1. 수집하는 개인정보
| 구분 | 수집 항목 | 수집 방법 |
|---|---|---|
| 필수 | 이름, 이메일, 비밀번호, 휴대폰 번호 | 회원가입 |
| 학원 정보 | 학원명, 사업자등록번호, 주소 | 학원 등록 |
| 소셜 로그인 | 이름, 이메일, 프로필 이미지 | Google 계정 연동 |
| 학원이 등록하는 정보 | 학생·학부모 이름, 휴대폰, 학교/학년, 출결, 성적, 수납 내역 등 | 학원이 직접 입력 |
| 자동 수집 | IP주소, 접속기록, 쿠키, 기기정보 | 서비스 이용 시 |
2. 수집 및 이용 목적
- 회원 식별 및 학원관리시스템 서비스 제공
- 학원 단위 권한 관리 및 데이터 격리
- 결제·정산·세금계산서 발행
- 서비스 이용 통계 및 분석
- 고객 문의 응대 및 공지사항 전달
- 서비스 개선 및 신규 기능 개발
- 부정 이용 방지 및 보안 사고 대응
3. 보유 및 이용기간
회원 탈퇴 시 즉시 파기 (단, 아래 예외 사항 제외)
전자상거래법: 계약/청약철회 기록 5년, 소비자 불만 기록 3년
통신비밀보호법: 로그인 기록 3개월
국세기본법: 세금계산서 등 거래 증빙 5년
부정 이용 방지: 부정 이용 기록 1년
4. 개인정보 파기 절차 및 방법
회원 탈퇴 요청 또는 보유기간 경과 시 즉시 파기를 원칙으로 합니다. 파기 사유가 발생한 개인정보는 별도 DB로 옮겨 내부 방침 및 관련 법령에 따라 일정 기간 보관 후 파기됩니다.
- 전자적 파일 형태: 복구 및 재생이 불가능한 방법으로 영구 삭제
- 종이 문서: 분쇄기로 분쇄 또는 소각
5. 만 14세 미만 아동 정보 처리
학원관리시스템 특성상 만 14세 미만 아동의 정보(학생 정보)는 학원이 직접 등록·관리합니다. 학원은 학생 본인 또는 법정대리인의 동의를 받아 정보를 등록할 책임이 있으며, 회사는 이를 학원으로부터 위탁받아 처리합니다. 회사는 만 14세 미만 아동을 직접 회원으로 가입시키지 않습니다.
6. 제3자 제공
Xamfinity는 원칙적으로 이용자의 동의 없이 개인정보를 제3자에게 제공하지 않습니다. 다만, 법령에 의거하여 요청받은 경우는 예외로 합니다.
7. 처리 위탁
| 수탁업체 | 위탁 업무 |
|---|---|
| (주)아이티이지 | 서비스 호스팅 및 데이터베이스 운영 |
| Google LLC (Firebase) | 회원 인증 |
| Google LLC (Gemini) | AI 문항 OCR·분석·생성 |
| 국세청 홈택스 | 사업자등록번호 진위 확인 |
8. 개인정보의 국외 이전
서비스 운영을 위해 일부 개인정보가 국외 수탁업체에 이전됩니다. 이전 사실에 대한 동의는 회원가입 시 일괄 받습니다.
| 이전 받는 자 | 이전 국가 | 이전 항목 | 목적·기간 |
|---|---|---|---|
| Google LLC (Firebase) | 미국 | 이메일, 인증 토큰 | 회원 인증 처리 (회원 탈퇴 또는 위탁계약 종료 시까지) |
| Google LLC (Gemini) | 미국 | 학원이 업로드한 시험지·해설지 이미지(개인 식별 정보 미포함) | AI OCR·문항 분석·생성 (요청 처리 직후 폐기, 학습 데이터로 미사용) |
이전 방식: HTTPS 암호화 통신을 통한 네트워크 전송
9. 학원 데이터 처리
학원이 등록한 학생·학부모 정보는 해당 학원의 데이터로 분류되며, 학원 단위로 격리되어 다른 학원이 접근할 수 없습니다. 학원은 본인 또는 법정대리인의 동의를 받아 이러한 정보를 등록할 책임이 있으며, 회사는 이를 학원 운영 목적으로만 위탁받아 처리합니다.
10. 이용자의 권리
이용자는 언제든지 다음의 권리를 행사할 수 있습니다:
열람 요구
수집된 개인정보 열람
정정 요구
잘못된 정보 수정
삭제 요구
불필요한 정보 삭제
처리정지 요구
개인정보 처리 중단
11. 쿠키 정책
Xamfinity는 서비스 이용 편의를 위해 쿠키를 사용합니다. 쿠키는 자동 로그인, 사용자 환경설정 유지 등에 활용됩니다. 이용자는 브라우저 설정을 통해 쿠키 허용 여부를 선택할 수 있습니다.
12. 보호 조치
- Firebase Authentication을 통한 안전한 회원 인증
- SSL/TLS 암호화 통신
- 학원 단위 데이터 격리 (Application 레벨 권한 검증)
- 접근 권한 최소화 정책
- 정기적 보안 점검 및 취약점 진단
- 개인정보 접근 로그 관리
13. 처리방침 변경
본 개인정보처리방침이 변경될 경우, 변경사항을 시행 7일 전 서비스 내 공지사항을 통해 고지합니다. 다만 수집 항목·이용 목적·제3자 제공 등 이용자 권리에 중대한 변경이 있는 경우에는 시행 30일 전 고지합니다.