Logo

스탬피지 데이터 처리 부록 (DPA)

유효 날짜: Jan 14, 2026

최종 업데이트: Jan 14, 2026

목차

본 데이터 처리 부속서(“DPA”)는 Elyon Techno Labs Inc(“스탬피지” 운영)와 스탬피지 서비스 이용을 위해 본 약관을 수락하는 엔티티(“소매업체” 또는 “고객”) 간의 계약의 일부를 구성합니다. 본 DPA는 스탬피지가 서비스 제공 과정에서 소매업체를 대신하여 개인정보를 처리하는 경우 및 그 범위에 적용됩니다.

본 DPA와 기타 약관 사이에 충돌이 있는 경우, 양 당사자의 데이터 처리 의무와 관련하여 본 DPA가 우선합니다.

1) 당사자

데이터 처리자 / 서비스 제공자:
Elyon Techno Labs Inc (“스탬피지,” “처리자”)
주소: Hilton Court, Mississauga, Ontario, Canada
이메일: [privacy@stampezee.com]

데이터 컨트롤러 / 비즈니스 고객:
본 DPA를 수락하거나 서명하는 소매업체 엔티티 (“고객,” “컨트롤러”)

2) 정의

본 문서에서 정의되지 않은 대문자 용어는 기본 계약/약관에서의 의미를 갖습니다.

  • “해당 데이터 보호법”: 본 DPA에 따른 개인정보 처리에 적용되는 모든 개인정보 보호 및 데이터 보호법을 의미하며, (해당되는 경우) GDPR/UK GDPR, 캐나다 개인정보 보호법 및 소매업체의 사용과 관련된 기타 현지 법률을 포함합니다.
  • “컨트롤러”: 개인정보 처리의 목적과 수단을 결정하는 엔티티입니다.
  • “처리자”: 컨트롤러를 대신하여 개인정보를 처리하는 엔티티입니다.
  • “개인정보”: 식별되었거나 식별 가능한 개인과 관련된 정보입니다.
  • “처리”: 개인정보에 대해 수행되는 모든 작업(수집, 저장, 사용, 공유, 삭제 등)을 의미합니다.
  • “하위 처리자”: 소매업체를 대신하여 개인정보를 처리하기 위해 스탬피지가 지정한 제3자입니다.
  • “보안 사고”: 개인정보의 우발적 또는 불법적인 파기, 분실, 변경, 무단 공개 또는 액세스로 이어지는 보안 위반을 의미합니다(때때로 “개인정보 유출”이라고도 함).

3) 당사자의 역할

3.1 컨트롤러 / 처리자 역할

  • 소매업체는 소매업체가 서비스 내에서 결정하고 구성하는 로열티 프로그램(예: 최종 사용자 참여 데이터, 스탬프 이력, 교환, 프로그램 커뮤니케이션)과 관련하여 처리되는 개인정보의 컨트롤러입니다.
  • 스탬피지는 서비스를 제공하기 위해 소매업체를 대신하여 해당 데이터를 처리하는 범위 내에서 해당 개인정보의 처리자입니다.

3.2 스탬피지에 의한 독립적 컨트롤러 처리

스탬피지는 다음을 위해 일부 데이터를 독립적 컨트롤러로서(소매업체를 대신하지 않음) 처리할 수 있습니다:

  • 소매업체를 위한 계정 관리(예: 청구 담당자, 요금제 관리),
  • 보안, 사기 방지, 오용 탐지,
  • 플랫폼 운영 및 법적 준수,
  • 가능한 경우 집계/익명화된 분석을 사용한 제품 개선.

4) 처리 세부 사항

4.1 주제

소매업체가 스탬프 카드, 캠페인 및 보상을 생성 및 관리하고 최종 사용자가 참여할 수 있도록 하는 디지털 로열티 및 보상 플랫폼 제공.

4.2 기간

처리는 소매업체의 서비스 이용 기간 동안 지속되며, 그 이후에는 다음을 위해 필요한 경우에만 지속됩니다:

  • 삭제/반환 의무,
  • 법적 준수,
  • 법에 의해 허용되는 보안 로그 및 분쟁 해결.

4.3 성격 및 목적

처리 활동에는 서비스 제공을 위해 개인정보를 수집, 기록, 정리, 구조화, 저장, 검색, 사용, 전송 및 삭제하는 것이 포함될 수 있습니다.

4.4 데이터 주체의 범주

  • 소매업체 직원(로열티 실행 액세스 권한 포함)
  • 소매업체의 최종 사용자/고객
  • 소매업체 관리자 사용자 및 청구 담당자

4.5 개인정보의 범주

구성 및 용도에 따라 개인정보에는 다음이 포함될 수 있습니다:

  • 식별자: 이름, 이메일, 전화번호(사용되는 경우), 사용자 ID
  • 계정 데이터: 로그인 메타데이터, 역할/권한
  • 로열티 데이터: 적립된 스탬프, 가입된 스탬프 카드, 교환 이력, 활동 타임스탬프
  • 매장 상호작용 데이터: 이용 지점, 혜택 상호작용, 참여 캠페인
  • 기기/기술 데이터: IP 주소, 기기 유형, 앱 버전, 이벤트 로그(수집되는 경우)
  • 지원 데이터: 고객 지원에 제출된 메시지 및 관련 메타데이터

4.6 특수 범주 / 민감 정보

소매업체는 다음의 경우가 아니면 민감 정보/특수 범주 데이터(건강, 생체 인식, 종교 등)를 업로드하거나 처리해서는 안 됩니다:

  • 법에 의해 명시적으로 요구되고 적법한 근거가 있는 경우, 그리고
  • 소매업체가 필요한 동의/권한을 획득한 경우, 그리고
  • 서비스가 적절하게 구성된 경우.

스탬피지는 표준 로열티 운영을 위해 민감 정보를 요구하지 않습니다.

5) 소매업체(컨트롤러) 의무

소매업체는 다음 사항에 동의합니다:

  1. 개인정보를 처리하고 스탬피지에 처리를 지시하는 데 필요한 모든 권리, 통지, 동의 및 적법한 근거를 보유하고 있습니다.
  2. 최종 사용자 및 직원에게 필요한 개인정보 처리 방침 고지를 제공할 것입니다.
  3. 책임감 있게 서비스를 구성하고 프로그램에 필요한 데이터만 수집할 것입니다.
  4. 해당 데이터 보호법을 위반하여 개인정보를 처리하도록 스탬피지에 지시하지 않을 것입니다.
  5. 로열티 프로그램 규칙, 메시징 콘텐츠 및 커뮤니케이션의 적법성에 대한 책임은 소매업체에 있습니다.
  6. 직원 계정(로열티 실행 액세스 및 관리자 액세스)에 대한 기밀성을 유지하고 액세스를 제어할 것입니다.
  7. 처리가 불법이라고 믿거나 스탬피지의 도움이 필요한 데이터 주체의 요청을 받은 경우 스탬피지에 즉시 통지할 것입니다.

6) 스탬피지(처리자) 의무

스탬피지는 다음을 수행합니다:

  1. 법률에서 요구하지 않는 한, 소매업체의 문서화된 지시(본 DPA 및 소매업체의 서비스 구성/사용 포함)에 따라서만 개인정보를 처리합니다.
  2. 개인정보를 처리할 권한이 있는 인력이 비밀 유지 의무를 준수하도록 보장합니다.
  3. 개인정보를 보호하기 위해 적절한 기술적 및 조직적 조치를 시행합니다(섹션 9 참조).
  4. 본 DPA에서 허용하는 경우(예: 하위 처리자)를 제외하고 개인정보를 제3자에게 공개하지 않습니다.
  5. 섹션 10 및 11에 명시된 대로 소매업체를 지원합니다.

7) 하위 처리자

7.1 승인

소매업체는 스탬피지가 서비스를 제공하기 위해 하위 처리자를 사용하는 것에 대해 일반적인 승인을 부여합니다.

7.2 하위 처리자 의무

스탬피지는 하위 처리자가 적절한 보안 조치를 포함하여 본 DPA와 일치하는 데이터 보호 의무에 동의하도록 요구합니다.

7.3 하위 처리자 목록 및 업데이트

스탬피지는 다음 위치에서 하위 처리자 목록을 제공합니다: [하위 처리자 페이지 링크].

스탬피지는 수시로 하위 처리자를 업데이트할 수 있습니다. 법률에 따라 필요한 경우, 스탬피지는 대시보드 공지, 이메일 또는 하위 처리자 페이지 게시를 통해 중요한 변경 사항을 통지합니다.

7.4 하위 처리자에 대한 책임

스탬피지는 해당 데이터 보호법 및 스탬피지가 맺은 계약상 약속에 따라 요구되는 범위 내에서 하위 처리자의 의무 이행에 대한 책임을 유지합니다.

8) 국제 전송

개인정보는 글로벌 인프라 및 하위 처리자로 인해 소매업체의 관할 구역 외부 국가에서 처리될 수 있습니다.

스탬피지는 요구되는 경우 적절한 전송 보호 장치(예: 계약상 보호 및 전송에 적합한 기타 조치)를 구현하기 위해 합리적인 조치를 취할 것입니다.

9) 보안 조치

스탬피지는 다음과 같이 개인정보를 보호하기 위해 설계된 적절한 조치를 시행합니다:

  • 내부 시스템에 대한 액세스 제어 및 최소 권한 원칙,
  • 전송 시 암호화(전송 계층에서 지원되는 경우),
  • 안전한 비밀번호 저장(해싱) 및 인증 제어,
  • 의심스러운 활동 및 오용에 대한 모니터링/로깅,
  • 정기적인 패치 및 취약점 관리 관행(상업적으로 합리적인 범위 내),
  • 서비스에 적합한 백업 및 복구 관행.

소매업체는 어떤 시스템도 100% 보안을 보장할 수 없음을 인정하며, 자체적인 보안 관행(안전한 기기, 직원 교육, 자격 증명 보호)을 유지하는 데 동의합니다.

10) 보안 사고

10.1 통지

본 DPA에 따라 처리되는 개인정보와 관련된 보안 사고를 인지하는 즉시, 스탬피지는 부당한 지체 없이 소매업체에 통지하고 소매업체가 법적 의무를 준수하는 데 합리적으로 필요한 정보를 제공합니다.

10.2 정보 및 협력

스탬피지는 가능하고 적절한 범위 내에서 다음을 제공합니다:

  • 사고의 성격,
  • 영향을 받은 데이터 주체/데이터 기록의 범주 및 대략적인 수(알려진 경우),
  • 예상되는 결과(평가된 경우),
  • 사고 해결을 위해 취했거나 제안된 조치.

10.3 소매업체 책임

법률에서 특정 사례에 대해 스탬피지에 해당 의무를 부여하지 않는 한, 영향을 받은 개인이나 규제 기관에 통지해야 하는지 여부를 결정할 책임은 소매업체에 있습니다.

11) 데이터 주체 요청

스탬피지가 소매업체를 대신하여 처리된 개인정보와 관련하여 개인정보 보호 권리를 행사하려는 최종 사용자 또는 기타 데이터 주체로부터 요청을 받는 경우, 스탬피지는 다음을 수행합니다:

  • 적절한 경우 요청자를 소매업체로 안내하거나,
  • 가능한 경우 소매업체에 통지하고,
  • 해당 데이터 보호법에 따라 요구되는 경우 소매업체가 응답할 수 있도록 (사용 가능한 도구 및 지원을 통해) 합리적인 지원을 제공합니다.

소매업체는 법적 기한 내에 그러한 요청에 응답할 책임이 있습니다.

12) DPIA 및 협의 지원

해당 데이터 보호법에서 요구하는 범위 내에서 처리의 성격과 가용 정보를 고려하여 스탬피지는 다음에 대한 합리적인 지원을 제공합니다:

  • 데이터 보호 영향 평가(DPIA) 및
  • 규제 기관과의 협의,
    단, 본 DPA에 따른 처리로 한정됩니다.

13) 개인정보의 삭제 및 반환

13.1 기간 중

소매업체는 사용 가능한 서비스 기능을 통해 특정 데이터를 삭제할 수 있습니다.

13.2 종료 시

서비스가 종료/만료되면 스탬피지는 합리적인 기간 내에 다음을 수행합니다:

  • 소매업체를 대신하여 처리된 개인정보를 삭제하거나 반환합니다. 단, 다음의 경우는 예외로 합니다:
    • 특정 데이터를 보유해야 하는 법적 의무,
    • 오용 방지 및 시스템 무결성을 위해 보유되는 보안 로그,
    • 표준 재해 복구 관행의 일부로 제한된 기간 동안 보유되는 백업.

13.3 잔류 데이터

백업 데이터의 삭제는 백업 일정에 따라 순차적으로 발생할 수 있습니다. 스탬피지는 보관된 백업 데이터에 대한 보호 조치를 유지합니다.

14) 감사 및 준수

14.1 감사 권리

소매업체는 스탬피지의 본 DPA 준수 여부를 확인하기 위해 합리적인 정보를 요청할 수 있습니다.

14.2 감사 제한

모든 감사는 다음 조건을 충족해야 합니다:

  • 본 DPA에 따른 처리로 제한되어야 함,
  • 보안 사고가 발생하지 않는 한 [연 1회]를 초과할 수 없음,
  • 비밀 유지 의무가 적용되어야 함,
  • 운영에 부당한 지장을 주지 않아야 함,
  • 소매업체의 비용으로 수행되어야 함.

스탬피지는 요약서, 문서 또는 사용 가능한 경우 신뢰할 수 있는 제3자 감사 보고서를 제공함으로써 감사 요청을 충족할 수 있습니다.

15) 비밀 유지

각 당사자는 상대방의 기밀 정보를 보호합니다. 개인정보에 접근할 수 있는 스탬피지 인력 및 하위 처리자는 비밀 유지 의무를 준수해야 합니다.

16) 책임

개인정보 보호 및 데이터 보호 문제에 대한 책임은 해당 데이터 보호법에서 달리 요구하는 경우를 제외하고 기본 계약/약관의 적용을 받습니다.

17) 우선순위

충돌이 있는 경우:

  1. 특정 협상 용어가 포함된 서명된 DPA(해당되는 경우), 그 다음
  2. 본 DPA, 그 다음
  3. 기본 계약/약관 순으로 적용됩니다.

18) 문의처

DPA 및 데이터 보호 관련 문의:
이메일: [privacy@stampezee.com]

           

상담 예약