개인정보 처리방침
주식회사 위톤(이하 ‘회사’)은 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 관련한 고충을 신속하게 처리하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
본 방침은 회사가 제공하는 설문 폼 생성·배포·응답 수집·분석 및 리포트 작성 서비스(이하 ‘서비스’)에 적용됩니다.
제1조 (회사의 역할)
- 회사는 회원(설문 생성자, 관리자, 공동 작업자 등)의 계정 생성·인증·서비스 운영과 관련하여 개인정보처리자의 지위에서 개인정보를 처리합니다.
- 회원이 서비스를 이용하여 생성한 설문에서 수집되는 응답자 정보에 대하여, 회사는 원칙적으로 회원이 정한 목적과 설정에 따라 시스템을 제공·운영하는 수탁자(처리자) 지위에서 개인정보를 처리합니다. 설문의 내용, 수집 항목, 수집·이용 목적, 보유기간, 법적 근거는 원칙적으로 해당 설문을 생성·운영하는 회원이 결정합니다.
- 응답자는 자신이 참여한 설문과 관련한 개인정보 처리 문의, 열람·정정·삭제·처리정지 요청을 우선적으로 해당 설문의 생성자에게 하여야 합니다. 회사는 법령 및 계약 범위 내에서 회원이 이러한 요청에 대응할 수 있도록 협조합니다.
제2조 (개인정보의 처리 목적 및 수집 항목)
1. 동의 없이 처리하는 개인정보
회사는 다음의 개인정보를 「개인정보 보호법」 제15조 제1항 각 호의 법적 근거에 따라 동의 없이 처리할 수 있습니다.
| 처리 항목 | 처리 목적 | 보유기간 | 법적 근거 |
|---|---|---|---|
| 이메일 주소, 이름, 소셜 로그인 식별값, 프로필 이미지(연동 시), 언어 설정 | 회원가입, 로그인, 본인 식별·인증, 계정 관리, 서비스 제공 | 탈퇴 시까지 (탈퇴 후 90일간 분리보관 후 삭제) | 계약의 체결·이행 (법 제15조 제1항 제4호) |
| 이름, 이메일 주소, 문의 내용, 상담 이력 | 고객지원, 문의 응대, 공지 전달 | 처리 완료 후 3년 | 계약의 체결·이행 (법 제15조 제1항 제4호) |
| 접속 일시, IP 주소, 브라우저·OS·기기 정보, 서비스 이용기록, 에러로그 | 서비스 안정성 확보, 보안·부정이용 방지, 오류 분석·장애 대응 | 최대 1년 | 정당한 이익 (법 제15조 제1항 제6호) |
| 응답자 설문 참여 시 세션 식별자(쿠키 미사용, 브라우저 세션 내에서만 처리), 페이지 조회·상호작용 이벤트 | 설문 응답 서비스 안정성 확보, 장애 탐지 | 세션 종료 시 즉시 소멸 (서버 측 집계 데이터는 최대 12개월) | 정당한 이익 (법 제15조 제1항 제6호) |
| 거래·결제·분쟁처리 관련 법정 보존 정보 | 법정 기록 보존, 세무·회계, 분쟁 대응 | 관계 법령이 정한 기간 | 법령상 의무 준수 (법 제15조 제1항 제2호) |
2. 동의를 받아 처리하는 개인정보
| 동의 항목 | 처리 목적 | 처리 항목 | 보유기간 |
|---|---|---|---|
| 선택적 분석 쿠키·SDK 동의 | 서비스 이용 행태 분석, UI/UX 개선 | 난수화된 식별자, 페이지 조회/클릭 이벤트, 세션 정보, 기기·브라우저 정보 | 동의 철회 시 또는 최대 12개월 |
| 마케팅 정보 수신 동의 | 서비스 업데이트 소식, 신규 기능 안내, 이벤트·프로모션 정보 제공 | 이메일 주소, 이름 | 동의 철회 시까지 |
선택 동의를 거부하여도 서비스의 필수 기능은 이용할 수 있습니다.
제3조 (회원 설문에서 수집되는 응답자 개인정보)
- 회원은 서비스를 이용하여 다양한 설문을 생성할 수 있으며, 그 과정에서 응답자가 직접 입력하는 정보(이름, 이메일, 자유서술형 응답 등)가 수집될 수 있습니다.
- 서비스는 원칙적으로 응답자 실명이나 계정정보의 수집을 기본값으로 강제하지 않습니다. 그러나 특정 설문이 실제로 익명인지 여부는 회원이 설계한 문항, 응답 설정, 추적 설정에 따라 달라질 수 있으므로, 응답자는 해당 설문의 안내문을 확인하여야 합니다.
- 응답자가 제출한 정보는 해당 설문의 생성자와 권한을 부여받은 공동 작업자에게 열람·이용될 수 있습니다.
- 회원은 자신이 수집하려는 정보가 관계 법령상 고지·동의, 민감정보 처리 요건, 아동 정보 보호 요건 등을 충족하는지 확인할 책임이 있습니다.
제4조 (AI 기능 이용 시의 개인정보 처리)
- 회원이 AI 기능(문항 추천, 응답 분석, 리포트 생성 등)을 명시적으로 실행하는 경우에 한하여, 회사는 해당 기능 제공에 필요한 범위에서 설문 문항, 프롬프트, 응답 데이터 등을 처리할 수 있습니다.
- 회사는 회원 또는 응답자의 설문 응답 원문을 자사 또는 제3자의 범용 AI 모델 학습·재학습·미세조정 목적으로 사용하지 않는 것을 원칙으로 합니다. 다만, 다음의 경우에는 예외가 있을 수 있습니다.
- 회원이 별도로 명시적 동의를 한 경우
- 법령상 허용되는 완전한 익명 통계인 경우
- AI 서비스 제공사의 안전성 확보, AI 워크플로우 추적, 장애 분석 및 디버깅을 위한 최소한의 로그 처리 (구체적인 보존기간 등은 제11조 국외 이전 항목을 참고)
- 전항의 목적 범위 내에서 프롬프트, 모델 입력·출력, 실행 trace, 오류 정보가 처리될 수 있으며, 서비스 이용 방식에 따라 설문 응답 원문이 포함될 수 있습니다.
- 회사는 이러한 로그 및 trace 데이터를 자사 또는 제3자의 범용 AI 모델 학습·재학습·미세조정 목적으로 사용하지 않습니다.
- AI 기능의 출력물은 확률적 생성 결과로서 부정확하거나 불완전할 수 있습니다. 회원은 출력물을 독립적으로 검토한 후 사용하여야 합니다.
- 회사의 AI 기능은 정보 제공 및 보조 수단으로 제공되며, 개인의 권리·의무에 중대한 영향을 미치는 의사결정을 자동으로 확정하기 위한 용도로 설계되지 않습니다.
제5조 (민감정보 및 고유식별정보)
- 회사는 회원 또는 응답자에게 민감정보나 고유식별정보(주민등록번호, 여권번호 등)의 입력을 기본적으로 요구하지 않습니다.
- 회원이 설문을 통해 민감정보를 수집하려는 경우, 그 필요성과 적법성, 별도 동의 여부를 직접 검토하여야 합니다.
- 회사는 법령상 허용되는 경우를 제외하고 고유식별정보의 수집·처리를 제한할 수 있습니다.
제6조 (익명정보의 활용)
- 회사는 수집된 데이터를 「개인정보 보호법」 제58조의2에 따른 익명정보로 처리하여 AI 분석 모델 개선, 서비스 품질 향상, 집계 통계 기반 사업 개발 등의 목적으로 활용할 수 있습니다.
- 익명화 시 식별자는 제거되거나 일반화되며, 개별 응답자를 식별할 수 없는 형태로만 활용됩니다. 회사는 익명화 처리의 적정성을 확보하기 위한 내부 기준을 수립·운영합니다.
- 익명정보는 「개인정보 보호법」 제58조의2에 따라 개인정보에 해당하지 않으므로, 제12조의 정보주체 권리 행사 대상에 포함되지 않습니다. 다만, 정보주체는 익명화 처리의 적정성에 관하여 회사에 문의할 수 있습니다.
제7조 (개인정보의 보유 및 이용기간)
- 회사는 법령에 따른 보유·이용기간 또는 정보주체로부터 동의받은 보유·이용기간 내에서 개인정보를 처리·보유합니다.
| 구분 | 보유기간 |
|---|---|
| 회원 계정 정보 | 탈퇴 시까지 (탈퇴 후 90일간 분리보관 후 삭제) |
| 고객지원·문의 정보 | 처리 완료 후 3년 |
| 보안·접속·오류 로그 | 최대 1년 |
| 선택적 분석 쿠키·SDK 정보 | 동의 철회 시 또는 최대 12개월 |
| 마케팅 수신 관련 정보 | 동의 철회 시까지 |
- 응답자 개인정보는 회원이 설정한 보유기간 또는 회원의 삭제 조치 시까지 보관되며, 설문·응답 삭제 또는 회원 탈퇴 시 최대 90일 이내에 영구 삭제합니다.
- 관계 법령에 따라 보존이 필요한 경우 별도 분리 보관합니다.
| 근거 법령 | 보존 항목 | 보존 기간 |
|---|---|---|
| 전자상거래법 | 계약 또는 청약철회 등에 관한 기록 | 5년 |
| 전자상거래법 | 대금결제 및 재화 등의 공급에 관한 기록 | 5년 |
| 전자상거래법 | 소비자 불만 또는 분쟁처리에 관한 기록 | 3년 |
| 전자상거래법 | 표시·광고에 관한 기록 | 6개월 |
| 통신비밀보호법 | 접속로그 등 통신사실확인자료 | 3개월 |
제8조 (개인정보의 파기)
- 회사는 개인정보 보유기간의 경과, 처리목적 달성 등으로 개인정보가 불필요하게 되었을 때 지체 없이 파기합니다. 다만, 다른 법령에 따라 보존하여야 하는 경우에는 별도 분리하여 보관합니다.
- 전자적 파일은 기록을 재생할 수 없는 기술적 방법으로 삭제하며, 종이 문서는 분쇄 또는 소각합니다.
- 회원 탈퇴 시 계정 정보는 즉시 비활성화되며, 오류 탈퇴 복구, 부정이용 방지 및 법적 분쟁 대응을 위해 90일간 분리보관 후 영구 삭제됩니다. 탈퇴한 계정은 복원할 수 없습니다.
제9조 (개인정보의 제3자 제공)
- 회사는 원칙적으로 정보주체의 개인정보를 외부에 제공하지 않습니다.
- 다만 정보주체가 사전에 동의한 경우, 법률에 특별한 규정이 있는 경우, 정보주체 또는 제3자의 급박한 생명·신체·재산의 이익을 위하여 필요한 경우에는 예외로 합니다.
- 응답자가 설문에 입력한 정보가 해당 설문 생성자에게 제공되는 것은 설문 서비스의 본질적 기능에 해당합니다.
제10조 (개인정보 처리의 위탁)
회사는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리업무를 위탁합니다.
| 수탁업체 | 위탁 업무 |
|---|---|
| Supabase Inc. | 데이터베이스 호스팅, 사용자 인증, 파일 저장 |
| Google LLC | OAuth 인증, 생성형 AI 추론 (해당 기능 사용 시) |
| E2B Inc. | 통계 분석 코드 실행 (해당 기능 사용 시) |
| Functional Software, Inc. (Sentry) | 오류 모니터링, 장애 분석 |
| PostHog, Inc. | 서비스 이용 분석 (회원: 선택적 동의 시 / 응답자: 쿠키 미사용 방식으로 서비스 안정성 확보) |
| Upstash, Inc. | 요청 빈도 제한 |
| LangChain, Inc. (LangSmith) | AI 에이전트 워크플로우 추적, 모니터링, 디버깅, 사용자 피드백 기록 |
| Vercel Inc. | 웹 애플리케이션 호스팅 |
위탁계약 시 관계 법령에 따라 개인정보 보호에 관한 사항을 문서로 정하고, 수탁자가 개인정보를 안전하게 처리하는지 감독합니다. 수탁업체 또는 위탁업무가 변경되면 본 방침을 통하여 지체 없이 공개합니다.
제11조 (개인정보의 국외 이전)
회사는 서비스 제공을 위해 「개인정보 보호법」 제28조의8에 따라 다음과 같이 개인정보를 국외로 이전합니다.
| 이전받는 자 | 국가 | 이전 목적 | 이전 방법 | 보유기간 | 보호조치 |
|---|---|---|---|---|---|
| Supabase Inc. | 미국 | 데이터베이스 및 인증 서비스 | 암호화된 네트워크 전송 | 서비스 이용 기간 (탈퇴 후 90일 내 삭제) | SOC 2 Type II 인증 |
| Google LLC (OAuth) | 미국 | 소셜 로그인·인증 | 암호화된 네트워크 전송 | 연동 해제 또는 탈퇴 시까지 | ISO 27001 인증 |
| Google LLC (Gemini API) | 미국 | AI 분석 및 문항 추천 | 암호화된 API 호출 | 안전성 모니터링 로그 최대 55일 | ISO 27001 인증 |
| E2B Inc. | 미국/EU | 통계 분석 코드 실행 | 암호화된 API 호출 | 실행 완료 후 즉시 삭제 | 암호화 전송 |
| Functional Software, Inc. (Sentry) | 미국 | 오류 모니터링 | 암호화된 SDK 전송 | 90일 이내 | SOC 2 Type II 인증 |
| PostHog, Inc. | 미국 | 서비스 이용 분석 | 암호화된 SDK 전송 (회원: 선택 동의 후 / 응답자: 쿠키 미사용) | 동의 철회 시 또는 최대 12개월 | SOC 2 Type II 인증 |
| Upstash, Inc. | 미국/EU | 요청 빈도 제한 | 암호화된 API 호출 | 자동 만료 (최대 1시간) | 암호화 전송 |
| LangChain, Inc. (LangSmith) | 미국 | AI 에이전트 워크플로우 추적, 모니터링, 디버깅, 사용자 피드백 처리 | 암호화된 API 호출 | 14일 이내 | 암호화 전송 |
| Vercel Inc. | 미국 | 웹 호스팅 | 암호화된 네트워크 전송 | 30일 이내 | SOC 2 Type II 인증 |
AI 기능 제공 과정에서 사용되는 일부 추적·관측 도구는 서비스 품질 개선, 장애 대응, 디버깅 및 사용자 피드백 처리 목적상 국외에서 처리될 수 있습니다. 회사는 이러한 처리 과정에서 필요한 범위 내로 전송 항목을 제한하고, 단기 보관 원칙을 적용합니다.
서비스 제공에 필수적인 국외 이전을 원하지 않는 경우 일부 또는 전체 서비스 이용이 제한될 수 있습니다. 선택적 분석 도구에 대한 국외 이전은 동의 철회로 중단할 수 있습니다.
제12조 (정보주체의 권리·의무 및 행사방법)
- 정보주체는 회사에 대해 언제든지 다음의 권리를 행사할 수 있습니다.
- 개인정보 열람 요구
- 정정·삭제 요구
- 처리정지 요구
- 동의 철회 요구
- 자동화된 결정에 대한 설명 요구, 거부 또는 재검토 요구 (법령이 정한 경우)
- 권리 행사는 서비스 내 설정 또는 이메일(contact@witform.app)을 통해 할 수 있습니다.
- 응답자는 원칙적으로 자신이 응답한 설문의 생성자에게 먼저 권리행사를 요청하여야 하며, 회사는 필요한 범위에서 지원합니다.
- 대리인을 통한 권리 행사 시 법령이 정한 위임장 제출이 필요할 수 있습니다.
- 관계 법령에 따라 권리 행사가 제한되거나 거절될 수 있습니다.
제13조 (쿠키 및 유사기술)
| 구분 | 도구 | 목적 | 법적 근거 | 거부 방법 |
|---|---|---|---|---|
| 필수 | 인증 쿠키 (Supabase) | 로그인 유지, 보안 | 계약의 체결·이행 | 브라우저 설정으로 차단 가능하나 핵심 기능 제한됨 |
| 필수 | 오류 모니터링 (Sentry) | 장애 분석, 서비스 안정성 확보 | 정당한 이익 | 브라우저 설정으로 차단 가능하나 서비스 품질 저하 가능 |
| 필수 | 응답자 설문 참여 시 분석 SDK (PostHog, 쿠키 미사용) | 설문 응답 서비스 안정성 확보, 장애 탐지 | 정당한 이익 | 브라우저 설정으로 차단 가능하나 서비스 품질 저하 가능 |
| 선택 | 분석 쿠키·SDK (PostHog) | 이용행태 분석, 기능 개선 | 정보주체 동의 | 동의 배너 또는 서비스 내 설정에서 거부·철회 |
제14조 (개인정보의 안전성 확보 조치)
회사는 「개인정보 보호법」 제29조에 따라 다음과 같은 조치를 취하고 있습니다.
- 관리적 조치: 내부관리계획 수립·시행, 접근권한 관리, 최소권한 원칙 적용, 직원 교육
- 기술적 조치: 전송구간 암호화(HTTPS/TLS), 접근통제, 인증 토큰의 안전한 관리, OAuth 2.0 PKCE 적용, API 요청 빈도 제한, 로그 모니터링
- 물리적 조치: 클라우드 인프라 제공업체의 물리적 보안 적용
제15조 (아동의 개인정보 보호)
- 회사는 만 14세 미만 아동을 대상으로 회원가입을 허용하지 않습니다. 만 14세 미만의 아동은 서비스에 가입할 수 없으며, 회원가입 시 만 14세 이상임을 확인하는 절차를 거칩니다.
- 회원이 만 14세 미만 아동의 개인정보를 수집하는 설문을 운영하고자 하는 경우, 관련 법령에 따른 법정대리인 동의 등 필요한 요건을 직접 충족하여야 합니다.
제16조 (개인정보 보호책임자)
회사는 개인정보 처리에 관한 업무를 총괄하고, 관련 불만처리 및 피해구제를 위하여 아래와 같이 개인정보 보호책임자를 지정합니다.
- 성명: 이정진
- 직책: 대표이사
- 이메일: contact@witform.app
정보주체는 서비스 이용 중 발생한 모든 개인정보 관련 문의, 불만, 피해구제 등을 위 연락처로 문의할 수 있습니다.
제17조 (권익침해 구제방법)
정보주체는 개인정보침해로 인한 구제를 받기 위하여 아래 기관에 분쟁해결이나 상담 등을 신청할 수 있습니다.
| 기관 | 연락처 | 홈페이지 |
|---|---|---|
| 개인정보분쟁조정위원회 | (국번없이) 1833-6972 | www.kopico.go.kr |
| 개인정보침해신고센터 | (국번없이) 118 | privacy.kisa.or.kr |
| 대검찰청 | (국번없이) 1301 | www.spo.go.kr |
| 경찰청 | (국번없이) 182 | ecrm.police.go.kr |
| 중앙행정심판위원회 | (국번없이) 110 | www.simpan.go.kr |
제18조 (처리방침의 변경)
- 이 개인정보 처리방침은 시행일로부터 적용되며, 변경이 있는 경우 시행 7일 전부터 공지사항을 통해 고지합니다.
- 정보주체에게 불리한 중요 변경의 경우 시행 30일 전부터 이메일 및 서비스 내 공지를 통해 개별 고지합니다.
부칙
이 방침은 2026년 3월 29일부터 시행합니다.