B2B SaaS 개인정보 처리 위탁 계약서 작성 가이드: DPA 필수 조항

B2B SaaS 사업자라면 반드시 알아야 할 것이 있습니다. 고객사의 개인정보를 처리하는 순간, 여러분의 서비스는 개인정보보호법상 **수탁자(처리 수탁자)**가 됩니다. 이 경우 고객사(위탁자)와 **개인정보 처리 위탁 계약(DPA, Data Processing Agreement)**을 체결해야 합니다.

DPA 없이 서비스를 제공하면 위탁자(고객사)가 PIPC 조사에서 위탁 계약서 미비로 과태료를 받을 수 있고, 수탁자인 여러분도 제재 대상이 됩니다.

왜 DPA가 필요한가?

개인정보보호법 제26조는 위탁자가 수탁자에게 개인정보 처리를 위탁할 때 반드시 계약서로 명시하도록 규정합니다.

위탁에 해당하는 SaaS 사례:

고객사 직원 정보를 처리하는 HR SaaS
고객사의 고객 데이터를 저장하는 CRM SaaS
고객사의 결제 정보를 처리하는 결제 SaaS
고객사 이메일 주소로 발송하는 이메일 마케팅 SaaS
고객사 웹사이트 방문자 데이터를 분석하는 애널리틱스 SaaS

PIPA DPA 필수 기재 사항

개인정보보호법 시행령 제28조에 따른 위탁 계약서 필수 항목:

1. 위탁 업무의 목적 및 범위

모호하게 작성하면 안 됩니다. 어떤 업무를 위해 어떤 개인정보를 처리하는지 구체적으로 명시해야 합니다.

예시:
목적: 위탁자의 고객 대상 이메일 발송 서비스 제공
처리 항목: 이메일 주소, 이름, 이메일 발송 이력
처리 방법: 이메일 발송 API 연동 및 발송 기록 저장

2. 재위탁 제한 조항

수탁자가 업무를 제3자에게 재위탁하려면 위탁자의 사전 동의를 받아야 합니다.

권장 조항 예시:
수탁자는 위탁자의 사전 서면 동의 없이 본 계약에 따른 개인정보
처리 업무를 제3자에게 재위탁할 수 없다. 단, 위탁자가 사전에
서면으로 승인한 하위 수탁자 목록에 한하여 재위탁할 수 있으며,
이 경우 수탁자는 동일한 수준의 보호 의무를 하위 수탁자에게
부과해야 한다.

3. 개인정보 안전 관리 조치

수탁자가 어떤 보안 조치를 취하는지 명시합니다.

최소한 포함해야 할 항목:

접근 통제 (계정 관리, 권한 최소화)
암호화 (전송 구간 TLS, 저장 시 암호화)
접속 기록 관리 (로그 보관 기간)
보안 교육 (직원 대상 연 1회 이상)
보안 취약점 관리 (정기 점검 주기)

4. 개인정보 처리 현황 점검 및 감사

권장 조항 예시:
위탁자는 수탁자의 개인정보 처리 현황 점검을 위해 연 1회 이상
사전 통보 후 현장 감사를 실시할 수 있으며, 수탁자는 이에 협조
해야 한다. 수탁자는 위탁자의 요청 시 개인정보 처리 현황 보고서를
10영업일 이내에 제출해야 한다.

5. 위탁 업무 종료 후 처리 (파기 또는 반환)

계약 종료 후 고객사 데이터를 어떻게 처리할지 명확히 합니다.

권장 조항 예시:
계약 종료 후 수탁자는 위탁자의 선택에 따라:
(1) 위탁자 데이터를 표준 형식(JSON/CSV)으로 내보내기 제공 후
    수탁자 시스템에서 파기, 또는
(2) 즉시 파기

파기 완료 후 30일 이내에 파기 증명서를 위탁자에게 제출한다.
데이터 보관 기간은 계약 종료일로부터 최대 [30]일로 한다.

SaaS DPA 실무 구성 예시

다음은 SaaS 표준 DPA의 기본 구조입니다.

제1조 (목적 및 정의)
제2조 (처리 위탁 업무의 목적 및 범위)
  - 위탁 목적
  - 처리하는 개인정보 항목
  - 처리 방법
제3조 (수탁자의 의무)
  - 안전 관리 조치
  - 처리 목적 외 이용 금지
  - 재위탁 제한
  - 사고 발생 시 통지 의무
  - 감사 협조
제4조 (위탁자의 의무)
  - 정확한 개인정보 제공
  - 수탁자 지도·감독
제5조 (개인정보 침해 시 손해배상)
제6조 (계약 기간 및 종료)
  - 계약 만료 또는 해지 시 데이터 처리 방법
  - 파기 증명서 교부
부록 A: 처리하는 개인정보 상세 목록
부록 B: 승인된 하위 수탁자 목록
부록 C: 기술적·관리적 보호조치 상세

수탁자로서 고객사에 제공해야 할 문서

SaaS 공급사가 B2B 영업 시 고객사에 제공해야 하는 문서 목록:

| 문서 | 내용 | |------|------| | 표준 DPA | 위탁 계약서 (서명 또는 전자서명) | | 개인정보 처리 현황표 | 어떤 데이터를 어떻게 처리하는지 | | 보안 현황서 (Security Whitepaper) | 기술적·관리적 보호조치 수준 | | 하위 수탁자 목록 | 제3자 처리 현황 (AWS, Google 등) | | 인증서 사본 | ISMS, ISO 27001 등 보유 인증 |

GDPR DPA와의 차이점

EU 고객을 보유한 경우 GDPR DPA(Article 28)도 함께 준비해야 합니다.

| 항목 | PIPA DPA | GDPR DPA | |------|----------|----------| | 법적 근거 | 개인정보보호법 제26조 | GDPR Article 28 | | 형식 | 서면 (전자 포함) | 서면 (전자 포함) | | 감사권 | 연 1회 이상 | 명시 필요 | | 파기 | 계약 종료 후 | 계약 종료 후 | | 72시간 침해 신고 | 없음 (별도 규정) | 명시 권장 |

대부분의 글로벌 SaaS에서는 GDPR DPA를 기준으로 작성하면 PIPA 요건도 대부분 충족됩니다.

엔터프라이즈 영업 시 DPA 체크리스트

[ ] 표준 DPA 초안 준비 완료
[ ] 고객사 요청 시 DPA 검토·협상 프로세스 수립
[ ] 하위 수탁자(AWS, Google 등) 목록 최신화
[ ] 보안 인증 또는 자체 보안 현황서 준비
[ ] 개인정보 침해 통지 프로세스 및 SLA 정의
[ ] 데이터 파기 프로세스 및 파기 증명서 발급 절차 수립

PIPAGuard로 수탁자 관리 점검하기

고객사 데이터를 처리하는 SaaS 운영자라면 자사 서비스의 PIPA 준수 현황을 먼저 점검해보세요.

무료 PIPA 컴플라이언스 진단 시작하기 →

DPA 없이 서비스를 제공하면 위탁자(고객사)가 PIPC 조사에서 위탁 계약서 미비로 과태료를 받을 수 있고, 수탁자인 여러분도 제재 대상이 됩니다.

왜 DPA가 필요한가?

개인정보보호법 제26조는 위탁자가 수탁자에게 개인정보 처리를 위탁할 때 반드시 계약서로 명시하도록 규정합니다.

위탁에 해당하는 SaaS 사례:

고객사 직원 정보를 처리하는 HR SaaS
고객사의 고객 데이터를 저장하는 CRM SaaS
고객사의 결제 정보를 처리하는 결제 SaaS
고객사 이메일 주소로 발송하는 이메일 마케팅 SaaS
고객사 웹사이트 방문자 데이터를 분석하는 애널리틱스 SaaS

PIPA DPA 필수 기재 사항

개인정보보호법 시행령 제28조에 따른 위탁 계약서 필수 항목:

1. 위탁 업무의 목적 및 범위

모호하게 작성하면 안 됩니다. 어떤 업무를 위해 어떤 개인정보를 처리하는지 구체적으로 명시해야 합니다.

예시:
목적: 위탁자의 고객 대상 이메일 발송 서비스 제공
처리 항목: 이메일 주소, 이름, 이메일 발송 이력
처리 방법: 이메일 발송 API 연동 및 발송 기록 저장

2. 재위탁 제한 조항

수탁자가 업무를 제3자에게 재위탁하려면 위탁자의 사전 동의를 받아야 합니다.

권장 조항 예시:
수탁자는 위탁자의 사전 서면 동의 없이 본 계약에 따른 개인정보
처리 업무를 제3자에게 재위탁할 수 없다. 단, 위탁자가 사전에
서면으로 승인한 하위 수탁자 목록에 한하여 재위탁할 수 있으며,
이 경우 수탁자는 동일한 수준의 보호 의무를 하위 수탁자에게
부과해야 한다.

3. 개인정보 안전 관리 조치

수탁자가 어떤 보안 조치를 취하는지 명시합니다.

최소한 포함해야 할 항목:

접근 통제 (계정 관리, 권한 최소화)
암호화 (전송 구간 TLS, 저장 시 암호화)
접속 기록 관리 (로그 보관 기간)
보안 교육 (직원 대상 연 1회 이상)
보안 취약점 관리 (정기 점검 주기)

4. 개인정보 처리 현황 점검 및 감사

권장 조항 예시:
위탁자는 수탁자의 개인정보 처리 현황 점검을 위해 연 1회 이상
사전 통보 후 현장 감사를 실시할 수 있으며, 수탁자는 이에 협조
해야 한다. 수탁자는 위탁자의 요청 시 개인정보 처리 현황 보고서를
10영업일 이내에 제출해야 한다.

5. 위탁 업무 종료 후 처리 (파기 또는 반환)

계약 종료 후 고객사 데이터를 어떻게 처리할지 명확히 합니다.

권장 조항 예시:
계약 종료 후 수탁자는 위탁자의 선택에 따라:
(1) 위탁자 데이터를 표준 형식(JSON/CSV)으로 내보내기 제공 후
    수탁자 시스템에서 파기, 또는
(2) 즉시 파기

파기 완료 후 30일 이내에 파기 증명서를 위탁자에게 제출한다.
데이터 보관 기간은 계약 종료일로부터 최대 [30]일로 한다.

SaaS DPA 실무 구성 예시

다음은 SaaS 표준 DPA의 기본 구조입니다.

제1조 (목적 및 정의)
제2조 (처리 위탁 업무의 목적 및 범위)
  - 위탁 목적
  - 처리하는 개인정보 항목
  - 처리 방법
제3조 (수탁자의 의무)
  - 안전 관리 조치
  - 처리 목적 외 이용 금지
  - 재위탁 제한
  - 사고 발생 시 통지 의무
  - 감사 협조
제4조 (위탁자의 의무)
  - 정확한 개인정보 제공
  - 수탁자 지도·감독
제5조 (개인정보 침해 시 손해배상)
제6조 (계약 기간 및 종료)
  - 계약 만료 또는 해지 시 데이터 처리 방법
  - 파기 증명서 교부
부록 A: 처리하는 개인정보 상세 목록
부록 B: 승인된 하위 수탁자 목록
부록 C: 기술적·관리적 보호조치 상세

수탁자로서 고객사에 제공해야 할 문서

SaaS 공급사가 B2B 영업 시 고객사에 제공해야 하는 문서 목록:

GDPR DPA와의 차이점

EU 고객을 보유한 경우 GDPR DPA(Article 28)도 함께 준비해야 합니다.

대부분의 글로벌 SaaS에서는 GDPR DPA를 기준으로 작성하면 PIPA 요건도 대부분 충족됩니다.

엔터프라이즈 영업 시 DPA 체크리스트

[ ] 표준 DPA 초안 준비 완료
[ ] 고객사 요청 시 DPA 검토·협상 프로세스 수립
[ ] 하위 수탁자(AWS, Google 등) 목록 최신화
[ ] 보안 인증 또는 자체 보안 현황서 준비
[ ] 개인정보 침해 통지 프로세스 및 SLA 정의
[ ] 데이터 파기 프로세스 및 파기 증명서 발급 절차 수립

PIPAGuard로 수탁자 관리 점검하기

고객사 데이터를 처리하는 SaaS 운영자라면 자사 서비스의 PIPA 준수 현황을 먼저 점검해보세요.

무료 PIPA 컴플라이언스 진단 시작하기 →

B2B SaaS 개인정보 처리 위탁 계약서 작성 가이드: DPA 필수 조항

왜 DPA가 필요한가?

PIPA DPA 필수 기재 사항

1. 위탁 업무의 목적 및 범위

2. 재위탁 제한 조항

3. 개인정보 안전 관리 조치

4. 개인정보 처리 현황 점검 및 감사

5. 위탁 업무 종료 후 처리 (파기 또는 반환)

SaaS DPA 실무 구성 예시

수탁자로서 고객사에 제공해야 할 문서

GDPR DPA와의 차이점

엔터프라이즈 영업 시 DPA 체크리스트

PIPAGuard로 수탁자 관리 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글

B2B SaaS 개인정보 처리 위탁 계약서 작성 가이드: DPA 필수 조항

왜 DPA가 필요한가?

PIPA DPA 필수 기재 사항

1. 위탁 업무의 목적 및 범위

2. 재위탁 제한 조항

3. 개인정보 안전 관리 조치

4. 개인정보 처리 현황 점검 및 감사

5. 위탁 업무 종료 후 처리 (파기 또는 반환)

SaaS DPA 실무 구성 예시

수탁자로서 고객사에 제공해야 할 문서

GDPR DPA와의 차이점

엔터프라이즈 영업 시 DPA 체크리스트

PIPAGuard로 수탁자 관리 점검하기

지금 바로 PIPA 컴플라이언스 점검하기

관련 글