INCI APIINCI API

데이터 처리 계약

발효일: 2026년 3월 26일 · 최종 업데이트: 2026년 3월 26일

PDF 다운로드

본 데이터 처리 계약("DPA")은 INCI API("처리자", "당사")로 운영되는 스페인 등록 autónomo(NIE: Z2338955K) Andrii Sukhanov와 본 약관에 동의하는 주체("관리자", "귀하", "고객") 간의 서비스 이용약관의 일부를 구성합니다.

본 DPA는 EU 일반 개인정보 보호법(Regulation 2016/679, "GDPR") 제28조에 따라 체결되었으며, 관리자를 대신하여 처리자가 수행하는 개인정보 처리에 관한 당사자 간의 합의를 반영합니다.

1. 정의

  • "개인정보"는 GDPR 제4조 제1호에 정의된 바와 같이 식별되거나 식별 가능한 자연인("정보주체")에 관한 모든 정보를 의미합니다.
  • "처리"는 자동화 수단의 사용 여부에 관계없이 수집, 기록, 조직화, 구조화, 저장, 적응, 검색, 조회, 사용, 전송에 의한 공개, 전파, 삭제 또는 파괴를 포함하여 개인정보에 대해 수행되는 모든 작업 또는 일련의 작업을 의미합니다.
  • "하위 처리자"는 관리자를 대신하여 개인정보를 처리하기 위해 처리자가 위탁한 모든 제3자를 의미합니다.
  • "정보주체"는 개인정보가 관련된 식별되거나 식별 가능한 자연인을 의미합니다.
  • "GDPR"은 유럽 의회 및 이사회의 일반 개인정보 보호법(EU) 2016/679을 의미합니다.
  • "표준계약조항"(SCCs)은 제3국으로의 개인정보 이전을 위해 유럽위원회가 승인한 계약 조항을 의미합니다.

2. 범위 및 목적

처리자는 다음 목적으로만 관리자를 대신하여 개인정보를 처리합니다:

  • 성분 분석, 제품 조회, 안전성 점수, 알레르겐 검출 및 피부 적합성 분석을 포함한 INCI API 서비스의 제공
  • 계정 관리, 인증 및 권한 부여
  • 사용 추적, 속도 제한 및 청구
  • 서비스 개선, 성능 모니터링 및 분석
  • 고객 지원 및 커뮤니케이션

처리자는 본 DPA에서 명시된 또는 관리자가 서면으로 문서화한 목적 이외의 목적으로 개인정보를 처리하지 않습니다.

3. 처리되는 개인정보의 유형

  • 계정 데이터: 이름, 이메일 주소, 해시된 비밀번호
  • API 사용 데이터: 요청 로그, 타임스탬프, IP 주소, 접근한 엔드포인트, 응답 코드, API 키 식별자
  • 청구 데이터: 구독 등급, 결제 수단 메타데이터(전체 결제 데이터는 Stripe에서만 처리되며 당사 서버에 저장되지 않음)
  • 기술 데이터: 브라우저 종류, 기기 정보, 운영체제, 리퍼러 URL(서비스 개선을 위한 분석을 통해 수집됨)

처리자는 개인정보의 특별 범주(GDPR 제9조) 또는 형사 유죄 판결과 관련된 개인정보(GDPR 제10조)를 처리하지 않습니다.

4. 정보주체 범주

본 DPA에 따라 처리되는 개인정보는 다음 범주의 정보주체와 관련됩니다:

  • INCI API에 접근하고 사용하는 고객의 직원 및 계약자
  • INCI API와 통합된 고객 애플리케이션의 최종 사용자(API 요청을 통해 그들의 데이터가 전송되는 한)

5. 처리자의 의무

처리자는 다음을 수행해야 합니다:

  1. 처리자가 적용을 받는 EU 또는 회원국 법률에서 요구되지 않는 한, 제3국으로의 개인정보 이전에 관한 사항을 포함하여 관리자의 문서화된 지시에 따라서만 개인정보를 처리
  2. 개인정보를 처리하도록 권한을 부여받은 자가 비밀유지 의무를 부담하거나 적절한 법정 비밀유지 의무를 받도록 보장
  3. 위험에 적합한 보안 수준을 보장하기 위해 GDPR 제32조에서 요구하는 적절한 기술적 및 조직적 보안 조치를 시행
  4. 관리자의 사전 구체적 또는 일반적 서면 승인 없이 다른 처리자(하위 처리자)를 위탁하지 않음. 일반적 서면 승인의 경우, 처리자는 하위 처리자의 추가 또는 교체에 관한 변경 사항을 관리자에게 알려 관리자가 이의를 제기할 기회를 제공
  5. 처리의 성격을 고려하여, 가능한 범위 내에서 정보주체의 권리 행사 요청에 응답하기 위한 관리자의 의무 이행을 위해 적절한 기술적 및 조직적 조치로 관리자를 지원
  6. 처리의 성격과 처리자가 이용할 수 있는 정보를 고려하여, GDPR 제32조부터 제36조까지의 의무 준수를 보장하는 데 관리자를 지원
  7. 관리자의 선택에 따라, 서비스 제공 종료 후 모든 개인정보를 관리자에게 삭제 또는 반환하고, EU 또는 회원국 법률에서 개인정보의 저장을 요구하지 않는 한 기존 사본을 삭제
  8. GDPR 제28조에 규정된 의무 준수를 입증하는 데 필요한 모든 정보를 관리자에게 제공하고, 관리자 또는 관리자가 위임한 다른 감사인이 수행하는 감사(검사 포함)를 허용하고 이에 기여

6. 보안 조치

처리자는 GDPR 제32조에 따라 개인정보를 보호하기 위해 다음의 기술적 및 조직적 조치를 시행합니다:

  • 전송 중 암호화: 클라이언트와 서버 간에 전송되는 모든 데이터는 TLS 1.2 이상(HTTPS)을 사용하여 암호화됩니다
  • 저장 중 암호화: 데이터베이스 저장은 저장된 모든 개인정보에 대해 MongoDB 저장 시 암호화를 사용합니다
  • 접근 통제: JWT 토큰 및 API 키를 통한 인증, 역할 기반 접근 통제, 최소 권한 원칙
  • 비밀번호 보안: 사용자 비밀번호는 적절한 비용 인자와 함께 bcrypt 해싱을 사용하여 저장됩니다. API 키는 보안 해시로 저장됩니다
  • 인프라 보안: 방화벽으로 보호된 인프라(제한된 포트가 있는 UFW), 정기적인 보안 업데이트 및 패치
  • 서버 위치: DigitalOcean 인프라(현재 미국 기반, EU/EEA 데이터센터로의 이전 예정)
  • 결제 데이터: 당사 서버에 결제 카드 데이터를 저장하지 않습니다. 모든 결제 처리는 PCI DSS 레벨 1 준수를 유지하는 Stripe에서 처리됩니다
  • 모니터링: 보안 이벤트 및 이상 징후에 대한 자동 모니터링, 로깅 및 경고

7. 하위 처리자

관리자는 처리자에게 다음 하위 처리자를 위탁할 일반적 권한을 부여합니다. 처리자는 하위 처리자의 추가 또는 교체에 관한 변경 사항을 최소 30일 사전 서면 통지로 관리자에게 알려 관리자가 그러한 변경에 이의를 제기할 기회를 제공해야 합니다.

INCI API가 위탁한 하위 처리자
하위 처리자목적위치
DigitalOcean인프라 호스팅미국(EU 이전 예정)
Stripe결제 처리미국(EU 데이터센터)
Google Analytics웹사이트 분석미국(EU 데이터 처리)
Microsoft Clarity세션 분석미국

관리자가 데이터 보호와 관련된 합리적인 근거로 새로운 하위 처리자에 이의를 제기하는 경우, 당사자들은 선의로 협의해야 합니다. 30일 이내에 해결책에 도달하지 못하는 경우 관리자는 위약금 없이 영향을 받는 서비스를 종료할 수 있습니다.

8. 데이터 이전

개인정보는 유럽 연합 및 유럽 경제 지역 외부의 국가로 이전되어 처리될 수 있습니다. 이러한 이전이 발생하는 경우, 처리자는 다음을 비롯하여 GDPR 제5장에 따라 적절한 보호조치가 시행되도록 보장합니다:

  • 유럽위원회가 승인한 표준계약조항(SCCs)(위원회 시행 결정(EU) 2021/914)
  • 해당되는 경우 유럽위원회의 적절성 결정
  • Schrems II 판결(사건 C-311/18)에 따라 필요한 경우 이전 메커니즘을 보완하기 위한 추가적인 기술적 및 조직적 조치

9. 데이터 침해 통지

처리자는 GDPR 제4조 제12호에 정의된 개인정보 침해를 인지한 후 부당한 지연 없이, 어떤 경우에도 72시간 이내에 관리자에게 통지해야 합니다. 통지에는 다음이 포함되어야 합니다:

  • 관련 정보주체와 기록의 범주 및 대략적인 수를 포함한 개인정보 침해의 성격에 대한 설명
  • 추가 정보를 얻을 수 있는 데이터 보호 담당자의 이름 및 연락처
  • 침해의 가능한 결과에 대한 설명
  • 가능한 부작용을 완화하기 위한 조치를 포함하여 침해를 해결하기 위해 취하거나 제안된 조치에 대한 설명

처리자는 관리자와 협력하고 각 침해의 조사, 완화 및 시정을 지원하기 위한 합리적인 상업적 조치를 취해야 합니다.

10. 정보주체의 권리

처리자는 GDPR 제3장에 따른 권리를 행사하는 정보주체의 요청에 응답할 관리자의 의무 이행을 지원해야 합니다. 다음을 포함합니다:

  • 열람권(제15조)
  • 정정권(제16조)
  • 삭제권 / 잊혀질 권리(제17조)
  • 처리 제한권(제18조)
  • 데이터 이동권(제20조)
  • 이의 제기권(제21조)

처리자가 정보주체로부터 직접 요청을 받는 경우, 즉시 관리자에게 통지해야 하며 법적으로 요구되지 않는 한 관리자의 사전 서면 승인 없이 요청에 응답하지 않습니다.

11. 감사 권리

관리자는 본 DPA에 대한 처리자의 준수를 감사할 수 있습니다. 감사는 다음 조건의 적용을 받습니다:

  • 관리자는 최소 30일 사전 서면 통지를 제공해야 합니다
  • 감사 기관의 요구 또는 개인정보 침해 발생 시를 제외하고, 감사는 1년에 1회 이하로 수행되어야 합니다
  • 감사는 정상 영업 시간 동안 수행되어야 하며 처리자의 운영을 부당하게 방해해서는 안 됩니다
  • 감사로 처리자의 중대한 미준수가 드러난 경우를 제외하고 관리자가 감사 비용을 부담합니다
  • 관리자는 합리적인 비밀유지 의무를 조건으로 자격을 갖춘 독립적인 제3자 감사인을 위임할 수 있습니다

12. 기간 및 해지

본 DPA는 당사자 간 서비스 계약 기간 동안 효력을 유지합니다. 서비스 계약 종료 시:

  • 처리자는 관리자의 선택에 따라 종료일로부터 30일 이내에 모든 개인정보를 삭제 또는 반환해야 합니다
  • 처리자는 EU 또는 회원국 법률에서 저장을 요구하지 않는 한(예: 스페인 법률에서 요구하는 세무 및 재무 기록) 기존 개인정보 사본을 삭제해야 합니다
  • 처리자는 관리자의 요청 시 삭제에 대한 서면 인증을 제공해야 합니다

13. 준거법

본 DPA는 법률 충돌 조항에 관계없이 스페인 왕국의 법률에 따라 규율되고 해석됩니다. GDPR은 개인정보 처리와 관련된 모든 사항에 적용됩니다. 본 DPA에 따라 발생하는 모든 분쟁은 스페인 카나리아 제도(산타크루스데테네리페) 법원의 전속 관할에 따릅니다.

14. 문의처

본 데이터 처리 계약과 관련된 질문, 우려 사항 또는 요청은 다음으로 문의하십시오:

데이터 보호 담당자

Andrii Sukhanov

Av. Marítima 2, puerta 05c
Los Silos, Santa Cruz de Tenerife, España

이메일: privacy@inciapi.com

웹사이트: inciapi.com

관련 문서