개인정보 처리위탁 계약서 (DPA)
시행일: 2026년 6월 1일
본 계약서는 두비즈(Dobiz) 서비스를 이용하는 B2B 고객사(이하 "위탁자")와 주식회사 래퓨(이하 "수탁자") 간의 개인정보 처리위탁에 관한 사항을 규정합니다. 서비스 이용 계약 체결 시 본 DPA도 함께 체결된 것으로 간주합니다. 별도 날인이 필요한 경우 privacy@dobiz.kr로 문의해 주세요.
제1조 (목적 및 범위)
본 계약은 위탁자가 두비즈 서비스 이용 과정에서 수탁자에게 위탁하는 개인정보 처리 업무의 범위, 목적, 방법 및 수탁자의 의무 등을 규정하여 개인정보가 안전하게 처리될 수 있도록 함을 목적으로 합니다.
제2조 (위탁 업무의 내용)
| 위탁 업무 | 처리 목적 | 처리 항목 | 보유 기간 |
|---|---|---|---|
| ERP 데이터 저장·처리 | 재고·매출·구매·인사 등 업무 데이터 관리 | 임직원 정보, 거래처 담당자 정보, 급여·근태 정보 | 위탁 계약 종료 후 30일 |
| AI 기능 제공 | 영수증 OCR, 문서 분석, 경영 인사이트 생성 | 업로드 이미지, 입력 텍스트(개인정보 포함 가능) | 요청 처리 즉시 파기 |
| 알림 이메일 발송 | 서비스 알림, 정산 보고, 이벤트 안내 | 임직원 이메일 주소 | 발송 후 로그 1년 보유 |
| 은행·카드 데이터 수집 | 은행·카드 거래 내역 자동 수집 (바로빌) | 계좌번호, 거래 내역 | 수집 즉시 DB 저장, 계약 종료 후 30일 |
제3조 (수탁자의 의무)
개인정보보호
- 수탁자는 위탁받은 개인정보를 위탁 목적 이외의 용도로 처리하지 않습니다.
- 수탁자는 개인정보보호법 제26조에 따른 수탁자의 의무를 준수합니다.
- 수탁자는 개인정보 처리 직원에 대한 정기적인 보안 교육을 실시합니다.
기술적·관리적 보호 조치
- 모든 전송 구간 TLS 1.2 이상 암호화
- 데이터베이스 Row Level Security(RLS)를 통한 테넌트 간 완전 격리
- 비밀번호 bcrypt 해시 저장, 서비스 자격증명 별도 관리
- 접근 권한 최소화 및 접근 이력 로그 보관
- 정기적인 취약점 점검 및 보안 패치 적용
재위탁 제한
수탁자는 위탁자의 사전 동의 없이 개인정보 처리 업무를 제3자에게 재위탁하지 않습니다. 단, 서비스 운영에 필수적인 인프라 서비스(제5조 목록)는 사전 공개된 재수탁자입니다.
제4조 (위탁자의 권리)
- 감사권: 위탁자는 개인정보 처리 현황에 대해 연 1회 서면 감사를 요청할 수 있습니다. 감사는 사전에 14일 통보 후 진행합니다.
- 지시권: 위탁자는 처리 방법, 보안 조치 등에 관해 합리적인 지시를 할 수 있으며, 수탁자는 이를 이행합니다.
- 정보주체 권리 지원: 위탁자가 정보주체의 열람·정정·삭제·이동 요청을 접수한 경우, 수탁자는 10영업일 이내에 이행을 지원합니다.
제5조 (재수탁자 목록)
수탁자는 아래 재수탁자를 이용하며, 변경 시 위탁자에게 사전 통보합니다.
| 재수탁자 | 국가 | 처리 업무 | 개인정보처리방침 |
|---|---|---|---|
| Supabase, Inc. | 미국 (AWS Seoul) | 데이터베이스·인증·스토리지 | supabase.com/privacy |
| Google LLC | 미국 | AI 분석(Gemini API) — 이미지, 텍스트 | policies.google.com/privacy |
| Resend, Inc. | 미국 | 트랜잭션 이메일 발송 | resend.com/legal/privacy-policy |
| 바로빌(Barobill) | 한국 | 은행·카드·세무 스크래핑 API | https://dev.barobill.co.kr |
| Vercel, Inc. | 미국 | 서버리스 컴퓨팅·CDN | vercel.com/legal/privacy-policy |
제6조 (개인정보 침해 사고 대응)
- 수탁자는 개인정보 침해 사고 인지 즉시 위탁자에게 통보합니다.
- 통보 내용: 사고 발생 일시·경위, 유출 항목·규모, 즉각 조치 내용, 추가 피해 방지 방안
- 통보는 이메일(계약서에 기재된 위탁자 담당자)로 하며, 긴급 시 전화로 먼저 통보 후 서면 보완합니다.
- 수탁자는 개인정보 침해 신고 및 당국 대응에 위탁자를 지원합니다.
제7조 (계약 종료 시 데이터 처리)
서비스 이용 계약 종료 또는 위탁자 요청 시, 수탁자는 아래와 같이 처리합니다.
- 데이터 반환: 위탁자는 서비스 내보내기 기능을 통해 데이터를 직접 다운로드할 수 있습니다.
- 삭제: 계약 종료 후 30일 이내에 위탁자의 모든 개인정보를 복구 불가능한 방법으로 삭제합니다.
- 삭제 확인서: 요청 시 삭제 완료 확인서를 서면으로 제공합니다.
- 법령 보존 의무 예외: 전자상거래법, 부가가치세법 등 관련 법령에 따라 보존이 의무화된 데이터는 해당 기간 동안 별도 보관 후 파기합니다.
제8조 (손해배상)
수탁자의 의무 위반으로 위탁자 또는 정보주체에게 손해가 발생한 경우, 수탁자는 개인정보보호법 제26조 제6항에 따라 위탁자와 연대하여 손해를 배상합니다. 단, 수탁자의 귀책 사유가 없는 경우에는 그러하지 않습니다.
제9조 (계약의 효력)
본 DPA는 두비즈 서비스 이용약관과 함께 적용되며, 이용약관과 본 DPA가 상충하는 경우 개인정보 처리에 관한 사항은 본 DPA가 우선 적용됩니다. 본 DPA는 서비스 이용 계약 기간 동안 유효하며, 계약 종료 후 데이터 삭제 완료 시까지 존속합니다.
제10조 (문의처)
| 항목 | 내용 |
|---|---|
| 수탁자 (주식회사 래퓨) | |
| 개인정보보호책임자 | 대표이사 |
| 이메일 | privacy@dobiz.kr |
| 주소 | 서울특별시 금천구 서부샛길 606, 대성디폴리스지식산업센터 B117호 (가산동) |
| 별도 날인 DPA 요청 | privacy@dobiz.kr로 회사명, 담당자명, 이메일 기재하여 요청 |