개인정보 처리방침

제1조 (수집한 개인정보의 수집 및 이용목적)

제2조 (수집하는 개인정보의 항목)

제2조의2 (개인정보의 국내 저장)

이용자의 개인정보 및 서비스 데이터는 대한민국 내에 위치한 서버에 저장·처리되며, 국외로 이전되지 않습니다. 향후 국외 이전이 필요한 경우 관련 법령에 따라 이전 국가, 이전 일시 및 방법, 이전되는 개인정보 항목 등을 사전에 고지하고 이용자의 동의를 받겠습니다.

제3조 (개인정보 수집방법)

회사는 다음과 같은 방법으로 개인정보를 수집합니다.

• 회원가입 및 서비스 이용 과정에서 이용자가 직접 입력
• 서비스 이용 과정에서 자동으로 생성 및 수집 (로그, 접속 정보 등)
• 고객 문의 시 이메일, 전화 등을 통한 수집

제4조 (개인정보의 보유 및 이용기간)

회사가 보유하는 정보는 크게 ① 고객이 서비스에 입력·생성한 업무 데이터와 ② 회사가 서비스 운영·보안을 위해 생성하는 기록으로 나뉘며, 각각 다음과 같이 처리합니다.

※ 위 기간에도 불구하고 관련 법령이 특정 정보의 보존을 요구하는 경우에는 해당 법령이 정한 기간에 따릅니다. 회사는 보유 목적이 달성되었거나 보유 기간이 지난 개인정보를 지체 없이 파기합니다.

제5조 (개인정보의 파기절차 및 방법)

1. 회사는 개인정보 보유 기간이 경과하거나 처리 목적이 달성된 경우 지체 없이 해당 개인정보를 파기합니다.
2. 파기 방법:
   • 전자적 파일: 복원이 불가능한 방법으로 영구 삭제
3. 장기 미이용자 개인정보 파기(휴면 및 삭제):
   • 사업자 대표 계정의 최종 로그인일로부터 180일간 서비스 이용 기록이 없는 경우 해당 계정을 휴면 상태로 전환합니다.
   • 휴면 상태의 계정은 이용자가 정상 비밀번호로 로그인하는 즉시 자동 활성화되며 별도의 본인확인 절차를 거치지 않습니다.
   • 휴면 전환 후 365일(최종 로그인일 기준 약 1년 6개월) 추가로 이용 기록이 없는 경우, 해당 사업자 및 소속 직원의 개인정보와 서비스 내 모든 데이터는 복구 불가능한 방법으로 영구 파기됩니다.
   • 사전 통지: 영구 파기 예정일 30일 전, 14일 전, 7일 전 총 3회에 걸쳐 사전 안내 메일을 발송합니다. 안내 기간 중 1회라도 로그인하시면 휴면 상태가 즉시 해제되고 파기 절차는 중단됩니다.
     ※ 사전 통지는 가입 시 또는 마이페이지에서 등록한 개인 연락 이메일(복구 이메일)로만 발송됩니다. 개인 이메일을 등록하지 않은 경우 통지를 받지 못할 수 있으므로, 마이페이지에서 개인 이메일을 등록·유지해 주시기 바랍니다.
   • 복구 불가: 영구 파기된 데이터는 설계상 어떠한 경우에도 복구되지 않습니다. 백업본 역시 동일 주기로 파기되므로 사후 복원이 불가능합니다.
   • 파기 대상: 사업자·직원 계정 정보, 거래처 정보, 문서·계약서·첨부파일, 전자서명 이미지, 인감 이미지, 서비스 이용 로그 등.
   • 고객의 사업·거래와 관련한 보존 의무는 원칙적으로 고객에게 있으므로, 고객은 파기 전에 필요한 자료를 직접 다운로드·보관하여야 합니다. 관련 법령이 일정 정보의 보존을 요구하는 경우에는 해당 법령에 따릅니다.
   • 이용자는 서비스 이용 중 언제든 본인의 데이터를 다운로드할 수 있습니다.

제6조 (개인정보의 제공 및 공유)

1. 회사는 이용자의 동의 없이 개인정보를 제3자에게 제공하지 않습니다.
2. 다만, 다음의 경우에는 예외로 합니다.
   • 이용자가 사전에 동의한 경우
   • 법령의 규정에 의거하거나, 수사 목적으로 법령에 정해진 절차와 방법에 따라 수사기관의 요구가 있는 경우
3. 수사기관 요청 처리 절차: 회사는 수사기관 등의 개인정보 제공 요청을 받은 경우 다음 절차에 따라 처리합니다.
   • ① 영장 또는 정식 협조공문의 제시를 원칙으로 하며, 형식·요청 범위·적법성을 검토합니다.
   • ② 개인정보 보호책임자(CPO)의 검토·승인 후 최소한의 범위로 제공합니다.
   • ③ 요청 내용·일시·제공 항목을 기록하고 5년간 보존합니다.
   • ④ 제공 사실은 원칙적으로 30일 이내에 해당 이용자에게 통지합니다(단, 수사 방해 우려가 명백하거나 법원·수사기관이 통지 보류를 명한 경우 예외).
4. 전자계약의 경우, 계약 상대방에게 서명자 정보(이름, 이메일)가 계약서 내에 표시될 수 있습니다. 이는 전자계약의 본질적 기능으로서 계약 체결 시 고지됩니다.
5. SaaS 서비스 특성상 각 고객(사업자)의 업무 데이터는 독립된 테넌트에 저장되며, 다른 고객의 데이터와 물리적으로 격리됩니다. 파트너는 자신이 관리하는 고객의 기본 정보(사업자명, 요금제 현황 등)만 열람할 수 있으며, 고객의 업무 데이터(문서 내용 등)에는 접근할 수 없습니다. 적법한 사유(법령상 의무, 시스템 장애 복구, 보안 조사, 이용자의 명시적 지원 요청 등)가 있는 경우에 한해 회사 내부에서 권한을 부여받은 담당자가 본 방침 제8조의 통제 절차와 감사 로그 기록 하에 필요한 최소 범위로 처리합니다.
6. 개인정보 처리위탁: 회사는 현재 이용자의 개인정보 처리를 외부 업체에 전혀 위탁하고 있지 않습니다. 인프라 운영, 데이터 저장, 백업, 인증, 메일 발송 등 모든 핵심 처리를 회사가 직접 운영하는 대한민국 자체 서버실에서 수행합니다.
   • 해외 클라우드 사용 없음: 회사는 AWS, Microsoft Azure, Google Cloud, Oracle Cloud 등 해외 클라우드 인프라를 일체 사용하지 않으며, 모든 데이터는 회사가 소유·운영하는 국내 데이터센터의 물리적 서버에 저장·처리됩니다.
   • 향후 서비스 운영상 외부 업체에 위탁이 필요한 경우, 회사는 다음을 사전에 공지합니다: ① 수탁자 명칭 및 연락처, ② 위탁 업무 내용 및 처리 항목, ③ 위탁 기간, ④ 수탁자 관리·감독 방식.
   • 위탁 대상이 추가·변경·종료될 때마다 본 방침을 갱신하고, 별도 동의가 필요한 사항은 이용자에게 사전 통지·동의를 받습니다.
   • 모든 수탁자와는 개인정보 보호법 제26조에 따른 위·수탁 계약(DPA)을 체결하며, 수탁자의 개인정보 보호 의무 위반에 대한 회사의 책임을 명시합니다.
   • 현재 위탁 처리자 목록: 없음 (자체 운영). 추후 추가 시 본 항목에 명시됩니다.
7. 회사는 향후 이용자에게 부가가치 서비스(세무·회계 연동, 외부 시스템 연계 등)를 제공하기 위하여 이용자의 별도 동의를 받은 후 제3자에게 개인정보를 제공할 수 있습니다. 이 경우 제공 대상, 제공 항목, 이용 목적, 보유 기간을 사전에 고지하며, 동의를 거부하더라도 기본 서비스 이용에는 제한이 없습니다 (단, 해당 부가서비스 이용이 제한될 수 있습니다).
8. 고객이 입력한 제3자 정보의 책임 분배: 이용자가 거래처 등 제3자의 정보를 서비스에 입력·저장·전송하는 경우, 해당 제3자에 대한 동의 확보 등 관련 법령상 의무는 입력 주체인 이용자가 부담하며, 회사는 이용자의 지시에 따라 해당 정보를 보관·처리합니다 (서비스 이용약관 제16조의2 참조).

제7조 (개인정보 자동 수집 장치)

1. 회사는 이용자 인증 및 세션 유지를 위해 필수 쿠키(Cookie)만 사용합니다.
2. 쿠키의 사용 목적:
   • 로그인 세션 유지 (JWT 토큰 저장)
   • 서비스 이용 환경 설정 유지
3. 분석·추적·광고 쿠키 미사용: 회사는 Google Analytics, Meta(Facebook) Pixel, Naver Analytics, Hotjar, Mixpanel 등 어떠한 외부 분석·행동추적·광고 식별 도구도 사용하지 않습니다. 이용자의 사이트 외부 활동을 추적하지 않습니다. 향후 도입 시에는 본 방침을 갱신하고 사전 동의 절차(쿠키 배너 등)를 마련합니다.
4. 회사는 쿠키를 통해 수집한 정보를 개인을 식별하거나 제3자에게 제공하는 용도로 사용하지 않습니다.
5. 이용자는 웹 브라우저의 설정을 통해 쿠키 저장을 거부하거나 삭제할 수 있습니다. 다만, 쿠키를 거부하는 경우 로그인이 필요한 서비스 이용에 제한이 있을 수 있습니다.
6. 쿠키 설정 방법:
   • Chrome: 설정 → 개인정보 및 보안 → 쿠키 및 기타 사이트 데이터
   • Safari: 환경설정 → 개인 정보 보호 → 쿠키 관리
   • Edge: 설정 → 쿠키 및 사이트 권한 → 쿠키 및 사이트 데이터 관리

제8조 (개인정보보호를 위한 기술적/관리적 대책)

회사는 이용자의 개인정보를 안전하게 관리하기 위하여 ISMS-P 관리체계 기준을 준용한 다층(Defense-in-Depth) 보안 체계를 운영하고 있습니다.

제9조 (사용자 및 법정대리인의 권리)

1. 이용자(법정대리인 포함)는 언제든지 자신의 개인정보에 대해 열람, 수정, 삭제, 처리 정지를 요구할 수 있습니다.
2. 아동·미성년자 보호: 본 서비스는 사업자(법인·개인사업자) 대상 B2B 서비스로서, 만 14세 미만 아동의 개인정보를 의도적으로 수집하지 않습니다. 만 14세 미만 아동이 가입한 사실이 확인되는 경우 회사는 즉시 해당 계정 및 수집된 개인정보를 파기합니다. 만 14세 이상 19세 미만 미성년자가 가입하는 경우 법정대리인의 동의가 필수이며, 동의를 확인할 수 없는 계정은 회사가 즉시 탈퇴 처리할 수 있습니다.
3. 개인정보의 열람 및 수정은 서비스 내 "설정" 메뉴에서 직접 처리할 수 있습니다.
4. 개인정보 삭제 또는 처리 정지를 요구하는 경우 이메일(info@treeru.com)로 요청하시면 본인 확인 후 지체 없이 처리합니다.
5. 이용자가 개인정보의 삭제를 요구한 경우, 관련 법령에서 정한 보관 의무가 있는 정보를 제외하고 지체 없이 삭제합니다.
6. 회사는 이용자의 권리 행사에 대해 지체 없이, 늦어도 10일 이내에 조치하고 그 결과를 이용자에게 알립니다.
7. 이용자는 개인정보 침해에 대한 피해구제, 상담 등을 아래 기관에 문의할 수 있습니다.

제10조 (개인정보보호 책임자)

회사는 이용자의 개인정보를 보호하고, 개인정보와 관련한 불만 및 피해 구제를 처리하기 위하여 다음과 같이 개인정보보호 책임자를 지정하고 있습니다.

이용자는 서비스를 이용하면서 발생하는 모든 개인정보보호 관련 문의, 불만 처리, 피해구제 등에 관한 사항을 개인정보보호 책임자에게 문의할 수 있으며, 회사는 이용자의 문의에 대해 지체 없이 답변 및 처리합니다.

제10조의2 (자동화된 의사결정)

1. 회사는 현재 이용자에게 법적 또는 유의미한 영향을 미치는 자동화된 의사결정(프로파일링 포함)을 수행하지 않습니다.
2. 향후 AI/머신러닝을 활용한 자동화된 의사결정 또는 추천 기능(예: 문서 분류, 이상 거래 탐지, 콘텐츠 추천 등)을 도입하는 경우, 회사는 다음을 보장합니다.
   • 도입 사실, 처리 기준·절차, 영향 범위를 사전 고지하고 별도 동의를 받습니다.
   • 이용자는 언제든 해당 기능에 대한 설명 요구·이의 제기·인간 검토 요청이 가능하며, 회사는 합리적 기간 내(통상 영업일 기준 7일 이내)에 응답합니다.
   • 거부 시 동등한 수준의 대안적 처리 방법을 제공하며, 거부를 이유로 서비스 이용을 제한하지 않습니다.
3. 회사는 이용자가 입력·생성한 문서·계약서·메시지 등의 콘텐츠를 이용자의 명시적 별도 동의 없이 AI 모델 학습 데이터로 사용하지 않습니다. 익명화·통계화된 비식별 데이터의 서비스 개선 활용은 본 방침 제1조의 목적 범위에 포함됩니다.

제11조 (고지의무)

1. 이 개인정보 처리방침은 법령, 정책 또는 보안 기술의 변경에 따라 내용이 추가, 삭제 및 수정될 수 있습니다.
2. 개인정보 처리방침이 변경되는 경우 변경 사항과 시행일을 명시하여 시행일 7일 전부터 서비스 내에 공지합니다.
3. 이용자에게 불리한 변경인 경우 시행일 30일 전부터 공지하며, 이메일 등의 방법으로 개별 통지합니다.