 계약: 모든 직원 및 계약자는 기밀 유지 의무에 구속됩니다
  • 사고 대응: 보안 사고를 식별, 보고 및 대응하기 위한 문서화된 절차
  • 비즈니스 연속성: 처리 시스템의 가용성 및 복원력을 보장하기 위한 계획
  • 정기 감사: 보안 통제에 대한 정기적인 내부 및 외부 감사

인증

RapidFoundry LTD는 정보 보안 모범 사례에 대한 당사의 약속을 입증하기 위해 [ISO 27001 / SOC 2 Type II / 기타 해당 인증]을 유지합니다. 관련 인증 사본은 요청 시 고객에게 제공됩니다.

데이터 주체 권리 지원

RapidFoundry LTD는 GDPR 제3장에 따른 데이터 주체 권리 행사를 촉진하기 위해 최선을 다하고 있습니다.

당사가 컨트롤러인 경우

당사가 데이터 컨트롤러로 행동하는 경우, 개인은 당사에 직접 권리를 행사할 수 있습니다. 당사는 유효한 요청에 대해 부당한 지연 없이, 그리고 GDPR 제12조(3)에 따라 허용되는 연장을 조건으로 한 달 이내에 응답합니다. 이러한 권리를 행사하는 방법에 대한 자세한 내용은 당사의 개인정보 보호정책에 제공됩니다.

당사가 프로세서인 경우

당사가 데이터 프로세서로 행동하는 경우, 당사는 DPA 의무 및 GDPR 제28조(3)(e)에 따라 데이터 주체 요청에 응답하는 데 있어 고객(컨트롤러로서)을 지원합니다. 여기에는 다음이 포함됩니다:

  • 고객이 접근, 수정, 삭제 및 이식성 요청에 응답할 수 있도록 하는 기술적 기능 제공
  • 데이터 주체로부터 직접 받은 요청을 관련 고객에게 신속하게 전달
  • 고객이 의무를 이행하는 데 필요한 정보 및 지원 제공

지원되는 권리

당사는 해당되는 경우 다음과 같은 데이터 주체 권리를 지원합니다:

  • 접근 권리(제15조)
  • 수정 권리(제16조)
  • 삭제 권리(제17조)
  • 처리 제한 권리(제18조)
  • 데이터 이식성 권리(제20조)
  • 반대 권리(제21조)
  • 자동화된 의사 결정과 관련된 권리(제22조)

데이터 침해 절차

RapidFoundry LTD는 GDPR 제33조 및 제34조에 따라 개인 데이터 침해를 탐지, 조사 및 대응하기 위한 문서화된 절차를 유지합니다.

침해 탐지 및 평가

당사는 잠재적 침해를 신속하게 탐지하기 위해 기술적 모니터링 및 조직적 절차를 사용합니다. 탐지 시, 당사의 사고 대응 팀은 침해의 성격, 범위 및 잠재적 영향을 평가합니다.

감독 기관에 통지(제33조)

당사가 데이터 컨트롤러로 행동하고 침해가 자연인의 권리와 자유에 위험을 초래할 가능성이 있는 경우, 당사는 침해를 알게 된 후 부당한 지연 없이, 그리고 가능한 경우 72시간 이내에 관할 감독 기관에 통지합니다.

데이터 주체에 통지(제34조)

침해가 자연인의 권리와 자유에 높은 위험을 초래할 가능성이 있는 경우, 당사는 제34조(3)에 따른 예외가 적용되지 않는 한 부당한 지연 없이 영향을 받는 데이터 주체에게 침해 사실을 알립니다.

고객에게 통지(프로세서 역할)

당사가 데이터 프로세서로 행동하고 고객 데이터에 영향을 미치는 개인 데이터 침해를 알게 되는 경우, 당사는 부당한 지연 없이 영향을 받는 고객에게 통지하여 고객이 자체 통지 의무를 이행할 수 있도록 충분한 정보를 제공합니다.

문서화

당사는 GDPR 제33조(5)에 따라 모든 개인 데이터 침해에 대한 기록을 유지하며, 여기에는 사실, 영향 및 취해진 시정 조치가 포함됩니다.

데이터 최소화 및 보관 관행

데이터 최소화

GDPR 제5조(1)(c)에 따라, 당사는 모든 운영에 걸쳐 데이터 최소화 원칙을 적용합니다:

  • 당사는 지정된 목적에 필요한 개인 데이터만 수집합니다
  • 당사는 불필요한 처리를 제거하기 위해 데이터 수집 관행을 정기적으로 검토합니다
  • 당사는 데이터 최소화를 기본 고려 사항으로 시스템 및 프로세스를 설계합니다
  • 당사는 고객이 당사 플랫폼을 사용할 때 데이터 최소화를 적용하도록 권장합니다

보관 관행

개인 데이터는 수집된 목적을 달성하는 데 필요한 기간 동안만 보관됩니다. 당사의 보관 관행은 다음에 의해 관리됩니다:

  • 보관 일정: 당사는 다양한 범주의 개인 데이터에 대한 보관 기간을 명시하는 문서화된 보관 일정을 유지합니다
  • 법적 요구 사항: 특정 데이터는 해당 법률(예: 세금, 회계 또는 규제 의무)에서 요구하는 경우 더 오래 보관될 수 있습니다
  • 계약적 의무: 프로세서로서의 역할에서 처리되는 고객 데이터는 고객 지시 및 DPA 약관에 따라 보관됩니다
  • 안전한 삭제: 보관 기간이 만료되거나 서비스가 종료되면 개인 데이터는 안전하게 삭제되거나 익명화됩니다

당사가 관리하는 개인 데이터 범주에 대한 특정 보관 기간은 당사의 개인정보 보호정책에 자세히 설명되어 있습니다.

연락처 정보

이 GDPR 준수 성명서, 당사의 데이터 보호 관행에 관한 질문이 있거나 데이터 주체 권리를 행사하려면 다음으로 연락하십시오:

RapidFoundry LTD
Isiodou 13 Unit 401
Limassol, 3031]
Cyprus

일반 데이터 보호 문의:
이메일: privacy@rapidfoundry.net

이 성명서 업데이트

당사는 당사의 관행, 기술, 법적 요구 사항 또는 기타 요인의 변화를 반영하기 위해 이 GDPR 준수 성명서를 때때로 업데이트할 수 있습니다. 당사는 당사의 규정 준수 관행에 관한 최신 정보를 위해 이 페이지를 주기적으로 검토할 것을 권장합니다.

Last updated
February 16, 2026