DAYLAB(이하 “회사”)은 mentalog 서비스(이하 “서비스”) 이용자의 개인정보를 소중히 여기며, 대한민국 「개인정보 보호법」, EU 일반 개인정보 보호규정(GDPR), 미국 캘리포니아 소비자 프라이버시법(CCPA) 등 관련 법령을 준수합니다. 본 방침은 회사가 수집하는 개인정보의 항목, 수집 목적, 처리 근거, 보유 기간, 이용자의 권리 등을 안내합니다.
1. 수집하는 개인정보 항목 및 처리 근거
가. 회원가입 시 (필수)
| 항목 | 처리 근거 |
|---|---|
| 이메일 주소 | 계약 이행 (서비스 제공) |
| 이름(닉네임) | 계약 이행 |
| 소셜 로그인 고유 식별자 (Google UID / Apple UID) | 계약 이행 |
Google 또는 Apple 로그인을 통해 수집하며, 비밀번호는 수집하지 않습니다.
나. 서비스 이용 시
| 항목 | 처리 근거 |
|---|---|
| 기분 체크인 데이터 (기분 점수, 감정·상태·활동 태그, 메모, 기록 일시) | 이용자 동의 (명시적 동의) |
| 앱 설정 (알림 시간, 언어) | 계약 이행 |
| 기기 정보 (OS, 앱 버전, 기기 언어) | 정당한 이익 (서비스 안정성) |
다. 유료 결제 시
- 결제 수단 정보(카드번호 등)는 회사가 직접 수집하지 않습니다.
- Apple App Store / Google Play Store에서 결제를 처리하며, 구독 상태 및 영수증 토큰은 RevenueCat을 통해 관리됩니다.
2. 건강 관련 민감정보 처리
서비스에서 기록하는 기분, 감정, 상태 데이터는 이용자가 자발적으로 입력하는 주관적 기록입니다. 이 데이터는 GDPR상 “건강에 관한 데이터”(특수 범주 개인정보)로 분류될 수 있으므로, 회사는 이용자의 명시적 동의(GDPR 제9조 2항 (a))를 근거로 처리합니다. 이용자는 최초 체크인 기록 시 건강 데이터 수집에 대한 별도의 명시적 동의를 제공하며, 이 동의는 언제든 철회할 수 있습니다.
PHQ-9, GAD-7, ASRM 점수는 태그 데이터를 기반으로 한 통계적 추정치이며, 의학적 진단이 아닙니다. 서비스는 의료 서비스가 아니며 의사의 진료를 대체하지 않습니다.
3. 개인정보 수집 및 이용 목적
- 서비스 제공: 기분 체크인 기록, 캘린더, 리포트 생성, 패턴 분석
- 계정 관리: 회원 식별, 로그인 상태 유지
- 알림 서비스: 매일 리마인더 발송 (FCM)
- 서비스 개선: 비식별 통계 분석
- 광고 제공: 무료 이용자 대상 맞춤형 광고 (AdMob)
- 고객 지원: 문의 대응, 계정 문제 해결
4. 쿠키 및 추적 기술
- Google AdMob: 무료 이용자에게 광고를 제공하기 위해 광고 식별자(IDFA/GAID)를 사용합니다. iOS에서는 Apple의 앱 추적 투명성(ATT) 프레임워크에 따라 추적 전 동의를 요청합니다.
- Firebase Analytics: 서비스 개선을 위한 비식별 사용 통계(화면 조회, 기능 사용 빈도 등)를 수집합니다. 앱 설정에서 분석 데이터 수집을 거부(옵트아웃)할 수 있습니다.
- 웹 쿠키: 웹사이트 방문 시 필수 쿠키(세션 유지)만 사용합니다.
5. 개인정보 보유 및 이용 기간
| 구분 | 보유 기간 |
|---|---|
| 활성 회원 | 회원 자격 유지 기간 동안 |
| 회원 탈퇴 시 | 즉시 삭제 (체크인 데이터, 프로필 포함) |
| 12개월 이상 미이용 | 사전 통지(이메일) 후 휴면 처리, 별도 보관 30일 후 파기 |
| 결제 기록 | 전자상거래법에 따라 5년간 보존 |
| 앱 사용 로그 | 비식별화 후 통계 목적으로만 보존 |
6. 개인정보의 제3자 제공
회사는 이용자의 동의 없이 개인정보를 제3자에게 제공하지 않습니다. 다만 다음의 경우는 예외입니다:
- 이용자가 사전에 동의한 경우
- 법령에 의해 요구되는 경우
7. 개인정보 처리 위탁 및 국외 이전
서비스 제공을 위해 아래 업체에 개인정보 처리를 위탁하며, 이에 따라 이용자의 데이터가 미국 소재 서버로 이전됩니다. 각 업체는 SOC 2, ISO 27001 등 국제 보안 인증을 취득하고 있으며, EU 표준 계약 조항(SCC)에 준하는 보호 조치를 적용합니다.
| 위탁 업체 | 위탁 업무 | 이전 국가 |
|---|---|---|
| Google (Firebase Auth, Firestore) | 인증, 데이터 저장 | 미국 |
| Google (AdMob) | 광고 제공 (무료 이용자) | 미국 |
| Google (FCM) | 푸시 알림 발송 | 미국 |
| RevenueCat | 구독 결제 관리 | 미국 |
8. 이용자의 권리
이용자는 언제든지 다음의 권리를 행사할 수 있습니다:
- 열람권: 본인의 체크인 데이터를 앱 내에서 조회
- 정정권: 체크인 기록 수정
- 삭제권: 앱 설정 → 계정 탈퇴를 통해 모든 데이터 즉시 삭제
- 이동권: 앱 설정에서 본인의 데이터를 CSV 형식으로 내보내기 (무료)
- 처리 제한권: 특정 데이터의 처리 중단 요청 (이메일 문의)
- 동의 철회: 앱 설정에서 개별 동의 항목(광고 개인화, 분석 데이터 수집 등)을 선택적으로 철회하거나, 계정 탈퇴를 통해 모든 동의를 일괄 철회
- 자동화된 의사결정 거부권: 서비스는 자동화된 의사결정 또는 프로파일링을 수행하지 않습니다
GDPR 적용 지역(EEA) 이용자
EEA 거주자는 위 권리 외에도 관할 데이터 보호 당국에 이의를 제기할 권리가 있습니다. 권리 행사를 위한 요청은 contact@daylab.dev로 보내주세요. 30일 이내에 응답합니다.
CCPA 적용 지역(캘리포니아) 이용자
캘리포니아 거주자는 개인정보 수집 항목 공개 요청, 삭제 요청, 개인정보 공유 거부(Opt-Out) 권리를 행사할 수 있습니다. 회사는 이용자의 개인정보를 금전적 대가를 받고 판매하지 않습니다. 다만, 무료 이용자의 경우 AdMob을 통한 맞춤형 광고 제공 과정에서 광고 식별자가 광고 파트너와 공유될 수 있으며, 이는 CCPA상 “공유(sharing)”에 해당할 수 있습니다. 이용자는 앱 설정에서 맞춤형 광고를 거부하거나, iOS의 경우 ATT 설정에서, Android의 경우 기기 설정 > 개인정보 > 광고에서 광고 개인화를 비활성화할 수 있습니다. 권리 행사를 위한 요청은 contact@daylab.dev로 보내주세요. 45일 이내에 응답합니다.
한국 개인정보 보호법 적용 이용자
한국 거주자의 권리 행사 요청은 contact@daylab.dev로 보내주세요. 10일 이내에 응답합니다.
9. 아동의 개인정보
서비스는 아동의 이용을 대상으로 하지 않습니다. 해당 연령 미만의 이용자임을 인지한 경우 계정 및 데이터를 즉시 삭제합니다.
| 적용 법률 | 기준 연령 |
|---|---|
| 한국 (개인정보 보호법) | 14세 미만 |
| 미국 (COPPA) | 13세 미만 |
| EU (GDPR) | 16세 미만 (회원국에 따라 상이) |
10. 개인정보의 안전성 확보 조치
- 전송 구간 암호화 (TLS 1.2 이상)
- Firebase 보안 규칙을 통한 접근 통제
- 관리자 계정 2단계 인증(MFA)
- 정기적 보안 점검 및 취약점 패치
11. 개인정보 침해 시 대응
개인정보 유출 등 침해 사고 발생 시, 회사는 관련 법령에 따라 지체 없이 이용자에게 통지하고 관할 감독 기관에 신고합니다. GDPR 적용 시 72시간 이내에 감독 기관에 보고합니다.
12. 개인정보 보호책임자
- 사업자: DAYLAB (개인사업자)
- 대표: 심다송
- 주소: 서울특별시 서초구 바우뫼로 91, 1층 10,11호 -19
- 사업자등록번호: 401-23-55110
- 개인정보 보호책임자: 심다송 (대표)
- 이메일: contact@daylab.dev
13. 준거법 및 관할
본 방침은 대한민국 법률에 따라 해석됩니다. 본 방침과 관련된 분쟁은 서울중앙지방법원을 제1심 관할 법원으로 합니다. 다만, EEA 거주자에게는 GDPR이, 캘리포니아 거주자에게는 CCPA가 각각 적용되는 범위 내에서 해당 법률이 우선합니다.
14. 개인정보처리방침의 변경
본 방침이 변경되는 경우, 앱 내 공지 또는 이메일을 통해 사전에 안내합니다. 변경된 방침은 공지 후 7일이 경과한 시점부터 효력이 발생합니다.