1. 한눈에 보기
Thanxful은 개인적인 감사 일기를 작성하고, 원하실 경우 작성하신 내용에 대해 인공지능 기반의 통찰을 받으실 수 있도록 해드리는 애플리케이션입니다. 귀하의 일기는 귀하의 것입니다. 당사는 오직 서비스 운영을 위해서만 일기에 접근하며, 이를 절대 판매하지 않고, 광고에 사용하지 않으며, 어떠한 인공지능 모델의 학습에도 사용하도록 하지 않습니다.
| 항목 | 간단한 답변 |
|---|---|
| 개인정보처리자 | Kadir Alan — 개인사업자 (şahıs şirketi), 튀르키예. 연락처: [email protected]. |
| 어떤 데이터가 처리됩니까? | 이메일, 이름, 프로필 사진(선택), 일기 내용, 기분, 기기 및 구독 정보. |
| 왜 처리합니까? | 서비스를 제공하고, 구독을 관리하며, 알림을 전송하고 — 귀하께서 명시적 동의를 주신 경우에만 — 일기 항목으로부터 인공지능 기반의 통찰을 생성하기 위함입니다. |
| 누구와 공유됩니까? | 당사의 서비스 제공자: Google Firebase (인프라), OpenAI 및 Google Gemini (AI), RevenueCat (구독), Apple (로그인, 알림, 보안). 귀하의 데이터는 판매되거나 임대되지 않습니다. |
| 어디에 저장됩니까? | 귀하의 계정과 일기는 유럽연합 (Google Cloud europe-west1, 벨기에)에 저장됩니다. 일기는 귀하께서 AI 기능을 활성화하신 경우에만 미국으로 전송됩니다. |
| 얼마나 오래 보관됩니까? | 계정을 삭제하실 때까지입니다. 삭제 시 데이터는 활성 시스템에서 즉시 제거되며, 백업과 로그에서도 30일 이내에 삭제됩니다. |
| 어떤 권리가 있습니까? | 접근, 정정, 삭제, 이동, 이의 제기 및 동의 철회. [email protected]으로 Privacy를 제목으로 작성하여 보내주시면 30일 이내에 답변드립니다. |
2. 개인정보처리자 신원
Thanxful 애플리케이션은 튀르키예에서 개인사업자 (şahıs şirketi) (개인 사업체) 자격으로 활동하는 Kadir Alan이 제공합니다.
| 개인정보처리자 | Kadir Alan — 개인사업자 (şahıs şirketi), 튀르키예 |
| 연락처 | [email protected] (제목란에 Privacy라고 기재해 주시면 요청이 올바른 담당자에게 전달되는 데 도움이 됩니다) |
당사는 개인사업자로서 KVKK의 개인정보처리자 등록 시스템 (VERBİS) 등록 기준 및 GDPR 제37조에 따른 개인정보 보호책임자 (DPO) 지정 기준 미만에 해당하므로, VERBİS 등록 및 DPO 지정 의무가 없습니다. 이러한 사정이 변경될 경우 본 방침은 갱신됩니다. 물리적 송달 주소를 요청하시려면 [email protected]을 통해 당사에 문의해 주시기 바랍니다. 송달 주소는 요청에 따라 제공됩니다.
3. 적용 범위
본 방침은 다음 사항에 적용됩니다.
- Apple App Store에 게시된 Thanxful iOS 애플리케이션 (
com.aota.thanxful및 베타com.aota.thanxful.beta). thanxful.app웹사이트 (소개 페이지, 본 법적 문서 및 관련 콘텐츠).
애플리케이션 또는 사이트 내에서 연결되는 제3자 서비스 (예: Apple App Store, OpenAI, RevenueCat)의 개인정보 처리는 해당 서비스의 자체 정책에 따르며, 이에 대해 개인정보처리자는 책임을 지지 않습니다.
4. 처리되는 개인정보 항목
오직 서비스 제공에 필요한 개인정보만 처리됩니다. 데이터는 6개 범주로 분류됩니다.
4.1 신원 정보
계정을 생성하실 때 다음 정보가 처리됩니다.
- 이메일 주소 (필수).
- 이름/표시 이름 (선택; 언제든지 변경하시거나 비워 두실 수 있습니다).
- 프로필 사진 (선택; Firebase Storage에 저장됩니다).
- 시스템에 의해 자동으로 생성되는 Firebase 사용자 ID.
- Sign in with Apple 옵션을 사용하시는 경우: 이메일 주소(실제 또는 Apple의 비공개 릴레이 주소) 및 공유를 선택하시면 전체 이름. Apple은 귀하의 Apple ID를 당사에 전달하지 않습니다.
4.2 일기 내용 — 특별 범주의 개인정보에 해당할 수 있음
저장하시는 각 항목에 대해 다음 정보가 처리됩니다.
- 항목 본문 (최대 3,000자).
- 리치 텍스트 서식 (굵게, 기울임, 목록 — 최대 30,000자, 인코딩됨).
- 선택적 기분 선택.
- 응답하신 프롬프트 관련 정보 (있는 경우).
- 현지 달력 날짜.
일기 내용은 개인적이고 민감한 정보입니다. KVKK 제6조 및 GDPR 제9조에 따라 일기 본문은 귀하의 건강, 종교적 신념, 정치적 견해, 성생활 또는 노동조합 가입 여부에 관한 특별 범주의 개인정보를 포함할 수 있습니다. 따라서 일기 내용을 인공지능으로 처리하는 것은 전적으로 귀하의 명시적 동의에 따릅니다 (§6 참조).
4.3 프로필 및 환경설정 정보
- 연속 기록 정보 (현재 및 최장 연속 기록).
- 최근 활동 시각 및 시간대 (귀하 기기의 IANA 시간대, 예:
Europe/Istanbul). - 언어 환경설정 (30개 언어 목록에서의 선택).
- 테마 환경설정 (Espresso, Cosmos, Oat 등).
- 알림 설정: 알림의 활성화/비활성화 여부, 알림 시각 및 시간대.
- 구독 상태: 활성 프리미엄 구독 여부 (RevenueCat을 통해; §7 참조).
- AI 명시적 동의 기록 — 동의 부여, 거부 또는 철회 행위, 그 출처(온보딩, 항목 작성 후, 구매 후 또는 설정), 시간 기록 및 표시된 프롬프트 수가 기록되는, 추가만 가능한 (append-only) 기록. 이 기록은 Apple App Store 심사 지침 5.1.2(i)에 따라 유지됩니다.
4.4 기기 및 사용 정보
애플리케이션을 사용하시는 동안 다음 정보가 자동으로 처리됩니다.
- 기기 정보: 모델, 운영체제 버전, 애플리케이션 버전, 로캘, 국가, 시간대 및 Firebase의 내부 앱 인스턴스 ID.
- FCM 푸시 토큰 — 알림을 전송할 수 있도록 Firebase Cloud Messaging이 귀하의 기기에 할당하는 토큰. 귀하의 계정에 연결되어 Firestore에 저장되며, 재설치 또는 로그아웃 후 갱신됩니다.
- 이벤트 데이터: 애플리케이션에서 어떤 화면을 보셨는지, 항목을 저장하셨는지, 통찰을 여셨는지, 구매를 시작하셨는지 등의 메타데이터 — 다만 항목 본문은 이러한 기록에 포함되지 않습니다.
- 충돌 보고서는 Firebase Crashlytics를 통해 수집됩니다 (스택 추적, 충돌 시점의 기기 상태). 디버그 빌드에서는 Crashlytics가 비활성화되어 있으며, 사용자에게 배포되는 빌드에서는 활성화됩니다.
다음 정보는 처리되지 않습니다.
- 애플리케이션 내에서의 IP 주소 (Firebase Analytics는 이 정보를 당사에 표시하지 않습니다).
- 광고 식별자 (IDFA) — Firebase의 AdSupport 미포함 버전이 사용되며, 광고 개인화 신호는 비활성화되어 있습니다.
4.5 구독 정보
Thanxful 구독을 구매하시는 경우:
- 거래는 Apple (App Store)에 의해 수행됩니다. 결제 수단이나 카드 정보는 당사에 전달되지 않습니다.
- RevenueCat이 당사를 대리하여 구독 라이프사이클을 관리합니다. RevenueCat과 공유되는 정보는 귀하의 Firebase 사용자 ID이며, RevenueCat은 제품 ID, 상태, 만료일 및 갱신일을 당사에 전달합니다.
4.6 의사소통 및 피드백
[email protected]으로 보내시는 지원 이메일.- 애플리케이션 내에서 보내시는 기능 요청 및 버그 보고 (남용 방지를 위해 일일 단위로 제한됩니다). 작성하신 본문, 사용자 ID 및 전송 시각이 저장됩니다. 계정을 삭제하시면 피드백은 익명화됩니다 (사용자 ID가
"deleted_user"로 변경됨). 본문 자체는 삭제되지 않으나, 귀하와의 연결성은 제거됩니다.
4.7 온보딩 체험 (계정 생성 전)
계정 생성 없이 단일 인공지능 통찰을 체험하시려는 경우 다음 정보가 처리됩니다.
- 귀하의 기기가 생성하는 기기 UUID (IDFA가 아닙니다).
- SHA-256으로 해시된 IP 주소 (원본 IP 주소는 저장되지 않습니다).
- Apple DeviceCheck 토큰 (체험이 기기당 반복되는 것을 방지하기 위함).
이러한 정보는 오직 체험 제한 (기기당 일일 1회, 글로벌 IP당 일일 20회) 및 남용 방지 목적으로 단기간 처리됩니다.
4.8 보안
- 앱 잠금 비밀번호 (활성화하신 경우)는 오직 귀하의 기기 내 iOS Keychain에만 저장됩니다. 휴대폰 외부로 나가지 않습니다. 생체 정보 (Face ID / Touch ID)는 Apple의 Secure Enclave에 보관되며, 당사에 전달되지 않습니다.
5. 처리 목적 및 법적 근거
각 개인정보 처리 활동의 목적과 KVKK 제5-6조 및 GDPR 제6조에 따른 법적 근거는 다음 표와 같습니다.
| 처리 활동 | 목적 | KVKK 법적 근거 | GDPR 법적 근거 |
|---|---|---|---|
| 계정 생성 및 항목 저장 | 서비스의 핵심 제공 | 제5조 제2항(c) — 계약의 체결 및 이행 | 제6조 제1항(b) — 계약 이행 |
| 일기 항목으로부터 AI 통찰 생성 | 오직 명시적 동의를 주신 경우 | 제6조 제2항 — 특별 범주 개인정보에 대한 명시적 동의 | 제6조 제1항(a) + 제9조 제2항(a) — 특별 범주 개인정보에 대한 명시적 동의 |
| 일일 감사 알림 전송 | 설정에서 활성화하셨을 때 | 제5조 제1항 — 명시적 동의 | 제6조 제1항(a) — 동의 |
| Apple 및 RevenueCat을 통한 구독 처리 | 구매하신 서비스 제공 | 제5조 제2항(c) — 계약 이행 | 제6조 제1항(b) — 계약 |
| 충돌 보고 및 집계 제품 분석 | 안정적이고 신뢰할 수 있는 애플리케이션 제공 | 제5조 제2항(f) — 정당한 이익 | 제6조 제1항(f) — 정당한 이익 |
| 남용 방지 조치 (DeviceCheck, IP 해시화, 할당량 제한) | 사기 및 비용 남용 방지 | 제5조 제2항(f) — 정당한 이익 | 제6조 제1항(f) — 정당한 이익 |
| 세무 및 회계를 위한 결제 기록 보관 | 법적 의무 이행 | 제5조 제2항(a) — 법적 의무 | 제6조 제1항(c) — 법적 의무 |
| 권한 있는 기관의 적법한 요청에 대한 응답 | 법적 의무 | 제5조 제2항(a) — 법적 의무 | 제6조 제1항(c) — 법적 의무 |
당사는 귀하를 프로파일링할 목적으로 처리하지 않으며, 귀하에게 중대한 결과를 초래할 수 있는 자동화된 의사결정 활동을 수행하지 않고, 귀하의 개인정보를 판매하거나 임대하지 않습니다.
6. 일기 내용의 인공지능 처리
본 항목은 Apple App Store 심사 지침 5.1.2(i)에 따라, 그리고 일기의 주체이신 귀하를 위해 특별히 작성되었습니다.
어떤 일이 일어납니까?
명시적 동의를 주시는 경우 Thanxful은 선택된 일기 항목을 제3자 인공지능 제공자에게 전송하며, 이 제공자들이 다음을 생성합니다.
- 즉시 통찰 — 단일 항목에 대한 짧은 성찰.
- 주간 요약 — 최근 7일간의 요약 분석.
- 월간 요약 — 최근 30일간의 심층 분석.
귀하의 항목은 누구에 의해 처리됩니까?
- OpenAI (주요 제공자) —
gpt-4o-mini및gpt-4o모델. 서버는 미국에 있습니다. - Google Gemini (백업 제공자, OpenAI에 접근할 수 없는 경우) — Google의 글로벌 인프라 위에서 동작합니다.
어떤 정보가 전송됩니까?
- 분석 대상 기간의 항목 본문.
- 표시 이름 (통찰이 귀하의 이름으로 호칭할 수 있도록).
- 언어 환경설정 (통찰이 귀하의 언어로 생성될 수 있도록).
어떤 정보가 전송되지 않습니까?
- 이메일 주소.
- 연속 기록 정보, 구독 상태 또는 기타 프로필 정보.
- 다른 사용자의 어떠한 정보도.
제공자 측 보관 기간
- OpenAI는 API를 통해 수신된 요청을 남용 탐지 목적으로 최대 30일 보관한 후 삭제합니다. OpenAI는 API 데이터를 모델 학습에 사용하지 않습니다. (출처: OpenAI API 약관.)
- Google Gemini는 기본적으로 API 데이터를 모델 학습에 사용하지 않습니다. (출처: Google Gemini API 약관.)
귀하의 명시적 동의
- 인공지능이 처음 활성화될 수 있는 시점 — 온보딩 시, 항목을 저장하신 후, 또는 프리미엄 구매 후 — 명시적 동의가 요청됩니다.
- 귀하의 동의는 추가만 가능한 감사 로그 (
users/{uid}/aiConsent)에 기록됩니다. - 귀하는 언제든지 동의를 철회하실 수 있습니다: 설정 → AI 명시적 동의. 철회는 향후 처리를 즉시 중단시킵니다. 그 시점까지 생성된 통찰은 귀하께서 이를 또는 계정을 삭제하실 때까지 기록에 남아 있습니다.
- 귀하의 일기는 KVKK 제6조 및 GDPR 제9조에 따른 특별 범주의 개인정보를 포함할 수 있으므로, 인공지능 제공자에게 전송하는 것의 법적 근거는 귀하의 명시적 동의입니다.
인공지능 통찰은 의료, 법률 또는 치료 조언이 아닙니다
통찰은 자동 생성된 본문입니다. 부정확하거나 오해의 소지가 있거나 맥락에서 벗어났을 수 있습니다. 면허를 갖춘 치료사, 의사, 변호사 또는 기타 전문가를 대체할 수 없습니다. 어려움을 겪고 계시다면 자격 있는 전문가에게 문의하시거나 응급 상황 시에는 현지 응급 서비스에 연락하실 것을 권장드립니다.
7. 공유 및 제3자
귀하의 개인정보는 오직 다음의 서비스 제공자들과, 명시된 목적을 위해서만 공유됩니다. 각 제공자는 귀하의 개인정보를 오직 당사의 지시에 따라 처리하고 적절한 보안 조치를 취할 것을 계약상 의무로 부담합니다.
| 제공자 | 역할 | 공유 정보 | 지역 | 개인정보 처리방침 |
|---|---|---|---|---|
| Google LLC (Firebase) | 인프라: 인증, Firestore, Storage, Cloud Functions, 메시징, 분석, 충돌 보고, remote config, App Check | 모든 프로필 정보, 일기 항목, FCM 토큰, 분석 이벤트, 충돌 보고서 | Firestore 및 Cloud Functions는 europe-west1 (벨기에, EU). Analytics 및 Crashlytics는 Google의 글로벌 인프라. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | AI 통찰 생성 | 일기 본문, 표시 이름, 언어 — 동의를 주신 경우에만 | 미국 | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | AI 통찰 생성 (백업) | OpenAI와 동일 | 미국 / 글로벌 | https://policies.google.com/privacy |
| RevenueCat, Inc. | 구독 관리 | Firebase 사용자 ID, 제품 ID, 구독 상태, 갱신일 | 미국 | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, APNs 알림, DeviceCheck, App Store 결제 | Apple ID 이메일, 알림 토큰, 기기 비트, 구매 기록 | Apple 인프라 | https://www.apple.com/legal/privacy/ |
Meta / Facebook에 관한 안내: 당사의 Info.plist 파일에는 오직 "Instagram Stories에 공유" URL 스킴을 활성화하기 위한 FacebookAppID: 2198469434228743 선언만 포함되어 있습니다. Facebook SDK는 사용되지 않으며, Meta에 어떠한 데이터도 전송되지 않습니다. 공유를 선택하시는 경우 — 그리고 오직 그 경우에만 — 선택하신 이미지가 iOS 공유 시트를 통해 Instagram 애플리케이션으로 전달됩니다.
권한 있는 기관의 요청
귀하의 개인정보는 오직 튀르키예의 유효한 법적 절차 또는 당사에 관할권을 갖는 국가의 유효한 법적 절차에 따라 권한 있는 기관에 공개됩니다. 법률이 허용하는 범위 내에서 이러한 요청에 대해 귀하께 통지해 드립니다.
데이터 판매 없음
귀하의 개인정보는 판매되지 않습니다. CCPA/CPRA의 정의에 따라, 맥락 외 행동 광고 목적으로 "공유되지 않습니다".
8. 국외 이전
귀하의 계정과 일기는 유럽연합 (Google Cloud europe-west1, 벨기에) 내에 저장됩니다.
당사의 일부 서비스 제공자는 미합중국에 위치합니다.
- OpenAI 및 Google Gemini는 (동의를 주신 경우에만) 인공지능 처리 목적으로 귀하의 일기 항목을 수신합니다.
- RevenueCat은 귀하의 구독 상태를 처리합니다.
- 일부 Apple 및 Firebase 서비스는 글로벌 인프라에서 동작합니다.
이러한 이전에 적용되는 법적 메커니즘은 다음과 같습니다.
- GDPR에 따라: 각 제공자와 체결된 데이터 처리 계약에 포함된 EU 집행위원회 2021/914 표준 계약 조항 (SCC); 이전 시점 및 이후 적용되는 기술적 조치 (암호화, 접근 통제). EU–US Data Privacy Framework 인증을 받은 제공자의 경우, 이 적정성 결정도 추가로 근거가 됩니다.
- UK GDPR에 따라: 동일한 SCC에 추가된 UK International Data Transfer Addendum (IDTA).
- KVKK에 따라: 다음의 다중 보장 체계에 따릅니다.
- 인공지능 기능을 활성화하시는 경우 일기 내용을 미국으로 이전하기 위한 KVKK 제9조에 따른 명시적 동의;
- 각 제공자와 체결된 데이터 처리 계약 (DPA) — 특히 Google Cloud / Firebase DPA (SCC 포함), OpenAI API 데이터 처리 부속 계약 및 RevenueCat DPA — 를 계약상 보장으로 적용;
- §11에 열거된 기술적 조치 (암호화, App Check, 로깅 시 개인정보 최소화).
개인정보 보호 기관이 발행한 Standart Sözleşme 템플릿에 서명하기로 동의하는 각 제공자와 이 템플릿에 서명하고, 서명일로부터 5영업일 이내에 기관에 통지하는 것이 당사의 목표입니다. 제공자가 위원회 템플릿을 받아들이지 않고 자체 DPA를 사용하는 경우 위에 열거된 보장 체계가 적용됩니다.
이전 보장의 사본은 [email protected]으로 문의하시어 요청하실 수 있습니다.
9. 보유 기간
개인정보는 오직 필요한 기간 동안만 보관됩니다.
| 정보 | 보유 기간 |
|---|---|
| 계정 정보 (이메일, 이름, 프로필, 환경설정) | 계정을 삭제하실 때까지. |
| 일기 항목, 기분, 연속 기록 정보 | 직접 삭제하시거나, 콘텐츠 초기화를 사용하시거나, 계정을 삭제하실 때까지. |
| AI 명시적 동의 로그 | 계정 유지 기간 동안 추가만 가능한 형태로 (App Store 5.1.2(i) 요구사항). 계정과 함께 삭제됩니다. |
| 생성된 AI 통찰 (즉시, 주간, 월간) | 직접 삭제하시거나 계정을 삭제하실 때까지. |
| FCM 푸시 토큰 | 기기가 등록을 해제하거나, 로그아웃하시거나, 계정이 삭제될 때까지. |
| Crashlytics 충돌 보고서 | 90일 (Google 기본값). |
| Firebase Analytics 이벤트 정보 | 14개월 (Google 최소 기본값). |
| 서버 로그 (Cloud Logging) | 400일 (항목 본문은 로그에 기록되지 않습니다; §11 참조). |
| 관측 가능성 기록 (Cloud Trace) | 15일. |
| 기능 요청 / 버그 보고 | 제품 개선 목적으로 보관됩니다. 계정 삭제 시 사용자 ID가 제거되어 익명화됩니다. |
| 결제 기록 (Apple 및 RevenueCat을 통한) | 튀르키예 세무 및 상사 법령이 정한 기간 — 일반적으로 10년. |
계정을 삭제하시면 (설정 → 고급 → 계정 삭제 또는 이메일을 통해), 프로필, 항목, 통찰, 업적, AI 동의 로그 및 FCM 토큰이 활성 시스템에서 즉시 제거됩니다. 서비스 제공자 캐시, 백업 및 로그에 대한 삭제가 완료되기까지는 최대 30일이 소요될 수 있습니다.
10. 귀하의 권리
귀하가 거주하시는 국가에 따라 다음 권리의 전부 또는 일부를 보유하실 수 있습니다.
KVKK 제11조 (튀르키예 거주자):
- 개인정보의 처리 여부 확인.
- 처리된 경우 그에 관한 정보 요청.
- 처리 목적 및 그 목적에 부합하게 사용되었는지 확인.
- 국내외에서 이전된 제3자 확인.
- 불완전하거나 부정확하게 처리된 경우 정정 요청.
- KVKK 제7조에 따른 삭제 또는 파기 요청.
- 정정, 삭제, 파기 요청이 이전된 제3자에게 통지되도록 요청.
- 자동화된 시스템에 의한 분석 결과 자신에게 불리한 결과가 발생하는 것에 대한 이의 제기.
- 위법한 처리로 인해 손해를 입은 경우 손해의 배상을 청구.
GDPR (EU/EEA 및 UK 거주자):
- 접근권 (제15조), 정정권 (제16조), 삭제권 (제17조), 처리 제한권 (제18조), 데이터 이동권 (제20조), 이의 제기권 (제21조), 명시적 동의 철회권 (제7조). 셀프 서비스 내보내기 화면은 아직 준비되지 않았으나, 이메일로 요청하시는 경우 항목 및 프로필 정보를 구조화된 JSON 형식으로 30일 이내에 전달해 드립니다.
CCPA / CPRA (California 거주자):
- 어떤 개인정보가 수집되는지, 그 출처, 목적 및 제3자를 알 권리.
- 삭제권 및 정정권.
- 개인정보의 판매/공유에 대한 거부권 — 당사는 데이터를 판매하거나 공유하지 않으므로 거부할 사항이 없습니다.
- 민감한 개인정보의 사용 제한권 — 민감 정보 (귀하의 일기 내용)는 §5에 명시된 목적 외에는 사용되지 않습니다.
- 권리 행사로 인해 차별받지 않을 권리.
권리는 어떻게 행사할 수 있습니까?
[email protected]으로 Privacy Request를 제목으로 이메일을 보내시고, 어떤 권리를 행사하고자 하시는지 명시해 주시기 바랍니다. 신원 확인을 위해 (일반적으로 계정에 등록된 이메일 주소에서 회신해 주시도록 요청하여) 추가 정보를 요청할 수 있습니다. KVKK 제13조 및 GDPR 제12조에 따라 요청은 늦어도 30일 이내에 처리됩니다. 추가 시간이 필요한 경우 그 사유와 예상 응답 시점을 통지해 드립니다.
CCPA에 따라 대리인을 통해 요청하시려는 경우, 대리인의 권한 증명을 확인하기 위해 귀하에게 직접 연락드릴 수 있습니다.
요청이 명백히 근거 없거나 과도하지 않은 한 이러한 권리의 행사는 무료입니다.
이의 제기 기관
- 튀르키예: 개인정보 보호 기관 (KVKK) — https://www.kvkk.gov.tr/
- EU/EEA: 거주 국가의 개인정보 보호 감독 기관 — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- 영국: Information Commissioner's Office — https://ico.org.uk/
- California: California Privacy Protection Agency — https://cppa.ca.gov/
11. 개인정보 보안 조치
개인정보 보안은 설계 단계부터 고려되고 있습니다. 적용된 기술적 및 관리적 조치는 다음을 포함합니다.
- 전송 중 암호화 — 모든 네트워크 트래픽은 TLS 1.2 이상으로 암호화됩니다.
- 저장 시 암호화 — Google Cloud 서버 측 AES-256 암호화.
- 인증 — Firebase Auth; 비밀번호는 결코 평문으로 저장되지 않습니다.
- App Check — 운영 빌드에서 Apple App Attest; 신뢰할 수 없는 출처의 요청은 거부됩니다.
- Apple DeviceCheck — 온보딩 체험 시 남용을 방지합니다.
- 엄격한 Firestore 보안 규칙 — 각 사용자는 오직 자신의 데이터만 읽고 쓸 수 있습니다.
- 민감 정보의 분리 — 앱 잠금 비밀번호는 오직 iOS Keychain에만 저장되며, 생체 정보는 Apple Secure Enclave에 보관됩니다.
- PII가 최소화된 로그 — 일기 본문은 서버 로그에 포함되지 않으며, 오직 운영 및 디버깅에 필요한 메타데이터 (사용자 ID, 이벤트 유형, 상태)만 기록됩니다.
- 비밀 키 관리 — API 키 (OpenAI, RevenueCat, Apple DeviceCheck)는 Firebase Secret Manager에 저장되며, 코드에 포함되지 않습니다.
어떠한 시스템도 완벽하게 안전하지 않으므로, 개인정보 침해가 탐지되는 경우:
- KVKK 제12조 제5항에 따라 개인정보 보호 기관에 72시간 이내에 통지합니다.
- GDPR 제33-34조에 따라 EU/EEA 거주자에게 직접 통지하고 관련 기관에 필요한 통지를 합니다.
12. 아동
Thanxful은 13세 미만의 아동을 대상으로 하지 않습니다. 서비스를 이용하시려면 최소 13세 이상이어야 합니다 (이용약관 §3 참조). 13세에서 16세 사이인 경우 (일부 EU 회원국의 디지털 동의 연령), 거주 국가의 법률에 따라 부모 또는 보호자의 동의가 필요할 수 있습니다. 튀르키예 민법 (TMK) 제15조에 따라 18세 미만의 미성년자는 완전한 계약 능력을 갖지 않으므로, 18세 미만 사용자의 경우 부모 또는 보호자의 동의가 요구됩니다.
13세 미만 아동으로부터 고의로 개인정보를 수집하지 않습니다. 부모 또는 보호자로서 자녀가 본인의 인지 없이 정보를 공유했다고 생각하시면 [email protected]으로 문의해 주시기 바랍니다. 해당 정보는 삭제됩니다.
애플리케이션의 App Store 연령 등급 (4+)은 애플리케이션의 콘텐츠가 모든 연령에 적합함 (폭력, 성적 콘텐츠, 비속어를 포함하지 않음)을 나타냅니다. 이 콘텐츠 등급은 13세 미만 계약 금지를 변경하지 않습니다.
온보딩 시 사용자에 대한 별도의 연령 게이트 (age gate)는 마련되어 있지 않으며, 최소 연령은 서면 계약을 통해 적용됩니다 — 이러한 접근 방식은 일기/웰빙 애플리케이션에서 흔한 관행입니다.
13. California (CCPA / CPRA) 고지
California 거주자이신 경우, 본 방침의 나머지 부분에 더하여 본 항목이 적용됩니다.
수집된 개인정보 항목 (최근 12개월)
| CCPA 항목 | 수집되었는가? | 출처 | 목적 | 공유 대상 |
|---|---|---|---|---|
| 식별자 (이메일, 사용자 ID, 기기 ID) | 예 | 귀하; 귀하의 기기 | 계정, 보안, 분석 | Firebase, RevenueCat |
| California 고객 기록 (Cal. Civ. Code §1798.80) | 예 (이름) | 귀하 | 계정 | Firebase |
| 보호 분류 | 아니오 | — | — | — |
| 상거래 정보 (구독 이력) | 예 | Apple, RevenueCat | 구독 제공 | RevenueCat |
| 생체 정보 | 아니오 (Face ID는 기기 내에 보관됨) | — | — | — |
| 인터넷 / 네트워크 활동 | 제한적 (애플리케이션 이벤트, 충돌 보고서) | 귀하의 기기 | 분석, 신뢰성 | Firebase |
| 위치 | 대략적 수준만 (국가 / 시간대) | 귀하의 기기 | 콘텐츠 현지화 | Firebase |
| 음성 / 영상 | 프로필 사진 (선택) | 귀하 | 프로필 | Firebase Storage |
| 직업 또는 고용 | 아니오 | — | — | — |
| 교육 | 아니오 | — | — | — |
| 추론 | 아니오 | — | — | — |
| 민감한 개인정보 | 일기 내용은 민감 정보로 취급됩니다 | 귀하 | AI 통찰 (오직 동의 시) | OpenAI, Google Gemini |
California에서의 권리
- 알 권리 / 접근권 — §10 참조.
- 삭제 / 정정 — §10 참조.
- 판매 / 공유에 대한 거부 — 당사는 귀하의 개인정보를 판매하거나 공유하지 않습니다. 거부할 사항이 없습니다.
- 민감 정보 사용 제한 — 민감 정보 (귀하의 일기 내용)는 오직 §6에 설명된 목적과 명시적 동의에 따라서만 사용됩니다.
- 차별받지 않을 권리 — 이러한 권리를 행사하셔도 서비스 접근이 제한되거나, 다른 가격이 적용되거나, 다른 품질이 제공되지 않습니다.
요청을 위해서는 [email protected]으로 California Privacy Request를 제목으로 작성하여 보내주시기 바랍니다. 신원은 계정에 등록된 이메일을 통해 확인됩니다.
개인정보 대가로 금전적 인센티브가 제공되지 않습니다.
14. 쿠키 및 유사 기술
iOS 애플리케이션 내에서: 웹 쿠키는 사용되지 않습니다. 애플리케이션은 오직 귀하의 기기 내 UserDefaults에 작은 환경설정 (테마, 언어, 알림 환경설정 등) 및 iOS Keychain에 앱 잠금 비밀번호를 저장합니다. 이러한 정보는 당사 또는 제3자와 공유되지 않습니다.
thanxful.app에서: 본 방침의 시행일 기준으로 소개 사이트는 쿠키, 웹 비콘 또는 제3자 분석 추적 도구를 사용하지 않습니다. 향후 추가될 경우 본 항목이 갱신되며, 사이트에 쿠키 동의 배너가 표시되고, 변경 사항은 §15에 따라 중요한 변경으로 처리됩니다.
15. 방침 변경
본 방침은 수시로 갱신될 수 있습니다. 중요한 변경 (귀하의 권리 또는 정보 처리 방식에 영향을 미치는 변경)이 있는 경우, 변경이 시행되기 최소 30일 전에 이메일 및 앱 내 알림을 통해 통지해 드립니다. 중요하지 않은 변경 (오타 수정, 명확화)의 경우 문서가 갱신되며 상단의 시행일이 갱신됩니다.
새로운 버전을 수락하지 않으실 경우, 시행일 이전에 서비스 이용을 중단하시고 계정을 삭제하실 수 있습니다.
16. 연락처
개인정보와 관련된 모든 문의, 요청 또는 이의 제기를 위해서는:
- 이메일:
[email protected](제목:Privacy) - 개인정보처리자: Kadir Alan — 개인사업자 (şahıs şirketi), 튀르키예
물리적 송달 주소가 필요하신 경우 먼저 [email protected]으로 문의해 주시기 바랍니다. 주소는 요청에 따라 제공됩니다.
이의를 제기하실 수 있는 감독 기관은 §10에 열거되어 있습니다.
17. 용어집
- KVKK — 6698호 개인정보보호법 (튀르키예).
- GDPR — 2016/679호 유럽연합 일반 개인정보 보호법.
- CCPA / CPRA — California Consumer Privacy Act, California Privacy Rights Act에 의해 개정됨.
- COPPA — Children's Online Privacy Protection Act (미국, 13세 미만).
- FCM — Firebase Cloud Messaging (알림 인프라).
- 특별 범주의 개인정보 / 민감정보 — 건강, 종교, 정치적 견해, 성생활 등 KVKK 제6조 및 GDPR 제9조에 따라 강화된 보호가 필요한 정보 유형.
- 개인정보처리자 — 개인정보의 처리 목적과 수단을 결정하고, 개인정보 파일 시스템의 구축 및 관리를 책임지는 자연인 또는 법인 (여기서: Kadir Alan).
- 명시적 동의 — 특정 사안에 관하여 정보에 기반하여 자유로운 의사로 표명되는 동의.
감사의 여정에서 당사를 신뢰해 주셔서 감사합니다.
— Thanxful