개인정보
개인정보처리방침
시행 2026년 5월 12일. 본 사이트(https://nanumhappy.com) 한정.
동래나눔과행복병원은(는) 정보주체의 자유와 권리를 보호하기 위해 「개인정보 보호법」 등 관계 법령이 정한 바를 준수하여, 적법하게 개인정보를 처리하고 안전하게 관리하고 있습니다. 「개인정보 보호법」 제30조에 따라 정보주체에게 개인정보 처리에 관한 절차 및 기준을 안내하고, 이와 관련한 고충을 신속하고 원활하게 처리할 수 있도록 본 처리방침을 수립·공개합니다.
1. 적용 범위
본 개인정보처리방침은 동래나눔과행복병원(이하 "병원")이 운영하는 본 사이트(https://nanumhappy.com, 이하 "본 사이트")에서 처리되는 개인정보에 적용됩니다. 병원 본체에서 처리되는 진료기록·수납·증명서 등 의료 활동에 따른 개인정보는 「의료법」 제21조·제22조 및 별도 안내(원무과)에 따르며, 본 방침의 직접 적용 대상이 아닙니다. 본 사이트는 정적 안내 페이지로 시작하여 다음과 같이 단계적으로 기능이 확장됩니다. - M1 (시행 중): 안내 페이지·공지·외래/입원/낮병원/이용안내·소식 - M2 (시행 예정): 직원·운영진 로그인 (Supabase Auth), 가입 승인 절차 - M3 (시행 예정): 챗봇 "나눔이" (안내 전용, 익명 집계) 각 단계가 라이브되는 시점에 본 방침의 해당 항목을 "시행 예정"에서 "시행 중"으로 변경하고 공지합니다.
2. 개인정보의 처리 목적
병원은 본 사이트를 통해 수집하는 개인정보를 다음의 목적으로만 처리합니다. 처리 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다. 가. 본 사이트 운영 (시행 중) - 서비스 제공, 부정 접속·해킹 방지, 보안 로그 분석 - 통계 산출 및 서비스 품질 개선 나. 직원·운영진 인증 (M2 시행 예정) - 가입 의사 확인, 본인 확인, 직원·운영진 권한 부여 및 관리 - 가입 승인 큐 운영 다. 챗봇 "나눔이" 안내 서비스 (M3 시행 예정) - 병원 이용 안내(외래·입원·서류 등)에 대한 자동 응답 - 챗봇 이용 통계(익명 집계)에 따른 운영 개선
3. 처리하는 개인정보 항목
병원이 본 사이트에서 처리하는 개인정보 항목은 다음과 같습니다. 가. 자동 수집 항목 (시행 중) - 접속 IP 주소, 접속 일시, 접속한 페이지(URL), Referer, 브라우저·OS·기기 정보(User-Agent) - 쿠키(필수 쿠키에 한함 — 본 항 9. 자동수집장치 참조) 나. 직원·운영진 인증 시점 항목 (M2 시행 예정) - 이메일 주소, 비밀번호(해시 저장), 이름(또는 표기명), 소속 부서, 부여 권한 - 카카오 OAuth 이용 시: 카카오에서 제공하는 식별자 및 이메일 다. 챗봇 이용 시점 항목 (M3 시행 예정) - 챗봇 메시지의 일별 익명 집계(총 요청 수, 거절 수, 위기 키워드 매칭 수, 주요 카테고리)만 보관 - 사용자별 식별자·메시지 원문·세션 단위 데이터는 보관하지 않음 - 챗봇 입력값을 외부 LLM에 전달하기 전 정규식 기반 PII(주민등록번호·전화번호) 자동 마스킹 라. 민감정보·고유식별정보 - 본 사이트는 민감정보(건강·진료 정보 등) 및 고유식별정보(주민등록번호·여권번호 등)를 처리하지 않습니다. - 진료기록 등 민감정보의 처리는 병원 본체의 의료정보시스템에서 의료법에 따라 별도로 관리됩니다.
4. 개인정보의 처리 및 보유 기간
병원은 「개인정보 보호법」 제21조에 따라 개인정보의 처리 목적이 달성되거나 보유 기간이 경과한 경우 지체 없이 해당 개인정보를 파기합니다. 가. 본 사이트 접속·보안 로그 (시행 중) - 보유 기간: 3개월 (「통신비밀보호법」 제15조의2 및 시행령 제41조 — 통신사실확인자료 보관 의무 준용) - 호스팅 사업자(Vercel)의 표준 로그 정책 범위 내에서 보관 나. 직원·운영진 계정 (M2 시행 예정) - 보유 기간: 회원 자격 유지 기간 동안. 탈퇴·해임 시 지체 없이 파기. - 단, 「전자상거래 등에서의 소비자보호에 관한 법률」 등 다른 법령에 따라 보존이 필요한 경우 해당 기간 동안 보관. 다. 챗봇 익명 집계 (M3 시행 예정) - 보유 기간: 90일 (이후 일별 cron으로 자동 삭제) - 사용자별 식별자·원문은 보관하지 않으므로, 90일 이내라도 특정 개인에 관한 정보를 분리·식별할 수 없습니다. 라. 백업 - 데이터베이스 백업(Supabase Point-in-Time Recovery)은 최대 7일 보관되며, 백업 잔존 기간 동안에는 개별 row 단위 삭제가 불가능합니다. 이는 「개인정보 보호법 시행령」 제16조에 따른 안전성 확보 조치의 일환입니다.
5. 개인정보의 제3자 제공
병원은 본 사이트에서 수집한 개인정보를 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우를 제외하고 제3자에게 제공하지 않습니다. 다음의 경우에는 예외로 합니다. - 정보주체로부터 별도의 동의를 받은 경우 - 다른 법령에 특별한 규정이 있는 경우 - 명백히 정보주체 또는 제3자의 급박한 생명·신체·재산상 이익을 위해 필요하다고 인정되는 경우 - 「개인정보 보호법」 제18조 제2항 각 호에 해당하는 경우 (수사·재판 등 법령에 따른 요청)
6. 개인정보 처리 위탁 (국외 이전 포함)
병원은 본 사이트의 안정적 운영을 위해 다음과 같이 개인정보의 처리 업무를 위탁합니다. 위탁계약 시 「개인정보 보호법」 제26조에 따라 처리 목적 외 사용 금지, 안전성 확보 조치, 재위탁 제한 등을 명시하고 있습니다. 가. 위탁 현황 (시행 중) - 수탁자: Vercel Inc. (미국) - 위탁 업무: 본 사이트 호스팅·CDN·접속 로그 - 처리 항목: IP 주소, 접속 일시, User-Agent 등 자동수집 항목 - 이전 국가: 미국 - 보유·이용 기간: 위탁 계약 종료 시까지 나. 위탁 예정 (M2 시행 예정) - 수탁자: Supabase Inc. (미국) - 위탁 업무: 인증·데이터베이스 - 처리 항목: 이메일, 비밀번호 해시, 이름, 권한 등 계정 정보 - 이전 국가: 미국 (Supabase 인프라 리전) - 보유·이용 기간: 위탁 계약 종료 시까지 - 수탁자: Kakao Corp. (대한민국) - 위탁 업무: 카카오 OAuth 로그인 (이용 선택 시) - 처리 항목: 카카오 제공 식별자, 이메일 - 이전 국가: 대한민국 (국외 이전 없음) 다. 위탁 예정 (M3 시행 예정) - 수탁자: OpenAI, L.L.C. (미국) - 위탁 업무: RAG 임베딩 생성(text-embedding-3-large) - 처리 항목: 병원이 작성한 안내 문서의 텍스트 (개인정보 미포함) - 이전 국가: 미국 - 보유·이용 기간: 위탁 계약 종료 시까지 - 처리 방침: Zero Data Retention 옵션 사용. API 요청 본문은 OpenAI 측에 학습 용도로 저장되지 않음. - 수탁자: Google LLC (미국) - 위탁 업무: 챗봇 응답 생성(Gemini 2.5 Flash-Lite) - 처리 항목: 사용자 입력 메시지 (PII 자동 마스킹 후 전송), 검색된 안내 문서 컨텍스트 - 이전 국가: 미국 - 보유·이용 기간: 위탁 계약 종료 시까지 - 처리 방침: Google AI for Developers 정책에 따라 학습 미사용. PII 마스킹 후 전송하므로 직접 식별 가능한 개인정보 미전달. 병원은 위탁 내용이 변경되는 경우 본 방침을 통해 지체 없이 공개합니다.
7. 정보주체의 권리·의무 및 행사 방법
정보주체는 병원에 대해 언제든지 다음 권리를 행사할 수 있습니다. 가. 권리 (「개인정보 보호법」 제35조~제37조) - 개인정보 열람 요구 - 오류 등이 있을 경우 정정·삭제 요구 - 처리 정지 요구 - 동의 철회 나. 행사 방법 - 본 방침 13. 개인정보보호책임자 연락처로 서면, 전화, 이메일을 통해 요청 - 병원은 정보주체의 요구에 대해 지체 없이(10일 이내) 조치합니다. 다. 제한 - 「개인정보 보호법」 제35조 제4항, 제37조 제2항 등에 따라 권리 행사가 제한될 수 있습니다. - 의료법 제21조에 따른 진료기록 열람·사본 발급은 본 방침이 아닌 병원 원무과 절차에 따릅니다. 라. 14세 미만 아동 - 본 사이트는 만 14세 미만 아동의 회원가입을 받지 않습니다(M2 시행 시점부터 적용).
8. 개인정보의 파기 절차 및 방법
병원은 개인정보 보유 기간이 경과하거나 처리 목적이 달성된 경우 지체 없이 해당 개인정보를 파기합니다. 가. 파기 절차 - 보유 기간이 경과한 개인정보는 자동화된 일정에 따라 데이터베이스에서 삭제됩니다. - 챗봇 익명 집계는 일별 cron으로 90일 경과분을 자동 삭제합니다. - 백업 잔존(최대 7일)이 만료되면 백업본도 자동 파기됩니다. 나. 파기 방법 - 전자적 파일: 복구·재생이 불가능한 방법으로 영구 삭제 - 종이 문서: 분쇄 또는 소각 (본 사이트는 종이 출력 절차 없음)
9. 개인정보의 안전성 확보 조치
병원은 「개인정보 보호법」 제29조 및 「개인정보의 안전성 확보조치 기준」(개인정보보호위원회 고시)에 따라 다음과 같은 조치를 시행합니다. 가. 관리적 조치 - 개인정보보호책임자 지정 - 직원의 개인정보 취급 권한 최소화 (역할 기반 접근 제어 — RLS) - 정기적 보안 교육 나. 기술적 조치 - 비밀번호 일방향 해시 저장 (M2 시행 시) - 전 구간 HTTPS(TLS) 암호화 통신 - 데이터베이스 Row-Level Security(RLS) 적용 (M2 시행 시) - 외부 LLM 호출 전 PII(주민등록번호·전화번호) 자동 마스킹 (M3 시행 시) - 접속 로그 보관 및 이상 접근 모니터링 다. 물리적 조치 - 본 사이트 인프라는 Vercel·Supabase의 데이터센터에 위치하며, 해당 사업자의 ISO 27001·SOC 2 인증 기준에 따라 물리적 보안이 적용됩니다.
11. 행태정보의 수집·이용·제공·거부
본 사이트는 이용자의 행태정보(웹사이트 이용 이력 등)를 수집·이용·제공하지 않습니다. 본 사이트는 광고·맞춤형 추천을 운영하지 않으며, Google Analytics·Meta Pixel 등 제3자 광고·분석 도구를 일체 도입하지 않습니다. (Vercel Speed Insights를 향후 도입할 경우 본 항을 갱신합니다.)
12. 가명정보의 처리에 관한 사항
본 사이트는 가명정보를 처리하지 않습니다. 향후 통계·연구·공익적 기록 보존을 위해 가명정보를 처리하게 되는 경우 본 방침을 통해 사전 공개합니다.
13. 개인정보보호책임자
병원은 정보주체의 개인정보를 보호하고 개인정보와 관련한 불만 처리 및 피해 구제를 위해 아래와 같이 개인정보보호책임자를 지정하고 있습니다. - 성명: 정성수 - 직책: 개인정보보호책임자 - 전화: 051-507-7011 - 이메일: shhospital@naver.com 정보주체는 개인정보 보호와 관련한 모든 문의·불만·피해 구제 등에 대해 개인정보보호책임자에게 연락하실 수 있으며, 병원은 지체 없이 답변·처리하겠습니다.
14. 권익침해 구제방법
정보주체는 개인정보 침해로 인한 구제를 받기 위해 아래 기관에 분쟁 해결·상담을 신청할 수 있습니다. 아래 기관은 병원과 별개의 독립 기관입니다. - 개인정보분쟁조정위원회 — kopico.go.kr · 1833-6972 - 개인정보침해신고센터 (한국인터넷진흥원) — privacy.kisa.or.kr · 118 - 대검찰청 사이버수사과 — spo.go.kr · 1301 - 경찰청 사이버수사국 — ecrm.cyber.go.kr · 182 또한 「개인정보 보호법」 제35조(개인정보의 열람), 제36조(개인정보의 정정·삭제), 제37조(개인정보의 처리정지 등)의 규정에 의한 요구에 대하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다(중앙행정심판위원회 simpan.go.kr · 110).
15. 개인정보처리방침의 변경
본 개인정보처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가·삭제·정정이 있는 경우 변경 사항의 시행 7일 전부터 본 사이트의 공지사항을 통해 고지합니다. 다만, 정보주체의 권리에 중요한 변경이 있을 경우 최소 30일 전에 고지합니다. - 시행일: 2026년 5월 12일