개인정보 처리방침

English

최종 업데이트: 2026년 5월 14일

본 한국어 처리방침은 편의를 위한 번역본입니다. 영문본이 정본이며, 본 한국어 번역과 영문본 사이에 차이가 있는 경우 영문본이 우선합니다.

본 개인정보 처리방침은 Candyll 이 candyll.com 웹사이트, 모바일 애플리케이션, 관련 서비스(이하 "서비스" 또는 "플랫폼") 이용 시 귀하의 개인정보를 어떻게 수집·이용·공개· 보호하는지 설명합니다. 본 방침은 캐나다 개인정보보호 및 전자문서법 ("PIPEDA") 및 브리티시컬럼비아주 개인정보보호법 ("BC PIPA") 의 적용 시 이를 준수하도록 설계되었습니다. 서비스 이용으로 귀하는 본 방침에 동의합니다.

1. 책임 주체

Candyll("당사")은 당사의 보관·관리 하에 있는 개인정보의 처리를 책임지는 조직(organization)입니다. 당사는 본 방침 및 관련 법령 준수를 감독할 개인정보 책임자(Privacy Officer)를 지정하였습니다. 연락처: privacy@candyll.com.

2. 수집 정보

당사는 서비스 제공·개선에 합리적으로 필요한 정보만을 수집합니다.

  • 계정 정보: 이메일 주소, 비밀번호(인증 제공자가 솔트 처리한 해시로만 저장), 표시 이름, 선택적 아바타 URL, 언어 선호, 가입 시각.
  • 인증 데이터: 본인 확인용 일회용 이메일 코드 (OTP) 및 인증 토큰. OTP 는 짧은 유효기간 후 폐기됩니다.
  • 사장님 정보(사장님만 해당): 사업체 명칭, 사업자번호, 사업장 주소, 전화번호, 영업시간, 로고·커버 이미지, 웹사이트·SNS 핸들, 제공 시 GST/PST 등록 정보.
  • 활동 데이터: 예약, 카트 내용, 즐겨찾기, 작성한 리뷰·평점, 슬롯 부킹, 취소 이력, 신뢰 점수·등급, 수신 알림.
  • 위치 정보: 근처 딜·매장 표시를 위해 사용되는 대략 또는 정밀 디바이스 위치 — 귀하가 명시적으로 활성화한 경우에 한함. 백그라운드 추적을 하지 않으며 위치 이력을 저장하지 않습니다.
  • 디바이스·이용 데이터: IP 주소, 디바이스 유형, OS, 앱 버전, 브라우저, 언어, 익명 식별자, 크래시 로그, 보안· 사기 방지·안정성을 위한 기본 이용 메트릭.
  • 푸시 알림 토큰: 옵트인 시 딜 업데이트·리마인더 전송용 푸시 토큰.
  • 통신: 지원·보안·개인정보 메일함으로 보내신 메시지.

당사는 정부 발급 신분증, 신용카드 번호, 사회보장번호, 생체 정보, 건강 정보, 성적 지향, 종교적 신념 등 민감 범주 개인정보는 수집하지 않습니다.

3. 수집 방법

  • 직접 수집: 계정 생성, 딜 등록, 예약, 리뷰 작성, 문의 시.
  • 자동 수집: 서비스 사용 중 디바이스를 통해 (크래시 로그, IP 주소, 동의한 경우의 위치 등).
  • 서비스 제공자로부터: 인증, 이메일 발송, 호스팅, 푸시 알림을 지원하는 제공자.

4. 수집 목적

당사는 다음 목적에 한하여 개인정보를 이용합니다:

  • 본인 인증 및 계정 운영.
  • 근처·선호에 맞는 딜 표시.
  • 예약·슬롯 부킹의 사장님과의 처리·조율.
  • 신뢰 점수·등급·절약 이력 산출·표시.
  • 사장님이 예약을 관리하고 픽업을 확인하도록 지원.
  • 거래 관련 통신(예약 확인, 픽업 리마인더, OTP 코드, 정책 변경, 보안 공지).
  • 옵트인 및 CASL 허용 범위 내 마케팅 통신.
  • 사기·보안 사고·악용·이용약관 위반의 탐지·예방·조사·대응.
  • 개인 식별 불가한 집계 분석을 통한 서비스 개선·개발.
  • 법적 의무 이행, 적법 요청 대응, 당사·타인 권리 보호.

새로운 목적으로의 이용은 동의 또는 적법 근거 없이 하지 않습니다.

5. 법적 근거 (동의)

당사는 주로 계정 생성·이용약관 수락 시 부여된 동의에 근거하여 개인정보를 수집·이용·공개합니다. 위치 접근, 푸시 알림 등 필요한 경우 추가 명시 동의를 받습니다. PIPEDA 와 BC PIPA 가 허용하는 경우 동의 외 적법 근거(귀하와의 계약 이행, 법적 의무 준수, 사기 방지·보안 등 정당한 사업상 이익)에도 의존할 수 있습니다.

귀하는 개인정보 책임자에게 연락하여 언제든 동의를 철회할 수 있으며, 법적·계약적 제한 및 합리적 통지 의무가 적용됩니다. 동의 철회는 서비스 일부 또는 전부의 제공을 제한할 수 있습니다.

6. 사장님에게 공개

귀하가 딜에 참여하거나 슬롯을 예약할 때, 예약 이행에 필요한 정보 (표시 이름, 예약 시각, 수량, 슬롯 시간(해당 시), 픽업 상태)만 사장님과 공유합니다. 비밀번호, 이메일 주소(귀하가 사장님에게 직접 연락하는 경우 제외), 결제 정보, 푸시 토큰, 정밀 위치는 사장님과 공유하지 않습니다.

귀하가 작성한 리뷰는 공개되며 표시 이름과 함께 표시됩니다. 민감한 개인정보는 리뷰에 포함하지 마십시오.

7. 서비스 제공자

당사는 다음 서비스 제공자(데이터 처리자)를 사용하며, 각자 계약상 개인정보·보안 의무를 부담합니다.

  • Supabase — 인증 및 주 데이터베이스 호스팅 (캐나다·미국).
  • Cloudflare — 웹 호스팅(Workers/Pages), DNS, CDN, 이메일 라우팅, DDoS 보호 (전 세계).
  • Resend — 발신 거래 이메일 (미국).
  • Expo / Apple / Google — 모바일 푸시 알림 전송 (미국·전 세계).
  • OpenFreeMap — 공개 지도 타일 렌더링 (유럽; 계정·로그인 없음).

이들 제공자는 당사 지시에 따라, 서비스 운영의 제한된 목적으로만 정보를 처리합니다.

8. 국외 이전

일부 서비스 제공자는 캐나다 외(주로 미국·유럽)에 위치합니다. 개인 정보가 다른 관할로 이전·저장될 경우, 정부 접근을 허용하는 법령 등 해당 관할 법률의 적용을 받을 수 있습니다. 당사는 동등 이상의 계약상 보호와 업계 표준 암호화(전송·저장)를 제공하는 제공자만 사용합니다. 서비스 이용으로 귀하는 이러한 국경 간 이전에 인지· 동의합니다.

9. 기타 공개

법령이 허용·요구하는 경우 추가 동의 없이 다음과 같이 공개할 수 있습니다:

  • 캐나다 법원·관할 당국의 적법한 명령·소환·영장·기타 법적 절차;
  • 사기·보안 사고·안전 위협 또는 이용약관 위반의 조사·예방·조치;
  • 법적 청구의 수립·행사·방어;
  • 합병·인수·자금 조달·자산 매각·도산 — 이 경우 법령이 요구하는 범위에서 통지 및 보호 지속을 제공;
  • 특정 개인을 식별할 수 없는 집계·비식별 형태.

당사는 개인정보를 제3자에게 판매하지 않으며, 크로스 컨텍스트 행동 광고를 하지 않습니다.

10. 쿠키 및 유사 기술

당사 웹사이트는 인증·세션·언어 선호·CSRF 보호를 위한 필수 쿠키만 사용합니다. 광고 쿠키나 제3자 추적 픽셀은 사용하지 않습니다. 브라우저 설정에서 쿠키를 차단할 수 있으나, 로그인 또는 일부 기능 사용이 제한될 수 있습니다.

11. 푸시 알림·마케팅 (CASL)

거래 알림(계정 인증, 예약 확인, 픽업 리마인더, 보안 경고)은 귀하가 요청한 서비스 제공에 필요하므로 CASL 동의 요건의 적용을 받지 않습니다. 마케팅 통신은 명시적 옵트인 동의가 있는 경우에만 발송되며 매 메시지에 수신 거부 수단이 포함됩니다. 마케팅 동의는 언제든 거래 메시지·계정에 영향을 주지 않고 철회할 수 있습니다.

12. 보유 기간

당사는 위 목적상 합리적으로 필요한 기간 및 법적·회계·보고 의무 이행에 필요한 기간만 개인정보를 보유합니다.

  • 활성 계정 데이터: 계정 존속 기간 동안 보유.
  • 계정 삭제 시: 식별 개인정보는 30일 이내에 삭제 또는 익명화. 다만 법적·세무·사기 방지·분쟁 해결을 위해 보존이 필요한 경우는 제외.
  • 비식별 집계 데이터는 무기한 보유 가능.
  • 귀하가 작성한 리뷰는 공개 평점의 무결성 유지를 위해 계정 삭제 후 에도 익명화(표시 이름 제거) 형태로 노출될 수 있습니다 (법령상 삭제가 요구되는 경우 제외).
  • 서버 로그(IP, 요청 메타데이터)는 보안·안정성을 위해 통상 30–90일 보유 후 삭제.

13. 안전조치 (보안)

당사는 정보의 민감도에 적합한 관리적·기술적·물리적 안전조치를 적용합니다:

  • 전송 중 TLS 암호화 및 저장 데이터 암호화;
  • 데이터베이스의 Row-Level Security 및 최소 권한 접근 제어;
  • 비밀번호 해싱(평문 저장·전송 금지);
  • 직원 접근 권한은 필요 최소;
  • CSP, HSTS, 민감 경로 미들웨어 인증;
  • 의심 활동 로깅·모니터링 및 사고 대응 절차.

어떠한 전송·저장 방법도 100% 안전하지 않습니다. 당사는 절대적 보안을 보증할 수 없습니다. 실질적·중대한 피해 위험을 수반하는 보안 사고를 인지하면, 영향 받는 개인 및 관련 법령이 요구하는 경우 캐나다 개인정보보호위원회(OPC) 및/또는 BC 정보·개인정보 보호위원회(OIPC BC)에 통지합니다.

14. 아동 및 미성년자

본 서비스는 16세 미만을 대상으로 하지 않습니다. 당사는 16세 미만 으로부터 개인정보를 수집하지 않습니다. 미성년자가 정보를 제공한 것으로 의심되는 경우 개인정보 책임자에게 연락하시면 합리적 절차로 삭제하겠습니다.

15. PIPEDA 및 BC PIPA 상의 권리

귀하는 다음 권리를 가집니다:

  • 접근 — 당사가 보유한 귀하의 개인정보를 조회하고 합리적으로 가능한 한 이동 가능한 형식의 사본을 받을 권리;
  • 정정 — 부정확·불완전한 개인정보의 정정;
  • 동의 철회 — 법적·계약적 제한이 적용됨;
  • 계정 삭제 계정 설정 또는 개인정보 책임자에 요청;
  • 고지 요구 — 정보가 어떻게 이용·공개되었는지에 대한 고지;
  • 이의 제기 — 본 방침 및 관련 법령 준수에 대한 이의.

검증된 요청에 대해 30일 이내에 응답하거나, 필요한 경우 PIPEDA 기한에 따라 연장 사유를 제시합니다. 무단 접근 방지를 위해 본인 확인을 요구할 수 있습니다. 사전 서면 통지 후 최소 비용 회수 수수료가 부과될 수 있습니다.

16. 자동화 의사결정

당사는 과거 활동(노쇼, 완료, 취소)으로부터 신뢰 점수를 산출하고 딜을 표시 정렬·랭킹하는 제한된 자동 처리를 사용합니다. 사람의 감독 없이 귀하에게 법적 또는 그에 준하는 중대한 효과를 초래하는 결정을 자동 시스템으로 내리지는 않습니다. 계정에 영향을 미치는 신뢰 점수 결정에 대해 사람의 재검토를 요청할 수 있습니다.

17. 권리 행사 방법

요청을 privacy@candyll.com으로 본인 식별 및 대상 정보 파악에 충분한 정보와 함께 보내주십시오. 본인 확인을 위한 추가 정보를 요청할 수 있습니다.

18. 민원

당사 응대에 만족하지 않으시면 다음 기관에 민원을 제기할 수 있습니다:

  • 캐나다 개인정보보호위원회 (OPC): priv.gc.ca, 1-800-282-1376.
  • BC 정보·개인정보 보호위원회 (OIPC BC): oipc.bc.ca.

19. 제3자 링크

서비스는 제3자 웹사이트 또는 서비스로 연결될 수 있습니다. 해당 사이트는 별도의 개인정보 처리방침을 가지며 당사는 이를 통제·책임 지지 않습니다. 별도 검토 바랍니다.

20. 본 방침의 변경

당사는 법령·기술·실무 변화에 따라 본 방침을 수시로 갱신할 수 있습니다. 갱신본은 새로운 "최종 업데이트" 일자와 함께 게시되며, 중대한 변경에는 이메일 또는 인앱 메시지 등으로 합리적 통지가 제공됩니다. 시행일 이후 서비스 사용 계속은 갱신본에 대한 동의로 간주됩니다.

21. 문의처

개인정보 책임자
privacy@candyll.com
보안 이슈: security@candyll.com

본 처리방침은 PIPEDA·BC PIPA 의 선의의 이행을 의도합니다. 법률 자문이 아니며, 실 운영 적용 전 캐나다 개인정보 변호사의 검토를 권장합니다.