개인정보처리방침

시행일 2026년 4월 29일 · 최종 개정일 2026년 4월 29일 · 버전 1.0

주식회사 슈퍼플레이스(이하 "회사")는 BizPass 서비스(이하 "서비스")를 제공함에 있어 정보주체의 개인정보를 소중하게 생각하며, 「개인정보 보호법」 제30조 및 개인정보보호위원회 「개인정보 처리방침 작성지침」(2025.4.21.)에 따라 다음과 같이 개인정보 처리방침을 수립·공개합니다. 본 방침은 2026년 9월 15일부터 시행되는 개정 「개인정보 보호법」의 요구사항을 반영하였습니다.

제1조개인정보 처리 목적

회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리한 개인정보는 다음의 목적 외의 용도로는 사용되지 않으며, 이용 목적이 변경되는 경우에는 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.

회원(매장 운영자, 이하 "고객사") 가입 및 관리
회원 식별, 본인 인증, 회원자격 유지·관리, 서비스 부정이용 방지, 각종 고지·통지, 고충처리
서비스 제공
매장 출입 통제 SaaS 운영, 출입 인증을 위한 OTP 발송·검증, 도어 제어 명령 송수신, 출입 기록 관리, 고객사 대시보드 제공, 분쟁 대응 및 도난·범죄 수사 협조, 단골 식별 등 고객사의 매장 운영 부수 업무 지원
요금 정산 및 청구
이용 요금 청구, 세금계산서 발행, 미납 안내, 환불
마케팅 및 광고에의 활용
신규 서비스(제품) 안내, 이벤트 정보 및 참여 기회 제공(별도 동의 시에 한함)
법령상 의무 이행
「전자상거래 등에서의 소비자보호에 관한 법률」, 「전자금융거래법」, 「통신비밀보호법」 등에 따른 의무 이행

제2조처리하는 개인정보 항목

1) 고객사(매장 운영자) 회원

구분	수집 항목	수집 방법
필수	휴대전화번호, 이름	회원가입 시 정보주체 입력
선택	매장명, 매장 주소, 사업자등록번호, 이메일	매장 등록 시 정보주체 입력
요금 정산	입금자명, 입금 계좌(세금계산서 발행 시 사업자정보 일체)	요금 결제·세금계산서 신청 시 정보주체 입력
자동 생성	접속 IP, 접속 일시, 서비스 이용 기록, 기기·브라우저 정보, 쿠키, 디바이스 식별자	서비스 이용 과정에서 자동 생성

2) 출입자(매장 방문자)

구분	수집 항목	수집 방법
필수	휴대전화번호 (OTP 인증용)	출입 시 정보주체 직접 입력
자동 생성	출입 일시, 출입 매장 식별자, 인증 결과(성공/실패)	출입 인증 과정에서 자동 생성
자동 인증 토큰	인증된 휴대전화번호를 포함하는 서명 토큰(JWT) 이용자 디바이스의 브라우저 저장소(localStorage)에 보관되며, 회사 서버에는 별도 저장되지 않습니다.	OTP 인증 성공 시 자동 발급되어 이용자 디바이스에 저장

출입자 개인정보 처리 주체에 관한 고지. 출입자의 개인정보는 매장을 운영하는 고객사가 「개인정보 보호법」상 개인정보처리자에 해당하며, 회사는 고객사의 위탁을 받아 OTP 발송·검증 및 출입 기록 보관을 수행하는 수탁자(처리자) 지위를 가집니다. 회사는 본 개인정보처리방침에서 출입자에 대한 처리 사항을 함께 공개하여 정보주체의 알 권리를 보장합니다.

제3조개인정보 처리 및 보유 기간

회사는 법령에 따른 개인정보 보유·이용 기간 또는 정보주체로부터 개인정보를 수집 시에 동의받은 개인정보 보유·이용 기간 내에서 개인정보를 처리·보유합니다.

처리 항목	보유 기간	근거
고객사 회원정보	회원 탈퇴 시까지	회원과의 계약 이행
출입자 휴대전화번호 및 출입 기록 (출입 일시, 출입 매장 식별자, 인증 결과)	고객사(매장 운영자)가 회원 탈퇴 또는 매장 운영 종료 시까지 고객사가 별도 보유 기간을 설정한 경우 해당 기간 만료 시 파기	고객사 매장 운영, 분쟁 대응, 수사 협조
출입자 자동 인증 토큰 (JWT, localStorage 저장)	발급일로부터 90일 또는 이용자가 브라우저 저장소를 삭제하는 시점 중 먼저 도래하는 시점	출입 편의 기능 제공 (재방문 시 자동 인증)
요금 결제·청구 기록	5년	전자상거래법 제6조
세금계산서 등 거래 기록	5년	부가가치세법 제32조
표시·광고에 관한 기록	6개월	전자상거래법 제6조
시스템 이벤트 로그 (장치 상태, 도어 제어 명령 등)	7일	운영 모니터링 및 장애 대응
부정이용 기록	1년	회사의 정당한 이익(서비스 부정이용 방지)

※ 휴대전화번호는 평문으로 저장됩니다. 회사는 「개인정보의 안전성 확보조치 기준」 고시에 따라 휴대전화번호의 의무 암호화 대상이 아님을 확인하였으며, 접근통제·전송구간 암호화·접속 기록 관리 등 안전성 확보 조치를 통해 보호하고 있습니다. (제9조 참조)

제4조개인정보 제3자 제공

회사는 정보주체의 별도 동의, 법률의 특별한 규정 등 「개인정보 보호법」 제17조 및 제18조에 해당하는 경우에만 개인정보를 제3자에게 제공합니다.

본 처리방침 시행일 현재 회사가 정기적으로 제공하는 제3자는 없습니다. 다만 다음의 경우에는 예외적으로 개인정보가 제공될 수 있습니다.

정보주체로부터 별도의 동의를 받은 경우
법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우
수사기관이 적법한 절차(영장 등)에 따라 요구하는 경우
정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태이거나 주소불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명, 신체, 재산의 이익을 위하여 필요하다고 인정되는 경우

제5조개인정보 처리 위탁

회사는 원활한 서비스 제공을 위하여 다음과 같이 개인정보 처리 업무를 위탁하고 있으며, 「개인정보 보호법」 제26조에 따라 위탁계약 시 개인정보의 안전한 관리를 위하여 필요한 사항을 규정하고 있습니다.

수탁자	위탁 업무	보유·이용 기간
Amazon Web Services Korea LLC (AWS, 서울 리전)	클라우드 인프라 운영, 데이터베이스 호스팅, 데이터 저장	위탁 계약 종료 시 또는 회원 탈퇴 시까지
(주)솔라피 (Solapi)	OTP 인증 SMS·알림톡 발송	발송 직후 폐기 (수탁자 정책에 따른 발송 결과 로그 별도 보관)
(주)비즈앤컴	매장 현장 설치 및 사후 점검 시 점주 연락처 활용	설치·점검 업무 종료 시까지
Google LLC (Google Analytics 4)	웹사이트 이용 통계 분석 (가명·집계 형태)	14개월 (GA4 기본 보유 기간)

회사는 위탁계약 체결 시 「개인정보 보호법」 제26조에 따라 위탁업무 수행 목적 외 개인정보 처리 금지, 기술적·관리적 보호조치, 재위탁 제한, 수탁자에 대한 관리·감독, 손해배상 등 책임에 관한 사항을 계약서 등 문서에 명시하고, 수탁자가 개인정보를 안전하게 처리하는지를 감독합니다.

제6조개인정보 국외 이전

회사는 원칙적으로 정보주체의 개인정보를 국내(대한민국) 서버에서 처리·보관합니다. 다만 다음의 경우 개인정보가 국외로 이전될 수 있으며, 「개인정보 보호법」 제28조의8에 따른 안전조치를 이행합니다.

이전받는 자	이전 국가	이전 항목	이전 목적·근거	보유 기간
Google LLC	미국	가명 처리된 쿠키 식별자, IP(일부 마스킹), 페이지 조회 기록	웹사이트 이용 통계 분석 / 정보주체 동의(쿠키)	14개월

이전 일시 및 방법은 서비스 이용 시점에 네트워크를 통한 전송 방식으로 수시 이전되며, 이전을 거부하고자 하는 경우 브라우저의 쿠키 차단 설정 또는 GA 옵트아웃 부가 기능(tools.google.com/dlpage/gaoptout) 설치를 통해 거부할 수 있습니다.

제7조정보주체와 법정대리인의 권리·의무 및 행사 방법

정보주체는 회사에 대해 언제든지 다음 각 호의 권리를 행사할 수 있습니다.

개인정보 열람 요구
오류 등이 있을 경우 정정 요구
삭제 요구
처리 정지 요구
개인정보 이동 요구 (개정 「개인정보 보호법」 제35조의2 시행일부터)
자동화된 결정에 대한 거부·설명 요구 (해당 시)
동의 철회

권리 행사는 서면 또는 전자우편(privacy@superplace.so)을 통하여 접수하실 수 있으며, 회사는 접수일로부터 10일 이내에 조치 결과를 회신해드립니다. 본 처리방침 시행일 현재 회사는 정보주체의 권리 행사를 위한 별도의 셀프서비스(자동화된 열람·삭제 기능)를 제공하지 않으며, 모든 권리 행사 요청은 위 채널을 통하여 처리됩니다.

정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우에는 회사는 정정 또는 삭제를 완료할 때까지 당해 개인정보를 이용하거나 제공하지 않습니다.

권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수 있습니다. 이 경우 「개인정보 처리 방법에 관한 고시」(제2020-7호) 별지 제11호 서식에 따른 위임장을 제출하셔야 합니다.

정보주체는 「개인정보 보호법」 등 관계법령을 위반하여 회사가 처리하고 있는 정보주체 본인이나 타인의 개인정보 및 사생활을 침해하여서는 안 됩니다.

제8조개인정보의 파기

회사는 개인정보 보유 기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체 없이(5일 이내) 해당 개인정보를 파기합니다.

파기 절차

이용자가 입력한 정보는 목적 달성 후 별도의 DB(종이의 경우 별도의 서류함)로 옮겨져 내부 방침 및 기타 관련 법령에 따라 일정 기간 저장된 후 혹은 즉시 파기됩니다. 별도 DB로 옮겨진 개인정보는 법률에 의한 경우가 아니고서는 다른 목적으로 이용되지 않습니다.

파기 방법

전자적 파일 형태: 기록을 재생할 수 없는 기술적 방법(난수 덮어쓰기 또는 암호 키 폐기)을 사용하여 영구 삭제
종이 출력물: 분쇄기로 분쇄하거나 소각

제9조개인정보의 안전성 확보 조치

회사는 「개인정보 보호법」 제29조에 따라 다음과 같이 안전성 확보에 필요한 기술적·관리적 및 물리적 조치를 하고 있습니다.

1. 관리적 조치

내부관리계획 수립·시행 및 정기적(연 1회 이상) 검토
개인정보 취급자 최소화 및 정기 교육
접근 권한 부여·변경·말소 절차 마련 및 권한 관리 대장 운영

2. 기술적 조치

개인정보처리시스템에 대한 접근 권한 관리(JWT 기반 인증, 권한별 접근 분리), 접근통제시스템 설치
비밀번호의 안전한 저장 및 전송(단방향 해시 암호화)
데이터베이스 저장소 단위의 AES-256 암호화(AWS RDS 저장소 암호화 적용). 휴대전화번호 등 일반 개인정보의 애플리케이션 레벨 필드 암호화는 「개인정보의 안전성 확보조치 기준」 고시상 의무 대상이 아니므로 적용하지 않습니다.
전송 구간 TLS 1.2 이상 암호화(AWS Application Load Balancer 및 AWS Amplify 보안정책 적용)
해킹 등에 대비한 침입차단·침입탐지(AWS Shield, AWS WAF) 운영
이벤트 로그 7일 보관 및 회원 행위 로그 별도 관리
의존성 보안 패치 및 운영체제 보안 업데이트 정기 적용

3. 물리적 조치

주요 인프라는 ISO/IEC 27001, ISMS 등 국제 보안 표준을 준수하는 AWS 서울 리전 데이터센터에서 운영
전산실, 자료보관실 등에 대한 접근통제 (회사는 자체 데이터센터를 운영하지 않음)

제10조개인정보 자동 수집 장치(쿠키 등)의 운영

회사는 이용자에게 개별적인 맞춤 서비스를 제공하기 위해 이용 정보를 저장하고 수시로 불러오는 '쿠키(cookie)' 및 브라우저 저장소(localStorage, sessionStorage)를 사용합니다.

자동 수집 장치의 종류 및 사용 목적

구분	저장 위치	사용 목적	보유 기간
로그인 세션 토큰	localStorage	고객사 회원 로그인 세션 유지 및 보안	로그아웃 시까지
출입자 자동 인증 토큰	localStorage	OTP 인증을 마친 출입자가 동일 디바이스로 재방문 시 자동 인증 처리	발급일로부터 90일
웹사이트 통계 분석 쿠키	쿠키 (Google Analytics 4)	웹사이트 방문 패턴 통계 분석	최대 14개월
UI 환경설정	localStorage	다크모드 등 사용자 환경설정 유지	이용자가 삭제하는 시점까지

설치·운영 및 거부

이용자는 자동 수집 장치 설치에 대한 선택권을 가지고 있습니다. 거부 방법은 다음과 같습니다.

쿠키 거부: 웹브라우저 설정에서 쿠키를 차단하거나 저장 시 확인을 거치도록 설정 (Chrome: 설정 → 개인정보 및 보안 → 쿠키 및 기타 사이트 데이터)
localStorage 삭제 (출입자 자동 인증 해제 포함): 브라우저 설정 → 사이트 데이터 삭제, 또는 시크릿/프라이빗 모드 사용
Google Analytics 옵트아웃: tools.google.com/dlpage/gaoptout 부가 기능 설치

자동 수집 장치 저장을 거부할 경우 로그인 유지, 자동 출입 인증 등 일부 서비스 이용에 제약이 있을 수 있습니다. 출입자 자동 인증 토큰을 거부하더라도 매번 OTP 인증을 통해 정상적으로 출입할 수 있습니다.

회사는 행태정보를 활용한 맞춤형 광고를 운영하고 있지 않습니다. 광고 식별자 또는 제3자 광고 픽셀(Meta, Google Ads 등)을 통한 행태정보 수집은 수행하지 않습니다.

제11조추가적인 이용·제공의 판단기준

회사는 「개인정보 보호법」 제15조 제3항 및 제17조 제4항에 따라 정보주체의 동의 없이 개인정보를 추가적으로 이용·제공할 수 있습니다. 이에 따라 회사가 정보주체의 동의 없이 추가적인 이용·제공을 하기 위해서 다음과 같은 사항을 고려하였습니다.

개인정보를 추가적으로 이용·제공하려는 목적이 당초 수집 목적과 관련성이 있는지 여부
개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 추가적인 이용·제공에 대한 예측 가능성이 있는지 여부
개인정보의 추가적인 이용·제공이 정보주체의 이익을 부당하게 침해하는지 여부
가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부

제12조가명정보 처리

회사는 본 처리방침 시행일 현재 통계작성, 과학적 연구, 공익적 기록보존 목적의 가명정보 처리를 수행하고 있지 않습니다. 향후 가명정보를 처리하게 되는 경우, 「개인정보 보호법」 제28조의2 내지 제28조의7에 따라 다음 사항을 본 처리방침에 명시하여 공개하겠습니다.

가명정보의 처리 목적
처리하는 개인정보의 항목
가명정보의 처리 기간(처리 목적과 관련된 경우에 한정)
가명정보의 제3자 제공에 관한 사항(해당되는 경우에 한정)
가명정보 처리의 위탁에 관한 사항(해당되는 경우에 한정)
가명정보의 안전성 확보 조치에 관한 사항

제13조자동화된 결정에 대한 정보 (개정 PIPA 제37조의2)

회사는 본 처리방침 시행일 현재 「개인정보 보호법」 제37조의2에서 규정하는, 정보주체의 권리 또는 의무에 중대한 영향을 미치는 완전히 자동화된 결정(인공지능 기술을 적용한 시스템을 포함)을 수행하고 있지 않습니다.

회사가 제공하는 OTP 발송, 출입 인증 결과 판정 등은 정보주체가 입력한 사실관계(휴대전화번호 일치 여부, 매장 출입 권한 여부)를 단순 검증하는 절차로서, 정보주체의 권리·의무에 중대한 영향을 미치는 평가·예측·분석을 포함하지 않습니다.

향후 자동화된 결정을 도입하게 되는 경우, 회사는 사전에 본 처리방침을 개정하여 의사결정의 기준·절차, 거부·설명 요구 방법을 공개하고 정보주체에게 통지하겠습니다.

제14조14세 미만 아동의 개인정보

회사의 서비스는 사업장 출입 통제를 목적으로 하며, 만 14세 미만 아동을 서비스 대상으로 하지 않습니다. 회사는 만 14세 미만 아동의 개인정보를 수집·이용·제공하기 위하여 의도적으로 정보를 요청하지 않습니다.

고객사(매장 운영자)는 자신이 운영하는 매장의 출입 시스템에 만 14세 미만 아동의 개인정보가 입력되지 않도록 출입 정책을 수립할 의무가 있으며, 만일 만 14세 미만 아동의 개인정보가 수집된 사실을 인지한 경우 즉시 회사에 통지하여야 합니다. 회사는 통지 즉시 또는 인지 즉시 해당 개인정보를 「개인정보 보호법」 제22조의2에 따라 지체 없이 파기합니다.

만 14세 미만 아동의 법정대리인은 다음 연락처로 아동의 개인정보 열람·정정·삭제·처리정지를 요구할 수 있습니다.

이메일: privacy@superplace.so

제15조개인정보 보호책임자

회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해 구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.

구분	개인정보 보호책임자
성명	김의준
직책	대표이사
연락처	privacy@superplace.so

정보주체는 회사의 서비스를 이용하시면서 발생한 모든 개인정보 보호 관련 문의, 불만 처리, 피해 구제 등에 관한 사항을 개인정보 보호책임자에게 문의하실 수 있습니다. 회사는 정보주체의 문의에 대해 지체 없이 답변 및 처리해 드릴 것입니다.

제16조권익침해 구제 방법

정보주체는 개인정보 침해로 인한 구제를 받기 위하여 개인정보분쟁조정위원회, 한국인터넷진흥원 개인정보침해신고센터 등에 분쟁해결이나 상담 등을 신청할 수 있습니다. 이 밖에 기타 개인정보 침해의 신고, 상담에 대하여는 아래의 기관에 문의하시기 바랍니다.

개인정보분쟁조정위원회: (국번 없이) 1833-6972 / www.kopico.go.kr
개인정보침해신고센터: (국번 없이) 118 / privacy.kisa.or.kr
대검찰청: (국번 없이) 1301 / www.spo.go.kr
경찰청 사이버수사국: (국번 없이) 182 / ecrm.police.go.kr

「개인정보 보호법」 제35조(개인정보의 열람), 제36조(개인정보의 정정·삭제), 제37조(개인정보의 처리정지 등)의 규정에 의한 요구에 대하여 공공기관의 장이 행한 처분 또는 부작위로 인하여 권리 또는 이익의 침해를 받은 자는 행정심판법이 정하는 바에 따라 행정심판을 청구할 수 있습니다.

※ 행정심판에 대한 자세한 사항은 중앙행정심판위원회(www.simpan.go.kr) 홈페이지를 참고하시기 바랍니다.

제17조영상정보처리기기의 운영

회사는 본 처리방침 시행일 현재 자체적으로 영상정보처리기기(고정형·이동형 CCTV 등)를 설치·운영하지 않습니다. 향후 BizPass 부가 서비스로 영상 기반 출입 모니터링 기능을 도입하는 경우, 「개인정보 보호법」 제25조 및 제25조의2에 따라 본 처리방침에 설치 목적, 설치 대수, 촬영 범위, 촬영 시간, 보관 장소, 보관 기간, 영상 확인 책임자 등을 추가 공개하겠습니다.

제18조개인정보처리방침의 변경

본 개인정보처리방침은 시행일로부터 적용되며, 법령 및 방침에 따른 변경 내용의 추가, 삭제 및 정정이 있는 경우에는 변경사항의 시행 7일 전부터 본 페이지에 공지합니다. 정보주체에게 불리하게 변경되는 경우에는 변경되는 내용 및 시행 시기를 명확하게 공지하고 30일 이상 사전 공지합니다.

개정 이력

v1.0 · 2026년 4월 29일 시행 — 최초 제정