1. 당사자
본 데이터 처리 계약("DPA")은 다음 당사자 간에 체결됩니다:
- 데이터 처리자: Hareki LLC, New Mexico, USA ("Hareki", "당사")
- 데이터 관리자: Hareki Studio 플랫폼을 사용하는 자연인 또는 법인 ("사용자", "귀하")
본 DPA는 Hareki Studio 이용약관의 불가분의 일부이며, 사용자를 대신한 개인정보 처리에 관한 당사자의 권리와 의무를 규정합니다.
2. 정의
- 개인정보: 식별되었거나 식별 가능한 자연인에 관한 모든 정보 (GDPR 제4조 제1항, KVKK 제3조 라목).
- 민감 개인정보: 인종, 민족, 정치적 견해, 종교, 건강 데이터 등 민감한 범주 (GDPR 제9조, KVKK 제6조).
- 데이터 처리: 수집, 기록, 구성, 저장, 변경, 이전, 삭제를 포함한 개인정보에 대해 수행되는 모든 작업.
- 하위 처리자: 데이터 처리자를 대신하여 개인정보를 처리하도록 계약된 제3자 서비스 제공업체.
- 데이터 침해: 개인정보의 무단 접근, 분실, 파괴, 변경 또는 공개로 이어지는 보안 사고.
- 데이터 관리자: 개인정보 처리의 목적과 수단을 결정하는 자연인 또는 법인.
- 데이터 처리자: 데이터 관리자의 대리로 그 권한 하에 개인정보를 처리하는 자연인 또는 법인.
3. 처리의 범위 및 목적
Hareki Studio 플랫폼에서 다음 범주의 개인정보가 처리됩니다:
| 데이터 범주 | 처리 목적 | 법적 근거 |
|---|
| 브랜드 데이터 (로고, 컬러, 보이스 톤) | AI 콘텐츠 생성 | 계약 이행 |
| 계정 정보 (성명, 이메일) | 서비스 제공, 인증 | 계약 이행 |
| 결제 데이터 | Stripe를 통한 청구 | 계약 이행 |
| 사용 데이터 (로그, 설정) | 서비스 개선, 오류 추적 | 정당한 이익 |
| 생성된 콘텐츠 | 콘텐츠 관리 및 내보내기 | 계약 이행 |
민감 개인정보는 처리되지 않습니다. 플랫폼은 건강, 생체인식 또는 유전자 데이터를 수집하지 않습니다.
4. 데이터 처리자의 의무
Hareki LLC는 데이터 처리자로서 다음 의무를 부담합니다:
- 지시 준수: 데이터 관리자의 문서화된 서면 지시에 따라서만 개인정보를 처리합니다. 법적 의무에 의해 달리 처리해야 하는 경우 사전에 데이터 관리자에게 알립니다.
- 비밀 유지 의무: 개인정보에 접근하는 모든 인력이 비밀 유지 의무를 준수하도록 보장합니다. 이 의무는 고용 관계 종료 후에도 계속됩니다.
- 보안 조치: GDPR 제32조에 따라 처리의 성격에 적합한 기술적 및 조직적 보안 조치를 시행합니다(부록에 상세 내용).
- 하위 처리자 사용: 하위 처리자를 계약하기 전에 데이터 관리자의 사전 일반 서면 동의를 받습니다. 새로운 하위 처리자 추가 시 30일 전에 사전 통지합니다.
- 지원 의무: 정보주체의 권리(접근, 정정, 삭제, 이동) 행사에 필요한 기술 지원을 데이터 관리자에게 제공합니다.
- 데이터 삭제/반환: 처리 관계 종료 시 데이터 관리자의 선호에 따라 모든 개인정보를 삭제하거나 반환합니다. 법적 보관 의무에 따릅니다.
- 감사 권한: 데이터 관리자 또는 그가 지정한 독립 감사인이 본 DPA의 의무 준수를 확인하기 위해 합리적인 감사를 수행할 수 있음을 수락합니다.
5. 하위 처리자
Hareki Studio는 서비스 제공을 위해 다음 하위 처리자를 사용합니다:
| 하위 처리자 | 서비스 | 위치 |
|---|
| Vercel Inc. | 호스팅, CDN, 엣지 네트워크 | San Francisco, CA, USA |
| Supabase Inc. | 데이터베이스, 인증 | San Francisco, CA, USA |
| OpenRouter / OpenAI | AI 콘텐츠 처리 | San Francisco, CA, USA |
| Stripe Inc. | 결제 처리 | San Francisco, CA, USA |
| Sentry | 오류 추적 및 성능 | San Francisco, CA, USA |
| Resend | 이메일 전송 | USA |
변경 통지: 새로운 하위 처리자를 추가하거나 기존 하위 처리자를 변경할 때 최소 30일 전에 데이터 관리자에게 서면으로 통지합니다.
데이터 관리자는 통지일로부터 14일 이내에 합리적인 근거와 함께 이의를 제기할 수 있습니다. 이의가 해결되지 않으면 데이터 관리자는 계약을 해지할 수 있습니다.
6. 국외 데이터 이전
Hareki LLC는 미국에 본사를 두고 있으며, 개인정보는 미국 서버에서 처리됩니다. EU/EEA 또는 터키로부터의 데이터 이전에 대해 다음 보호 메커니즘이 적용됩니다:
- 표준 계약 조항 (SCC): 유럽위원회의 2021년 6월 4일 시행 결정(2021/914)에 따른 현행 표준 계약 조항이 적용됩니다.
- EU-미국 데이터 개인정보 보호 프레임워크: 하위 처리자의 관련 인증이 유효한 범위 내에서 추가 보호 메커니즘으로 고려됩니다.
- 추가 보호 조치: 이전되는 데이터에 대해 종단간 암호화(TLS 1.3), 가명화 및 접근 통제가 적용됩니다.
- KVKK 준수: 터키로부터의 이전에 대해 법률 제6698호 KVKK 제9조에 따른 필요한 확약 및 위원회 결정 준수가 보장됩니다.
7. 데이터 침해 통지
개인정보 침해가 감지된 경우, Hareki LLC는:
- 침해를 인지한 시점으로부터 최대 72시간 이내에 데이터 관리자에게 서면으로 통지합니다.
- 통지에는 다음 정보가 포함됩니다:
- 침해의 성격 및 범위
- 영향을 받은 데이터 범주 및 예상 기록 수
- 침해로 인한 가능한 결과
- 취한 조치 및 권장 조치
- 담당자 정보
- 침해의 영향을 완화하고 재발을 방지하기 위한 필요한 즉각적 조치를 취합니다.
- 조사 및 보고 과정에서 데이터 관리자에게 완전한 협조를 제공합니다.
- 침해와 관련된 모든 사실, 영향 및 시정 조치를 문서화합니다.
8. 기술적 및 조직적 조치 (부록)
GDPR 제32조에 따라 적용되는 보안 조치:
8.1 암호화
- 전송 중 데이터: TLS 1.3 프로토콜
- 저장 중 데이터: AES-256 암호화
- 데이터베이스 연결: SSL/TLS 필수
- 백업: 암호화 저장
8.2 접근 통제
- 역할 기반 접근 통제 (RBAC)
- Supabase Row Level Security (RLS) — 데이터베이스 수준 격리
- 테넌트 기반 데이터 분리 — 멀티 테넌트 아키텍처
- 최소 권한 원칙
8.3 인증
- 비밀번호 해시: bcrypt 알고리즘
- OAuth 2.0 통합 (Google, Apple, Microsoft, LinkedIn)
- 세션 관리: JWT 토큰, 보안 쿠키
- 속도 제한: 무차별 대입 공격 방지
8.4 모니터링 및 로깅
- 애플리케이션 오류 추적: Sentry
- 접근 로그 및 감사 추적
- 비정상 활동 감지
8.5 백업 및 재해 복구
- 일일 자동 데이터베이스 백업
- 지리적으로 분산된 백업
- 특정 시점 복구(Point-in-time recovery) 기능
- 재해 복구 계획 및 정기적 테스트
8.6 인력 및 조직
- 데이터 보호 인식 교육
- 비밀 유지 계약 (NDA)
- 정기적 접근 권한 검토
- 보안 사고 대응 절차
9. 기간 및 해지
- 본 DPA는 이용약관이 발효됨에 따라 효력이 발생하며, 서비스 관계가 유지되는 동안 유효합니다.
- 서비스 관계 종료 시, 데이터 처리자는 30일 이내에 모든 개인정보를 데이터 관리자에게 삭제하거나 반환합니다.
- 법적 보관 의무에 따라 보유되는 데이터는 해당 기간 종료 시 자동으로 삭제됩니다.
- 데이터 삭제 프로세스가 완료되면 데이터 관리자에게 서면 확인이 발송됩니다.
10. 준거법
- GDPR: 유럽연합 일반 데이터 보호 규정(Regulation 2016/679) — EU/EEA 시민의 데이터에 적용.
- KVKK: 개인정보 보호에 관한 법률 제6698호 — 터키 공화국 시민의 데이터에 적용.
- 분쟁 해결: 당사자 간 분쟁은 먼저 우호적 해결을 시도합니다. 해결에 이르지 못할 경우 미국 뉴멕시코주 법원이 관할권을 가집니다.
최종 업데이트: 2026년 3월 12일 · 연락처: legal@hareki.com