데이터 처리 부속 합의

본 부속 합의(이하 "DPA")는 BASIC AI PRO(이하 "회사" 또는 "수탁자")와 서비스 이용 계약을 체결한 고객사(이하 "처리자")가 「개인정보 보호법」 제26조 및 관련 법령에 따라 회사에 개인정보 처리 업무를 위탁함에 있어 양 당사자의 권리·의무를 규정합니다.

본 DPA는 회사의 서비스 이용약관 및 개인정보처리방침의 일부를 구성하며, 충돌이 있는 경우 본 DPA가 우선합니다(개인정보 처리에 관한 사항에 한함).

• 처리자(Controller) — 고객사. 자신의 임직원 등의 개인정보 처리 목적·수단을 결정하는 자.
• 수탁자(Processor) — 회사. 처리자의 지시에 따라 개인정보를 처리하는 자.
• 하위 수탁자(Sub-processor) — 회사가 서비스 제공을 위해 일부 처리 업무를 재위탁하는 제3자.
• 고객 개인정보 — 고객사가 서비스에 입력·업로드하거나 서비스 이용 과정에서 생성된 고객사 임직원·고객 등 정보주체의 개인정보.
• 침해사고 — 고객 개인정보의 분실·도난·유출·위조·변조·훼손.

• 위탁 목적: SaaS 그룹웨어 서비스 제공(데이터 저장·전송·검색·표시, 인증, 협업 기능, 고객사가 활성화한 AI 기능 등).
• 처리 기간: 서비스 이용 계약 기간 동안. 종료 후 처리는 제11조에 따름.
• 처리 항목: 회원 인증 정보(이메일·암호화된 비밀번호·부서·직책), 업무 데이터(결재·메신저·문서·일정 등 고객사 설정에 따른 항목), 접속 로그.
• 정보주체 유형: 고객사 임직원, 고객사의 거래처/고객 등 고객사가 서비스에 등록한 정보주체.

1. 회사는 처리자의 문서화된 지시(본 DPA 및 서비스 이용약관, 서비스 내 설정·요청 포함)에 따라서만 고객 개인정보를 처리합니다. 법령에 의한 처리는 예외로 하되, 회사는 가능한 범위에서 처리 전에 처리자에게 통지합니다.
2. 회사는 고객 개인정보에 접근하는 임직원에게 비밀유지 의무를 부과하며, 정기적으로 개인정보 보호 교육을 실시합니다.
3. 회사는 고객 개인정보를 본 DPA에 명시된 목적 외 자체 마케팅, 자체 AI 모델 학습 등 어떠한 다른 목적으로도 사용하지 않습니다.
4. 회사는 서비스 종료 후 제11조에 따라 고객 개인정보를 반환·삭제합니다.

회사는 고객 개인정보의 안전한 처리를 위해 다음 조치를 시행합니다.

• 접근 통제: 테넌트별 격리(RLS 기반 company_id 격리), 역할 기반 접근 제어(RBAC), JWT 기반 인증, 최소 권한 원칙.
• 암호화: 전송 구간 TLS 1.2+, 저장 데이터 AES-256(스토리지 수준), 비밀번호 bcrypt 단방향 암호화.
• 로그 및 모니터링: 접속 로그·관리자 작업 로그 보관, 이상 행위 탐지, 침해 시도 차단.
• 인프라 보안: 글로벌 인증 데이터센터(ISO 27001·SOC 2) 사용, DDoS 방어, 정기 백업(일일·30일 보관).
• SDLC: 코드 리뷰, 의존성 취약점 스캔, 정기 보안 점검.
• 운영: 사고 대응 절차, 정기적 권한 재검토, 퇴사자 즉시 권한 회수.

회사는 서비스 제공을 위해 다음의 하위 수탁자를 이용하며, 처리자는 본 DPA 동의로써 이를 승인합니다. 회사는 하위 수탁자와 본 DPA와 동등 수준 이상의 데이터 보호 의무를 부과합니다.

회사는 하위 수탁자를 추가·교체하는 경우 시행일 30일 전 서비스 내 공지 또는 이메일로 통지합니다. 처리자는 통지 후 14일 이내에 합리적 사유를 들어 이의를 제기할 수 있으며, 양 당사자가 합의에 이르지 못한 경우 처리자는 이용 계약을 해지할 수 있습니다.

제6조에 명시된 일부 하위 수탁자는 대한민국 외 지역에서 데이터를 처리합니다. 회사는 표준계약조항(SCC) 또는 동등 수준의 보호 조치를 적용하여 국외 이전 시 개인정보 보호 수준이 유지되도록 합니다. 처리자는 본 DPA 동의로써 해당 국외 이전에 동의한 것으로 간주됩니다.

회사는 정보주체가 「개인정보 보호법」에 따라 권리(열람·정정·삭제·처리정지·동의 철회)를 행사하는 경우, 처리자가 이에 응할 수 있도록 서비스 내 기능 제공 또는 합리적 범위 내 기술적 지원을 제공합니다.

정보주체가 회사에 직접 권리 행사를 요청한 경우, 회사는 처리자에게 지체 없이 전달하며, 처리자의 지시 없이 단독으로 응답하지 않습니다(법령에 의한 경우 제외).

1. 회사는 고객 개인정보의 침해사고를 인지한 경우, 부당한 지연 없이(원칙적으로 72시간 이내) 처리자에게 다음 사항을 통지합니다: ① 사고의 성격 ② 영향을 받은 정보주체 및 개인정보 항목의 종류·규모 ③ 발생 시점·발견 시점 ④ 회사의 대응 조치 및 예상 영향 ⑤ 추가 조사·구제 조치 계획.
2. 회사는 사고 원인 분석, 피해 최소화, 재발 방지 조치에 처리자가 요구하는 합리적 지원을 제공합니다.
3. 관계 기관(개인정보보호위원회·KISA 등) 신고는 처리자(Controller)의 의무이며, 회사는 신고에 필요한 자료를 적시에 제공합니다.

처리자는 본 DPA 준수 여부 확인을 위해 연 1회에 한하여 합리적 사전 통지(최소 30일) 후 다음 중 하나의 방법으로 감사를 요청할 수 있습니다.

• 회사가 보유한 보안 감사 보고서(SOC 2 보고서 또는 동등 자료)의 열람
• 회사의 정책·절차·증빙에 관한 서면 질의 및 응답
• 중요한 사유가 있는 경우에 한해, 양 당사자 합의에 따른 현장 감사(독립 감사인을 통해)

감사 비용은 처리자가 부담하며, 회사의 영업·다른 고객사 정보·기밀 정보에 대한 접근은 제한될 수 있습니다.

1. 이용 계약이 종료된 경우, 회사는 종료일로부터 30일 이내에 처리자가 서면으로 요청한 형식으로 고객 개인정보를 반환(Export)합니다.
2. 반환 기간 경과 또는 처리자의 반환 포기 통지 후, 회사는 모든 고객 개인정보(백업본 포함)를 복구·재생이 불가능한 방법으로 영구 삭제합니다.
3. 법령에 의해 보존 의무가 있는 경우, 회사는 해당 데이터를 분리 보관하고 보존 기간 경과 후 삭제합니다.

본 DPA 위반으로 인해 처리자 또는 정보주체에게 손해가 발생한 경우, 회사는 「개인정보 보호법」 및 관계 법령에 따라 책임을 부담합니다. 양 당사자 간 손해배상의 한도·범위는 서비스 이용약관 제13조(책임의 제한)에 따릅니다.

• 본 DPA는 한국어 본을 정본으로 합니다.
• 본 DPA에 명시되지 않은 사항은 「개인정보 보호법」 및 서비스 이용약관에 따릅니다.
• 본 DPA의 해석 및 분쟁 해결은 서비스 이용약관 제15조에 따릅니다.

• 상호: BASIC AI PRO
• 대표자: 지창연
• 사업자등록번호: 000-00-00000
• 주소: (입주 후 등록 예정)
• 개인정보 보호 책임자: 지창연 (support@basicaipro.com)

※ 사업자등록번호 및 주소는 사업자등록 절차 완료 후 정식 정보로 갱신됩니다.