개인정보 보호정책

개인정보 처리담당자

GDPR 제4조 제7항의 의미에서 관리자는 다음과 같습니다:

• Julien Thierry Denis Robic, Ephemere 플랫폼을 편집하는 개인사업자
• 프랑스 SIRENE 비즈니스 레지스트리에 SIREN 번호 804 168 565로 등록됨
• 3 rue des lacs, 91350 Grigny, 프랑스에 거주
• privacy@ephemere.org에서 연락 가능

현재까지 데이터 보호 담당자(DPO)가 지정되지 않았습니다. GDPR 제37조에 따라 당사의 처리 활동의 성질과 규모를 감안할 때 지정이 필수는 아닙니다. 이 직책은 서비스 성장에 따라 재평가될 예정입니다.

개인정보 관련 문의

신속한 처리를 위해 요청 사항을 명시하고, 해당하는 경우 계정에 연결된 이메일 주소를 기재해주시기 바랍니다. GDPR 제12조 제6항에 따라 요청인의 신원에 합리적인 의심이 있는 경우 신분증을 요청할 수 있습니다.

처리 목적 및 법적 근거

귀하의 개인정보는 다음의 목적으로 표시된 법적 근거에 따라 수집 및 처리됩니다:

• 사용자 계정 생성 및 관리 (이메일 OTP, Google, Facebook을 통한 인증) — 법적 근거: 계약 이행 (GDPR 제6조 제1항 (b))
• 이벤트 조직 및 참여 (이벤트 생성, 등록, 조직 및 회원 관리) — 법적 근거: 계약 이행 (GDPR 제6조 제1항 (b))
• 거래 통신 (일회용 암호 전송, 등록 확인, 서비스 알림) — 법적 근거: 계약 이행 (GDPR 제6조 제1항 (b))
• 서비스 보안 및 학대 방지 (로그인 로깅, 침입 탐지) — 법적 근거: 정당한 이익 (GDPR 제6조 제1항 (f)), 귀하의 권리와의 이익 균형 평가 완료
• 법적 의무 준수 (식별 로그 보관, 사법 요청 응답) — 법적 근거: 법적 의무 (GDPR 제6조 제1항 (c))

현재 상업적 목적의 처리는 시행되지 않습니다. 향후 이러한 처리가 시행될 경우 사전 동의를 요청하겠습니다 (GDPR 제6조 제1항 (a)).

수집되는 개인정보의 카테고리

당사는 엄격한 데이터 최소화 원칙을 적용합니다 (GDPR 제5조 제1항 (c)). 수집될 수 있는 카테고리는 다음과 같습니다:

• 계정 식별: 이메일 주소, 사용자명 (username)
• 외부 계정 식별자: Google ID (googleId), Facebook ID (facebookId) — 이러한 제공자를 통해 인증하기로 선택한 경우
• 이벤트 위치: 우편 주소, 도시, 지리적 좌표 (위도, 경도) — 구성하는 이벤트의 위치를 지정할 때만
• 이벤트 참여: 참가자 이름 (Attendee.name) 및 조직자로서 입력하는 메모
• 로그인 데이터: IP 주소, 타임스탐프, 사용된 인증 유형

GDPR 제9조에 따른 특수 카테고리 개인정보 (건강, 의견, 생체 인식 등)는 수집하지 않습니다.

개인정보 수령인

귀하의 개인정보는 처리 목적 달성에 필요한 개인에게만 접근 가능합니다:

• 비밀유지 의무를 부담하는 Éphémère 팀의 승인된 회원
• 귀하가 참여하는 이벤트의 조직자 (귀하의 참여에 필요한 정보로 제한)
• GDPR 제28조의 의미에서 당사의 기술 데이터 처리 담당자 (데이터 처리 계약에 의해 관리): Google LLC, Meta Platforms, Inc. (귀하가 시작하는 OAuth 인증 흐름), OVH SAS (인프라 호스팅)
• 법적으로 정당한 요청에 따른 행정 또는 사법 기관

당사는 상업적 목적으로 제3자에게 귀하의 개인정보를 판매, 임차 또는 공개하지 않습니다.

EU 외부로의 국제 전송

이러한 전송은 2023년 7월 10일 유럽 위원회의 적절성 결정에 의해 관리되며, 수령자 주체가 프로그램에 등록되고 자체 인증되는 경우 EU-U.S. Data Privacy Framework를 인정합니다.

유럽 사법재판소에서 진행 중인 항소를 고려하여 본 법적 근거의 취약성을 인식하고 있으며, 표준 계약 조항 (SCC) (EU 결정 2021/914)으로의 폴백 메커니즘을 준비하고 있으며, 전송 영향 평가 (TIA)를 수반합니다. 무효화 시 보호 지속성을 보장하기 위함입니다.

해당 보호조치의 사본을 privacy@ephemere.org로 간단히 요청하여 받을 수 있습니다.

Facebook 로그인과 관련된 데이터를 구체적으로 삭제하려면 전용 절차를 따를 수 있습니다. Google의 경우 myaccount.google.com/permissions 페이지에서 Éphémère에 부여된 액세스를 취소할 수 있습니다. 당사에 저장된 데이터의 삭제는 privacy@ephemere.org에 대한 요청을 통해 얻어집니다.

개인정보 보관 기간

GDPR 제5조 제1항 (e)에 따라 개인정보는 명시된 목적 달성에 필요한 기간만 보관됩니다:

• 계정 데이터: 계정이 활성화된 동안 보관. 삭제 시 30일 이내 프로덕션 데이터베이스에서 삭제
• 삭제 후 증거 보관: 계약 이행 증거에 엄격히 필요한 특정 데이터는 관계 종료 후 3년간 중간 보관 유지 (CNIL 의견 No.2021-131에 따름)
• 식별 로그: 프랑스 법률 제2004-575호 (LCEN) 및 령 제2021-1363호에 따라 정확히 1년간 보관
• 애플리케이션 및 보안 로그: 30일간 보관 (보안 사건이 증거 목적으로 임시 연장을 정당화하는 경우 제외)
• 이벤트 및 참여 데이터: 이벤트 개최에 필요한 기간 보관, 이후 조직자의 필요에 따라 보관 또는 익명화 (최대 3년 이내)

위의 기간 만료 후 데이터는 회복 불가능한 방식으로 삭제 또는 익명화됩니다.

귀하의 권리

• 열람권 (제15조): 귀하에 관한 개인정보가 처리되고 있는지 확인받고 사본 수령
• 정정권 (제16조): 부정확하거나 불완전한 개인정보 수정
• 삭제권 (제17조), 이른바 "잊혀질 권리" (규정이 규정한 경우)
• 처리 제한권 (제18조)
• 이동권 (제20조): 구조화되고 일반적으로 사용되며 기계 판독 가능한 형식으로 개인정보 수령
• 거부권 (제21조), 정당한 이익에 기반한 처리의 경우
• 사후 지시권: 귀하의 개인정보에 관한 사후 지시를 설정할 수 있는 권리 (프랑스 정보 및 자유 법률 제85조에 따름)

이러한 권리를 행사하려면 privacy@ephemere.org로 문의해주시기 바랍니다. 당사는 요청 수령부터 1개월 이내에 응답할 것을 약속하며, 복잡성 또는 요청 수에 따라 2개월의 연장이 가능합니다 (GDPR 제12조 제3항). 연장이 필요한 경우 그 사실과 이유를 알려드리겠습니다.

쿠키 및 추적기

사용되는 쿠키, 그 목적 및 동의 요구사항에 대한 세부사항은 당사의 쿠키 정책에 설명되어 있습니다.

미성년자 보호

GDPR 제8조 및 프랑스 정보 및 자유 법률 제45조에 따라, 미성년자가 동의에 기반한 처리에 단독으로 동의할 수 있는 나이는 프랑스에서 15세로 설정되어 있습니다. 그 아래의 경우 동의는 친권자에 의해 또는 친권자와 함께 제공됩니다.

미성년 사용자의 경우, 당사는 기본적으로 영국의 Age Appropriate Design Code에서 영감을 받은 강화된 보호 입장을 채택합니다:

• 프로파일링 또는 타겟 광고 없음
• 기본적으로 지리적 위치 결정 없음
• 특정 친권자 동의 없이 풀 네임 공개 없음 — 일반적으로 경쟁 결과 공개
• 기본적으로 조직자 및 미성년자가 소속된 기구에만 가시성 제한

친권자이며 미성년자를 대신하여 권리를 행사하려는 경우 privacy@ephemere.org로 문의해주시기 바랍니다. 법적 대리인으로서의 적격성 확인을 요청할 수 있습니다.

감독 기관에 대한 민원 제출

당사에 문의한 후 귀하의 권리가 존중되지 않는다고 판단하는 경우, GDPR 제77조에 따라 관할 감독 기관에 민원을 제출할 권리가 있습니다. EU 내 거주자의 경우, 국가 데이터 보호 기관에 대한 정보는 EDPB 멤버 리스트에서 찾을 수 있습니다.

본 정책의 변경

본 정책은 서비스의 변경, 처리 활동 또는 적용 가능한 법적 프레임워크의 변경을 반영하기 위해 수정될 수 있습니다.

중요한 변경 (목적 추가, 법적 근거 변경, 보관 기간 연장, 새로운 수령인)의 경우, 이메일 또는 서비스에 대한 눈에 띄는 알림을 통해 알려드립니다. 필요한 경우 새로운 동의를 요청하겠습니다. 마지막 업데이트 날짜는 본 페이지의 제목에 표시되어 있습니다.