정식 출시 전 초안입니다. 실제 활성화된 기능과 공급자 계약을 확인하고 대괄호 항목을 확정한 후 공개하세요.
[운영자 법인명 또는 개인사업자명](이하 “회사”)은 위드씨저 이용자의 자유와 권리를 보호하기 위해 개인정보 보호법 및 관계 법령을 준수합니다. 회사는 개인정보를 필요한 범위에서만 처리하고, 특히 경련·복약·진료 등 건강정보를 민감정보로 보호합니다.
- 공고일: [YYYY-MM-DD]
- 시행일: [YYYY-MM-DD]
1. 개인정보의 처리 목적, 항목 및 보유기간
아래 표는 최종 출시 시 실제 활성화된 항목만 남겨야 합니다.
| 구분 | 처리 항목 | 처리 목적 | 보유기간 |
|---|---|---|---|
| 계정 및 로그인 | 이름, 이메일, 이메일 확인 여부, 프로필 이미지, 서비스 내부 회원 ID, 로그인 제공자, 제공자 계정 식별자 | 회원 식별, 로그인, 계정 관리, 보안 알림 | 회원 탈퇴 또는 계정 삭제 완료 시까지 |
| 인증 처리 | 비밀번호 해시(이메일 로그인 사용 시), 소셜 로그인 접근·갱신·ID 토큰과 만료시각, 인증 범위, 인증·검증 코드 | 인증 상태 유지, 카카오 등 외부 로그인 연동, 계정 복구와 보안 | 연동 해제, 토큰 만료 또는 회원 탈퇴 시까지. 불필요한 토큰은 더 이른 시점에 삭제 |
| 세션 및 자동 생성 정보 | 세션 식별자, IP 주소, User-Agent, 접속 일시, 서비스 이용·오류·보안 로그, 쿠키 | 로그인 유지, 부정 이용 방지, 장애 대응, 보안 감사 | [로그 종류별 기간 확정 필요. 원칙적으로 목적 달성에 필요한 최소 기간] |
| 환자 프로필 및 멤버십 | 본인/보호자 역할, 환자 이름, 생년월일, 보호자 관계, 환자별 멤버십과 동의 상태, 환자·케어팀별 캐릭터와 배경색, 직접 업로드한 프로필 이미지 | 환자 그룹 구성, 본인 또는 보호자별 화면 제공, 보호자 접근 제한 | 프로필 이미지 교체·삭제, 프로필 삭제 또는 회원 탈퇴 시까지 |
| 동의 이력 | 동의 유형, 문서 버전·URL, 동의 시각, 보호자 권한 확인 | 동의 여부 입증, 동의 문서 변경 및 철회 관리 | 동의 철회 또는 회원 탈퇴 시까지. 법적 분쟁에 필요한 경우 별도 고지한 기간 |
| 홈 건강 기록 및 메모 | 경련 유형·발생 상황·강도·지속시간·발생 시각, 약명·용량·투약 시각, 진료·재활 구분·담당자·의료기관·진료과 또는 재활 유형·진료 시각, 각 기록의 자유서술 메모와 작성자, 일반 메모 제목·내용·기록 시각·작성자 | 건강 기록과 메모의 저장·조회, 진료 준비 지원 | 이용자가 해당 기록을 삭제하거나 회원 탈퇴 시까지 |
| 케어템 설정 | 자주 쓰는 경련 유형·발생 상황, 복용약 이름·용량, 복용 일정 이름·시간·반복 요일·대상 약, 주치의 성명·병원·진료과, 재활 선생님 성명·기관·치료과목 | 반복 입력 간소화, 복용 일정 확인, 진료·재활 준비 지원 | 이용자가 해당 설정을 삭제하거나 회원 탈퇴 시까지 |
| 선택 입력(기능 출시 시) | 수면, 기분, 생리주기, 사진·영상·음성, 일반 또는 정밀 위치 등 이용자가 선택한 정보 | 이용자가 요청한 선택 기능 제공 | 해당 기록 삭제 또는 회원 탈퇴 시까지 |
| 고객 문의 | 문의자 이름·이메일, 문의 내용과 첨부자료 | 문의 대응, 분쟁 및 품질 관리 | 문의 종결 후 [기간 확정 필요] |
환자 이름은 뇌전증 관리 서비스의 이용 맥락과 결합될 때 건강 상태를 추론하게 할 수 있습니다. 회사는 환자 프로필과 건강 기록을 민감정보 보호 절차에 따라 처리합니다.
보유기간이 끝나거나 처리 목적이 달성되면 개인정보를 지체 없이 파기합니다. 다만 관계 법령에 따라 보존해야 하는 경우에는 해당 근거, 항목과 기간을 아래와 같이 별도로 표시하고 다른 목적으로 이용하지 않습니다.
| 법령상 보존 항목 | 근거 | 기간 |
|---|---|---|
| [유료 결제·계약 기능을 제공하는 경우 확정] | [전자상거래법 등 실제 적용 법령] | [확정 필요] |
| [분쟁 또는 법적 의무에 따라 보존하는 항목] | [적용 법령] | [확정 필요] |
2. 민감정보의 처리
- 회사는 환자 프로필의 서비스 이용 맥락, 경련·복약·진료 기록 등 건강정보를 처리하기 전에 일반 개인정보 동의와 구분된 별도 동의를 받습니다.
- 이용자는 민감정보 처리 동의를 거부할 수 있습니다. 다만 동의하지 않으면 건강기록 기능을 이용할 수 없고 공개 서비스 소개 등 개인정보가 필요하지 않은 기능은 계속 이용할 수 있습니다.
- 회사는 식별 가능한 건강정보를 맞춤형 광고, 제3자 광고 상품, 일반 목적 AI 모델 학습 또는 별도 동의 없는 연구에 사용하지 않습니다.
- 통계 또는 연구 목적의 처리가 필요한 경우 적용 법령, 가명·익명처리 수준과 별도 동의 필요성을 사전에 검토하고 그 결과를 이용자에게 알립니다.
3. 만 14세 미만 아동의 개인정보
- 회사가 법정대리인 동의 확인 기능을 제공하기 전까지 만 14세 미만 아동은 직접 회원가입할 수 없습니다.
- 만 14세 미만 환자의 정보를 처리하려는 경우 회사는 법정대리인의 동의를 받고 동의 여부를 확인합니다. 이 절차가 준비되지 않은 동안에는 해당 환자의 정보를 수집하지 않습니다.
- 법정대리인 확인을 위해 정보를 수집하는 경우 필요한 최소 항목만 처리하고, 확인 목적이 달성되면 지체 없이 파기합니다.
- 아동과 법정대리인은 개인정보의 열람, 정정·삭제, 처리정지와 동의 철회를 요청할 수 있습니다.
4. 보호자가 입력하는 환자 정보
- 보호자는 환자 본인 또는 법정대리인으로부터 적법한 권한을 받은 경우에만 환자 정보를 입력할 수 있습니다.
- 회사는 환자 본인의 초대·승인, 법정대리인 확인 또는 이에 준하는 방법으로 권한을 확인합니다.
- 환자 본인 또는 법정대리인이 권한 철회를 요청하면 회사는 보호자의 접근을 중단하고, 이미 생성된 기록의 보관·이전·삭제 방안을 권리자와 확인합니다.
- 회사는 권한 분쟁 중 관련 정보의 접근과 변경을 일시 제한할 수 있습니다.
5. 개인정보의 제3자 제공
회사는 원칙적으로 개인정보를 제3자에게 제공하지 않습니다. 다음의 경우에만 관계 법령이 허용하는 범위에서 제공합니다.
- 정보주체가 제공받는 자, 목적, 항목, 보유기간을 확인하고 별도로 동의한 경우
- 법률에 특별한 규정이 있거나 법령상 의무를 이행하기 위해 필요한 경우
- 생명·신체의 급박한 위험을 보호하기 위해 법령상 허용되는 경우
의료진 또는 다른 보호자에게 직접 공유하는 기능을 출시하는 경우, 회사는 공유 실행 시점에 제공받는 자, 제공 항목, 목적과 보유기간을 다시 표시하고 필요한 동의를 받습니다. 이용자가 파일을 내려받아 직접 전달하는 경우, 내려받은 이후의 보관과 이용은 이용자와 수신자가 관리합니다.
6. 개인정보 처리업무의 위탁
회사는 안정적인 서비스 제공을 위해 다음 업무를 외부에 위탁할 수 있습니다. 아래 표는 실제 계약, 플랜과 하위 처리자를 확인하여 출시 전에 확정해야 합니다.
| 수탁자 | 위탁 업무 | 처리 정보 | 보유 및 이용기간 |
|---|---|---|---|
| Vercel Inc. [계약 주체 확인] | 웹·API 호스팅, 배포, 보안 및 운영 로그 | 서비스 요청, 계정·환자 정보와 구조화된 경련·복약·진료 상세가 요청 처리 과정에 포함될 수 있음 | 위탁계약 종료 또는 목적 달성 시까지. 로그·백업 주기 별도 확정 |
| Supabase, Inc. [계약 주체 확인] | PostgreSQL 데이터베이스 및 비공개 파일 Storage 호스팅, 백업, 보안·장애 대응 | 계정, 인증, 환자 프로필, 직접 업로드한 프로필 이미지, 메모와 구조화된 경련·복약·진료 상세 | 위탁계약 종료 또는 이용자 삭제 요청 처리 시까지. 백업 주기 별도 확정 |
| [고객지원·이메일 공급자] | [도입 시 업무] | [항목] | [기간] |
회사는 수탁자를 선정할 때 개인정보 보호 역량을 확인하고, 계약을 통해 목적 외 처리 금지, 안전조치, 재위탁, 사고 통지, 삭제와 감독 의무를 정합니다.
카카오 로그인은 이용자가 카카오에서 위드씨저로 정보 제공에 동의하여 사용하는 외부 인증 서비스입니다. 회사는 카카오로부터 동의 화면에 표시된 항목만 제공받으며, 위드씨저의 경련·복약·진료 기록을 카카오에 제공하지 않습니다.
7. 개인정보의 국외 이전
Vercel, Supabase 또는 그 하위 처리자는 대한민국 외 국가에서 지원, 로그, 백업, 보안 또는 제어 영역 업무를 수행할 수 있습니다. 서울 리전 설정만으로 모든 처리가 국내에 한정된다고 볼 수 없습니다.
회사는 정식 출시 전에 실제 데이터 흐름을 확인하고 개인정보 보호법 제28조의8에 따른 적법한 이전 근거를 마련하여 다음 사항을 확정·공개합니다.
| 이전받는 자 및 연락처 | 국가 | 이전 항목 | 목적 | 이전 일시·방법 | 보유기간 | 이전 근거 |
|---|---|---|---|---|---|---|
| Vercel Inc. 및 확인된 하위 처리자 | [국가 확정] | 계정·환자 정보와 API 요청에 포함된 구조화 건강기록 | 호스팅·보안·지원 | 서비스 이용 시 암호화 통신망으로 전송 | [확정] | [계약 이행에 필요한 위탁·보관 또는 별도 동의 등 확정] |
| Supabase, Inc. 및 확인된 하위 처리자 | [국가 확정] | 계정·인증·환자 프로필·직접 업로드한 프로필 이미지·메모·구조화 건강기록 | DB·비공개 파일 Storage 호스팅·백업·지원 | 정보 저장 시 암호화 통신망으로 전송 | [확정] | [근거 확정] |
정보주체가 국외 이전에 동의하지 않을 권리와 그에 따른 서비스 이용 제한, 국외 이전 중지를 요청하는 방법은 실제 이전 근거와 서비스 구조에 맞추어 출시 전에 추가합니다.
8. 개인정보의 파기
- 회사는 보유기간 경과, 처리 목적 달성, 동의 철회 또는 회원 탈퇴로 개인정보가 불필요해지면 지체 없이 파기합니다.
- 전자 파일은 복구하기 어려운 방식으로 삭제하고, 종이 문서가 있는 경우 분쇄 또는 소각합니다.
- 법령에 따라 보존해야 하는 정보는 별도 저장소에 분리하고 접근을 제한합니다.
- 운영 데이터에서 삭제된 정보가 백업에 남는 기간은 [최대 백업 잔존 기간]이며, 백업에서는 복구 목적 외 이용하지 않고 백업 수명주기에 따라 삭제합니다.
- 직접 업로드한 프로필 이미지는 다른 이미지로 교체하거나 캐릭터 프로필로 전환할 때 운영 Storage에서 삭제하며, 백업 잔존분은 위 백업 수명주기에 따라 삭제합니다.
9. 정보주체와 법정대리인의 권리
정보주체와 법정대리인은 회사에 다음 권리를 행사할 수 있습니다.
- 개인정보 처리 여부 확인 및 열람
- 개인정보 정정·삭제
- 개인정보 처리정지
- 동의 철회와 회원 탈퇴
- 본인 기록의 내보내기 및 보호자 접근권한 철회
권리는 서비스의 계정·개인정보 설정 또는 아래 문의처를 통해 행사할 수 있습니다. 회사는 본인 또는 적법한 대리인 여부를 필요한 최소한의 방법으로 확인하고 관계 법령이 정한 기간 내에 처리합니다. 다른 사람의 권리를 침해할 우려가 있는 경우에는 그 사유를 알리고 일부 제한할 수 있습니다.
10. 개인정보의 안전성 확보 조치
회사는 개인정보의 분실, 도난, 유출, 위조, 변조 또는 훼손을 방지하기 위해 서비스의 실제 운영 범위에서 다음 조치를 적용합니다.
- 개인정보 보호 내부관리계획, 권한 승인·회수와 정기 교육
- 업무상 필요한 최소 인원에게만 접근권한 부여 및 관리자 다중 인증
- 전송구간 암호화, 비밀번호의 안전한 단방향 해시, 비밀정보의 코드·클라이언트 분리
- 환자별 접근통제, 서버에서의 세션 재검증, DB 최소권한과 추가적인 행 단위 접근통제
- 개인정보 조회·변경·삭제 이력과 보안 이벤트 기록, 위·변조 방지 및 정기 점검
- 백업·복구, 취약점 관리, 침해사고 대응과 유출 통지 절차
- 민감정보가 애플리케이션·인프라 로그, 오류 메시지, 분석 도구에 기록되지 않도록 하는 필터링
이 목록은 실제로 구현·운영 중인 조치만 최종 공개본에 남깁니다.
11. 쿠키와 자동 수집 장치
회사는 로그인 상태 유지와 보안을 위해 필수 쿠키를 사용할 수 있습니다. 필수 쿠키는 서비스를 안전하게 제공하기 위해 필요합니다. 광고 또는 선택적 분석 쿠키를 도입하는 경우 그 목적, 공급자, 보유기간과 거부 방법을 별도로 알리고 필요한 동의를 받습니다.
12. 개인정보 유출 대응
회사는 개인정보 유출 등을 알게 된 경우 관계 법령이 정한 내용과 방법에 따라 정보주체에게 지체 없이 알리고, 신고 대상에 해당하면 개인정보보호위원회 또는 전문기관에 신고합니다. 회사는 피해 최소화, 원인 조사, 접근 차단, 재발 방지와 증거 보전 조치를 수행합니다.
13. 개인정보 보호책임자와 문의처
- 개인정보처리자: [운영자 법인명]
- 대표자: [대표자명]
- 개인정보 보호책임자: [성명/직책]
- 담당부서: [부서명]
- 이메일: [개인정보 문의 이메일]
- 전화번호: [전화번호]
- 주소: [사업장 주소]
개인정보 침해에 관한 상담이 필요한 경우 개인정보침해신고센터(국번 없이 118), 개인정보분쟁조정위원회 (1833-6972) 등 관계 기관에 문의할 수 있습니다.
14. 처리방침의 변경
회사는 이 방침을 변경하는 경우 변경 내용과 시행일을 서비스에서 알립니다. 수집 항목, 이용 목적, 제3자 제공, 국외 이전 등 중요한 변경은 관계 법령에 따라 사전에 알리고 필요한 경우 동의를 다시 받습니다.
부칙
이 개인정보처리방침은 [YYYY-MM-DD]부터 시행합니다.