개인정보 처리방침

최종 업데이트: 2026년 5월 7일 · 시행일: 2026년 5월 7일

요약. Sudapapa Diary는 사용자의 모든 개인 데이터(일정, 메모, 즐겨찾기, 비밀번호)를 사용자 PC 로컬에만 저장합니다. 서버에는 라이선스 검증과 외부 캘린더 동기화에 필요한 최소 정보만 전송되며, 광고·마케팅 목적의 추적은 하지 않습니다.

1. 총칙

Sudapapa Diary(이하 "서비스")는 「개인정보 보호법」을 비롯한 국내외 관련 법령을 준수하며, 이용자의 개인정보를 보호하기 위해 본 처리방침을 수립하여 공개합니다. 본 방침은 데스크톱 애플리케이션(Sudapapa Diary)과 공식 웹사이트 (https://sudapapa-diary-api.engineercjy627.workers.dev)에 모두 적용됩니다.

2. 수집하는 개인정보 항목

서비스는 사용자의 명시적 동의(외부 계정 연결, 라이선스 결제 등) 시점에 한해 다음 정보를 수집합니다.

구분	수집 항목	수집 시점
외부 캘린더 연동	OAuth Access Token / Refresh Token, 계정 식별자(이메일, 표시 이름), 캘린더 메타데이터(이름·색상·타임존), 일정 데이터(제목·시간·설명·참석자)	사용자가 Google · Microsoft · Naver 계정 연결을 직접 수행할 때
라이선스 / 결제	이메일 주소, 라이선스 키, 결제 트랜잭션 ID(Paddle 발급), 기기 식별자(설치 시 자동 생성된 익명 UUID)	PRO 구독 결제 또는 라이선스 인증 시
릴리스 업데이트 확인	현재 앱 버전, OS 정보(Windows 버전), 익명 기기 식별자	앱 실행 시 또는 사용자가 업데이트 확인을 요청할 때
자동 수집 정보	접속 IP(Cloudflare 로그), 요청 시각, User-Agent	웹 API 호출 시(보안·악용 방지 목적, 30일 후 자동 삭제)

로컬에만 저장되는 정보: 서비스가 표시하는 메모·즐겨찾기·암호·위젯 설정·캘린더 캐시 등은 모두 사용자 PC의 %AppData%/Roaming/sudapapadiary/ 디렉토리에 저장되며 외부로 전송되지 않습니다. 비밀번호와 OAuth 토큰은 Windows 자격 증명 관리자(DPAPI) 또는 AES-256-GCM으로 암호화됩니다.

3. 개인정보의 이용 목적

수집한 개인정보는 다음 목적 외에는 이용되지 않습니다.

외부 캘린더 동기화 — 사용자가 연결한 Google · Microsoft · Naver 캘린더의 일정을 위젯에 표시하고, 양방향 동기화(생성·수정·삭제)를 수행합니다.
라이선스 검증 — PRO 기능 사용 권한, 동시 사용 가능 기기 수(최대 3대) 확인을 위해 라이선스 키와 기기 식별자를 대조합니다.
결제 처리 — Paddle을 통한 구독 결제·갱신·환불 처리.
업데이트 안내 — 신규 버전 출시 알림 및 다운로드 링크 제공.
서비스 안정성 유지 — 비정상 트래픽 탐지, 오류 진단(IP·요청 로그).

서비스는 광고·마케팅 프로파일링, 행동 분석, 제3자 광고 네트워크 연동을 일체 수행하지 않습니다.

4. 개인정보의 보유 및 이용 기간

OAuth 토큰 — 사용자가 캘린더 연결을 해제하거나 앱을 제거할 때까지(로컬 저장).
라이선스/결제 정보 — 「전자상거래법」에 따라 거래 내역은 5년간 보관(서버), 사용자 요청 시 결제 정보를 제외한 식별 정보는 즉시 파기.
접속 로그 — 30일 후 자동 파기.
로컬 데이터 — 사용자가 앱을 제거하거나 데이터 폴더를 직접 삭제할 때까지.

5. 개인정보의 제3자 제공

서비스는 이용자의 개인정보를 제3자에게 판매·공유하지 않습니다. 단, 다음의 경우에 한해 필수 정보가 외부 시스템으로 전달됩니다.

제공받는 자	제공 목적 / 항목	근거
Google LLC	Google Calendar API 호출 — Access Token, 일정 데이터(읽기/쓰기)	이용자 동의(OAuth)
Microsoft Corporation	Microsoft Graph API 호출 — Access Token, 일정 데이터(읽기/쓰기)	이용자 동의(OAuth)
NAVER Cloud / NAVER Calendar	네이버 캘린더 API 호출 — Access Token, 일정 데이터(읽기/쓰기)	이용자 동의(OAuth)
Paddle.com Market Limited	구독 결제 처리 — 이메일, 결제 정보, 청구 주소	계약 이행
Cloudflare, Inc.	웹 API 호스팅(Workers·D1) — IP, 요청 메타데이터	서비스 인프라 운영

6. Google API 사용 정책 준수

서비스가 Google API로부터 수신한 정보의 이용 및 전송은 Google API Services User Data Policy (Limited Use 요건 포함)를 준수합니다. 구체적으로:

Google 사용자 데이터는 사용자가 위젯에 표시하기로 한 캘린더 일정을 동기화하는 용도로만 사용합니다.
사용자가 명시적으로 승인한 작업(읽기/쓰기) 외의 어떠한 자동화에도 데이터를 사용하지 않습니다.
광고 목적 또는 머신러닝/AI 모델 학습 목적으로 Google 사용자 데이터를 이용·전송하지 않습니다.
제3자에게 Google 사용자 데이터를 양도·판매하지 않습니다.
사용자가 캘린더 연결을 해제하면 해당 OAuth 토큰은 즉시 폐기되며, 로컬 캐시도 사용자 요청 시 삭제할 수 있습니다.

7. 개인정보의 안전성 확보 조치

암호화 — OAuth 토큰·비밀번호는 OS 자격 증명 저장소(Windows DPAPI/keytar) 또는 AES-256-GCM으로 암호화하여 저장합니다.
전송 보안 — 모든 외부 API 호출은 HTTPS(TLS 1.2 이상)로 암호화됩니다.
최소 수집 — 서비스 기능에 필요한 최소한의 정보만 수집합니다.
접근 제어 — 서버 측 데이터(라이선스 등)는 인증된 요청만 접근 가능하며, 관리자 계정도 최소 권한 원칙을 따릅니다.

8. 정보주체의 권리

이용자는 언제든지 다음의 권리를 행사할 수 있습니다.

열람·정정·삭제 — 앱 내 [설정 → 계정 관리] 또는 [설정 → 데이터 관리]에서 직접 수행할 수 있습니다.
외부 캘린더 연결 해제 — 앱 내 계정 메뉴에서 즉시 해제할 수 있으며, 토큰은 즉시 폐기됩니다.
모든 데이터 삭제 — 앱 제거 또는 %AppData%/Roaming/sudapapadiary/ 폴더 삭제로 로컬 데이터를 영구 삭제할 수 있습니다.
라이선스 정보 삭제 요청 — 아래 8조의 연락처로 요청 시 처리됩니다(거래 내역은 법정 보관 기간 적용).

9. 쿠키 및 추적 기술

서비스의 공식 웹사이트는 테마 설정(라이트/다크) 저장 목적의 localStorage 외 어떠한 쿠키나 추적 픽셀도 사용하지 않습니다. Google Analytics, Facebook Pixel 등 분석 스크립트를 일체 적용하지 않습니다.

10. 14세 미만 아동의 개인정보

서비스는 만 14세 미만 아동의 개인정보를 의도적으로 수집하지 않습니다. 아동이 보호자 동의 없이 정보를 제공한 사실이 확인될 경우 즉시 해당 정보를 파기합니다.

11. 처리방침의 변경

본 처리방침이 변경되는 경우, 변경된 방침은 본 페이지에 게시되며 시행일은 게시일로부터 7일 이후로 합니다. 중요한 변경(수집 항목·이용 목적 추가)이 있을 경우 앱 내 공지로 별도 안내합니다. 이전 버전은 GitHub 저장소의 커밋 이력을 통해 확인할 수 있습니다.

12. 문의 및 권리 행사

개인정보 관련 문의 및 권리 행사는 GitHub 이슈를 통해 접수해 주십시오. 이슈 등록 후 영업일 기준 7일 이내에 답변드립니다.

GitHub Issues: 프로젝트 이슈 트래커 (저장소 이전 시 본 페이지가 갱신됩니다)