최종 수정일: 2026년 3월 20일
시행일: 즉시
적용 대상:
- https://www.sendarix.com
- https://app.sendarix.com (클라이언트 대시보드)
- 모든 SMTP 및 API 서비스
본 DPA는 이메일 인프라에 대한 일반적인 GDPR 스타일 처리자 약관을 반영합니다. 귀하를 대신하여 개인 데이터를 처리할 때 서비스 약관을 보완합니다.
1. 서론
본 데이터 처리 계약(“DPA”)은 Sendarix(“처리자”)와 고객(“관리자”) 간 계약의 일부를 구성하며, Sendarix가 서비스와 관련하여 고객을 대신하여 개인 데이터를 처리할 때 적용됩니다.
서비스를 사용하여 데이터 주체에 관한 개인 데이터를 전송하거나 그 밖에 처리하는 경우 고객은 본 DPA에 동의합니다. 데이터 보호와 관련하여 약관과 본 DPA가 충돌하는 경우, 여기에서 다루는 처리에 대해서는 본 DPA가 우선합니다.
2. 정의
- “개인 데이터”, “처리”, “관리자”, “처리자”, “데이터 주체”, “개인 데이터 침해” — 적용 가능한 데이터 보호법(적용되는 경우 GDPR 포함)에 정의된 바와 같습니다.
- “하위 처리자” — 본 DPA에 따라 개인 데이터를 처리하기 위해 Sendarix가 위탁한 제3자입니다.
- “고객 지시” — 클라이언트 대시보드, API, SMTP 제출, 처리를 지시하는 지원 티켓의 구성 및 사용, 약관 및 AUP 범위 내에서의 서비스의 적법한 사용을 포함하여 고객이 처리에 관해 문서화한 지시입니다.
3. 범위 및 역할
고객은 서비스와 관련하여 제공하는 개인 데이터의 관리자입니다. Sendarix는 처리자이며, 적용 가능한 법률이 달리 요구하지 않는 한(이 경우 금지되지 않는 한 고객에게 통지합니다) 해당 개인 데이터를 고객 지시에 따라만 처리합니다.
처리의 성격, 목적 및 범주는 제5조 및 부속서 A(아래 요약)에 설명되어 있습니다.
4. 고객 지시
고객은 Sendarix에 약관, 본 DPA, 문서 및 서비스 내 고객 설정에 따라 이메일 전달 서비스를 제공·보안·개선하기 위해 개인 데이터를 처리하도록 지시합니다. 본 범위를 벗어난 지시는 사전 서면 합의가 필요합니다.
Sendarix가 지시가 적용 가능한 법률을 위반한다고 판단하는 경우, 허용되는 범위에서 고객에게 통지하고 지시를 거부하거나 일시 중지할 수 있습니다.
5. 처리의 성격 및 목적(부속서 A 요약)
Sendarix는 다음을 위해 개인 데이터를 처리합니다.
- SMTP 및 API를 통한 이메일 전송 및 릴레이
- 바운스, 불만 및 억제 처리
- 전달 분석, 웹훅 및 대시보드 제공
- 계정 인증, 속도 제한 적용 및 악용 탐지
- app.sendarix.com을 통한 청구 및 지원
처리는 이러한 목적에 합리적으로 필요한 범위로 제한됩니다.
6. 개인 데이터 유형
사용에 따라 이메일 주소, 메시지 메타데이터(제목 포함), 발신자/수신자 식별자, IP 주소, 전달 및 참여 이벤트, 개인 데이터가 포함된 지원 티켓 내용, 청구 연락처 정보가 포함될 수 있습니다.
이메일 본문은 라우팅 및 전달을 위해 일시적으로 처리됩니다. Sendarix는 메시지 본문을 무관한 마케팅이나 프로파일링에 사용하지 않습니다.
7. 처리자 의무
- 제4조에 설명된 대로 고객 지시에 따라만 개인 데이터 처리
- 개인 데이터 처리가 허가된 자가 기밀 유지에 구속되도록 보장
- 기술 수준, 비용 및 위험을 고려하여 적절한 기술적·조직적 조치 구현
- 해당 시 데이터 주체 요청, DPIA 및 사전 협의를 위한 합리적인 기술적·조직적 조치로 고객 지원
- 고객 개인 데이터에 영향을 미치는 개인 데이터 침해를 인지한 후 지체 없이 고객에게 통지하고, 고객의 규제 신고에 합리적으로 필요한 정보 제공
- 서비스 종료 시(또는 요청 시) 법적 보존에 따르는 한 제11조에 따라 개인 데이터 삭제 또는 반환
8. 하위 처리자
고객은 Sendarix가 본 DPA와 실질적으로 동등한 데이터 보호 의무를 부과하는 서면 계약에 따라 하위 처리자(예: 호스팅, DNS, 결제, 전송, 악용 탐지, 지원 도구)를 선임하는 것을 승인합니다.
Sendarix는 하위 처리자의 의무 이행에 대해 책임을 집니다. 최신 목록은 요청 시 제공되며 <strong>sendarix.com</strong>에 게시될 수 있습니다. Sendarix는 실현 가능한 경우 하위 처리자 변경에 대해 합리적인 통지를 하며, 고객은 합리적인 데이터 보호 사유로 이의를 제기할 수 있습니다.
9. 국제 이전
EEA, 영국 또는 스위스에서 유래한 개인 데이터가 적절성이 인정되지 않은 국가로 이전되는 경우, Sendarix는 EU 집행위원회 표준계약조항(2021), 영국 국제데이터이전부속서(IDTA) 또는 EU SCC 부속서, 해당 시 스위스 요구 사항 또는 기타 합법적 이전 수단 등 적절한 보호 조치를 구현합니다.
요청 시 Sendarix는 고객 사용과 관련된 특정 이전에 의존하는 메커니즘에 관한 정보를 제공합니다.
10. 데이터 주체 권리
Sendarix는 고객을 대신하여 처리되는 개인 데이터에 관한 데이터 주체 요청에 응하도록 고객을 지원합니다. 법적으로 요구되지 않는 한 Sendarix는 데이터 주체에게 직접 응답하지 않습니다. 고객은 계정을 통해 또는 요청을 라우팅하기에 충분한 세부 정보와 함께 privacy@sendarix.com으로 제출해야 합니다.
11. 보관 및 삭제
서비스 종료 또는 고객 관계 만료 시 Sendarix는 개인정보처리방침 및 운영 역량에 따라 개인 데이터를 삭제하거나 반환하되, 법률에 의해 더 긴 보관이 필요하거나 문서에 명시된 합법적인 보안 및 악용 방지 아카이브에 해당하는 경우는 제외합니다.
일반적인 운영 보관(통지 후 변경 가능): SMTP/API 로그 30–90일; 바운스/불만 데이터 최대 6개월; 법적으로 요구되는 경우 청구 기록 5–10년.
12. 감사
고객은 본 DPA 준수 확인에 합리적으로 필요한 정보(예: 보안 관행 요약 및 하위 처리자 목록)를 요청할 수 있습니다. 서비스 보안 또는 가용성에 위험을 초래하는 현장 또는 침습적 감사는 범위, 시기 및 기밀에 대한 사전 서면 합의가 필요합니다. 합리적인 지원을 넘는 감사 비용은 청구될 수 있습니다.
13. 데이터 침해 통지
통지는 알려진 범위에서 침해의 성격, 관련 데이터 주체 및 기록의 범주와 대략적인 수, 가능한 결과 및 취하거나 제안된 조치를 설명합니다.
14. 책임
본 DPA에 따른 처리에 대한 책임은 데이터 보호 위반에 대해 강행법이 그러한 제한을 금지하지 않는 한 약관의 제한에 따릅니다.
15. 기간
본 DPA는 처리 기간 동안 및 제11조에 따라 개인 데이터가 반환되거나 삭제될 때까지 유효합니다.
16. 준거 조항
GDPR이 적용되는 경우 당사자는 본 DPA에 제28조에 요구되는 실질이 포함됨을 인정합니다. 기타 법률에 대해서는 필요한 범위에서 유사한 의무가 적용됩니다.
17. 연락처
