㈜타이로스코프 개인정보처리방침
회사는 다음의 목적을 위하여 개인정보를 처리합니다. 처리하고 있는 개인정보는 다음의 목적 외의 용도로는 이용되지 않으며, 이용 목적이 변경되는 경우 개인정보 보호법에 따라 별도의 동의를 받는 등 필요한 조치를 이행할 예정입니다.
회원가입 및 관리: 회원 가입의사 확인, 회원제 서비스 제공에 따른 본인 식별 및 인증, 회원자격 유지 및 관리, 서비스 부정이용 방지, 각종 통지, 고충처리 등
회사 서비스 제공: 서비스 제공, 계약서 발송, 콘텐츠 제공, 맞춤서비스 제공, 이용요금 결제, 채권 추심 등
마케팅 및 광고 제공 : 이벤트 안내, 맞춤형 광고, 서비스에 대한 광고 제공
서비스 개선 및 신규서비스(갑상선 질환 헬스케어 서비스) 개발
통계작성, 공익적 기록 보존 등을 위한 가명정보의 처리
① 회사는 다음의 개인정보항목을 처리하고 있습니다
글랜디(Glandy) 서비스 회원가입 시 또는 회원가입 이후 회원이 직접 입력 - 필수항목: 이메일, 비밀번호, 닉네임, 성별, 생년월일, 닉네임, 얼굴 사진, 안구 사진 - 선택항목: 프로필 사진, 주 내원 병원, 주 담당의
글랜닥(Glandoc) 서비스 회원가입 시 또는 회원가입 이후 회원이 직접입력 - 필수항목: 이메일, 비밀번호, 의료인면허번호, 이름, 근무병원, 진료과, 팀 이름, 환자 이름, 환자 번호, 초대할 의료진의이메일주소(해당시)
글랜디 CAM(Glandy CAM) 서비스 회원가입 시 또는 회원가입 이후 회원이 직접입력
- 필수항목: 성별, 얼굴 사진, 안구사진
4. 떨림노트(Twitch Log)
- 필수항목 : 전화번호, 비밀번호, 닉네임, 생년월일, 영상 기록
- 선택항목 : 영상 메모
② 회사는 다음의 민감정보항목을 처리하고 있습니다.
글랜디(Glandy) 서비스 회원가입 시 또는 회원가입 이후 회원이 직접 입력 - 필수항목: 키, 체중, 갑상선 기능 검사결과, 갑상선 기능 저하증 및 항진증 설문 결과, 복용중인 약제 정보, 특정 약제의 하루 단위 복용 여부, 갑상선 질환/치료 이력, 갑상선 질환 가족력, 동반 질환 이력, 동반 질환 가족력, 안병증 MRD1 측정 내역, 안병증 CAS 분석 내역, 안병증 복시 점수, 안병증 통증 점수, 심박수, 걸음수, 수면, 기타 운동 정보 등
글랜디(Glandy CAM) 서비스 회원가입 시 또는 회원가입 이후 회원이 직접 입력 - 필수항목: 안병증 MRD1 측정 내역, 안병증 CAS 분석 내역, 안병증 복시 점수, 안병증 통증 점수 등
글랜디(Glandy) 서비스 회원의 휴대폰에 연결된 제3자 제품의 기기(이하 '스마트워치 등')를 통하여 수집하는 정보 - 필수항목: 심박수, 수면정보 ※ 회사는 이를 위하여 Google Health Connect를 이용합니다. 회사는 Health Connect에서 수신한 정보를 광고 플랫폼, 데이터 브로커 또는 기타 데이터 재판매업체에게 회원의 사용자 데이터를 전송하거나 판매하지 않으며, Health Connect의 권한 정책에 따라 사용범위가 제한됩니다.[Google Health Connect Permissions Policy보기]
- Google Health Connect로부터 수집된 심박수 및 수면 데이터는 Amazon Web Service RDS에 암호화(AES-256) 되어 저장됩니다.
③ 서비스 이용 과정에서, 다음의 정보들이 자동으로 수집될 수 있습니다. - 접속(로그인) 시간, 접속 단말기 운영체제, 접속 단말기 모델, 접속 단말기 언어, 글랜디 애플리케이션에 한하여 고유한 접속 단말기 식별자, 접속 네트워크정보
④ 회사는 회원의 고충처리를 위하여 위 각 정보 중 필요한 항목 및 해당 고충처리에 필요한 별개 항목 및 (카카오 채널을 통한 문의의 경우) 회원이 설정한 카카오톡 닉네임을 수집 및 처리합니다.
⑤ 회사는 글랜디 애플리케이션을 사용하는 임상시험 참가자에 한하여 별도의 동의서 작성을 통해 해당 참가자의 개인정보를 임상시험 기관으로부터 제공받을수 있습니다.
① 회사는 법령에 따른 개인정보 보유∙이용 기간 또는 정보주체로부터 개인정보를 수집 시에 동의 받은 개인정보 보유∙이용 기간 내에서 개인정보를 처리∙보유합니다.
② 회사는 개인정보 수집 목적의 달성 또는 회원 탈퇴 시 즉시 삭제합니다. 다만 회원 탈퇴 또는 이용자격 상실에도 불구하고 다음의 정보에 대해서는 아래의 이유로 보존합니다.
1. 관계 법령 위반에 따른 수사∙조사 등이 진행 중인 경우에는 해당 수사∙조사 종료 시까지
2. 홈페이지 이용에 따른 채권∙채무관계 잔존 시에는 해당 채권∙채무관계 정산시 까지
3. 이용약관 위반으로 회사가 서비스 이용계약을 해지한 경우에는 재가입 방지를 위하여 해지일로부터 1년간
4. 회원이 임상시험에 참가한 경우, 회원이 서명한 피험자 설명서 및 동의서에 기재된 기간 동안 보존
③ 전항에도 불구하고 회사는 다음의 사유에 해당하는 경우에는 해당 기간 종료 시까지 보존합니다.
1. 「전자상거래 등에서의 소비자 보호에 관한 법률」에 따른 계약내용 및 이행 등 거래에 관한 기록
- 계약 또는 청약철회, 대금결제, 재화 등의 공급기록: 5년
- 소비자 불만 또는 분쟁처리에 관한 기록: 3년
2. 「통신비밀보호법」 제41조에 따른 컴퓨터통신, 인터넷 로그기록자료, 접속지 추적자료: 3개월
3. 세법이 규정하는 모든 거래에 관한 장부 및 증빙서류: 「국세기본법」상 보존기간인 5년
4. (임상시험 참가자의 경우) 임상시험 실시에 관한 기록 및 자료: 제조허가ㆍ수입허가 또는 그 변경허가를 위한 임상시험 관련 자료는 허가일부터 3년, 그 밖의 임상시험 관련 자료: 임상시험이 완료된 날부터 3년
회사는 정보주체의 개인정보를 제1조에서 명시한 범위 내에서만 처리하며, 정보주체의 동의를 받거나 개인정보 보호법 또는 다른 법률의 특별한 규정이 있는 경우에만 개인정보를 제3자에게 제공합니다.
① 회사는 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보의 처리업무를 국내로 위탁하고 있습니다.
가. Amazon Web Services, Inc
- 위탁업무: 데이터 보관, 클라우드 서버의 운영 및 관리
나. (주)카카오
- 위탁업무: 카카오메시지 수/송신 서비스
다. 비즈콘
- 이벤트 시 당첨자에게 모바일 쿠폰 발송
② 회사는 원활한 개인정보 업무처리를 위하여 다음과 같이 개인정보의 처리업무를 국외로 위탁하고 있습니다.
가. Google, Inc.
- 정보관리책임자 및 연락처: googlekrsupport@google.com
- 이전 목적: 소프트웨어 기능 구현
- 이전되는 개인정보 항목: 모바일 기기 고유 번호, 모바일 기기 모델
- 이전되는 국가: 미국
- 이전 일시 및 방법: 서비스 이용 시점에 네트워크를 통한 전송
- 개인정보 이용기간: 본 개인정보처리방침에 규정된 보관기간과 일치함
- 이전을 거부할 수 있는 방법, 절차 및 효과: 정보주체는 회사의 개인정보 담당 부서에 연락하여 개인정보의 국외이전을 거부할 수 있습니다. 단, 개인정보 국외 이전을 거부하실 경우 서비스 이용이 제한될 수 있습니다.
- 이전의 법적 근거: 개인정보보호법 제28조의8 제1항 제3호 가목
③ 위탁업무의 내용이나 수탁자가 변경될 경우에는 지체없이 본 개인정보 처리방침을 통하여 공개하도록 하겠습니다.
① 회사는 개인정보 보유기간의 경과, 처리목적 달성 등 개인정보가 불필요하게 되었을 때에는 지체없이 해당 개인정보를 파기합니다.
② 정보주체로부터 동의 받은 개인정보 보유기간이 경과하거나 처리목적이 달성되었음에도 불구하고 제3조에 기재된 법령에 따라 개인정보를 계속 보존하여야 하는 경우에는, 해당 개인정보를 별도의 데이터베이스(DB)로 옮기거나 보관장소를 달리하여 보존합니다.
③ 개인정보 파기의 절차 및 방법은 다음과 같습니다.
파기절차: 회사는 파기 사유가 발생한 개인정보를 선정하고, 회사의 개인정보 보호책임자의 승인을 받아 개인정보를 파기합니다.
파기방법: 회사는 전자적 파일 형태로 기록∙저장된 개인정보는 기록을 재생할 수 없도록 기술적 방법을 이용하여 파기하며, 종이 문서에 기록∙저장된 개인정보는 분쇄기로 분쇄하거나 소각하여 파기합니다.
회사는 서비스 품질 향상을 위하여, Google, Inc.(이하 ‘구글’)가 제공하는 서비스인 Firebase Analytic를 이용해 이용자들의 서비스 어플리케이션 내 활동을 분석합니다. Google의 정보처리를 원하지 않는 경우, 개인정보 보호 책임자에 문의할 수 있습니다. Google의 정보 처리에 관한 보다 자세한 내용은 https://firebase.google.com/docs/analytics을 참고하시기 바랍니다.
회사는 당초 수집 목적과 합리적인 범위내에서 아래 각 기준을 고려하여, 정보주체의 동의 없이 개인정보를 이용 또는 제3자에게 제공할 수 있습니다.
당초 수집 목적과 관련성이 있는지 여부: 당초 수집 목적과 추가적 이용∙제공 목적이 성질이나 경향에 있어 연관이 있는지를 고려하여 따라 판단
개인정보를 수집한 정황 또는 처리 관행에 비추어 볼 때 개인정보의 추가적인 이용 또는 제공에 대한 예측 가능성이 있는지 여부: 개인정보처리자와 정보주체 간의 관계, 기술 수준 및 발전 속도, 상당한 기간동안 정립된 일반적인 사정(관행)을 고려하여 판단
정보주체의 이익을 부당하게 침해하는지 여부: 추가적인 이용 목적과의 관계에서 정보주체의 이익이 실질적으로 침해되는지 및 해당 이익 침해가 부당한지를 고려하여 판단
가명처리 또는 암호화 등 안전성 확보에 필요한 조치를 하였는지 여부: 침해 가능성을 고려한 안전 조치가 취해지는지를 고려하여 판단
① 정보주체는 회사에 대해 언제든지 다음 각 호의 개인정보 보호 관련 권리를 행사할 수 있습니다.
1. 개인정보 열람요구
2. 오류 등이 있을 경우 정정 요구
3. 삭제요구
4. 처리정지 요구
② 제1항에 따른 권리 행사는 서비스에서 제공하는 관련 메뉴(개인정보 확인 및 변경 메뉴, 탈퇴 메뉴)가 있는 경우 해당 메뉴의 이용을 통하여, 없는 경우는 회사에 대한 서면, 전화 및 전자우편을 통하여 하실 수 있으며, 회사는 이에 대해 지체없이 조치하겠습니다.
③ 정보주체가 개인정보의 오류 등에 대한 정정 또는 삭제를 요구한 경우에는 회사는 정정 또는 삭제를 완료할 때까지 당해 개인정보를 이용하거나 제공하지 않습니다.
④ 제1항에 따른 권리 행사는 정보주체의 법정대리인이나 위임을 받은 자 등 대리인을 통하여 하실 수 있습니다. 이 경우 회사에 위임장을 제출하셔야 합니다.
⑤ 정보주체는 개인정보 보호법 등 관계법령을 위반하여 회사가 처리하고 있는 정보주체 본인이나 타인의 개인정보 및 사생활을 침해하여서는 아니됩니다.
회사는 개인정보의 안전성 확보를 위해 다음과 같은 조치를 취하고 있습니다.
1. 기술적 조치: 정보주체의 개인정보는 비밀번호에 의해 보호되며, 중요한 데이터는 파일 및 전송 데이터를 암호화하거나 파일 잠금 기능을 사용하는 등의 별도 보안기능을 통해 보호하고 있습니다. 회사는 컴퓨터 바이러스에 의한 피해를 방지하기 위하여 백신프로그램을 설치하고 주기적으로 업데이트 하며, 해킹 등 외부침입을 방지하기 위하여 각 서버마다 침입차단 시스템을 이용하고 있습니다.
2. 관리적 조치: 개인정보관련 취급 직원은 담당자에 한정시켜 최소화하고, 개인정보보호 의무에 관해 정기적인 교육을 실시하며, 접근 권한을 관리하는 등 관리적 대책을 시행하고 있습니다.
① 회사는 개인정보 처리에 관한 업무를 총괄해서 책임지고, 개인정보 처리와 관련한 정보주체의 불만처리 및 피해구제 등을 위하여 아래와 같이 개인정보 보호책임자를 지정하고 있습니다.
- 성명: 박재민
- 직책: 대표이사
- 연락처: +82-52-264-4154
- 이메일: jaemin.park@thyroscope.com
② 정보주체는 회사의 서비스를 이용하시면서 발생한 모든 개인정보 보호 관련 문의, 불만처리, 피해구제 등에 관한 사항을 개인정보 보호책임자 및 담당부서로 문의하실 수 있습니다. 회사는 정보주체의 문의에 대해 지체없이 답변 및 처리해드릴 것입니다.
이 개인정보처리방침은 관련 법령의 변경, 내부 운영방침 등의 변경에 따라 개정될 수 있습니다. 개정 시에는 개정 최소 7일 전부터 서비스의 '공지사항'을 통해 그 내용을 공지합니다. 다만, 개인정보의 수집 및 활용 등에 있어 정보주체의 권리의 중요한 변경이 있을 경우에는 최소 30일 전에 공지합니다.
개인정보처리방침 버전번호 : V2
개인정보처리방침 시행일자 : 2024년 5월 22일
THYROSCOPE INC. (hereinafter referred to as “the company”) processes personal information for the following purposes. The personal information being processed will not be used for purposes other than the following purposes. If the purpose of use is changed, necessary measures will be taken, such as obtaining separate consent in accordance with the Personal Information Protection Act.
Signing up for membership service and management: confirming the intention to sign up for membership, identifying and authorizing an individual according to the membership service, maintaining and managing membership, prevention of unauthorized use of the service, various notifications, complaint handling, etc.
Provided company services include: various services, delivery of a contract, contents and customized service, payment of utilization fee, and collection of credits, etc.
Provided marketing and advertising: announcement of events, customized advertisements, and advertisements about services.
Improvement of services and development of new services:
Processing pseudonymized information for statistical preparation, scientific research, records preservation for public interest, etc.
1. The company processes the personal information items as follows.
1) The information that users shall directly enter when or after signing up for membership of Glandy Application
- Required: Email address, password, phone number, name, date of birth, gender, nickname, facial photo
- Optional: profile photo, user’s frequently visited hospital, and doctor in charge
2) The information that users shall directly enter when or after signing up for membership of Glandoc Website
- Required: Email address, password, name, patients’ name, patients’ phone number
2. The company processes the following sensitive information items.
1) The information that users shall directly enter when or after signing up for membership of Glandy Application
- Required: Height, weight, thyroid function test results, hypothyroidism and hyperthyroidism survey results, information on current medications, daily medication intake of specific drugs, history of thyroid disease/treatment, family history of thyroid disease, history of comorbid conditions, family history of comorbid conditions, CAS evaluation, MRD1 measurement, diplopia score, ocular pain score, heart rate, step count, sleep, other exercise information, etc.
2) The information that users shall directly enter when or after signing up for membership of Glandoc Website
- Required: CAS evaluation, MRD1 measurement, diplopia score, ocular pain score, etc.
3) The information collected through third-party services/devices(hereafter referred to as ‘smartwatches, etc.’) connected to Glandy Application
- Required: Heart rate, Sleep information
3. In the process of using the service, the following information may be collected automatically.
- Access (log-in) time, operating system of the connected device, model of the connected device, language of the connected device, identifier of the connected terminal, and access network information unique only for the Glandy application
4. The company, in order to handle grievance of users, collects and processes the necessary items of each of the above information, specific items necessary for grievance handling, and the Social Network Service(SNS) nickname set by users (in the case of inquiries through the SNS Channel).
5. The company may receive personal information of clinical trial participants who use the Glandy application only from clinical trial institutions by filling out a separate consent form.
1. The company processes and retains personal information within the period of retention and use of personal information in accordance with laws and regulations, or the period of personal information retention and use agreed upon when collecting personal information from the data subject.
2. The company immediately deletes personal information when it achieves the purpose of collecting personal information or users withdraw membership. However, despite membership withdrawal or loss of eligibility, the information will be retained:
1) if an investigation is in progress due to violation of relevant laws and regulations, until the end of the investigation;
2) if a claim-obligation relationship by the use remains, until the settlement of the claim-obligation relationship;
3) if the company terminates the service use contract due to violation of the Terms of Use, for one year from the date of termination to prevent re-signing up;
4) if a user participates in a clinical trial, for the period described in the subject manual and consent form signed by the user.
3. Notwithstanding the preceding paragraphs, the company shall retain the information until the end of the relevant period according to the reason that is as follows:
1) Records on transactions such as contract contents and fulfillment under the Act on the Consumer Protection in Electronic Commerce
- Records on the contract or subscription withdrawal, the payment, and supply of goods, etc.: 5 years
- Records on the consumer complaints or dispute settlement: 3 years
2) Computer communication and Internet log records, and access location tracking data pursuant to Article 41 of the Protection of Communications Secrets Act: 3 months
3) Books and documentary evidence related to all transactions regulated by each tax-related Act: 5 years, which is the retention period under the Framework Act on National Taxes
4) (For clinical trial participants) Records and data on conducting clinical trials: materials related to clinical trials for manufacturing permission and import permission or permission for change: stored for 3 years from the date of permission, other clinical trial-related materials: stored for 3 years from the date of completion of clinical trials
The company processes the personal information of a data subject only within the scope specified in Article 1, and only provides personal information to third parties with the consent of the data subject or in case that there is specific regulation of the Personal Information Protection Act or other laws.
1. For the smooth processing of personal information, the company entrusts the processing of personal information to companies such as:
1) Amazon Web Services, Inc.
- Entrusted operations: Data storage, operation and management of cloud servers
2. For the smooth processing of personal information, the company entrusts the processing of personal information to overseas companies such as:
2) Google, Inc.
- Information manager and contact information: googlekrsupport@google.com
- Purpose of transfer: to implement software functions
- Items of personal information transferred: serial number and model name of mobile device
- Countries to which personal information are transferred: USA
- Date and method of transfer: transmission over the network at the time of use of the service
- Period of use of personal information: consistent with the storage period stipulated in this Privacy Policy
3. If the change of the entrustment operations or outsourcees, the company shall disclose the change immediately through this Privacy Policy.
1. When personal information becomes unnecessary, such as the expiration of the personal information retention period or the achievement of the purpose of processing, the company shall destroy the personal information without delay.
2. If personal information shall be retained in accordance with the laws and regulations described in Article 3 though the retention period of the personal information with the consent of the data subject has elapsed or the purpose of processing has been achieved, the information shall be transferred to a separate database (DB) or stored in a different location.
3. The procedure and method of destruction of personal information are as follows.
1) Destruction procedure: The company selects the personal information with the reason for destruction and destroys the personal information with the approval by a privacy officer of the company.
2) Destruction method: The company destroys personal information recorded and stored in the form of electronic files using technical methods so that the records cannot be reproduced, and personal information recorded and stored in paper documents is destroyed by shredding it with a shredder or incinerating it.
In order to improve the quality of the service, the company uses Firebase Analytics, a service provided by Google, Inc. (hereinafter referred to as “Google”) to analyze the activities of users in the service application. If users do not want Google to process their information, they can contact our privacy officer. For more information on Google's processing of information, please visit https://firebase.google.com/docs/analytics
The company may use or provide personal information to third parties without the consent of the data subject, considering each of the following criteria within the original purpose of collection and within a reasonable range.
1) Whether it is relevant to the purpose of the original collection: to decide based on whether the purpose of the original collection and the purpose of additional use and provision are related to its properties or tendency
2) Whether there is predictability of further use or provision of personal information considering circumstances of colleting personal information or processing practices: to decide considering the relationship between the personal information controller and a data subject, the level of technology and the speed of its development, and the general circumstances (practices) established over substantial period of time
3) Whether it unfairly infringes on the interests of the data subject: to decide considering whether the interests of the data subject are actually infringed in relation to the purpose of further use and whether the infringement of the interests is unfair
4) Whether necessary measures have been taken to ensure safety, such as pseudonymization or encryption: to decide considering whether safeguards are taken based on the possibility of infringement
1. Data subjects can exercise the following rights related to the protection of personal information at any time with respect to the company.
1) Request for access to personal information
2) Request for correction if there is an error, etc.
3) Request for deletion
4) Request to stop processing
2. Users may exercise the right pursuant to Paragraph 1 through the use of the relevant menu (menu of personal information confirmation and change, withdrawal) provided by the service, and if there is no such menu, users may conduct it by writing, calling or e-mailing to the company, and the company will take action without delay.
3. If a data subject requests correction or deletion of the errors or others in their personal information, the company will not use or provide the personal information until the correction or deletion is completed.
4. The exercise of rights pursuant to the clause 1 may be carried out through an agent such as the legal representative of the data subject or a person who has been delegated. In this case, users shall submit a power of attorney to the company.
5. Data subjects shall not infringe on the personal information and privacy of the data subject or others being handled by the company in violation of relevant laws such as the Personal Information Protection Act.
The company takes the following measures to ensure the safety of personal information.
1) Technical measures: The personal information of a data subject is protected by a password, and important data is protected by the use of separate security functions such as encrypting files and transmitted data or file locking. The company installs and periodically updates antivirus software to prevent damage caused by computer viruses, and uses a firewall system for each server to prevent external cyber-attack such as hacking.
2) Administrative measures: The company has implemented administrative measures such as limiting and minimizing the number of employees handling personal information to the person in charge, conducting regular training on personal information protection obligations, and managing access rights.
1. The company designates a privacy officer as follows in order to be responsible for the handling of personal information and the processing complaints from data subjects related to the processing of personal information and damage relief.
- Full name: Jaemin Park
- Position: CEO
- Contact: +82-52-264-4153
- Email: jaemin.park@thyroscope.com
2. Data subjects may contact the privacy officer and the relevant department to ask matters concerning all inquiries related to personal information protection, complaints handling, damage relief and others occurred while using the company’s services. The company will respond to and handle inquiries from data subjects without delay.
This privacy policy may be revised in accordance with changes in relevant laws and regulations, internal operating policies, etc. Once the policy is revised, the changed contents will be announced through the “Notice” of our service at least 7 days before the revision. However, if there is an important change in the rights of the data subject regarding the collection and use of personal information, the company will notify users at least 30 days in advance.
Privacy Policy Version : V2
Effective Date : May 3rd, 2024.