로이어스플랜(이하 “회사”)는 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같은 처리방침을 수립·공개합니다. 본 방침은 회사가 제공하는 사건관리 서비스 “Lawyer's Plan”(이하 “서비스”)에 적용됩니다.
제1조 (개인정보의 처리 목적)
회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하는 개인정보는 아래 목적 이외의 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우에는 사전 동의를 받는 등 필요한 조치를 이행합니다.
- 회원 가입 및 관리: 회원제 서비스 제공, 본인확인, 부정이용 방지, 고지사항 전달
- 서비스 제공: 사건 관리, 기일·기한 자동 계산, 의뢰인·상담 관리, 재무 관리, 문서 관리 등 로펌 업무 지원
- 외부 서비스 연동: 대법원 ‘나의 사건 검색’ 자동 동기화, 전자소송(ECFS) 연동, Google Calendar 양방향 동기화, 카카오 알림톡·이메일 알림 발송
- 요금 결제 및 정산: 유료 구독 결제, 청구·환불, 세금계산서 발행
- 고객 지원: 문의 응대, 장애 대응, 서비스 공지 전달
- 서비스 개선: 이용 통계 분석, 품질 개선, 보안 위협 탐지 및 대응
제2조 (처리하는 개인정보 항목)
회사는 서비스 이용 과정에서 다음과 같은 개인정보를 수집·이용합니다.
가. 회원가입 시 (필수)
- 이메일 주소, 비밀번호(단방향 암호화 저장)
- 성명, 전화번호, 직책, 소속 로펌 역할(변호사/사무직원/관리자)
- Google 계정으로 가입 시: Google 프로필 정보(이메일, 이름, 프로필 이미지)
나. 로펌(테넌트) 정보 (필수)
- 로펌 상호, 대표자명, 사업자등록번호, 주소, 대표 전화, 팩스, 대표 이메일
다. 서비스 이용 중 (선택)
- 전자소송(ECFS) 계정 정보: 아이디, 비밀번호(서버측 AES 암호화 저장)
- Google Calendar 연동 시: OAuth 액세스/리프레시 토큰(Supabase Vault에 암호화 저장), 캘린더 이벤트 메타데이터
- 프로필 이미지, 알림 수신 설정
라. 결제 정보
- 결제 수단 식별자(토큰), 청구지 정보, 결제 내역
- ※ 카드번호 등 민감 결제정보는 결제대행사(PG)에 직접 전송되어 회사 서버에 저장되지 않습니다.
마. 자동 수집 정보
- IP 주소, 쿠키, User-Agent, 접속 로그, 서비스 이용 기록, 기기 식별 정보
- 제품 분석 이벤트(PostHog)
바. 이용자가 업무 수행을 위해 서비스에 입력하는 제3자 정보
이용자(변호사·로펌)가 사건 관리 목적으로 의뢰인 또는 상대방의 성명·연락처·사건번호 등을 서비스에 입력할 수 있습니다. 이 경우 해당 정보에 대한 수집·이용 고지 및 동의 확보 의무는 입력 주체인 이용자(변호사·로펌)에게 있으며, 회사는 이용자의 지시에 따라 해당 정보를 저장·처리하는 수탁자의 지위에 있습니다.
제3조 (개인정보의 처리 및 보유 기간)
회사는 법령에 따른 개인정보 보유·이용기간 또는 정보주체로부터 개인정보를 수집 시에 동의받은 보유·이용기간 내에서 개인정보를 처리·보유합니다.
- 회원 정보: 회원 탈퇴 시까지 (단, 관계 법령 위반에 따른 수사·조사 등이 진행 중인 경우 해당 수사·조사 종료 시까지)
- 탈퇴 후 유예기간: 서비스 해지 후 30일간 데이터 열람 및 내보내기 가능. 이후 영구 파기
- 결제·세무 기록: 전자상거래법 제6조에 따라 5년
- 계약 또는 청약철회 기록: 전자상거래법 제6조에 따라 5년
- 소비자 불만 또는 분쟁처리 기록: 전자상거래법 제6조에 따라 3년
- 웹사이트 방문 기록(로그인 로그): 통신비밀보호법에 따라 3개월
제4조 (Google API 서비스 사용자 데이터 처리)
회사는 이용자가 Google Calendar 연동 기능을 사용하는 경우 Google OAuth 2.0을 통해 다음 권한을 요청합니다.
https://www.googleapis.com/auth/calendar— Google Calendar 이벤트 읽기·생성·수정·삭제 권한
회사는 Google API Services User Data Policy(링크)의 Limited Use 요건을 준수하며, Google로부터 수신한 사용자 데이터는 다음 원칙에 따라서만 사용됩니다.
- Google 사용자 데이터는 이용자가 명시적으로 요청한 사건 기일·일정의 Google Calendar 동기화 목적에만 사용합니다.
- 광고 목적(맞춤형 광고 포함)으로 사용하거나 제3자에게 판매하지 않습니다.
- 서비스의 기본 기능과 무관한 용도로 사용자 데이터를 전송·공유하지 않습니다.
- 이용자가 명시적으로 동의한 경우(보안 준수, 법적 요구 대응, 이용자 대면 지원 등) 또는 익명·집계 처리된 경우를 제외하고, 사람이 직접 Google 사용자 데이터를 읽지 않습니다.
이용자는 언제든지 서비스 내 [설정 > 연동] 메뉴 또는 Google 계정 권한 관리 페이지에서 연동을 해제할 수 있으며, 해제 시 회사가 보관 중인 OAuth 토큰은 즉시 폐기됩니다.
제5조 (개인정보의 제3자 제공)
회사는 원칙적으로 정보주체의 개인정보를 제1조(처리 목적)에서 명시한 범위 내에서만 처리하며, 정보주체의 사전 동의 없이는 본래의 목적 범위를 초과하여 처리하거나 제3자에게 제공하지 않습니다. 다만 다음의 경우는 예외로 합니다.
- 정보주체로부터 별도의 동의를 받은 경우
- 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
- 수사기관이 법령에 정해진 절차와 방법에 따라 수사 목적으로 요구한 경우
제6조 (개인정보 처리의 위탁)
회사는 원활한 서비스 제공을 위하여 다음과 같이 개인정보 처리업무를 위탁하고 있습니다. 위탁계약 체결 시 개인정보 보호법 제26조에 따라 처리 목적 외 이용 금지, 안전성 확보조치, 재위탁 제한 등을 명시하고 있으며, 수탁자가 이를 준수하도록 관리·감독합니다.
| 수탁자 | 위탁 업무 | 국가 |
|---|---|---|
| Supabase, Inc. | 인증(Auth), 데이터베이스, 파일 스토리지, 비밀 정보 Vault | 미국 / 싱가포르 |
| Vercel, Inc. | 서비스 호스팅, Edge/Serverless 함수 실행 | 미국 |
| Google LLC | Google OAuth 로그인, Google Calendar 연동 | 미국 |
| Upstash, Inc. | Redis 캐시, QStash 비동기 작업 큐 | 미국 |
| Resend, Inc. | 트랜잭션 이메일 발송(초대·알림·비밀번호 재설정) | 미국 |
| PostHog, Inc. | 제품 이용 분석 | 미국 / EU |
| 2Captcha | 대법원 ‘나의 사건 검색’ CAPTCHA 자동 해제 | 러시아 |
| 네이버클라우드(주) | 대법원 스크래핑용 프록시 인프라 | 대한민국 |
수탁자의 변경 또는 위탁 업무 내용 변경 시 본 처리방침을 통해 공지합니다.
제7조 (개인정보의 국외 이전)
회사는 제6조에 명시된 국외 수탁자의 인프라를 통해 개인정보를 처리합니다. 이전되는 항목은 제2조에 명시된 개인정보이며, 이전 시점은 서비스 이용 시이고, 이전 방법은 정보통신망을 통한 전송입니다. 국외 이전에 동의하지 않는 경우 회원 가입 및 서비스 이용이 제한될 수 있습니다.
제8조 (정보주체의 권리·의무 및 행사방법)
정보주체는 회사에 대해 언제든지 다음 각 호의 권리를 행사할 수 있습니다.
- 개인정보 열람 요구
- 오류 등이 있을 경우 정정 요구
- 삭제 요구(단, 법령에서 보관을 의무화한 정보는 제외)
- 처리 정지 요구
- 개인정보 이동(전송) 요구
권리 행사는 서비스 내 [설정 > 프로필] 메뉴에서 직접 수행하거나, 제11조의 개인정보 보호책임자에게 서면·전자우편으로 요청하실 수 있습니다. 회사는 지체 없이 필요한 조치를 취합니다.
제9조 (개인정보의 파기 절차 및 방법)
회사는 개인정보 보유기간의 경과 또는 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.
- 파기 절차: 파기 사유가 발생한 개인정보를 선정하고 개인정보 보호책임자의 승인을 받아 파기합니다.
- 전자적 파일 형태: 복원할 수 없도록 안전하게 영구 삭제합니다.
- 종이 문서: 분쇄기로 분쇄하거나 소각하여 파기합니다.
제10조 (개인정보의 안전성 확보조치)
회사는 개인정보의 안전성 확보를 위하여 다음의 조치를 시행하고 있습니다.
- 관리적 조치: 내부관리계획 수립·시행, 담당자 교육, 접근권한 최소화 및 주기적 점검
- 기술적 조치: 로우레벨 보안(RLS)을 통한 테넌트 데이터 격리, TLS 1.2 이상 전 구간 암호화 통신, 비밀번호 단방향 해시, 민감 자격증명(ECFS 비밀번호·OAuth 토큰) AES 암호화 또는 Supabase Vault 보관, 접근 로그 기록
- 물리적 조치: 수탁 클라우드 사업자(Supabase, Vercel, NCP)의 데이터센터 물리 보안 통제에 의존
- 침해 대응: 모든 도메인 액션에 대한 감사 로그(audit_logs) 기록 및 운영 알림
제11조 (개인정보 보호책임자)
회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
- 성명: 천영기
- 직책: 대표
- 연락처: [연락처 미확정]
- 이메일: privacy@lawyersplan.com
제12조 (쿠키의 설치·운영 및 거부)
회사는 이용자 세션 유지 및 서비스 이용 통계 분석을 위해 쿠키를 사용합니다. 이용자는 웹브라우저 설정을 통해 쿠키 저장을 거부할 수 있으나, 쿠키 저장을 거부할 경우 로그인 유지 등 일부 서비스 이용에 제한이 있을 수 있습니다.
제13조 (권익침해 구제방법)
정보주체는 개인정보 침해로 인한 구제를 받기 위하여 아래 기관에 분쟁해결이나 상담 등을 신청할 수 있습니다.
- 개인정보분쟁조정위원회: (국번없이) 1833-6972 / www.kopico.go.kr
- 개인정보침해신고센터: (국번없이) 118 / privacy.kisa.or.kr
- 대검찰청 사이버수사과: (국번없이) 1301
- 경찰청 사이버수사국: (국번없이) 182
제14조 (개인정보처리방침의 변경)
본 개인정보처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가·삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 공지사항을 통하여 고지합니다. 다만 이용자 권리의 중요한 변경이 있을 경우에는 최소 30일 전에 고지합니다.