개인정보 처리 위수탁 계약서 (학교용 양식)

시행일: 2026-05-21

계약 당사자

본 계약은 개인정보 처리 업무를 위탁하는 「위탁자」와 이를 수탁하는 「수탁자」 간에 체결한다.

제1조 (목적)

본 계약은 위탁자가 「개인정보 보호법」 제26조에 따라 개인정보 처리 업무를 수탁자에게 위탁함에 있어, 양 당사자의 권리·의무 및 개인정보의 안전한 관리에 관한 사항을 정함을 목적으로 한다.

제2조 (위탁 업무의 내용 및 처리 항목)

1. 위탁 업무: 에듀링커 서비스를 통한 학생·보호자 개인정보의 수집·저장·이용·관리(학생 관리, 출결, 평가의견, 문서/공문, 시설예약, 데이터 동기화 등).
2. 처리 대상 정보주체: 위탁자 소속 학생 및 그 보호자(법정대리인).
3. 처리 항목

• 학생: 이름, 학년·반·번호, 평가의견, (선택) 성별·프로필 이미지
• 보호자: 이름, 연락처(최대 2개)

1. 이용 형태: [ ] 무료 로컬 모드 / [ ] 유료 클라우드 모드 (택일)

• 무료 로컬 모드: 학생 정보가 교사 단말 로컬 암호화 DB에만 저장되고 수탁자 서버로 전송되지 않는 경우, 수탁자는 해당 정보의 처리자·수탁자 지위를 갖지 않으며 본 계약의 클라우드·국외이전 조항(제5·6조)은 적용되지 않는다. 단말 안전관리 책임은 위탁자(학교·교사)에게 있다.

제3조 (목적 외 처리 금지)

수탁자는 본 계약에서 정한 위탁 업무 수행 목적 범위를 초과하여 개인정보를 이용하거나 제3자에게 제공하여서는 아니 된다.

제4조 (기술적·관리적 보호조치)

1. 수탁자는 「개인정보 보호법」 제29조 및 「개인정보의 안전성 확보조치 기준」에 따라 다음 조치를 취한다.

• 전송 구간 암호화: HTTPS/TLS(WSS 포함)
• 저장 시 암호화: 식별정보 AES-256-GCM, 검색용 블라인드 인덱스 HMAC-SHA256, 비밀번호 단방향 해시
• 접근권한 관리·접근통제(방화벽, 내부망 격리), 접속기록 보관·점검
• 가명정보 처리 시 추가 정보(매핑 테이블)와 가명정보의 물리/논리 분리 및 담당자 권한 분리

1. 수탁자는 개인정보 취급자를 최소화하고 보안 교육을 실시한다.

제5조 (재위탁 제한)

1. 수탁자는 위탁자의 사전 서면 동의 없이 위탁 업무를 제3자에게 재위탁할 수 없다.
2. 특히 국외 사업자에 대한 재위탁(해외 서브위탁)(예: Railway[미국], Wasabi[일본 도쿄], Resend[미국] 등)은 위탁자의 사전 서면 동의를 받아야 한다.
3. 위탁자가 국외 보관을 원하지 않는 경우, 수탁자는 협의에 따라 국내 리전 또는 학교 온프레미스(MinIO) 보관 옵션을 제공한다.
4. 재위탁이 승인된 경우, 수탁자는 본 계약과 동등한 수준의 보호의무를 재수탁자에게 부과하고 그 이행을 관리·감독한다.

제6조 (국외 이전 시 특칙)

유료 클라우드 모드에서 개인정보가 국외로 이전되는 경우, 수탁자는 「개인정보 보호법」 제28조의8을 준수하고, 이전받는 자·국가·항목·목적·보유기간 등을 위탁자에게 고지하며 처리방침에 공개한다.

제7조 (위탁자의 관리·감독 및 실태조사)

1. 위탁자는 수탁자가 개인정보를 안전하게 처리하는지 연 1회 이상 또는 필요 시 점검(실태조사)할 수 있으며, 수탁자는 이에 성실히 협조한다.
2. 위탁자는 시정·보완을 요구할 수 있고, 수탁자는 정당한 사유가 없는 한 이를 이행한다.

제8조 (개인정보 유출 등 사고 통지)

수탁자는 개인정보의 분실·도난·유출·위조·변조·훼손 사실을 인지한 경우 지체 없이(인지 후 [24]시간 이내) 위탁자에게 통지하고, 피해 최소화 및 관계기관 신고 등에 협조한다.

제9조 (손해배상 및 책임 분담)

1. 수탁자가 본 계약을 위반하거나 고의·과실로 위탁자 또는 정보주체에게 손해를 입힌 경우 그 손해를 배상한다.
2. 「개인정보 보호법」 제26조제7항에 따라, 수탁자가 위탁받은 업무와 관련하여 정보주체에게 손해를 입힌 경우 수탁자를 위탁자의 소속 직원으로 보아 위탁자가 배상책임을 지되, 수탁자는 위탁자에 대해 구상 책임을 진다.
3. 위탁자의 지시·자료 제공의 하자로 인한 손해는 위탁자가 부담한다.

제10조 (계약 종료 후 개인정보의 파기)

1. 본 계약이 종료되거나 위탁 목적이 달성되면, 수탁자는 보유 중인 개인정보를 지체 없이 파기하거나 위탁자에게 반환한다.
2. 파기 방법: 전자적 파일은 복원 불가능한 방법으로 영구 삭제(암호화 키 폐기 포함), 종이 문서는 분쇄·소각.
3. 수탁자는 파기 결과를 위탁자에게 서면(파기 확인서)으로 통지한다.
4. 법령에 보존 의무가 있는 경우 해당 기간 동안 분리 보관 후 파기한다.

제11조 (계약 기간 및 해지)

1. 본 계약의 기간은 [YYYY-MM-DD]부터 [YYYY-MM-DD]까지로 한다.
2. 어느 일방이 본 계약을 중대하게 위반하고 시정 요구 후 [14]일 내 시정하지 않으면 상대방은 계약을 해지할 수 있다.

제12조 (기타)

1. 본 계약에 정하지 않은 사항은 「개인정보 보호법」 등 관련 법령 및 상관례에 따른다.
2. 본 계약과 관련한 분쟁은 위탁자 소재지 관할 법원을 제1심 관할로 한다.

본 계약의 체결을 증명하기 위하여 계약서 2부를 작성하여 각 당사자가 서명·날인 후 각 1부씩 보관한다.

[계약일자]