1.개인정보 수집 및 이용 목적
쿤스튜디오(이하 "회사")는 「개인정보 보호법」 제15조 및 제17조에 따라 다음의 목적을 위하여 개인정보를 수집·이용합니다. 처리 목적이 변경되는 경우에는 별도의 동의를 받습니다.
| 이용 목적 | 세부 내용 |
|---|---|
| 회원 가입 및 관리 | 본인 식별·인증, 회원자격 유지·관리, 부정이용 방지, 각종 고지·통지, 고충 처리 |
| 서비스 제공 | 종합소득세 환급 조회·신청 대행, 의료비·통신비 번들 환급, 절세 컨설팅 |
| 대금 결제·정산 | 수수료 청구, 환급금 입금 확인, 환불 처리 |
| 고객 상담 | 이메일 문의 응대, 분쟁 처리 |
| 마케팅·광고 (선택) | 신규 서비스 안내, 이벤트 정보 제공 (별도 동의 시에만) |
2.수집하는 개인정보 항목
가. 회원가입 시 (필수)
- 성명, 이메일, 휴대전화번호, 비밀번호
- 서비스 이용기록, 접속 로그, IP 주소, 쿠키, 기기정보(OS·브라우저)
나. 환급 신청 시 (필수)
- 주민등록번호 — CODEF 인증 API 호출 시점에만 일시 사용. 회사 서버에 저장하지 않음.
- 환급금 수령 계좌 정보(은행명, 계좌번호, 예금주)
- 국세청 홈택스 인증 정보 (CODEF API 경유 임시 처리)
다. 부가 서비스 (선택)
- 의료비 사용 내역, 통신비 납부 내역
- 소득증빙 자료(원천징수영수증, 사업소득명세 등)
라. 자동 수집 항목
- 접속 IP, 쿠키, 방문 기록, 기기 식별자, 광고 식별자(선택 동의 시)
3.개인정보의 보유 및 이용 기간
회사는 법령에 따른 보존 의무가 있는 경우를 제외하고, 회원 탈퇴 시 개인정보를 지체 없이 파기합니다.
| 구분 | 보유 기간 | 근거 법령 |
|---|---|---|
| 회원 정보 | 회원 탈퇴 시까지 | 이용계약 |
| 주민등록번호 | 저장하지 않음 (즉시 파기) | 개인정보 보호법 §24의2 |
| 계약·청약철회 기록 | 5년 | 전자상거래법 §6 |
| 대금결제·재화공급 기록 | 5년 | 전자상거래법 §6 |
| 소비자 불만·분쟁처리 기록 | 3년 | 전자상거래법 §6 |
| 표시·광고 기록 | 6개월 | 전자상거래법 §6 |
| 접속 로그·접속IP 기록 | 3개월 | 통신비밀보호법 §15의2 |
| 전자금융 거래 기록 | 5년 | 전자금융거래법 §22 |
| 세금계산서·신고자료 | 5년 | 국세기본법 §85의3 |
4.개인정보의 제3자 제공
회사는 정보주체의 개인정보를 제1조의 목적 범위 내에서만 처리하며, 정보주체의 동의 또는 법령에 근거한 경우 외에는 외부에 제공하지 않습니다.
| 제공받는 자 | 제공 목적 | 제공 항목 | 보유·이용 기간 |
|---|---|---|---|
| 한국신용정보원 (CODEF) |
홈택스 인증·데이터 조회 대행 | 성명, 주민등록번호(즉시 폐기), 인증서 정보 | 인증 처리 즉시 폐기 |
| 국세청 (홈택스) |
종합소득세 환급 신청 처리 | 성명, 주민등록번호, 신고 자료, 환급계좌 | 국세기본법에 따른 보존 |
회원은 개인정보 제3자 제공에 대한 동의를 거부할 수 있으나, 거부 시 환급 대행 서비스 이용이 제한됩니다.
5.개인정보 처리 위탁
회사는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있으며, 위탁 계약 시 「개인정보 보호법」 제26조에 따라 개인정보가 안전하게 관리되도록 필요한 사항을 규정하고 있습니다.
| 수탁자 | 위탁 업무 | 처리 국가 | 이전 근거 |
|---|---|---|---|
| Vercel Inc. | 웹사이트·API 서버 호스팅 (Edge·Serverless) | 미국 | 표준계약조항(SCC) — 개인정보 보호법 §28의8 |
| Supabase Inc. | 데이터베이스(PostgreSQL) 운영, 인증 토큰 저장 | 한국 또는 미국 (회원 가입 리전 선택) | 표준계약조항(SCC) |
| 한국신용정보원 | CODEF 인증 API 운영 | 대한민국 | 국내 위탁 |
| 토스페이먼츠 등 (결제 시점에 추가 시 공지) |
결제 처리, 카드 인증, 매출 정산 | 대한민국 | 국내 위탁 |
국외 이전이 발생하는 위탁의 경우 회사는 「개인정보 보호법」 제28조의8에 따라 표준계약조항(SCC)을 체결하여 동등한 수준의 개인정보 보호 조치를 확보합니다.
6.정보주체의 권리·의무 및 행사 방법
정보주체는 회사에 대해 언제든지 다음 권리를 행사할 수 있습니다.
- 개인정보 열람 요구 (개인정보 보호법 §35)
- 오류 등이 있을 경우 정정 요구 (§36)
- 삭제 요구 (§36) — 다른 법령에서 수집을 명시한 경우 제외
- 처리정지 요구 (§37)
- 개인정보 처리에 대한 동의 철회, 회원 탈퇴
위 권리는 이메일(ghdejr11@gmail.com) 또는 서비스 내 "회원 정보" 메뉴를 통해 행사할 수 있으며, 회사는 정당한 사유가 없는 한 지체 없이 조치합니다.
만 14세 미만 아동의 경우 법정대리인이 권리를 대리 행사할 수 있습니다.
7.개인정보의 안전성 확보 조치
회사는 「개인정보 보호법」 제29조 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시)에 따라 다음의 조치를 시행하고 있습니다.
가. 관리적 조치
- 개인정보 처리 내부관리계획 수립·시행
- 개인정보 취급자 대상 정기 교육
- 개인정보 처리시스템 접근 권한 최소화
나. 기술적 조치
- 전송 구간 암호화 — 전 구간 TLS 1.3 (HTTPS) 적용
- 저장 데이터 암호화 — AES-256 (비밀번호는 단방향 해시)
- 주민등록번호 비저장 — CODEF API 호출 시 메모리에서만 일시 처리, 즉시 폐기
- 개인정보 처리시스템 접근 통제 (IP 화이트리스트, VPN)
- 관리자 계정 2단계 인증(2FA) 의무화
- 해킹 대비 침입 차단·탐지 시스템(WAF) 운영
- 개인정보 처리시스템 접속 기록 최소 1년 이상 보관
- 백신 프로그램 설치·업데이트
다. 물리적 조치
- 전산실·자료보관실의 출입 통제 (수탁자 시설 기준)
8.개인정보 보호책임자
회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
| 구분 | 내용 |
|---|---|
| 성명 | 홍덕훈 |
| 직위 | 대표 |
| 소속 | 쿤스튜디오 |
| 이메일 | ghdejr11@gmail.com |
| 전화 | (추후 등록) |
개인정보 침해에 대한 신고나 상담이 필요한 경우 아래 기관에 문의하실 수 있습니다.
- 개인정보 침해신고센터 (한국인터넷진흥원): 국번없이 118 · privacy.kisa.or.kr
- 개인정보 분쟁조정위원회: 1833-6972 · www.kopico.go.kr
- 대검찰청 사이버수사과: 1301 · www.spo.go.kr
- 경찰청 사이버수사국: 182 · ecrm.police.go.kr
9.개인정보 처리방침의 변경
- 본 개인정보처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 공지사항을 통하여 고지합니다.
- 개인정보의 수집·이용·제공 등에 관한 동의 내용을 변경하거나 회원에게 불리한 내용으로 변경하는 경우에는 시행 30일 전부터 고지하고 별도의 동의를 받습니다.
10.시행일
본 개인정보처리방침은 2026년 4월 26일부터 시행됩니다.