개인정보 처리위탁계약(DPA)
시행일: 2026-04-21 버전: 1.0
본 개인정보 처리위탁계약("DPA")은 고객("처리자·Controller")이 서비스를 통해 GDPR·UK GDPR·PIPA의 적용을 받는 개인정보를 제출하는 경우에 한해 Theta One AI("수탁자·Processor")와의 이용약관의 일부로 적용됩니다.
서명본이 필요한 경우 법인명·서명권자 정보와 함께 privacy@thetaone.co로 요청해 주세요.
1. 정의
본 DPA에서 정의되지 않은 용어는 이용약관에서의 의미를 따릅니다. "개인정보", "정보주체", "처리", "처리자(Controller)", "수탁자(Processor)"는 GDPR 제4조의 정의를 따르며, PIPA에서는 제2조·제26조의 대응 개념을 적용합니다.
2. 대상과 역할
회사는 이용약관에 따라 서비스 제공 목적 범위 내에서 고객의 개인정보를 고객을 대신하여 수탁자로서 처리합니다. 고객은 서비스에 제출된 모든 개인정보의 **개인정보처리자(Controller)**입니다.
3. 처리 범위
| 항목 | 내용 |
|---|---|
| 대상 | STT·발음 채점 API와 콘솔 제공 |
| 기간 | 이용약관 유효기간 |
| 성격·목적 | 고객 API 호출에 대한 STT·발음 결과 반환, 서비스 보안·운영 |
| 정보주체 유형 | 고객의 최종 이용자, 화자 |
| 개인정보 항목 | 오디오(음성), 발음 요청 동반 텍스트, 요청 메타데이터(일시·API 키·IP) |
| 특수 유형 | 음성은 부수적으로 생체 유사 정보를 포함할 수 있으며 생체 식별 용도 이용은 AUP로 금지됨 |
4. 문서화된 지시
회사는 고객의 문서화된 지시 — (a) 이용약관, (b) 본 DPA, (c) 고객의 콘솔·API 설정, (d) privacy@thetaone.co로 전달되는 서면 지시 — 에 따라서만 개인정보를 처리합니다. 지시가 관계 법령 위반이라고 판단하는 경우 즉시 고객에게 통지합니다.
5. 비밀유지
처리 권한이 있는 임직원은 법률 또는 계약상 비밀유지 의무를 부담하며 필요 최소 범위에서만 접근합니다.
6. 안전성 확보 조치
회사는 GDPR 제32조 및 PIPA 제29조에 부합하는 조치를 시행합니다.
- 전송 TLS 1.2 이상, 저장 AES-256 암호화;
- 역할 기반 최소권한 접근통제 및 관리자 MFA;
- API 키·시크릿 자동 탐지·회전;
- 관리자 행위 감사 로그;
- 사고 대응 절차 및 사후 검토;
- 수탁자 실사(수탁자 목록).
7. 재수탁자(Sub-processor)
7.1 고객은 수탁자 목록에 기재된 재수탁자 이용에 일반 승인하며, 회사는 신규 재수탁자 추가 시 최소 30일 전 고지합니다.
7.2 회사는 각 재수탁자에 대해 본 DPA와 동등 이상의 개인정보 보호 의무를 부과합니다.
7.3 고객은 고지 후 30일 이내 합리적 사유로 서면 이의를 제기할 수 있으며, 회사가 수용 불가한 경우 해당 범위에 한해 위약금 없이 해지할 수 있습니다.
8. 국외이전
EEA/영국 외 적정성 결정이 없는 국가로 이전 시 EU 표준계약조항 2021/914(모듈 2, 필요 시 모듈 3) 및 UK International Data Transfer Addendum이 당사자 간에 적용됩니다. PIPA 이전은 개인정보처리방침 제11.2조의 고객 동의에 따라 이루어집니다.
9. 정보주체 요청 대응
회사는 처리 성격에 비추어 고객이 GDPR 제1223조 또는 PIPA 제3537조에 따른 정보주체 요청에 응답할 수 있도록 합리적으로 지원합니다. 회사가 정보주체 요청을 직접 수신한 경우 고객에게 전달하며, 본인이 처리자임을 안내하는 수준을 넘어 실질적으로 응답하지 않습니다.
10. DPIA
회사는 합리적 요청 시 GDPR 제35조 DPIA 및 사전협의에 필요한 정보를 제공합니다.
11. 개인정보 유출 통지
회사는 고객의 개인정보와 관련된 유출 사고 인지 후 부당한 지연 없이, 어떤 경우에도 72시간 이내 고객에게 GDPR 제33조 제3항이 요구하는 정보를 가능한 범위에서 통지하며, 조사 진행에 따라 갱신합니다.
12. 감사
고객은 (a) 회사가 제공하는 제3자 감사 보고서(SOC 2, ISO 27001 등) 검토 또는 (b) 중대한 우려 시 합리적 사전 통지 하 업무시간 내 고객 비용·비밀유지 하에 현장 감사를 실시할 수 있습니다. 감사는 규제기관 요구 또는 유출 사고 후를 제외하고는 12개월당 1회를 넘지 않습니다.
13. 삭제·반환
이용약관 해지 시 회사는 고객의 선택에 따라 90일 이내 개인정보를 삭제 또는 반환합니다. 다만 관계 법령(국내 세법 등)이 요구하는 경우 해당 기간 동안 보관합니다.
14. 책임
이용약관의 책임 상한·배제가 본 DPA에도 적용됩니다.
15. 충돌
개인정보 보호 관련 사항에서 본 DPA와 이용약관이 충돌하는 경우 본 DPA가 우선하고, 그 외 사항은 이용약관이 우선합니다.
16. 연락처
개인정보 보호 관련 수탁자 연락처: privacy@thetaone.co