개인정보처리방침
최종 수정일: 2026년 5월 29일
DAMSORA(이하 "회사", 상호: DAMSORA, 대표자: 남준휘·박세현)는 개인정보 보호법 및 관련 법령에 따라 이용자의 개인정보를 보호하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 개인정보처리방침을 수립·공개합니다.
본 방침은 개인정보 보호법 §30 및 「개인정보 처리방침 작성지침」(2025.4.21)에 따라 작성되었으며, 개정 개인정보 보호법(2026.3.10 공포, 2026.9.11 시행) §30조의3에 따라 회사의 대표자가 개인정보 보호 최종 책임자임을 명시합니다.
제1조 (수집하는 개인정보 항목)
| 수집 시점 | 수집 항목 | 필수/선택 |
|---|---|---|
| 회원가입 | 이메일 주소, 이름, 생년월일, 비밀번호(암호화 저장) | 필수 |
| 회원가입 (선택) | 마케팅 수신 동의 여부 | 선택 |
| 소셜 로그인 (Google) | 이메일 주소, 이름, Google 계정 ID | 필수 |
| 결제 | 결제 수단 정보 (Paddle 처리, 회사 미저장), 결제 내역 | 필수 |
| 서비스 이용 | 세션 기록, 리뷰 내용, 학습 일기, 타임존 정보 | 자동 생성 |
| 접속 정보 | IP 주소, 브라우저 종류, 접속 일시 (로그 자동 수집) | 자동 생성 |
제2조 (개인정보의 수집 및 이용 목적)
- 서비스 제공: 회원 식별, 세션 약속 및 화상 대화 연결, 크레딧 관리
- 결제 처리: 구독료 청구, 환불 처리, 영수증 발급
- 고객 지원: 문의 응대, 서비스 장애 처리
- 이메일 발송: 서비스 안내, 약속 확인, 결제 알림 (필수 이메일)
- 마케팅 (동의자 한함): 이벤트·혜택 안내, 서비스 업데이트 소식
- 서비스 개선: 이용 통계 분석, 서비스 품질 향상
- 법적 의무 이행: 관련 법령에 따른 기록 보존
화상 세션 품질 메타데이터 (서비스 개선·분쟁 해결 목적)
회사는 화상 통화의 품질 분석, 세션 완료/미완료 판정의 정확성 확보, 그리고 분쟁 발생 시 객관적 증거 확보를 위해 다음과 같은 메타데이터를 수집합니다. 본 메타데이터는 통화 내용(음성·영상) 자체를 포함하지 않습니다.
- 참가/이탈 시각 및 횟수
- 동시 체류 시간 (양방 참가자가 함께 세션에 머무른 시간)
- 연결 끊김·재연결 횟수
- 평균 RTT (Round-Trip Time, 네트워크 지연 시간)
- 패킷 손실률
- 미디어 디바이스(카메라·마이크) 오류 메시지
- 오디오/비디오 활성 시간
제3조 (개인정보의 보유·이용 기간 및 파기)
| 보유 항목 | 보유 기간 | 근거 |
|---|---|---|
| 회원 정보 (이름, 이메일, 생년월일 등) | 탈퇴 후 30일 | 서비스 이용 계약 |
| 결제 기록·세션 기록 (금액, 상품명, 이용 일시) | 탈퇴 후 5년 후 익명화 | 전자상거래법 §6 |
| 계약·청약 철회 기록 | 탈퇴 후 5년 | 전자상거래법 |
| 문의 기록 (inquiries) | 탈퇴 후 3년 | 소비자 불만·분쟁 처리 (전자상거래법) |
| 화상통화 접속 기록 (chat_logs) | 탈퇴 후 3년 후 익명화 | 분쟁 방어 목적 (개인정보 보호법 §15①4) |
| 커뮤니티 게시글·댓글 | 탈퇴 후 3년 후 작성자 익명화 (게시물 내용 유지) | 서비스 운영 |
| 접속 로그 (IP, 브라우저) | 3개월 | 통신비밀보호법 |
| 세션 이벤트 로그 (session_events) | 6개월 후 익명화 | 통계·품질 분석, 분쟁 해결 |
| 세션 참여 집계 (session_participants) | 1년 후 익명화 | 노쇼 패턴 식별, 통계 분석 |
※ Paddle 결제 식별자(거래ID·구독ID)는 탈퇴 후 5년 경과 시 회사 DB에서 삭제됩니다. Paddle 자체 보유 기록에는 Paddle 개인정보처리방침이 적용됩니다.
파기 절차 및 방법
- 파기 절차: 보유 기간이 만료된 개인정보는 자동화된 작업(배치 처리)을 통해 해당 데이터베이스 행에서 즉시 삭제되거나, 식별자 컬럼을 무작위 값으로 치환하여 익명화됩니다. 관련 법령에 따라 분리 보관해야 하는 정보(전자상거래법상 결제·청약철회 기록 등)는 별도의 보존 영역으로 이관 후, 법정 보관 기간 종료 시 삭제됩니다.
- 파기 방법: 전자적 파일은 데이터베이스에서 영구 삭제(또는 익명화)하고, 백업본은 백업 보존 기간(최대 30일) 경과 후 순차 폐기됩니다. 종이 출력물이 발생한 경우 분쇄기로 분쇄하거나 소각하여 파기합니다.
- 파기 시점: 회원 탈퇴 시 30일 후 일괄 파기(법정 보존 항목 제외), 법정 보존 기간 종료 시 다음 정기 배치(매월 1일)에서 자동 파기됩니다.
제4조 (개인정보의 제3자 제공)
회사는 원칙적으로 이용자의 개인정보를 제3자에게 제공하지 않습니다. 단, 다음의 경우에는 예외로 합니다.
- 이용자가 사전에 동의한 경우
- 법령에 의해 요구되는 경우 (수사기관의 적법한 요청 등)
제5조 (개인정보 처리 위탁)
| 수탁업체 | 위탁 업무 |
|---|---|
| Supabase, Inc. (미국) | 데이터베이스 및 인증 서비스 |
| Paddle.com Market Ltd. (영국) | 결제 처리 (Merchant of Record) |
| Resend, Inc. (미국) | 이메일 발송 |
| Vercel, Inc. (미국) | 서비스 호스팅 |
| Google LLC (미국) | 소셜 로그인(Google OAuth), 서비스 분석(Google Analytics) |
| LiveKit, Inc. (미국) | 화상통화 인프라 |
제6조 (개인정보의 국외 이전)
회사는 아래와 같이 개인정보를 국외로 이전합니다 (개인정보 보호법 §28의8).
| 이전받는 자 | 국가 | 이전 항목 | 이전 목적 | 보유 기간 |
|---|---|---|---|---|
| Supabase, Inc. | 미국 | 회원 정보 전체 | DB·인증 서비스 | 탈퇴 후 30일 |
| Paddle.com Market Ltd. | 영국 | 결제 내역, 이메일 | 결제 처리 | 5년 |
| Resend, Inc. | 미국 | 이메일 주소, 이름 | 이메일 발송 | 발송 완료 시 삭제 |
| Vercel, Inc. | 미국 | 접속 로그, IP | 서비스 호스팅 | 3개월 |
| Google LLC | 미국 | 이메일, Google ID, 익명 통계 | 소셜 로그인, 분석 | 최대 2년 |
| LiveKit, Inc. | 미국 | 화상 세션 데이터 | 화상통화 인프라 | 세션 종료 시 삭제 |
위 국외 이전에 동의하지 않을 경우 서비스 이용이 불가할 수 있습니다. 이전에 관한 문의는 privacy@damsora.com으로 연락해 주세요.
제7조 (이용자의 권리·의무 및 행사 방법)
이용자는 언제든지 다음과 같은 권리를 행사할 수 있습니다.
- 열람: 본인의 개인정보 처리 현황 확인 (마이페이지 또는 이메일 요청)
- 정정·삭제: 부정확하거나 불필요한 개인정보의 수정·삭제 요청 (마이페이지 직접 수정 가능)
- 처리 정지: 회사의 개인정보 처리에 대한 정지 요청 (이메일 요청)
- 전송 요청 (전송요구권 / §35조의2): 회사가 처리 중인 본인 정보를 정형화된 형식(JSON/CSV)으로 본인 또는 지정한 제3자에게 전송 요청. 신청 접수 후 30일 이내 처리하며, 전송 현황 및 내역은 처리 결과 이메일로 안내드립니다.
- 마케팅 수신 동의 철회: 마이페이지 → 개인정보 설정에서 즉시 변경
- 회원 탈퇴: 마이페이지 → 계정 설정에서 신청
- 법정대리인 권리: 만 14세 미만 아동의 경우 법정대리인이 위 권리를 대신 행사할 수 있습니다. 단, 회사는 만 16세 미만의 회원가입을 허용하지 않으므로 본 조항이 적용되는 경우는 제한적입니다.
권리 행사는 서비스 내 설정 또는 이메일(privacy@damsora.com)을 통해 요청하실 수 있으며, 법령에서 정한 사유가 없는 한 신청 후 10일 이내 처리합니다. 대리인을 통한 권리 행사 시 위임장 및 신분증 사본을 함께 제출하여야 합니다.
행태정보(쿠키·광고 식별자) 수집 거부 및 차단 방법은 쿠키 정책의 "행태정보 거부 및 차단 방법" 항목을 참고해 주세요.
제7조의2 (자동화된 의사결정 및 정보주체의 권리)
「개인정보 보호법」 제37조의2에 따라 회사는 다음과 같은 자동화된 의사결정을 운영하며, 정보주체에게 거부권·설명요구권·인적 개입 요구권을 보장합니다.
1. 운영 중인 자동화된 결정
- 세션 완료/미완료 자동 판정: LiveKit 웹훅이 세션 종료 시점에 양방 카메라 동시 활성 시간(overlap)을 측정합니다. 예약된 세션 시간의 80% 이상이면 완료로 판정하여 친구(파트너)에게 보상이 지급되고, 80% 미만이거나 입장 기록이 없는 경우 미완료로 판정하여 이용자 크레딧이 환불되고 친구에게는 보상이 지급되지 않습니다.
- 24시간 자동 확정 처리: 세션 종료 후 24시간 이내 이의 신청이 접수되지 않으면 정기 작업(cron)이 위 판정 결과를 자동으로 확정합니다.
- 노쇼 자동 판정: 한쪽이 세션 시작 후 5분 내에 입장하지 않거나 양쪽 모두 입장 기록이 없는 경우, 다중 출처(LiveKit 웹훅·클라이언트 텔레메트리· 관리자 cron)의 cross-reference 기반으로 노쇼로 자동 분류됩니다.
- 크레딧 자동 환불·차감: 위 자동 판정 결과에 따라 이용자 크레딧이 자동 환불되거나 차감 상태로 유지되며, 친구(파트너)에게는 보상이 지급되거나 보류됩니다.
2. 정보주체의 권리
- 거부권: 자동화된 결정이 본인의 권리·의무에 중대한 영향을 미친다고 판단되는 경우 그 적용을 거부할 수 있습니다.
- 설명요구권: 판정 기준(overlap 80% 등)과 절차에 대해 설명을 요구할 수 있습니다.
- 인적 개입 요구권: 관리자에 의한 수동 재검토를 요청할 수 있습니다.
3. 권리 행사 방법
세션 종료 후 24시간 이내에 privacy@damsora.com으로 이메일을 보내주시기 바랍니다(세션 ID 및 사유 명시). 회사는 신청 접수 후 10일 이내 관리자가 LiveKit 로그·세션 기록 등을 재검토하여 결과를 통보드리며, 정당한 사유가 없는 한 자동화된 결정을 적용하지 않거나 결정 결과를 정정합니다.
제8조 (개인정보의 안전성 확보 조치)
- 비밀번호 암호화: bcrypt 해싱 (Supabase Auth 처리)
- 통신 암호화: HTTPS/TLS 적용
- 접근 제어: Row Level Security(RLS) 적용, 관리자 전용 서비스 역할 키 분리
- 결제 정보: Paddle이 처리, 회사 서버에 카드 정보 미저장
제9조 (쿠키 및 분석 도구)
서비스는 로그인 상태 유지를 위한 필수 쿠키를 사용합니다. 이용자의 동의 하에 Google Analytics를 통해 서비스 이용 통계를 수집합니다. 자세한 내용은 쿠키 정책을 참고하세요.
제10조 (개인정보 보호책임자 및 열람청구 부서)
개인정보 보호책임자(CPO)
열람·정정·삭제·처리정지 요구 접수 부서
부서: DAMSORA 개인정보 보호팀
담당자: 박세현
이메일: privacy@damsora.com
※ 회사 대표자(남준휘·박세현)는 개정 개인정보 보호법 §30조의3에 따라 개인정보 보호에 대한 최종 책임을 지며, CPO의 업무 수행에 필요한 인력·예산을 보장합니다.
정보주체의 권익침해 구제 방법
아래 기관은 회사와는 별개의 기관으로서, 회사의 자체적인 개인정보 불만처리·피해구제 결과에 만족하지 못하시거나 보다 자세한 도움이 필요하시면 문의해 주시기 바랍니다.
- 개인정보 분쟁조정위원회: www.kopico.go.kr · 1833-6972
- 개인정보 침해신고센터(KISA): privacy.kisa.or.kr · 국번없이 118
- 대검찰청 사이버수사과: www.spo.go.kr · 국번없이 1301
- 경찰청 사이버수사국: ecrm.police.go.kr · 국번없이 182
제11조 (개인정보처리방침의 변경)
이 처리방침은 법령 개정 또는 서비스 변경에 따라 수정될 수 있습니다. 중요한 변경이 있을 경우 시행 7일 전부터 서비스 내 공지합니다. 이용자에게 불리한 변경의 경우에는 30일 전부터 공지합니다.