QR Code AI 개인정보 처리 위탁 계약

개인정보 처리 위탁 계약(DPA)

최종 업데이트: 2026년 3월 2일

이 개인정보 처리 위탁 계약("DPA")은 프랑스 쥬비시쉬르오르주(Juvisy-sur-Orge) 27 Rue Wurtz, 우편번호 91260에 등록된 Supernovae(부가가치세 번호 FR67948452891, 이하 "처리자", "당사", "우리")와 본 DPA에 동의하는 법인("관리자", "귀하") 간 체결된 이용 약관("계약")의 일부를 구성합니다. 양측을 통칭하여 "당사자"라고 합니다.

이 DPA는 당사가 QR Code AI 서비스(및 API를 통해)와 관련하여 귀하를 대신해 개인정보를 처리할 때 적용됩니다.

1. 정의

• "개인정보": GDPR 제4조(1)항에 정의된 대로 식별된 또는 식별 가능한 자연인과 관련된 모든 정보를 의미합니다.
• "처리": GDPR 제4조(2)항에 정의된 대로 개인정보에 대해 수행되는 모든 작업 또는 작업 집합을 의미합니다.
• "정보주체": 개인정보와 관련된 식별된 또는 식별 가능한 자연인을 의미합니다.
• "하위 처리자": 처리자가 관리자를 대신해 개인정보를 처리하도록 고용하는 제3자를 의미합니다.
• "GDPR": 유럽 의회 및 이사회 규정(EU) 2016/679를 의미합니다.
• "UK GDPR": 2018년 데이터 보호법에 의해 영국 법률로 전환된 GDPR을 의미합니다.
• "표준 계약 조항(SCCs)": 유럽 위원회가 제3국으로의 개인정보 이전을 위해 승인한 표준 계약 조항을 의미합니다.
• "데이터 위반": 개인정보의 우발적 또는 불법적 파기, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 위반을 의미합니다.

2. 범위 및 역할

2.1 관리자 및 처리자

본 DPA의 목적상:

• 귀하(관리자): 귀하가 당사의 서비스를 사용할 때, 특히 귀하의 고객을 위한 QR코드를 생성하거나 귀하의 제품에 당사의 서비스를 통합하기 위해 API를 사용할 때 개인정보 처리의 목적과 수단을 결정합니다.
• 당사(처리자): 본 DPA 및 계약에 명시된 대로 귀하의 지시에 따라 귀하를 대신해 개인정보를 처리합니다.

2.2 본 DPA의 적용 시점

본 DPA는 다음 경우에 적용됩니다:

• 귀하의 최종 사용자 데이터(예: 개인정보가 포함된 URL, vCard 데이터, QR코드에 인코딩된 연락처 정보)를 처리하는 QR Code AI API를 사용할 때
• 귀하의 최종 사용자로부터 스캔 데이터를 수집하는 QR Code AI 추적 및 분석 기능을 사용할 때
• 당사가 데이터 처리자로서 귀하를 대신해 개인정보를 처리하는 기타 모든 시나리오

귀하가 개인 사용자로서 자신의 목적을 위해 QR Code AI를 사용하는 경우, 당사는 독립적인 개인정보 처리자로서 행동하며, 데이터 처리는 당사의 개인정보 처리방침에 따릅니다.

3. 데이터 처리 세부사항

3.1 처리 대상 및 기간

당사는 QR코드 생성, 추적, 분석 및 관련 기능을 포함한 QR Code AI 서비스를 제공하기 위해 계약 기간 동안 개인정보를 처리합니다.

3.2 처리의 성격 및 목적

• 관리자가 제공한 입력 데이터를 기반으로 QR코드 생성
• QR코드 스캔 추적 및 분석 데이터 수집
• QR코드 구성 및 관련 메타데이터 저장
• AI 생성 아트형 QR코드 요청 처리
• 보고서 및 분석 대시보드 제공

3.3 처리되는 개인정보 유형

처리되는 개인정보 유형은 다음과 같습니다:

• QR코드에 인코딩된 연락처 정보(이름, 이메일 주소, 전화번호)
• URL 및 웹 주소
• QR코드 스캔에서 수집된 위치 데이터
• QR코드 스캔에서 수집된 장치 정보 및 IP 주소
• AI QR코드 생성을 위해 제공된 텍스트 프롬프트 및 이미지
• 관리자가 QR코드에 인코딩하기로 선택한 기타 모든 데이터

3.4 정보주체 범주

• 관리자가 생성한 QR코드를 스캔하는 최종 사용자
• QR코드에 연락처 정보가 인코딩된 개인
• QR코드와 상호작용하는 관리자의 제품 또는 서비스 사용자

4. 처리자의 의무

4.1 처리 지시사항

당사는 귀하의 문서화된 지시사항에 따라 개인정보를 처리합니다. 단, 당사가 적용받는 EU 또는 회원국 법률에 따라 처리가 요구되는 경우는 예외입니다. 이 경우, 당사는 처리 전에 해당 법적 요구사항을 귀하에게 통지합니다. 다만, 공공의 중대한 이익상 그러한 정보 제공이 법률에 의해 금지되는 경우는 제외됩니다.

4.2 기밀 유지

당사는 개인정보 처리 권한이 있는 자들이 기밀 유지에 대해 서약했거나 적절한 법정 기밀 유지 의무를 부담하고 있음을 보장합니다.

4.3 보안 조치

당사는 위험에 적합한 수준의 보안을 보장하기 위해 적절한 기술적·조직적 조치를 시행합니다. 여기에는 다음이 포함됩니다:

• 전송 중(TLS/HTTPS) 및 저장 중 개인정보 암호화
• 내부 시스템에 대한 접근 통제 및 역할 기반 인증
• 정기적인 보안 평가 및 취약점 스캔
• ISO 27001 인증을 받은 제공업체를 통한 인프라 호스팅
• DDoS 보호 및 웹 애플리케이션 방화벽(Cloudflare)
• 암호화된 저장소를 사용한 정기 백업
• 개인정보 접근에 대한 로깅 및 모니터링

4.4 하위 처리자

당사는 하위 처리자 페이지에 나열된 하위 처리자를 사용합니다. 하위 처리자에 대한 변경이 예정될 경우 해당 페이지를 업데이트하여 귀하에게 통지합니다. 귀하는 업데이트 후 30일 이내에 [email protected]으로 연락하여 새로운 하위 처리자에 이의를 제기할 수 있습니다. 귀하가 이의를 제기하고 당사가 귀하의 이의를 합리적으로 수용할 수 없는 경우, 어느 당사자든 해당 서비스 부분을 종료할 수 있습니다.

당사는 모든 하위 처리자와 본 DPA보다 덜 보호적이지 않은 개인정보 보호 의무를 부과하는 서면 계약을 체결합니다.

4.5 정보주체 권리

당사는 정보주체가 적용 가능한 개인정보 보호법상의 권리(접근, 정정, 삭제, 제한, 이전성, 이의 제기)를 행사하는 요청에 대해 귀하가 응답하는 것을 지원합니다. 정보주체가 직접 요청을 보내는 경우, 별도 지시가 없는 한 즉시 해당 요청을 귀하에게 전달합니다.

4.6 준수 지원

당사는 처리의 성격 및 당사가 보유한 정보를 고려하여 GDPR 제32조부터 제36조까지의 귀하의 의무를 준수하는 것을 지원합니다.

5. 데이터 위반 통지

5.1 통지 시한

당사는 데이터 위반을 인지한 후 지체 없이, 어떠한 경우에도 72시간 이내에 귀하에게 통지합니다. 통지는 귀하 계정과 연결된 이메일 주소로 발송됩니다.

5.2 통지 내용

통지에는 가능한 범위 내에서 다음이 포함됩니다:

• 데이터 위반의 성격 설명(영향을 받은 정보주체 및 기록의 범주와 대략적인 수 포함)
• 당사의 개인정보 보호 담당자의 이름 및 연락처 정보
• 데이터 위반의 예상 결과 설명
• 데이터 위반을 해결하기 위해 취하거나 제안한 조치 설명(가능한 부정적 영향을 완화하기 위한 조치 포함)

5.3 지속적 협력

당사는 귀하와 협력하여 데이터 위반 조사, 완화 및 시정을 위한 합리적인 지원을 제공하며, 귀하가 감독 당국 또는 정보주체에게 통지해야 하는 경우 이를 지원합니다.

6. 국제 데이터 이전

6.1 데이터 위치

개인정보는 주로 유럽연합(EU) 내에서 저장 및 처리됩니다:

• 프랑스(EU): Scaleway를 통해
• 네덜란드(EU): DigitalOcean을 통해

6.2 EU/EEA 외부 이전

일부 하위 처리자는 주로 미국을 포함한 EU/EEA 외부에 위치합니다. 이러한 이전의 경우 다음을 근거로 삼습니다:

• EU-US 데이터 프라이버시 프레임워크: 프레임워크 인증을 받은 미국 기반 제공업체로의 이전에 적용 가능할 경우
• 표준 계약 조항(SCCs): 데이터 프라이버시 프레임워크가 적용되지 않는 EU/EEA 외부에 위치한 하위 처리자와의 계약에 유럽 위원회 승인 SCCs(위원회 이행 결정(EU) 2021/914)를 포함합니다.

6.3 이전 영향 평가

당사는 제3국으로의 이전에 대해 이전 영향 평가를 수행하며, 적절한 수준의 개인정보 보호를 보장하기 위해 필요한 경우 보완 조치를 시행합니다.

7. 감사 및 검사

7.1 감사 권리

귀하는 본 DPA 준수 여부를 감사할 권리가 있습니다. 당사는 귀하가 준수 여부를 입증하는 데 필요한 모든 정보를 제공하며, 귀하 또는 귀하가 지정한 감사인이 수행하는 감사(검사 포함)를 허용하고 기여합니다.

7.2 감사 절차

감사는 다음 조건을 따릅니다:

• 귀하는 감사 최소 30일 전에 서면으로 통지해야 합니다.
• 감사는 연 1회를 초과할 수 없습니다. 단, 감독 당국의 요구가 있거나 데이터 위반이 발생한 경우는 예외입니다.
• 감사는 정상적인 영업 시간 내에 수행되어야 하며, 당사의 운영을 부당하게 방해해서는 안 됩니다.
• 귀하는 감사 비용을 부담합니다. 단, 감사 결과 본 DPA의 중대한 위반이 드러난 경우는 제외됩니다.
• 감사 과정에서 당사의 다른 고객의 기밀 정보가 노출되어서는 안 됩니다.

8. 데이터 보유 및 삭제

8.1 계약 기간 중

당사는 서비스 제공에 필요한 기간 동안 계약 기간 내 개인정보를 보유합니다.

8.2 계약 종료 시

계약 종료 또는 귀하의 서면 요청 시:

• 당사는 30일 이내에 활성 시스템에서 개인정보를 삭제합니다.
• 백업 아카이브의 개인정보는 6개월 이내에 완전히 삭제됩니다.
• 적용 법률(예: 세금, 회계 의무)에 따라 개인정보를 보유해야 하는 경우, 해당 데이터를 격리 및 보호하며 법률에서 요구하는 범위 내에서만 추가 처리를 제한합니다.

8.3 확인서

귀하의 요청 시, 당사는 본 조항에 따라 개인정보가 삭제되었음을 확인하는 서면 증명서를 제공합니다.

9. 책임

본 DPA상 각 당사자의 책임은 계약에 명시된 책임 제한 조항의 적용을 받습니다. 본 DPA의 어떠한 조항도 적용 가능한 개인정보 보호법상 정보주체 또는 감독 당국에 대한 어느 당사자의 책임을 제한하지 않습니다.

10. 준거법

본 DPA는 프랑스 법률에 따라 규율됩니다. EU 내 정보주체의 경우 GDPR이 적용되며, 영국 내 정보주체의 경우 UK GDPR이 적용됩니다. 본 DPA로 인해 발생하는 모든 분쟁은 계약의 분쟁 해결 조항에 따라 해결됩니다.

11. 본 DPA의 체결 방법

본 DPA는 이용 약관에 통합되어 그 일부를 구성합니다. QR Code AI 서비스를 사용함으로써 귀하는 본 DPA에 동의합니다.

귀하의 기록을 위해 별도 서명된 DPA 사본이 필요한 경우, [email protected]으로 연락하시면 10영업일 이내에 제공해 드립니다.

12. 연락처

본 DPA 또는 당사의 데이터 처리 관행에 관한 문의는 다음으로 하시기 바랍니다:

Supernovae 27 Rue Wurtz Juvisy-sur-Orge, Ile-de-France 91260 France [email protected]