찰나(Charlla) 서비스
개인정보처리방침
Version 3.6 | 통합 표준 개인정보처리방침
공지일: 2026년 4월 30일
시행일: 2026년 6월 1일
카테노이드 주식회사(이하 '회사')는 찰나(Charlla) 서비스 이용자의 개인정보를 중요시하며, 대한민국 「개인정보보호법」을 비롯하여 EU GDPR, 미국 CCPA/CPRA, 일본 APPI, 영국 UK GDPR 등 해외 주요 개인정보보호 법령을 준수하기 위해 필요한 기술적·관리적 조치 및 계약 구조를 마련하여 운영합니다.
회사는 서비스 제공을 위해 다음과 같이 최소한의 개인정보를 수집·이용합니다.
필수 항목: 이메일, 이름, 비밀번호(목적: 계정 생성 및 관리, 본인 식별). 선택 항목: 쇼핑몰 이름, 쇼핑몰 도메인, 호스팅 플랫폼 정보(목적: 서비스 구성), 휴대폰 번호, 메일 수신 여부(목적: 마케팅 정보 제공). 자동 수집 항목: IP 주소, 브라우저 종류·버전, 접속 시각, 페이지 URL(목적: 로드수 측정 및 과금). 결제 정보: 한국 고객은 토스페이먼츠(주) 등 PG사를 통해, 해외 고객은 Stripe, Inc.를 통해 처리되며, 회사는 신용카드 번호 등 민감한 결제 정보를 직접 수집·저장하지 않습니다.
| 수집 항목 | 이용 목적 | 보유 기간 |
| 이름, 이메일 주소, 연락처 | 회원 가입, 본인 확인, 서비스 고지, 서비스 부정 이용 방지 | 서비스 해지 후 30일; 단, 계정 식별 정보(가입 이메일)는 서비스 부정 이용 방지 및 계약 기록 보존을 위해 전자상거래법에 따라 5년 |
| 사업자등록번호, 회사명, 담당자명 | 세금계산서 발행, 계약 관리 | 관련 법령에 따른 기간 |
| 결제 수단 정보 (결제 대행사 위탁 처리) | 서비스 요금 청구 및 결제 | 결제 완료 후 5년 |
| 서비스 이용 기록, 접속 로그, IP 주소 | 서비스 개선, 부정 이용 방지 | 3개월 |
| 쇼핑몰 방문자 접속 정보 (로드 이벤트 등) | 로드수 측정 및 서비스 제공 통계 | 90일 |
| 플랫폼 스토어 식별자 (store domain 등) | 외부 플랫폼 연동 고객 계정 식별 | 서비스 해지 후 30일 |
EU GDPR Article 6에 따라 아래의 법적 근거를 기반으로 개인정보를 처리합니다.
| 처리 법적 근거 (GDPR Art. 6) | 해당 처리 활동 |
| 계약 이행 (Art. 6(1)(b)) | 서비스 제공, 요금 청구, 계정 관리, 고객 지원 |
| 정당한 이익 (Art. 6(1)(f)) | 서비스 보안·사기 방지·서비스 개선 (이익형량 충족) |
| 동의 (Art. 6(1)(a)) | 마케팅 정보 수신 (언제든지 동의 철회 가능) |
| 법적 의무 (Art. 6(1)(c)) | 관련 법령 준수, 관할 기관의 요청 대응 |
회사는 「개인정보 보호법」 제22조의2 및 관련 법령에 따라 만 14세 미만 아동의 회원가입 및 서비스 이용을 허용하지 않습니다. 회사는 법정대리인의 동의 없이 만 14세 미만 아동의 개인정보를 수집‧이용‧제공하지 않으며, 회원가입 시 고객에게 만 14세 미만 여부를 확인합니다.
가입 이후 해당 회원이 만 14세 미만임이 확인된 경우, 회사는 지체 없이 해당 계정을 해지하고 수집된 개인정보를 파기합니다. 다만, 관계 법령에 따라 보존이 요구되는 최소한의 정보는 해당 법령이 정한 기간 동안 별도로 분리 보관한 후 파기합니다.
EU/EEA 거주 정보주체의 경우, GDPR 제8조에 따라 만 16세 미만(회원국별로 13세 이상 16세 미만 범위에서 상이) 아동에 대해서는 법정대리인의 동의를 받은 경우에 한하여 정보사회서비스 제공 동의가 유효합니다. 영국 거주 정보주체의 경우 만 13세 미만 아동에 대해 동일한 원칙이 적용되며, 캘리포니아(CCPA/CPRA) 거주자의 경우 만 13세 미만 아동의 개인정보는 법정대리인의 사전 동의(opt-in) 없이는 수집‧판매‧공유되지 않습니다. 일본(APPI) 거주 정보주체의 경우 만 15세 미만 아동에 대하여 법정대리인의 동의를 원칙으로 합니다. 회사는 원칙적으로 아동을 서비스 대상으로 하지 않으며, 아동의 개인정보가 수집된 사실이 확인되는 즉시 해당 정보를 삭제합니다.
회사는 개인정보를 수집·이용 목적이 달성될 때까지 보유하며, 이후 지체 없이 파기합니다.
다만, 관계 법령에 따라 다음과 같이 보관합니다: 계약 또는 청약철회 등에 관한 기록 5년(전자상거래법), 대금결제 및 재화 등의 공급에 관한 기록 5년(전자상거래법), 소비자 불만 또는 분쟁 처리에 관한 기록 3년(전자상거래법), 웹사이트 방문 기록 3개월(통신비밀보호법), 무료체험 중복 방지를 위한 이메일 탈퇴일로부터 6개월.
회사는 자율적인 휴면 정책에 따라 장기간 서비스 이용 기록이 없는 고객에 대해 사전 통지 후 개인정보를 파기하거나 별도로 분리하여 저장·관리할 수 있습니다. 단, 다른 법령에서 별도의 기간을 정하고 있는 경우에는 그 기간 동안 보관합니다.
외부 플랫폼을 통해 서비스를 이용하는 고객의 경우, 해당 플랫폼의 앱 비활성화 또는 언인스톨 시점을 기준으로 DPA 제3.5조에서 정한 삭제 절차가 일반 보존 기간에 우선하여 적용됩니다. 특히 플랫폼으로부터 스토어 삭제 요청(shop/redact 웹훅 등)이 수신된 경우, 관련 데이터는 수신 후 48시간 이내에 삭제됩니다.
| 법령 | 보존 기간 | 보존 항목 |
| 전자상거래 등에서의 소비자보호에 관한 법률 | 5년 | 계약, 청약철회, 대금결제 기록 |
| 통신비밀보호법 | 3개월 | 서비스 접속 기록 |
| 국세기본법 | 5년 | 세금계산서 발행 기록 |
회사는 서비스 제공을 위해 다음과 같이 개인정보 처리를 위탁합니다.
수탁업체 및 위탁업무: 토스페이먼츠(주) — 서비스 대금 결제 처리 및 결제 도용 방지(한국 고객), Stripe, Inc. — 서비스 대금 결제 처리(글로벌 고객), (주)채널코퍼레이션 — 채팅상담 시스템 제공 및 유지보수, AWS(Amazon Web Services) — 서비스 제공을 위한 서버 운영 및 데이터 보관. 보유 기간: 회원 탈퇴 시 또는 위탁 계약 종료 시까지.
| 수탁업체 / 독립 Controller | 위탁 업무 | 보존 기간 |
| 토스페이먼츠 주식회사 [국내 전용] | 국내 결제 처리 및 결제 수단 관리 | 위탁 계약 종료 시까지 |
| 채널코퍼레이션 주식회사 [국내 전용] | 고객 상담 채팅 서비스 | 위탁 계약 종료 시까지 |
| Amazon Web Services (AWS) | 서버 운영 및 데이터 저장 (한국·미국·싱가포르 등) | 위탁 계약 종료 시까지 |
| Stripe, Inc. (독립 Controller) | 해외 고객 국제 결제 처리 (Stripe 자체 약관 및 DPA 적용) | Stripe 자체 정책에 따름 |
| 외부 이커머스 플랫폼 운영사 (독립 Controller) | 해당 플랫폼을 통한 앱 결제 처리 (플랫폼 자체 약관 적용) | 플랫폼 자체 정책에 따름 |
회사는 개인정보 보유 기간의 경과, 처리 목적 달성 등 개인정보가 불필요하게 된 때에는 지체 없이 파기합니다.
전자적 파일: 복원 불가능한 방법으로 영구 삭제
인쇄물·서면: 분쇄 또는 소각
회사는 정보주체의 동의 없이 개인정보를 제3자에게 제공하지 않습니다. 단, 법령에 의하거나 서비스 제공 계약 이행을 위해 필요한 경우에는 예외로 합니다.
회사는 서비스 제공을 위해 다음과 같이 개인정보를 국외로 이전하거나 국외 서버에 저장할 수 있습니다.
| 이전 대상 | 이전 국가 | 목적 | 이전 방법 | 이전받는 자의 보호책임자 | 보호 조치 |
| Amazon Web Services (AWS) | 한국(서울, 주 저장), 미국·싱가포르(CDN 등) | 서버 운영 및 데이터 저장 | HTTPS(TLS 1.2 이상) 네트워크 전송 | AWS Data Protection Officer — aws-EU-privacy@amazon.com (출처: https://aws.amazon.com/compliance/data-privacy-faq/) | EU/UK→한국: 적정성 결정, 한국→미국 등: SCCs |
| 해외 결제 대행사 (Stripe, Inc.) | 미국 | 국제 결제 처리 | API를 통한 암호화 전송(TLS 1.2 이상) | Stripe Data Protection Officer — dpo@stripe.com (출처: https://stripe.com/privacy) | Stripe 자체 DPA 적용 (독립 Controller) |
| 외부 이커머스 플랫폼 운영사 | 플랫폼 소재 국가 | 앱 결제 처리 | 플랫폼별 정책에 따름 | 플랫폼별 공식 고지에 따름 | 플랫폼 자체 DPA 적용 (독립 Controller) |
EU/EEA에서 대한민국으로의 이전은 유럽위원회의 대한민국에 대한 적정성 결정에 근거하며, 영국에서 대한민국으로의 이전은 영국의 대한민국에 대한 적정성 규정에 근거합니다. 대한민국에서 미국 등 비적정국으로의 재이전 시에는 표준계약조항(SCCs) 또는 동등한 보호조치를 적용합니다.
회사의 서비스 인프라는 주로 AWS 한국(서울) 리전에서 운영되며, 서비스 품질 향상을 위해 글로벌 CDN을 통해 접속 위치 인근 엣지 서버에서 일시적으로 데이터가 처리될 수 있습니다. 결제 처리를 위해 Stripe, Inc.(미국)에 결제 관련 정보가 전송됩니다.
위 국외 이전의 법적 근거는 수취인의 역할에 따라 다음과 같이 구분됩니다.
(가) Amazon Web Services (AWS) — 처리위탁(수탁사): AWS에 대한 국외 이전은 「개인정보 보호법」 제28조의8 제1항 단서 제3호에 따라 본 처리방침에 해당 사항을 공개함으로써 정보주체의 동의를 갈음합니다. 회사는 AWS와 표준계약조항(SCCs, 유럽위원회 결정 2021/914 등)을 체결하여, 이전되는 개인정보가 대한민국의 「개인정보 보호법」과 동등한 수준으로 안전하게 처리되도록 보장합니다.
(나) Stripe, Inc. — 독립 컨트롤러: Stripe는 결제 데이터에 대해 독립적인 데이터 컨트롤러로서 자체 약관 및 DPA(stripe.com/legal/dpa)에 따라 개인정보를 처리합니다. 회사에서 Stripe로의 결제 관련 정보 제공은 서비스 이용 계약 이행(결제 처리)을 위해 필요한 범위에서 이루어지며, GDPR Art. 6(1)(b)(계약 이행)에 근거합니다.
(다) 외부 이커머스 플랫폼 운영사 — 독립 컨트롤러: 외부 플랫폼 운영사는 앱 결제 처리에 관하여 독립적인 데이터 컨트롤러로서 자체 약관 및 개인정보처리방침에 따라 개인정보를 처리합니다.
개인정보 취급 직원의 최소화 및 교육 실시
개인정보에 대한 접근 제한 및 권한 관리
개인정보 암호화: 전송 구간 TLS 1.2 이상 적용, 비밀번호 및 민감 정보 암호화 저장
보안 시스템 운영 및 정기 취약점 점검
회사는 서비스 제공을 위해 쿠키(cookie) 및 유사 기술을 사용합니다.
(1) 쿠키의 종류 및 목적
- 필수 쿠키: 로그인 세션 유지 등 서비스 정상 운영에 필수적인 쿠키
- 기능 쿠키: 언어 설정, 시간대 설정, 공지 팝업 확인 여부 등 개인화 설정 저장
- 소셜 미디어 쿠키: 소셜 로그인(네이버, 구글) 연동을 위한 쿠키
- 분석 쿠키: 서비스 이용 통계 및 품질 개선 목적의 쿠키
(2) 쿠키 설치·운영 및 거부
- 고객은 웹 브라우저 설정을 통해 쿠키 허용·거부를 선택할 수 있습니다.
- 설정 방법: 브라우저 상단 [설정] → [개인정보 및 보안] → 쿠키 관리
- 필수 쿠키를 거부할 경우 서비스 이용에 제한이 있을 수 있습니다. EU/EEA/UK 거주 정보주체에 대해서는 필수 쿠키를 제외한 비필수 쿠키·유사 기술의 사용 전에 명시적 동의를 받으며, 동의 관리는 머천트의 CMP(Consent Management Platform) 또는 플랫폼의 동의 메커니즘을 통해 이루어집니다.
- 회사는 유효한 법적 절차 없이 쿠키 정보를 제3자에게 공개하지 않습니다.
외부 플랫폼(Shopify 등) 스토어프론트에서 찰나 플레이어가 작동하는 과정에서 사용되는 기술적 식별자(로컬스토리지, 세션 식별자 등)에 대해서는 해당 플랫폼의 쿠키 정책이 함께 적용됩니다.
정보주체(고객)는 회사에 대하여 언제든지 다음의 개인정보 보호 관련 권리를 행사할 수 있습니다.
| 권리 | 내용 | 응답 기한 |
| 열람권 | 보유 개인정보 목록 및 처리 현황 확인 | 10일 이내 (국내), 1개월 이내 (EU/EEA) |
| 정정권 | 부정확한 개인정보의 정정 요청 | 10일 이내 |
| 삭제권 (잊힐 권리) | 개인정보의 삭제 요청 (법적 보존 의무 제외) | 10일 이내 |
| 처리정지권 | 개인정보 처리의 일시 중단 요청 | 즉시 (이의 기간 동안) |
| 동의 철회권 | 마케팅 등 동의 기반 처리에 대한 동의 철회 | 즉시 |
| 데이터 이동권 [EU/EEA·UK 거주자] | 구조화된 기계판독 형태(JSON/CSV)로 수령 또는 타 사업자에게 직접 이전 | 1개월 이내 |
| 프로파일링 거부권 [EU/EEA·UK 거주자] | 자동화 처리·프로파일링 기반 결정에 이의 제기 | 1개월 이내 |
| 감독기관 이의제기권 [EU/EEA·UK 거주자] | 거주 국가의 개인정보보호 감독기관에 직접 이의 제기 | 즉시 (해당 기관 절차) |
권리 행사는 privacy@charlla.io 또는 서비스 내 [개인정보 설정]을 통해 요청하세요. 신원 확인 후 처리하며, 처리 기한은 다음과 같습니다: 대한민국 개인정보보호법 적용 요청은 접수일로부터 10일 이내, EU/EEA 및 영국(GDPR/UK GDPR) 요청은 1개월 이내 원칙(요청의 복잡성 또는 건수에 따라 최대 2개월 추가 연장 가능, 총 3개월 이내), 캘리포니아 거주자(CCPA/CPRA) 요청은 45일 이내(1회 45일 연장 가능), 일본 거주자(APPI) 요청은 합리적 기간 내, 기타 국가는 해당 국가의 개인정보보호법이 정하는 기한 이내에 처리합니다.
본 조항은 외부 이커머스 플랫폼 앱 마켓플레이스를 통해 서비스를 이용하는 플랫폼 고객(머천트)에게 적용됩니다.
| 주체 | 역할 | 주요 책임 |
| 카테노이드(찰나) | 데이터 처리자 (Data Processor) | 플랫폼 고객의 지시에 따라 엔드유저 데이터 처리, 관련 법령 및 플랫폼 정책 준수 |
| 플랫폼 고객 (머천트) | 데이터 컨트롤러 (Data Controller) | 엔드유저에 대한 처리 목적·방법 결정, 자체 Privacy Policy에서 찰나 서비스 사용 고지 |
| 쇼핑몰 방문자 (엔드유저) | 정보주체 (Data Subject) | 권리 행사는 원칙적으로 플랫폼 고객(컨트롤러)에게, 또는 찰나에 직접 요청 가능 |
찰나 서비스는 서비스 제공 목적(영상 로드수 측정, 재생 통계)에 한하여 다음 데이터를 자동 수집합니다: 접속 로그(IP 주소, 브라우저 종류·버전, 방문 시각, 페이지 URL), 플레이어 이벤트(로드, 재생 시작·종료, 재생 지속 시간), 플랫폼 스토어 식별자(store domain 등).
수집된 엔드유저 데이터는 AI·ML 모델 훈련, 타 고객에 대한 광고·마케팅 목적으로 사용하지 않으며, 데이터 최소화 원칙을 준수합니다.
회사와 플랫폼 고객(머천트) 간 데이터 처리 위탁 관계의 세부 사항은 별도의 DPA(Data Processing Agreement)를 통해 규율합니다.
외부 플랫폼 앱 마켓플레이스를 통해 서비스를 이용하는 경우, 해당 플랫폼이 제공하는 데이터 관리 기능을 통해 권리를 행사할 수 있습니다.
외부 플랫폼이 개인정보 열람·삭제 요청 처리 기능(예: 플랫폼 자체 데이터 관리 API 또는 웹훅 등)을 제공하는 경우, 회사는 플랫폼으로부터 해당 요청을 수신하는 즉시 처리합니다.
| 요청 유형 | 처리 방법 | 처리 기한 |
| 개인정보 열람 요청 | 플랫폼 데이터 관리 기능 또는 privacy@charlla.io 직접 요청 가능 | 30일 이내 데이터 목록 제공 |
| 개인정보 삭제 요청 | 플랫폼 데이터 관리 기능 또는 privacy@charlla.io 직접 요청 가능 | 30일 이내 저장 데이터 삭제 (법적 보존 데이터 제외) |
| 플랫폼 앱 삭제 시 | 앱 삭제 후 일정 기간(플랫폼 정책에 따름) 경과 시 해당 스토어 데이터 전체 삭제 | 48시간 이내 (해당 플랫폼 정책 기준) |
플랫폼이 개인정보 처리 기능을 별도로 제공하지 않는 경우에는 privacy@charlla.io로 직접 요청하면 동일하게 처리합니다.
회사가 데이터 Controller인 정보(머천트 계정 데이터)에 대해서는 개인정보 침해 사실을 인지한 경우 72시간 이내에 침해 영향 정보주체가 소재한 관할 감독기관(들)(relevant competent supervisory authority(ies))에 직접 통보합니다. 회사는 EU GDPR 제4조(16)상 EU 내 “주요 사업장(main establishment)”을 두지 않으므로 동 규정 제56조의 원스톱숍(one-stop-shop) 메커니즘은 적용되지 않으며, 회사는 각 회원국 관할 감독기관과 독립적으로 협력합니다. 회사가 데이터 Processor인 정보(머천트 스토어의 최종 사용자 접속 데이터)에 대해서는 Controller(머천트)에게 지체 없이(최대 48시간 이내) 통지하여 Controller의 법적 통보 의무 이행을 지원합니다.
침해로 인해 정보주체의 권리와 자유에 높은 위험이 우려되는 경우, 회사가 Controller인 데이터에 대해서는 지체 없이 영향받은 정보주체에게 직접 통보하며, Processor인 데이터에 대해서는 Controller의 통보를 지원합니다.
회사가 Controller인 영국 거주 정보주체의 정보가 침해된 경우, 72시간 이내에 ICO(Information Commissioner's Office)에 통보합니다. Processor로서 처리하는 데이터의 경우에는 Controller(머천트)에게 지체 없이(최대 48시간 이내) 통지합니다.
캘리포니아 거주 소비자는 CCPA 및 CPRA에 따라 다음 권리를 가집니다.
알 권리(Right to Know): 수집·사용·공유하는 개인정보의 범주 및 목적 공개 요청
삭제권(Right to Delete): 수집된 개인정보의 삭제 요청 (법적 예외 제외)
정정권(Right to Correct, CPRA): 부정확한 개인정보의 정정 요청
판매·공유 거부권: 회사는 캘리포니아 소비자의 개인정보를 제3자에게 판매하거나 교차 행동 광고 목적으로 공유하지 않습니다.
민감정보 처리 제한권(CPRA): 민감한 개인정보의 처리를 특정 목적으로 제한 요청
차별금지권: 권리 행사를 이유로 서비스 거부·차별적 가격 책정 등의 불이익을 받지 않습니다.
권리 행사: privacy@charlla.io 요청 시 신원 확인 후 45일 이내 처리 (1회 45일 연장 가능)
영국 거주 정보주체는 UK GDPR에 따라 EU GDPR에 준하는 권리를 가집니다. 영국 거주 고객의 개인정보 처리에 관한 감독기관은 ICO(Information Commissioner's Office, www.ico.org.uk)이며, 불만 사항이 있는 경우 ICO에 이의를 제기할 수 있습니다.
일본 거주 정보주체의 개인정보는 일본 개인정보보호법(APPI)에 따라 처리됩니다. 일본 거주 정보주체는 이용목적의 통지 및 개시(열람) 요청, 내용의 정정·추가·삭제 요청, 이용 정지·소거 및 제3자 제공 정지 요청 권리를 가집니다.
일본 거주 정보주체의 데이터를 일본 외 국가로 이전하는 경우, 일본 개인정보보호법(APPI) 제28조에 따라 대한민국이 PPC가 동등한 보호 수준의 국가로 지정되지 않음을 정보주체에게 고지하며, APPI가 국내 처리자에게 부과하는 의무와 동등한 계약적 안전장치를 적용합니다.
싱가포르 거주 정보주체는 싱가포르 PDPA에 따른 권리를, 호주 거주 정보주체는 호주 Privacy Act 1988 및 Australian Privacy Principles(APPs)에 따른 권리를 가집니다. 권리 행사 및 문의는 privacy@charlla.io로 연락해 주세요.
개인정보 보호 책임자
이름: 방영준
연락처: privacy@charlla.io
전화번호: 1544-4367
개인정보 보호 담당자
이름: 양현덕
연락처: privacy@charlla.io
전화번호: 1544-4367
| 구분 | 정보 |
| 성명 | 방영준 |
| 직책 | 개인정보보호책임자 (CPO) |
| 이메일 | privacy@charlla.io |
| 전화 | 1544-4367 |
| EU 대리인 | 회사는 EU GDPR Article 27에 따라 EU 내에 설립된 회사의 100% 자회사(스페인 소재)를 EU 대리인으로 지정합니다. EU/EEA 거주 정보주체는 회사(카테노이드 주식회사) 또는 EU 대리인에게 직접 연락하여 개인정보 관련 문의 및 권리 행사를 요청할 수 있습니다. EU 대리인: HISPlayer SDK SL (NIF: B44544773) / 주소: Calle Poeta Joan Maragall 1, Floor 16, 28020 Madrid, Spain / 이메일: privacy@hisplayer.com (임시) |
| UK 대리인 | 회사는 UK GDPR Article 27(2)(a) 예외에 해당하여 영국 내 대리인(UK Representative)을 별도로 지정하지 않습니다. 영국 거주 정보주체는 privacy@charlla.io로 직접 문의할 수 있으며, 감독기관인 ICO(www.ico.org.uk)에도 이의를 제기할 수 있습니다. (상세 근거는 본 방침 말미 "UK 대리인 미지정 근거" 참조) |
| 일본 현지 창구 | 일본 거주 정보주체는 아래 일본 법인을 통해 개인정보 관련 문의 및 권리 행사를 요청할 수 있습니다. 법인명: 주식회사 카테노이드(株式会社カテノイド) 주소: 〒101-0033 도쿄도 치요다구 간다이와모토쵸 4-9 트루름간다 7층 담당: 영업·마케팅부 이메일: jp_sales@catenoid.net 접수시간: 월~금 10:00~18:00 (공휴일 제외) |
개인정보 처리에 관한 불만 처리를 위한 국내 기관:
개인정보 침해신고센터: privacy.kisa.or.kr / 118
개인정보 분쟁조정위원회: www.kopico.go.kr / 1833-6972
EU/EEA 거주 정보주체는 거주 국가의 개인정보보호 감독기관에, 영국 거주 정보주체는 ICO(www.ico.org.uk)에 이의를 제기할 수 있습니다.
본 개인정보처리방침은 한국어 원본을 기준으로 하며, 참고 목적의 영문 번역본을 https://charlla.io/privacy-en 에서 제공합니다. 한국어 원본과 영문 번역본이 상충하는 경우 한국어 원본이 우선합니다.
| 버전 | 시행일 | 주요 변경 내용 |
|---|---|---|
| v3.6 | 2026년 6월 1일 | [글로벌 법령 대응 및 투명성 강화] (1) 문서 구조 전면 개편: 기존 10개 조항을 15개 조항으로 확대·체계화 (2) EU/EEA 거주 정보주체에 대한 처리의 법적 근거(GDPR Art. 6) 신설 (제1-2조) (3) 만 14세 미만 아동 개인정보 처리 조항 독립·확대: GDPR(16세), UK(13세), CCPA(13세), APPI(15세) 등 글로벌 아동 보호 기준 포함 (제1-3조) (4) 수집 항목·보유 기간 표 정비 및 자동 수집 항목(IP, 브라우저 등) 명시 (제1조) (5) 결제 정보 처리 구조 명확화: 한국 고객(토스페이먼츠), 해외 고객(Stripe) 구분 (제1조, 제3조) (6) 처리 위탁 구조 개편: 수탁사와 독립 Controller(Stripe, 외부 플랫폼 운영사)를 명확히 구분 (제3조) (7) 개인정보 국외 이전 조항 신설 및 수취인별 법적 근거 분리: AWS(처리위탁), Stripe(독립 컨트롤러), 외부 플랫폼(독립 컨트롤러) (제6조) (8) 쿠키 조항 보강: 분석 쿠키 추가, EU/EEA/UK 대상 비필수 쿠키 사전 동의(CMP) 절차 명시 (제8조) (9) 정보주체 권리 확대: 데이터 이동권, 프로파일링 거부권, 감독기관 이의제기권 등 글로벌 권리 추가 (제9조) (10) 외부 플랫폼 데이터 처리 관계(Controller-Processor 역할) 및 권리 행사 절차 신설 (제10조, 제11조) (11) 개인정보 침해 대응 절차 신설: 72시간 감독기관 통보, Controller/Processor별 절차 구분 (제12조) (12) 국가별 추가 권리 조항 신설: CCPA/CPRA, UK GDPR, APPI, 싱가포르 PDPA, 호주 Privacy Act (제13조) (13) EU 대리인 지정(스페인 소재 자회사) 및 UK 대리인 미지정 근거 명시 (제14조) (14) 다국어 방침 및 접근성 조항 신설 (제15조) (15) 통합 표준 방침으로 일원화: 기존 '글로벌 버전' 구분 폐지 (16) 개인정보 보호 책임자 연락처 수정: privacy@challa.io → privacy@charlla.io |
| 최초 제정 | 2024년 10월 10일 | 서비스 런칭 시 최초 제정 |
본 개인정보처리방침은 2026년 6월 1일부터 시행됩니다.
이전 버전 방침은 본 방침 시행일로부터 효력을 잃습니다.
본 방침에 관한 문의는 privacy@charlla.io로 연락해 주시기 바랍니다.
EU 대리인 (GDPR Article 27)
회사는 EU GDPR 제27조에 따라 EU 내에 설립된 회사의 100% 자회사(스페인 소재)를 EU 대리인으로 지정합니다. EU/EEA 거주 정보주체는 회사(카테노이드 주식회사) 또는 아래 EU 대리인을 통해 개인정보 관련 문의 및 권리 행사를 요청할 수 있습니다.
법인명: HISPlayer SDK SL (NIF: B44544773)
주소: Calle Poeta Joan Maragall 1, Floor 16, 28020 Madrid, Spain
이메일: privacy@hisplayer.com (※ 임시, 확정 후 업데이트 예정)
UK 대리인 (UK GDPR Article 27) 미지정 근거
회사는 UK GDPR 제27조제2항(a)호의 예외 요건을 충족하여 영국 내 대리인(UK Representative)을 별도로 지정하지 않습니다. 그 근거는 다음과 같습니다.
(1) B2B SaaS 성격: 찰나(Charlla) 서비스는 머천트(사업자 고객)에게 제공되는 B2B SaaS이며, 회사는 영국 거주 최종 이용자(End-user)와 직접적인 계약 관계 또는 지속적인 인터랙션을 갖지 않습니다.
(2) 처리 데이터의 최소성 및 비실시간 처리: 영국 거주 최종 이용자 관련 개인정보 처리는 W3C 표준 포맷의 클라이언트 정보(IP 주소, 브라우저 종류·버전, 접속 시각, 페이지 URL, 재생 이벤트 로그 등)에 한정됩니다. 해당 데이터는 최종 이용자의 브라우저 요청 시 서버 로그에 수동적으로 기록될 뿐이며, 회사가 개인정보를 능동적으로 수집·조회하는 절차는 존재하지 않습니다. 수집된 로그는 과금 주기(월별)에 맞추어 통계 집계 시점에서 비식별 형태로 처리되며, 원본 로그는 최대 90일 이내에 삭제됩니다.
(3) 지속 모니터링·프로파일링 부재: 회사는 영국 거주 정보주체를 식별·추적(tracking)·분석·프로파일링(profiling)하지 않습니다. 로그 데이터의 통계 처리 과정에서 개인을 특정하거나 행동 패턴을 분석하는 작업은 수행되지 않습니다. 또한 특수 카테고리 개인정보(건강·종교·생체 정보 등) 또는 형사 범죄에 관한 개인정보(UK GDPR 제9조·제10조)를 처리하지 않습니다.
(4) 예외 적용: 위와 같이 회사의 영국 거주 정보주체에 대한 개인정보 처리는 (ⅰ) 서버 로그의 수동적 기록 및 월별 통계 집계에 한정된 부수적(occasional) 처리이고, (ⅱ) 대규모의 특수 카테고리 정보 또는 형사 범죄 관련 정보 처리를 포함하지 않으며, (ⅲ) 처리의 성격·범위·맥락·목적에 비추어 자연인의 권리 및 자유에 대한 위험이 낮은 경우에 해당하므로, UK GDPR 제27조제2항(a)호의 예외 요건을 충족합니다.
영국 거주 정보주체는 privacy@charlla.io로 직접 문의할 수 있으며, 감독기관인 ICO (Information Commissioner's Office, www.ico.org.uk)에 이의를 제기할 수 있습니다. 회사는 서비스 범위·처리 목적이 변경되어 본 예외 요건을 더 이상 충족하지 않게 되는 경우 즉시 UK 대리인을 지정하고 본 방침을 업데이트합니다.