Privacy Policy

This page describes how Plink (the "service") collects, uses, and protects user data. The same policy is also available inside the app at Settings → Legal → Privacy Policy. Both copies must stay in sync on every amendment.

1. Data we collect

At sign-up

• Email address (required, verified)
• Password (one-way hashed via Supabase Auth)

Profile (optional)

• Name, nickname
• Birth date
• Gender

Using the service

• Couple link (invite code, anniversary date)
• Calendar events, todos, anniversaries, photos (base64 during beta)
• Device push tokens
• AI reminder responses (per-user, partner-blind)

External integrations

• Google Calendar OAuth access, refresh tokens
• Google Calendar events within sync scope

Payments (Store)

• Apple, Google in-app purchase receipts
• RevenueCat purchase ID (receipt-fraud protection)
• Coin balance and transaction ledger

2. Why we collect it

Purpose	Data used
Authentication	Email, password hash
Core features (calendar, todos, D-Day)	Profile, couple, schedule
AI recommendations	See §4 for the exact field list per function
Push notifications	Device push token
Google Calendar sync	OAuth tokens, calendar events
Coins, payments	IAP receipts, transaction ledger

3. Couple-shared data

Plink is built for two people who share data.

• Together events, todos, anniversaries: visible to both partners (read, write, delete).
• Mine events, todos: visible only to the creator (enforced by Row-Level Security on the audience column).
• Partner events: items created for the partner to see. Visible to both.
• Profile (name, birth, gender): exposed only to the partner via partner_public_view.
• Photos (base64): inherit the audience of their parent event or anniversary.
• AI reminder responses: caller only (per-user reminder_states, partner-blind).
• Gift wishlist: observer-only. Recipients cannot see lists made for them (surprise protection).

When one partner deletes their account, items they created remain with their creator_id preserved. The couple itself is soft-deleted (deleted_at = NOW()). The partner cannot re-link via an old invite code (Migration 036).

4. AI features: what we send to OpenAI (full disclosure)

Plink uses OpenAI's gpt-4o-mini model in five places. Each one sends only the fields listed.

4-1. D-7 recommendation (generate-recommendation)

Sent: anniversary type, years, days, your D-14 answer (yes, no), tone, locale
Not sent: any name, email, photo, memo, location, or other events, todos

4-2. D-Day message (generate-dday-message)

Sent: anniversary type, years, days, your nickname, partner's nickname, birthday-owner flag, tone, locale
Not sent: email, photo, memo, location, other events, todos
Why both nicknames: the two partners receive different messages that reference the other by name. Nicknames are capped at 32 characters.

4-3. Daily comment (generate-daily-comment)

Sent: your nickname, partner's nickname (when set), dating days, today's date, tone, locale
Not sent: email, photo, memo, location, other events, todos

4-4. Gift recommendation (ai-gift-recommend, Store)

Sent: partner profile you entered (nickname, interests, tags. Only when you tap the button), anniversary type, budget
Not sent: any email, photo, memo, location
Why partner profile: the recommendation is for your partner, called only when you explicitly tap "Get AI suggestions" in the Store. 32-character caps.

4-5. Date course plan (ai-course-plan, Store)

Sent: location, date, preferences, budget
Not sent: any name, email, photo, memo

Caching

• D-7 recommendation: cached 7 days in ai_response_cache
• D-Day message: cached forever, per user, in dday_messages (so the same anniversary keeps the same wording. Emotional continuity)
• Gift, course: not cached (generated on every tap)
• OpenAI's own retention follows their API data usage policy (not used for training, deleted after 30-day abuse monitoring)

Rate limit

• 10 calls, minute and 50, day per user per function (atomic advisory-lock RPC)
• All five AI surfaces share this cap structure

Opt-out

• This beta does not yet have a global toggle (planned for launch as Settings → AI off)
• Workarounds: set individual anniversaries to reminder_enabled = false; don't tap the Store AI buttons (they are explicit opt-in)

5. Third-party processors

Service	Region	Data	Purpose
Supabase	US (AWS us-east-1)	All data	Database, auth, realtime
OpenAI	US	Only the fields listed in §4	AI message generation
Google	US	OAuth tokens, calendar events	Two-way Google Calendar sync
Apple	US	Push tokens	iOS push notifications
Google FCM	US	Push tokens	Android push notifications
RevenueCat	US	IAP receipts, user_id	Receipt verification
Cloudflare	US	Web traffic (beta)	Static site hosting

6. Retention

• Active account: for the duration of service use
• Account deletion: permanent, immediate
  • auth.admin.deleteUser → auth.users cascade removes profile, settings, events, todos, anniversaries
  • Couple is soft-deleted (couples.deleted_at = NOW()). The partner cannot resurrect with an old invite code (Migration 036)
• Legal retention (e.g. Korean Electronic Commerce Act): the statutory minimum (payment records: 5 years)

7. Your rights

Right	How to exercise
Access	Profile screen in the app
Rectify	Profile, Settings in the app
Delete	Settings → Delete Account (immediate cascade)
Withdraw consent, object	Contact below (§9)
Data portability	Email request (CSV, JSON export, handled manually during beta)

8. Security

• All transport over HTTPS, TLS 1.3
• Supabase Row-Level Security applied to every table
• One-way password hashing (Supabase Auth, PBKDF2-HMAC)
• OAuth tokens stored in user_connections (RLS: owner only)
• AI call rate limit (10, min · 50, day, atomic advisory-lock RPC)
• Coin spending guarded by caller-match (Migration 035)
• Soft-deleted couples cannot be rejoined (Migration 036)

9. Data protection contact

• Name: Chanjoong Kim
• Email: plink.calendar@gmail.com

10. Cookies and local storage

The web build at plink-web-cg0.pages.dev uses:

• localStorage: Supabase auth session (required to use the service)
• Mobile app: AsyncStorage, expo-secure-store (same purpose)

No advertising or tracking cookies.

11. Minors

Sign-up is not permitted for users under 14.

12. Change notice

This policy may be amended. Material changes will be announced in-app or by email. Frequent changes are expected during beta.

개인정보 처리방침

Plink (이하 "서비스")는 사용자의 개인정보를 다음과 같이 수집·이용·관리합니다. 본 처리방침은 앱 내 설정 → 법규 → 개인정보 처리방침에서도 항상 열람할 수 있으며, 두 문서의 내용은 동일합니다.

1. 수집하는 개인정보

회원가입 시

• 이메일 주소 (필수, 인증)
• 비밀번호 (단방향 해시, Supabase Auth)

프로필 (선택)

• 이름·닉네임
• 생년월일
• 성별

서비스 이용 시

• 커플 연결 정보 (초대 코드, 사귄 날짜)
• 캘린더 이벤트·투두·기념일·사진 (Base64, 베타)
• 디바이스 푸시 토큰
• AI 리마인더 응답 기록 (per-user, partner-blind)

외부 연동

• Google 캘린더 OAuth 액세스/리프레시 토큰
• Google 캘린더 이벤트 정보 (동기화 범위 내)

결제 (스토어)

• Apple/Google 인앱 결제 영수증
• RevenueCat 구매 ID
• 코인 잔액 및 거래 내역

2. 이용 목적

목적	사용 정보
인증	이메일, 비밀번호 해시
핵심 기능 (캘린더·투두·D-Day)	프로필·커플·일정 정보
AI 추천	4번 절 함수별 명시
푸시 알림	디바이스 푸시 토큰
구글 캘린더 동기화	OAuth 토큰·캘린더 이벤트
코인·결제	IAP 영수증·거래 내역

3. 커플 데이터 공유

Plink는 두 사용자(커플)가 데이터를 공유하는 구조입니다.

• Together 이벤트·투두·기념일: 양쪽 모두 열람·수정·삭제
• Mine 이벤트·투두: 본인만 (RLS audience 분리)
• Partner 이벤트: 파트너에게 표시 의도, 양쪽 열람
• 프로필: partner_public_view로 파트너에게만 노출
• 사진: 부모 항목의 공유 범위 따름
• AI 리마인더 응답: 본인만 (per-user, partner-blind)
• 위시리스트: observer-only. 받는 사람은 자기 위시리스트 못 봄 (서프라이즈 보호)

파트너 삭제 시 본인이 만든 데이터는 유지되며 creator_id가 보존됩니다. 커플 해제 시 데이터는 본인 쪽 유지, 커플은 soft-delete (M036)로 파트너가 옛 코드로 부활시킬 수 없습니다.

4. AI 기능: OpenAI 전송 데이터 (전체 공개)

Plink는 OpenAI gpt-4o-mini를 5가지 기능에서 사용합니다. 각 함수별로 정확한 전송 필드를 명시합니다.

4-1. D-7 추천 (generate-recommendation)

전송: 기념일 종류, 연차/일수, 본인 응답 기록(yes/no), tone, locale
미전송: 본인/파트너 이름·이메일, 사진, 메모, 위치, 다른 이벤트·투두

4-2. D-Day 메시지 (generate-dday-message)

전송: 기념일 종류, 연차/일수, 본인 닉네임, 파트너 닉네임, birthday_owner 구분, tone, locale
미전송: 이메일, 사진, 메모, 위치, 다른 이벤트·투두
이유: 두 사람에게 서로 다른 personalised 메시지를 만들기 위해 양쪽 호칭이 필요. 닉네임은 32자 cap.

4-3. Daily Comment (generate-daily-comment)

전송: 본인 닉네임, 파트너 닉네임(있을 때), 사귄 일수, 오늘 날짜, tone, locale
미전송: 이메일, 사진, 메모, 위치, 다른 이벤트·투두

4-4. 선물 추천 (ai-gift-recommend, Store)

전송: 사용자가 입력한 파트너 프로필(닉네임·관심사·취향. 명시적 Store 호출 시), 기념일 종류, 예산
미전송: 본인/파트너 이메일, 사진, 메모, 위치
이유: Store에서 "Get AI suggestions" 버튼을 명시적으로 누를 때만 호출. 32자 cap.

4-5. 데이트 코스 (ai-course-plan, Store)

전송: 위치, 날짜, 선호도, 예산
미전송: 본인/파트너 이름·이메일, 사진, 메모

보관·캐싱

• D-7 추천: ai_response_cache에 7일 캐싱
• D-Day 메시지: dday_messages에 per-user 영구 cache (감정적 연속성)
• 선물·코스: 캐싱 없음
• OpenAI 보관: OpenAI API 데이터 사용 정책 따름 (학습 미사용, 30일 abuse-monitoring 후 삭제)

Rate Limit

• 분당 10회, 일 50회 (함수별, 원자적 advisory lock RPC)
• 5개 AI 함수 모두 동일 구조

끄기 옵션

• 본 베타 버전에는 전역 토글 없음 (정식 출시 시 설정 → AI 기능 OFF 추가 예정)
• 회피: 기념일 개별 reminder_enabled = false, Store 버튼 미사용 (명시적 opt-in)

5. 제3자 제공

제3자	위치	제공 정보	목적
Supabase	미국	모든 데이터	DB·인증·실시간
OpenAI	미국	4번 절 명시 데이터만	AI 메시지 생성
Google	미국	OAuth 토큰·캘린더 이벤트	구글 캘린더 양방향 동기화
Apple	미국	푸시 토큰	iOS 푸시 알림
Google FCM	미국	푸시 토큰	Android 푸시 알림
RevenueCat	미국	IAP 영수증·user_id	결제 검증
Cloudflare	미국	웹 트래픽 (베타)	정적 사이트 호스팅

6. 보유·이용기간

• 계정 활성 시: 서비스 제공 기간
• 계정 삭제 시: 즉시 영구 삭제 (auth.users cascade + 커플 soft-delete, M036)
• 법령 보존: 전자상거래법 등 최소 기간 (예: 결제 기록 5년)

7. 사용자 권리

권리	행사 방법
열람	앱 내 프로필 화면
수정	프로필·설정 화면
삭제	설정 → 계정 삭제 (즉시 cascade)
동의 철회·이의제기	9번 연락처
데이터 이동성	9번 연락처 (CSV/JSON, 베타 수동)

8. 보안 조치

• 모든 통신 HTTPS/TLS 1.3
• Supabase RLS 전 테이블 적용
• 비밀번호 단방향 해시 (PBKDF2-HMAC)
• OAuth 토큰 user_connections (RLS 본인 only)
• AI 호출 rate limit (분당 10/일 50, 원자적 advisory lock)
• 코인 결제 caller 매칭 가드 (M035)
• 커플 soft-delete 후 재부활 차단 (M036)

9. 정보보호 책임자

• 이름: 김찬중
• 이메일: plink.calendar@gmail.com

10. 쿠키 및 로컬 저장소

웹 버전(plink-web-cg0.pages.dev): localStorage (Supabase 인증 세션, 필수). 모바일: AsyncStorage, expo-secure-store. 광고·추적용 쿠키 없음.

11. 미성년자 보호

만 14세 미만 사용자의 회원가입은 받지 않습니다.

12. 변경 고지

본 방침은 갱신될 수 있으며, 중요한 변경 시 앱 내 공지 또는 이메일로 알립니다.