개인정보 처리방침
본 방침은 Calmauria(이하 “Calmauria”, “당사”)가 calmauria.com 웹사이트 및 관련 서비스(이하 “서비스”) 이용자의 개인정보를 어떻게 처리하는지를, EU 규정(EU) 2016/679(“GDPR”, EU 일반개인정보보호법) 및 이탈리아 입법명령 196/2003(입법명령 101/2018로 개정)에 따라 설명합니다.
Calmauria는 AI 기반 정서적 지원 및 웰니스 서비스입니다. 의료 서비스가 아니며, 진단·치료·처치를 제공하지 않고, 의사나 심리학자의 조언을 대체하지 않습니다.
1. 개인정보처리자(컨트롤러)
개인정보처리자는 CR OÜ (società di diritto estone, codice registro 16778262), che opera con il marchio Calmauria이며, 등록된 소재지는 Nõmme tee 64-3, Kristiine linnaosa, 11311 Tallinn, Harju maakond, Estonia입니다. 귀하의 개인정보에 관한 모든 요청은 [email protected]로 보내 주시기 바랍니다.
2. 당사가 처리하는 데이터의 범주
- 계정 데이터: 이메일 주소, 이름(선택 사항), 비밀번호(암호화 해시 형태로만 저장), 성인 여부 확인.
- 세션 데이터: 선택한 주제, 간단한 초기 설명, 이용 방식(오디오/전화), 선택한 음성, 세션의 지속 시간 및 시각.
- 대화 내용: 귀하가 Auria와의 세션 중에 말한 내용과 그에 대한 응답. 이러한 내용은 GDPR 제9조에 따른 특수 범주 데이터(특히 건강 및 심리적 웰빙에 관한 데이터)를 드러낼 수 있습니다.
- 결제 데이터: Stripe가 직접 처리합니다. 당사는 카드 번호를 처리하거나 저장하지 않으며, 거래 식별자, 금액, 결제 상태 및 청구용 이메일만을 수신합니다.
- 기술 데이터: IP 주소, 기기 및 브라우저 유형, 서비스의 운영과 보호에 필요한 기술 및 보안 로그.
3. 처리 목적 및 법적 근거
- 서비스 제공(계정, 세션, 결제): 법적 근거는 계약의 이행입니다(GDPR 제6조 제1항 (b)호).
- 대화 내용의 처리 및 세션 간 메모리(특수 범주 데이터): 법적 근거는 귀하의 명시적 동의이며(GDPR 제9조 제2항 (a)호), 언제든지 철회할 수 있습니다.
- 보안, 남용 방지 및 위기 상황 대응: 정당한 이익(제6조 제1항 (f)호) 및 해당하는 경우 생명에 관한 중대한 이익의 보호(제9조 제2항 (c)호).
- 결제와 관련된 세무 및 회계 의무: 법적 의무(제6조 제1항 (c)호).
- 서비스 관련 알림(예: 확인 메일, 보안 공지): 계약의 이행 및 정당한 이익.
4. 세션 간 메모리
귀하가 별도의 선택적 동의를 한 경우에 한하여, Auria는 이후 세션에서 이전에 나눈 대화를 이어갈 수 있도록 대화의 암호화된 요약을 보관합니다. 이 동의는 계정 영역에서 또는 이메일로 언제든지 철회할 수 있으며, 철회 시점부터 메모리는 더 이상 사용되지 않고 요약은 삭제됩니다.
5. 데이터 보호 방법
민감한 내용(세션 기록 및 요약)은 AES-256-GCM 알고리즘을 사용하여 애플리케이션 수준에서 암호화되며, 암호화 키는 데이터베이스와 분리하여 관리됩니다. 비밀번호는 키 유도 함수(scrypt)로 보호됩니다. 당사는 기밀성, 무결성 및 가용성을 보장하기 위해 적절한 기술적·관리적 조치를 채택하고 있습니다.
6. 서비스 제공업체 및 수탁 처리자
서비스 제공을 위해 당사는 적절한 계약상 안전조치 하에 수탁 처리자(프로세서)로서 활동하는 다음 업체들을 이용합니다.
- Stripe — 결제;
- Neon — 데이터베이스;
- LiveKit — 실시간 오디오/비디오 전송;
- Anam — 비디오 아바타(현재 비활성 기능);
- Cartesia — 음성 합성;
- Deepgram — 음성 전사;
- Anthropic — 응답을 생성하는 인공지능 모델.
일부 제공업체는 유럽경제지역(EEA) 외부에서 데이터를 처리할 수 있습니다. 이 경우 데이터 이전은 GDPR 제44조 이하에 따른 적절한 안전조치(특히 표준계약조항, SCC)를 근거로 이루어집니다. 기술적으로 가능한 경우 당사는 EU 내 데이터 보관과, 귀하의 콘텐츠를 자사 모델 학습에 사용하지 않겠다는 계약상 약정을 제공하는 업체를 우선합니다.
7. 자동화된 의사결정
서비스는 응답 생성을 위해 인공지능을 사용하며, 이와 병행하여 각 대화 턴을 분석해 위험 신호(예: 자살 사고, 자신 또는 타인에 대한 위험)를 감지하는 자동 안전 분류기를 운영합니다. 이 처리는 귀하에게 법적 효력을 발생시키지 않으며, 유일한 목적은 귀하의 안전입니다. 당사는 마케팅 목적의 프로파일링을 수행하지 않습니다.
8. 데이터 보유 기간
- 계정 데이터: 이용 관계가 지속되는 동안 및 계정이 활성 상태로 유지되는 동안.
- 대화 기록 및 요약: 귀하의 동의가 있는 경우에만 보유합니다. 메모리에 동의하지 않은 경우 해당 내용은 세션 종료 후 보유되지 않거나 당사의 보유 정책에 정한 기간 내에 삭제됩니다.
- 결제 데이터 및 세무 문서: 법령이 요구하는 기간 동안.
- 보안 로그: 보안 목적에 엄격히 필요한 기간 동안.
9. 미성년자
서비스는 성인(만 18세 이상)만 이용할 수 있습니다. 당사는 미성년자의 데이터를 고의로 수집하지 않습니다. 이용자가 미성년자일 수 있다는 징후가 감지되면 당사는 세션을 종료하고 전용 지원 자원으로 안내합니다. 미성년자가 당사에 데이터를 제공했다고 판단되는 경우 이메일로 알려 주시면 해당 데이터를 삭제하겠습니다.
10. 위기 상황의 처리
Calmauria는 응급 상황을 처리하지 않습니다. 생명에 대한 위험 신호가 있는 경우 Auria는 대화를 중단하고 즉각적인 인적 도움(긴급 전화번호 및 상담 전화)으로 이용자를 안내합니다. 급박한 위험 상황에서는 112 (또는 현지 긴급 전화번호)로 전화하십시오.
11. 귀하의 권리
정보주체로서 귀하는 GDPR 제15조부터 제22조에 규정된 다음 권리를 언제든지 행사할 수 있습니다.
- 자신의 데이터에 대한 열람 및 사본 요청;
- 부정확한 데이터의 정정;
- 삭제(“잊힐 권리”);
- 처리의 제한 및 처리에 대한 이의 제기;
- 데이터 이동권;
- 동의의 철회 — 언제든지 가능하며, 철회 이전에 이루어진 처리의 적법성에는 영향을 미치지 않습니다.
권리를 행사하려면 [email protected]로 이메일을 보내 주십시오. 당사는 법정 기한 내에 회신합니다.
12. 감독기관에 대한 민원 제기
귀하는 이탈리아 개인정보보호 감독기관(Garante per la protezione dei dati personali, www.garanteprivacy.it) 또는 귀하가 거주하는 EU 회원국의 감독기관에 민원을 제기할 권리가 있습니다.
13. 변경
당사는 본 방침을 수시로 업데이트할 수 있습니다. 변경 사항은 해당 업데이트 일자와 함께 본 페이지에 게시됩니다.
미국 거주자를 위한 추가 고지 — 소비자 건강 데이터(Consumer Health Data)
본 조항은 미국 거주자에게 적용됩니다. 귀하가 Auria와 나눈 대화의 내용은 워싱턴주 My Health My Data Act를 포함한 일부 미국 주법상 “소비자 건강 데이터(consumer health data)”에 해당할 수 있습니다. 이러한 데이터에 관하여:
- 당사는 해당 데이터를 귀하의 명시적 동의가 있는 경우에만, 그리고 오직 귀하에게 서비스를 제공하기 위한 목적으로만 수집·처리합니다;
- 당사는 소비자 건강 데이터를 판매하지 않으며, 광고 목적으로 공유하지도 않습니다;
- 귀하는 [email protected]로 이메일을 보내 언제든지 열람, 삭제 및 동의 철회의 권리를 행사할 수 있습니다;
- 해당 데이터는 제5조에서 설명한 바와 같이 애플리케이션 수준의 암호화로 보호됩니다.
참고: 본 번역본은 편의를 위해 제공되며, 한국어 버전과 이탈리아어 버전 간에 불일치가 있을 경우 강행적 소비자보호법이 허용하는 범위 내에서 이탈리아어 버전이 우선합니다. 본 방침은 최대한 신중하게 작성되었으나 개별 맞춤형 법률 자문을 대체하지 않습니다. 공개 출시 전에 자격을 갖춘 법률 전문가의 검토와 개인정보 영향평가(DPIA)의 수행을 권장합니다.