개인정보 처리방침

시행일: 2026년 4월 11일

본 개인정보 처리방침은 Votiq (“당사”, “우리” 또는 “저희”)이 Votiq.io 및 관련 서비스(총칭하여 “서비스”)를 이용할 때 개인 정보를 수집, 이용, 공개 및 보호하는 방법을 설명합니다. 당사는 EU 일반 개인정보 보호 규정(GDPR) 및 영국 GDPR을 포함한 적용 가능한 개인정보 보호 법률을 준수하여 귀하의 데이터를 책임감 있게 처리하기 위해 최선을 다합니다.

1. 수집하는 정보

당사는 다음 범주의 개인 정보를 수집합니다:

계정 및 프로필 데이터 — 등록 시 이름, 이메일 주소, 비밀번호 (해시 처리), 조직명, 청구지 주소, 해당되는 경우 부가가치세/납세자 식별 번호를 수집합니다.

피드백 및 참여 데이터 — 벤더 및 최종 이용자가 제출한 기능 요청, 게시물 제목 및 설명, 댓글, 투표 기록, 반응 데이터, 체인지로그 구독 정보.

크라우드펀딩 및 서약 데이터 — 서약 금액, 캠페인 선택, 서약 상태(대기 중, 결제 완료, 환불), 납품 기간 확인. 결제 수단 세부 정보는 Votiq이 아닌 Stripe가 보관합니다.

이용 및 기술 데이터 — IP 주소, 브라우저 유형 및 버전, 운영 체제, 참조 URL, 방문한 페이지, 체류 시간, 기능 이용 현황, API 요청 로그. 이 데이터는 서버 로그 및 자사 분석을 통해 수집됩니다.

커뮤니케이션 데이터 — 당사에 보내신 이메일, 지원 티켓, 귀하의 커뮤니케이션 선호 설정.

제3자 로그인 데이터 — 제3자 제공업체(예: Google OAuth)를 통해 등록하는 경우, 해당 제공업체로부터 귀하의 이름 및 이메일 주소를 제공받습니다.

2. 정보의 이용 목적

당사는 수집한 정보를 다음 목적에 이용합니다:

서비스의 제공, 운영 및 유지.
사용자 인증, 세션 관리 및 보안 통제 시행.
Stripe를 통한 구독 결제 및 크라우드펀딩 거래 처리.
트랜잭션 이메일 발송(계정 확인, 비밀번호 재설정, 서약 영수증, 캠페인 상태 업데이트, 다이제스트 알림).
AI 기반 기능 실행: 중복 게시물 감지, 피드백 감성 분석, 벡터 임베딩을 활용한 의미 기반 검색.
벤더를 위한 집계 분석 및 제품 이용 인사이트 생성.
사기, 남용 및 보안 사고의 탐지 및 예방.
법적 의무 준수 및 서비스 이용약관 시행.
새로운 기능 개선 및 개발(집계된 익명화 데이터 이용).

3. 처리의 법적 근거 (GDPR)

EU/EEA 및 영국 거주자에 대해 당사는 다음의 법적 근거에 따라 개인 데이터를 처리합니다:

계약 이행 — 귀하가 가입한 서비스 제공에 필요한 처리(계정 관리, 결제, 핵심 기능).
정당한 이익 — 당사의 이익이 귀하의 권리에 의해 우선되지 않는 범위 내에서의 보안 모니터링, 사기 예방, 제품 분석 및 서비스 개선.
법적 의무 — 재무 기록 보존, 당국의 적법한 요청에 대한 응대.
동의 — 마케팅 커뮤니케이션, 선택적 분석 기능. 귀하는 언제든지 동의를 철회할 수 있습니다.

4. 데이터 저장 및 보안

모든 데이터는 기본적으로 EU(eu-west-1) 리전의 Amazon Web Services(AWS) 인프라에서 실행되는 Supabase에 저장됩니다. 데이터는 저장 시 AES-256으로, 전송 시 TLS 1.2+로 암호화됩니다. 데이터베이스 접근은 각 조직에 범위가 지정된 행 수준 보안(RLS) 정책으로 보호됩니다.

당사는 다음과 같은 보안 조치를 시행합니다: bcrypt 해시 처리된 비밀번호, SHA-256 해시 처리된 API 키, 단기 JWT 세션 토큰, 정기적인 보안 검토, 팀에 대한 최소 권한 원칙 적용. 또한 정기적인 자동화 백업을 수행합니다.

전자적 전송 또는 저장 방법은 100% 안전하지 않습니다. 귀하의 권리에 영향을 미치는 데이터 침해가 발생하면, 법률에서 요구하는 바에 따라 귀하 및 관련 감독 기관에 통지할 것입니다.

5. 결제 데이터

결제 처리는 PCI DSS 레벨 1 인증 결제 처리업체인 Stripe, Inc.가 담당합니다. Votiq은 전체 신용카드 번호, CVV 코드 또는 원시 은행 계좌 정보를 저장, 전송하거나 접근할 수 없습니다. Stripe는 결제 수단 토큰을 저장하고 모든 카드 데이터를 관리합니다.

크라우드펀딩의 경우, 벤더는 Stripe Connect를 통해 Stripe 계정을 연결합니다. Stripe는 지급과 관련하여 처리된 결제 데이터에 대한 독립적인 데이터 관리자로 행동합니다. 자세한 내용은 Stripe의 개인정보 처리방침을 참조하시기 바랍니다.

6. AI 처리

Votiq은 피드백 관리 품질을 향상시키기 위해 AI 서비스를 이용합니다:

Anthropic Claude (감성 분석) — 게시물 제목과 설명이 감성 (긍정, 중립, 부정)을 분류하고 어조를 식별하기 위해 Anthropic의 API로 전송됩니다. 게시물 텍스트 콘텐츠만 전송되며 개인 식별 계정 정보는 포함되지 않습니다. 데이터는 Anthropic의 개인정보 처리방침에 따라 처리됩니다.
VoyageAI (의미론적 임베딩) — 게시물 텍스트가 의미론적 유사도 검색 및 중복 감지를 위해 VoyageAI에 의해 벡터 임베딩으로 변환됩니다. 게시물 텍스트만 전송됩니다. 임베딩은 Supabase에 저장되며 귀하의 조직 범위 내에서만 이용됩니다. 데이터는 VoyageAI의 개인정보 처리방침에 따라 처리됩니다.

AI 처리는 유료 플랜 벤더의 경우 기본적으로 활성화되어 있으나 워크스페이스 설정에서 비활성화할 수 있습니다. 당사는 귀하의 데이터를 제3자 AI 모델 훈련에 이용하지 않습니다. 이러한 API로 전송된 데이터는 귀하의 콘텐츠에 대한 추론 목적으로만 이용됩니다.

7. 제3자 서비스

당사는 서비스 제공에 필요한 범위 내에서만 다음 제3자와 데이터를 공유합니다:

Stripe — 결제 처리 및 Stripe Connect 지급.
Supabase — 데이터베이스, 인증, 실시간 기능 및 파일 저장소 (AWS 호스팅).
Vercel — 애플리케이션 호스팅 및 엣지 네트워크(CDN). Vercel은 IP 주소를 포함할 수 있는 요청 로그를 처리합니다.
Resend — 트랜잭션 이메일 발송(계정 이메일, 서약 영수증, 다이제스트).
Anthropic — AI 감성 분석(게시물 텍스트만).
VoyageAI — 의미론적 벡터 임베딩(게시물 텍스트만).
Inngest — 비동기 처리를 위한 백그라운드 작업 오케스트레이션 (예: 결제 결제, 이메일 트리거). 작업 페이로드에는 사용자 ID 및 게시물 ID에 대한 참조가 포함될 수 있습니다.

당사는 귀하의 개인 데이터를 제3자에게 판매하지 않습니다. 광고주와 귀하의 데이터를 공유하지 않습니다. 하위 처리자와의 데이터 공유는 GDPR에서 요구하는 경우 데이터 처리 계약에 의해 규율됩니다.

8. 쿠키 및 로컬 스토리지

Votiq은 필수 쿠키만 사용합니다. 제3자 광고 또는 추적 쿠키는 사용하지 않습니다.

세션 쿠키 — 인증된 세션을 유지하기 위해 Supabase Auth에 의해 설정됩니다. 브라우저를 닫거나 로그아웃할 때 삭제됩니다.
기본 설정 쿠키 — 테마(다크/라이트 모드) 및 언어 선택과 같은 UI 기본 설정을 저장합니다.
CSRF 토큰 — 양식 제출을 보호하기 위해 사용되는 단기 토큰.

당사는 브라우저 로컬 스토리지를 이용하여 비민감 UI 상태(예: 열린 필터 선택)를 캐시합니다. 개인 데이터는 로컬 스토리지에 저장되지 않습니다. 귀하는 언제든지 브라우저 설정을 통해 로컬 스토리지를 삭제할 수 있습니다.

당사는 필수 쿠키만 사용하므로 쿠키 동의 배너를 표시하지 않습니다. 쿠키를 비활성화하면 인증 기능이 작동하지 않습니다.

9. 데이터 보존 기간

당사는 다음 기간 동안 개인 데이터를 보존합니다:

계정 데이터 — 구독 기간 동안 및 계정 삭제 후 30일간 보존되며 이 기간 동안 데이터를 내보낼 수 있습니다. 30일 후 계정 데이터는 영구적으로 삭제됩니다.
피드백 및 게시물 데이터 — 조직 계정이 활성 상태인 동안 보존됩니다. 계정 삭제 후 30일 이내에 삭제됩니다.
재무 기록 — 결제 내역 및 거래 기록은 회계 및 세금 관련 법적 의무를 준수하기 위해 7년간 보존됩니다.
서버 로그 — 요청 로그는 보안 및 디버깅 목적으로 90일간 보존됩니다.
AI 임베딩 — 계정 삭제 후 30일 이내에 삭제됩니다.

10. 귀하의 권리 (GDPR 및 개인정보 보호 권리)

거주 지역에 따라 귀하의 개인 데이터와 관련하여 다음과 같은 권리를 가질 수 있습니다:

열람권 — 당사가 보유한 귀하에 관한 개인 데이터의 사본을 요청할 수 있습니다.
정정권 — 부정확하거나 불완전한 데이터의 수정을 요청할 수 있습니다.
삭제권(“잊힐 권리”) — 법적 보존 의무에 따른 경우를 제외하고 귀하의 개인 데이터 삭제를 요청할 수 있습니다.
데이터 이동권 — 귀하의 데이터를 기계 판독 가능한 형식(JSON/CSV)으로 수령할 수 있습니다.
처리 제한권 — 특정 상황에서 귀하의 데이터 처리를 제한하도록 요청할 수 있습니다.
반대권 — 정당한 이익 또는 직접 마케팅을 근거로 한 처리에 반대할 수 있습니다.
동의 철회권 — 처리가 동의에 기반한 경우 언제든지 동의를 철회할 수 있습니다.

당사는 확인된 요청에 30일 이내(복잡한 요청의 경우 통지 후 추가 60일 연장 가능)에 응답합니다. 요청을 이행하기 전에 귀하의 신원 확인이 필요할 수 있습니다.

11. GDPR 데이터 내보내기 및 계정 삭제

Votiq은 귀하의 데이터 권리를 행사할 수 있는 셀프서비스 도구를 제공합니다:

데이터 내보내기 — 워크스페이스 설정의 “데이터 및 개인정보” 아래에서 이용 가능합니다. 조직의 게시물, 투표, 댓글, 체인지로그, 멤버 데이터의 전체 JSON 내보내기를 다운로드할 수 있습니다.
계정 삭제 — 워크스페이스 설정에서 이용 가능합니다. 계정 삭제를 시작하면 데이터가 보존되고 내보낼 수 있는 30일 유예 기간이 시작됩니다. 30일 후, 법적 의무에 따라 보존되는 재무 기록을 제외한 모든 개인 데이터가 영구적이고 돌이킬 수 없이 삭제됩니다.

수동 데이터 요청을 제출하거나 지원이 필요한 경우 privacy@votiq.io로 연락해 주시기 바랍니다.

12. 국제 데이터 이전

Votiq은 주로 EU(AWS eu-west-1)에서 데이터를 저장하고 처리합니다. 그러나 일부 하위 처리자는 미국에서 운영됩니다(Stripe, Anthropic, VoyageAI, Inngest, Vercel, Resend). 개인 데이터가 EU/EEA 외부로 이전되는 경우, 다음을 포함한 적절한 안전 조치가 마련되어 있습니다:

데이터 처리 계약에 통합된 EU 표준 계약 조항(SCC).
해당되는 경우 유럽 위원회의 적정성 결정.

국제 이전에 관한 특정 안전 조치에 대한 정보를 privacy@votiq.io로 연락하여 요청할 수 있습니다.

13. 아동의 개인정보 보호

서비스는 만 16세 미만의 개인을 대상으로 하지 않으며 해당 연령층의 이용을 의도하지 않습니다. 당사는 만 16세 미만 아동의 개인 데이터를 고의로 수집하지 않습니다. 만 16세 미만 아동이 당사에 개인 데이터를 제공한 사실을 발견하면 이를 즉시 삭제하기 위한 조치를 취할 것입니다. 아동이 데이터를 제공했다고 생각되시면 privacy@votiq.io로 연락해 주시기 바랍니다.

14. 개인정보 처리방침의 변경

당사는 수시로 본 개인정보 처리방침을 업데이트할 수 있습니다. 중요한 변경 사항이 있는 경우, 변경 사항이 발효되기 최소 14일 전에 이메일 또는 서비스상의 눈에 띄는 공지를 통해 알려드립니다. 귀하는 이 방침을 주기적으로 검토하시기 바랍니다. 발효일 이후 서비스를 계속 이용함으로써 귀하는 개정된 방침을 수락하는 것으로 간주됩니다.

15. 개인정보 보호 책임자

당사는 개인정보 보호 관행을 감독하기 위해 개인정보 보호 책임자(DPO)를 지정하였습니다. 당사가 귀하의 개인 데이터를 처리하는 방식에 대해 질문이나 우려 사항이 있으시면 다음으로 연락해 주시기 바랍니다:

개인정보 보호 책임자, Votiq
privacy@votiq.io

귀하는 또한 해당 지역 데이터 보호 감독 기관에 이의를 제기할 권리가 있습니다. EU에서는 edpb.europa.eu에서 국가별 기관을 확인할 수 있습니다.

16. 문의

개인정보 관련 문의, 정보주체 권리 행사 요청, 또는 본 방침에 관한 질문은 다음으로 연락해 주시기 바랍니다:

Votiq 개인정보 보호팀
privacy@votiq.io