콩팥메이트 개인정보처리방침

개인정보처리방침

시행일: 2026년 5월 9일

주식회사 티오엔(이하 “회사”)은 개인정보 보호법 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 개인정보처리방침을 수립·공개합니다. 콩팥메이트는 만성콩팥병(CKD) 보존기 환자의 영양 자가관리를 돕는 서비스로, 의료기기가 아니며 회원이 입력하는 일부 항목은 개인정보 보호법상 민감정보(건강정보)에 해당합니다.

제1조 (개인정보의 처리 목적)

회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리 중인 개인정보는 다음의 목적 외 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우에는 개인정보 보호법 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.

  1. 회원 가입 및 관리: 회원 식별·인증, 회원자격 유지·관리, 부정 이용 방지, 각종 고지·통지, 고충 처리.
  2. 서비스 제공: 회원이 입력한 CKD 단계·체중에 기반한 일일 관리 상한선 산출, 식사 기록 저장·표시, 음식별 일일 비율 계산, 자주 먹는 음식 목록 관리.
  3. 서비스 개선 및 통계: 익명화된 사용 패턴 분석을 통한 서비스 품질 개선(Google Analytics).
  4. 고객 문의 처리: 민원인 신원 확인, 민원 사항 확인, 처리 결과 통보.
  5. 마케팅 및 광고성 정보 발송: 회원이 별도로 동의한 경우에 한해 신규 기능 안내, 이벤트 안내, 중요 서비스 업데이트 등의 광고성 정보를 가입한 이메일로 발송합니다. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 제50조에 따른 사전 동의(옵트인) 항목이며, 동의를 거부하더라도 서비스 이용에 제한이 없습니다.
  6. 결제 처리(추후 도입 예정): 유료 기능 도입 시 결제 수단 확인·정산. 결제 도입 시점에 별도로 동의 절차를 진행하며, 본 처리방침을 갱신합니다.

제2조 (처리하는 개인정보 항목)

  1. 회원 가입·관리
    • 필수: 이메일, (이메일 가입의 경우) 비밀번호, Google 소셜 로그인 식별자(Google 가입의 경우)
    • 선택: 표시 이름
  2. 서비스 이용 (민감정보 — 건강에 관한 정보)
    • 필수: CKD 단계, 체중(단백질 관리 상한 계산에 사용)
    • 자동 생성: 식사 기록(섭취 음식·끼니·날짜·계산된 영양 비율), 자주 먹는 음식 목록
  3. 자동 수집 항목
    • IP 주소, 브라우저 종류·버전, 운영체제, 접속 일시, 페이지 이동 기록(Vercel 호스팅 로그)
    • 쿠키, Google Analytics 측정 식별자
  4. 동의 관리
    • 필수 동의 시점: 이용약관 동의 시점, 개인정보처리방침 동의 시점, 만 14세 이상 확인 시점, 동의한 약관·방침 버전
    • 선택 동의 시점: 마케팅 정보 수신(이메일) 동의·철회 시점
    • 동의·철회 이력: 발생 시점, 채널(가입 폼·OAuth 게이트·설정·재동의), 약관·방침 버전, 접속 IP, User-Agent
  5. 결제 관련(추후 도입 예정)
    • 결제 수단 정보, 결제 일시·금액, 거래 식별자 등 — 결제 기능 도입 시 별도 안내·동의 후 수집

CKD 단계와 체중은 개인정보 보호법 제23조 및 동법 시행령 제18조에 따른 건강 관련 민감정보입니다. 회사는 회원으로부터 일반 개인정보 동의와 분리된 별도 동의를 받은 경우에만 해당 정보를 처리합니다. 별도 동의는 회원가입 또는 온보딩 단계에서 받으며, 동의하지 않는 경우 영양 비율 계산을 포함한 서비스의 핵심 기능을 이용할 수 없습니다.

제3조 (개인정보의 처리 및 보유 기간)

회사는 법령에 따른 개인정보 보유·이용 기간 또는 정보주체로부터 동의받은 보유·이용 기간 내에서 개인정보를 처리·보관합니다.

  1. 회원 가입·관리, 식사 기록 등 사용자 데이터: 회원 탈퇴 시까지. 단, 관계 법령 위반에 따른 수사·조사가 진행 중인 경우 해당 종료 시까지.
  2. 민감정보(CKD 단계·체중): 회원 탈퇴 또는 정보주체의 처리정지·삭제 요구 시까지. 회원이 동의 철회를 요구한 경우 지체 없이 파기합니다.
  3. 마케팅 동의 정보: 회원의 동의 철회 또는 회원 탈퇴 시까지. 단, 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 등 관계 법령에 따른 증빙 의무 기간 동안 동의·철회 이력은 별도 보관할 수 있습니다.
  4. 자동 수집 정보: 「통신비밀보호법」에 따른 인터넷 로그 기록·접속지 추적 자료 3개월, 그 외 분석 식별자는 Google Analytics 보존 정책(기본 26개월)에 따름.
  5. 결제 기록(추후): 「전자상거래 등에서의 소비자 보호에 관한 법률」에 따라 계약 또는 청약철회·대금결제·재화 공급 기록 5년, 소비자 불만·분쟁 처리 기록 3년, 표시·광고 기록 6개월.

제4조 (개인정보의 제3자 제공)

회사는 정보주체의 동의, 법률의 특별한 규정 등 개인정보 보호법 제17조 및 제18조에 해당하는 경우를 제외하고는 개인정보를 제3자에게 제공하지 않습니다. 현재 회사는 개인정보를 제3자에게 제공하고 있지 않으며, 제공이 필요한 경우 정보주체에게 사전 동의를 받습니다.

제5조 (개인정보 처리의 위탁)

회사는 원활한 서비스 운영을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다. 회사는 위탁 계약 시 개인정보 보호법 제26조에 따라 위탁 업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호 조치, 재위탁 제한, 수탁자 관리·감독, 손해배상 등에 관한 사항을 계약서에 명시하고 수탁자가 안전하게 처리하는지를 감독합니다.

  • Supabase Inc.

    위탁 업무: 회원 인증(이메일·Google OAuth), 데이터베이스 운영, 파일 저장

    보유·이용 기간: 위탁 계약 종료 또는 회원 탈퇴 시까지

  • Vercel Inc.

    위탁 업무: 서비스 호스팅 및 트래픽 처리, 접속 로그 관리

    보유·이용 기간: 위탁 계약 종료 시까지

  • Google LLC

    위탁 업무: 서비스 이용 통계 분석(Google Analytics), Google 소셜 로그인 인증

    보유·이용 기간: Google Analytics 보존 정책(기본 26개월) 및 위탁 계약 종료 시까지

  • 결제선생(추후 도입 예정)

    위탁 업무: 결제 처리·정산 (서비스 도입 시 적용)

    보유·이용 기간: 「전자상거래 등에서의 소비자 보호에 관한 법률」 등 관계 법령에 따른 기간

위탁 업무의 내용이나 수탁자가 변경될 경우 회사는 지체 없이 본 처리방침을 통해 공개합니다.

제6조 (개인정보의 국외 이전)

회사는 서비스 운영을 위해 다음과 같이 개인정보를 국외로 이전합니다. 정보주체는 회원가입 시 본 처리방침에 동의함으로써 국외 이전에 동의하는 것으로 간주됩니다(개인정보 보호법 제28조의8 제1항).

  • Supabase Inc.

    이전 국가: 미국

    이전 일시·방법: 회원가입·서비스 이용 시 네트워크 전송

    이전 항목: 이메일, 표시 이름, CKD 단계, 체중, 식사 기록 등 서비스 데이터

    보유·이용 기간: 회원 탈퇴 또는 위탁 계약 종료 시까지

  • Vercel Inc.

    이전 국가: 미국

    이전 일시·방법: 서비스 접속 시 네트워크 전송

    이전 항목: IP 주소, 브라우저 정보, 접속 일시·로그

    보유·이용 기간: 통신비밀보호법이 정한 기간(인터넷 로그 3개월) 등

  • Google LLC

    이전 국가: 미국

    이전 일시·방법: 서비스 접속 시 네트워크 전송

    이전 항목: Google Analytics 측정 식별자, 페이지 이동 정보, Google 계정 식별 토큰(Google 로그인 시)

    보유·이용 기간: Google Analytics 보존 정책(기본 26개월)

각 수탁자의 개인정보 보호 관련 문의처는 해당 사업자가 운영하는 홈페이지의 개인정보 담당 부서를 참고하시기 바랍니다.

제7조 (정보주체 및 법정대리인의 권리·의무 및 행사 방법)

  1. 정보주체는 회사에 대해 언제든지 개인정보 열람·정정·삭제·처리정지를 요구할 수 있으며, 민감정보 처리에 대한 동의를 철회할 수 있습니다.
  2. 권리 행사는 본 처리방침의 제10조에 명시된 개인정보 보호책임자에게 서면 또는 전자우편으로 요청할 수 있으며, 회사는 이에 대해 지체 없이 조치합니다.
  3. 정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우에는 회사는 정정 또는 삭제를 완료할 때까지 해당 개인정보를 이용하거나 제공하지 않습니다.
  4. 제1항에 따른 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여도 할 수 있습니다.

제8조 (개인정보의 파기)

  1. 회사는 개인정보 보유 기간의 경과, 처리 목적 달성, 회원 탈퇴, 동의 철회 등 개인정보가 불필요하게 되었을 때 지체 없이 해당 개인정보를 파기합니다.
  2. 파기 절차: 파기 사유가 발생한 개인정보를 선정하여 개인정보 보호책임자의 승인 후 파기합니다.
  3. 파기 방법: 전자적 파일 형태로 기록·저장된 개인정보는 복구 및 재생이 불가능하도록 영구 삭제합니다.

제9조 (개인정보의 안전성 확보 조치)

  1. 관리적 조치: 내부 관리계획 수립·시행, 정기적 직원 교육, 접근 권한자 최소화.
  2. 기술적 조치: 개인정보처리시스템 접근 권한 관리, HTTPS를 통한 전송 구간 암호화, Supabase Row Level Security(RLS) 적용, 비밀번호 단방향 암호화 저장, 접속 로그 보관.
  3. 물리적 조치: 클라우드 인프라(Supabase·Vercel)가 제공하는 데이터 센터 보안 정책 및 접근 통제 준수.

제10조 (개인정보 자동 수집 장치의 설치·운영 및 거부에 관한 사항)

  1. 회사는 회원의 로그인 세션 유지와 서비스 이용 분석을 위해 쿠키(cookie)와 유사 기술을 사용합니다.
    • 인증 쿠키(Supabase): 로그인 세션 유지를 위한 필수 쿠키
    • 분석 식별자(Google Analytics): 익명화된 페이지 이동·체류 시간 분석
  2. 정보주체는 웹 브라우저 옵션 설정을 통해 쿠키 허용·차단을 설정할 수 있습니다. 다만 인증 쿠키를 차단하면 로그인 유지가 불가능합니다.
    • 크롬: 설정 > 개인정보 보호 및 보안 > 인터넷 사용기록 삭제
    • 사파리(모바일): 설정 > 사파리 > 고급 > 모든 쿠키 차단
    • 엣지: 설정 > 쿠키 및 사이트 권한 > 쿠키 및 사이트 데이터 관리 및 삭제

제11조 (개인정보 보호책임자)

회사는 개인정보 처리에 관한 업무를 총괄하여 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제를 위해 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

  • 성명 윤민호
  • 직책 대표이사
  • 연락처 beyondprice2015@gmail.com

정보주체는 서비스 이용 중 발생한 모든 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 위 연락처로 문의하실 수 있으며, 회사는 지체 없이 답변 및 처리합니다.

제12조 (정보주체의 권익 침해 구제 방법)

정보주체는 아래 기관에 개인정보 침해에 대한 피해 구제 및 상담 등을 문의할 수 있습니다.

  • 개인정보 분쟁조정위원회: (국번 없이) 1833-6972 / kopico.go.kr
  • 개인정보침해신고센터: (국번 없이) 118 / privacy.kisa.or.kr
  • 대검찰청: (국번 없이) 1301 / spo.go.kr
  • 경찰청: (국번 없이) 182 / ecrm.police.go.kr/minwon/main

제13조 (광고성 정보 전송 동의 및 수신 거부)

  1. 회사는 회원이 회원가입 화면 또는 설정 화면에서 별도로 동의한 경우에 한해 신규 기능, 이벤트, 중요 서비스 업데이트 등의 광고성 정보를 가입한 이메일 주소로 발송합니다. 본 동의는 「정보통신망법」 제50조에 따른 사전 동의(옵트인)이며, 회원은 동의를 거부하더라도 서비스의 모든 기능을 제한 없이 이용할 수 있습니다.
  2. 회원은 다음 각 호의 방법으로 언제든 수신 동의를 철회할 수 있습니다. 철회 즉시 마케팅 동의 시점이 삭제되고 이후 광고성 정보가 발송되지 않습니다.
    • 설정 화면 → 마케팅 정보 수신 동의 토글 해제
    • 수신한 광고성 메일 본문의 수신 거부 링크
    • 본 처리방침 제11조의 개인정보 보호책임자 연락처로 서면·이메일 요청
  3. 회사는 광고성 정보 발송 시 다음 사항을 준수합니다.
    • 제목에 “(광고)” 표기
    • 본문에 발신자 정보, 수신 동의 시점, 수신 거부 방법 명시
    • 오후 9시부터 익일 오전 8시까지의 야간 시간대 미발송 원칙 (회원으로부터 야간 발송에 대한 별도 동의를 받지 않은 경우)
    • 표준화된 1-click 수신 거부 헤더(List-Unsubscribe) 포함 (이메일 발송 인프라 도입 후 적용)
  4. 동의·철회 이력은 시점, 채널, 약관 버전, 접속 IP·User-Agent와 함께 회사가 별도로 보관하여 법령상 증빙 자료로 사용합니다.

제14조 (개인정보처리방침의 시행 및 변경)

본 개인정보처리방침은 2026년 5월 9일부터 시행됩니다. 처리방침의 내용에 추가, 삭제 및 수정이 있을 경우 변경 사항의 시행 7일 전부터 서비스 내 공지사항을 통해 사전 고지합니다. 다만 회원의 권리에 중요한 변경이 있는 경우에는 최소 30일 전에 고지하며, 변경 시점에 보호 라우트 진입 시 회원의 명시적 재동의를 받기 위한 별도 화면이 표시될 수 있습니다.

돌아가기