개인정보 처리방침 | 만다로그 (Mandalog)

제1조 Article 1

개인정보의 처리 목적 Purpose of Processing Personal Information

서비스는 다음의 목적을 위해 개인정보를 처리합니다. 처리한 개인정보는 다음의 목적 이외의 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우에는 별도의 동의를 받는 등 필요한 조치를 이행합니다.

We process personal information for the following purposes only. If the purpose changes, we will take necessary measures such as obtaining separate consent.

회원가입 및 관리: Google 또는 Kakao OAuth를 통한 소셜 로그인, 회원 식별, 서비스 이용 자격 확인
서비스 제공: 만다라트 목표 관리, 프로젝트, 할일, 루틴, 일기, 회고, 핵심결과(OKR) 등 핵심 기능 제공
Google Calendar 연동 (선택): 사용자가 직접 연동을 요청한 경우에 한해 일정 데이터를 동기화
서비스 개선 및 분석: 앱 사용 패턴 분석, 오류 감지 및 수정, 서비스 품질 향상
인앱 결제 처리 (모바일): 구독 및 결제 관리

Account registration and management: Social login via Google or Kakao OAuth, user identification, and service eligibility verification
Service delivery: Core features including Mandalart goal management, projects, tasks, routines, journals, reflections, and OKR key results
Google Calendar integration (optional): Syncing calendar data only when the user explicitly requests it
Service improvement and analytics: Analyzing usage patterns, detecting and fixing errors, and improving service quality
In-app purchase processing (mobile): Managing subscriptions and payments

제2조 Article 2

처리하는 개인정보 항목 Categories of Personal Information Collected

구분	항목	수집 방법
필수 (OAuth)	이메일 주소, 이름, 프로필 사진 URL	Google / Kakao OAuth 로그인 시 자동 제공
사용자 생성 콘텐츠	만다라트 목표, 프로젝트, 할일, 루틴, 일기, 회고, 핵심결과, 교훈	서비스 이용 중 사용자가 직접 입력
자동 수집 (분석)	기기 정보, 브라우저 정보, 앱 사용 이벤트 (예: 회원가입, 목표 생성, 할일 완료)	Firebase Analytics 자동 수집
오류 정보	오류 로그, 스택 트레이스 (개인 식별 정보 미포함)	Sentry 자동 수집 (PII 수집 비활성화)
선택 (Calendar)	Google Calendar 이벤트 데이터	사용자가 연동 기능을 직접 활성화한 경우에만 수집
모바일 전용	푸시 알림 토큰, 기기 식별 정보, 구독 및 구매 정보	앱 설치 및 결제 시 자동 수집 (RevenueCat)

서비스는 민감정보(건강, 신념, 정치적 견해 등)를 수집하지 않습니다. 일기나 회고에 민감한 내용을 작성하더라도, 해당 내용은 사용자 본인만 접근할 수 있으며 서비스 운영자는 열람하지 않습니다.

Category	Items	Collection method
Required (OAuth)	Email address, name, profile photo URL	Automatically provided via Google / Kakao OAuth login
User-generated content	Mandalart goals, projects, tasks, routines, journal entries, reflections, key results, lessons learned	Entered directly by the user while using the service
Auto-collected (analytics)	Device info, browser info, app usage events (e.g., sign-up, goal created, task completed)	Automatically collected via Firebase Analytics
Error data	Error logs, stack traces (no personally identifiable information)	Automatically collected via Sentry (PII collection disabled)
Optional (Calendar)	Google Calendar event data	Collected only when the user explicitly enables the integration
Mobile only	Push notification tokens, device identifiers, subscription and purchase information	Automatically collected on app install and purchase (RevenueCat)

We do not collect sensitive information (health data, beliefs, political views, etc.). Even if you write sensitive content in your journal or reflections, only you can access it. We do not read your personal entries.

제3조 Article 3

개인정보의 처리 및 보유 기간 Retention Period

서비스는 법령에 따른 개인정보 보유·이용 기간 또는 정보주체로부터 개인정보를 수집 시에 동의받은 개인정보 보유·이용 기간 내에서 개인정보를 처리·보유합니다.

We retain personal information only for the period required by law or agreed upon at the time of collection.

회원 정보: 회원 탈퇴 시까지. 탈퇴 후 즉시 또는 30일 이내 파기
사용자 생성 콘텐츠: 회원 탈퇴 시 함께 삭제
법령에 따른 보관 의무가 있는 경우:
- 전자상거래 등에서의 소비자 보호에 관한 법률: 계약 또는 청약철회 기록 5년, 대금결제 및 재화 공급 기록 5년, 소비자 불만 또는 분쟁처리 기록 3년
- 통신비밀보호법: 로그인 기록 3개월

Account information: Retained until account deletion. Destroyed immediately or within 30 days after withdrawal
User-generated content: Deleted together with the account upon withdrawal
Legally mandated retention:
- Act on Consumer Protection in Electronic Commerce: contract and withdrawal records for 5 years; payment and delivery records for 5 years; consumer complaint records for 3 years
- Protection of Communications Secrets Act: login records for 3 months

제4조 Article 4

개인정보의 제3자 제공 Disclosure to Third Parties

서비스는 원칙적으로 이용자의 개인정보를 제3자에게 제공하지 않습니다. 다만, 다음의 경우에는 예외로 합니다.

We do not share your personal information with third parties as a general rule. Exceptions apply in the following cases.

이용자가 사전에 동의한 경우
법령의 규정에 의거하거나, 수사 목적으로 법령에 정해진 절차와 방법에 따라 수사기관의 요구가 있는 경우
서비스 제공을 위해 불가피하게 필요한 경우로서 이용자의 동의를 받은 경우

The user has given prior consent
Required by law or requested by law enforcement through legally prescribed procedures
Unavoidably necessary for service delivery, with the user's consent

제5조 Article 5

개인정보의 처리 위탁 Outsourcing of Personal Information Processing

서비스는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.

We outsource certain personal information processing tasks to the following third-party service providers to operate the service.

수탁업체	위탁 업무	보유 및 이용 기간
Supabase, Inc.	데이터 저장 및 인증 (PostgreSQL 데이터베이스, OAuth 세션 관리)	회원 탈퇴 시 또는 위탁 계약 종료 시
Google LLC	Firebase Analytics (앱 사용 분석), Google OAuth (소셜 로그인)	수집 후 최대 14개월 (Firebase 기본 설정)
Sentry, Inc.	오류 추적 및 성능 모니터링 (개인 식별 정보 미수집)	오류 발생 후 90일
RevenueCat, Inc.	인앱 결제 및 구독 관리 (모바일 앱 전용)	구독 종료 후 법령이 정한 기간

위탁 계약 시 개인정보보호법 제26조에 따라 위탁업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호조치, 재위탁 제한 등을 계약서에 명시하고 있습니다.

Provider	Purpose	Retention period
Supabase, Inc.	Data storage and authentication (PostgreSQL database, OAuth session management)	Until account deletion or contract termination
Google LLC	Firebase Analytics (usage analysis), Google OAuth (social login)	Up to 14 months after collection (Firebase default)
Sentry, Inc.	Error tracking and performance monitoring (no PII collected)	90 days after the error event
RevenueCat, Inc.	In-app purchase and subscription management (mobile app only)	As required by applicable law after subscription ends

All outsourcing agreements include contractual obligations prohibiting use of personal information beyond the stated purpose, requiring technical and administrative safeguards, and restricting sub-contracting, in accordance with Article 26 of the Personal Information Protection Act.

제6조 Article 6

개인정보의 파기 Destruction of Personal Information

서비스는 개인정보 보유 기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기합니다.

We destroy personal information without delay when it is no longer necessary, such as when the retention period expires or the processing purpose is achieved.

파기 절차: 파기 사유가 발생한 개인정보를 선정하고, 개인정보 보호책임자의 승인을 받아 파기합니다.
전자적 파일 형태: 기술적 방법을 사용하여 복구 및 재생이 불가능한 방법으로 영구 삭제합니다.
회원 탈퇴 시: 탈퇴 요청 즉시 또는 30일 이내에 모든 개인정보 및 사용자 생성 콘텐츠를 삭제합니다. 단, 법령에 따라 보관이 필요한 정보는 별도 보관 후 해당 기간 경과 시 파기합니다.

Destruction procedure: Personal information subject to destruction is identified and destroyed with approval from the Privacy Officer.
Electronic files: Permanently deleted using technical methods that make recovery and restoration impossible.
Upon account deletion: All personal information and user-generated content is deleted immediately or within 30 days of the withdrawal request. Information required to be retained by law is stored separately and destroyed after the applicable period.

제7조 Article 7

정보주체의 권리·의무 및 행사방법 Rights of Data Subjects

이용자는 개인정보주체로서 다음과 같은 권리를 행사할 수 있습니다.

As a data subject, you have the following rights regarding your personal information.

열람 요구: 서비스가 처리하는 본인의 개인정보에 대한 열람을 요구할 수 있습니다.
정정·삭제 요구: 개인정보가 잘못되었거나 불필요한 경우 정정 또는 삭제를 요구할 수 있습니다.
처리 정지 요구: 개인정보의 처리 정지를 요구할 수 있습니다. 단, 법령에 따라 처리가 의무화된 경우에는 처리 정지 요구가 거부될 수 있습니다.
동의 철회: 개인정보 처리에 대한 동의를 언제든지 철회할 수 있습니다.

Right to access: You may request access to the personal information we process about you.
Right to rectification and erasure: You may request correction or deletion of inaccurate or unnecessary personal information.
Right to restriction of processing: You may request that we stop processing your personal information. Requests may be denied where processing is legally required.
Right to withdraw consent: You may withdraw your consent to personal information processing at any time.

권리 행사는 아래 개인정보 보호책임자에게 이메일로 요청하실 수 있으며, 요청 접수 후 10일 이내에 처리 결과를 안내해 드립니다.

To exercise any of these rights, please contact our Privacy Officer by email (see Article 9). We will respond within 10 days of receiving your request.

제8조 Article 8

개인정보의 안전성 확보조치 Security Measures

서비스는 개인정보보호법 제29조에 따라 다음과 같이 안전성 확보에 필요한 기술적·관리적 조치를 하고 있습니다.

We implement the following technical and administrative measures to ensure the security of personal information, in accordance with Article 29 of the Personal Information Protection Act.

암호화: 비밀번호는 저장하지 않으며, OAuth 토큰은 암호화하여 관리합니다.
전송 구간 암호화: 모든 데이터 전송은 SSL/TLS 프로토콜을 통해 암호화됩니다.
접근 권한 관리: Supabase Row Level Security(RLS)를 통해 각 사용자는 본인의 데이터에만 접근할 수 있습니다.
최소 권한 원칙: 서비스 운영에 필요한 최소한의 개인정보만 수집하고, 접근 권한을 최소화합니다.
오류 추적 보안: Sentry 오류 추적 시 개인 식별 정보(PII) 수집을 비활성화하여 오류 로그에 개인정보가 포함되지 않도록 합니다.

Encryption: We do not store passwords. OAuth tokens are encrypted and managed securely.
Encrypted transmission: All data is transmitted over SSL/TLS.
Access control: Supabase Row Level Security (RLS) ensures each user can only access their own data.
Principle of least privilege: We collect only the minimum personal information necessary and restrict access accordingly.
Error tracking security: PII collection is disabled in Sentry so that error logs do not contain personal information.

제9조 Article 9

개인정보 보호책임자 Privacy Officer

서비스는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

We have designated a Privacy Officer responsible for overseeing personal information processing and handling complaints and remedies related to personal information.

책임자

만다로그 운영자

이메일

[email protected]

Privacy Officer

Mandalog Operator

Email

[email protected]

개인정보 침해에 대한 신고나 상담이 필요하신 경우 아래 기관에 문의하실 수 있습니다.

If you need to report a personal information breach or seek further assistance, you may contact the following authorities.

개인정보 침해신고센터: privacy.kisa.or.kr (국번없이 118)
개인정보 분쟁조정위원회: www.kopico.go.kr (1833-6972)
대검찰청 사이버수사과: www.spo.go.kr (국번없이 1301)
경찰청 사이버안전국: cyberbureau.police.go.kr (국번없이 182)

Personal Information Infringement Report Center: privacy.kisa.or.kr (dial 118)
Personal Information Dispute Mediation Committee: www.kopico.go.kr (1833-6972)
Supreme Prosecutors' Office Cyber Investigation Division: www.spo.go.kr (dial 1301)
National Police Agency Cyber Safety Bureau: cyberbureau.police.go.kr (dial 182)

제10조 Article 10

개인정보 처리방침 변경 Changes to This Policy

이 개인정보 처리방침은 2026년 3월 8일부터 적용됩니다. 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 앱 내 공지사항을 통해 고지합니다. 다만, 이용자 권리의 중요한 변경이 있을 경우에는 최소 30일 전에 고지합니다.

This Privacy Policy is effective as of March 8, 2026. If we add, remove, or correct content due to changes in law or policy, we will notify users through in-app announcements at least 7 days before the changes take effect. For significant changes affecting user rights, we will provide at least 30 days' notice.

제11조 Article 11

쿠키 및 자동 수집 장치 Cookies and Automatic Collection

서비스는 이용자에게 개별적인 맞춤서비스를 제공하기 위해 이용 정보를 저장하고 수시로 불러오는 기술을 사용합니다.

We use technologies that store and retrieve usage information to provide a personalized experience.

localStorage 사용:

네비게이션 상태 저장 (현재 페이지, 이전 페이지)
사용자 설정 (언어, 테마 등 UI 환경설정)
개인 식별 정보는 localStorage에 저장하지 않습니다.

Firebase Analytics 쿠키:

Google Firebase Analytics는 앱 사용 패턴 분석을 위해 쿠키 및 유사 기술을 사용합니다.
수집되는 데이터: 세션 정보, 이벤트 데이터, 기기 및 브라우저 정보
개인 식별 정보는 Firebase Analytics에 전송되지 않습니다.

브라우저 설정을 통해 쿠키 저장을 거부할 수 있으나, 이 경우 서비스의 일부 기능이 제한될 수 있습니다.

localStorage usage:

Navigation state (current page, previous page)
User preferences (language, theme, and other UI settings)
No personally identifiable information is stored in localStorage.

Firebase Analytics cookies:

Google Firebase Analytics uses cookies and similar technologies to analyze app usage patterns.
Data collected: session information, event data, device and browser information
No personally identifiable information is sent to Firebase Analytics.

You may refuse cookie storage through your browser settings, but doing so may limit some features of the service.