데이터 처리 계약 (DPA)

버전 1.0 · 최종 수정일: 2026년 4월 29일 · 시행일: 2026년 4월 29일

본 데이터 처리 계약(이하 「본 DPA」라 합니다)은 [ENTITY_NAME](이하 「수탁자」, 「당사」라 합니다)와 LIA 서비스를 이용하는 고객(이하 「위탁자」, 「귀하」라 합니다) 간의 서비스 약관의 일부를 구성합니다. 본 DPA는 위탁자가 유럽 경제 지역(EEA), 영국 또는 스위스에 설립된 경우, 또는 GDPR이 위탁자의 처리에 대해 역외 적용되는 경우에 적용됩니다. 한국에 소재한 위탁자에 대해서는 「개인정보 보호법」(PIPA) 제26조(업무위탁에 따른 개인정보의 처리 제한)에 따른 추가 규정이 적용됩니다.

1. 정의

본 DPA에서 사용되는 용어는 유럽연합 일반 데이터 보호 규정(EU) 2016/679(이하 「GDPR」이라 합니다)에 정의된 의미를 가집니다. 「개인정보」(또는 GDPR상 「개인 데이터」)란 식별되거나 식별 가능한 자연인에 관한 모든 정보를 의미합니다.

2. 대상 및 기간

수탁자는 서비스 약관에 기재된 LIA 서비스 제공의 목적으로만 위탁자를 대신하여 개인정보를 처리합니다. 본 DPA는 서비스 계약 기간 및 종료 후 데이터 보관 기간 동안 효력을 유지합니다.

3. 처리의 성격 및 목적

처리는 LIA 서비스 제공에 필요한 작업으로 한정됩니다:

• 이용자 계정 관리(인증, 청구)
• AI 추론 제공자에게 전송되는 채팅 메시지
• Bridge 세션 텔레메트리(DAW 이름, 버전, 타임스탬프)
• 고객 지원 통신

4. 개인정보 및 정보주체의 범주

정보주체의 범주: 위탁자에 의해 인가된 이용자(개발자, 음악가, 계약자).

개인정보의 범주: 이메일 주소, 해시 처리된 비밀번호(Supabase Auth), 표시명, 결제 메타데이터(카드 정보 미포함), 채팅 메시지, 사용 로그, IP 주소(저장 전 해시 처리됨).

5. 수탁자의 의무

1. 위탁자의 문서화된 지시에 따라서만 개인정보를 처리할 것(제3국으로의 이전 포함)(GDPR 제28조 제3항 a호 / PIPA 제26조).
2. 개인정보를 처리할 권한이 있는 자에게 비밀유지 의무를 부과할 것.
3. 적절한 기술적 및 관리적 안전 조치를 시행할 것(GDPR 제32조 / PIPA 제29조): §9 참조.
4. 사전 서면에 의한 일반적 승인 하에서만 재수탁자를 활용할 것(§8 참조).
5. 정보주체의 권리 행사 요청에 대한 응답에서 위탁자를 지원할 것(GDPR 제15-22조 / PIPA 제35-37조).
6. 개인정보 침해가 발생할 경우 부당한 지연 없이 위탁자에게 통지할 것(GDPR 제33조 / PIPA 제34조): §10 참조.
7. 위탁자의 선택에 따라 서비스 종료 후 모든 개인정보를 삭제하거나 반환할 것(GDPR 제28조 제3항 g호).
8. 준수를 입증하고 감사를 가능하게 하는 데 필요한 모든 정보를 제공할 것(GDPR 제28조 제3항 h호).

6. 위탁자의 의무

위탁자는 본 DPA에 따라 처리되는 개인정보에 대해 모든 필요한 법적 근거(GDPR 제6조)를 취득하였으며, GDPR 제13/14조에 따라 정보주체에게 통지하였음을 보증합니다. 한국 위탁자에 대해서는 PIPA 제15조(수집·이용 동의)와 제17조(국외 이전 동의) 준수에 대한 책임을 부담합니다.

7. 국제 데이터 이전

본 서비스는 유럽연합(독일, 프랑크푸르트, Hostinger / supabase.com EU 리전)에서 호스팅됩니다. 개인정보는 EEA 내에서 처리됩니다. 재수탁자가 EEA 외부에서 데이터를 처리하는 경우(예: 미국의 AI 추론 제공자), 이전은 다음에 의해 규제됩니다:

• EU-US Data Privacy Framework(DPF): 수령자가 인증된 경우;
• 표준 계약 조항(SCC), 모듈 2(위탁자에서 수탁자로), 2021년 EU 위원회 결정 2021/914.

EU 적정성 결정 또는 적절한 보호 조치가 없는 관할 지역으로는 개인정보를 이전하지 않습니다. 한국 위탁자에 대해서는 PIPA 제17조에 따라 국외 이전 시 사전 동의를 취득합니다.

8. 재수탁자

위탁자는 수탁자가 재수탁자를 활용하는 것을 승인합니다. 최신 목록은 /api/legal/subprocessors(인증된 엔드포인트, GDPR 제15조 열람권)에서 확인할 수 있습니다. 수탁자는 변경 예정 사항에 대해 위탁자에게 최소 30일 전에 통지하여, 위탁자가 이의를 제기할 수 있는 합리적인 시간을 제공합니다.

9. 안전 조치 (GDPR 제32조 / PIPA 제29조)

• 전송 중 암호화: 모든 클라이언트-서버 트래픽에 대한 TLS 1.3
• 저장 시 암호화: 데이터베이스 저장에 대한 AES-256(Supabase 관리)
• 액세스 제어: 역할 기반, 관리자 액세스에 대한 MFA
• 네트워크 격리: 서비스가 가능한 경우 루프백 또는 Tailscale 네트워크에 바인딩(다층 방어)
• 로깅: 모든 관리 작업에 대한 감사 추적
• 사고 대응: 보안 이벤트에 대한 문서화된 런북

10. 개인정보 침해 통지

수탁자는 본 DPA에 따라 처리되는 개인정보에 영향을 미치는 모든 침해에 대해 부당한 지연 없이(어떤 경우에도 인지 후 72시간 이내) 위탁자에게 통지합니다. 통지에는 다음이 포함됩니다:

• 침해의 성격 및 대략적 범위
• 영향을 받은 정보주체 및 기록의 범주 및 대략적 수
• 침해를 완화하기 위해 취한 또는 제안된 조치
• 추가 정보를 위한 개인정보 책임자의 연락처

11. 종료

서비스 계약 종료 시, 위탁자의 서면 요청에 따라 수탁자는 모든 개인정보를 삭제하거나 반환합니다. 백업 사본은 다음 정상 백업 회전 주기(최대 90일)에서 삭제됩니다.

12. 책임

본 DPA에 따른 책임은 서비스 약관에 명시된 제한에 의해 규제됩니다. 단, 그러한 제한이 GDPR 제82조(배상 청구권)와 충돌하는 경우는 제외됩니다.

13. 준거법 및 관할

본 DPA는 이탈리아 공화국의 법에 의해 규율됩니다. 관할 법원은 위탁자의 등록 사무소 법원이며, 이것이 EEA 외부에 있는 경우 [SEDE_LEGALE], 이탈리아 법원입니다.

14. 감독기관

개인정보 처리에 관한 불만은 관할 감독기관에 신고할 수 있습니다. 한국에서: 개인정보보호위원회 (PIPC), 서울특별시 종로구 세종대로 209 (정부서울청사).

15. 문의처

본 DPA에 관한 모든 사항: [email protected]