--- title: "데이터 처리 계약 (DPA)" description: "최종 업데이트: 2026년 5월 30일" canonical_url: "https://getminds.ai/legal/ko/dpa" last_updated: "2026-06-02T02:49:31.001Z" --- # 데이터 처리 계약 (DPA) **최종 업데이트: 2026년 5월 30일** 이 데이터 처리 계약("DPA")은 GDPR 제28조에 따라 Art of X UG (haftungsbeschränkt) ("처리자", "우리", "저희")와 고객("관리자", "당신") 간의 계약의 일부로, 저희 서비스 사용에 관한 것입니다("주요 계약"). ## 1. 정의 - **개인 데이터**: 식별되거나 식별 가능한 자연인과 관련된 모든 정보(Art. 4(1) GDPR). - **처리**: 개인 데이터에 대해 수행되는 모든 작업으로, 수집, 저장, 사용 및 삭제를 포함합니다(Art. 4(2) GDPR). - **하위 처리자**: 개인 데이터를 처리하기 위해 처리자가 고용한 제3자. - **GDPR**: 규정 (EU) 2016/679 (일반 데이터 보호 규정). - **데이터 유출**: 개인 데이터의 우발적 또는 불법적인 파괴, 손실, 변경, 무단 공개 또는 접근으로 이어지는 보안 위반(Art. 4(12) GDPR). ## 2. 처리의 범위 및 기간 2.1 이 DPA는 처리자가 관리자를 대신하여 서비스와 관련하여 모든 개인 데이터 처리에 적용됩니다. 2.2 처리자는 주요 계약에 설명된 서비스 제공을 위한 목적과 관리자의 문서화된 지침에 따라 개인 데이터를 처리해야 합니다. 2.3 처리 기간은 주요 계약의 기간에 해당하며, 이 DPA의 조항에서 추가 의무가 발생하지 않는 한 그렇습니다. ## 3. 데이터 처리 세부사항
카테고리 설명
주제 AI 기반 플랫폼 "Minds"의 제공, AI 어시스턴트, 합성 패널, 그룹 기반 시뮬레이션, API/MCP 접근, 브라우저 확장 및 위젯 워크플로우, 통합, 음성/메시징 기능 및 관련 서비스 포함
기간 주요 계약의 기간 동안
성격 및 목적 관리자가 제공한 데이터의 호스팅, 인증, 저장, 검색, 분석, 시뮬레이션 및 출력 생성; Google Calendar, 공개 API/MCP 접근, 소스 추출, 메시징/음성 및 청구와 같은 선택적 통합 운영. 관리자의 데이터는 관리자가 명시적으로 동의하지 않는 한 일반 목적 모델이나 제3자가 접근할 수 있는 모델의 훈련에 사용되지 않습니다. AI 하위 처리자는 가능한 경우 API 엔드포인트 및 계약상의 비훈련/보존 통제를 통해 접근합니다.
개인 데이터 유형 연락처 데이터(이름, 이메일), 접근 자격 증명, 사용 데이터, 관리자가 제공한 콘텐츠 데이터(텍스트, 이미지, 오디오, 파일, URL), 프롬프트 및 출력, 임베딩, API 키, OAuth 토큰, 캘린더 이벤트/참석자 메타데이터, 전화/메시지/통화 메타데이터 및 오디오(활성화된 경우), 기술 데이터(IP 주소, 브라우저, 장치), 결제 데이터(Stripe를 통해), 감사 및 보안 로그
데이터 주체 카테고리 관리자의 직원 및 대리인, 관리자가 초대한 최종 사용자, 관리자가 플랫폼에 입력한 데이터의 개인, 제출된 콘텐츠, 캘린더 이벤트, 메시지 또는 공개 출처에 언급된 개인
## 4. 지침 권리 4.1 처리자는 관리자의 문서화된 지침에 따라 개인 데이터를 처리해야 하며, 이 DPA 및 주요 계약에 명시된 지침을 포함합니다. 처리자가 적용받는 유럽연합 또는 회원국 법률에 의해 요구되는 경우를 제외하고는 그렇습니다. 이 경우, 처리자는 처리 전에 해당 법적 요구 사항을 관리자에게 알려야 하며, 해당 법률이 그러한 정보를 금지하지 않는 한 그렇습니다. 4.2 지침은 서면 또는 텍스트 형식(이메일 포함)으로 제공될 수 있습니다. 구두 지침은 지체 없이 텍스트 형식으로 확인되어야 합니다. 4.3 처리자는 처리자가 생각하기에 지침이 데이터 보호 법률을 위반하는 경우 즉시 관리자에게 알려야 합니다(Art. 28(3) 문장 3 GDPR). 처리자는 관련 지침의 실행을 관리자가 확인하거나 수정할 때까지 중단할 권리가 있습니다. ## 5. 처리자 의무 처리자는 다음을 수행해야 합니다: 5.1 관리자의 지침 범위 내에서만 개인 데이터를 처리하고, 자신의 목적을 위해서는 처리하지 않아야 합니다. 5.2 개인 데이터를 처리할 권한이 있는 사람들이 기밀 유지에 서약했거나 적절한 법적 기밀 유지 의무를 지고 있는지 확인해야 합니다(Art. 28(3)(b) GDPR). 5.3 이 DPA의 기간 동안 Art. 32 GDPR에 따라 적절한 기술적 및 조직적 조치를 구현하고 유지해야 합니다. 현재의 TOM은 이 DPA의 **부록 1 – 기술적 및 조직적 조치 (TOM)**에 설명되어 있으며 [https://getminds.ai/legal/tom](/legal/tom)에서 확인할 수 있습니다. 5.4 처리자는 처리와 관련하여 GDPR 또는 기타 데이터 보호 규정의 위반 사실을 인지하는 즉시 관리자를 알려야 합니다. 5.5 법률에 의해 요구되는 경우 데이터 보호 책임자를 지정해야 합니다. 현재 데이터 보호 책임자는: Prof. Dr. Norman Uhlmann, h3ko Innovations GmbH, Pappelallee 64, 16359 Biesenthal, Germany. 이메일: [privacy@getminds.ai](mailto:privacy@getminds.ai) ## 6. 데이터 주체 권리 6.1 처리자는 가능한 한 적절한 기술적 및 조직적 조치를 통해 관리자가 GDPR 제3장에 규정된 데이터 주체의 권리 행사 요청에 응답할 수 있도록 지원해야 합니다(접근, 수정, 삭제, 처리 제한, 데이터 이동성, 반대). 6.2 데이터 주체가 요청을 가지고 처리자에게 직접 연락하는 경우, 처리자는 지체 없이 요청을 관리자에게 전달해야 합니다. ## 7. 데이터 보호 의무 지원 7.1 처리자는 처리의 성격 및 처리자가 보유한 정보를 고려하여, GDPR 제32조에서 36조에 따른 의무 준수를 보장하기 위해 관리자를 지원해야 합니다. 특히: - 처리의 보안 보장(Art. 32 GDPR); - 감독 기관에 대한 개인 데이터 유출 통지(Art. 33 GDPR) 및 데이터 주체에 대한 통지(Art. 34 GDPR); - 데이터 보호 영향 평가 수행(Art. 35 GDPR); - 감독 기관과의 사전 상담(Art. 36 GDPR). 7.2 처리자는 위임된 처리와 관련하여 데이터 보호 감독 기관의 요청 및 조사에 대해 관리자를 지원해야 합니다. ## 8. 하위 처리자 8.1 관리자는 이 섹션의 요구 사항에 따라 Art. 28(2) GDPR에 따라 하위 처리자를 고용할 수 있는 일반 서면 승인을 처리자에게 부여합니다. 8.2 이 DPA 체결 시 현재의 하위 처리자는 [https://getminds.ai/legal/subprocessors](/legal/subprocessors)에 나열되어 있습니다. 8.3 처리자는 계획된 변경의 최소 **14일** 전에 하위 처리자의 추가 또는 교체를 관리자에게 통지해야 하며, 관리자가 이의 제기를 할 수 있는 기회를 제공합니다. 8.4 관리자가 통지 기간 내에 이의를 제기하는 경우, 당사자들은 우호적인 해결을 위해 노력해야 합니다. 가능하지 않은 경우, 관리자는 주요 계약을 즉시 종료할 권리가 있습니다. 8.5 처리자는 하위 처리자가 이 DPA에 명시된 것보다 덜 보호적인 데이터 보호 의무에 구속되지 않도록 계약적으로 보장해야 합니다(Art. 28(4) GDPR). 처리자는 하위 처리자의 행위 및 누락에 대해 자신의 행위 및 누락에 대해 책임을 집니다. ## 9. 국제 전송 9.1 제3국에서의 개인 데이터 처리 또는 국제 기구에 의한 처리는 오직 GDPR 제44조 및 그 이후의 특정 조건이 충족되는 경우에만 이루어져야 합니다. 9.2 미국에 위치한 하위 처리자에 대한 전송은 다음을 기반으로 수행됩니다: - 하위 처리자가 인증된 경우 EU-US 데이터 프라이버시 프레임워크(DPF) - 위원회 시행 결정 (EU) 2021/914에 따른 표준 계약 조항(SCC) 9.3 영국에 있는 하위 처리자에 대해서는 유럽연합 집행위원회의 적합성 결정(결정 2021/1772)이 적용됩니다. 9.4 처리자는 적용 가능한 적합성 결정 및 전송 메커니즘의 상태를 모니터링하며, 변경 사항이 전송 기준 조정을 요구하는 경우 관리자에게 알려야 합니다. 9.5 처리자 또는 그 하위 처리자가 개인 데이터 공개를 위한 정부 명령(미국 CLOUD 법, FISA 또는 유사한 법률에 따른 명령 포함)을 받는 경우, 처리자는 법적으로 허용되는 범위 내에서 지체 없이 관리자에게 알려야 합니다. 처리자는 명령의 합법성을 검토하고 개인 데이터를 공개하기 전에 합리적인 법적 구제를 추구해야 합니다. ## 10. 개인 데이터 유출 통지 10.1 처리자는 개인 데이터 유출을 인지하는 즉시, 그리고 어떤 경우에도 **48시간** 이내에 관리자에게 통지해야 합니다. 10.2 통지에는 최소한 다음이 포함되어야 합니다: - 위반의 성격에 대한 설명, 가능하다면 관련된 데이터 주체 및 데이터 기록의 범주와 대략적인 수; - 데이터 보호 책임자 또는 기타 연락처의 이름 및 연락처 정보; - 위반의 가능한 결과에 대한 설명; - 위반을 해결하고 그 영향을 완화하기 위해 취한 조치 또는 제안된 조치에 대한 설명. 10.3 처리자는 GDPR 제33조 및 34조에 따른 통지 의무를 이행하는 데 있어 관리자를 지원해야 합니다. ## 11. 감사 권리 11.1 처리자는 Art. 28 GDPR에 명시된 의무 준수를 입증하는 데 필요한 모든 정보를 관리자에게 제공해야 합니다. 11.2 관리자는 처리자의 시설에서 감사(검사 포함)를 수행할 권리가 있으며, 지정된 감사인이 수행하도록 할 수 있습니다. 이러한 감사는 합리적인 통지(최소 14일) 후 정상 업무 시간 동안 이루어져야 하며, 처리자의 비즈니스 운영에 불합리한 방해가 되어서는 안 됩니다. 11.3 처리자는 준수를 입증하기 위해 현재 감사 보고서, 인증서 또는 그 발췌를 제시할 수 있습니다. 11.4 지정된 제3자 감사인은 사전에 기밀 유지 의무를 지켜야 합니다. 감사 비용은 처리자가 위반한 경우를 제외하고 관리자가 부담합니다. ## 12. 개인 데이터 삭제 및 반환 12.1 주요 계약 종료 시, 처리자는 관리자를 대신하여 처리된 모든 개인 데이터를 **30일** 이내에 삭제해야 하며, 관리자가 일반적이고 기계 판독 가능한 형식으로 데이터 반환을 요청하는 경우를 제외합니다. 12.2 삭제는 현재의 기술 수준에 따라 수행되며, 요청 시 관리자가 서면으로 확인받아야 합니다. 12.3 유럽연합 또는 회원국 법률에 따라 보존이 요구되는 경우, 처리자는 보존 의무 및 관련 데이터를 관리자에게 알려야 합니다. ## 13. 책임 13.1 당사자의 책임은 Art. 82 GDPR에 의해 규율됩니다. 13.2 처리자는 GDPR 또는 관리자의 지침을 준수하지 않는 처리로 인해 발생하는 손해에 대해 관리자에게 책임을 집니다. 13.3 처리자는 하위 처리자의 행위 및 누락에 대해 자신의 행위 및 누락에 대해 책임을 집니다. 13.4 주요 계약에서 달리 합의되지 않는 한, 처리자의 총 책임은 청구의 원인이 된 사건 이전 12개월 동안 처리자에게 지급된 수수료로 제한됩니다. 이 제한은 고의적인 불법 행위 또는 중과실로 인한 청구에는 적용되지 않으며, GDPR의 강제 조항에 따라 제한이 허용되지 않는 청구에도 적용되지 않습니다. ## 14. 이 DPA의 수정 14.1 처리자는 법률 변경, 규제 명령, 기술 발전 또는 처리 활동 변경으로 인해 필요한 경우, 수정이 발효되기 최소 30일 전에 이 DPA를 수정할 수 있습니다. 14.2 수정 사항은 계정과 연결된 이메일 주소로 관리자가 통지받습니다. 수정된 버전은 [https://getminds.ai/legal/dpa](/legal/dpa)에서 게시됩니다. 14.3 관리자가 통지 수령 후 30일 이내에 수정 사항에 이의를 제기하지 않으면, 수정 사항은 수용된 것으로 간주됩니다. 처리자는 수정 통지에서 이 법적 결과를 주의 깊게 알려야 합니다. 14.4 관리자가 이의를 제기하는 경우, 당사자들은 우호적인 해결을 위해 노력해야 합니다. 가능하지 않은 경우, 관리자는 주요 계약을 즉시 종료할 권리가 있습니다. ## 15. 최종 조항 15.1 이 DPA는 독일 연방 공화국의 법률에 따라 규율됩니다. 15.2 이 DPA와 관련하여 발생하는 모든 분쟁에 대한 독점 관할지는 법적으로 허용되는 범위 내에서 베를린입니다. 15.3 이 DPA에 대한 수정 및 추가 사항은 제14조에 달리 규정되지 않는 한 텍스트 형식으로 이루어져야 합니다. 15.4 이 DPA의 어떤 조항이 무효가 되거나 무효가 되는 경우, 나머지 조항의 유효성에는 영향을 미치지 않습니다. 15.5 이 DPA와 주요 계약 간의 충돌이 발생하는 경우, 개인 데이터 보호와 관련하여 이 DPA가 우선합니다. --- **Art of X UG (haftungsbeschränkt)** Köpenicker Straße 145, 10997 Berlin, Germany 대표 이사: Friedrich von Borries 및 Alexander Doudkin 이 DPA에 대한 질문은 다음으로 문의하십시오: [privacy@getminds.ai](mailto:privacy@getminds.ai) --- # 부록 1: 기술적 및 조직적 조치 (TOM) **최종 업데이트: 2026년 5월 30일** Art of X UG (haftungsbeschränkt) ("Minds")는 개인 데이터 처리와 관련된 위험에 적합한 보안 수준을 보장하기 위해 Art. 32 GDPR에 따라 다음과 같은 기술적 및 조직적 조치를 구현합니다. --- ## 1. 접근 제어 ### 물리적 접근 제어 Minds 인프라는 인증된 클라우드 제공업체와 독점적으로 호스팅됩니다: - **DigitalOcean** – 독일 프랑크푸르트 데이터 센터 (EU). 인증: SOC 2 Type II, ISO 27001, ISO 27017, ISO 27018. - **Supabase** – 스웨덴 스톡홀름 데이터 센터 (EU), AWS에서 호스팅. 인증: SOC 2 Type II. 물리적 보안(생체 인식 접근 제어, 24/7 감시, 접근 로그 기록)은 클라우드 제공업체에 의해 완전히 관리됩니다. ### 논리적 접근 제어 - 모든 내부 시스템 및 관리 인터페이스에 대한 역할 기반 접근 제어(RBAC). - 모든 직원의 생산 시스템 접근에 대해 다중 인증(MFA) 요구. - 개별 사용자 계정 – 공유 자격 증명 없음. - 최소 권한 원칙에 따라 접근 권한의 정기적인 검토 및 취소. - API 키 및 자격 증명은 암호화된 비밀 관리자에서 관리됩니다. - OAuth 토큰, 통합 자격 증명 및 API 키는 범위가 지정되고, 암호화되어 있으며, 취소 가능합니다. --- ## 2. 암호화 ### 전송 중 암호화 - 모든 데이터 전송은 TLS 1.2 이상으로 보호됩니다. - 모든 공개 엔드포인트에 대해 HSTS(HTTP 엄격 전송 보안)가 활성화되어 있습니다. - 내부 서비스 간 통신도 암호화됩니다. ### 저장 중 암호화 - 데이터베이스(Supabase/PostgreSQL)는 저장된 데이터에 대해 AES-256 암호화를 사용합니다. - 파일 저장소(DigitalOcean Spaces / Supabase Storage)는 서버 측 AES-256 암호화를 사용합니다. - 백업은 암호화된 형태로 저장됩니다. --- ## 3. 데이터 분리 (테넌트 격리) - 데이터베이스 수준에서 고객 데이터의 엄격한 논리적 분리를 통해 테넌트 격리를 구현합니다(포스트그레SQL의 행 수준 보안). - 각 고객은 자신의 데이터에만 접근할 수 있으며, 이는 데이터베이스 및 API 수준에서 강제됩니다. - 자동화된 테스트를 통해 테넌트 간 데이터 유출이 발생하지 않도록 보장합니다. --- ## 4. 가용성 및 복원력 ### 호스팅 아키텍처 - 애플리케이션은 자동 확장 및 상태 점검 기능을 갖춘 DigitalOcean App Platform에서 실행됩니다. - Supabase에서 고가용성 구성으로 데이터베이스 운영. ### 백업 및 복구 - 최소 7일의 보존 기간을 가진 매일 자동 데이터베이스 백업. - PostgreSQL 데이터베이스에 대한 시점 복구(PITR). - 복구 절차의 정기적인 테스트. - 복구 시간 목표(RTO): SLA에 정의된 대로. - 복구 지점 목표(RPO): 최대 24시간. --- ## 5. 사고 대응 - 보안 사고에 대한 문서화된 사고 대응 프로세스. - 개인 데이터 유출을 인지한 후 **48시간** 이내에 관리자를 통지합니다, 데이터 처리 계약(DPA)에 따라. - 모든 보안 관련 사고의 로그 및 추적. - 사고 대응 계획의 정기적인 검토 및 업데이트. --- ## 6. 기밀성 및 직원 의무 - 모든 직원 및 계약자는 기밀 유지 계약(NDA)에 구속됩니다. - 모든 직원에 대한 정기적인 데이터 보호 교육. - GDPR에 따라 데이터 비밀 유지 의무. - 개인 데이터에 대한 접근은 필요에 따라 부여됩니다. --- ## 7. 하위 처리자 관리 - 데이터 보호 및 보안 기준에 따라 하위 처리자를 신중하게 선택합니다. - 모든 하위 처리자에게 GDPR 준수 데이터 처리의 계약적 의무 부여. - 하위 처리자의 정기적인 검토. - 현재 하위 처리자 목록은 [하위 처리자](/legal/subprocessors)에서 확인할 수 있습니다. - DPA에 따라 변경 사항에 대한 사전 통지. --- ## 8. 로그 및 모니터링 - 시스템 이벤트 및 접근에 대한 중앙 집중식 로그. - 감사 로그는 API/MCP 접근, OAuth 및 통합 변경, 캘린더 동기화/웹훅 이벤트, 보안 관련 관리 작업을 포함합니다. - **Langfuse**는 AI 모델 상호작용을 모니터링하고 추적합니다(유럽연합 내 호스팅). - **PostHog**는 제품 분석 및 선택적 세션 재생을 위한 것입니다 - 분석 동의가 있는 경우에만 지속적인 분석/세션 재생; 법적으로 허용되는 경우 제한된 쿠키 없는 진단. - 자동 알림이 있는 중요한 시스템 메트릭 모니터링. - 이상 징후에 대한 로그의 정기적인 검토. --- ## 9. 데이터 최소화 및 가명화 ### 데이터 최소화 - 각 처리 목적에 필요한 개인 데이터만 수집 및 처리합니다. - 처리된 데이터 카테고리에 대한 필요성 정기 검토. - 정의된 보존 기간에 따라 더 이상 필요하지 않은 데이터의 자동 삭제. ### 가명화 - 기술적으로 가능하고 적절한 경우, 개인 데이터는 가명화된 형태로 처리됩니다. - 내부 처리는 주로 실제 이름 대신 UUID를 사용합니다. - 분석 평가는 집계 또는 가명화된 기준으로 수행됩니다. --- ## 10. 정기적인 검토 및 평가 - 인프라 및 애플리케이션에 대한 정기적인 보안 평가. - 알려진 취약점에 대한 종속성 정기 점검(종속성 스캐닝). - 처리 활동의 중요한 변경 사항이 있을 경우 또는 최소 연 1회 이 TOM을 검토하고 업데이트합니다. - 현재의 위협 환경에 따라 보안 조치의 지속적인 개선. --- ## 11. 추가 조치 ### 입력 제어 - 개인 데이터 변경 사항의 로그(감사 추적). - 누가, 언제 어떤 데이터를 입력, 수정 또는 삭제했는지 추적 가능. ### 전송 제어 - 데이터 전송은 전적으로 암호화됩니다. - 적절한 보호 수준(적합성 결정 또는 표준 계약 조항)이 없는 제3국으로의 개인 데이터 전송 없음. ### 처리 제어 - 개인 데이터는 오직 관리자의 지침에 따라 처리됩니다. - DPA에서 위임된 처리의 계약적 규정. --- *이 기술적 및 조직적 조치는 정기적으로 검토되며, 현재의 기술 수준에 부합하는 보호 수준을 보장하기 위해 필요에 따라 업데이트됩니다.*