개인정보처리방침
시행일: 2026년 6월 1일 (개정)
1. 총칙
Rezav(이하 “서비스”)는 「개인정보 보호법」 및 관련 법령을 준수하며, 이용자의 개인정보를 보호하기 위해 최선을 다합니다.
본 방침은 서비스가 수집하는 개인정보의 항목, 수집 및 이용 목적, 보유 기간, 처리 위탁, 국외 이전, 이용자의 권리 등을 안내합니다.
2. 개인정보 처리 관계
서비스에는 두 가지 유형의 이용자가 존재하며, 개인정보 처리 관계가 다릅니다.
| 구분 | 설명 | 개인정보 처리 관계 |
|---|---|---|
| 운영자 (사장님) | 서비스에 가입하여 예약 관리 기능을 사용하는 사업체 또는 개인 | Rezav = 개인정보처리자 |
| 예약 고객 | 운영자의 예약 페이지를 통해 예약을 신청하거나, 운영자가 직접 등록한 고객 | 운영자 = 개인정보처리자, Rezav = 수탁자 |
예약 고객의 개인정보에 대해 Rezav는 운영자의 업무 처리를 위탁받아 처리하는 수탁자의 지위에 있으며, 운영자의 지시 및 본 방침에 따라서만 처리합니다.
3. 수집하는 개인정보 항목 및 수집 방법
가. 운영자 (사장님) 계정
- 수집 항목: 이름, 이메일 주소, 프로필 이미지 (선택)
- 수집 방법: Google 소셜 로그인 시 제공 동의
나. 운영자가 설정하는 업장 정보
- 수집 항목: 업장명, 업종, 대표 연락처, 주소, 영업시간, 서비스 목록, 업장 이미지
- 수집 방법: 운영자가 서비스 내에서 직접 입력
다. 예약 고객 정보
- 수집 항목: 이름, 전화번호, 예약 일시, 선택 서비스, 요청사항 (선택)
- 수집 방법:
- 고객이 공개 예약 페이지에서 직접 입력
- 운영자가 서비스 내에서 직접 입력
- 운영자가 연동한 외부 채널(Google Calendar 등)에서 자동 동기화
라. 자동 수집 정보
- 접속 IP, 브라우저 및 기기 정보, 방문 일시
- 웹 푸시 알림 구독 정보 (운영자가 알림 동의 시)
- 에러 및 성능 정보 (서비스 안정성 개선 목적)
4. 개인정보 수집 및 이용 목적
- 회원 가입 및 본인 확인, 계정 관리
- 예약 접수·확인·변경·취소 처리
- 예약 알림 및 리마인더 발송 (이메일, 웹 푸시 알림)
- Google Calendar 연동 및 일정 동기화
- 고객 관계 관리(CRM) 기능 제공 (방문 이력, 고객 메모, 태그 분류)
- AI 기반 고객 분석 및 요약 기능 제공 (방문 패턴 분석 등)
- 서비스 운영·개선, 장애 대응, 오류 모니터링
- 이용 통계 분석 (비식별 처리 후)
5. 개인정보 보유 및 파기
수집된 개인정보는 수집 목적이 달성되거나 서비스 탈퇴 요청 시 지체 없이 파기합니다. 단, 아래의 경우 해당 기간 동안 보관 후 파기합니다.
- 접속 로그: 3개월 (통신비밀보호법)
- 예약 기록: 삭제(비활성화) 후 30일 경과 시 완전 파기
- 고객 삭제 요청 시: 즉시 개인정보 마스킹 처리 후 레코드 파기
향후 결제 기능 도입 시, 전자상거래법에 따라 계약·청약철회 기록 5년, 소비자 불만·분쟁 처리 기록 3년을 추가 보존합니다.
파기 방법: 전자적 파일은 데이터베이스에서 복구 불가능한 방식으로 삭제(DELETE)합니다.
6. 개인정보 처리 위탁
서비스는 원활한 운영을 위해 아래와 같이 개인정보 처리를 위탁하고 있습니다. 위탁 업무 내용 및 수탁자가 변경될 경우 본 방침을 통해 공지합니다.
| 수탁자 | 위탁 업무 | 소재지 |
|---|---|---|
| Supabase Inc. | 데이터베이스 호스팅 및 파일 저장 | 미국 (데이터 저장: AWS 서울 리전) |
| Vercel Inc. | 웹 애플리케이션 호스팅 및 배포 | 미국 |
| Google LLC | 소셜 로그인, 캘린더 연동 | 미국 |
| Resend Inc. | 이메일 발송 (예약 알림, 리마인더) | 미국 |
| Functional Software Inc. (Sentry) | 오류 모니터링 및 서비스 안정성 관리 | 미국 |
| 주식회사 업스테이지 (Upstage) | AI 기반 고객 지원 챗봇 | 대한민국 |
| Anthropic PBC | AI 기반 분석 (고객 요약, 에러 분류) | 미국 |
7. 개인정보의 국외 이전
서비스 제공을 위해 개인정보가 국외 소재 수탁자에게 이전될 수 있습니다. 이전되는 정보, 이전 국가, 일시 및 방법은 아래와 같습니다.
| 이전받는 자 | 이전 국가 | 이전 항목 | 이전 방법 |
|---|---|---|---|
| Vercel Inc. | 미국 | 서비스 요청 데이터 (접속 정보, API 호출) | 네트워크 전송 (TLS 암호화) |
| Google LLC | 미국 | 이메일, 이름 (로그인), 예약 일정 (캘린더 연동 시) | API 호출 (OAuth 2.0, TLS 암호화) |
| Resend Inc. | 미국 | 이메일 주소, 예약 정보 (알림 발송용) | API 호출 (TLS 암호화) |
| Anthropic PBC | 미국 | 서비스 오류 로그 정보 (에러 메시지, 스택 트레이스 — AI 분류용) | API 호출 (TLS 암호화) |
| Functional Software Inc. | 미국 | 오류 발생 시 접속 IP, 브라우저 정보, 오류 내용 | SDK 자동 전송 (TLS 암호화) |
데이터베이스(Supabase)는 AWS 서울 리전(ap-northeast-2)에 저장되며, Supabase의 미국 소재 엔지니어가 유지보수 목적으로 접근할 수 있습니다.
8. 개인정보의 제3자 제공
서비스는 이용자의 동의 없이 개인정보를 제6조의 수탁자 이외의 제3자에게 제공하지 않습니다. 단, 아래의 경우는 예외입니다.
- 법령에 의거하여 수사기관 등이 적법한 절차에 따라 요청하는 경우
- 이용자가 사전에 별도 동의한 경우
9. 자동화된 의사결정 및 AI 처리
서비스는 아래와 같이 AI(인공지능)를 활용한 자동화된 처리를 수행합니다. 자동화된 처리 결과에 대해 이용자는 설명을 요구하거나 이의를 제기할 수 있습니다.
- 고객 방문 패턴 분석 및 자동 요약 (단골/신규/주의 분류) — 서버 내부에서 규칙 기반 처리, 외부 AI 미사용
- 고객 지원 챗봇 (FAQ 기반 자동 응답) — Upstage AI에 사용자 질문 텍스트 전달
- 서비스 오류 자동 분류 및 심각도 판단 — Anthropic AI에 에러 로그 전달 (고객 개인정보 미포함)
AI 제공사(Anthropic, Upstage)의 API 이용 약관에 따라 전달된 데이터는 모델 학습에 사용되지 않습니다.
10. 운영자의 개인정보 처리 책임
운영자(사장님)는 자신의 예약 고객에 대한 개인정보처리자로서, 아래의 의무를 가집니다.
- 고객에게 개인정보 수집·이용에 대한 고지 의무
- 수집한 고객 정보를 예약 관리 목적 외로 사용하지 않을 의무
- 고객의 열람·정정·삭제 요청에 응할 의무
- Rezav를 수탁자로 이용하고 있음을 고객에게 안내할 의무
Rezav는 운영자가 위 의무를 이행할 수 있도록 공개 예약 페이지에 개인정보 수집·이용 안내 문구를 표시합니다.
11. 이용자의 권리 및 행사 방법
이용자(운영자 및 예약 고객)는 언제든지 자신의 개인정보에 대해 아래의 권리를 행사할 수 있습니다.
- 개인정보 열람 요구
- 오류 등이 있을 경우 정정 요구
- 삭제 요구 (법정 보존 의무 항목 제외)
- 처리 정지 요구
- 자동화된 의사결정에 대한 설명 요구 및 거부
권리 행사는 아래 연락처로 서면, 이메일, 또는 서비스 내 기능을 통해 가능하며, 지체 없이 (10일 이내) 처리합니다.
예약 고객의 경우, 운영자에게 직접 요청하거나 Rezav에 요청할 수 있으며, Rezav는 해당 운영자에게 통지하여 처리합니다.
12. 개인정보 보호 조치
서비스는 개인정보의 안전성 확보를 위해 아래 조치를 취하고 있습니다.
- 모든 데이터 전송 시 암호화 통신(HTTPS) 적용
- 비밀번호 단방향 암호화(해시) 저장, 인증 토큰 양방향 암호화 저장
- 데이터베이스 접근 권한 최소화
- 실시간 오류 모니터링을 통한 이상 징후 감지
- 관리자 접속은 암호화 통신 + 세션 인증을 통해서만 가능
13. 쿠키 및 유사 기술
서비스는 로그인 세션 유지 및 서비스 이용 편의를 위해 쿠키를 사용합니다. 브라우저 설정을 통해 쿠키 저장을 거부할 수 있으나, 이 경우 로그인 기능이 제한될 수 있습니다.
- 필수 쿠키: 로그인 세션 유지
- 서비스는 광고 목적의 추적 쿠키를 사용하지 않습니다.
14. 개인정보 보호책임자
개인정보 처리에 관한 업무를 총괄하는 개인정보 보호책임자는 아래와 같습니다. 개인정보 관련 문의, 열람·정정·삭제 요청, 피해 구제 등은 아래로 연락해 주세요.
- 서비스명: Rezav
- 개인정보 보호책임자: 대표자
- 이메일: privacy@rezav.kr
기타 개인정보 침해 신고·상담은 아래 기관에 문의할 수 있습니다.
- 개인정보침해신고센터: privacy.kisa.or.kr (☎ 118)
- 개인정보분쟁조정위원회: kopico.go.kr (☎ 1833-6972)
- 대검찰청 사이버수사과: spo.go.kr (☎ 1301)
- 경찰청 사이버안전국: cyberbureau.police.go.kr (☎ 182)
15. Google API Services 및 Limited Use
English
The use and transfer of raw or derived user data received from Google Workspace APIs will adhere to the Google API Services User Data Policy, including the Limited Use requirements.
Rezav accesses Google Calendar data (scopes: https://www.googleapis.com/auth/calendar, https://www.googleapis.com/auth/calendar.events) solely to sync appointments and availability for shop operators who explicitly connect their account. We also use Google Sign-In for authentication (name, email, profile image).
While connected, OAuth tokens for Google Calendar are stored encrypted (AES-256-GCM) on our servers. When the shop owner disconnects Google Calendar in Settings → Channels, the connection record and tokens are deleted from our database.
- We do not use Google user data for advertising or sell it to third parties.
- We do not allow humans to read Google Calendar content except with user consent, for security, or to comply with law.
- Users can revoke access by disconnecting Google Calendar in Rezav Settings → Channels.
한국어
Google Workspace API를 통해 수신한 원본 또는 파생 사용자 데이터의 사용 및 이전은 Limited Use 요구사항을 포함한 Google API Services User Data Policy를 준수합니다.
Rezav는 Google Calendar 데이터(scope: https://www.googleapis.com/auth/calendar, https://www.googleapis.com/auth/calendar.events)에 대해, 계정을 명시적으로 연동한 운영자(사장님)의 예약·가용 시간 동기화 목적으로만 접근합니다. Google Sign-In은 인증(이름, 이메일, 프로필 이미지) 목적으로 사용합니다.
연동 기간 동안 Google Calendar용 OAuth 토큰은 서버에 AES-256-GCM 방식으로 암호화하여 저장합니다. 운영자가 설정 → 채널에서 Google Calendar 연동을 해제하면, 연동 정보와 토큰은 데이터베이스에서 삭제됩니다.
- Google 사용자 데이터를 광고에 사용하거나 제3자에게 판매하지 않습니다.
- 사용자 동의, 보안, 법적 준수 목적을 제외하고 Google Calendar 내용을 사람이 임의로 열람하지 않습니다.
- Rezav 설정 → 채널에서 Google Calendar 연동을 해제하여 접근 권한을 철회할 수 있습니다.
16. 방침 변경
본 방침이 변경될 경우 시행일 7일 전에 서비스 내 공지 또는 이메일을 통해 안내합니다. 이용자에게 불리한 중요한 변경의 경우 30일 전에 안내합니다.
- 현행 시행일: 2026년 6월 1일
- 이전 시행일: 2026년 5월 27일