개인정보처리방침
1. 개요
32personas (이하 "서비스")는 사용자의 개인정보를 소중히 다루며, 개인정보 보호법 (PIPA) 및 관련 법령을 준수합니다. 본 방침은 서비스가 수집·이용·제공·파기하는 개인정보의 항목과 처리 방법을 명시합니다.
2. 수집 항목 (최소화 원칙)
- 이메일 주소 — 계정 생성, 뉴스레터 구독, 결과 저장, 고객지원 응대 시
- 성격유형 선택 결과 — MBTI 기반 16-32 유형, 익명화 처리
- 연령대·성별·국가 — 선택 입력, 통계 분석 목적
- 결제 정보 — Polar (제3자 결제 처리사) 측 처리, 본 서비스는 Polar 고객 ID만 보관
3. 처리 목적 및 보유 기간
| 항목 | 목적 | 보유 기간 |
|---|---|---|
| 계정 이메일 | 회원 관리 + 서비스 제공 | 탈퇴 즉시 파기 (개인정보 보호법 제21조) |
| 고객지원 문의 | 응대 + 분쟁 대응 | 3년 (소비자기본법 시행령 제8조) |
| 결제 정보 | 결제 처리 + 회계 | 5년 (전자상거래법 제6조, Polar 측 위임) |
| 설문 결과 (성격유형) | 서비스 품질 개선 | 탈퇴 시 익명화 후 보관 (식별 불가) |
| 외부 로그인 연동 정보 (oauth_identities) | Google 등 외부 로그인 식별자 매핑 | 연동 해제 또는 계정 삭제 시 즉시 영구 삭제 |
- 항목
- 계정 이메일
- 목적
- 회원 관리 + 서비스 제공
- 보유 기간
- 탈퇴 즉시 파기 (개인정보 보호법 제21조)
- 항목
- 고객지원 문의
- 목적
- 응대 + 분쟁 대응
- 보유 기간
- 3년 (소비자기본법 시행령 제8조)
- 항목
- 결제 정보
- 목적
- 결제 처리 + 회계
- 보유 기간
- 5년 (전자상거래법 제6조, Polar 측 위임)
- 항목
- 설문 결과 (성격유형)
- 목적
- 서비스 품질 개선
- 보유 기간
- 탈퇴 시 익명화 후 보관 (식별 불가)
- 항목
- 외부 로그인 연동 정보 (oauth_identities)
- 목적
- Google 등 외부 로그인 식별자 매핑
- 보유 기간
- 연동 해제 또는 계정 삭제 시 즉시 영구 삭제
4. 정보주체의 권리
개인정보 보호법에 따라 사용자는 다음 권리를 행사할 수 있으며, 요청일로부터 30일 이내에 처리됩니다. /account/data/request 페이지에서 직접 요청 가능하며, 이메일 (support@monday.red) 로도 요청 가능합니다.
- 열람권 — 수집된 개인정보의 처리 현황 및 내용 확인
- 정정권 — 부정확하거나 불완전한 정보의 정정 요청
- 삭제권 — 개인정보 삭제 요청
- 처리정지권 — 개인정보 처리 중지 요청 (마케팅 등)
- 자동화된 의사결정 거부·설명요구권 (개인정보보호법 §37-2) — 본 서비스는 (a) SLOAN 성격 채점 알고리즘 + (b) 외부 LLM 기반 사주 해석 narrative 의 두 가지 자동화 처리를 수행합니다. 결과에 동의하지 않거나 설명을 요구하실 경우 support@monday.red 로 연락해주세요. 거부 시 해당 자동화 결과물은 즉시 삭제·열람 비활성화 처리됩니다. 결제 관련 사항은 별도의 환불 정책 (/legal/refund-policy) 을 따릅니다.
5. 제3자 제공 및 국외이전 (한국 개인정보보호법 제17조·제26조·제28조의8)
서비스는 사용자의 개인정보를 광고 목적으로 제3자에게 제공하지 않습니다. 다음 위탁사로 개인정보가 국외이전 되며, 각 위탁사의 개인정보처리방침을 참조해주세요. (1) Supabase, Inc. — 미국, 데이터베이스 저장, 회원가입 즉시 ~ 계정 삭제 + 30일까지 (전자상거래법 §6 5년 결제기록 별도) — 이전 방법: HTTPS API. (2) Polar Software Inc. — 미국, 결제 처리, 결제 시점부터 결제·환불기록 및 세무·회계 의무 충족 기간 — 이전 방법: HTTPS API. (3) PostHog Inc. — 미국·EU, 분석 telemetry (distinct_id, $pageview, 클릭 이벤트), 30일 ~ 365일 (이벤트 유형별), 동의 거부 가능 — 이전 방법: HTTPS API. (4) Vercel Inc. — 미국, 정적 자원 호스팅 + 함수 실행, 요청 시점; Vercel 측 엣지/함수 로그 보유는 Vercel 정책에 따름 — 이전 방법: HTTPS. (5) Resend — 미국, 거래성 이메일 발송 (계정 인증, 데이터 export, 환불 알림), 발송 시점부터 Resend 측 정책에 따른 보유 — 이전 방법: HTTPS API. (6) DeepSeek (杭州深度求索) — 中国, 사주 해석 narrative 생성 (생년월일·생시·성별), 호출 시점부터 DeepSeek 측 공개 정책에 따른 보유 — 이전 방법: HTTPS API + audit_logs.input_hash 기록. 거부 권리: support@monday.red 로 거부 의사를 보내주시면 해당 위탁사 호출이 필요한 선택 기능 (예: AI 사주 해석 — DeepSeek, 분석 — PostHog, 거래성 이메일 — Resend) 이용을 중단해드립니다. 서비스 운영에 필수적인 위탁사 (Supabase 데이터베이스, Vercel 호스팅, Polar 결제) 는 거부 시 서비스 이용 자체가 중단됩니다.
6. 보안 조치
서비스는 Supabase Row Level Security (RLS), HTTPS 암호화 전송, 정기 보안 audit (주간 RLS coverage check)을 통해 개인정보를 보호합니다.
8. 외부 로그인 (Google OAuth) 데이터 처리
Google 계정으로 로그인 기능을 사용하실 때 Google 로부터 일부 정보를 받습니다. Google 사용자 데이터 처리에 대한 구체적 사항은 다음과 같습니다.
- 수집: Google 로그인 핸드셰이크 동안 Google 로부터 (a) 이메일 주소, (b) Google 계정 식별자(sub claim), (c) 프로필 표시 이름과 아바타 URL(있는 경우)을 일시적으로 수신합니다. 다만 영구적으로 저장하는 항목은 다음 세 가지로 한정됩니다: 이메일 주소, Google 계정 식별자(sub), 최근 로그인 시각. 표시 이름과 아바타 URL 은 데이터베이스에 저장하지 않습니다. Gmail, Drive, Calendar, Contacts 등 다른 Google 서비스 데이터는 요청하지 않으며 받지도 않습니다.
- 사용: 받은 정보는 오직 계정 식별과 로그인 인증 용도로만 사용됩니다. 마케팅 이메일 발송, 광고 타게팅, 프로필링, 자동화된 의사결정 어디에도 사용되지 않습니다. Google 로그인 연동 기록은 회원 보안 페이지에서 확인하실 수 있습니다.
- 공유: Google 로부터 받은 데이터는 제3자에게 판매·공유·제공하지 않습니다. 위 §6 에 명시된 위탁사 (Supabase 데이터베이스 저장) 외에는 어디에도 전달되지 않습니다.
- 삭제: Google 계정 연결 해제는 회원 설정 페이지(/account/security)의 "외부 로그인 연결" 카드에서 언제든 가능합니다. 연결 해제 시 oauth_identities 테이블의 해당 row 가 즉시 삭제됩니다. 계정 자체를 삭제하시면 (/account/delete-request) 연동 정보도 함께 즉시 삭제됩니다.
9. 사업자 정보 및 문의
운영자 정보 (전자상거래법 §10 + 개인정보보호법 §30 의무 고지)
상호: 프로젝트먼데이 · 사업자등록번호: 106-68-00711
문의 채널
support@monday.red (개인정보 권리행사 / 환불 / 약관 / 기술 지원 · 응답 SLA 영업일 1-2일)
개인정보 보호책임자(DPO)는 위 사업자 정보 기재와 함께 별도 지정됩니다. 지정 이전에는 support@monday.red 가 임시 DPO 채널입니다.