개인정보처리방침

1. 개인정보 처리자 (Data Controller)

EU 일반 개인정보 보호법(GDPR)에 따른 본 서비스의 개인정보 처리자는 아래와 같습니다.

Lukas Kaeb
Eisenacher Straße 1
96450 Coburg
독일 (Germany)
이메일: hello@leeway.website

GDPR 제37조에 따른 의무가 발생하지 않아 별도의 개인정보 보호책임자 (DPO)를 두고 있지 않습니다. 개인정보 관련 문의는 위 이메일로 연락 주시기 바랍니다.

2. 수집하는 정보와 그 이용 목적

계정 정보

회원 가입 시 이메일 주소, 이름, 비밀번호 해시값, 역할(학생·튜터· 학부모·관리자)을 저장합니다. 이는 계정 운영을 위한 필수 정보입니다 (GDPR 제6조 (1) (b) — 계약 이행).

학습 콘텐츠

과제 제출물, 글·음성 피드백, 성적, 업로드 파일 (PDF·이미지·Word· 오디오), 시험 결과, 학습 패키지, 알림 등을 튜터링 서비스 제공을 위해 저장합니다 (제6조 (1) (b)).

캘린더 연동 (선택)

구글 계정을 연결해 수업을 동기화하시는 경우, 암호화된 refresh token (저장 시 AES-256-GCM 적용), 연결된 구글 이메일, 수업 이벤트 ID를 저장합니다. 필요한 권한은 calendar.events 범위로 한정되어 있습니다. 법적 근거는 동의(제6조 (1) (a))이며, 튜터 설정 화면에서 언제든 연결을 해제하실 수 있고 해제 즉시 토큰을 파기합니다.

감사 로그

보안과 책임 추적을 위해 민감한 행위(로그인, 권한 변경, 삭제, 음성 메모 업로드)에 대한 내부 로그를 보관합니다. 법적 근거는 부정 사용 방지 및 보안 의무 이행이라는 정당한 이익입니다 (제6조 (1) (f)).

오류 보고

오류 발생 시 Sentry로 보고를 전송합니다. 이메일·이름·토큰·쿠키· 쿼리 문자열 등의 개인 식별자는 전송 전에 제거됩니다. 사용자 ID와 역할만 첨부되어, 회원님이 조사를 요청하실 때 해당 보고와 계정을 연결할 수 있도록 합니다.

쿠키와 추적

마케팅 페이지에서는 마케팅 쿠키, 광고 추적, 제3자 분석을 사용하지 않습니다. 앱 내부에서는 NextAuth가 로그인 세션 쿠키를 사용합니다. 이는 필수 쿠키로서 ePrivacy 지침상 별도 동의가 필요하지 않습니다.

3. 수탁자 및 제3자 수령인

GDPR 제28조에 따른 데이터 처리 위탁 계약을 체결한 수탁자는 아래와 같습니다.

• Supabase (데이터베이스·파일 저장·엣지 함수) — EU 리전. 계정·제출물·감사 데이터를 저장합니다.
• Vercel (호스팅·서버리스 컴퓨팅) — EU·미국 엣지 노드. 요청 데이터를 처리합니다.
• Resend (트랜잭션 이메일 발송) — 미국 소재. 알림 이메일을 발송합니다. 미국으로의 이전은 EU-US Data Privacy Framework 또는 표준계약조항(SCC)을 근거로 합니다.
• Google LLC (Calendar API, Gemini AI 비전) — 미국 소재. 캘린더 연동을 선택하시거나 튜터가 업로드 파일에 대해 AI 보조 피드백 초안 기능을 사용할 때에 한해 이용됩니다. 이전은 EU-US Data Privacy Framework에 근거합니다.
• DeepSeek (AI 피드백 초안) — 중화인민공화국 소재. 튜터가 DeepSeek을 이용해 피드백 초안을 생성하기로 선택한 경우, 해당 제출물 텍스트가 DeepSeek로 전송됩니다. 현재 중국은 GDPR 적정성 결정 대상 국가가 아니며, 이전은 표준계약조항(SCC)과 추가적인 보호조치를 근거로 합니다. 튜터는 이 기능을 통해 제3자의 개인정보를 전송하지 않도록 유의해야 합니다.
• Sentry (오류 추적) — 미국 소재. SCC/DPF에 따라 이전. 식별 정보가 제거된 오류 데이터만 전송됩니다.
• Upstash (요청 제한 저장소) — EU 리전. 일시적인 카운터만 저장하며 개인 콘텐츠는 보관하지 않습니다.

저희는 개인정보를 판매하거나 임대하지 않으며, 법적 의무가 있는 경우에 한해서만 관계 당국과 공유합니다.

4. 아동의 개인정보

Bomi Academy는 주로 튜터와 그 학생이 이용하며, 학생 중에는 미성년자가 포함될 수 있습니다. 학생이 만 16세 미만인 경우, 독일 연방데이터보호법(BDSG) 제22조 및 GDPR 제8조에 따라 친권자 (보호자)의 동의가 처리의 법적 근거가 됩니다.

실무상 튜터가 학생 또는 학부모를 초대하여 계정이 생성되며, 미성년자의 이용은 친권자의 동의가 있다는 전제 위에서 이루어집니다. 학부모(법정대리인)는 아래의 모든 GDPR 권리를 자녀를 대신하여 행사할 수 있습니다.

5. 보유 기간

• 계정 정보: 회원 자격이 유지되는 기간 및 분쟁 대응·부정 사용 방지를 위해 탈퇴 후 최대 90일.
• 제출물 및 피드백: 튜터·학생 관계가 유지되는 기간. 튜터는 개별 제출물을 삭제할 수 있으며, 학생이 그룹을 나가면 해당 그룹과 연결된 정보는 보유하지 않습니다.
• 감사 로그: 12개월.
• 백업: 30일 롤링 백업.
• 세무 관련 기록: 독일 조세기본법(AO) 제147조에 따라 10년.

6. 회원님의 권리

GDPR에 따라 회원님은 다음의 권리를 가집니다.

• 열람권 — 저희가 보유한 개인정보의 열람 (제15조)
• 정정권 — 부정확한 정보의 정정 (제16조)
• 삭제권 (잊혀질 권리) — 요건 충족 시 삭제 (제17조)
• 처리 제한권 — 처리의 제한 (제18조)
• 이동권 — 구조화된 기계 판독 가능 형식의 이동성 (제20조)
• 이의제기권 — 정당한 이익에 기반한 처리에 대한 이의 (제21조)
• 동의 철회권 — 언제든 동의를 철회할 수 있으며, 과거 처리의 적법성은 영향을 받지 않습니다 (제7조 (3)).

위 권리 행사는 hello@leeway.website로 이메일을 보내시면 됩니다. 저희는 30일 이내에 답변드립니다.

감독기관에 진정을 제기할 권리도 가지십니다. 저희 사업장 관할 감독기관은 다음과 같습니다.

Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Postfach 31 63
65021 Wiesbaden
https://datenschutz.hessen.de

7. 보안

전송 구간에는 TLS, 저장 구간에는 민감 필드 (예: OAuth refresh token)에 AES-256-GCM, 비밀번호에는 bcrypt 해시, 인증 엔드포인트에 요청 제한, 표준 보안 헤더 (CSP·HSTS·X-Frame-Options 등)를 적용합니다. 애플리케이션 레벨의 권한 제어를 통해 한 튜터의 데이터가 다른 튜터에게 노출되지 않도록 합니다.

8. 국외 이전

개인정보가 EEA 외부로 이전되는 경우 (예: Vercel·Resend·Google· Sentry 등 미국 소재 수탁자), EU-US Data Privacy Framework 또는 EU 표준계약조항(SCC) 및 적절한 보충적 조치에 따라 이전합니다.

9. 본 방침의 변경

처리 방식이 변경되는 경우 본 방침을 업데이트할 수 있습니다. 현재 버전의 적용 일자는 아래에 표시되며, 중요한 변경 사항은 시행 14일 이전에 앱 내 알림 또는 이메일을 통해 안내드립니다.