Orven 개인정보처리방침

시행일: 2026년 3월 15일 | 버전: v1.0.0

Orven(이하 "회사")은 개인정보 보호법 제30조에 따라 이용자의 개인정보를 보호하고 이와 관련한 고충을 신속하게 처리하기 위하여 다음과 같이 개인정보 처리방침을 수립·공개합니다.

1. 개인정보의 처리 목적

• 회원 가입 및 관리: 본인 확인, 회원 자격 유지·관리, 부정 이용 방지, 각종 고지·통지
• 서비스 제공: 근태관리, 급여 산정, 스케줄 관리, 근로계약 관리, 법정서류 생성, 전자결재, 컴플라이언스 점검
• 위탁 수행: 사업주의 위탁에 따른 직원 개인정보 처리
• 고충 처리: 문의·불만 접수 및 처리
• 마케팅 (선택 동의 시): 신규 기능 안내, 이벤트 정보 전달

2. 처리 및 보유 기간

• 회원 정보 (이메일, 이름, 연락처 등): 회원 탈퇴 시까지
• 직원 정보 (사업주 위탁): 사업장 이용 기간 + 탈퇴 후 30일
• 주민등록번호: 급여 기능 이용 기간 + 탈퇴 후 30일 (근거: 소득세법 제145조)
• 법정 보관: 계약 기록 5년(전자상거래법), 소비자 불만 3년, 방문 기록 3개월(통신비밀보호법)

3. 수집 항목

• [필수] 회원가입(사업주): 이메일, 비밀번호, 사업장명, 업종, 대표자 이름, 연락처
• [필수] 회원가입(직원): 이메일, 비밀번호, 이름
• [선택] 사업자등록번호, 직원 수 규모
• [직원 위탁] 이름, 생년월일, 성별, 연락처, 이메일, 주소, 근무기록, 급여정보, 주민등록번호(AES-256 암호화)

선택 항목 미동의 시에도 기본 기능 이용 가능

4. 제3자 제공

원칙적으로 제공하지 않음. 예외: 이용자 동의, 법적 의무, 급박한 생명·재산 보호

5. 처리 위탁 및 국외이전

① 회사는 서비스 제공을 위해 다음과 같이 개인정보 처리를 위탁하고 있습니다.

• Orven은 사업주의 수탁자(Processor) 지위. 위탁 업무: 근태관리, 급여 산정, 법정서류 생성
• 안전성 확보: TLS 1.2+, AES-256, 접근 통제, 감사 로그

② 회사는 AI 기반 서비스 제공을 위해 다음과 같이 개인정보를 국외의 제3자에게 이전합니다.

6. 정보주체의 권리

열람, 정정·삭제, 처리정지, 동의 철회 가능

행사 방법: 서비스 설정 또는 privacy@orven.io

7. 파기 절차

• 탈퇴 시 30일 이내 파기 (법정 보관 항목 제외)
• 전자적 파일: 복구 불가능한 방법으로 삭제

8. 안전성 확보 조치

• 전송: HTTPS (TLS 1.2+)
• 저장: 비밀번호 bcrypt(salt 12), 주민번호 AES-256
• 접근: JWT 인증, RBAC
• 인프라: AWS Security Group + UFW, DB 외부 접근 차단

9. 쿠키 사용

• access_token (1시간), refresh_token (7일) — 로그인 유지 목적
• 브라우저 설정에서 거부 가능 (로그인 기능 제한)

10. 개인정보 보호책임자

• 성명: 이민규
• 직위: 대표이사 (개인정보 보호책임자)
• 연락처: privacy@orven.io
• 개인정보 보호 고충처리 담당: privacy@orven.io

11. 권익침해 구제

• 개인정보침해 신고센터: 118 / privacy.kisa.or.kr
• 분쟁조정위원회: 1833-6972 / www.kopico.go.kr
• 대검찰청: 1301 / www.spo.go.kr
• 경찰청: 182 / ecrm.police.go.kr

12. 방침 변경

변경 시 시행일 7일 전 서비스 내 공지

공고일: 2026년 3월 8일 | 시행일: 2026년 3월 15일

Orven | privacy@orven.io | https://orven.io