개인정보처리방침

다누리(이하 "회사")는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보처리방침을 수립·공개합니다.

제1조 (개인정보의 처리 목적)

회사는 다음의 목적을 위하여 개인정보를 처리합니다.

회원가입 및 관리: 회원 가입의사 확인, 본인 식별·인증, 회원자격 유지·관리, 서비스 부정이용 방지
서비스 제공: 프로젝트·업무(Task)·TODO 관리, 팀 협업 기능, 일정 관리, 알림 서비스
AI 기능 제공 (선택): AI 기반 프로젝트 설계, 업무 분해·추천, 보고서 자동 생성, AI 하루
성과 분석 — 프로파일링 (선택): 하루력(개인 역량 수치화), 하루온도(팀 건강도 분석)
요금 결제: 유료 서비스 결제 처리, 환불 처리
외부 서비스 연동 (선택): Google Calendar 일정 연동 (읽기 전용)
고객 문의 처리: 문의 접수 및 답변, 불만·민원 처리
마케팅 (선택): 신규 기능 안내, 프로모션 정보 전달

제2조 (처리하는 개인정보의 항목)

필수 수집 항목

이메일 주소, 이름, 비밀번호(bcrypt 해시 저장), 팀 소속, 역할

선택 수집 항목

프로필 이미지, 직함, 보유 기술, 경력 연수, 입사일, Google Calendar 데이터

자동 수집 항목

IP 주소, 쿠키(HTTP-only), 접속 로그, 기기 정보, 서비스 이용 기록

AI 분석 생성 항목 (프로파일링 동의자에 한함)

하루력 점수(완료력, 약속력, 성장력, 협업력, 품질력), 하루온도, 성장궤적 예측

제3조 (개인정보의 처리 및 보유 기간)

구분	보유 기간	근거
회원 정보	탈퇴 시까지 (탈퇴 후 30일 보관)	이용자 동의
결제 기록	5년	전자상거래법
소비자 분쟁 기록	3년	전자상거래법
접속 로그	최소 6개월	통신비밀보호법
AI 분석 결과(하루력 등)	탈퇴 시까지 또는 동의 철회 시	동의 철회 시 즉시 삭제

제4조 (개인정보의 제3자 제공)

제공받는 자	목적	제공 항목
Google LLC (Cloud AI API)	AI 분석·생성	프로젝트명, 업무 내용, TODO 텍스트 (이메일·이름 등 직접 식별 정보 제외)
Google LLC (Calendar)	일정 연동	캘린더 일정 데이터
Toss Payments	결제 처리	결제 금액, 결제수단 정보

※ AI API에 전송되는 데이터는 모델 학습에 사용되지 않습니다. (Google Cloud API 이용약관에 의거)

제5조 (개인정보 처리의 위탁)

수탁자	위탁 업무
Supabase Inc.	DB·인증·파일 호스팅
Vercel Inc.	웹 앱 호스팅
Upstash Inc.	캐시·세션 관리
Inngest Inc.	백그라운드 작업 처리

제6조 (개인정보의 국외이전)

회사의 서비스는 해외 클라우드 인프라를 기반으로 운영되며, 다음과 같이 미국 소재 서비스 제공자에게 개인정보가 이전됩니다: Supabase Inc., Vercel Inc., Upstash Inc., Inngest Inc., Google LLC.

모든 전송은 TLS 1.2 이상으로 암호화되며, 저장 시 AES-256 암호화가 적용됩니다. SOC2 Type II 등 국제 보안 인증을 보유한 서비스만 이용합니다.

제7조 (개인정보의 파기)

보유 기간 만료, 처리 목적 달성, 동의 철회 시 지체 없이 파기
전자 파일: 복구 불가능한 방법으로 영구 삭제
회원 탈퇴: 오류에 의한 삭제 방지 및 이용자 보호를 위해 요청 후 30일간 복구 가능 기간을 두며, 복구 기간 중 개인정보는 분리 보관되어 서비스 제공 목적으로 처리되지 않습니다. 30일 경과 후 영구 삭제됩니다.

제8조 (정보주체의 권리)

열람·정정·삭제·처리정지 요구 (서비스 내 설정 또는 privacy@todays.so)
프로파일링 거부: AI 설정에서 비활성화
자동화된 결정에 대한 설명·이의제기·인적 개입 요청 (서비스 내 이의제기 기능 또는 privacy@todays.so)
이의제기 불이익 금지: 이용자가 AI 분석 결과에 대하여 이의를 제기하였음을 이유로 불이익한 처분을 받지 않습니다
동의 철회: 서비스 내 설정에서 언제든 가능
모든 요청은 접수 후 10일 이내 처리

제9조 (개인정보 보호책임자)

성명: 전승호 / 직위: 대표 / 연락처: 010-2866-6131 / 이메일: privacy@todays.so

제10조 (안전성 확보 조치)

전송 시 업계 표준 암호화 프로토콜 적용
저장 시 암호화 적용, 비밀번호 단방향 해시 처리
역할 기반 접근 제어 및 접근 권한 최소화
접속기록을 관련 법령이 정하는 기간 이상 보관
비인가 접근 방지를 위한 인증 보안 조치

제10조의2 (개인정보 처리 현황 점검)

회사는 관련 법령에 따라 개인정보 처리 현황을 정기적으로 점검하며, 내부관리계획을 수립·시행합니다.

제10조의3 (이용자 권리 행사 절차)

정보주체는 서비스 내 [설정 > 개인정보 권리행사] 또는 privacy@todays.so을 통해 열람, 정정, 삭제, 처리정지, 프로파일링 거부 등을 요청할 수 있습니다.
회사는 요청 접수 후 10일 이내에 처리합니다.

제11조 (쿠키)

회사는 인증 상태 유지를 위해 HTTP-only 쿠키를 사용합니다. 브라우저 설정에서 쿠키를 차단할 수 있으나, 로그인 기능 사용이 제한될 수 있습니다.

제12조 (자동화된 의사결정 및 프로파일링)

회사는 「개인정보 보호법」 제37조의2에 따라, 서비스 내에서 수행하는 자동화된 의사결정(프로파일링)에 관하여 다음과 같이 고지합니다.

하루력 (개인 역량 분석)

이용자의 업무 수행 데이터를 기반으로 5개 역량(완료력, 약속력, 성장력, 협업력, 품질력)을 수치화합니다. 규칙 기반 엔진(Rule-based)으로 매일 자동 산출되며, AI의 주관적 판단이 아닌 사전 정의된 수식에 의한 객관적 데이터 기반 연산입니다. 개인 성장 참고 자료로만 제공되며, 회사는 해당 결과를 인사결정(채용, 해고, 승진, 징계 등)에 사용하거나 이용자의 고용주에게 해당 목적으로 제공하지 않습니다.

하루온도 (팀 건강도 분석)

팀 단위의 업무 진행 현황(팀 완료율, 일정 준수율, 협업 빈도 등)을 종합 분석하여 팀 관리자의 운영 참고 자료로 제공합니다.

이용자의 권리

권리	행사 방법	처리 기간
프로파일링 거부	AI 설정에서 비활성화	즉시
결정에 대한 설명 요구	privacy@todays.so	10일 이내
이의 제기	privacy@todays.so	10일 이내
인적 개입 요청	privacy@todays.so	10일 이내

프로파일링을 거부하더라도 기본 서비스 기능은 정상 이용 가능합니다. 동의 철회 시, 이미 생성된 하루력 점수 및 분석 결과는 즉시 삭제됩니다. 다만, 철회 시점까지 적법하게 처리된 데이터의 결과물은 유효하며, 이용자의 요청이 있는 경우 기존 분석 결과도 삭제합니다.

AI 공정성

회사는 AI 기능이 공정하게 운영되도록 합리적인 노력을 기울이며, 필요한 경우 점검을 실시합니다.

제13조 (AI 서비스를 위한 데이터 처리)

AI 기술 제공 정보

AI 기술 제공사	Google LLC (Google Cloud AI API)
전송 방식	AI 기능 사용 시 관련 업무 데이터만 API에 전송 (이메일·이름 등 직접 식별 정보 제외)
학습 미사용	Google Cloud API 이용약관에 따라 API 입력 데이터는 모델 학습에 사용되지 않습니다
데이터 보존	API 전송 데이터는 응답 생성을 위한 일시적 처리 후 삭제됩니다
모델 변경	회사는 서비스 품질 향상을 위해 AI 모델을 변경할 수 있으며, AI 기술 제공사가 변경되는 경우 별도 고지 후 동의를 받습니다

AI 생성물 인식

AI 생성 콘텐츠(프로젝트 구조 추천, 업무 분해, 보고서, 브리핑 등)는 이용자가 AI 기능을 직접 호출하여 생성하므로, 이용자는 해당 콘텐츠가 AI에 의해 생성된 것임을 인식할 수 있습니다. AI 생성물은 참고 자료이며, 최종 판단은 이용자 본인이 하여야 합니다.

AI 기능에 동의하지 않거나 사용하지 않는 경우, 데이터는 AI API에 전송되지 않으며, 기본 기능은 정상 이용 가능합니다.

제13조의2 (Google API 서비스 사용자 데이터 정책 준수 / Limited Use)

회사의 Google API 서비스(Google Calendar 등)를 통해 획득한 사용자 데이터 사용·전송·저장은 Google API Services User Data Policy의 Limited Use 요구사항을 포함한 모든 조건을 준수합니다.

접근 및 사용 범위

접근 데이터: Google Calendar의 일정 제목, 시작·종료 시각, 설명, 위치 등 일정 메타데이터 (읽기 전용)
사용 목적: 이용자의 외부 일정을 TODAYS 앱의 할 일 목록 및 일정 뷰에 통합하여 표시
쓰기 권한 요청 없음: 회사는 이용자의 Google Calendar에 일정을 생성·수정·삭제하지 않으며, 해당 권한(scope)을 요청하지 않습니다.
Scope: https://www.googleapis.com/auth/calendar.readonly 만 사용

Limited Use 준수 선언

회사는 Google에서 획득한 사용자 데이터를 다음과 같이 제한적으로만 사용합니다:

이용자가 직접 확인할 수 있는 앱의 사용자 대면 기능(일정 조회·통합 뷰) 제공 목적으로만 사용합니다.
해당 데이터를 제3자에게 전송, 공유, 판매, 양도하지 않습니다 (사용자 확인 없이 진행되는 전송 없음).
해당 데이터를 광고 제공·타겟 광고 최적화·유사 모델 생성 등 광고 목적으로 사용하지 않습니다.
회사의 직원 또는 관계자가 해당 데이터를 사람이 직접 열람하지 않습니다. 단, 다음의 경우는 예외로 합니다: (1) 이용자의 명시적 동의, (2) 보안 목적의 조사(남용 탐지 등), (3) 법적 의무 이행, (4) 집계·익명화되어 개별 식별이 불가능한 형태의 내부 운영 분석.

저장 및 보존

Google 인증 토큰(Access Token, Refresh Token)은 AES-256-GCM으로 암호화하여 저장합니다.
캘린더 일정 데이터는 앱 내 표시 및 TODO 변환 목적으로만 사용되며, 별도의 원본 저장소를 운영하지 않습니다.
이용자가 캘린더 연동을 해제하면 저장된 토큰은 즉시 삭제되며, 회사는 이후 Google API에 접근하지 않습니다.
이용자는 언제든지 Google 계정 권한 페이지에서 TODAYS의 접근 권한을 철회할 수 있습니다.

제14조 (침해사고 대응)

개인정보 유출 인지 시 72시간 이내에 개인정보보호위원회에 신고하고, 정보주체에게 유출 사실을 통지합니다.
정보통신서비스 제공자로서 「정보통신망법」 제27조의3에 따라 한국인터넷진흥원(KISA)에 24시간 이내 신고합니다.
침해사고 발생 시 유출 경위, 유출 항목, 피해 최소화 조치, 이용자 보호 조치 등을 포함하여 통지합니다.

제15조 (권익침해 구제)

개인정보 침해신고센터 (KISA): (국번없이) 118
개인정보 분쟁조정위원회: 1833-6972
대검찰청 사이버수사과: 1301
경찰청 사이버수사국: 182

제16조 (광고성 정보)

사전 동의를 받은 경우에 한하여 광고성 정보를 전송하며, 야간(21시~08시) 전송은 별도 동의 없이 하지 않습니다. 설정 > 알림 설정에서 수신 거부 가능합니다.

제17조 (B2B 특칙)

팀 관리자는 소속 구성원에게 TODAYS를 통한 개인정보 처리를 고지하고 동의를 확보하여야 합니다.
하루력 등 AI 분석 결과를 인사결정의 유일한 근거로 사용하는 것을 금지합니다.
퇴직자 데이터 처리: 팀 관리자는 소속 구성원이 퇴직한 경우, 퇴직 후 30일 이내에 해당 구성원의 계정을 비활성화하고, 데이터를 익명화 또는 삭제 처리하여야 합니다. 퇴직자가 참여한 프로젝트 기록은 익명화하여 보관할 수 있습니다.
업무시간 외 모니터링 금지: 팀 관리자는 설정된 업무시간 외에 팀원의 서비스 활동을 추적·모니터링하거나, 퇴근 후 알림 응답 의무를 부과하여서는 안 됩니다.

제18조 (처리방침 변경)

일반 변경은 시행일 7일 전, 이용자에게 불리한 변경은 30일 전에 공지합니다.

본 개인정보처리방침은 2026년 3월 4일부터 적용됩니다.
다누리 | 대표: 전승호 | privacy@todays.so