데이터 처리 계약
마지막 업데이트 2026년 5월 11일
본 데이터 처리 계약("DPA")은 해당 주문서 또는 서비스 계약에서 컨트롤러로 식별된 법인("컨트롤러")과 브라질 상파울루주에 본사를 둔 PZX(CNPJ: 62.054.402/0001-26)("운영자") 사이에 체결되며, Konn 사용을 규율하는 계약("계약")의 일부를 구성합니다.
1. 정의
"개인정보"란 브라질 일반 데이터 보호법(LGPD, 법률 제13.709/2018호)에 정의된 바와 같이 식별되거나 식별 가능한 자연인과 관련된 모든 정보를 의미합니다.
"처리"란 수집, 저장, 사용, 접근, 전송 및 삭제를 포함하여 개인정보에 대해 수행되는 모든 작업을 의미합니다.
"컨트롤러"란 개인정보 처리에 대한 의사결정 권한을 가진 자연인 또는 법인을 의미합니다.
"운영자"란 컨트롤러를 대신하여 컨트롤러의 지시에 따라 개인정보를 처리하는 자연인 또는 법인을 의미합니다.
"정보주체"란 개인정보와 관련된 자연인을 의미합니다.
"하위 운영자"란 컨트롤러를 대신하여 개인정보를 처리하기 위해 운영자가 위탁한 모든 제3자를 의미합니다.
"서비스"란 Konn 플랫폼 및 본 계약에 따라 PZX가 제공하는 관련 기능을 의미합니다.
2. 범위 및 관계
본 DPA는 서비스 제공과 관련하여 운영자로서의 PZX가 컨트롤러를 대신하여 수행하는 개인정보 처리를 규율합니다.
컨트롤러는 처리의 목적과 수단을 결정합니다. PZX는 본 DPA 및 계약에 명시된 컨트롤러의 지시에 따라 서비스를 제공하고 운영하기 위해서만 개인정보를 처리합니다.
3. 처리의 성격, 목적 및 기간
성격: 컨트롤러 및 권한 있는 사용자가 제출한 콘텐츠의 저장, 정리, 인덱싱, 시맨틱 처리, 검색 및 표시.
목적: 문서 관리, 지식 그래프, 시맨틱 검색 및 AI 지원 컨텍스트 기능을 포함한 Konn 플랫폼의 제공.
기간: 계약 기간 동안. 종료 시 제12조의 규정이 적용됩니다.
4. 개인정보 및 정보주체의 범주
본 DPA에 따라 처리되는 개인정보의 범주는 컨트롤러가 제출한 콘텐츠에 따라 다릅니다. 다음을 포함할 수 있으나 이에 국한되지 않습니다:
식별 및 연락처 정보: 컨트롤러의 사용자 및 업로드된 콘텐츠에 언급된 개인의 이름, 이메일 주소 및 직업 정보;
조직 정보: 팀 구조, 역할 및 내부 커뮤니케이션;
콘텐츠 정보: 컨트롤러의 직원, 고객 또는 제3자에 관한 개인정보를 포함할 수 있는 문서, 메모 및 지식 항목.
컨트롤러는 PZX가 서비스에 업로드된 콘텐츠에 포함된 개인정보의 범주를 통제하거나 예측할 수 없음을 인정합니다. 컨트롤러는 서비스에 제출된 모든 개인정보가 적용 법률에 따라 처리할 수 있는 유효한 법적 근거를 가지고 있는지 확인할 책임이 있습니다.
정보주체는 주로 컨트롤러의 직원 및 권한 있는 사용자이며, 잠재적으로 컨트롤러가 업로드한 콘텐츠에 데이터가 나타나는 제3자입니다.
5. 운영자의 의무
운영자로서 PZX는 다음을 이행합니다:
5.1 지시 준수: 적용 법률에서 요구하는 경우를 제외하고 컨트롤러의 문서화된 지시에 따라서만 개인정보를 처리합니다. PZX는 지시가 적용 법률을 위반한다고 판단하는 경우 진행하기 전에 컨트롤러에 통지합니다.
5.2 기밀성: 개인정보를 처리하는 권한 있는 직원이 기밀 유지 의무에 구속되도록 보장합니다.
5.3 보안: 제8조에 설명된 바와 같이 개인정보를 보호하기 위한 적절한 기술적 및 조직적 조치를 구현하고 유지합니다.
5.4 하위 운영자: 제7조에 따라서만 하위 운영자를 위탁합니다.
5.5 정보주체의 권리: 제9조에 설명된 바와 같이 정보주체의 권리 요청에 대응하는 데 있어 컨트롤러를 지원합니다.
5.6 삭제: 제12조에 설명된 바와 같이 종료 시 개인정보를 삭제하거나 반환합니다.
5.7 감사: 제11조에 설명된 바와 같이 본 DPA의 준수를 입증하는 데 필요한 정보를 제공합니다.
5.8 사고 통지: 본 DPA에 따라 처리된 개인정보와 관련된 확인된 보안 사고를 인지한 후 부당한 지체 없이, 늦어도 72시간 이내에 컨트롤러에 통지합니다. 통지에는 사고의 성격, 영향을 받는 정보주체의 범주 및 대략적인 수, 가능한 결과, 취해진 또는 제안된 조치가 포함됩니다.
6. 컨트롤러의 의무
컨트롤러는 다음을 이행합니다:
6.1 법적 근거: 문서 또는 지식 콘텐츠의 일부로 업로드된 제3자에 관한 데이터를 포함하여 서비스에 제출된 모든 개인정보가 적용 법률에 따라 처리할 수 있는 유효한 법적 근거를 가지고 있는지 확인합니다.
6.2 정확성: 정확하고 최신의 지시를 제공하고 제출된 개인정보가 의도된 목적에 적절하고 관련이 있는지 확인합니다.
6.3 정보주체의 권리: 컨트롤러에게 전달된 정보주체 요청을 처리하고 운영자의 지원이 필요한 경우 PZX와 협력합니다.
6.4 준수: 정보주체로부터 필요한 동의를 얻는 것을 포함하여 컨트롤러로서 모든 적용 가능한 데이터 보호법을 준수합니다.
7. 하위 운영자
7.1 현재 하위 운영자
컨트롤러는 서비스와 관련하여 PZX가 다음 하위 운영자를 위탁하도록 승인합니다:
하위 운영자 | 위치 | 목적 |
|---|---|---|
Amazon Web Services (AWS) | 미국 | 클라우드 인프라 및 호스팅 |
Cloudflare | 미국 | 네트워크 보안, CDN 및 DDoS 보호 |
OpenAI | 미국 | AI 언어 모델 처리 및 텍스트 임베딩 |
Anthropic | 미국 | AI 언어 모델 처리 |
Stripe | 미국 | 결제 및 청구 처리 |
Resend | 미국 | 트랜잭션 이메일 전송 |
7.2 향후 하위 운영자
PZX는 서비스가 발전함에 따라 추가 AI 모델 제공자(리랭킹, 임베딩 또는 오디오 처리 서비스 제공자를 포함하나 이에 국한되지 않음)를 위탁할 수 있습니다. PZX는 하위 운영자의 추가 또는 교체를 최소 30일 전에 컨트롤러에 통지합니다.
컨트롤러는 통지를 받은 후 15일 이내에 PZX에 서면으로 통지함으로써 합리적인 데이터 보호 사유로 새로운 하위 운영자에 대해 이의를 제기할 수 있습니다. 당사자가 이의 제기를 해결할 수 없는 경우, 컨트롤러는 30일의 서면 통지로 위약금 없이 계약을 해지할 수 있습니다.
7.3 하위 운영자의 의무
PZX는 모든 하위 운영자에게 본 DPA에 명시된 것과 동등한 데이터 보호 의무를 부과합니다. PZX는 하위 운영자의 의무 이행에 대해 컨트롤러에게 계속 책임을 집니다.
8. 보안 조치
PZX는 개인정보를 보호하기 위해 다음과 같은 기술적 및 조직적 조치를 구현합니다:
전송 중(TLS) 및 저장 시 데이터 암호화;
테넌트 격리: 각 컨트롤러의 데이터는 다른 테넌트의 데이터와 논리적으로 분리됩니다;
권한 있는 직원으로 접근을 제한하는 역할 기반 접근 제어;
보안 모니터링 및 로깅;
정기적인 접근 검토.
PZX는 업데이트가 전반적인 보호 수준을 실질적으로 감소시키지 않는 한 시간이 지남에 따라 이러한 조치를 업데이트할 수 있습니다.
9. 정보주체의 권리
PZX는 접근, 정정, 삭제, 이동성 및 이의 제기 요청을 포함하여 적용 법률에 따라 정보주체의 권리 요청에 대응할 컨트롤러의 의무 이행을 지원합니다.
컨트롤러는 정보주체 요청을 받고 초기에 평가할 책임이 있습니다. 요청 이행에 PZX의 조치가 필요한 경우, 컨트롤러는 제13조의 연락 채널을 통해 PZX에 요청을 제출합니다. PZX는 15영업일 이내에 응답합니다.
10. 국제 데이터 전송
본 DPA에 따라 처리된 개인정보는 PZX의 하위 운영자가 운영되는 미국을 포함하여 브라질 외부의 국가로 전송 및 처리될 수 있습니다. 이러한 전송은 LGPD 제33조에 따라 적절한 계약상 보호 조치를 기반으로 수행됩니다.
GDPR이 적용되는 컨트롤러의 경우, 유럽 경제 지역 외부의 하위 운영자에 대한 전송은 필요한 경우 표준 계약 조항을 포함한 적용 가능한 전송 메커니즘에 의해 규율됩니다.
11. 감사권
컨트롤러의 서면 요청에 따라 PZX는 본 DPA의 준수를 입증하는 데 합리적으로 필요한 정보를 제공합니다. PZX는 최신 인증, 보안 문서 또는 요약 감사 보고서를 제공함으로써 이 의무를 이행할 수 있습니다.
컨트롤러는 최소 30일의 서면 통지와 컨트롤러의 비용으로 캘린더 연도당 최대 1회의 현장 감사를 요청할 수 있습니다. 모든 감사는 PZX의 운영을 방해하거나 다른 고객 데이터의 보안 또는 기밀성을 손상시키지 않는 방식으로 수행되어야 합니다.
12. 기간, 종료 및 데이터 삭제
본 DPA는 계약 기간 동안 효력을 유지합니다.
계약의 종료 또는 만료 시:
컨트롤러는 서비스에서 데이터를 내보내기 위해 30일의 시간을 갖습니다;
이 기간 후, PZX는 기술적으로 가능한 경우 하위 운영자가 보유한 사본을 포함하여 본 DPA에 따라 처리된 모든 개인정보를 30일 이내에 삭제합니다;
PZX는 컨트롤러의 요청에 따라 삭제에 대한 서면 확인을 제공합니다;
PZX는 적용 법률에서 요구하는 범위 내에서만 이 기간을 초과하여 개인정보를 보유할 수 있으며, 이 경우 데이터는 본 DPA의 기밀 유지 의무의 대상이 됩니다.
13. 책임
본 DPA에 따른 각 당사자의 책임은 계약에 명시된 제한의 적용을 받습니다. 본 DPA의 어떤 내용도 적용 가능한 데이터 보호법에 따라 배제하거나 제한할 수 없는 의무에 대한 어느 당사자의 책임을 제한하지 않습니다.
14. 준거법
본 DPA는 브라질 연방공화국의 법, 특히 LGPD(법률 제13.709/2018호)에 의해 규율됩니다. 본 DPA에서 발생하는 우호적으로 해결될 수 없는 모든 분쟁은 상파울루주 상파울루 지역의 법원에 회부됩니다.
15. 연락처
본 DPA, 정보주체 권리 요청 또는 보안 사고와 관련된 문제에 대해서는:
이메일: [email protected]
웹사이트: pzx.app
데이터 보호 책임자:
이름: Filipe Albuquerque Brauns Cazelgrandi
이메일: [email protected]
부속서 A, 처리 세부사항
본 부속서는 제3조를 보충하며 서비스의 변경 사항을 반영하기 위해 상호 서면 합의로 업데이트될 수 있습니다.
필드 | 세부사항 |
|---|---|
주제 | Konn 플랫폼을 통한 조직 지식 관리 |
처리의 성격 | 저장, 인덱싱, 시맨틱 검색, AI 지원 검색 및 생성 |
목적 | 계약에 설명된 서비스 제공 |
보유 기간 | 계약 기간 및 제12조의 삭제 기간 |
정보주체 범주 | 컨트롤러의 직원, 권한 있는 사용자 및 업로드된 콘텐츠에 언급된 모든 제3자 |
개인정보 범주 | 제4조에 설명된 바와 같음; 실제 범주는 컨트롤러가 제출한 콘텐츠에 따라 다름 |