피트너 PTNER 개인정보 처리방침

데브리데이(이하 "회사")는 「개인정보 보호법」 제30조 에 따라 이용자(법령상 "정보주체") 의 개인정보를 보호하고 관련 불만 사항을 신속하게 처리하기 위해 이 처리방침을 마련하여 공개한다.

제1조 (수집하는 개인정보 항목)

회사는 다음 항목을 수집한다. 민감정보(운동기록·체중·체성분·부상이력)는 「개인정보 보호법」 제23조 에 따라 별도로 동의를 받아 수집한다.

마케팅 수신 동의는 별도 체크박스로 분리하며, 광고 표시, 발신자 정보, 수신거부 방법, 야간 발송 별도 동의, 처리결과 안내, 정기 확인 등 「정보통신망법」 제50조 가 요구하는 항목을 본문에 명시한다.

제2조 (수집 방법)

• 가입 화면·로그인 화면에서 이용자가 직접 입력하는 방법
• 결제 대행사(토스페이먼츠) 응답에서 자동 전달되는 방법
• 앱·웹에서 서비스 이용 중 자동으로 생성되는 방법

제3조 (개인정보의 이용 목적)

회사는 개인정보를 다음 목적에만 사용한다. 항목별 매핑은 아래와 같다.

제4조 (개인정보의 보유와 이용 기간)

회사는 수집·이용 목적을 마치면 즉시 개인정보를 파기한다. 다만 관련 법령에 따라 보관해야 하는 경우에는 아래 기간 동안 보관한다.

• 계약 또는 청약철회 등에 관한 기록: 5년 (전자상거래법 제6조 제3항)
• 대금결제 및 재화 등의 공급에 관한 기록: 5년 (전자상거래법 제6조 제3항)
• 소비자의 불만 또는 분쟁 처리에 관한 기록: 3년 (전자상거래법 제6조 제3항)
• 접속 로그: 3개월 이상 (통신비밀보호법)

회원이 탈퇴를 신청하면 30일 동안 유예 보관 상태로 두며, 이 기간 안에 다시 로그인하면 탈퇴가 자동으로 취소된다. 30일이 지나면 개인정보를 익명화 처리하고, 법령에 따라 보관해야 하는 항목은 그 기간 동안 다른 데이터와 분리하여 보관한다.

제5조 (처리 위탁)

회사는 「개인정보 보호법」 제26조 에 따라 다음과 같이 개인정보 처리를 위탁한다. 위탁사 목록은 변경이 있을 때 이 처리방침을 통해 공개한다.

이 처리방침이 게시된 페이지 아래에 위탁사 4건(Supabase·Railway·토스페이먼츠·Sentry) 의 상세 정보가 카드 형식으로 안내된다. 자세한 위탁 국가·이전 항목·보관 기간은 해당 카드를 확인한다.

제6조 (개인정보의 국외 이전)

회사는 다음과 같이 개인정보를 국외로 이전한다. 「개인정보 보호법」 제28조의8 제2항 이 요구하는 8개 항목을 모두 명시한다.

위 위탁사 (Supabase·Railway·Sentry) 는 모두 「개인정보 보호법」 제26조 에 따른 처리 위탁 형태이며, 같은 법 제28조의8 제2항 의 8개 정보 제공 의무 + 제26조 위탁 고지 의무를 이 처리방침 본문에 모두 명시했으므로, 별도의 국외 이전 동의 화면을 따로 운영하지 않고 이 처리방침 동의에 포함하여 운영한다 (PIPA §28의8 ② 단서 + §26 면제 분기 활용). 다만 회원 가입 시 처리방침 동의 화면에서 본 국외 이전 사항을 별도 안내 박스로 강조하여 이용자가 충분히 인지한 상태로 동의할 수 있도록 한다.

제7조 (제3자 제공)

회사는 이용자의 개인정보를 제3자에게 제공하지 않는다. 다만 다음의 경우에는 예외로 한다.

• 이용자가 미리 동의한 경우
• 법령에 따라 제공 의무가 있는 경우

트레이너와 회원 사이의 측정 데이터 공유는 회원이 가입 시점에 동의한 서비스 본래 목적(수업 관리) 범위 안에서 이루어진다. 회원과 연결된 트레이너만 해당 회원의 측정 데이터를 열람할 수 있다.

제8조 (이용자의 권리)

이용자는 회사에 대해 다음 권리를 행사할 수 있다.

• 개인정보 열람 요구 (「개인정보 보호법」 제35조)
• 오류가 있는 경우 정정 요구 (제36조)
• 삭제 요구 (제36조)
• 처리 정지 요구 (제37조)
• 개인정보 전송 요구 (제35조의2)

이 권리는 「개인정보 보호법」 시행령 제41조 제1항 이 정하는 행사 방법(서면·전자우편·팩스 등) 가운데, 회사는 서면과 이메일을 우선 수단으로 운영한다. 회사는 서비스 내 마이페이지(프로필 설정) 에서 열람·정정·삭제·처리정지를 직접 행사할 수 있는 화면을 제공하며, 그 밖의 서면 요청은 회사 고객지원 이메일(hello@deveryday.dev) 로 접수한다. 만 14세 미만 아동의 경우 법정대리인(보호자) 이 위 권리를 대신 행사할 수 있다.

회원은 트레이너를 거치지 않고도 이 직접 연락 채널로 본인 데이터에 대한 권리를 행사할 수 있다.

회사는 정당한 요청을 받은 날부터 10일 이내에 처리한다.

개인정보 전송 요구권 (「개인정보 보호법」 제35조의2)

• 전송 방법: 회사 고객지원 이메일(hello@deveryday.dev) 에 전송 대상(다른 서비스 또는 관리기관)과 전송 항목을 적어 요청한다.
• 전송할 수 있는 항목: 회원 본인 확인 정보·연락처·측정 데이터(운동기록·체중·체성분·부상이력) 가운데 이용자가 직접 제공한 데이터.
• 전송 형식: 데이터 파일 형식(JSON·CSV) 중 선택.
• 처리 기한: 요청일부터 영업일 기준 10일 이내 처리.
• 전송 결과 확인 방법: 처리 결과를 이용자의 이메일로 보내며, 회원은 마이페이지의 개인정보 관리 메뉴에서 최근 1년간의 전송 이력을 확인할 수 있다.
• 베타 운영 기간에는 이 권리 행사 화면이 마이페이지에 단계별로 추가되며, 그 전까지는 고객지원 이메일로 동일하게 처리한다.

제9조 (쿠키·광고 식별자와 자동수집 정보)

회사는 다음 자동수집 정보를 수집한다.

• 접속 IP, 브라우저·기기 정보, 접속 일시
• 서비스 이용 기록(수업 일정 조회, 운동 기록 작성 등)
• 모바일 앱 이용 시 광고 식별자(iOS IDFA, Android ADID) 및 기기 정보(운영체제, 기기 모델, 이동통신사)

쿠키는 이용자의 브라우저가 잠시 저장하는 작은 텍스트 파일이며, 광고 식별자는 모바일 기기가 광고용으로 부여하는 임시 번호이다. 이용자는 다음 방법으로 쿠키와 광고 식별자를 직접 제어할 수 있다.

웹 브라우저 쿠키:

• Chrome: 설정 > 개인정보 및 보안 > 쿠키 및 기타 사이트 데이터
• Safari: 환경설정 > 개인정보 보호 > 쿠키 및 웹사이트 데이터 관리
• Edge: 설정 > 쿠키 및 사이트 권한 > 쿠키 및 사이트 데이터 관리
• Firefox: 설정 > 개인정보 및 보안 > 쿠키와 사이트 데이터
• 제3자 쿠키 차단·모든 쿠키 차단 옵션은 각 브라우저 동일 메뉴에서 선택 가능

모바일 광고 식별자:

• iOS: 설정 > 개인정보 보호 및 보안 > 추적 > 앱이 추적 요청하지 않도록 허용
• Android: 설정 > 개인정보 보호 > 광고 > 광고 ID 재설정

쿠키·광고 식별자를 차단할 경우 서비스 일부 기능이 제한될 수 있다.

제10조 (안전성 확보 조치)

회사는 「개인정보 보호법」 제29조 와 같은 법 「안전성 확보조치 기준」 에 따라 다음 조치를 시행한다.

• 비밀번호 암호화 저장: 원본을 다시 알아낼 수 없는 단방향 처리 방식으로 저장
• 전송 구간 암호화: 이용자와 서비스 사이의 모든 통신을 안전한 HTTPS 채널로 전송
• 접근 권한 분리: 트레이너는 본인이 등록한 회원의 정보만 열람할 수 있으며, 회사 운영자도 정해진 권한 범위에서만 접근 가능
• 자동 로그인 토큰 안전 관리: 외부 접근이 차단된 안전한 영역에 저장하고, 정기적으로 자동 갱신
• 로그인 보안: 연속 로그인 실패가 5회 발생하면 15분간 계정을 일시 잠금
• 접속 기록 보관: 1년간 보관하여 이상 접근을 감지
• 장기 보안 키 별도 보관: 회원 기기의 알림 발송 키 같은 민감한 정보는 별도 보안 저장소에 보관 (단계별 도입 중이며, 적용 영역이 늘어나면 이 처리방침을 갱신)
• 물리적 보호 조치: 데브리데이는 1인 사업자로서 별도 사무 공간을 운영하지 않으며, 회사가 보유한 모든 개인정보는 위탁사(Supabase·Railway·토스페이먼츠·Sentry) 의 클라우드에 저장되어 위탁사가 보장하는 물리적 보호 조치(데이터센터 출입 통제, 시설 보안, 재해 대비 백업 등) 를 적용받는다.

제11조 (개인정보 보호책임자 및 열람청구 접수·처리 부서)

회사는 「개인정보 보호법」 제31조 와 같은 법 시행령 제32조 에 따라 개인정보 보호책임자를 지정한다. 보호책임자 정보는 이 조항 바로 위의 박스에 표시된다.

데브리데이는 1인 사업자로서 시행령 제32조 에 따라 별도의 전담 인력 지정 의무가 면제되며, 대표자 본인이 보호책임자 역할을 직접 수행한다. 회사의 매출·이용자 수가 시행령이 정한 기준을 넘는 시점에 별도 전담 인력을 지정하고 이 처리방침을 갱신한다.

개인정보 처리의 최종 책임자: 「개인정보 보호법」 제30조의3 (2026년 9월 11일 시행) 에 따라 데브리데이의 대표자(김동환) 가 회사가 처리하는 모든 개인정보에 대한 최종 책임을 진다. 위 보호책임자와 동일인이다.

열람청구 접수·처리 부서: 데브리데이는 별도의 고충처리 부서를 운영하지 않으며, 위 보호책임자(대표자 본인) 가 이용자의 개인정보 열람·정정·삭제·처리정지·전송 요구와 불만 사항을 직접 접수·처리한다. 회사의 매출·이용자 수가 시행령 기준을 넘어 별도 부서를 두는 시점에는 본 처리방침에 부서명·연락처를 추가로 게시한다.

• 접수 채널: 회사 고객지원 이메일 (hello@deveryday.dev)
• 처리 시한: 정당한 요청을 받은 날부터 10일 이내
• 처리 결과 통지: 이용자의 이메일로 발송

제12조 (만 14세 미만 아동의 개인정보)

회원이 만 14세 미만인 경우, 회사는 「개인정보 보호법」 제22조의2 와 같은 법 시행령 제17조의2 에 따라 다음 절차로 법정대리인(보호자) 의 동의를 확인한다.

1. 회원 본인이 모바일 앱에서 가입을 시작한다.
2. 휴대전화 본인인증 단계에서 생년월일을 확인한다.
3. 만 14세 미만인 경우 추가 단계로 진입하며, 법정대리인의 휴대전화 본인인증 서비스(PortOne 통합 본인인증)를 통해 법정대리인 본인이 동의 여부를 표시하고 그 사실이 확인된다.
4. 동의 사실은 안전하게 기록되며, 법정대리인의 휴대전화로 동의 처리 결과 안내 문자가 발송된다.

가입 시 보호자 확인 체크박스는 보조 수단이며, 주된 확인 방법은 법정대리인 본인의 휴대전화 본인인증이다.

만 14세 미만 회원의 동의 확인 과정 동작 기록은 회사 내부 문서로 보관하며, 이용자의 요청이 있을 때 열람할 수 있다.

제13조 (민감정보 처리)

회사는 「개인정보 보호법」 제23조 와 같은 법 시행령 제18조 가 정하는 민감정보(건강 정보) 에 해당하는 측정 데이터(운동기록·체중·체지방률·근육량·부상이력) 에 대해 다음과 같이 처리한다.

• 가입 동의와 별도로 민감정보 수집·이용에 대한 동의를 받는다.
• 마이페이지에서 동의 철회 화면을 제공한다.
• 필요한 만큼만 수집: 트레이너가 회원의 수업·운동 관리를 위해 직접 입력하는 정보만 수집한다.
• 접근 권한 통제: 회원과 연결된 트레이너만 해당 회원의 측정 데이터를 열람할 수 있도록 시스템으로 분리한다.

자동화된 결정에 관한 사항: 「개인정보 보호법」 제37조의2 에 따른 안내. 회사는 현재 자동화된 결정(완전히 자동화된 수단으로 정보주체의 권리·의무에 중대한 영향을 미치는 결정) 을 운영하지 않는다. 향후 AI 기반 분석·추천 등 자동화 결정 기능을 도입할 경우, 결정 기준·절차·방식을 본 처리방침에 명시하고 이용자에게 거부권·재처리 요구권·설명 요구권을 함께 제공한다.

제14조 (처리방침의 개정)

회사는 처리방침을 변경할 때 시행일 7일 전부터 서비스 내 공지를 통해 알린다. 이용자에게 불리한 중요 변경의 경우 시행일 30일 전부터 공지하고, 가입 시 등록한 연락 수단(이메일·앱 푸시) 으로 개별 안내한다.

처리방침의 변경 이력은 /terms/history 페이지에서 확인할 수 있다.

제15조 (위치정보)

회사는 현재 운영 단계에서 위치정보를 수집하지 않는다. 추후 GPS 기반 기능을 도입하는 경우 「위치정보의 보호 및 이용 등에 관한 법률」 에 따라 별도 동의 절차와 위치정보 처리방침을 마련하고 본문을 갱신한다.

제16조 (개인정보의 파기 절차 및 방법)

회사는 보유 기간이 지났거나 처리 목적을 다 했거나 회원이 탈퇴해서 개인정보가 더 이상 필요하지 않게 되면 즉시 해당 개인정보를 파기한다.

• 파기 시점: 보유 기간이 지나면 즉시 파기. 회원이 탈퇴를 신청하면 30일 보관 후 파기.
• 파기 절차: 파기 사유가 생긴 개인정보는 보호책임자(대표자 본인) 의 승인을 거쳐 파기한다.
• 파기 방법:
  • 전자 파일: 다시 복구할 수 없는 방법으로 영구 삭제하고, 백업본도 함께 영구 삭제
  • 종이 문서: 분쇄기로 분쇄하거나 소각 (현재 회사는 종이 문서를 보관하지 않으며, 향후 발생 시 이 방법을 적용)
• 분리 보관: 법령에 따라 보관해야 하는 개인정보(전자상거래법 제6조 제3항의 5년 등) 는 다른 개인정보와 분리해 별도로 보관하고, 보관 기간이 지나면 위와 같은 방법으로 파기한다.

제17조 (개인정보 유출 통지)

회사는 「개인정보 보호법」 제34조 에 따라 개인정보가 분실·도난·유출·위조·변조·훼손되었거나 그 가능성을 알게 된 경우 즉시 다음 사항을 이용자에게 알린다.

• 유출된 개인정보 항목
• 유출 시점과 발생 경위
• 유출로 인해 발생할 수 있는 피해를 줄이기 위해 이용자가 할 수 있는 조치
• 회사의 대응 조치와 피해 구제 절차
• 이용자가 손해배상 또는 분쟁조정을 신청할 수 있는 곳 (개인정보 분쟁조정위원회 1833-6972 / 한국인터넷진흥원 118)

통지는 이용자가 가입 시 또는 이후 등록한 연락 수단(이메일·앱 푸시·문자) 가운데 가장 빠른 수단을 우선 사용한다.

회사는 유출 사실을 알게 된 즉시 「개인정보 보호법」 시행령 이 정하는 기관(개인정보보호위원회·한국인터넷진흥원) 에도 동시에 신고한다.

제18조 (권익 침해 구제 방법)

이용자는 개인정보 침해로 인한 분쟁 해결이나 상담이 필요할 때 다음 기관에 신청할 수 있다.

• 개인정보 분쟁조정위원회 (국번 없이 1833-6972 / kopico.go.kr)
• 한국인터넷진흥원 개인정보 침해신고센터 (국번 없이 118 / privacy.kisa.or.kr)
• 대검찰청 사이버범죄수사단 (02-3480-3573)
• 경찰청 사이버수사국 (국번 없이 182 / ecrm.cyber.go.kr)

부칙

• 이 처리방침은 2026년 5월 27일부터 시행한다.
• 처리방침의 변경 이력은 /terms/history 페이지에서 확인할 수 있다.