Data Processing Agreement

본 문서는 위탁사 (Controller) 의 초기 검토용 공개 버전 입니다. 정식 계약 체결 시 hello@veacon.io 로 사업자등록번호와 함께 요청하시면 고객사 명의·서명란이 반영된 PDF 를 5영업일 이내 제공해드립니다. 본 공개 버전과 PDF 본문은 동일하며, 실질적 변경 없이 양 당사자 정보만 추가됩니다.

본 데이터 처리 위탁 계약(이하 "DPA")은 주식회사 하우앤컴퍼니(이하 "수탁사")와 Veacon 서비스 이용자 중 개인정보 처리를 위탁하는 법인(이하 "위탁사") 간에 체결됩니다.

본 DPA 는 「개인정보 보호법」(이하 "PIPA") 제26조 (업무위탁에 따른 개인정보 처리 제한) 및 EU 일반개인정보보호규정 ("GDPR") 제28조 (Processor) 의 의무사항을 반영합니다.

제1조 (목적 및 적용 범위)

본 DPA 는 위탁사가 Veacon 서비스를 이용함에 있어 수탁사가 위탁사의 이용자 정보를 처리하는 과정을 규율합니다.

문서 우선순위: 양 당사자 간 충돌이 있는 경우 다음 순으로 우선합니다.

1. 강행 법령
2. 본 DPA
3. 별도 체결된 Service Agreement / Order Form
4. 이용약관 및 개인정보처리방침

제2조 (용어 정의)

• 위탁사 (Controller): Veacon 서비스를 이용하여 자신의 업무를 수행하는 법인 (PIPA 의 "개인정보처리자", GDPR 의 "Controller")
• 수탁사 (Processor): 주식회사 하우앤컴퍼니 (PIPA 의 "수탁자", GDPR 의 "Processor")
• 이용자 정보 (Personal Data): 위탁사의 임직원·고객의 개인정보로서 서비스 이용 과정에서 수탁사가 처리하는 정보. PIPA 제2조 및 GDPR Art. 4(1) 의 정의를 따릅니다.
• 재수탁사 (Sub-processor): 수탁사가 본 DPA 의 처리 업무 일부를 재위탁하는 제3자. 부속서 3 (Annex 3) 참조.
• Applicable Data Protection Laws: PIPA, 정보통신망법, GDPR, UK GDPR 및 위탁사 또는 정보주체에게 적용되는 기타 개인정보 보호 법령
• Documented Instructions: 본 DPA, 이용약관, 개인정보처리방침, Service Agreement, 그리고 위탁사가 대시보드·이메일·서면으로 명시적으로 전달하는 지시
• Services: Veacon 의 B2B 부동산 데이터 API 및 부속 대시보드

제3조 (처리 목적 및 지시)

1. 수탁사는 위탁사의 Documented Instructions 범위 내에서만 이용자 정보를 처리합니다. 처리 범위:
   • API Key 인증 및 권한 관리
   • 호출 이력 기록 (청구·보안 감사 근거)
   • 쿼터 관리
   • 고객 지원 응대
   • 서비스 안정성 모니터링 (에러·예외 추적)
2. 수탁사는 위탁사의 Documented Instructions 없이 이용자 정보를 처리하지 아니합니다. 다만, 관련 법령이 요구하는 경우는 예외이며, 이 경우 수탁사는 사전에 위탁사에 그 사실을 통지합니다 (법령이 통지 자체를 금지하는 경우 제외).
3. 위법 지시 통지 의무 (GDPR Art. 28(3) 2단): 수탁사가 위탁사의 지시가 Applicable Data Protection Laws 를 위반한다고 판단하는 경우, 수탁사는 즉시 위탁사에 통지하고 시정될 때까지 해당 지시의 이행을 보류할 수 있습니다.

제4조 (재위탁)

1. 위탁사는 부속서 3 에 열거된 재수탁사를 본 DPA 체결 시점에 일반 승인 (general written authorisation, GDPR Art. 28(2)) 한 것으로 봅니다.
2. 수탁사는 재수탁사 변경 (추가·교체) 시 30일 전 본 페이지의 부속서 3 갱신 및 위탁사 대시보드 알림으로 통지합니다.
3. 위탁사가 합리적 근거 (예: GDPR 미준수, 데이터 보호 인증 부재, 충돌 사업) 로 이의를 제기하는 경우:
   • (a) 수탁사는 해당 재수탁사를 임명하지 않거나
   • (b) 위탁사는 영향받는 처리 범위에 한정하여 본 DPA 및 관련 Service Agreement 를 해지하고, 잔여 결제 금액을 환불받을 수 있습니다.
4. 수탁사는 모든 재수탁사가 본 DPA 와 동등한 수준의 개인정보 보호 의무 (특히 보안 조치, 침해 통지, 감사) 를 부담하는 서면 계약을 체결합니다.
5. 수탁사는 재수탁사의 의무 위반에 대하여 위탁사에 직접 책임을 부담합니다.

제5조 (보안 조치)

수탁사는 PIPA 및 GDPR Art. 32 에 따른 기술적·관리적 보호 조치를 취하며, 상세는 부속서 2 (TOMs) 에 명시합니다. 핵심 통제:

1. 전송 구간 암호화: TLS 1.3 이상
2. 저장 데이터 암호화: Supabase (AWS RDS) 의 표준 저장 암호화 (AES-256) 및 디스크 수준 암호화 활용
3. 접근 통제: 최소 권한 원칙에 따른 역할 기반 접근 통제 (RBAC), 관리자 작업 MFA 적용
4. API Key 해싱: 평문 저장 금지, SHA-256 (BYTEA) 해시만 보관
5. k-anonymity: 집계 데이터 k ≥ 3 (출시 후 5 로 상향)
6. 로그 관리: 시스템 접근 로그 최소 6개월 보관 (정보통신망법 시행령 제15조의2 근거), 위변조 방지
7. 백업: 일일 자동 백업, Point-in-Time Recovery (Supabase managed)
8. 장애·사고 감지: 24/7 자동 모니터링 (Sentry, 자체 로그 파이프라인)

제6조 (정보주체 권리 대응 지원)

1. 정보주체가 수탁사에게 직접 권리 행사 (열람·정정·삭제·처리정지·이동) 를 요청하는 경우, 수탁사는 처리하지 아니하고 3영업일 이내 위탁사에 전달합니다.
2. 위탁사가 정보주체 권리 행사 대응을 위해 필요한 정보·도구의 제공을 요청하는 경우, 수탁사는 다음 기한 내에 지원합니다.
   • 대한민국 거주 정보주체 (PIPA 제35-37조): 10일 이내
   • EU·UK 거주 정보주체 (GDPR Art. 12(3)): 1개월 이내 (복잡한 경우 추가 2개월 연장, 사전 통지)
3. 지원 도구: 대시보드 Danger Zone 의 데이터 반출·계정 삭제, 사용량 export (JSON/CSV), API Key 감사 로그.

제7조 (개인정보 침해사고 통지)

1. 수탁사는 이용자 정보의 침해 (유출·변조·훼손·접근 권한 상실 등) 를 인지한 경우 부당한 지체 없이 (without undue delay), 늦어도 인지 후 48시간 이내 위탁사에 통지합니다. 위탁사가 GDPR Art. 33(1) 의 72시간 감독기관 신고 의무를 이행할 수 있도록 충분히 앞선 시점에 통지하는 것을 원칙으로 합니다.
2. 통지에는 다음 정보를 포함합니다 (GDPR Art. 33(3) 준용):
   • 침해의 성격 (유형·범위)
   • 영향받은 정보주체의 범주 및 추정 수
   • 영향받은 이용자 정보의 범주 및 추정 건수
   • 침해의 가능한 결과 (likely consequences)
   • 취해진 또는 예정된 대응·완화 조치
   • 수탁사 개인정보 보호책임자 연락처 (박진희, hello@veacon.io, 0507-1367-0463)
3. 위탁사는 통지 수령 후 PIPA 제34조 (1,000명 이상 시 72시간 KISA 신고) 및 GDPR Art. 33-34 의 감독기관·정보주체 통지 의무를 직접 이행합니다.
4. 수탁사는 위탁사의 신고·통지 의무 이행에 합리적으로 협조합니다.

제8조 (감사 및 증빙)

1. 위탁사는 연 1회, 30일 이상의 사전 서면 통지 후 본 DPA 이행 여부를 감사할 수 있습니다. 감사는 영업 시간 내, 서비스 운영에 부당한 지장을 주지 않는 방식으로 이루어집니다.
2. 수탁사는 다음 자료를 위탁사의 요청 시 무상으로 제공합니다.
   • 부속서 2 (TOMs) 최신본
   • 부속서 3 (재수탁사 목록) 최신본
   • 외부 침투 테스트 요약 보고서 (2027 년 이후 매년)
   • SOC 2 Type II / ISO 27001 요약 보고서 (취득 시, 로드맵 P10)
3. 감사 비용: 정기 감사 비용은 위탁사가 부담합니다. 단, 감사 결과 본 DPA 의 중대한 미이행이 확인된 경우 수탁사가 부담하며, 시정 비용도 수탁사가 부담합니다.
4. 위탁사는 감사 과정에서 인지한 수탁사의 비공개 정보·기술적 상세를 비밀로 유지하며, 다른 위탁사·경쟁사에 공유하지 않습니다.

제9조 (국외 이전)

1. 수탁사는 개인정보처리방침 제6조 및 부속서 3 에 명시된 미국 소재 재수탁사로 이용자 정보를 이전합니다.
2. EU·UK 거주자 이용자 정보의 국외 이전: 수탁사는 위탁사의 요청 시 다음 보호장치를 채택합니다.
   • EU SCC 2021/914 (Module 2: Controller-to-Processor 또는 Module 3: Processor-to-Processor) 또는
   • UK International Data Transfer Agreement (IDTA) 또는 UK Addendum
3. 수탁사의 모든 재수탁사 (부속서 3) 는 SCC 또는 동등한 데이터 처리 계약을 체결하고 있으며, 위탁사의 요청 시 사본·요약본을 제공합니다.
4. 수탁사는 미국 정부 등의 자료 요청 (Section 702 FISA, Executive Order 12333 등) 을 수령한 경우, 법령이 금지하지 않는 한 위탁사에 통지합니다.

제10조 (계약 종료 시 이용자 정보 처리)

1. 이용계약 종료 후 30일 이내 위탁사의 선택에 따라 수탁사 보유 이용자 정보를 다음과 같이 처리합니다.
   • 삭제 (기본값): 복구 불가능한 방법으로 파기
   • 반환: 위탁사 요청 시 암호화된 export (JSON/CSV) 로 제공 후 삭제
2. 위탁사의 선택이 없는 경우 30일 경과 시 자동 삭제됩니다.
3. 법령상 보관 의무가 있는 정보 (전자상거래법상 결제 기록 5년, 분쟁처리 기록 3년 등) 는 해당 기간 동안 격리된 환경에서 추가 처리 없이 보관 후 파기합니다. 격리 대상 정보의 범위 및 보관 기간은 위탁사의 요청 시 서면으로 확인합니다.
4. 본 조에 따른 삭제·반환은 수탁사가 통제 가능한 시스템·재수탁사 모두에 적용됩니다.

제11조 (책임)

1. 본 DPA 위반으로 인한 손해배상은 이용약관 제13조 (책임의 제한) 의 한도 — 직전 12개월 동안 위탁사가 수탁사에 실제로 지급한 금액 — 내에서 이루어집니다.
2. 다만, 다음의 경우에는 책임 한도가 적용되지 않습니다 (관련 법령이 책임 제한을 금지하는 한도 내).
   • 고의 또는 중과실로 인한 개인정보 침해
   • GDPR 또는 PIPA 의 강행 규정 위반
3. 수탁사는 GDPR Art. 82 의 정보주체 손해배상 청구에 대하여 위탁사와의 관계에서 자신의 위반 행위 비율에 따른 책임을 부담합니다.

제12조 (효력 및 개정)

1. 본 DPA 는 위탁사가 Veacon 서비스를 이용하는 기간 동안 효력을 유지하며, 종료 후에도 제10조 (계약 종료 시 처리) 의 의무가 이행될 때까지 존속합니다.
2. 공개 버전 (본 페이지) 의 개정: 수탁사는 본 DPA 의 개정 시 시행 30일 전 본 페이지의 "최종 업데이트" 일자 및 commit 이력을 통해 공지합니다. 위탁사에게 불리한 중대한 변경의 경우 대시보드 알림과 이메일로 개별 통지합니다.
3. 개별 PDF 체결 버전의 개정: 별도 PDF 로 체결된 DPA 의 개정은 양 당사자의 서면 합의로만 가능합니다.

제13조 (비밀유지) — GDPR Art. 28(3)(b)

1. 수탁사는 이용자 정보에 접근 권한을 가진 모든 임직원·계약자가 사전에 비밀유지 서약을 체결하도록 합니다.
2. 비밀유지 의무는 고용·계약 관계 종료 후에도 존속하며, 법령상 비밀유지 의무가 있는 직군 (의료·법무 등) 의 경우 해당 법령상 의무로 갈음할 수 있습니다.

제14조 (DPIA 및 사전 협의 지원) — GDPR Art. 28(3)(f) / Art. 35-36

수탁사는 위탁사가 다음을 수행하는 경우 합리적인 범위에서 협조합니다.

• 데이터 보호 영향평가 (DPIA): 처리 활동의 성격·범위에 관한 정보 제공
• 감독기관 사전 협의 (Prior Consultation): 필요 자료 제공
• PIPA 영향평가: 위탁 처리 부분에 대한 자료 제공

제15조 (처리 활동 기록) — GDPR Art. 30(2)

수탁사는 위탁사를 위해 수행한 처리 활동의 기록을 유지하며, 위탁사의 서면 요청 시 사본을 제공합니다. 기록은 다음 정보를 포함합니다.

• 위탁사 식별 정보 및 연락처
• 처리 활동의 범주
• 국외 이전 정보 (제9조)
• 보안 조치의 일반적 설명 (제5조, 부속서 2)

제16조 (준거법 및 분쟁 해결)

본 DPA 의 해석 및 이행은 이용약관 제15조 (준거법 및 관할) 에 따릅니다 — 대한민국 법률 및 서울중앙지방법원.

제17조 (관련 정책)

• 개인정보처리방침 — 정보주체 대상 처리 안내
• 쿠키 정책 — 인증·기술 쿠키 상세
• 보안 정책 — 보안 통제·취약점 공개
• 이용약관 — 서비스 이용 조건

부속서 1 (Annex 1) — 처리 세부사항

부속서 2 (Annex 2) — 기술적·관리적 보호 조치 (TOMs)

부속서 3 (Annex 3) — 인가된 재수탁사 목록

핵심 운영 데이터 (Supabase 의 사용자 계정·API Key·사용량·결제 메타데이터) 는 한국 리전에서 처리됩니다. 데이터 residency 가 요구되는 위탁사의 평가에 활용 가능합니다. 본 목록은 개인정보처리방침 제5조 및 보안 정책 §1-3 과 동기화되며, 변경 시 제4조의 절차에 따라 통지합니다.

부속서 4 (Annex 4) — 국제 데이터 이전 보호장치

• EU 거주자 데이터: EU SCC 2021/914 (Module 2 또는 Module 3), 위탁사의 요청 시 체결.
• UK 거주자 데이터: UK International Data Transfer Agreement (IDTA) 또는 UK Addendum, 위탁사의 요청 시 체결.
• 재수탁사: 모든 부속서 3 의 재수탁사는 자체적으로 SCC / DPA 를 체결하고 있으며, 사본·요약본은 수탁사를 통해 위탁사에 전달됩니다.

체결일: (개별 PDF 계약서에 기재) 수탁사 대표: 박진희 (주식회사 하우앤컴퍼니 대표이사) 위탁사 대표: (개별 PDF 계약서에 기재)

정식 DPA 체결 요청: hello@veacon.io 로 사업자등록번호와 함께 문의 주시기 바랍니다.

시행일: 2026-05-16 · 버전: v1.1.0