데이터 처리 위탁 계약 (DPA)

본 문서는 고객사(이하 “개인정보처리자”)가 액스코퍼레이션 주식회사(이하 “수탁자” 또는 “회사”)에 서비스 이용과 관련하여 개인정보 처리를 위탁하는 경우 적용되는 조건을 정합니다. 본 DPA 는 서비스 이용약관의 일부를 구성하며, 개인정보보호법 및 관련 법령에 따른 수탁자의 의무를 규정합니다.

1. 정의

• “개인정보처리자”: 처리 목적을 결정하는 고객사.
• “수탁자”: 개인정보처리자를 대신하여 그 지시에 따라 개인정보를 처리하는 회사.
• “정보주체”: 처리되는 개인정보로 식별되는 개인(고객사의 임직원·고객 등).

2. 처리의 목적·범위·기간

수탁자는 개인정보처리자가 서비스(frame·hive·blueprint·cortex 등)를 이용하기 위해 입력·연동한 개인정보를, 해당 서비스 기능 제공이라는 목적 범위 내에서만 처리합니다. 처리 기간은 서비스 이용계약 기간으로 하며, 계약 종료 시 제8조에 따릅니다. 수탁자는 개인정보처리자의 문서화된 지시(서비스 설정·요청 포함) 없이 개인정보를 처리하지 않습니다.

3. 수탁자의 의무

• 위탁받은 목적 외 이용·제공 금지 및 처리 현황의 기록·관리
• 업무 처리 인력에 대한 비밀유지 의무 부과 및 최소권한 접근 통제
• 개인정보처리자의 점검·감사 요청에 대한 협조
• 관계 법령 및 개인정보처리자의 지시 준수, 위반 우려 시 즉시 통지

4. 재위탁 (수탁 하위 처리자)

수탁자는 안정적 서비스 운영을 위해 아래 하위 처리자를 이용하며, 동등한 수준의 보호 의무를 계약으로 부과합니다. 하위 처리자의 추가·변경 시 개인정보처리자에게 통지하고, 합리적 이의가 있는 경우 협의합니다.

• Cloudflare, Inc. — 네트워크 터널·CDN·DNS·보안
• Microsoft Corporation — Microsoft 365 / Graph 연동
• Google LLC — Google People/Contacts API 연동
• Anthropic PBC — Claude 기반 AI 처리

5. 안전성 확보 조치

수탁자는 전송·저장 구간 암호화, 엔티티별 분리 암호키를 통한 고유식별·민감정보 보호, append-only 원장 및 감사 로그, 중앙 볼트 기반 비밀 관리, 일 1회 암호화 백업 및 정기 복원 점검 등 관계 법령이 요구하는 기술적·관리적 보호조치를 시행합니다.

6. 정보주체 권리 보장에 대한 협력

정보주체의 열람·정정·삭제·처리정지 요청이 있는 경우, 수탁자는 개인정보처리자가 해당 요청에 응할 수 있도록 합리적 범위에서 기술적·절차적으로 협력합니다.

7. 개인정보 유출 등 통지

수탁자는 개인정보의 분실·도난·유출·위조·변조·훼손을 인지한 경우, 지체 없이 개인정보처리자에게 그 사실과 피해 최소화 조치를 통지하며, 법령상 신고·통지 의무 이행에 협력합니다.

8. 계약 종료 시 반환·파기

이용계약이 종료되면 수탁자는 개인정보처리자의 선택에 따라 처리하던 개인정보를 반환하거나 파기합니다. 다만 법령상 보존 의무가 있는 경우 해당 기간 동안 분리·보관 후 파기합니다. 파기는 복구 불가능한 방법으로 수행합니다.

9. 문의

DPA 체결·수정 또는 하위 처리자 관련 문의는 [email protected] 으로 연락해 주십시오.