← 홈으로

개인정보처리방침

시행일: 2026년 5월 10일 · 버전 1.1.0

주식회사 온사이트웍스(이하 "회사")는 「개인정보 보호법」 제30조 및 관련 법령에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 다음과 같이 개인정보 처리방침을 수립·공개합니다.

제1조 (개인정보의 처리 목적)

회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리한 개인정보는 다음의 목적 외 용도로는 사용되지 않으며, 이용 목적이 변경될 경우 「개인정보 보호법」 제18조에 따라 별도의 동의를 받습니다.

  • 회원 가입 및 관리 (회원 식별, 본인인증, 서비스 이용 계약 이행)
  • 서비스 제공 (출입관리, RAG 문서 검색, 얼굴 인식 출역 기록)
  • 요금 청구 및 결제 (자동결제 처리, 세금계산서 발행)
  • 고객 지원 (문의 처리, 불만 접수, 알림 발송)
  • 서비스 개선 및 통계 분석 (비식별 통계 한정)

제2조 (처리하는 개인정보의 항목)

구분수집 항목필수/선택
회원 정보이메일, 비밀번호(해시), 이름, 휴대폰번호필수
회사 정보회사명, 사업자등록번호, 대표자명, 사업자등록증필수
결제 정보카드사명, 카드번호 끝 4자리, 빌링키 식별자 (전체 카드번호 미저장)선택
근로자 정보이름, 출입 기록 일시필수 (서비스 이용 시)
민감정보 (별도 동의)얼굴 이미지, 얼굴 특징벡터(Face Vector)선택
위치정보 (별도 동의)출입 시점의 GPS 좌표 (Flutter 앱)선택
자동 수집IP 주소, 서비스 이용 기록, 접속 기기 정보, 쿠키자동

※ 민감정보·위치정보는 별도의 명시적 동의를 받은 경우에 한해 처리하며, 위치정보 상세는 위치정보 처리방침을 참조하시기 바랍니다.

제3조 (개인정보의 보유 및 이용 기간)

  • 회원 정보: 회원 탈퇴 후 30일 (불법·부정 이용 방지를 위한 최소 기간)
  • 결제 기록·세금계산서: 5년 (전자상거래법·국세기본법)
  • 접속 로그·이용 기록: 2년 이상 (정보통신망법·민감정보 처리자 의무)
  • 출입 기록: 서비스 해지 후 3년
  • 얼굴 이미지·특징벡터: 근로자 삭제 요청 또는 회원 탈퇴 시 즉시 파기
  • 위치정보: 수집 후 3년 (보관기간 경과 자동 파기 — Celery Beat 매일 02:00 KST)
  • 전자상거래 분쟁기록·소비자 불만: 3년 (전자상거래법)

제4조 (개인정보의 제3자 제공)

회사는 원칙적으로 정보주체의 개인정보를 외부에 제공하지 않습니다. 다만, 다음 각 호의 경우에는 예외적으로 제공할 수 있습니다.

  • 정보주체로부터 사전에 별도의 동의를 받은 경우
  • 다른 법률에 특별한 규정이 있는 경우
  • 수사기관이 법령에 따른 절차와 방법(영장 등)에 따라 요청하는 경우

제5조 (개인정보 처리의 위탁)

회사는 원활한 서비스 제공을 위해 다음과 같이 개인정보 처리 업무를 위탁하고 있습니다.

수탁업체위탁 업무국가
Amazon Web Services, Inc.서버 인프라(Lightsail), 파일 저장(S3), 얼굴 인식(Rekognition)대한민국(서울)
Pinecone Systems, Inc.문서 벡터 검색 (임베딩 저장)미국
OpenAI, L.L.C.RAG 답변 생성 LLM미국
Upstage AI한국어 LLM(Solar) 처리, Document Parse대한민국
Google LLCGmail SMTP 트랜잭션 메일 발송, OAuth 인증미국
㈜토스페이먼츠결제 처리 및 빌링키 관리대한민국
㈜슈어엠(SureM)카카오 알림톡 발송대한민국
Functional Software, Inc. (Sentry)서비스 오류 모니터링 (PII 스크럽 적용)미국

※ 회사는 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 개인정보 보호 의무·기술적 관리적 보호조치·재위탁 제한·관리감독·손해배상 책임 등을 명시하고 있습니다.

제6조 (개인정보의 국외 이전)

회사는 「개인정보 보호법」 제28조의8에 따라 다음과 같이 개인정보를 국외로 이전하고 있습니다.

이전받는 자이전 국가·일시·방법이전 항목·목적보유·이용 기간
Pinecone Systems, Inc.미국 / 서비스 이용 시 / TLS 1.2+ 암호화 전송문서 임베딩(개인 식별정보 미포함) / 벡터 검색위탁계약 종료 시까지
OpenAI, L.L.C.미국 / 사용자 질의 시 / TLS 1.2+ 암호화 전송사용자 질의 텍스트 / RAG 답변 생성처리 후 즉시 미보관 (OpenAI API No-Train)
Google LLC (Gmail SMTP)미국 / 이메일 발송 시 / TLS 암호화이메일 주소·발송 본문 / 트랜잭션 메일발송 후 즉시 미보관
Functional Software, Inc. (Sentry)미국 / 오류 발생 시 / TLS 암호화오류 스택 트레이스(PII 스크럽 적용)90일

※ 정보주체는 국외 이전을 거부할 권리가 있으며, 거부 시 해당 서비스의 일부 또는 전부 이용이 제한될 수 있습니다. 거부 의사는 help@onsiteworks.io로 요청하실 수 있습니다.

제7조 (정보주체와 법정대리인의 권리·의무 및 그 행사방법)

정보주체는 회사에 대해 언제든지 다음 각 호의 권리를 행사할 수 있습니다.

  • 개인정보 열람 요구
  • 오류 등이 있을 경우 정정 요구
  • 삭제 요구 (관계 법령상 보존 의무가 없는 경우)
  • 처리 정지 요구
  • 개인정보 이동 (제35조의2)
  • 자동화된 결정에 대한 거부·설명·이의제기 (제37조의2 — 2024.3.15. 신설)
  • 동의 철회

권리 행사는 help@onsiteworks.io 또는 앱·웹 설정 메뉴를 통해 요청하실 수 있으며, 회사는 「개인정보 보호법 시행령」 제41조에 따라 10일 이내 처리합니다.

※ 만 14세 미만 아동의 개인정보를 처리하는 경우 법정대리인의 동의가 필요하며, 법정대리인은 아동의 개인정보에 대한 권리를 대리할 수 있습니다.

제8조 (자동화된 결정에 관한 사항)

회사는 「개인정보 보호법」 제37조의2에 따라 다음과 같이 자동화된 결정을 수행합니다.

  • 대상: 얼굴 인식을 통한 출입 본인확인 (Amazon Rekognition Face Match)
  • 판단 기준: 사전 등록된 얼굴 특징벡터와의 유사도 임계값(예: 95%) 이상 시 본인으로 판정
  • 주요 결과: 출입 허용/불가 판정, 출역 기록 자동 생성
  • 거부·설명·이의제기 권리: 정보주체는 자동화된 결정을 거부하거나 사람에 의한 재검토를 요구할 수 있습니다. 요청 시 영업일 5일 이내 CPO가 직접 재검토합니다.

※ 행사방법: help@onsiteworks.io 또는 앱 메뉴 → "자동화 결정 거부"

제9조 (민감정보의 처리)

회사는 「개인정보 보호법」 제23조에 따라 다음 민감정보를 별도의 동의를 받아 처리합니다.

  • 처리 항목: 얼굴 이미지, 얼굴 특징벡터(Face Vector)
  • 처리 목적: 출입 시 본인 인증, 출역 자동 기록
  • 처리 근거: 정보주체의 별도 동의 (가입 시·등록 시)
  • 보유 기간: 근로자 삭제 요청 또는 회원 탈퇴 시 즉시 파기
  • 안전성 확보조치: 얼굴 이미지는 AES-256-GCM 암호화 저장, 특징벡터는 Face Vector 형태로 분리 저장 (원본 이미지로 역산 불가)
  • 거부 시 영향: 얼굴 인식 출입을 이용할 수 없으나, 관리자 수동 출입 등록은 가능

제10조 (개인정보의 파기절차 및 방법)

회사는 보유기간이 경과하거나 처리 목적이 달성된 개인정보는 지체 없이 파기합니다.

  • 파기 절차: 보유기간 경과·목적 달성 시 자동 식별 → 파기 대상 분류 → CPO 검토 → 파기 실행 → 파기 기록 보관(3년)
  • 파기 방법:
    • 전자적 파일: 복구·재생할 수 없도록 영구 삭제(NULL UPDATE + 백업본 폐기)
    • 출력물: 분쇄(Shredder) 또는 소각
    • 얼굴 특징벡터: Pinecone 인덱스 삭제 + 백업 시퀀스 폐기
  • 자동 파기 스케줄: Celery Beat 매일 02:00 KST 실행

제11조 (개인정보의 안전성 확보 조치)

회사는 「개인정보의 안전성 확보조치 기준」에 따라 다음과 같이 관리적·기술적·물리적 보호조치를 취하고 있습니다.

관리적 조치

  • 개인정보 내부관리계획 수립·시행 (연 1회 갱신)
  • 개인정보 취급자 지정·서약서·정기 교육(연 2회)
  • 위탁사 관리·감독 (DPA 체결, 정기 점검)

기술적 조치

  • 암호화: TLS 1.2+ (전송), bcrypt (비밀번호), AES-256-GCM (얼굴 이미지·민감정보), S3 Server-Side Encryption (저장 — AES256 기본, KMS 키 분리 옵션)
  • 접근 통제: Role 기반 권한(SystemAdmin/CompanyAdmin/ProjectManager/Worker), 세션 타임아웃, IP 화이트리스트
  • 접속 기록 2년 이상 보관·월 1회 점검·위·변조 방지
  • 침해사고 대응: 침입탐지(IDS)·악성코드 방지·취약점 점검
  • 개인정보처리시스템과 외부망 분리(가능한 경우)

물리적 조치

  • 전산실·자료보관실 출입 통제 (AWS Lightsail 데이터센터 인증 활용)
  • 개인정보 출력물 잠금 관리 및 접근 통제

제12조 (개인정보 자동 수집 장치의 설치·운영 및 거부)

회사는 이용자 맞춤 서비스 제공을 위해 쿠키(Cookie)를 사용합니다.

  • 쿠키의 사용 목적: 로그인 유지(세션 쿠키), 사용자 환경설정 보존, 서비스 이용 분석
  • 설치·운영·거부: 이용자는 웹 브라우저의 옵션 설정을 통해 쿠키 저장을 거부할 수 있습니다 (예: Chrome → 설정 → 개인정보 및 보안 → 쿠키와 기타 사이트 데이터). 다만, 쿠키 저장 거부 시 로그인이 필요한 일부 서비스 이용이 제한될 수 있습니다.
  • 제3자 광고·추적 쿠키 미사용: 회사는 광고·행태정보 수집 목적의 제3자 쿠키를 사용하지 않습니다.

제13조 (개인정보 보호책임자 등)

회사는 개인정보 처리에 관한 업무를 총괄하고 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자(CPO), 정보보호최고책임자(CISO), 위치정보 관리책임자를 지정하고 있습니다.

개인정보 보호책임자 (CPO) — 「개인정보 보호법 시행령」 제30조

  • 성명: 남태경
  • 직위·부서: 대표 (기술연구소)
  • 이메일: help@onsiteworks.io
  • 전화: 031-423-7871

정보보호최고책임자 (CISO) — 「정보통신망법」 제45조의3

  • 성명: 남태경
  • 직위·부서: 대표 (기술연구소)
  • 이메일: help@onsiteworks.io
  • 전화: 031-423-7871

위치정보 관리책임자 — 「위치정보법」 제19조 제2항

  • 성명: 남태경
  • 직위·부서: 대표 (기술연구소)
  • 이메일: help@onsiteworks.io
  • 전화: 031-423-7871

※ 정보주체는 본 책임자의 연락처로 개인정보 보호와 관련된 문의·민원·피해구제 등을 요청할 수 있으며, 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해 드립니다.

제14조 (개인정보 처리방침의 변경)

본 개인정보 처리방침은 법령·정책 또는 보안기술의 변경에 따라 내용의 추가·삭제 및 수정이 있을 시 회사 홈페이지를 통해 사전 공지합니다.

  • 경미한 변경: 시행 7일 전 공지
  • 중대한 변경(이용자 권리 영향): 시행 30일 전 공지 + 별도 통지(이메일·앱 알림)
버전시행일주요 변경 내용
1.0.02026-05-01최초 시행
1.1.02026-05-10법정 13개 항목 보완 (파기·안전성·쿠키·변경·구제), 민감정보·자동화결정·국외이전·CPO 정보 명시

제15조 (권익침해 구제방법)

정보주체는 개인정보 침해에 대한 신고·상담을 위하여 다음 기관에 문의하실 수 있습니다. 본 기관들은 회사와 별개의 기관으로서, 회사 처리에 대한 결과에 만족하지 못하시거나 보다 자세한 도움이 필요하시면 문의하시기 바랍니다.

기관전화홈페이지
개인정보 분쟁조정위원회1833-6972www.kopico.go.kr
개인정보 침해신고센터(국번없이) 118privacy.go.kr
대검찰청 사이버수사과(국번없이) 1301www.spo.go.kr
경찰청 사이버수사국(국번없이) 182ecrm.cyber.go.kr

부칙

본 개인정보 처리방침은 2026년 5월 10일부터 시행합니다.