개인정보 처리 위탁계약서

1. 위탁자 — 본 서비스에 가입한 의료기관 (이하 “가입 의료기관”). 의료기관 개설자가 대표하여 본 계약에 동의함.
2. 수탁자 — VION (서울 구로구 새말로 18길28 삼애빌딩 2층). 임플란트코디(dentboost.co.kr) 서비스 운영자.
3. 본 계약은 위탁자가 본 서비스 회원가입 시 “위탁계약 동의” 체크박스에 동의한 시점에 체결된 것으로 봅니다.

위탁자는 환자관리·진료계획·결제관리·보증서 발행·정기검진 알림 등 SaaS 서비스 제공을 위해 다음 업무를 수탁자에게 위탁합니다.

1. 환자 개인정보의 입력·저장·조회·수정·삭제 (이름·전화번호·생년월일·차트번호·메모 등)
2. 환자 진료기록(민감정보)의 저장·조회 (치아 상태·진료내용·시술명·임플란트 브랜드·결제 내역 등)
3. 외부 EMR(예: DentWeb) 데이터 동기화 및 위탁자의 시스템에 보관
4. 환자 알림 발송 (카카오 알림톡·SMS — 수신자 동의 범위 내)
5. 구독 결제 처리 (포트원·나이스페이먼츠 등 결제대행사 연동)
6. 데이터 백업·복구·보안 모니터링·접근 로그 관리

1. 위탁 정보 — 환자 식별정보(이름·전화·생년월일·차트번호), 민감정보(건강정보·진료기록·결제내역), 의료기관 정보(사업자등록번호·대표자·연락처)
2. 보유 기간 — 위탁계약 기간 동안 + 의료법 제22조 진료기록 보존 의무 기간(10년)
3. 위탁계약 해지 시 — 위탁자의 요청에 따라 30일 내 반환 또는 안전한 방법으로 파기. 의료법 보존 의무가 적용되는 진료기록은 별도 협의

1. 처리 방법 — 클라우드 데이터베이스(Supabase Postgres) 에 암호화 저장. 전송 시 TLS 1.2+ 암호화. 접근 시 인증·권한·접근 로그 기록.
2. 처리 국가 — 환자·진료·결제 등 식별·민감정보는 **대한민국 (Supabase 서울 ap-northeast-2 리전)** 내에 저장. 글로벌 Edge 캐싱(Vercel) 에는 식별 가능 개인정보가 저장되지 않음.
3. 데이터 영토 — 위탁자의 명시적 동의 없이는 처리 국가 변경 또는 국외 이전을 하지 아니함.

수탁자는 위탁받은 업무의 수행을 위해 다음과 같이 재위탁할 수 있으며, 본 계약에 동의함으로써 위탁자는 다음 재위탁에 동의한 것으로 봅니다.

1. Supabase Inc. (서울 ap-northeast-2) — 데이터베이스·파일 스토리지 운영
2. Vercel Inc. (글로벌 Edge) — 서비스 호스팅·CDN (식별정보 미저장)
3. 포트원 / 나이스페이먼츠 — 결제 처리
4. AllTalk Gateway / SOLAPI — 알림톡·SMS 발송

위 외의 신규 재수탁업체 추가 시 수탁자는 위탁자에게 사전 통지하며, 민감정보 처리 관련 재위탁은 위탁자의 별도 동의를 받습니다.

1. 「개인정보 보호법」 제29조에 따른 안전성 확보 조치 (관리·기술·물리적 + 접속로그 6개월 이상 보존 + 암호화)
2. 「의료법」 제22조의2 및 보건복지부 고시 「전자의무기록의 관리·보존에 필요한 시설과 장비에 관한 기준」 충족을 위한 지속적 노력
3. 위탁받은 정보를 위탁 목적 외 이용·제3자 제공 금지
4. 직원에 대한 정기 보안 교육 (연 1회 이상)
5. 침해사고 발생 시 「개인정보 보호법」 제34조 및 관계 법령에 따라 위탁자 및 관계 기관에 통지·신고
6. 위탁자의 정기 점검·감사 요청에 합리적 범위 내에서 협조

1. 위탁자는 수탁자의 개인정보 처리 현황에 대해 연 1회 점검·감사를 요청할 수 있음. 수탁자는 합리적 범위 내에서 자료 제공
2. 위탁자는 환자(정보주체) 로부터 「개인정보 보호법」 제15조·17조·22조·23조에 따른 적법한 동의를 직접 취득할 의무가 있음
3. 위탁자는 「의료법」 제22조에 따른 진료기록부 작성·보존(10년) 의무의 1차 책임자임
4. 위탁자는 본인 및 소속 직원의 계정 정보를 안전하게 관리하며, 권한 변경·퇴사 시 즉시 갱신할 의무
5. 위탁자는 환자가 본인 정보 열람·정정·삭제·처리정지를 요청한 경우 지체 없이 처리하고 수탁자에게 통지

1. 수탁자의 고의·중과실로 인한 개인정보 유출·사고 발생 시, 수탁자는 「개인정보 보호법」 제39조에 따라 위탁자 및 정보주체(환자) 에 대해 손해배상 책임을 부담
2. 수탁자의 책임 한도 — 사고 발생 직전 12개월간 위탁자가 수탁자에게 지급한 이용료 총액 (단, 고의·중과실에는 한도 미적용)
3. 위탁자의 귀책사유 — 부적절한 환자 동의·계정 관리 소홀·내부 직원 무단 접근 등 — 으로 인한 사고는 위탁자가 책임 부담
4. 공동 책임 사건 — 양 당사자의 과실이 결합된 사건에서는 과실 비율에 따라 책임 분담
5. 수탁자는 사이버보험 또는 개인정보 유출 배상책임 보험 가입을 다음 중 어느 하나의 조건을 충족하는 시점에 진행함 — ① 가입 의료기관 누계 20곳 이상, ② 누적 환자 정보 500명 이상, ③ 월 매출 500만원 이상, ④ DentWeb 등 외부 EMR 연동의 실제 가동, ⑤ 「개인정보 보호법 시행령」 상 의무 가입 요건 도래. 가입 완료 시 위탁자에게 통지함

1. 본 계약은 위탁자가 본 서비스의 회원으로 등록된 기간 동안 유효
2. 위탁자 또는 수탁자는 30일 전 서면 통지로 본 계약을 해지할 수 있음
3. 본 계약 해지 시 수탁자는 30일 내 위탁자의 요청에 따라 데이터 반환(엑셀·CSV 등) 또는 안전 파기 진행
4. 수탁자가 사업을 종료하는 경우 종료 90일 전 위탁자에게 통지하며 데이터 이관 기간을 보장

1. 본 계약에 명시되지 않은 사항은 「개인정보 보호법」·「의료법」 등 관련 법령 및 「임플란트코디 이용약관」·「개인정보처리방침」에 따릅니다.
2. 본 계약과 「이용약관」·「개인정보처리방침」이 상충하는 경우, 위탁자-수탁자 간 책임 분담에 관한 사항은 본 계약을 우선 적용합니다.
3. 본 계약의 해석에 다툼이 있는 경우 대한민국 법령을 적용하며, 서울중앙지방법원을 1심 관할법원으로 합니다.

본 위탁계약서는 2026년 6월 2일부터 시행하며, 본 계약서 버전: 2026.06.02-v1. 향후 본 계약서 본문이 변경될 경우 위탁자는 다음 로그인 시 재동의 절차를 거칩니다.