개인정보처리방침

제1조 (총칙)

① 본 방침은 회사가 처리하는 정보주체의 개인정보에 관한 일반적 처리 기준을 정합니다.

② 본 방침은 다음 법령에 근거합니다.

1. 「개인정보 보호법」 및 동법 시행령 2. 「정보통신망 이용촉진 및 정보보호 등에 관한 법률」 및 동법 시행령 3. 「전자상거래 등에서의 소비자보호에 관한 법률」 및 동법 시행령 4. 「통신비밀보호법」 5. 「위치정보의 보호 및 이용 등에 관한 법률」 (해당 시) 6. 기타 관계 법령 및 「개인정보 처리방침 작성지침」(개인정보보호위원회)

③ 본 방침은 다음 회사 별도 정책과 함께 적용됩니다.

1. 「FlowMe 이용약관」 2. 「FlowMe 리워드 정책」 3. 「FlowMe 지식재산권 보호 정책」 4. 회사가 운영상 별도로 정하는 운영정책·세부 가이드라인

본 방침과 위 별도 정책 간 해석상 모순이 있는 경우 회원에게 유리한 방향으로 해석합니다.

④ 본 방침의 용어는 본 방침에서 별도로 정의하지 아니한 한 「개인정보 보호법」 및 「FlowMe 이용약관」에서 정의된 바에 따릅니다.

제2조 (수집하는 개인정보 항목)

회사는 서비스 제공에 필요한 최소한의 개인정보만을 수집하며, 필수 항목과 선택 항목을 분리하여 동의를 받습니다.

① 회원가입 시 수집 항목

② 상품 주문 시 수집 항목

③ 작가 입점 신청 시 수집 항목 (해당 시)

④ 서비스 이용 과정에서 자동 수집되는 항목

• IP 주소, 쿠키, 접속 일시, 접속 로그, 서비스 이용 기록 • 기기 정보 (OS, 브라우저 종류, 단말기 모델, 단말기 식별자) • 결제 기록, 부정 이용 탐지 정보

⑤ 고객 문의·민원 처리 시 수집 항목

• 성명, 연락처, 이메일, 문의 내용 (필요 시 거래 내역·주문번호 등)

⑥ 14세 미만 아동의 개인정보 처리

회사는 만 14세 미만 아동의 회원가입을 제한하며, 만 14세 미만 아동의 개인정보는 원칙적으로 수집하지 아니합니다. 자세한 사항은 본 방침 제11조에 따릅니다.

제3조 (개인정보 수집 방법)

회사는 다음과 같은 방법으로 개인정보를 수집합니다.

1. 회원가입·상품 주문·이벤트 응모·고객 문의·작가 입점 신청 시 정보주체가 직접 입력하는 방법 2. 서비스 이용 과정에서 자동으로 수집되는 방법 (쿠키, 로그, IP, 기기 정보 등) 3. 회사가 별도 운영하는 협력사·제휴사로부터 정보주체의 동의를 받아 제공받는 방법 (해당 시 별도 고지) 4. 서면·이메일·전화·팩스·홈페이지 문의를 통해 정보주체가 직접 제공하는 방법

제4조 (개인정보 처리 목적)

회사는 다음 목적을 위하여 개인정보를 처리하며, 처리 목적이 변경되는 경우 「개인정보 보호법」 제18조에 따라 별도의 동의를 받는 등 필요한 조치를 이행합니다.

1. 회원 식별·관리 — 회원가입 의사 확인, 회원 식별, 본인 확인, 부정 이용 방지, 회원 자격 유지·관리, 각종 고지·통지 2. 계약의 이행 및 서비스 제공 — 상품 주문·결제·배송·반품·교환·환불, 고객 응대(CS), 리워드·적립금 지급 및 사용 처리 3. 부가 서비스 제공 — 이벤트·프로모션·맞춤형 서비스 제공, 신규 서비스 안내 4. 마케팅 활용 (선택 동의 시) — 이메일·문자·웹사이트 알림을 통한 마케팅 정보 발송, 광고성 정보 제공 (세부 사항 본 방침 제16조의2 참조) 5. 법령상 의무 이행 — 「전자상거래 등에서의 소비자보호에 관한 법률」, 「국세기본법」 등에 따른 거래·세무 기록 보존, 분쟁 처리, 수사기관 요청 응답 6. 부정 이용 방지 및 분쟁 해결 — 「FlowMe 이용약관」 제11조에 따른 부정 이용 탐지·차단, 회원·작가·회사 간 분쟁 해결 자료 확보 7. 서비스 개선·통계 분석 — 서비스 이용 통계, 신규 기능 개발, 비식별 처리 후 통계 자료 작성

제5조 (개인정보 처리 및 보유기간)

① 회사는 정보주체로부터 개인정보를 수집할 때 동의받은 보유·이용기간 또는 관계 법령에 따른 보유·이용기간 내에서 개인정보를 처리·보유합니다.

② 회원의 개인정보는 회원 자격이 유지되는 동안 보유하며, 회원 탈퇴 시 회원 탈퇴일로부터 7영업일 이내에 지체 없이 파기합니다. 다만, 다음 각 호의 정보는 관계 법령에 따라 정한 기간 동안 별도 저장 후 파기합니다.

③ 탈퇴 후 익명 보존되는 게시물·리뷰

④ 법령에 따른 보유 기간이 경과한 후에는 본 방침 제9조에 따른 파기 절차에 따라 지체 없이 파기합니다.

제6조 (개인정보의 제3자 제공)

① 원칙 — 회사는 정보주체의 개인정보를 본 방침 제4조에 명시한 목적 범위 내에서만 처리하며, 정보주체의 사전 동의 없이 제3자에게 개인정보를 제공하지 아니합니다.

② 예외 — 다음 각 호의 어느 하나에 해당하는 경우 정보주체의 동의 또는 법령상 근거에 따라 개인정보를 제공할 수 있습니다.

1. 정보주체가 사전에 동의한 경우 (특히 입점 작가에 대한 배송지·연락처 제공 — 회원이 작가의 위탁판매·작가 직접 판매 상품을 구매하거나 작가 리워드를 신청하는 시점에 별도 동의) 2. 「개인정보 보호법」 제17조 제1항 제2호에 따라 법률에 특별한 규정이 있거나 법령상 의무를 준수하기 위하여 불가피한 경우 3. 수사기관이 「형사소송법」, 「통신비밀보호법」, 「전기통신사업법」 등에 따라 적법한 절차를 거쳐 요청하는 경우 4. 정보주체 또는 그 법정대리인이 의사표시를 할 수 없는 상태이거나 주소 불명 등으로 사전 동의를 받을 수 없는 경우로서 명백히 정보주체 또는 제3자의 급박한 생명·신체·재산상 이익을 위하여 필요하다고 인정되는 경우

③ 회사가 제3자에게 제공하는 개인정보의 내역

④ 입점 작가에게 회원의 개인정보를 제공할 때 회사는 다음 절차를 준수합니다.

1. 회원이 상품 주문 또는 리워드 신청을 완료하기 전 단계에서, 제공받는 자(작가)·제공 목적·제공 항목·보유기간을 명시하여 별도 동의 절차를 거칩니다. 2. 회원이 ①항의 동의를 거부하는 경우 해당 상품의 주문 또는 리워드 신청이 제한될 수 있음을 사전 고지합니다. 3. 작가는 회사로부터 제공받은 개인정보를 본 방침 제3항에 명시한 목적 외의 용도로 사용·재제공할 수 없으며, 작가의 본 의무는 「작가 입점계약서」에 명시됩니다.

제6조의2 (개인정보의 추가적인 이용·제공 판단 기준)

회사는 「개인정보 보호법」 시행령 제14조의2에 따라 다음 각 호의 사항을 종합적으로 고려하여 정보주체의 동의 없이 개인정보를 추가적으로 이용·제공할 수 있습니다.

1. 개인정보를 추가적으로 이용·제공하려는 목적이 당초 수집 목적과 관련성이 있는지 여부 2. 개인정보를 수집한 정황 또는 처리 관행에 비추어 보아 추가적인 이용·제공에 대한 예측 가능성이 있는지 여부 3. 개인정보의 추가적인 이용·제공이 정보주체의 이익을 부당하게 침해하는지 여부 4. 가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부 5. 정보주체의 이익을 부당하게 침해하지 않는 합리적 범위 내인지 여부

제7조 (개인정보 처리 위탁)

① 회사는 원활한 서비스 제공을 위하여 다음 업무를 외부 업체에 위탁할 수 있으며, 위탁 시 「개인정보 보호법」 제26조에 따라 위탁계약 체결, 처리 목적·범위 제한, 재위탁 제한, 안전성 확보 조치, 위탁업무 관리·감독, 손해배상 등을 명시하여 관리·감독합니다.

② 개인정보 처리 위탁의 내역

③ 위탁 업체가 변경되거나 신규 추가되는 경우, 회사는 본 방침 갱신 또는 서비스 내 공지를 통해 정보주체에게 안내합니다. ④ 위탁받는 자(수탁자)는 위탁받은 업무의 처리를 위해 필요한 최소한의 개인정보만을 처리하며, 위탁 목적 외의 용도로 이용할 수 없습니다.

제8조 (정보주체의 권리·의무 및 행사 방법)

① 정보주체는 회사에 대하여 언제든지 다음 각 호의 권리를 행사할 수 있습니다.

1. 개인정보 열람 요구권 — 「개인정보 보호법」 제35조 2. 개인정보 정정·삭제 요구권 — 「개인정보 보호법」 제36조 3. 개인정보 처리정지 요구권 — 「개인정보 보호법」 제37조 4. 개인정보 전송 요구권 — 「개인정보 보호법」 제35조의2 (시행일 기준) 5. 자동화된 결정에 대한 거부·설명 요구권 — 「개인정보 보호법」 제37조의2 (해당 사례가 있는 경우) 6. 동의 철회권 — 동의에 기반하여 처리되는 개인정보에 대한 동의 철회

② 권리 행사 방법

• 접수 채널: 이메일 contact@mesis.kr (제목 머리에 "[FlowMe 개인정보]" 표시 권장) • 처리 기간: 영업일 기준 10일 이내 (관계 법령에 따라 연장 가능, 사유 통지) • 본인 확인: 회원 본인 확인 절차 진행 (이메일·휴대전화 인증 등) • 법정대리인·대리인의 행사 시: 「개인정보 처리 방법에 관한 고시」 별지 제11호 서식에 따른 위임장과 위임자 및 대리인의 신분증 사본을 제출하여야 합니다. 별지 서식은 회사 고객센터(contact@mesis.kr) 요청 시 제공합니다. • 법정대리인: 만 14세 미만 아동의 권리 행사는 법정대리인을 통하여 행사

③ 정보주체가 본인의 개인정보의 오류 등에 대한 정정·삭제를 요구한 경우, 회사는 정정·삭제를 완료할 때까지 해당 개인정보를 이용하거나 제공하지 아니합니다. ④ 정보주체의 권리 행사가 다른 법령에 의해 제한될 수 있으며 (예: 「전자상거래 등에서의 소비자보호에 관한 법률」에 따라 5년 보존이 요구되는 거래 기록), 이 경우 회사는 그 사유를 정보주체에게 지체 없이 통지합니다.

제9조 (개인정보 파기 절차·방법)

① 파기 시점

1. 정보주체가 동의한 보유·이용기간이 경과한 경우 2. 처리 목적이 달성되었거나 더 이상 필요하지 아니하게 된 경우 3. 회원이 탈퇴한 경우 (단, 본 방침 제5조 ②항의 법령상 보유 의무가 있는 정보는 해당 기간 동안 별도 분리 보관 후 파기)

② 파기 방법

③ 회사는 파기 사유 발생 후 5영업일 이내에 파기 절차를 진행함을 원칙으로 합니다. 다만, 시스템상 일괄 파기가 불가피한 경우 회사가 정한 합리적 주기 내에 파기합니다.

제10조 (개인정보 자동 수집 장치의 설치·운영 및 거부)

① 쿠키의 사용 — 회사는 정보주체에게 개별 맞춤 서비스를 제공하기 위하여 정보주체의 이용 정보를 저장하고 수시로 불러오는 쿠키(Cookie)를 사용합니다.

② 쿠키 사용 목적

1. 회원·비회원의 접속 빈도·방문 시간 분석, 이용자 식별, 인기 검색어·관심 분야 파악, 서비스 개편 등을 위한 분석 자료로 활용 2. 회원의 로그인 상태 유지, 장바구니·찜 등 서비스 편의 기능 제공 3. 광고 및 맞춤형 광고 제공 (해당 시 — 본 방침 제10조의2 참조)

③ 쿠키 거부 방법 — 정보주체는 사용 브라우저의 옵션 설정을 통해 쿠키 저장을 거부할 수 있습니다.

④ 쿠키 저장을 거부할 경우 회원 로그인이 필요한 일부 서비스의 이용에 어려움이 발생할 수 있습니다.

제10조의2 (행태정보의 수집·이용·제공·거부)

① 회사는 회원에게 맞춤형 서비스 및 광고를 제공하기 위하여 행태정보를 수집·이용할 수 있습니다.

② 수집·이용 항목:

1. 회원의 서비스 방문·검색·구매 이력 2. 쿠키, 접속 기록, 서비스 이용 내역 ※ 회사는 모바일 앱을 운영하지 아니하며, 광고식별자(ADID/IDFA)는 수집하지 아니합니다.

③ 수집·이용 목적: 맞춤형 광고·상품 추천·서비스 개선 ④ 수집 방법: 회원이 회사 서비스를 이용할 때 자동 수집 ⑤ 보유·이용 기간: 1년 또는 회원의 거부·동의 철회 시까지

⑥ 회원은 다음 방법으로 행태정보 수집을 거부할 수 있습니다.

1. 브라우저 쿠키 설정 변경 (Chrome·Edge·Safari·Firefox 등 각 브라우저 설정) 2. 회사 채널: contact@mesis.kr로 거부 요청

⑦ 회사가 행태정보를 외부 광고 사업자에게 제공하는 경우, 그 명단·이전 항목·제공 목적을 본 방침 또는 별도 페이지에 공개합니다. (현재 회사는 외부 광고 사업자에게 행태정보를 제공하지 아니합니다. 향후 운영 시 별도 공지)

제11조 (만 14세 미만 아동 개인정보 처리)

① 회사는 만 14세 미만 아동의 회원가입을 제한합니다 (이용약관 제5조 ②항 제4호). 회사는 회원가입 단계에서 가입 신청자의 연령을 확인하며, 만 14세 미만으로 확인되는 경우 가입 절차를 진행하지 아니합니다. ② 만 14세 이상 19세 미만의 청소년이 가입·결제를 진행하는 경우, 회사는 법정대리인의 동의를 받는 절차를 권장하며, 미성년자의 결제 취소권은 「민법」 및 「전자상거래 등에서의 소비자보호에 관한 법률」에 따릅니다. ③ 만 14세 미만 아동의 개인정보가 부주의하게 수집된 사실이 확인되는 경우, 회사는 지체 없이 해당 개인정보를 파기하고 가입 절차를 무효화합니다.

제12조 (개인정보의 안전성 확보 조치)

회사는 「개인정보 보호법」 제29조 및 관계 법령에 따라 다음과 같은 안전성 확보 조치를 시행하고 있습니다.

① 관리적 조치

1. 개인정보 보호책임자(DPO) 지정 및 개인정보 취급자 최소화 2. 개인정보 보호 및 정보보안 정기 교육 실시 (연 1회 이상) 3. 내부 관리계획의 수립·시행 및 정기 점검 4. 접근 권한 부여·변경·말소 기록의 관리

② 기술적 조치

1. 개인정보 처리 시스템에 대한 접근 권한 제어 및 ID·비밀번호 관리 2. 비밀번호의 일방향 암호화 저장 및 송수신 구간의 암호화 (HTTPS 등) 3. 접속기록의 보관·관리 (최소 1년 이상) 4. 보안 프로그램(백신 등) 설치·운영 및 정기 업데이트 5. 침입차단·침입탐지 시스템 운영 (해당 시)

③ 물리적 조치

1. 개인정보 처리 시스템이 설치된 사무실·전산실 등의 출입 통제 2. 보관 매체(서버·노트북·외장 매체 등)의 잠금장치 또는 보안 보관

제13조 (개인정보 보호책임자)

① 회사는 개인정보 처리에 관한 업무를 총괄·감독하며 개인정보 처리와 관련한 정보주체의 불만 처리 및 피해구제 등을 위하여 다음과 같이 개인정보 보호책임자(DPO)를 지정하고 있습니다.

② 정보주체는 회사의 서비스(또는 사업)를 이용하면서 발생한 모든 개인정보 보호 관련 문의·불만 처리·피해구제 등에 관한 사항을 개인정보 보호책임자 및 담당 부서로 문의할 수 있습니다. 회사는 정보주체의 문의에 대하여 지체 없이 답변 및 처리할 것입니다.

제14조 (권익침해 구제방법)

① 정보주체는 다음 기관에 개인정보 침해에 대한 분쟁해결·상담 등을 신청할 수 있습니다.

1. 개인정보분쟁조정위원회: 1833-6972, www.kopico.go.kr 2. 개인정보침해신고센터(KISA): 118, privacy.kisa.or.kr 3. 대검찰청 사이버수사과: 1301, www.spo.go.kr 4. 경찰청 사이버수사국: 182, ecrm.cyber.go.kr

② 회사로부터 개인정보의 열람·정정·삭제·처리정지·전송 요구 등에 대한 처리 결과에 이의가 있는 경우, 정보주체는 위 분쟁조정기관에 분쟁조정을 신청하거나 「행정심판법」 또는 「행정소송법」에 따른 권리 구제를 받을 수 있습니다.

제15조 (영상정보처리기기 운영)

① 현재 회사는 본점 사무공간 및 별도 매장에 영상정보처리기기(CCTV)를 운영하지 아니합니다. ② 향후 회사가 영상정보처리기기를 설치·운영하게 되는 경우, 「개인정보 보호법」 제25조에 따른 설치 목적·장소·촬영 범위·관리책임자 등을 포함한 「영상정보처리기기 운영·관리방침」을 별도로 수립하여 본 방침에 부속·공지합니다.

제16조 (개인정보처리방침의 변경)

① 본 방침은 시행일 이후 법령·정책 또는 회사의 서비스 운영 환경에 따라 변경될 수 있으며, 변경이 있는 경우 적용일자 7일 전부터 서비스 초기 화면 또는 공지사항을 통해 공지합니다. ② 다만, 정보주체의 권리에 중요한 변경(수집·이용 목적의 추가, 제3자 제공 항목의 확대, 보유기간의 연장 등)이 있는 경우에는 적용일자 30일 전부터 공지하며, 정보주체에게 전자적 수단(이메일·서비스 내 알림 등)으로 개별 통지합니다. ③ 회사는 본 방침의 정기 점검(연 1회 이상)을 통해 관계 법령 개정·서비스 환경 변화·내부 운영 변경 사항을 반영합니다.

제16조의2 (광고성 정보 전송)

① 회사는 회원이 별도 선택 동의한 경우에 한하여 신상품·할인·이벤트 등 마케팅·광고 정보를 이메일·문자메시지·웹사이트 알림으로 전송합니다. ※ 회사는 모바일 앱을 운영하지 아니하므로 앱 푸시 알림은 발송하지 않습니다.

② 회원은 회사가 발송한 마케팅 정보의 수신을 다음 방법으로 언제든지 거부할 수 있습니다.

1. 이메일 하단의 "수신 거부" 링크 클릭 2. 문자메시지 회신 또는 안내된 거부 번호 3. 회사 웹사이트 마이페이지 > 알림 설정 > 마케팅 수신 동의 해제 4. contact@mesis.kr 요청

③ 회사는 야간 시간대(오후 9시~오전 8시)에 광고성 정보를 전송하지 아니합니다. 야간 발송이 필요한 경우 회원의 별도 사전 동의를 받습니다. ④ 회사는 「정보통신망 이용촉진 및 정보보호 등에 관한 법률 시행령」 제62조의3에 따라 마케팅 정보 수신 동의일로부터 2년마다 회원에게 수신 동의 유지 여부를 확인합니다. 회원이 일정 기간 내 의사를 표시하지 아니하는 경우 수신 동의가 철회된 것으로 봅니다.

제17조 (개인정보의 국외 이전)

① 회사는 안정적 서비스 제공을 위하여 미국 소재 클라우드 인프라 사업자에 회원의 개인정보를 이전합니다.

② 이전 항목·목적·보유기간 등 세부 사항은 다음과 같습니다.

• 이전 항목: 회원 식별정보(이메일·암호화 비밀번호·닉네임), 서비스 이용 로그, 접속 IP • 이전 일시·방법: 서비스 이용 시 실시간·암호화 통신 • 이전 목적: 데이터베이스·인증·스토리지·웹 호스팅·CDN 운영 • 보유기간: 위탁계약 종료 시까지

③ 회사는 「개인정보 보호법」 제28조의8 제5항에 따른 안전성 확보 조치를 이행하며, 이전받는 자와 데이터 처리 계약을 체결하여 회원의 개인정보를 보호합니다. ④ 정보주체는 이전받는 자의 상호·연락처 등 세부 정보를 contact@mesis.kr로 요청하여 확인할 수 있습니다. ⑤ 정보주체는 본 조에 따른 국외 이전을 거부할 수 있습니다. 다만, 본 서비스는 국외 클라우드 인프라를 기반으로 운영되므로 국외 이전 거부 시 서비스 이용이 불가능합니다.