개인정보 처리방침
1. 회사 소개 (데이터 컨트롤러)
이 웹사이트(및 관련 서비스)는 ELSOUL LABO B.V. (네덜란드 암스테르담)("당사", "저희")가 운영합니다.
상공회의소(KvK) 번호: 80297625
개인정보 문의:
개인정보 문의:
[email protected]당사는 GDPR 제37조에 따라 데이터 보호 책임자(DPO) 임명이 의무화되는 조직 범주에 해당하지 않습니다. 당사는 제37조 제1항에 따라 이 평가를 매년 재검토합니다.
2. 본 방침의 적용 범위
본 방침은 귀하가 다음을 수행할 때 적용됩니다.
- 로그인 없이 당사의 공개 웹사이트를 열람하는 경우, 그리고
- 인증이 필요한 회원 전용 기능(예: ERPC 대시보드 / 계정 기능)을 이용하는 경우.
3. 당사가 처리하는 데이터
3.1 공개 페이지 (로그인 없음)
공개 페이지에서 당사는 사이트가 전반적으로 어떻게 이용되는지 집계 기준으로 파악하여 이를 개선하기 위해 Google Analytics 4 (GA4)를 사용합니다. 분석은 귀하의 동의가 있는 경우에만 실행됩니다. Google Consent Mode v2에 따라 분석 저장소는 기본적으로 거부되므로, 귀하가 "수락(Accept)"을 선택하기 전까지는 어떠한 분석 쿠키나 식별자도 설정되지 않습니다. 귀하가 거부(Reject)하면 어떠한 분석 쿠키도 설정되지 않습니다. 당사는 분석을 제품 개선 목적으로만 사용하며 — 광고나 광고 타게팅에는 사용하지 않고, 귀하의 데이터를 절대 판매하지 않습니다 — IP 주소는 익명화됩니다. 귀하는 "Cookie settings"를 통해 언제든지 선택을 변경하거나 철회할 수 있습니다.
다만 웹사이트를 제공하기 위해, 호스팅/CDN 제공업체와 같은 인프라 제공업체는 보안 및 사고 대응을 위해 다음과 같은 기술적 액세스 로그를 처리할 수 있습니다.
- IP 주소 및 user-agent(브라우저/OS 등)
- 타임스탬프, 요청된 URL, 리퍼러
- 응답 상태 및 보안 관련 메타데이터
당사는 Cloudflare를 호스팅 및 CDN 제공업체로 사용하지만, Cloudflare의 행동 분석 제품은 사용하지 않습니다. Cloudflare의 역할은 인프라 운영에 한정되며, 행동 추적은 그 범위에 포함되지 않습니다.
3.2 문의
귀하가 이메일로 당사에 연락하시면, 당사는 답변을 위해 귀하가 제공한 정보(이메일 주소 및 메시지 등)를 처리합니다.
3.3 회원 계정 / 로그인 필요 서비스
귀하가 계정을 생성하거나 로그인(예: Discord를 통한)하는 경우, 당사는 서비스 제공을 위해 다음을 처리할 수 있습니다.
- 계정 식별자(예: 이메일 주소, Discord 사용자 ID, 사용자 이름)
- 인증/세션 정보(예: 토큰, API 키)
- 서비스 제공에 필요한 서비스 구성 및 이용 정보(예: 플랜, 구독 상태, 허용된 IP, 속도 제한 및 남용 방지 로그)
- 지원 이력 및 커뮤니케이션
이용 분석 (고객 지원 및 서비스 품질)
목적: 서비스 품질을 개선하고 고객 지원을 제공하기 위해, 당사는 귀하가 회원 서비스에 로그인한 상태에서 수행한 페이지 이동, 기능 사용 및 상호작용 이벤트 로그를 수집하여 내부적으로 분석할 수 있습니다.
법적 근거: GDPR 제6조 제1항 (f) — 신뢰할 수 있는 고객 지원을 제공하고 서비스를 개선하는 데 있어 당사가 추구하는 정당한 이익. 당사는 이러한 이익과 귀하의 권리 및 자유를 형량하는 정당한 이익 평가(LIA)를 수행했으며, LIA는 요청 시 제공 가능합니다.
당사가 수집하는 정보:
- 페이지 전환(대시보드 탐색 경로, 리소스 식별자를 제거하도록 정규화됨 — 예:
/user/baremetal/<actual-id>가 아닌/user/baremetal/:id) - 기능 사용 범주(리소스 관리, 설정 변경, 인증 등 — 전체 목록은 본 조항과 함께 관리됨)
- 귀하가 특정 리소스에 대해 작업을 수행할 때의 내부 리소스 식별자(예: baremetal/VPS/RPC 인스턴스 ID), 페이지 전환 이벤트와 동일한 보존 기간 동안 내부 가명으로 보관됨
- 작업 타임스탬프
- 기기 계열 + 주요 버전, 브라우저 계열 + 주요 버전, 및 로케일
- IP 주소, 솔트 해시 형태로만 저장됨(솔트는 절대 교체되지 않으며 tier-1 비밀로 보관됨)
당사가 수집하지 않는 정보:
- 요청 본문
- 검색 쿼리 문자열
- API 키 또는 인증 토큰
- 원본 IP 주소
수신자 / 처리자: Cloudflare, Inc.(미국)는 데이터 처리 계약 및 EU 표준 계약 조항(SCCs)에 따라 이러한 로그의 저장 및 처리를 위한 당사의 데이터 처리자로서 역할을 합니다. 이 전송에 대해서는 전송 영향 평가(TIA)가 문서화되어 있습니다. 국제 전송에 대한 자세한 내용은 제7항을 참조하십시오.
법적 또는 이와 유사하게 중대한 영향을 미치는 자동화된 의사결정 없음: 당사는 내부 지원 직원을 위해 행동 패턴을 요약하는 데 AI 보조 분석을 사용할 수 있으나, 귀하에게 법적 효력을 미치거나 이와 유사하게 중대한 영향을 미치는 자동화된 의사결정은 이루어지지 않습니다(GDPR 제22조).
보존: 이 목적으로 수집된 로그는 원칙적으로 30일 이내에 삭제됩니다(제8항 참조).
이의 제기권: 귀하는 GDPR 제21조에 따라 언제든지
[email protected]로 연락하여 이 처리에 대해 이의를 제기할 수 있습니다. 당사가 귀하의 권리를 우선하는 우월하고 정당한 근거를 입증하지 않는 한, 당사는 이 목적을 위한 귀하의 데이터 처리를 중단합니다.삭제권: 제17조에 따른 삭제 요청이 있을 경우, 당사는 귀하와 관련된 모든 이벤트, 세션 및 프레즌스 상태를 삭제합니다. 당사는 보안 및 책임성 목적을 위해 GDPR 제6조 제1항 (f)에 따라 가명화된 기록(별도의 키로 처리한 귀하의 사용자 식별자의 HMAC-SHA256)을 최대 12개월 동안 감사 로그에 보관합니다. 이 가명화된 기록은 GDPR 제4조 제1항의 의미 내에서 개인 데이터에 해당합니다.
데이터 보호 영향 평가(DPIA): 이 처리에 대해 DPIA가 완료되었습니다(GDPR 제35조). 요청 시
[email protected]로 제공 가능합니다.활성화 상태: 이 이용 분석 파이프라인은 현재 당사의 스테이징 환경에서만 활성화되어 있습니다. 프로덕션 활성화는 Phase 0 문서화(DPIA / LIA / ROPA) 완료 및 기능 플래그 전환을 조건으로 하며, 본 개인정보 처리방침의 게시일과는 무관한 일정에 따릅니다. 본 개인정보 처리방침 버전의 게시는 예정된 처리에 대한 GDPR 제13조 정보 제공을 구성합니다.
3.4 결제 (Stripe)
유료 플랜에 대한 결제는 Stripe에 의해 처리됩니다. 당사는 결제 카드 정보를 저장하지 않습니다.
Stripe는 독립적인 데이터 컨트롤러로서 결제 관련 개인 데이터를 처리합니다. 청구 및 계약 관리에 필요한 범위 내에서, 당사는 Stripe로부터 고객 ID, 구독 상태, 청구서/영수증 및 결제 메타데이터와 같은 정보를 수신할 수 있습니다.
4. 목적 및 법적 근거 (GDPR)
당사는 다음과 같이 적용 가능한 법률(GDPR 포함)에 따른 법적 근거가 있는 경우에만 개인 데이터를 처리합니다.
- 계약: 회원 서비스 제공, 계정 관리 및 지원
- 정당한 이익: 당사 웹사이트/서비스의 운영 및 유지보수, 보안, 사기/남용 방지, 문제 해결
- 법적 의무: 회계 및 세무 준수, 기타 법적 요구사항
- 동의: 선택적 커뮤니케이션(예: 마케팅) 및 분석/측정 쿠키(Google Analytics 4), 해당하는 경우(귀하는 언제든지 동의를 철회할 수 있으며, 분석의 경우 "Cookie settings"를 통해 철회할 수 있습니다)
5. 쿠키 및 유사 기술
- 분석 (선택, 동의 기반): Google Analytics 4 (GA4)는 동의가 있은 후에만 분석 쿠키(예:
_ga,_ga_<id>)를 설정합니다. 기본적으로 비활성화되어 있습니다(Consent Mode v2). 거부(Reject)는 수락(Accept)과 동등한 비중으로 제공됩니다. 귀하는 "Cookie settings"를 통해 언제든지 철회할 수 있습니다. 데이터는 집계되고 IP가 익명화되며, 광고에 사용되거나 판매되지 않습니다. - 회원 기능: 당사는 귀하의 로그인 상태를 유지하기 위해 엄격히 필요한 쿠키(예: 세션)를 사용합니다. 이를 비활성화하면 일부 기능이 작동하지 않을 수 있습니다.
- 제3자 서비스: Stripe 및 Discord는 자체 쿠키/기술을 사용할 수 있습니다(당사의 통제 범위 밖).
6. 공유 및 처리자
당사는 개인 데이터를 판매하지 않습니다.
당사는 필요한 범위 내에서 서비스 제공업체(예: 호스팅/인프라(Cloudflare, Inc.), 이메일 전송, 결제(Stripe), 인증(Discord), 분석(Google))와 개인 데이터를 공유할 수 있습니다. 당사는 적용 가능한 법률에 따라 이러한 제공업체와 데이터 처리 계약(DPA)을 체결합니다.
7. 국제 전송
당사는 유럽경제지역(EEA)에 기반을 두고 있으나, 당사의 서비스 제공업체(예: Stripe, Discord, Google) 및 인프라 위치는 EEA 외부(예: 미국)에서의 처리를 수반할 수 있습니다.
이러한 경우, 당사는 표준 계약 조항(SCCs)과 같은 적절한 보호 장치를 사용하고 전송되는 데이터를 최소화합니다. 당사는 고위험으로 간주되는 관할권에 개인 데이터를 의도적으로 전송하거나 저장할 목적으로 서비스 제공업체를 사용하지 않습니다.
제3.3항에 설명된 새로운 이용 분석 처리의 경우, 당사의 처리자는 Cloudflare, Inc.(미국 본사 소재)입니다. Cloudflare는 EU 지역 엣지 인프라를 제공하지만, 적용 가능한 미국 법률(예: CLOUD Act)에 따른 미국 모회사의 접근은 국제 전송으로 취급됩니다.
일부 처리는 미국으로의 전송(Cloudflare)을 수반합니다. 이러한 전송은 EU-US 데이터 프라이버시 프레임워크 적정성 결정(2023년 7월 10일 위원회 시행 결정 (EU) 2023/1795)의 적용을 받으며, 표준 계약 조항에 의해 추가로 보호됩니다. 당사는 이 전송의 주된 메커니즘으로 Cloudflare 데이터 처리 부록에 통합된 유럽위원회의 2021/914 표준 계약 조항 모듈 2(컨트롤러-대-처리자)에 의존하며, 2023년 EU-US 데이터 프라이버시 프레임워크 적정성 결정을 보조적인 안전장치로 둡니다. 당사는 보충적인 기술 조치(저장 및 전송 중 암호화, 접근 감사, 공개 버킷 접근 차단)를 문서화한 전송 영향 평가(TIA)를 수행했습니다.
8. 보존
당사는 위에 설명된 목적에 필요한 기간 동안에만 개인 데이터를 보관합니다.
- 기술 로그: 보안/문제 해결을 위해 제한된 기간 동안 보관
- 분석 데이터: Google Analytics가 제한된 기간 동안(당사의 GA4 보존 설정에 따라) 보관하며, 집계 기준으로만 사용
- 계정 데이터: 귀하의 계정이 활성 상태인 동안 보관하며, 계정 폐쇄 후 적절한 경우 삭제 또는 익명화
- 회계/청구: 네덜란드 법률에서 요구하는 기간(일반적으로 7년) 동안 보관 등
- 이용 분석 로그(제3.3항): 원칙적으로 30일 이내에 삭제.
- 일일 집계 이용 요약(제3.3항): 최대 90일까지 보관, 내부 추세 분석에 사용.
- 감사 로그(삭제 요청 및 접근 감사 기록; 사용자 식별자는 HMAC 가명으로 저장 — 익명이 아닌 가명화된 개인 데이터): 최대 12개월까지 보관(GDPR 제6조 제1항 (f)에 따른 정당한 이익).
- 데드 레터 큐 검사 버킷(제3.3항): 최대 7일까지 보관, 지정된 관리자에 접근 제한.
9. 귀하의 권리
귀하의 위치 및 적용 가능한 법률(GDPR 포함)에 따라, 귀하는 다음을 요청할 권리를 가질 수 있습니다.
- 접근, 정정, 삭제
- 처리 제한, 이의 제기
- 데이터 이동성
- 동의 철회(처리가 동의에 기반한 경우)
귀하의 권리를 행사하려면
[email protected]로 당사에 연락하십시오. 귀하는 또한 네덜란드 감독기관(Autoriteit Persoonsgegevens) 또는 귀하의 현지 기관에 불만을 제기할 권리가 있습니다.당사는 귀하에게 법적 또는 이와 유사하게 중대한 영향을 미치는 자동화된 의사결정 또는 프로파일링을 수행하지 않습니다.
10. 변경
당사는 본 페이지에 새로운 버전을 게시함으로써 본 방침을 수시로 업데이트할 수 있습니다.
최종 업데이트: 2026-06-24






