풀림 데이터 처리 위탁(DPA) 표준안
─────────────────────────────────────────────
※ 본 문서는 GA(2026-06-15) 이전 사용되는 임시 placeholder 입니다. 정식 DPA PDF·계약 템플릿은 법무 검토 후 교체됩니다.

01. 적용 범위
본 표준안은 풀림 서비스(스튜디오·스토어·플래너·클래스봇·Q·게임즈·엑잼·라이팅·라이브러리)를 학교·학원·출판·평가기관 등 「위탁자」가 도입하여 학습자 개인정보를 처리하는 경우 큐레아(이하 「수탁자」)에 적용되는 위탁 처리 기준을 정의합니다.

02. 처리 위탁의 목적
서비스 제공, 콘텐츠 인증, 학습 데이터 분석, 익명화 기반 모델 개선, 보안·감사 로깅을 위한 처리에 한정합니다. 마케팅·재판매·제3자 공유는 명시적 별도 합의가 없는 한 금지됩니다.

03. 처리 항목
식별정보(이름·기관 이메일·소속 학교/학원/학년), 학습 이벤트(풀이 기록·점수·시간), 콘텐츠 상호작용(질문·답안·노트), 시스템 로그(IP·세션·기기 식별자).

04. 처리 기간
계약 종료 또는 위탁자 요청 즉시 파기. 다만 법령상 보존 의무가 있는 경우 그 기간까지 한정 보관하며, 익명화된 통계는 식별 불가 상태로 무기한 보유 가능합니다.

05. 안전성 확보 조치
전송 구간 TLS 1.2 이상, 저장 데이터 AES-256 암호화, 접근 권한 최소화·이중 인증·접근 로그 1년 이상 보관, 분기별 취약점 점검, 연 1회 외부 침해 모의 평가.

06. 재위탁
재위탁이 필요한 경우(클라우드 인프라·이메일 발송·결제 PG 등) 위탁자에게 사전 고지하며, 동등 수준의 보호 의무를 재수탁자에게 부과합니다.

07. 사고 통지
개인정보 침해 사고 인지 시 72시간 이내 위탁자에게 1차 통지하고, 영향 범위·원인·대응 조치를 30일 이내 정식 보고합니다.

08. 부속서
부속서 A — 처리 항목·기간 상세 / 부속서 B — 재수탁자 목록 / 부속서 C — 보안 통제 매트릭스.

문의 — privacy@curea.co
© 2026 Curea Inc. / Pullim