카모아 파트너스 개인정보 처리방침
(주)팀오투 (이하 '회사') 는 카모아 파트너스 운영툴 (partners.carmore.kr, 이하 '서비스') 을 이용하는 사업자 회원 (이하 '회원') 의 자유와 권리 보호를 위해 「개인정보 보호법」 및 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 이에 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보의 처리와 보호에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 개인정보 처리방침을 수립·공개합니다.
본 방침은 카모아 파트너스 운영툴(partners.carmore.kr) 에 한하여 적용되며, 카모아 본 서비스(carmore.kr) 의 개인정보 처리방침과는 별개로 적용됩니다.
1. 개인정보의 처리 목적
회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고 있는 개인정보는 다음의 목적 이외의 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행할 예정입니다.
- 회원 가입 및 관리 — 회원 가입 의사 확인, 본인 식별·인증, 회원자격 유지·관리, 서비스 부정이용 방지, 각종 고지·통지, 고충처리
- 법적 근거: 「개인정보 보호법」 제15조제1항제4호 (계약 체결·이행)
- 서비스 제공 — 카모아 파트너스 운영툴(렌트카 관리·예약 처리·고객 관리·정산 등) 제공
- 법적 근거: 「개인정보 보호법」 제15조제1항제4호 (계약 체결·이행)
- 판매처 연동 자동화 (선택 기능) — Gmail 을 통한 외부 판매처 예약 메일 자동 수신·파싱·운영툴 예약 등록 보조
- 법적 근거: 「개인정보 보호법」 제15조제1항제1호 (정보주체의 동의)
- 법령상 의무 준수 및 기록 보존 — 「전자상거래 등에서의 소비자보호에 관한 법률」 등에서 정한 기록 보존
- 법적 근거: 「개인정보 보호법」 제15조제1항제2호 (법령상 의무 준수)
2. 처리하는 개인정보의 항목
회사는 다음과 같은 개인정보를 정보주체의 동의 여부에 따라 구분하여 처리하고 있습니다.
2.1 정보주체의 동의 없이 처리하는 개인정보
① 회원 서비스 운영 (계약 체결·이행)
- 법적 근거: 「개인정보 보호법」 제15조제1항제4호
- 처리하는 항목: 이름, 휴대전화번호, 이메일, 회사명, 회사 전화번호, 직급
- 수집 방법: 운영툴 회원가입 (홈페이지). 휴대전화번호는 NICE 평가정보(주) 본인 인증을 통해 확인
② 서비스 이용 과정에서 자동 생성·수집되는 정보 (계약 이행)
- 법적 근거: 「개인정보 보호법」 제15조제1항제4호
- 처리하는 항목:
- 접속 IP, 접속 일시, 브라우저 정보
- 운영툴 내 액션 로그 (예약 등록·수정, 차량 관리, 회계 조회 등)
- 회원이 운영툴에 입력·관리하는 고객·차량·예약 정보 (※ 본 정보의 1차 처리자는 회원이며, 회사는 회원의 운영 편의를 위해 보관하는 위치)
2.2 정보주체의 동의를 받아 처리하는 개인정보 — Gmail 연동 (선택 기능)
회원이 판매처(Klook, Trip.com 등) 예약 메일 자동 처리 기능을 사용할 경우, 다음 정보를 Google OAuth 2.0 을 통해 회원의 명시적 동의를 받아 처리합니다.
- 법적 근거: 「개인정보 보호법」 제15조제1항제1호 (동의)
- 사용 OAuth scope: openid, email, https://www.googleapis.com/auth/gmail.readonly
| 처리 항목 | 처리 목적 |
|---|---|
| Gmail OAuth access_token / refresh_token | Gmail API 호출 인증 (AES-256-CBC + HMAC-SHA256 으로 암호화 후 DB 저장) |
| Gmail 메시지 메타데이터 (발신·수신·제목·라벨·시각) | 판매처 예약 메일 식별 |
| Gmail 메시지 본문 | 예약 정보 파싱 (예약번호·차량·일정 등) |
| 회원의 Gmail 계정 이메일 주소 | 연동 계정 표시·관리 |
- Gmail 메시지 본문은 파싱 즉시 구조화 데이터(예약 row) 로 변환되며, 원문은 별도 보존하지 않습니다.
- 회원은 어드민의 "Gmail 연동 해제" 메뉴를 통해 언제든지 동의를 철회할 수 있으며, 이 경우 저장된 OAuth 토큰은 즉시 폐기됩니다.
3. 14세 미만 아동의 개인정보 처리에 관한 사항
회사는 카모아 파트너스 운영툴을 사업자(법인·개인사업자) 회원을 대상으로 제공하므로, 14세 미만 아동의 개인정보를 처리하지 않습니다.
4. 개인정보의 처리 및 보유 기간
회사는 법령에 따른 개인정보 보유·이용 기간 또는 정보주체로부터 동의받은 개인정보 보유·이용 기간 내에서 개인정보를 처리·보유합니다.
| 처리 사무 / 보존 항목 | 보유 기간 | 법적 근거 |
|---|---|---|
| 회원 가입 및 관리 (이름, 휴대전화번호, 이메일, 회사명·전화번호, 직급) | 회원 탈퇴 시까지 | 계약 체결·이행 |
| 계약 또는 청약철회 등에 관한 기록 | 5년 | 「전자상거래 등에서의 소비자보호에 관한 법률 시행령」 제6조제1항제2호 |
| 대금결제 및 재화 등의 공급에 관한 기록 | 5년 | 동 시행령 제6조제1항제3호 |
| 소비자의 불만 또는 분쟁처리에 관한 기록 | 3년 | 동 시행령 제6조제1항제4호 |
| 표시·광고에 관한 기록 | 6개월 | 동 시행령 제6조제1항제1호 |
| 컴퓨터통신·인터넷 로그기록·접속지 추적자료 | 3개월 | 「통신비밀보호법」 제15조의2제2항 |
| Gmail OAuth access_token / refresh_token, 연동 계정 정보 | 회원 탈퇴 또는 Gmail 연동 해제 시까지 (동의 기반) | 「개인정보 보호법」 제15조제1항제1호 |
다만, 다음의 사유에 해당하는 경우에는 해당 사유 종료 시까지 보존합니다.
- 관계 법령 위반에 따른 수사·조사 등이 진행 중인 경우 — 해당 수사·조사 종료 시까지
- 서비스 이용에 따른 채권·채무관계 잔존 시 — 해당 채권·채무관계 정산 시까지
5. 개인정보의 파기 절차 및 방법
회사는 개인정보 보유기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기합니다.
정보주체로부터 동의받은 개인정보 보유기간이 경과하거나 처리 목적이 달성되었음에도 불구하고 다른 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB) 로 옮기거나 보관장소를 달리하여 보존합니다 (보존 항목·근거·기간은 §4 참조).
파기 절차
회사는 파기 사유가 발생한 개인정보를 선정하고, 개인정보보호책임자의 승인을 받아 파기합니다. 파기 요청이 있은 날로부터 제3영업일 이내에 파기하며, 다른 법령에 의한 경우가 아니고서는 보존되는 목적 외 다른 용도로 이용되지 않습니다.
파기 방법
- 전자적 파일 형태로 저장된 정보: 기록을 재생할 수 없도록 DB 에서 row 단위로 영구 삭제. Gmail OAuth 토큰은 암호화 키와 함께 폐기.
- 종이 문서에 기록·저장된 정보: 분쇄기로 분쇄하거나 소각하여 파기.
6. 개인정보의 제3자 제공
회사는 회원의 개인정보를 원칙적으로 외부에 제공하지 않습니다. 다만, 다음의 경우에는 「개인정보 보호법」 제17조·제18조에 따라 예외로 합니다.
- 회원이 사전에 동의한 경우 (「개인정보 보호법」 제17조제1항제1호)
- 법령에 특별한 규정이 있거나 법령상 의무 준수를 위해 불가피한 경우 (동법 제18조제2항제2호)
- 수사 목적으로 법령에 정해진 절차와 방법에 따라 수사기관의 요구가 있는 경우 (「형사소송법」 제215조 등에 따른 영장 등)
7. 추가적인 이용·제공에 관한 판단 기준
회사는 「개인정보 보호법」 제15조제3항 및 제17조제4항에 따라 정보주체의 동의 없이 개인정보를 추가적으로 이용·제공하는 행위를 지속적으로 수행하지 않습니다. 향후 해당 행위가 지속적으로 발생하는 경우, 「개인정보 보호법 시행령」 제14조의2제2항에 따라 본 방침을 사전에 갱신하여 판단 기준과 처리 내역을 공개하겠습니다.
8. 개인정보 처리 위탁
회사는 서비스 제공을 위하여 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.
| 위탁받는 자 (수탁자) | 위탁 업무 내용 | 처리 정보 |
|---|---|---|
| Amazon Web Services Korea LLC (AWS 서울 리전 ap-northeast-2) | 운영툴 클라우드 인프라 (서버·DB·문서 스토리지 호스팅) | 운영툴 보관 데이터 전반 |
| NICE 평가정보(주) | 휴대전화 본인확인 | 이름, 휴대전화번호, 생년월일, 성별, 내·외국인 구분, 연계정보(CI), 중복가입확인정보(DI) |
| Google LLC | Gmail 연동 판매처 예약 메일 자동 수신·파싱 (Gmail API 호출 및 Google Cloud Pub/Sub 푸시 알림 처리) | 회원의 Gmail 계정 이메일 주소, Gmail OAuth access_token·refresh_token, Gmail 메시지 메타데이터 및 본문 |
회사는 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행목적 외 개인정보 처리금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독합니다.
위탁 업무 내용이나 수탁자가 변경될 경우 본 방침을 통해 지체없이 공개합니다.
9. 개인정보의 국외 이전
회사는 판매처 예약 메일 자동 처리 기능 운영을 위해 Google LLC 와 연동하며, 이 과정에서 회원이 동의한 범위 내의 Gmail 데이터가 국외에서 처리됩니다. 「개인정보 보호법」 제28조의8제2항에 따라 다음과 같이 안내합니다.
| 항목 | 내용 |
|---|---|
| 법적 근거 | 「개인정보 보호법」 제28조의8제1항제1호 (정보주체의 별도 동의) |
| 이전되는 개인정보 항목 | 회원의 Gmail 계정 이메일 주소, Gmail OAuth access_token / refresh_token, Gmail 메시지 메타데이터 및 본문 (회원이 동의한 scope gmail.readonly 범위 내) |
| 이전 국가 | 미국 (United States) 등 Google LLC 가 운영하는 글로벌 데이터 처리 인프라 소재 국가 |
| 이전 시기 및 방법 | 회원의 Gmail 연동 동의 시점부터 연동 해제 시점까지, HTTPS (TLS 1.2 이상) 기반 Google API 호출 및 Google Cloud Pub/Sub 푸시 알림을 통해 수시 이전 |
| 이전받는 자 | Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA — Google 개인정보처리방침 policies.google.com/privacy 참조) |
| 이전받는 자의 이용 목적 | 회원이 동의한 판매처 예약 메일 자동 수신·파싱·운영툴 예약 등록 기능 제공 (회사가 호출하는 Gmail API 응답 및 Pub/Sub 알림 처리) |
| 보유·이용 기간 | 회원 탈퇴 또는 Gmail 연동 해제 시까지. Google LLC 의 자체 보유 정책은 Google 개인정보처리방침을 따름 |
| 이전 거부 방법·절차·효과 | 회원은 어드민 "Gmail 연동 해제" 메뉴를 통해 언제든지 동의를 철회할 수 있습니다. 동의 철회 시 회사가 보관하던 OAuth 토큰은 즉시 폐기되며, 판매처 예약 메일 자동 처리 기능을 더 이상 이용할 수 없게 됩니다. 자동 처리 기능 외의 운영툴 기본 서비스 이용에는 영향을 주지 않습니다 |
※ AWS 서울 리전(ap-northeast-2) 의 운영툴 인프라는 데이터가 국내(대한민국) 에서 처리되므로 국외이전에 해당하지 않습니다. 본 방침 §8 처리 위탁에서 안내합니다.
10. 개인정보의 안전성 확보 조치
회사는 「개인정보 보호법」 제29조 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시) 에 따라 다음과 같은 안전성 확보 조치를 취하고 있습니다.
- 관리적 조치: 내부관리계획 수립·시행, 정기적 직원 교육, 개인정보 취급자 최소화 및 권한 차등 부여
- 기술적 조치:
- 개인정보처리시스템 접근 권한 관리 및 접근 통제
- Gmail OAuth 토큰은 AES-256-CBC + HMAC-SHA256 으로 암호화 저장
- 비밀번호 및 고유식별정보의 일방향 암호화 저장
- 접속 기록 보관 및 정기 점검, 보안 프로그램 설치·운영 및 갱신
- 물리적 조치: 전산실·자료보관실 등의 접근 통제
11. 민감정보·가명정보·영상정보처리기기 처리에 관한 사항
회사는 카모아 파트너스 운영툴 운영 과정에서 다음 항목들을 처리하지 않습니다.
- 민감정보 (「개인정보 보호법」 제23조, 동법 시행령 제18조에서 정한 사상·신념·노동조합·정치적 견해·건강·성생활·유전정보·범죄경력 등): 처리하지 않습니다.
- 가명정보 (동법 제28조의2·제28조의3): 통계 작성·과학적 연구·공익적 기록보존을 위한 가명처리는 수행하지 않습니다.
- 고정형·이동형 영상정보처리기기 (동법 제25조·제25조의2): 운영툴 서비스 제공 과정에서 운영하지 않습니다.
12. 개인정보 자동 수집 장치의 설치·운영 및 거부
설치·운영하는 자동 수집 장치
회사는 회원에게 개별적인 서비스와 편의를 제공하기 위해 이용 정보를 저장하고 수시로 불러오는 '쿠키(cookie)' 를 사용합니다. 쿠키는 회사 운영툴 서버가 회원의 브라우저에 보내는 소량의 정보로서 회원의 컴퓨터 또는 모바일 기기에 저장됩니다.
- 쿠키 사용 목적: 로그인 세션 유지, 사용자 환경 설정 보존, 운영툴 화면 상태 기억
- 행태정보 처리 여부: 회사는 운영툴 내에서 정보주체를 식별하여 맞춤형 광고를 위한 행태정보를 수집·이용하거나 제3자에게 제공하지 않습니다. 또한 제3자가 운영하는 광고·분석용 자동 수집 장치(쿠키, SDK, 픽셀 등) 를 운영툴에 설치하지 않습니다.
쿠키 거부 방법
회원은 브라우저 옵션 설정을 통해 쿠키 거부 등의 설정을 할 수 있습니다.
▶ 웹 브라우저에서 쿠키 차단 방법
- 크롬(Chrome): 우측 상단 ⁝ → 설정 → 개인정보 보호 및 보안 → 서드파티 쿠키 / 또는 새 시크릿 창 (Ctrl+Shift+N)
- 엣지(Edge): 우측 상단 ‧‧‧ → 설정 → 개인정보, 검색 및 서비스 → 쿠키 / 또는 새 InPrivate 창 (Ctrl+Shift+N)
- 사파리(Safari): 환경설정 → 개인 정보 보호 → 쿠키 및 웹 사이트 데이터
▶ 모바일 브라우저에서 쿠키 차단 방법
- 크롬 (모바일): 우측 상단 ⁝ → 새 시크릿 탭
- 사파리 (모바일): 설정 → Safari → 고급 → 모든 쿠키 차단
- 삼성 인터넷: 하단 탭 아이콘 → 비밀 모드 켜기 → 시작
쿠키 설치를 거부할 경우 로그인 유지 등 일부 서비스 제공에 어려움이 있을 수 있습니다.
13. 제3자가 행태정보를 수집하도록 허용하는 사항
회사는 운영툴 내에서 제3자가 행태정보를 수집하도록 허용하지 않습니다. 광고·분석용 제3자 쿠키·SDK·픽셀 등을 운영툴에 설치하지 않습니다.
14. 정보주체와 법정대리인의 권리·의무 및 행사 방법
회원 및 법정대리인은 회사에 대해 언제든지 다음의 권리를 행사할 수 있습니다.
- 열람 요구 (「개인정보 보호법」 제35조)
- 정정·삭제 요구 (동법 제36조)
- 처리정지 요구 (동법 제37조)
- 동의 철회 요구 (동의 기반 처리 — Gmail 연동 등)
- 전송요구 (동법 제35조의2) — 회사가 정보전송자에 해당하게 되는 경우에 한함
- 자동화된 결정에 대한 거부 또는 설명 요구 (동법 제37조의2) — 본 방침 §15 참조
행사 방법
- 회원 정보 조회·수정: 어드민 '회원정보 수정' 메뉴
- 가입 해지 (동의 철회): 어드민 '회원 탈퇴' 메뉴
- Gmail 연동 해제 (동의 철회): 어드민 'Gmail 연동 해제' 메뉴
- 기타 권리 행사: 본 방침 §16 의 개인정보보호책임자에게 서면·전화·이메일로 연락. 회사는 권리 행사 청구를 받은 날로부터 10일 이내 (전송요구의 경우 지체없이) 회신합니다.
- 대리인을 통한 행사: 「개인정보 처리 방법에 관한 고시」 별지 제11호 서식의 위임장을 제출하셔야 합니다.
권리 행사 방법은 「개인정보 보호법」 제38조제4항에 따라 개인정보의 수집 방법보다 어렵지 않도록 운영합니다.
회원이 개인정보의 오류에 대한 정정을 요청한 경우, 정정을 완료하기 전까지 회사는 해당 개인정보를 이용 또는 제공하지 않습니다. 해지 또는 삭제된 개인정보는 본 방침 §4 (보유·이용 기간) 에 명시된 바에 따라 처리하며, 그 외의 용도로 열람 또는 이용할 수 없도록 처리됩니다.
정보주체의 열람·처리정지 요구는 「개인정보 보호법」 제35조제4항 및 제37조제2항에 따라 제한될 수 있으며, 다른 법령에서 그 개인정보가 수집 대상으로 명시되어 있는 경우에는 삭제를 요구할 수 없습니다.
15. 자동화된 결정에 관한 사항
회사는 현재 카모아 파트너스 운영툴에서 「개인정보 보호법」 제37조의2 에서 정한 '완전히 자동화된 시스템(인공지능 기술을 적용한 시스템 포함) 으로 개인정보를 처리하여 이루어지는 결정' 을 운영하지 않습니다.
판매처 예약 메일 자동 처리 기능 (Gmail 연동) 은 다음 단계로 운영됩니다.
- Gmail 메시지 수신 → 메일 본문 파싱 → 예약 정보 구조화
- 운영자 확인 단계 — 운영자가 어드민에서 파싱 결과를 확인·승인한 뒤 예약을 최종 등록
- 운영툴 예약 등록 완료
운영자 확인 단계가 결정에 개입하므로, 회사는 본 처리를 "완전히 자동화된 결정" 으로 보지 않습니다.
회사는 향후 운영자 확인 단계 없이 자동으로 예약을 등록·취소·수정하는 완전 자동화 기능을 도입하는 경우, 시행일자 30일 이전에 본 방침을 갱신하여 사전 고지하고, 자동화된 결정의 목적·대상 정보주체 범위·사용되는 개인정보 유형·결정 절차·거부 및 설명 요구 방법·절차를 안내하겠습니다.
회원은 「개인정보 보호법」 제37조의2제2항에 따라 향후 도입되는 자동화된 결정에 대해 거부 또는 설명을 요구할 수 있으며, 행사 방법은 본 방침 §14 (정보주체 권리) 와 동일합니다.
16. 개인정보보호책임자
회사는 개인정보 처리에 관한 업무를 총괄하여 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보보호책임자를 지정하고 있습니다.
▶ 개인정보보호책임자
- 성명: 인정환
- 전화번호: 1544-5344
- 이메일: feedback@teamo2.kr
회원은 회사의 서비스를 이용하면서 발생하는 모든 개인정보 보호 관련 문의·불만 처리·피해 구제 등에 관한 사항을 개인정보보호책임자에게 문의할 수 있으며, 회사는 지체없이 답변 및 처리해드릴 것입니다.
17. 국내대리인의 지정에 관한 사항
회사는 국내에 주소 및 영업소를 둔 한국 법인 ((주)팀오투, 본점 소재지 대한민국) 으로서, 「개인정보 보호법」 제31조의2 에 따른 국내대리인 지정 대상이 아닙니다.
18. 권익침해 구제 방법
회원은 개인정보 침해로 인한 분쟁 해결, 상담 등 피해 구제를 받고자 하는 경우 아래의 기관에 신고·상담을 신청할 수 있습니다.
| 기관 | 연락처 | 누리집 |
|---|---|---|
| 개인정보 분쟁조정위원회 | (국번없이) 1833-6972 | www.kopico.go.kr |
| 개인정보침해 신고센터 (KISA) | (국번없이) 118 | privacy.kisa.or.kr |
| 대검찰청 사이버수사과 | (국번없이) 1301 | www.spo.go.kr |
| 경찰청 사이버수사국 | (국번없이) 182 | ecrm.police.go.kr |
19. 개인정보 처리 기준 및 보호 조치에 관한 자율적 사항
현재 별도로 공시할 자율적 보호 활동은 없습니다. 향후 ISMS-P 등 국내외 개인정보보호 인증을 취득하거나 자율규제 단체 활동에 참여하는 경우, 본 방침에 반영하여 공개합니다.
20. 개인정보 처리방침의 변경
본 방침이 변경되는 경우 회사는 변경 사항을 운영툴 공지사항 및 본 페이지를 통해 지속적으로 게재합니다. 회원에게 불리한 변경이 있는 경우에는 시행일자 30일 이전에 공지합니다.
이전 버전의 개인정보 처리방침은 본 페이지 하단에서 확인할 수 있습니다. 처리하는 개인정보 항목·처리 목적 등 회원의 권리에 중대한 영향을 미치는 변경이 있는 경우에는 개정 전·후 비교 대조표를 별도로 안내합니다.
- 시행일자: 26. 05 .31
- 공고일자: 26. 05 .31
- 이전 버전: (최초 시행일 이후 갱신 시 본 항에 적용 기간별 링크 추가)