Petitions.com

데이터 처리 계약 (DPA)

마지막 업데이트: 2026-07-01

하위 처리자 페이지 마지막 업데이트: 2025-12-03

본 DPA는 당사가 귀하를 대신하여 개인정보를 처리하는 조건을 명시합니다.

이 데이터 처리 계약서(계약서)는 Petitions.com Group Oy (서비스 제공자)이 온라인 청원 호스팅 서비스(서비스)를 제공함에 있어 청원 작성자(청원 작성자 또는 데이터 관리자)를 대신하여 개인 데이터를 처리하는 의무와 조건을 명시합니다.

약관의 수정

우리는 사전 통지 없이 언제든지 본 약관을 변경하거나 수정할 권리를 보유합니다.

정의 및 역할

  • 서비스 제공자: Petitions.com (Petitions.com Group Oy), 데이터 처리자로서 서비스 제공을 위해 데이터 관리자를 대신하여 개인 데이터를 처리합니다.
  • 데이터 컨트롤러: 청원 작성자는 청원에 서명한 사람들로부터 수집된 개인정보의 처리 목적과 수단을 결정하는 자입니다. Petitions.com에 호스팅된 청원의 작성자는 데이터 컨트롤러로 간주됩니다. 귀하는 청원의 내용, 서명자에게 요청하는 내용, 개인정보 처리 목적 및 개인정보 저장 기간을 결정합니다. Petitions.com은(는) 청원 작성 및 호스팅을 위한 온라인 플랫폼을 제공하여 귀하가 데이터 관리자(Data Controller)로서 목표와 법적 의무에 따라 청원의 데이터 수집 및 사용을 조정할 수 있는 자율성을 부여합니다.

처리 범위

The Service Provider will process personal data solely based on the Data Controller's instructions and only as necessary to provide the Services, unless required to do so by Union or Member State law to which the Service Provider is subject. In such a case, the Service Provider will inform the Data Controller of that legal requirement before processing, unless that law prohibits it on important grounds of public interest. 처리 활동의 범위는 온라인 청원 호스팅, 관리 및 원활하게 하는 것으로 제한됩니다.

As a Data Processor, the Service Provider does not erase signature data on its own initiative. Every erasure of signature data is carried out on the documented instructions of the Data Controller — whether given specifically or in advance through this Agreement.

The Data Controller's acceptance of this Agreement constitutes the Data Controller's documented instructions to the Service Provider, including the procedures for handling signatory erasure requests described below and any self-service tools the Service Provider makes available to signatories on the Data Controller's behalf.

데이터 보호

서비스 제공자는 기술적 및 조직적 조치를 구현하여 무단 접근, 손실 또는 손상으로부터 개인정보의 보안을 보장할 것을 약속합니다.

금지된 데이터 수집

서명자로부터 개인 식별 번호(예: 국가 ID 번호)를 요청하는 것은 금지되어 있습니다.

하위 처리자

서비스 제공자는 서비스 제공을 돕기 위해 하위 처리자를 고용할 수 있습니다. 서비스 제공자는 서브프로세서가 본 데이터 처리 계약서(DPA)와 일치하는 데이터 보호 의무를 준수하도록 보장할 것입니다. 귀하는 서비스 제공자가 서비스를 효율적으로 제공하기 위해 필요에 따라 하위 처리자를 선택하고 교체할 재량권을 보유하고 있다는 것을 인정하고 동의합니다.

하위 처리자 목록. (마지막 업데이트: 2025-12-03)

데이터 관리자의 책임

데이터 컨트롤러는 개인 데이터의 수집, 처리 및 취급이 모든 해당 법률 및 규정을 준수하도록 보장할 책임이 있습니다.

데이터 관리자 식별

일반 데이터 보호 규정(GDPR)에 따라, 데이터 컨트롤러의 신원이 명확하게 명시되어야 합니다. 다음 조항은 당사 웹사이트를 이용하는 청원 작성자에게 적용됩니다:

개별 청원 작성자

사용자가 개인 자격으로 청원을 작성하는 경우, 법적 정식 이름을 제공해야 합니다. 이는 GDPR 목적을 위한 데이터 컨트롤러로서 귀하를 식별하는 것입니다.

조직 청원 작성자

청원이 조직을 대신하여 작성된 경우, 조직의 법적 명칭 전체를 제공해야 합니다. 또한, 조직은 데이터 처리 활동을 담당하는 대표자의 연락처 정보를 제공해야 하며, 데이터 보호 책임자(DPO) 또는 유사한 직책을 지정해야 합니다.

정보 주체의 권리

데이터 컨트롤러는 데이터 주체(청원 서명자)들이 GDPR에 따라 그들의 권리를 행사할 수 있도록 해야 합니다. 이는 데이터에 대한 접근권, 수정권, 삭제권 또는 감독 기관에 불만을 제기할 권리를 포함합니다.

서명자의 개인정보 삭제 요청 처리

The roles differ depending on the data in question. For personal data collected through petition signatures, the Service Provider acts as the Data Processor and the Petition Author acts as the Data Controller. For the Service Provider's own operational data — such as account information, technical logs, and contact-form messages — the Service Provider acts as an independent Data Controller.

Because the Service Provider acts only on the Data Controller's documented instructions, the procedure below constitutes the Data Controller's standing instruction for handling such requests, authorising the Service Provider to act without seeking separate approval for each request.

When a signatory asks the Service Provider to erase personal data connected to a signature, the Service Provider will, without undue delay, hide the signature from public view and make information about the erasure available to the Petition Author within the Services (for example, on a data-protection overview page and through an in-account indicator). The Service Provider is not required to send a separate email for each erasure. The Petition Author is given 14 days to review the request and to erase any copies of the signatory's personal data that they have downloaded, exported, printed, or otherwise stored outside the Services. The Petition Author may object to the erasure only where there is a lawful ground to continue processing the data (for example, the establishment, exercise, or defence of legal claims); a mere preference to retain the signature is not a valid ground. Any such objection must be made by contacting the Service Provider within that period, stating the lawful ground; the Service Provider does not provide an automatic means for the Petition Author to reverse an erasure. If the Petition Author does not object on such grounds within that period, the Service Provider will permanently delete the signature data from the active database. The Service Provider aims to complete the process within the one-month period required by the GDPR.

The Service Provider may also make available a self-service tool — such as a removal link in signature confirmation messages or on the petition page — allowing signatories to remove their own signature directly. Where such a tool is used, the Service Provider acts on the Data Controller's behalf under the documented instructions set out in this Agreement.

Personal data may persist in routine backups for a limited period after deletion from the active database. Such backups are not used for day-to-day processing and are overwritten on a rolling cycle, after which the data is permanently removed.

기술 로그에는 IP 주소나 이메일 전송 메타데이터와 같은 개인정보가 포함될 수 있습니다. These logs are deleted within 30 days. Contact-form messages may be retained for up to 5 years for audit, security, and dispute-resolution purposes.

The Service Provider keeps a minimal record that an erasure was carried out (without retaining the erased personal data) in order to demonstrate compliance.

Handling Rectification Requests from Signatories

The right to rectification is handled on the same basis as erasure: as a Data Processor, the Service Provider does not alter signature data on its own initiative, but only on the Data Controller's documented instructions, including any self-service tool the Service Provider makes available to signatories on the Data Controller's behalf for correcting their own data.

Once a correction is made, the live signature list maintained within the Services reflects the corrected value. In accordance with the obligation to use up-to-date signature data, the Data Controller must rely only on a freshly retrieved copy and update or discard any outdated copies accordingly; the Service Provider is not required to disclose the previous (incorrect) value to the Data Controller.

The Service Provider may keep an internal record of the change (for example, the previous and new values, and the time of the change) for fraud prevention, security, and dispute-resolution purposes. This record is not made available to the Data Controller by default and is retained only for as long as necessary for those purposes.

Notifying Recipients

Where the Data Controller has disclosed signature data to any recipient (such as a decision-maker or other third party), the Data Controller is responsible, under Article 19 of the GDPR, for communicating any subsequent erasure or rectification of that data to each such recipient, unless this proves impossible or involves a disproportionate effort. The Service Provider's removal or correction of data within the Services does not discharge this obligation in respect of copies the Data Controller has shared outside the Services.

책임 및 준수

데이터 컨트롤러는 GDPR 준수를 입증할 수 있어야 하며, 데이터 주체의 개인 데이터 관련 요청에 대응해야 합니다.

개인정보 처리방침 또는 공지사항

명확하고 접근 가능한 개인정보 처리방침 또는 고지가 제공되어야 하며, 어떻게 개인정보가 처리되는지, 처리의 목적, 그리고 정보주체가 그들의 권리를 어떻게 행사할 수 있는지에 대해 명시해야 합니다.

변경 사항 통지

청원 작성자는 데이터 컨트롤러로서의 지위 변경이나 대표자의 연락처 변경 사항을 Petitions.com (Petitions.com Group Oy)에 통지해야 합니다.

데이터 처리의 연례 검토

청원 작성자는 서명자의 개인 데이터 처리 지속에 대한 유효한 이유가 여전히 있는지 확인하기 위해 매년 검토를 수행해야 합니다. 이 검토는 청원의 목적과 관련하여 데이터의 필요성과 타당성을 평가해야 합니다. 청원 작성자가 더 이상 유효한 이유가 없다고 판단한 경우, 관련 데이터 보호 법률에 따라 데이터 처리를 중단하고 데이터를 삭제하기 위한 적절한 조치를 취해야 합니다.

Use of Up-to-Date Signature Data

Before the Data Controller discloses signature data to any third party (such as a decision-maker or other recipient of the petition), or otherwise processes the data outside the Services — including contacting signatories by email — the Data Controller must retrieve a fresh copy of the signature list from the Services and use only that current version. Signatories may exercise their right to erasure at any time, and only the live list maintained within the Services reflects such erasures. The Data Controller must not rely on previously downloaded, exported, or printed copies for these purposes, and must securely discard outdated copies.

데이터 보유 및 삭제

데이터 처리 계약(DPA)의 조건 중 어떠한 조건이라도 위반하는 경우(연례 데이터 처리 활동 검토를 수행하지 않거나 서명자의 개인 데이터 지속 처리에 대한 유효한 정당성을 제공하지 않는 경우를 포함하되 이에 국한되지 않음), 서비스 제공자는 해당 청원과 관련된 개인 데이터를 제거하거나 삭제할 권리를 보유합니다.

책임의 제한

어떠한 경우에도 계약, 불법 행위(과실 포함) 또는 기타로 인한 모든 손해, 손실 및 청구 사유에 대한 데이터 프로세서의 데이터 컨트롤러에 대한 총 책임은 데이터 컨트롤러가 이 계약 하에 데이터 프로세서에게 지불한 총 금액을 초과하지 않습니다.

적용 법률

이 계약은 핀란드 법률에 따라 규율됩니다.