개인정보 처리방침
시행일: 2026-05-14
나나랑(이하 "회사")은 「개인정보 보호법」 제30조에 따라 정보주체의 개인정보를 보호하고 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.
제1조 (개인정보의 처리 목적)
회사는 다음의 목적을 위하여 개인정보를 처리하며, 다음의 목적 이외의 용도로는 이용하지 않습니다.
1. 상품 주문 접수, 결제, 배송 및 배송 상태 안내
2. 환불·교환·반품 처리 및 분쟁 해결
3. 고객 문의 응대 및 답변 발송
4. 부정 거래 방지 및 법령상 의무 이행
5. 통계 작성 및 서비스 개선 (식별 불가능한 형태)
제2조 (처리하는 개인정보 항목)
가. 주문 시
· 필수: 이름, 전화번호, 배송지 주소, 이메일
· 선택: 배송 메모
· 결제 정보(카드번호 등)는 회사가 보관하지 않으며 결제대행사(PG사)가 직접 처리합니다.
나. 문의 시
· 필수: 이름, 전화번호, 문의 내용
· 선택: 이메일, 관련 주문번호
다. 자동 수집
· 접속 IP 주소, 쿠키, 서비스 이용 기록, 접속 시각
제3조 (개인정보의 처리 및 보유 기간)
회사는 법령에 따른 개인정보 보유·이용 기간 또는 정보주체로부터 동의받은 기간 내에서 개인정보를 처리·보유합니다. 「전자상거래 등에서의 소비자보호에 관한 법률」 등 관계 법령에 따라 다음과 같이 보관합니다.
· 계약 또는 청약철회 등에 관한 기록: 5년
· 대금 결제 및 재화 등의 공급에 관한 기록: 5년
· 소비자의 불만 또는 분쟁처리에 관한 기록: 3년
· 표시·광고에 관한 기록: 6개월
· 접속 로그·접속 IP 정보: 3개월 (통신비밀보호법)
보유 기간이 경과한 개인정보는 지체 없이 파기합니다.
제4조 (개인정보의 제3자 제공)
회사는 정보주체의 개인정보를 제1조에서 명시한 목적 범위 내에서만 처리하며, 정보주체의 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 제3자에게 제공합니다.
현재 회사는 개인정보를 제3자에게 제공하지 않습니다. 다만 결제 처리를 위해 결제대행사(PG사)에 결제 관련 정보를 전달하며, 배송을 위해 운송사(예: CJ대한통운)에 수령인 이름·연락처·주소를 전달합니다.
제5조 (개인정보 처리의 위탁)
회사는 원활한 서비스 운영을 위해 아래와 같이 개인정보 처리 업무를 위탁하고 있습니다. 위탁 계약 체결 시 「개인정보 보호법」 제26조에 따라 필요한 사항을 규정하고, 수탁자가 개인정보를 안전하게 처리하는지 감독합니다.
| 수탁자 | 위탁 업무 | 소재 국가 |
|---|---|---|
| Cloudflare, Inc. | 트랜잭션 이메일 발송, 도메인·CDN·DNS | 미국 |
| Google LLC (Google Cloud Platform) | 웹 서버 및 DB 호스팅 (Seoul 리전) | 미국 본사 / 한국 데이터센터 |
| Google LLC (Firebase Cloud Messaging) | 관리자 앱 푸시 알림 발송에 필요한 토큰 전달 | 미국 |
| (주)토스페이먼츠 | 결제 처리 및 환불 | 대한민국 |
| 네이버파이낸셜(주) | 결제 처리 (네이버페이) | 대한민국 |
국외 이전이 포함된 위탁은 「개인정보 보호법」 제28조의8에 따라 본 처리방침에 공개합니다. 이전 항목, 이전받는 자, 이전 국가는 위 표와 같으며, 이전 방법은 정보통신망(HTTPS 암호화 전송)을 이용합니다.
제6조 (개인정보의 파기 절차 및 방법)
회사는 보유 기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이 해당 개인정보를 파기합니다.
· 파기 절차: 파기 사유 발생 → 보호책임자 승인 → 파기
· 파기 방법:
- 전자적 파일: 기록을 재생할 수 없도록 영구 삭제
- 종이 문서: 분쇄 또는 소각
제7조 (정보주체의 권리·의무 및 행사 방법)
정보주체는 회사에 대해 언제든지 다음 각 호의 권리를 행사할 수 있습니다.
1. 개인정보 열람 요구
2. 오류 등이 있을 경우 정정 요구
3. 삭제 요구
4. 처리 정지 요구
권리 행사는 고객문의 페이지를 통해 서면, 전자우편 등으로 하실 수 있으며 회사는 이에 대해 지체 없이 조치하겠습니다. 다만 법령에서 정하는 바에 따라 권리 행사가 제한될 수 있습니다.
제8조 (개인정보의 안전성 확보 조치)
회사는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.
1. 관리적 조치: 내부관리계획 수립·시행, 접근 권한 최소화
2. 기술적 조치: 비밀번호 일방향 암호화(bcrypt) 저장, 접근 토큰 해시 저장, HTTPS 전송 구간 암호화, 로그인 세션 HMAC 서명
3. 물리적 조치: 데이터센터의 접근 통제(클라우드 사업자가 수행)
제9조 (쿠키 등 자동 수집 장치의 운영 및 거부)
회사는 이용자에게 개별 맞춤 서비스를 제공하기 위해 이용 정보를 저장하고 수시로 불러오는 '쿠키(cookie)'를 사용합니다. 쿠키는 웹사이트가 이용자의 브라우저로 보내는 소량의 정보로 이용자 컴퓨터의 하드디스크에 저장됩니다.
· 사용 목적: 장바구니 유지, 로그인 세션 유지, CSRF 보호
· 거부 방법: 웹 브라우저 설정에서 쿠키 저장 거부 가능. 단, 거부 시 일부 서비스 이용이 제한될 수 있습니다.
제10조 (만 14세 미만 아동의 개인정보)
회사는 만 14세 미만 아동의 개인정보를 수집하지 않습니다.
제11조 (개인정보 보호책임자)
회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
· 성명: —
· 직책: —
· 연락처: 고객문의 페이지를 통해 접수
제12조 (권익침해 구제 방법)
정보주체는 개인정보침해로 인한 구제를 받기 위하여 아래 기관에 분쟁해결이나 상담 등을 신청할 수 있습니다.
· 개인정보분쟁조정위원회: 1833-6972 / privacy.go.kr
· 개인정보침해 신고센터(KISA): 118 / privacy.kisa.or.kr
· 대검찰청 사이버수사과: 1301 / spo.go.kr
· 경찰청 사이버수사국: 182 / ecrm.cyber.go.kr
제13조 (개인정보 처리방침의 변경)
본 개인정보 처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 변경 사항의 시행 7일 전부터 사이트를 통해 고지합니다.