Privacy Policy
Last updated: May 10, 2026 · Effective: May 10, 2026
This policy explains what personal data Lucky Please (luckyplz.com) collects, how and why we use it, who we share it with, how long we keep it, and the rights you have under GDPR (EEA / UK / Switzerland) and CCPA / CPRA (California). Where the law gives you a right we don't already grant by default, this page tells you exactly how to claim it.
1. Who We Are
Lucky Please is an independent project that operates the website luckyplz.com. We provide free, browser-based random-decision games — wheel spinners, ladders (amidakuji), car racing, lotto, team pickers, multiplayer bingo and quiz, and similar tools — primarily used to settle small everyday questions like who pays for coffee, who's on which team, or who faces a light penalty.
For the purposes of GDPR, Lucky Please is the data controller of the limited personal data we collect about visitors and account holders. When game inputs (names, options) live only in your browser's localStorage, you are the controller of that data — we never see it. When you opt into login or multiplayer rooms, those subsets are synced to our processor (Supabase) and we become the controller of the synced fields.
- Primary contact for all data inquiries: luckyplz.contact@gmail.com (subject prefix [PRIVACY])
- General contact page: /contact/
- Data Protection Officer: we have not formally appointed a DPO. Lucky Please is a small project that does not meet the GDPR Article 37 mandatory-DPO threshold (we don't carry out large-scale systematic monitoring or large-scale processing of special-category data). The primary contact above handles all data inquiries personally.
- EU representative (Article 27): not designated. Our processing activities targeting the EU are below the regular-and-systematic threshold required by Article 27. EEA users may contact us directly via the email above.
- Where things live: the website is served from Cloudflare's global edge (US-headquartered, EU edges); our database / auth runs on Supabase (US, with EU regions for European data); analytics flow to Google Analytics 4 (US-based processing).
2. What Data We Collect (and Why)
We try to collect as little as possible. For each category below we tell you what, why, the legal basis under GDPR, and how long we keep it.
a. Usage and pageview analytics
- What: page URL, referrer, country (from anonymized IP), device type, browser, screen size, session timestamps, anonymized IP, basic event counts (e.g., "spun the wheel"). Collected via Google Analytics 4 (measurement ID G-NZDPE3H3DQ) with IP anonymization enabled.
- Why: understand which games are used, where users land from, how long pages take to load, where bugs cluster.
- Legal basis: legitimate interest (Article 6(1)(f)) for visitors outside the EEA/UK/CH; for visitors inside EEA/UK/CH, the analytics are loaded only after consent via our consent banner, in line with the ePrivacy Directive.
- Retention: 14 months at the event level (GA4 default rollover), then automatically deleted.
b. Advertising and personalization
- What: a Google AdSense / DoubleClick session, an advertising identifier (typically the
__gads / __gpi cookies), and inferred ad-targeting signals.
- Why: the site is free and supported by ads; AdSense personalizes ads to keep them relevant.
- Legal basis: for visitors in the EEA, UK, and Switzerland — consent (Article 6(1)(a)), gathered via Google's certified Consent Management Platform (CMP) before any personalized-ad cookie is set; you may withdraw consent at any time. For visitors elsewhere — legitimate interest (Article 6(1)(f)) for basic ad serving, balanced as described in Section 3.
- Retention: follows Google's ad-cookie lifetimes (typically 13 months, see Section 4).
c. Account data (only if you sign in)
- What: the email address and display name returned by your OAuth provider (Google or Kakao), a Supabase user ID, account creation timestamp, last-login timestamp. We never see or store your OAuth password — the provider handles authentication entirely.
- Why: let you save groups across devices, keep settings synced, label your contributions in social features (boards, multiplayer rooms).
- Legal basis: performance of contract (Article 6(1)(b)) — we cannot deliver the account features without storing the account.
- Retention: until you delete your account. We process deletion within 30 days of an authenticated request (see Section 6).
d. Game inputs (player names, options, results)
- What: the names and options you type into a game; the result the game produces.
- Where: your browser's localStorage, on your device, only. This data is never transmitted to our servers as long as you stay in single-player mode. Sharing a result via "copy link" packs the outcome into the URL itself — that URL travels through whatever messenger you paste it into, but it does not pass through us.
- Legal basis: we are not the controller of single-player game inputs; you are. We provide the storage mechanism (your own browser) but do not process or read the data.
- Retention: until you clear your browser data, or until you explicitly clear lists from inside the game.
e. Multiplayer room state
- What: while a multiplayer room is active (live bingo, live quiz), the room's state — current participants' display names, scores, chat messages, host actions — is stored in Supabase Realtime so all participants see the same view.
- Why: a room can't function without a shared source of truth.
- Legal basis: performance of contract (Article 6(1)(b)).
- Retention: the room and all its associated state are automatically deleted 30 minutes after the host disconnects. We don't archive closed rooms; we don't retain transcripts for analytics. Once gone, gone.
f. Support correspondence
- What: the email address you write from, the body of your message, our reply.
- Why: answer your question, follow up on bugs, keep a thread of context.
- Legal basis: legitimate interest (Article 6(1)(f)) in operating a support channel; for privacy-rights requests, legal obligation (Article 6(1)(c)).
- Retention: up to 12 months from our last reply in the thread, after which we delete the conversation. Tax-relevant emails (invoices, partnership records) may be retained longer where law requires.
g. Cookies and similar technologies
See the full inventory in Section 4 below.
3. Legal Bases for Processing (GDPR Article 6)
For visitors covered by the GDPR (EEA, UK, Switzerland), every processing activity must rest on at least one legal basis. We rely on the following:
- Consent — Article 6(1)(a). Used for personalized advertising in EEA / UK / CH (gathered via Google's CMP); used for non-essential analytics if you've enabled analytics consent. We do not currently send marketing emails. Consent can be withdrawn at any time without affecting earlier processing — see Section 6.
- Contract performance — Article 6(1)(b). Used for account features, multiplayer rooms, and any operation you have explicitly asked us to perform.
- Legitimate interest — Article 6(1)(f). Used for aggregate analytics in non-EEA regions, basic ad serving in non-EEA regions, fraud prevention (rate limiting, abuse detection), and securing the service. Our balancing test: we considered the limited scope of data, the use of pseudonymization (Supabase user IDs rather than emails in app logs), the user's reasonable expectation that a free ad-supported game site runs basic analytics, and the absence of any sensitive-category data — and concluded the balance falls in favor of the processing. You can object to any legitimate-interest processing under Article 21; we will stop unless we can show overriding compelling grounds.
- Legal obligation — Article 6(1)(c). Used when responding to lawful authority requests, retaining tax-relevant correspondence, and honoring privacy-rights requests (which themselves are an obligation).
We do not rely on the "vital interests" or "public task" bases. We do not process special-category data (race, health, political opinions, etc.) or data of children below the applicable age of consent.
4. Cookie Inventory
Below is every cookie or storage entry that touches your browser when you visit the site, what it does, and how long it lives. Items marked Essential are required for the site to function and are not subject to consent under the ePrivacy Directive; everything else is subject to consent in the EEA / UK / CH and is loaded only after the consent banner is answered.
| Name | Provider | Purpose | Type | Lifetime |
|---|
| _ga | Google | Distinguish unique users for Analytics | Analytics | 24 months |
| _ga_* | Google | GA4 session state (one per property) | Analytics | 24 months |
| __gads | Google | AdSense ad serving and frequency capping | Advertising | 13 months |
| __gpi | Google | AdSense personalized ads opt-in state | Advertising | 13 months |
| IDE | Google DoubleClick | Ad personalization across DV360 / DoubleClick partners | Advertising | 13 months |
| NID | Google | Stores user preferences for Google ads | Advertising | 6 months |
| sb-*-auth-token | Supabase | Sign-in session (set only if you log in) | Essential | 1 hour, refreshed on activity |
| lp_lang | Lucky Please | Remembers your language preference | Essential | 1 year |
| lp.recent | Lucky Please (localStorage) | Recent game inputs for one-tap recall | Essential | Until you clear browser data |
| lp.groups | Lucky Please (localStorage) | Saved groups (names you frequently use) | Essential | Until you clear browser data |
| lp.dl | Lucky Please (localStorage) | Daily-stat display state | Essential | Until you clear browser data |
| lp.pwa.* | Lucky Please (localStorage) | "Add to home screen" prompt state | Essential | Until you clear browser data |
localStorage note: entries above marked localStorage are not technically cookies — they're a different browser storage API — but they fall under the same consent rules in the EEA / UK because they sit on the user's device. We treat them with the same care: only essential entries are written without consent, and they never contain anything we would consider personal data outside what you yourself typed in.
You can clear cookies and localStorage at any time from your browser settings (usually under "Site data" or "Storage"). Doing so will not break the site; it just means saved preferences and groups will be empty next time.
5. Sub-processors and Data Sharing
We don't run our own data centers. The following sub-processors handle parts of the service on our behalf, under written agreements:
- Google LLC (United States) — provides Google Analytics 4 (anonymized analytics) and Google AdSense (ads). Receives: anonymized IP, page URL, referrer, ad-targeting cookies described above. Transfer safeguard for EU→US flows: EU–US Data Privacy Framework certification plus Standard Contractual Clauses.
- Supabase, Inc. (United States, with EU regions available) — provides our Postgres database, authentication, and Realtime infrastructure. Receives: account email, display name, multiplayer room state. Transfer safeguard: Standard Contractual Clauses; we use EU regions where the operational topology supports it.
- Cloudflare, Inc. (United States, with global edge) — provides hosting (Pages), CDN, and Turnstile bot protection (when enabled). Receives: anonymized IP for DDoS protection, the request itself. Transfer safeguard: EU–US Data Privacy Framework certification plus Standard Contractual Clauses.
We do not sell or share your personal information to any third party. "Sale" and "share" are used here in the CCPA / CPRA sense — including for cross-context behavioral advertising. The advertising cookies described in Section 4 are operated by Google under the IAB / Google CMP framework; Google's ad-personalization activities may be classified as "sharing" under California law, and EEA / UK / CH visitors must opt in via the CMP before any such cookie is set.
6. Your Rights
Depending on where you live, different laws give you different toolkits. Below we split GDPR rights (EEA / UK / Switzerland) from CCPA / CPRA rights (California). If you live elsewhere and request any of these rights, we honor them anyway as a matter of policy.
GDPR rights (EEA / UK / Switzerland)
- Right of access (Article 15): get a copy of the personal data we hold about you.
- Right to rectification (Article 16): have inaccurate data corrected.
- Right to erasure / "right to be forgotten" (Article 17): have your data deleted, subject to limited legal-retention carve-outs.
- Right to restriction (Article 18): ask us to pause processing while a dispute is resolved.
- Right to data portability (Article 20): receive your data in a structured, machine-readable format (JSON), and have it transferred where technically feasible.
- Right to object (Article 21): object to legitimate-interest processing; we will stop unless we can show overriding compelling grounds.
- Right to withdraw consent (Article 7(3)): withdraw consent at any time, without affecting the lawfulness of processing before withdrawal.
- Right to lodge a complaint: with your local supervisory authority — for example, the Information Commissioner's Office (UK), the French CNIL, the German BfDI, or your member state's equivalent.
CCPA / CPRA rights (California residents)
- Right to know: what categories of personal information we collected, the sources, the business purposes, and the third parties we shared with — all of which is disclosed in this policy.
- Right to delete: ask us to delete personal information we collected from you, subject to legal-retention carve-outs.
- Right to correct: ask us to fix inaccurate personal information.
- Right to opt out of sale or sharing: we do not sell personal information; the advertising cookies in Section 4 may be classified as "sharing for cross-context behavioral advertising," and California users can opt out via the consent banner or by emailing us.
- Right to limit use of sensitive personal information: we do not collect sensitive personal information as defined by CPRA, so this right is moot but acknowledged.
- Right to non-discrimination: we will not deny service, raise prices, or downgrade quality because you exercised a right.
How to exercise any of these rights
- Email luckyplz.contact@gmail.com with subject prefix [PRIVACY], naming the right you want to exercise.
- Identity verification. If you have a Lucky Please account, replying from the email registered to that account is enough. If you do not, we may send a one-time confirmation link to the email you provide. We will not ask for ID documents for routine requests.
- Response time. We aim to acknowledge within 5 business days and respond substantively within 30 days. For complex requests we may extend by a further 60 days under GDPR Article 12(3) — if so, we'll tell you why before the original 30-day window expires.
- Authorized agents. Under CCPA you may use an authorized agent. We require a signed permission letter from you before acting on the agent's instructions.
- No charge. Routine requests are free. We may charge a reasonable fee or refuse only when a request is manifestly unfounded or excessive (Article 12(5) GDPR; CCPA equivalent).
7. International Data Transfers
Most user data we process leaves the EU / EEA in some form, because Google, Supabase, and Cloudflare are all US-headquartered. Where a transfer is necessary, we rely on the safeguards required by Chapter V of the GDPR:
For UK transfers we rely on the UK International Data Transfer Addendum (IDTA) appended to the SCCs. For Swiss transfers we rely on the Federal Data Protection Act revised SCC equivalence.
8. Data Retention
We retain personal data only as long as needed for the purpose it was collected for, with the following defaults:
| Data type | Retention | Trigger to delete |
|---|
| GA4 events | 14 months | Automatic rollover |
| Account row (auth.users) | Until deletion request | ≤ 30 days from authenticated request |
| Saved groups, presets | Until deletion request | ≤ 30 days from authenticated request |
| Multiplayer room state | 30 minutes after host disconnects | Automatic background job |
| Support email thread | 12 months from last reply | Automatic when thread ages out |
| Application logs | 30 days, no PII | Automatic rollover |
| Database backups | 30-day rolling window | Automatic rollover (a deletion request also propagates to backups within this window) |
| Advertising cookies | Per Section 4 | Automatic, or browser-level cookie deletion |
9. Children's Privacy
Lucky Please is a general-audience site and is not directed at children.
- United States (COPPA): we do not knowingly collect personal information from children under 13. If we learn that a user under 13 has registered or sent us personal data, we will delete the account and any related data on becoming aware.
- European Union (GDPR Article 8): the default age of consent for "information society services" is 16; member states may lower this to 13. We do not target users below 16 with personalized advertising. We do not require parental consent for general use of the site because the core games do not collect personal data — but where a child below the applicable age has signed in, we treat that as a deletion event.
- How parents / guardians can request removal: email [PRIVACY] with a description of the account or device. We will act within 5 business days.
10. Security
We rely on infrastructure-level security from our sub-processors and add a thin layer of our own. Concretely:
- HTTPS everywhere — TLS 1.3, terminated at Cloudflare's edge.
- Supabase Row Level Security — every table containing user data has RLS policies that prevent one user from reading another user's row, except in the explicit cases (boards, multiplayer rooms) where shared visibility is the entire point.
- No password storage on our side — login is OAuth-only (Google, Kakao). We never see, hash, or store your password.
- Aggregate logs only — application logs do not include personal identifiers; errors are tagged with a short pseudonymized session ID.
- Bot protection — Cloudflare Turnstile guards the auth forms when configured.
- Breach notification — if we become aware of a personal data breach that is likely to result in risk to your rights and freedoms, we will notify the relevant supervisory authority within 72 hours (GDPR Article 33), and notify affected individuals without undue delay where required (Article 34).
What we don't claim. We are a small project. We do not hold ISO 27001, SOC 2, or HIPAA certifications, and we do not provide a Business Associate Agreement. If your use case requires those, Lucky Please is not the right tool — please use a service that meets your compliance needs.
11. Updates to This Policy
We may revise this policy as the service or the law evolves. The "Last updated" date at the top reflects the latest revision. For material changes — for example, adding a new sub-processor, expanding the categories of data we collect, or changing the legal basis for a processing activity — we will additionally:
- Display a notice banner on the home page for at least 14 days before the change takes effect, where feasible.
- Where you have an active account, send a notice to your registered email.
- Maintain the prior version available on request via [PRIVACY] for at least 12 months after the change.
Continued use of the site after a change takes effect is treated as acknowledgement, but it is never treated as consent in cases where consent is the legal basis — those still require an active opt-in.
12. Contact
For any data-related question, request, or complaint, write to luckyplz.contact@gmail.com with subject prefix [PRIVACY]. For all other inquiries (bugs, partnership, press), see the dedicated Contact page.
EU representative. We have not designated an EU representative under GDPR Article 27. The threshold for a mandatory representative is regular and systematic monitoring or large-scale processing of EU residents, and our activities fall below it. EEA visitors may contact us directly via the email above; replies are in English or Korean.
개인정보처리방침
최종 수정일: 2026년 5월 10일 · 시행일: 2026년 5월 10일
본 방침은 Lucky Please (luckyplz.com)가 어떤 개인정보를 수집하는지, 어떻게 · 왜 사용하는지, 누구와 공유하는지, 얼마나 오래 보관하는지, 그리고 GDPR (EEA · 영국 · 스위스), CCPA / CPRA (캘리포니아) 및 한국 개인정보 보호법 하에서 사용자에게 어떤 권리가 있는지를 설명합니다. 기본값으로 보장되지 않는 권리가 법으로 인정되는 경우, 그 권리를 어떻게 행사할 수 있는지도 본 페이지에 명시했습니다.
1. 운영자 정보
Lucky Please는 luckyplz.com 웹사이트를 운영하는 독립 프로젝트입니다. 룰렛, 사다리타기, 카레이싱, 로또, 팀 뽑기, 라이브 빙고 · 라이브 퀴즈 등 브라우저 기반 무료 무작위 결정 게임을 제공합니다 — 주로 커피값 정하기, 팀 나누기, 가벼운 벌칙 결정 같은 일상의 작은 결정에 사용됩니다.
GDPR 기준으로 Lucky Please는 우리가 수집하는 제한된 방문자·계정 정보의 개인정보 처리자(controller)입니다. 게임 입력값(이름, 옵션)이 사용자 브라우저의 localStorage에만 저장되는 한, 그 데이터의 처리자는 사용자 본인입니다 — 우리는 그 데이터를 보지 못합니다. 로그인 또는 멀티플레이 룸을 사용하시면, 동기화된 항목에 한해 우리의 수탁자(Supabase)로 전송되며 동기화된 항목에 대해서는 우리가 처리자가 됩니다.
- 모든 데이터 관련 문의 대표 연락처: luckyplz.contact@gmail.com (제목 prefix [PRIVACY])
- 일반 문의 페이지: /contact/
- 개인정보 보호 책임자(DPO): 별도 임명하지 않았습니다. Lucky Please는 GDPR 제37조의 DPO 의무 임명 기준(대규모 정기·체계적 모니터링 또는 특별 카테고리 데이터의 대규모 처리)에 해당하지 않는 소규모 프로젝트입니다. 위 대표 연락처에서 모든 데이터 문의를 직접 처리합니다.
- EU 대리인 (제27조): 별도 지정하지 않았습니다. EU를 대상으로 한 처리 활동이 제27조의 정기·체계적 처리 기준에 미달합니다. EEA 사용자는 위 이메일로 직접 문의 가능합니다.
- 인프라 위치: 사이트는 Cloudflare의 글로벌 엣지(미국 본사, EU 엣지 포함)에서 서빙되고, 데이터베이스 · 인증은 Supabase(미국, 유럽 데이터를 위한 EU 리전 옵션)에서 운영되며, 통계는 Google Analytics 4(미국 처리)로 흐릅니다.
2. 수집하는 정보 (그리고 그 이유)
가능한 한 적게 수집하려고 합니다. 아래 각 항목마다 무엇을, 왜, GDPR 기준 법적 근거, 그리고 보관 기간을 명시했습니다.
가. 사용 · 페이지뷰 통계
- 무엇: 페이지 URL, 유입 경로(referrer), 국가(익명화된 IP에서 추정), 기기 유형, 브라우저, 화면 크기, 세션 타임스탬프, 익명화된 IP, 기본 이벤트 카운트(예: "룰렛 돌림"). Google Analytics 4(측정 ID G-NZDPE3H3DQ)에서 IP 익명화 옵션을 켜고 수집합니다.
- 왜: 어떤 게임이 많이 쓰이는지, 어디서 유입되는지, 페이지 로딩이 얼마나 걸리는지, 어디서 버그가 몰리는지를 파악하기 위함.
- 법적 근거: EEA · 영국 · 스위스 외 방문자에 대해서는 정당한 이익 (제6조 (1)(f)); EEA · 영국 · 스위스 방문자에 대해서는 ePrivacy 지침에 따라 동의 배너에 동의한 후에만 통계 코드가 로드됩니다.
- 보관 기간: 이벤트 단위 14개월 (GA4 기본 롤오버), 이후 자동 삭제.
나. 광고 · 개인화
- 무엇: Google AdSense / DoubleClick 세션, 광고 식별자(주로
__gads / __gpi 쿠키), 그리고 추론된 광고 타겟팅 신호.
- 왜: 사이트는 무료이며 광고로 운영됩니다. AdSense는 광고를 사용자에게 더 관련성 있게 만들기 위해 개인화합니다.
- 법적 근거: EEA · 영국 · 스위스 방문자에 대해서는 — 동의 (제6조 (1)(a)). Google 인증 동의 관리 플랫폼(CMP)을 통해 동의를 받은 후에만 개인화 광고 쿠키를 설정합니다. 동의는 언제든 철회 가능합니다. 그 외 지역 방문자에 대해서는 — 기본 광고 게재에 한해 정당한 이익 (제6조 (1)(f)). 균형 평가는 제3절에서 설명합니다.
- 보관 기간: Google의 광고 쿠키 수명을 따릅니다(보통 13개월, 제4절 참조).
다. 계정 정보 (로그인하시는 경우만)
- 무엇: OAuth 제공자(Google 또는 Kakao)가 반환하는 이메일 주소와 표시 이름, Supabase 사용자 ID, 계정 생성 시각, 마지막 로그인 시각. OAuth 비밀번호는 절대 보지도 저장하지도 않습니다 — 인증은 OAuth 제공자가 전적으로 처리합니다.
- 왜: 기기 간 그룹 동기화, 설정 동기화, 소셜 기능(게시판 · 멀티플레이 룸)에서 본인 기여 라벨링.
- 법적 근거: 계약 이행 (제6조 (1)(b)) — 계정 기능을 제공하려면 계정 정보를 저장해야 합니다.
- 보관 기간: 계정을 삭제하실 때까지. 인증된 삭제 요청을 받은 시점부터 30일 이내에 처리합니다 (제6절 참조).
라. 게임 입력값 (이름 · 옵션 · 결과)
- 무엇: 게임에 입력하시는 이름과 옵션, 그리고 게임이 산출한 결과.
- 어디: 사용자 기기의 브라우저 localStorage에만 저장됩니다. 이 데이터는 우리 서버로 전송되지 않습니다 — 싱글플레이어 모드에서 머무는 한. "결과 링크 복사"로 공유하시면 결과 자체가 URL에 담깁니다 — 그 URL은 사용자가 붙여넣는 메신저를 통해 전달되지만, 우리를 거치지는 않습니다.
- 법적 근거: 싱글플레이어 게임 입력값에 대해 우리는 처리자가 아닙니다; 사용자 본인이 처리자입니다. 우리는 저장 메커니즘(사용자 자신의 브라우저)을 제공할 뿐 데이터를 처리하거나 읽지 않습니다.
- 보관 기간: 사용자가 브라우저 데이터를 지우거나 게임 내에서 명시적으로 목록을 삭제할 때까지.
마. 멀티플레이 룸 상태
- 무엇: 멀티플레이 룸이 활성인 동안(라이브 빙고 · 라이브 퀴즈) — 현재 참가자의 표시 이름, 점수, 채팅 메시지, 호스트 동작 — Supabase Realtime에 룸 상태가 저장되어 모든 참가자가 같은 화면을 보게 됩니다.
- 왜: 룸이 동작하려면 공유된 진실의 원천이 필요합니다.
- 법적 근거: 계약 이행 (제6조 (1)(b)).
- 보관 기간: 호스트가 연결을 끊은 뒤 30분이 지나면 룸과 연관된 모든 상태가 자동 삭제됩니다. 종료된 룸을 보관하지 않으며, 통계용으로 채팅 로그를 따로 남기지도 않습니다. 사라지면 사라진 겁니다.
바. 문의 메일
- 무엇: 문의를 보내신 이메일 주소, 메시지 본문, 우리의 회신.
- 왜: 질문에 답하고, 버그를 추적하고, 대화 맥락을 유지하기 위함.
- 법적 근거: 문의 채널 운영에 대한 정당한 이익 (제6조 (1)(f)); 개인정보 권리 요청에 대해서는 법적 의무 (제6조 (1)(c)).
- 보관 기간: 마지막 회신 후 최대 12개월, 이후 대화 삭제. 세무 관련 메일(인보이스, 제휴 기록)은 법령상 더 길게 보관할 수 있습니다.
사. 쿠키 및 유사 기술
제4절의 인벤토리 참조.
3. 처리의 법적 근거 (GDPR 제6조)
GDPR 적용 대상 방문자(EEA · 영국 · 스위스)의 모든 처리 활동은 최소 하나의 법적 근거에 기반해야 합니다. 우리가 사용하는 근거는 다음과 같습니다:
- 동의 — 제6조 (1)(a). EEA · 영국 · 스위스의 개인화 광고에 사용 (Google CMP를 통해 수집); 통계 동의를 활성화하신 경우 비필수 통계에 사용. 마케팅 메일은 보내지 않습니다. 동의는 언제든 철회 가능하며, 철회는 그 이전에 이루어진 처리의 적법성에 영향을 주지 않습니다 — 제6절 참조.
- 계약 이행 — 제6조 (1)(b). 계정 기능, 멀티플레이 룸, 그리고 사용자가 명시적으로 요청하신 모든 동작에 사용.
- 정당한 이익 — 제6조 (1)(f). EEA 외 지역의 집계 통계, EEA 외 지역의 기본 광고 게재, 부정 사용 방지(레이트 리미팅 · 어뷰즈 탐지), 서비스 보안에 사용. 균형 평가: 데이터 범위가 제한적이라는 점, 가명화(앱 로그에 이메일 대신 Supabase 사용자 ID 사용) 사용 여부, 광고 기반 무료 게임 사이트가 기본 통계를 운영한다는 사용자의 합리적 기대, 그리고 민감 카테고리 데이터의 부재 — 이 모두를 고려해 균형이 처리 쪽으로 기운다고 결론. 제21조에 따라 정당한 이익 처리에 이의 제기 가능; 우리는 우월한 정당한 사유를 입증하지 못하는 한 처리를 중단합니다.
- 법적 의무 — 제6조 (1)(c). 적법한 당국의 요청 응대, 세무 관련 메일 보존, 개인정보 권리 요청 처리(이 자체가 법적 의무) 시 사용.
"중대한 이익"이나 "공적 임무" 근거는 사용하지 않습니다. 특별 카테고리 데이터(인종 · 건강 · 정치적 의견 등)나 적용 가능한 동의 연령 미만 아동의 데이터는 처리하지 않습니다.
4. 쿠키 인벤토리
아래는 사이트 방문 시 사용자 브라우저에 닿는 모든 쿠키 또는 저장 항목, 그 용도, 그리고 수명입니다. 필수(Essential)로 표시된 항목은 사이트 동작에 필수이며 ePrivacy 지침상 동의 대상이 아닙니다. 그 외 항목은 EEA · 영국 · 스위스에서 동의 대상이며 동의 배너에 응답한 뒤에만 로드됩니다.
| 이름 | 제공자 | 용도 | 분류 | 수명 |
|---|
| _ga | Google | 통계용 고유 사용자 식별 | Analytics | 24개월 |
| _ga_* | Google | GA4 세션 상태 (속성당 1개) | Analytics | 24개월 |
| __gads | Google | AdSense 광고 게재 및 빈도 캡 | Advertising | 13개월 |
| __gpi | Google | AdSense 개인화 광고 동의 상태 | Advertising | 13개월 |
| IDE | Google DoubleClick | DV360 / DoubleClick 파트너 간 광고 개인화 | Advertising | 13개월 |
| NID | Google | Google 광고 사용자 환경설정 저장 | Advertising | 6개월 |
| sb-*-auth-token | Supabase | 로그인 세션 (로그인 시에만 설정) | Essential | 1시간, 활동 시 갱신 |
| lp_lang | Lucky Please | 언어 설정 기억 | Essential | 1년 |
| lp.recent | Lucky Please (localStorage) | 최근 게임 입력값 (원탭 복원용) | Essential | 브라우저 데이터 삭제 시까지 |
| lp.groups | Lucky Please (localStorage) | 저장된 그룹 (자주 쓰는 이름) | Essential | 브라우저 데이터 삭제 시까지 |
| lp.dl | Lucky Please (localStorage) | 일일 통계 표시 상태 | Essential | 브라우저 데이터 삭제 시까지 |
| lp.pwa.* | Lucky Please (localStorage) | "홈 화면에 추가" 안내 상태 | Essential | 브라우저 데이터 삭제 시까지 |
localStorage 안내: 위 표에서 localStorage로 표시된 항목은 엄밀히 말해 쿠키가 아닙니다 — 다른 브라우저 저장소 API입니다 — 그러나 사용자 기기에 위치하므로 EEA · 영국에서 동의 규칙은 동일하게 적용됩니다. 우리는 같은 주의로 다룹니다: 동의 없이 기록되는 항목은 필수 항목뿐이고, 사용자가 직접 입력한 내용 외에는 개인정보로 간주될 만한 데이터를 담지 않습니다.
쿠키와 localStorage는 브라우저 설정에서(보통 "사이트 데이터" 또는 "저장소" 항목) 언제든 삭제 가능합니다. 삭제해도 사이트는 정상 동작합니다 — 단지 다음 방문 시 저장된 환경설정과 그룹이 비어 있을 뿐입니다.
5. 수탁자 및 데이터 공유
우리는 자체 데이터센터를 운영하지 않습니다. 다음 수탁자가 서면 계약에 따라 서비스의 일부를 위탁 처리합니다:
- Google LLC (미국) — Google Analytics 4(익명 통계)와 Google AdSense(광고) 제공. 수신: 익명화된 IP, 페이지 URL, referrer, 위 표에 기재된 광고 타겟팅 쿠키. EU→US 이전 안전장치: EU–US Data Privacy Framework 인증 + 표준 계약 조항(SCC).
- Supabase, Inc. (미국, EU 리전 사용 가능) — Postgres 데이터베이스, 인증, Realtime 인프라 제공. 수신: 계정 이메일, 표시 이름, 멀티플레이 룸 상태. 이전 안전장치: 표준 계약 조항(SCC); 운영 토폴로지가 허용하는 경우 EU 리전 사용.
- Cloudflare, Inc. (미국, 글로벌 엣지) — 호스팅(Pages), CDN, Turnstile 봇 보호(설정 시) 제공. 수신: DDoS 방어용 익명화 IP, 요청 자체. 이전 안전장치: EU–US Data Privacy Framework 인증 + 표준 계약 조항(SCC).
우리는 사용자의 개인정보를 어떤 제3자에게도 판매하거나 공유하지 않습니다. 여기서 "판매"와 "공유"는 CCPA / CPRA 의미로 사용됩니다 — 컨텍스트 간 행동 광고를 포함합니다. 제4절의 광고 쿠키는 IAB / Google CMP 프레임워크 하에 Google이 운영합니다; Google의 광고 개인화 활동은 캘리포니아 법상 "공유"로 분류될 수 있으며, EEA · 영국 · 스위스 방문자는 어떤 광고 쿠키가 설정되기 전 CMP를 통해 옵트인해야 합니다.
6. 사용자 권리
거주 지역에 따라 적용되는 법이 다릅니다. 아래에서 GDPR 권리(EEA · 영국 · 스위스)와 CCPA / CPRA 권리(캘리포니아)를 분리해 설명합니다. 그 외 지역에 거주하시더라도 같은 권리를 정책상 보장합니다.
GDPR 권리 (EEA · 영국 · 스위스)
- 열람권 (제15조): 우리가 보유한 사용자의 개인정보 사본 요청.
- 정정권 (제16조): 부정확한 정보의 수정.
- 삭제권 / "잊혀질 권리" (제17조): 데이터 삭제. 제한된 법적 보존 예외 적용.
- 처리 제한권 (제18조): 분쟁이 해결되는 동안 처리 일시 중지 요청.
- 이동권 (제20조): 데이터를 구조화된 기계가독 형식(JSON)으로 수령, 기술적으로 가능한 경우 이전.
- 이의 제기권 (제21조): 정당한 이익 처리에 대한 이의. 우리가 우월한 정당한 사유를 입증하지 못하면 처리 중단.
- 동의 철회권 (제7조 (3)): 언제든 동의 철회. 철회 이전 처리의 적법성에는 영향 없음.
- 감독기관 신고권: 거주지 관할 감독기관에 신고 가능 — 한국의 경우 개인정보보호위원회, 영국 ICO, 프랑스 CNIL, 독일 BfDI 등.
CCPA / CPRA 권리 (캘리포니아 거주자)
- 알 권리 (Right to Know): 어떤 카테고리의 개인정보를 수집했는지, 출처, 사업 목적, 공유한 제3자 — 모두 본 방침에 명시.
- 삭제권 (Right to Delete): 수집된 개인정보의 삭제 요청. 법적 보존 예외 적용.
- 정정권 (Right to Correct): 부정확한 개인정보의 수정 요청.
- 판매 / 공유 거부권 (Right to Opt Out): 우리는 개인정보를 판매하지 않습니다; 제4절의 광고 쿠키는 "컨텍스트 간 행동 광고를 위한 공유"로 분류될 수 있으며, 캘리포니아 사용자는 동의 배너 또는 이메일을 통해 거부 가능.
- 민감 정보 사용 제한권: CPRA 정의의 민감 개인정보를 수집하지 않으므로 실질적으로 적용되지 않으나 권리는 인정.
- 비차별권: 권리 행사를 이유로 서비스 거부, 가격 인상, 품질 저하를 하지 않습니다.
권리 행사 방법
- luckyplz.contact@gmail.com으로 제목 prefix [PRIVACY]를 붙여 행사하려는 권리를 명시해 메일.
- 본인 확인. Lucky Please 계정이 있으시면 등록된 이메일에서 답신만으로 충분합니다. 그렇지 않으면 제공하신 이메일로 1회용 인증 링크를 발송할 수 있습니다. 일반 요청에 신분증 제출은 요구하지 않습니다.
- 응답 시간. 5영업일 내 접수 확인, 30일 내 실질 답변을 목표로 합니다. 복잡한 요청의 경우 GDPR 제12조 (3)에 따라 추가 60일 연장 가능 — 그 경우 최초 30일 만료 전에 사유를 안내드립니다.
- 대리인. CCPA에서는 권한 있는 대리인 사용 가능. 대리인의 지시에 따르기 전 본인의 서명된 위임장이 필요합니다.
- 무료. 일반 요청은 무료입니다. 제12조 (5) GDPR(및 CCPA 동등 조항)에 따라 명백히 부당하거나 과도한 요청에 한해 합리적 수수료를 청구하거나 거절할 수 있습니다.
7. 국외 이전
처리되는 사용자 데이터의 대부분은 어떤 형태로든 EU / EEA를 떠납니다. Google · Supabase · Cloudflare가 모두 미국에 본사를 두고 있기 때문입니다. 이전이 필요한 경우, GDPR 제5장에서 요구하는 안전장치에 의존합니다:
영국 이전은 SCC에 부속된 영국 국제 데이터 이전 부속서(IDTA)에 의존합니다. 스위스 이전은 개정 연방 데이터 보호법의 SCC 등가성에 의존합니다.
8. 보관 기간
개인정보는 수집 목적에 필요한 기간에만 보관하며, 기본값은 다음과 같습니다:
| 데이터 유형 | 보관 기간 | 삭제 트리거 |
|---|
| GA4 이벤트 | 14개월 | 자동 롤오버 |
| 계정 row (auth.users) | 삭제 요청까지 | 인증된 요청 시점부터 30일 이내 |
| 저장된 그룹 · 프리셋 | 삭제 요청까지 | 인증된 요청 시점부터 30일 이내 |
| 멀티플레이 룸 상태 | 호스트 연결 종료 후 30분 | 자동 백그라운드 잡 |
| 문의 메일 스레드 | 마지막 회신 후 12개월 | 스레드 만료 시 자동 |
| 애플리케이션 로그 | 30일 (PII 미포함) | 자동 롤오버 |
| 데이터베이스 백업 | 30일 롤링 윈도우 | 자동 롤오버 (삭제 요청도 이 윈도우 내에 백업까지 전파됨) |
| 광고 쿠키 | 제4절 참조 | 자동 또는 브라우저 단위 쿠키 삭제 |
9. 아동 개인정보 보호
Lucky Please는 일반 사용자 대상 사이트이며, 아동을 대상으로 하지 않습니다.
- 미국 (COPPA): 만 13세 미만 아동의 개인정보를 고의로 수집하지 않습니다. 만 13세 미만 사용자가 가입했거나 개인정보를 보냈다는 사실을 알게 되면, 인지 즉시 계정과 관련 데이터를 삭제합니다.
- 유럽연합 (GDPR 제8조): "정보사회 서비스" 동의 기본 연령은 만 16세이며, 회원국이 만 13세까지 낮출 수 있습니다. 만 16세 미만 사용자에게 개인화 광고를 노출하지 않습니다. 핵심 게임이 개인정보를 수집하지 않으므로 사이트 일반 사용에 부모 동의를 요구하지 않으나, 적용 가능 연령 미만 아동이 로그인한 경우 삭제 이벤트로 처리합니다.
- 대한민국: 만 14세 미만 아동의 개인정보를 처리할 경우 법정대리인의 동의가 필요합니다. 우리는 만 14세 미만 아동의 가입을 받지 않습니다.
- 부모 · 보호자의 삭제 요청 절차: [PRIVACY]로 계정 또는 기기에 대한 설명과 함께 메일. 5영업일 이내 처리합니다.
10. 보안
주로 수탁자의 인프라 수준 보안에 의존하고 그 위에 얇은 자체 레이어를 올립니다. 구체적으로:
- 전 구간 HTTPS — TLS 1.3, Cloudflare 엣지에서 종료.
- Supabase Row Level Security — 사용자 데이터를 담는 모든 테이블에 RLS 정책이 걸려 있어 한 사용자가 다른 사용자의 row를 읽을 수 없습니다(공유 가시성이 본질인 게시판 · 멀티플레이 룸 등 명시적 케이스 제외).
- 비밀번호 미저장 — 로그인은 OAuth 전용(Google, Kakao). 비밀번호는 보지도, 해시하지도, 저장하지도 않습니다.
- 집계 로그만 — 애플리케이션 로그는 개인 식별자를 포함하지 않으며, 오류는 짧은 가명화 세션 ID로 태그됩니다.
- 봇 방어 — 설정 시 Cloudflare Turnstile이 인증 폼을 보호합니다.
- 침해 통지 — 사용자의 권리와 자유에 위험을 초래할 가능성이 있는 개인정보 침해를 인지한 경우, GDPR 제33조에 따라 72시간 이내 관할 감독기관에 통지하고, 제34조 요건에 따라 영향받은 개인에게 부당한 지연 없이 통지합니다.
주장하지 않는 것. 우리는 작은 프로젝트입니다. ISO 27001, SOC 2, HIPAA 인증을 보유하지 않으며 비즈니스 어소시에이트 계약(BAA)을 제공하지 않습니다. 이런 요건이 필요한 사용 사례라면 Lucky Please는 적합한 도구가 아닙니다 — 컴플라이언스 요구사항을 충족하는 다른 서비스를 사용해주세요.
11. 방침 변경
서비스나 법령이 변할 때 본 방침을 개정할 수 있습니다. 상단의 "최종 수정일"이 최신 개정일을 반영합니다. 중대한 변경 — 예를 들어 새 수탁자 추가, 수집 데이터 카테고리 확대, 처리 활동의 법적 근거 변경 — 의 경우 추가로:
- 가능한 한 변경 시행 전 14일 이상 홈페이지에 안내 배너 표시.
- 활성 계정이 있으신 경우, 등록된 이메일로 안내 발송.
- 변경 후 최소 12개월간 [PRIVACY] 요청 시 이전 버전 제공.
변경 시행 후의 사이트 계속 이용은 인지로 간주되지만, 동의가 법적 근거인 경우에는 동의로 간주되지 않습니다 — 그 경우는 능동적 옵트인이 별도로 필요합니다.
12. 문의
데이터 관련 질문 · 요청 · 민원은 제목 prefix [PRIVACY]로 luckyplz.contact@gmail.com으로 보내주세요. 그 외 문의(버그 · 제휴 · 언론)는 문의 페이지를 이용해주세요.
EU 대리인. GDPR 제27조에 따른 EU 대리인을 별도 지정하지 않았습니다. 대리인 의무 임명 기준은 EU 거주자에 대한 정기·체계적 모니터링 또는 대규모 처리이며, 우리 활동이 그 미만이기 때문입니다. EEA 방문자는 위 이메일로 직접 연락 가능합니다 — 답변은 한국어 또는 영어.