개인정보 처리위탁 계약
(Data Processing Agreement)
최종 업데이트: 2026년 6월 29일
전문
본 개인정보 처리위탁 계약(이하 "본 계약")은 Moimio Hosted 서비스의 제공과 관련하여 Pistio가 고객을 대신하여 개인정보를 처리하는 조건과 당사자의 권리 및 의무를 규정합니다.
본 계약은 Moimio 이용약관의 일부를 구성하며, 개인정보 처리에 관한 사항을 구체적으로 정하기 위하여 체결됩니다. 본 계약과 이용약관의 내용이 개인정보 처리에 관한 사항에서 서로 충돌하는 경우에는 본 계약이 우선 적용되며, 그 밖의 사항은 이용약관이 적용됩니다.
대부분의 고객에게는 서비스 가입 과정에서 전자적으로 체결되는 본 계약으로 충분합니다. 다만, 내부 규정, 감사 또는 법령 준수 요건 등에 따라 별도의 서명된 계약이 필요한 경우에는 Pistio에 요청하여 양 당사자가 서명한 PDF 계약서를 제공받을 수 있습니다.
본 계약은 다음 당사자 간에 체결됩니다.
(1) 고객(Customer)
Moimio 계정을 보유하고 서비스를 이용하는 조직(이하 "개인정보처리자")
및
(2) Pistio
영국(United Kingdom)에 설립·운영되는 개인사업자로서, 사업장 주소는 66 Paul Street, London EC2A 4NA, United Kingdom이며, 영국 정보보호감독기구(Information Commissioner's Office, ICO)에 등록번호 ZC158582로 등록되어 있는 사업자(이하 "수탁자")
수탁자는 Moimio Hosted의 제공 및 운영을 위하여 개인정보처리자의 위탁을 받아 개인정보를 처리합니다.
본 계약의 영문본은 계약의 원본이며, 한국어본은 대한민국 고객의 이해를 돕기 위하여 제공됩니다. 영문본과 한국어본 사이에 해석상 차이가 있는 경우에는 영문본이 우선합니다.
제1조 정의
본 계약에서 사용하는 용어의 의미는 다음과 같습니다.
① "개인정보", "처리", "개인정보처리자", "수탁자", "정보주체", "개인정보 침해사고" 등은 적용되는 범위에서 EU GDPR, UK GDPR 및 기타 적용 개인정보 보호법에서 정하는 의미를 가집니다.
② "적용 개인정보 보호법"이란 다음 각 호를 포함하여 해당 개인정보 처리에 적용되는 모든 개인정보 보호 관련 법령을 말합니다.
- EU 일반개인정보보호규정(GDPR)
- UK GDPR 및 Data Protection Act 2018
- 대한민국 「개인정보 보호법」(적용되는 경우)
- 그 밖에 해당 개인정보 처리에 적용되는 개인정보 보호 관련 법령
③ 본 계약에서 정의하지 않은 용어는 이용약관 또는 적용 개인정보 보호법에서 정하는 의미를 따릅니다.
제2조 위탁처리의 대상, 범위 및 목적
2.1 위탁처리의 대상
수탁자는 Moimio Hosted의 제공 및 운영에 필요한 범위에서만 개인정보를 처리하며, 개인정보처리자의 문서화된 지시에 따라 개인정보를 처리합니다.
수탁자는 계약상 합의된 서비스의 제공을 위한 목적 외에는 개인정보를 처리하지 않습니다.
2.2 위탁처리의 내용
수탁자가 수행할 수 있는 개인정보 처리 업무에는 다음 각 호의 행위가 포함됩니다.
- 개인정보의 수집 및 등록
- 개인정보의 기록, 저장 및 관리
- 개인정보의 검색, 열람 및 이용
- 개인정보의 수정 또는 갱신
- 개인정보의 전송 또는 제공
- 개인정보의 보관 및 백업
- 개인정보의 삭제 및 파기
- 서비스 제공을 위하여 필요한 그 밖의 개인정보 처리 행위
다만, 위 각 호의 처리행위는 Moimio Hosted의 운영에 필요한 범위에서만 수행됩니다.
2.3 위탁처리의 목적
개인정보의 처리는 다음 각 호의 목적에 한하여 이루어집니다.
- 행사의 생성 및 관리
- 참가자의 등록 및 관리
- 참가 신청의 접수 및 관리
- 개인정보처리자가 설정한 기준에 따른 참가자의 방, 조(Group) 및 팀(Team) 배정
- 행사 운영을 위한 관리 기능의 제공
- 서비스 운영, 유지보수, 보안 및 장애 대응
- 고객지원 및 문의 대응
수탁자는 개인정보를 자신의 영업상 목적이나 독자적인 목적을 위하여 이용하지 않습니다.
2.4 처리기간
수탁자는 계약기간 동안 또는 개인정보처리자의 위탁이 종료될 때까지 개인정보를 처리합니다.
계약 종료 후 개인정보의 반환 및 삭제는 본 계약 제7조에 따릅니다.
제3조 개인정보처리자의 지시
3.1 문서화된 지시에 따른 처리
수탁자는 개인정보를 개인정보처리자의 문서화된 지시에 따라서만 처리합니다. 다만, 적용 개인정보 보호법에 따라 개인정보를 처리할 법적 의무가 있는 경우에는 그러하지 아니합니다.
다음 각 호는 개인정보처리자의 문서화된 지시로 봅니다.
- 본 계약
- Moimio 이용약관
- 개인정보처리자가 Moimio Hosted를 이용하면서 수행한 설정 및 구성
- 개인정보처리자가 전자우편, 고객지원 시스템 또는 서비스에서 제공하는 기능을 통하여 제공한 추가 지시
수탁자는 위 지시의 범위를 벗어나 개인정보를 처리하지 않습니다.
3.2 위법한 지시에 대한 통지
수탁자가 개인정보처리자의 지시가 적용 개인정보 보호법에 위반될 가능성이 있다고 합리적으로 판단하는 경우에는 이를 지체 없이 개인정보처리자에게 통지합니다.
이 경우 수탁자는 관련 사항이 확인될 때까지 해당 지시의 이행을 일시적으로 보류할 수 있습니다. 다만, 법령에 따라 즉시 처리하여야 하는 경우에는 그러하지 아니합니다.
3.3 독자적 이용의 금지
수탁자는 개인정보를 다음 각 호의 목적으로 이용하지 않습니다.
- 자신의 영업상 또는 사업상 목적
- 광고 또는 마케팅
- 자체 서비스 또는 제품의 개발
- 이용자 분석 또는 프로파일링
- 개인정보처리자의 사전 승인 없이 제3자에게 제공하거나 공개하는 행위
수탁자는 개인정보를 본 계약 및 개인정보처리자의 지시에 따른 범위에서만 처리합니다.
제4조 수탁자의 의무
4.1 일반적인 의무
수탁자는 본 계약, Moimio 이용약관 및 개인정보처리자의 문서화된 지시에 따라 개인정보를 처리하며, 적용 개인정보 보호법을 준수하여야 합니다.
수탁자는 개인정보의 처리와 관련하여 정보주체의 권리와 이익이 침해되지 아니하도록 적절한 기술적·관리적 보호조치를 마련하고 이를 지속적으로 유지하여야 합니다.
4.2 비밀유지
수탁자는 개인정보 처리업무에 종사하는 자에 대하여 필요한 비밀유지 의무를 부과하고, 해당 의무가 업무 종료 후에도 계속 유지되도록 하여야 합니다.
또한 개인정보에 대한 접근 권한은 해당 업무 수행에 필요한 최소한의 인원에게만 부여하여야 합니다.
4.3 개인정보처리자에 대한 지원
수탁자는 개인정보처리자가 적용 개인정보 보호법에 따른 의무를 이행할 수 있도록 합리적인 범위에서 필요한 협조를 제공합니다.
여기에는 특히 다음 사항이 포함됩니다.
- 정보주체의 권리 행사 요청에 대한 대응
- 개인정보의 안전성 확보
- 개인정보 침해사고의 조사 및 통지
- 개인정보 영향평가 또는 이에 준하는 절차
- 감독기관의 조사 또는 협조 요청에 대한 지원
4.4 기술적·관리적 보호조치
수탁자는 부속서 2에 기재된 기술적·관리적 보호조치를 적용합니다.
수탁자는 기술의 발전, 보안 환경의 변화 또는 서비스 개선을 위하여 보호조치를 변경하거나 개선할 수 있습니다. 다만, 그러한 변경으로 개인정보 보호 수준이 저하되어서는 아니 됩니다.
4.5 준수 입증
수탁자는 개인정보처리자가 본 계약의 준수 여부를 확인할 수 있도록 필요한 정보를 합리적인 범위에서 제공합니다.
감사 및 점검은 제8조에서 정하는 절차에 따릅니다.
제5조 재수탁자
5.1 일반적인 승인
개인정보처리자는 수탁자가 부속서 3에 기재된 재수탁자를 이용하여 개인정보 처리업무의 전부 또는 일부를 수행하도록 하는 것에 대하여 일반적인 승인을 부여합니다.
수탁자는 재수탁자의 현황을 지속적으로 관리하며, 최신 재수탁자 목록을 유지합니다.
5.2 재수탁자의 선정 및 관리
수탁자는 개인정보 보호에 관한 충분한 전문성, 기술적 역량 및 신뢰성을 갖춘 재수탁자만을 선정하여야 합니다.
수탁자는 재수탁자와의 계약을 통하여 다음 사항을 포함한 개인정보 보호 의무를 부과합니다.
- 개인정보를 수탁자의 문서화된 지시에 따라서만 처리할 것
- 적절한 기술적·관리적 보호조치를 적용할 것
- 개인정보의 기밀성을 유지할 것
- 적용 개인정보 보호법을 준수할 것
수탁자는 재수탁자의 개인정보 처리에 대하여 개인정보처리자에 대한 책임을 계속 부담합니다.
5.3 재수탁자의 변경
수탁자가 새로운 재수탁자를 추가하거나 기존 재수탁자를 변경 또는 교체하려는 경우에는 그 사실을 개인정보처리자에게 최소 30일 전에 통지합니다.
통지는 다음 각 호의 방법 중 하나 이상의 방법으로 이루어질 수 있습니다.
- 전자우편
- 고객 포털
- 재수탁자 목록의 갱신
- 서비스 공지
5.4 이의 제기
개인정보처리자는 재수탁자의 추가 또는 변경이 개인정보 보호에 중대한 영향을 미칠 우려가 있는 경우, 통지를 받은 날부터 30일 이내에 합리적인 사유를 제시하여 서면으로 이의를 제기할 수 있습니다.
당사자는 개인정보처리자의 우려를 해소하기 위하여 성실히 협의합니다.
협의를 통하여 해결되지 않는 경우, 개인정보처리자는 해당 재수탁자의 이용과 직접 관련되는 서비스에 한하여 계약을 종료할 수 있습니다.
5.5 독립적인 개인정보처리자
다음 사업자는 자신의 법적 의무에 따라 개인정보를 독자적으로 처리하는 개인정보처리자(Controller)이며, 본 계약에서 말하는 재수탁자에 해당하지 않습니다.
대표적으로 다음 사업자가 이에 해당합니다.
- Paddle : 결제 처리, 세금 계산 및 Merchant of Record 업무
이러한 사업자의 개인정보 처리는 각 사업자의 개인정보 처리방침 및 계약 조건에 따라 이루어지며, 본 계약의 적용 대상이 아닙니다.
제6조 개인정보 침해사고
6.1 침해사고의 통지
수탁자는 자신이 처리하는 개인정보와 관련하여 개인정보 유출, 분실, 도난, 위조·변조 또는 훼손 등 개인정보 침해사고가 발생하였거나 발생한 것으로 합리적으로 의심되는 경우, 이를 인지한 후 지체 없이 개인정보처리자에게 통지합니다.
6.2 통지 내용
수탁자는 당시 확인 가능한 범위에서 다음 사항을 포함하여 개인정보처리자에게 제공합니다.
- 침해사고의 개요 및 발생 경위
- 영향을 받은 개인정보의 종류
- 영향을 받은 정보주체의 범주 및 예상 규모(확인 가능한 경우)
- 예상되는 영향 또는 위험
- 이미 시행하였거나 예정하고 있는 대응 및 피해 최소화 조치
최초 통지 시 모든 정보를 확인할 수 없는 경우에는 확인되는 즉시 추가 정보를 제공합니다.
6.3 침해사고 대응 지원
수탁자는 침해사고의 확산을 방지하고 피해를 최소화하기 위하여 합리적인 조치를 취합니다.
또한 개인정보처리자가 적용 개인정보 보호법에 따른 신고, 통지 또는 대응 의무를 이행할 수 있도록 필요한 정보를 제공하고 합리적인 범위에서 협조합니다.
6.4 감독기관 및 정보주체에 대한 통지
법령에서 달리 요구하는 경우를 제외하고, 수탁자는 개인정보처리자의 사전 협의 없이 정보주체 또는 감독기관에 직접 침해사고를 통지하거나 공표하지 않습니다.
수탁자가 법령에 따라 직접 통지하여야 하는 경우에는, 법률상 금지되지 않는 범위에서 개인정보처리자에게 그 사실을 지체 없이 알립니다.
제7조 개인정보의 반환 및 삭제
7.1 계약기간 중 개인정보의 관리
개인정보처리자는 계약기간 동안 Moimio Hosted에서 제공하는 기능을 이용하여 자신의 개인정보를 언제든지 조회, 수정, 내보내기 또는 삭제할 수 있습니다.
7.2 계약 종료 시 개인정보의 반환
계정이 종료되거나 계약이 해지되는 경우, 수탁자는 개인정보처리자가 보관 중인 개인정보를 이전할 수 있도록 30일간 안전한 다운로드 링크를 통하여 전체 데이터 사본을 제공합니다.
이 데이터 제공은 개인정보의 반환에 관한 본 계약상의 의무를 이행하기 위한 것입니다.
7.3 개인정보의 삭제
계정이 종료된 후 30일 이내에 계정이 다시 활성화되지 않는 경우, 수탁자는 계정 종료일로부터 44일 이내에 해당 워크스페이스에 저장된 개인정보를 복구할 수 없는 방법으로 삭제합니다.
삭제 대상에는 다음 각 호가 포함됩니다.
- 운영 데이터베이스에 저장된 개인정보
- 제공된 데이터 내보내기 파일
- 해당 워크스페이스와 관련된 백업 데이터
7.4 백업 데이터
개별 행사 또는 일부 개인정보만 삭제되는 경우에는 해당 개인정보를 우선 운영 시스템에서 삭제합니다.
정기적으로 생성되는 백업에 일시적으로 포함되어 있는 개인정보는 해당 백업의 보존기간이 종료되어 자동으로 덮어쓰기 또는 삭제될 때 함께 제거됩니다.
7.5 환불에 따른 즉시 삭제
환불 및 취소 정책에 따라 전액 환불이 이루어진 경우에는, 해당 계정 및 이에 포함된 개인정보를 특별한 법적 보관 의무가 없는 한 지체 없이 삭제합니다.
7.6 삭제 후 보관되는 정보
개인정보 삭제 이후에도 다음 각 호의 정보는 법령 준수 또는 시스템 운영을 위하여 필요한 범위에서만 보관될 수 있습니다.
- 삭제 사실을 확인하기 위한 기술적 기록
- 개인정보를 포함하지 않는 내부 시스템 식별정보
- 관계 법령에 따라 보관이 필요한 결제 또는 회계 관련 기록
이 외의 개인정보는 법령상 보관 의무가 있는 경우를 제외하고 보관하지 않습니다.
제8조 계약 준수의 확인 및 감사
8.1 계약 준수의 확인
수탁자는 개인정보처리자가 본 계약 및 적용 개인정보 보호법의 준수 여부를 확인하는 데 필요한 정보를 합리적인 범위에서 제공합니다.
8.2 감사권
개인정보처리자는 본 계약의 이행 여부를 확인하기 위하여 직접 또는 비밀유지의무를 부담하는 독립적인 제3자를 통하여 감사를 실시할 수 있습니다.
수탁자는 합리적인 범위에서 이에 협조합니다.
감사는 다음 각 호의 조건에 따라 실시됩니다.
- 감사 예정일 30일 전까지 서면으로 통지할 것
- 원칙적으로 정상적인 영업시간 중 실시할 것
- 수탁자의 정상적인 업무 수행을 과도하게 방해하지 않을 것
- 특별한 사정이 없는 한 12개월에 1회를 초과하지 않을 것
- 개인정보 및 다른 고객의 기밀정보가 노출되지 않도록 필요한 조치를 취할 것
다만, 개인정보 침해사고가 발생한 경우, 감독기관의 요구가 있는 경우 또는 법령상 특별한 사유가 있는 경우에는 위 제한이 적용되지 않습니다.
8.3 기존 감사자료의 활용
수탁자는 개인정보 보호 및 정보보호 수준을 입증하기 위하여 다음 각 호의 자료를 제공할 수 있습니다.
- 보안 정책 및 내부 규정
- 기술적·관리적 보호조치에 관한 문서
- 독립적인 감사보고서
- 보안 인증 또는 이에 준하는 자료
- 기타 계약 준수를 확인할 수 있는 자료
위 자료가 개인정보처리자의 확인 목적을 합리적으로 충족하는 경우에는, 수탁자는 현장감사를 갈음하여 해당 자료를 제공할 수 있습니다.
8.4 감사 비용
현장감사에 필요한 비용은 원칙적으로 개인정보처리자가 부담합니다.
다만, 감사 결과 수탁자의 중대한 계약 위반 또는 적용 개인정보 보호법의 중대한 위반이 확인된 경우에는 그러하지 아니합니다.
제9조 국외 이전 및 국제적 개인정보 처리
9.1 개인정보의 처리 위치
수탁자는 개인정보를 원칙적으로 유럽연합(EU) 내에서 처리 및 저장합니다.
Moimio Hosted의 운영, 유지보수, 고객지원 및 보안 업무를 수행하기 위하여 수탁자는 영국(United Kingdom)에서 개인정보에 접근할 수 있습니다.
9.2 영국과 유럽경제지역 간의 개인정보 이전
서비스 제공 과정에서 개인정보는 영국과 유럽경제지역(EEA) 간에 이전될 수 있습니다.
이러한 이전은 현재 유효한 유럽연합 집행위원회의 적정성 결정(Adequacy Decision) 및 이에 상응하는 영국의 개인정보 이전 제도에 근거하여 이루어집니다.
해당 적정성 결정이 계속 유효한 동안에는 추가적인 이전 보호조치가 요구되지 않습니다.
적정성 결정이 변경되거나 더 이상 적용되지 않는 경우에는 수탁자는 표준계약조항(Standard Contractual Clauses, SCCs) 또는 적용 개인정보 보호법에서 인정하는 적절한 보호조치를 마련합니다.
9.3 국외 재수탁자
재수탁자가 유럽경제지역 또는 영국 외의 국가에서 개인정보를 처리하는 경우에는 적용 개인정보 보호법이 요구하는 적절한 보호조치를 적용합니다.
이러한 보호조치에는 다음 각 호가 포함될 수 있습니다.
- 적정성 결정
- 표준계약조항(Standard Contractual Clauses)
- UK International Data Transfer Addendum
- 그 밖에 적용 개인정보 보호법에서 인정하는 이전 근거
재수탁자에 관한 상세한 사항은 부속서 3에 따릅니다.
9.4 Cloudflare의 이용
Cloudflare는 공개 웹사이트의 DNS 서비스 및 웹사이트 제공을 위한 목적으로만 이용됩니다.
Moimio Hosted 이용 과정에서 참가자의 개인정보는 Cloudflare를 통하여 처리되거나 전송되지 않습니다.
9.5 Merchant of Record
Paddle는 결제 처리, 세금 계산 및 관련 법령 준수를 위하여 독립적인 개인정보처리자(Controller)로서 개인정보를 처리합니다.
Paddle의 개인정보 처리는 본 계약에 따른 위탁처리가 아니며, Paddle의 자체 개인정보 처리방침 및 계약 조건이 적용됩니다.
제10조 GDPR 제27조에 따른 대표자
10.1 영국 내 사업장
수탁자는 영국(United Kingdom)에 사업장을 두고 운영되는 사업자입니다.
따라서 UK GDPR 제27조에 따른 영국 내 대표자를 지정할 의무는 적용되지 않습니다.
10.2 유럽연합 대표자
수탁자가 EU GDPR 제27조에 따라 유럽연합(EU) 내 대표자를 지정하여야 하는 경우, 다음과 같이 공식 대표자를 지정합니다.
Prighter Group 및 그 현지 파트너
유럽연합 내 정보주체 또는 개인정보 감독기관은 Moimio Hosted와 관련된 개인정보 처리에 관한 사항에 대하여 아래의 Trust Center를 통하여 대표자에게 연락할 수 있습니다.
https://app.prighter.com/portal/12350102426
10.3 Pistio에 대한 직접 문의
대표자의 지정 여부와 관계없이, 고객은 언제든지 개인정보 보호와 관련된 사항에 대하여 Pistio에 직접 문의할 수 있습니다.
개인정보 보호 관련 문의는 다음 연락처를 이용할 수 있습니다: [email protected]
제11조 책임
11.1 책임
본 계약과 관련한 당사자의 책임은 Moimio 이용약관에서 정한 책임 규정을 따릅니다.
다만, 적용 개인정보 보호법 또는 기타 강행규정에 따라 제한하거나 배제할 수 없는 책임은 영향을 받지 않습니다.
11.2 강행규정
본 계약의 어떠한 조항도 적용 개인정보 보호법 또는 기타 관계 법령에서 강행규정으로 정한 책임이나 의무를 제한하거나 배제하는 것으로 해석되지 않습니다.
제12조 개인정보처리자의 면책 및 보상
(1) 개인정보처리자는 다음 각 호의 사유로 인하여 수탁자에게 발생한 (i) 제3자(정보주체를 포함합니다)의 청구, (ii) 해당 청구 또는 개인정보 감독기관의 조사·행정절차에 대응하기 위하여 발생한 합리적인 비용 및 경비(합리적인 변호사 비용을 포함합니다), 그리고 (iii) 법령상 허용되는 범위에서 수탁자에게 부과된 과징금, 과태료 또는 이에 준하는 행정상 제재에 대하여 수탁자를 면책하며, 그로 인하여 발생한 손해를 보상합니다.
-
Moimio Hosted를 통한 개인정보의 처리에 관하여 개인정보처리자가 근거로 하는 적법한 개인정보 처리의 법적 근거 또는 필요한 경우 유효한 동의나 그 밖의 법령상 요구되는 요건이 존재하지 아니한 경우
-
개인정보처리자 또는 그를 위하여 행위하는 자가 적용 개인정보 보호법을 위반하거나 제3자의 권리를 침해하여 개인정보를 Moimio Hosted에 입력, 업로드 또는 그 밖의 방법으로 제공한 경우
-
개인정보처리자의 지시를 수탁자가 이행함으로써 적용 개인정보 보호법을 위반하게 된 경우. 다만, 수탁자가 해당 지시가 적용 개인정보 보호법에 위반됨을 알고 있었거나 합리적으로 알 수 있었음에도 불구하고 제3조 제3.2항에 따라 개인정보처리자에게 이를 지체 없이 통지하지 아니한 경우에는 그러하지 아니합니다.
-
개인정보처리자가 아동·청소년 보호에 관한 법적 의무 또는 근로자·자원봉사자와 관련된 법적 의무를 위반하였고, 그 위반이 개인정보 또는 Moimio Hosted의 이용과 관련된 경우
(2) 제1항에 따른 면책 및 손해배상은 해당 손해가 수탁자의 본 계약 위반 또는 수탁자의 귀책사유로 인하여 발생한 범위에서는 적용되지 아니합니다.
(3) 제1항에 따른 면책 및 손해배상은 다음 각 호의 요건을 모두 충족하는 경우에 한하여 적용됩니다.
-
수탁자가 관련 청구를 인지한 즉시 개인정보처리자에게 이를 통지할 것
-
개인정보처리자의 사전 서면 동의(합리적인 이유 없이 거부하거나 지연하여서는 아니 됩니다) 없이 해당 청구를 인정, 합의 또는 화해하지 아니할 것
-
개인정보처리자의 비용으로 해당 청구와 관련된 합리적인 정보 및 필요한 협조를 제공할 것
-
손해의 확대를 방지하기 위하여 합리적인 조치를 취할 것
개인정보처리자는 서면 통지로 해당 청구에 대한 방어 및 해결을 직접 수행할 수 있습니다. 다만, 수탁자의 사전 서면 동의 없이 수탁자에게 면책되지 아니하는 책임을 부담시키거나 책임을 인정하는 내용으로 청구를 해결하여서는 아니 됩니다.
제13조 준거법 및 기타 사항
13.1 준거법
본 계약은 잉글랜드 및 웨일스 법률에 따라 해석되고 적용됩니다.
다만, 적용 개인정보 보호법 또는 국제사법상 강행적으로 적용되는 법령은 그 효력을 유지합니다.
13.2 관할
당사자 간의 분쟁에 관한 관할은 Moimio 이용약관에서 정한 바를 따릅니다.
13.3 언어
본 계약은 여러 언어로 제공될 수 있습니다.
각 언어본은 고객의 이해를 돕기 위한 것이며, 번역 과정에서 표현상의 차이가 발생할 수 있습니다.
각 언어본 사이에 해석상 차이가 있는 경우에는 영문본이 우선합니다.
13.4 일부 무효
본 계약의 일부 조항이 관계 법령에 따라 무효 또는 집행 불가능한 것으로 판단되더라도, 나머지 조항의 효력에는 영향을 미치지 않습니다.
무효 또는 집행이 불가능한 조항은 가능한 한 당사자의 원래 의도와 가장 가까운 법적 효력을 갖는 내용으로 해석하거나 대체합니다. 다만, 관계 법령에서 허용하는 범위에 한합니다.
계약에 규정되지 아니한 사항이 있는 경우에도 동일하게 적용합니다.
부속서 1: 개인정보 처리의 내용
1. 위탁처리의 대상
본 부속서는 본 계약에 따라 수탁자가 수행하는 개인정보 처리의 대상, 범위 및 목적을 구체적으로 정합니다.
수탁자는 클라우드 기반 행사 관리 서비스인 Moimio Hosted를 제공하기 위하여 개인정보를 처리합니다.
2. 처리 목적
수탁자는 다음 목적에 한하여 개인정보를 처리합니다.
- 행사의 생성 및 운영
- 참가자 등록 및 관리
- 참가 신청 접수 및 관리
- 개인정보처리자가 설정한 기준에 따른 참가자의 객실(Room), 조(Group) 및 팀(Team) 배정
- 행사 운영을 위한 관리 기능 제공
- 서비스 운영 및 유지보수
- 시스템 보안 및 장애 대응
- 고객지원 및 문의 대응
수탁자는 개인정보를 자신의 영업상 또는 독자적인 목적으로 이용하지 않습니다.
3. 정보주체의 범주
서비스 이용 방식에 따라 다음 각 호의 사람이 정보주체가 될 수 있습니다.
- 행사 주최자
- 행사 관리자
- 참가자
- 자원봉사자
- 강사 또는 연사
- 행사 운영요원
- 비상 연락처
- 개인정보처리자가 등록하는 그 밖의 개인
4. 처리하는 개인정보의 항목
서비스 이용 방식에 따라 다음 개인정보가 처리될 수 있습니다.
가. 기본정보
- 성명
- 성별
- 생년월일
- 주소
- 전자우편 주소
- 전화번호
- 사용 언어
- 소속 교회 또는 단체
- 국적(선택사항)
나. 행사 관련 정보
- 참가 상태
- 객실 배정 정보
- 조(Group) 배정 정보
- 팀(Team) 배정 정보
- 참가 신청 정보
- 출석 정보
- 행사 운영을 위한 내부 관리 정보
다. 민감정보
개인정보처리자가 이를 입력하는 경우 다음과 같은 민감정보가 처리될 수 있습니다.
- 식단 또는 식사 관련 정보
- 알레르기 정보
- 건강 관련 참고사항
- 장애 또는 접근성 지원이 필요한 사항
- 종교 관련 정보(종교 행사 운영에 필요한 경우)
민감정보는 개인정보처리자의 지시에 따라서만 처리됩니다.
라. 계정 및 인증 정보
- 사용자 계정
- 암호화된 비밀번호
- 인증 관련 정보
- 로그인 및 시스템 로그
5. 처리기간
수탁자는 계약이 존속하는 동안 또는 개인정보처리자의 위탁이 종료될 때까지 개인정보를 처리합니다.
계약 종료 후 개인정보의 반환 및 삭제는 본 계약 제7조에 따릅니다.
부속서 2: 기술적·관리적 보호조치
1. 일반사항
수탁자는 개인정보 보호법 및 기타 적용 개인정보 보호법에 따라 개인정보의 안전한 처리를 위하여 개인정보의 성격, 처리 규모, 처리 목적 및 예상되는 위험을 고려한 적절한 기술적·관리적 보호조치를 적용합니다.
수탁자는 이러한 보호조치를 정기적으로 검토하고, 기술의 발전 및 보안 환경의 변화에 따라 지속적으로 개선합니다.
2. 접근권한 관리
수탁자는 개인정보에 대한 접근권한을 업무 수행에 필요한 최소한의 범위로 제한합니다.
접근권한은 역할(Role)에 따라 관리되며, 권한의 부여, 변경 및 말소 절차를 정기적으로 관리합니다.
관리자 권한은 필요한 인원에게만 부여됩니다.
3. 인증 및 접근통제
개인정보 처리 시스템에 대한 접근은 인증 절차를 거쳐 이루어집니다. 이를 위하여 다음과 같은 보호조치를 적용합니다.
- 개별 사용자 계정
- 안전한 비밀번호 정책
- 관리자 대상 다단계 인증(MFA)
- 세션 관리
- 접근기록 관리
4. 개인정보의 암호화
개인정보는 전송 과정에서 최신의 TLS 암호화를 이용하여 보호됩니다.
저장되는 개인정보는 적절한 암호화 또는 이에 준하는 보호조치를 적용합니다.
비밀번호는 복호화가 불가능한 안전한 방식으로 저장됩니다.
5. 개인정보 접근기록 및 로그관리
수탁자는 개인정보 처리와 관련된 주요 접근기록 및 시스템 로그를 생성·보관합니다. 접근기록은 다음 목적에 한하여 이용됩니다.
- 보안사고 대응
- 장애 분석
- 이상행위 탐지
- 시스템 운영
- 법령 준수
6. 개인정보의 안전한 보관
수탁자는 개인정보의 훼손, 분실, 유출 또는 무단 접근을 방지하기 위하여 적절한 보안조치를 적용합니다. 여기에는 다음 사항이 포함됩니다.
- 정기적인 백업
- 이중화된 시스템
- 악성코드 대응
- 시스템 모니터링
- 장애 복구 절차
7. 물리적 보호조치
개인정보가 저장되는 서버는 적절한 물리적 보안조치를 갖춘 데이터센터에서 운영됩니다.
데이터센터 운영자는 출입통제, 영상감시, 보안구역 관리 및 기타 적절한 물리적 보호조치를 시행합니다.
8. 개인정보의 분리 보관 및 처리
각 고객의 데이터는 논리적으로 분리되어 처리됩니다.
각 Workspace는 해당 고객의 데이터만 처리하며, 다른 고객의 개인정보와 혼합되거나 공동으로 처리되지 않습니다.
9. 개인정보 보호 중심 설계
수탁자는 Moimio Hosted의 설계 및 운영 과정에서 개인정보 보호를 고려합니다.
신규 기능은 개인정보 보호 원칙을 고려하여 설계되며, 필요한 경우 개인정보에 미치는 영향을 검토합니다.
10. 보안점검 및 개선
수탁자는 개인정보 보호조치의 적정성을 정기적으로 점검합니다. 다음과 같은 경우에는 보호조치를 추가로 검토하거나 개선합니다.
- 새로운 보안위협 발생
- 서비스 구조 변경
- 중대한 보안사고 발생
- 법령 또는 감독기관의 요구사항 변경
부속서 3: 재수탁자 목록
1. 일반사항
수탁자는 Moimio Hosted 서비스의 제공을 위하여 필요한 범위에서 신중하게 선정된 재수탁자를 이용할 수 있습니다.
수탁자는 모든 재수탁자에게 본 계약과 실질적으로 동일한 수준의 개인정보 보호 의무를 계약상 부과하며, 재수탁자의 개인정보 처리에 대하여 개인정보처리자에 대한 책임을 부담합니다.
재수탁자가 대한민국 외의 국가에서 개인정보를 처리하는 경우에는 적용 개인정보 보호법에서 요구하는 적절한 보호조치를 적용합니다.
2. 현재 이용 중인 재수탁자
| 회사 | 제공 서비스 | 처리 지역 |
| Hetzner Online GmbH | 서비스 호스팅 및 암호화된 백업 저장(Hetzner Storage Box) | 독일 |
| Scaleway S.A.S. | 트랜잭션 이메일 발송 | 프랑스 |
| Zoho Corporation Limited (영국) | 고객 지원 이메일 수신함 | 유럽연합 |
| Cloudflare, Inc. | 공개 웹사이트의 DNS 서비스 | 글로벌 (참가자 개인정보는 처리하지 않음) |
3. 독립적인 개인정보처리자
다음 사업자는 본 계약에 따른 재수탁자가 아니라, 자신의 법적 의무에 따라 개인정보를 독립적으로 처리하는 개인정보처리자(Controller)입니다.
| 사업자 | 역할 |
| Paddle.com Market Ltd. | Merchant of Record, 결제 처리, 세금 계산 및 관련 법령 준수 |
이들 사업자의 개인정보 처리는 각 사업자의 개인정보 처리방침 및 계약 조건에 따라 이루어지며, 본 계약의 적용 대상이 아닙니다.
4. 재수탁자의 변경
수탁자는 서비스 운영상 필요한 경우 재수탁자를 추가, 변경 또는 교체할 수 있습니다.
이 경우 수탁자는 본 계약 제5조에 따라 개인정보처리자에게 사전에 통지합니다.
최신 재수탁자 목록은 다음 주소에서 확인할 수 있습니다.
https://moimio.app/ko/legal/subprocessors/
위 목록은 수시로 갱신될 수 있으며, 갱신된 내용은 본 부속서의 일부로 간주됩니다.
5. 재수탁자의 처리 업무
재수탁자는 자신의 역할에 따라 다음 업무를 수행할 수 있습니다.
- 클라우드 인프라 운영
- 데이터 저장
- 암호화된 백업
- 트랜잭션 이메일 발송
- 네트워크 인프라 운영
- 시스템 보안
- 장애 분석 및 기술 지원
재수탁자는 개인정보를 자신의 영업상 목적 또는 독자적인 목적으로 이용할 수 없습니다.
요청 시 본 계약의 서명본(PDF)을 제공할 수 있습니다. 문의: [email protected]