AI-ERD Privacy Policy / 개인정보처리방침

1. Introduction

Welcome to AI-ERD. This Privacy Policy explains how Codelive Inc. ("Company," "we," "us," or "our") collects, uses, discloses, and protects your information when you use our database diagram design tool with optional AI features via MCP integration at ai-erd.com ("Service").

We are committed to protecting your privacy and handling your data transparently. Please read this Privacy Policy carefully to understand our practices regarding your personal data.

Company Information:

Codelive Inc.
GL Metro City Hangang, A-dong, Unit 1813, 10 Cheongcho-ro, Deogyang-gu, Goyang-si, Gyeonggi-do 10542, Republic of Korea
Email: [email protected]
Phone: +82 070-7954-6531

2. Definitions

Term	Definition
"Customer Data"	Data, files, diagrams, schemas, and other content that you upload, create, or store through the Service
"Other Information"	Information collected automatically or provided by you that is not Customer Data, including account information, usage data, and device information
"Personal Data"	Any information relating to an identified or identifiable natural person, as defined under applicable data protection laws
"Service"	The AI-ERD platform, including all features, tools, APIs, and related services provided through ai-erd.com
"User," "you," or "your"	Any individual or entity that accesses or uses the Service
"Third-Party Services"	External services, applications, or platforms that integrate with or are accessed through the Service

3. Scope

3.1 What This Policy Covers

This Privacy Policy applies to:

Information collected through the AI-ERD website (ai-erd.com)
Information collected through our Service
Communications between you and Codelive Inc.

3.2 What This Policy Does Not Cover

This Privacy Policy does not apply to:

Third-party websites or services linked from our Service
Information collected by third-party authentication providers on their own services (their independent processing)
Information you choose to share publicly through the Service's sharing features
How third-party AI tools process data within their services after you connect via MCP (see Section 14.3)
Publicly shared content may be accessible to anyone with the link or as configured by you.

4. Data Controller and Processor

4.1 Your Customer Data

For Customer Data (your diagrams, schemas, and files):

You are the Data Controller – You determine the purposes and means of processing your Customer Data
Codelive Inc. generally acts as a processor for Customer Data to provide the Service, and as a controller for limited processing required for security, compliance, and Service operations.

4.2 Other Information

For Other Information (account data, usage analytics, etc.):

Codelive Inc. is the Data Controller – We determine how this information is collected and used

5. Information We Collect

5.1 Customer Data

Customer Data is information you create or upload to the Service:

Data Type	Examples
Diagrams and Schemas	ERD diagrams, database schemas, table structures
Exported Files	SQL files, JSON exports, images (PNG, SVG)
Project Information	Project names, descriptions, notes

Important: We do not use Customer Data to train our own AI or machine learning models. If you choose to use AI features via MCP, your diagram data may be processed by third-party AI tools you connect (see Section 14.3).

5.2 Other Information

We collect Other Information in the following ways:

Information You Provide

Data Type	Examples
Account Information	Name, email address (from OAuth provider or email sign-in)
Profile Information	Display name, profile picture (if provided)
Communications	Support requests, feedback, survey responses

Information Collected Automatically

Data Type	Examples
Usage Data	Features used, actions taken, timestamps
Device Information	Browser type, operating system, device type
Log Data	IP address, access times, pages viewed
Cookies	Session identifiers, preferences

Information from Third Parties

Source	Data Type
OAuth Providers	Basic profile information (name, email, profile picture)
Analytics Services	Aggregated usage statistics

6. How We Use Your Information

We may introduce advertising on the free tier; however, we do not use Customer Data (such as your diagrams or schemas) to target or personalize ads.

6.1 Customer Data

We use Customer Data only to:

Provide and operate the Service
Store and display your diagrams
Enable export and sharing features you initiate
Provide technical support when you request it

We do NOT use Customer Data to:

Train our own AI or machine learning models
Sell to third parties
Use Customer Data to serve targeted or personalized advertisements
Create user profiles for marketing

6.2 Other Information

We use Other Information to:

Purpose	Description
Service Provision	Create and manage your account, authenticate access
Service Improvement	Measure and understand how the Service is used (subject to cookie consent where required by law) to improve features and performance
Communication	Send service announcements, respond to inquiries
Security	Detect and prevent fraud, abuse, and security threats
Legal Compliance	Comply with applicable laws and regulations
Advertising (if introduced for free tier)	Display ads, measure ad performance, and prevent ad fraud (subject to cookie consent where required by law)

7. Legal Basis for Processing (GDPR)

If you are in the European Economic Area (EEA), United Kingdom, or other jurisdictions requiring a legal basis for processing, we rely on the following:

Legal Basis	Applies To
Contract Performance	Processing necessary to provide the Service you requested (account creation, diagram storage, exports)
Legitimate Interests	Service improvement, security, and fraud prevention; and limited measurement/analytics that does not require consent under applicable law.
Consent	Analytics cookies and similar technologies (and any advertising-related cookies/IDs), where consent is required by law.
Legal Obligation	Compliance with applicable laws, responding to legal requests

You may withdraw consent at any time by contacting us or adjusting your settings.

For analytics cookies and similar technologies, we rely on consent where required by law.

8. Data Sharing and Disclosure

8.1 We Do Not Sell Your Data

We do not sell personal information as that term is defined under applicable law.

8.2 Subprocessors

We use the following service providers to operate our Service:

Provider	Purpose	Data Shared	Location
Cafe24 (Hosting)	Cloud infrastructure, hosting	Customer Data, Account Data	Korea
Google Analytics	Usage analytics	Usage data (may include cookie/identifier data where applicable)	Global (as determined by Google)
Sentry	Error & performance monitoring	Error/diagnostic data (e.g., stack traces, device/browser info, limited request context)	Global (as determined by Sentry)
Payment Provider (if paid services are introduced)	Payment processing	Payment information	Korea/USA (as determined by provider)

8.3 Authentication Providers (Third Parties)

You may sign in using Google, GitHub, Microsoft, or email. These authentication providers process certain information (such as your name, email address, and profile information) under their own terms and privacy policies. We receive limited account information from them to authenticate you and operate the Service.

8.4 Other Disclosures

We may disclose your information:

Circumstance	Description
With Your Consent	When you explicitly authorize sharing
Service Providers	To vendors who assist in operating the Service, under confidentiality agreements
Legal Requirements	To comply with laws, regulations, legal processes, or government requests
Safety and Rights	To protect the rights, property, or safety of Codelive Inc., our users, or the public
Business Transfers	In connection with a merger, acquisition, or sale of assets (with notice to you)

8.5 Advertising

We may introduce advertising on the free tier. If we do, we may use third-party advertising partners to display ads and measure performance. Depending on the configuration, this may involve sharing device and usage information (such as cookie/identifier data where applicable, IP address, and basic log/interaction data) for ad delivery, frequency capping, measurement, and fraud prevention.

We do not use Customer Data (your diagrams, schemas, and files) to serve targeted or personalized advertisements. Where required by law, we will obtain consent for advertising cookies or similar technologies and provide controls to opt out. If we introduce advertising, we will disclose whether ads are personalized and provide required choices/opt-outs (including where advertising cookies are used).

You may also contact us at [email protected] to submit opt-out requests where applicable.

9. International Data Transfers

9.1 Data Location

Your data is primarily stored on servers located in the Republic of Korea.

9.2 Transfers Outside Korea

Some service providers (including Google Analytics and Sentry) may process certain personal information outside the Republic of Korea depending on their global infrastructure.

Where required by applicable law, we use appropriate safeguards and lawful transfer mechanisms for cross-border transfers (which may include Standard Contractual Clauses (SCCs) and/or other recognized mechanisms). Korea is recognized by the European Commission as providing an adequate level of protection for EU/EEA data transfers.

For transfers from the UK, we rely on the UK Addendum to the EU SCCs, the UK IDTA, or another valid transfer mechanism as required by UK law.

International transfers may include usage and device information (e.g., cookie/identifier data where applicable, IP address, user agent, access logs) and error/diagnostic data (e.g., error events, stack traces, performance data) to support analytics, monitoring, and Service reliability. Transfers occur over encrypted networks when you use the Service and when analytics/monitoring events are generated.

You can control non-essential analytics via our cookie consent settings (where available) and may contact us at [email protected] to exercise applicable privacy rights. Retention follows provider settings and our retention policy, and we keep information only as long as necessary unless a longer period is required by law.

Upon request, we will provide available details about the recipient and transfer safeguards.

9.3 Your Rights

If you are in the EEA, UK, or other jurisdictions with data transfer restrictions, you have the right to request information about the safeguards we use for international transfers.

10. Cookies and Tracking Technologies

10.1 Types of Cookies We Use

Cookie Type	Purpose	Duration
Essential Cookies	Authentication, security, basic functionality	Session / Persistent (depending on purpose)
Analytics Cookies	Understanding how users interact with the Service	Up to 26 months (depending on your consent settings and provider configuration)

10.2 Your Cookie Choices

Essential Cookies: Required for the Service to function; cannot be disabled
Analytics Cookies: You can opt out through your browser settings or our cookie preferences (when available)

10.3 Do Not Track

We currently do not respond to "Do Not Track" browser signals. However, we honor Global Privacy Control (GPC) signals where required by law and technically feasible.

11. Data Retention

We retain your information for as long as necessary to provide the Service and fulfill the purposes described in this Privacy Policy.

Data Type	Retention Period	Notes
Customer Data	Until you delete it + 30 days	30-day grace period for recovery
Account Information	Duration of account + 30 days	Deleted after account termination
Transaction Records	if applicable 5 years	Legal/tax requirements
Server Logs	3 months	Security and debugging
Analytics Data	26 months	Aggregated and/or de-identified where feasible
Backup Data	30 days	Rotating backup cycle

Exceptions

We may retain data longer if required by law, legal proceedings, or to protect our legal rights.

12. Data Security

We implement appropriate technical and organizational measures to protect your data:

Measure	Description
Encryption in Transit	TLS 1.2+ for all data transmission
Encryption at Rest	Encryption at rest where supported by our hosting and storage systems (e.g., AES-256)
Access Control	Role-based access, principle of least privilege
Authentication	OAuth 2.0 via trusted providers and/or email-based authentication (as applicable)
Monitoring	Security logging and anomaly detection
Employee Training	Regular security awareness training

While we strive to protect your data, no method of transmission over the internet or electronic storage is 100% secure. We cannot guarantee absolute security.

13. Your Privacy Rights

13.1 General Rights(All Users)

Regardless of your location, you have the right to:

Right	Description
Access	Request a copy of your personal data
Correction	Request correction of inaccurate data
Deletion	Request deletion of your data
Export	Export your diagrams in standard formats
Withdraw Consent	Withdraw consent for optional processing

Brazil (LGPD). If you are located in Brazil, you may have rights under Brazil’s LGPD, including confirmation of processing, access, correction, anonymization/deletion, portability, information about shared recipients, and the right to revoke consent. You can exercise these rights by contacting us as described in Section 13.4. We process personal data in Brazil based on the legal bases available under the LGPD (such as consent, contract performance, legal obligation, or legitimate interests, as applicable). You may also lodge a complaint with the Brazilian National Data Protection Authority (ANPD).

13.2 Additional Rights for EEA, UK, and Switzerland Residents

Under GDPR and equivalent laws, you also have the right to:

Right	Description
Restriction	Request restriction of processing
Portability	Receive your data in a machine-readable format
Object	Object to processing based on legitimate interests
Automated Decisions	Not be subject to solely automated decision-making with legal effects
Lodge Complaint	File a complaint with your local supervisory authority

13.3 Rights for California Residents (CCPA/CPRA)

If you are a California resident, you have additional rights under the California Consumer Privacy Act (CCPA) and California Privacy Rights Act (CPRA):

Categories of Personal Information Collected

Category	Examples	Collected
Identifiers	Name, email, IP address	Yes
Commercial Information	Transaction history (future)	Future
Internet Activity	Browsing history, interactions with Service	Yes
Geolocation	General location from IP address	Yes
Professional Information	Company name (if provided)	Optional
Inferences	Preferences derived from usage	Limited

Your California Rights

Right	Description
Right to Know	Request disclosure of personal information collected, used, and disclosed
Right to Delete	Request deletion of personal information
Right to Correct	Request correction of inaccurate personal information
Right to Opt-Out	Opt out of the sale or sharing of personal information
Right to Non-Discrimination	Not receive discriminatory treatment for exercising your rights

Sale and Sharing Disclosure

We use analytics only for measurement and service improvement, and we do not enable analytics for cross-context behavioral advertising. Where required, you can opt out via cookie preferences and/or GPC.

You may also submit opt-out requests by email as described in Section 13.4.

If we introduce advertising, certain disclosures or data sharing may be considered a “sale” or “sharing” under applicable law (including CPRA). Where required, we will provide opt-out mechanisms (e.g., cookie preferences, GPC, and/or in-Service controls).

We may also provide an online request form or in-Service controls (when available).

Authorized Agents

You may designate an authorized agent to submit requests on your behalf. We may require verification of the agent's authorization.

13.4 Exercising Your Rights

To exercise any of these rights, please contact us at:

Email: [email protected]
Subject Line: Privacy Rights Request

We will respond to your request within the timeframe required by applicable law (generally 30 days for GDPR, 45 days for CCPA).

14. Your Choices

14.1 Account Information

You can update your account information by accessing your account settings or contacting us.

14.2 Email Communications

You can opt out of promotional emails by:

Clicking the "unsubscribe" link in any promotional email
Contacting us at [email protected]

Note: You cannot opt out of transactional emails (e.g., security alerts, service announcements).

14.3 AI Features

If you choose to use AI features via MCP, you may connect AI-ERD to third-party AI tools such as Claude Code. In this setup, Claude Code may request and receive your diagram data from AI-ERD through our MCP endpoint (e.g., create/get/list/update diagram tools) in order to generate suggestions or apply updates you request.

Any processing performed by the third-party AI tool (including how it uses the diagram data within that tool) is governed by that provider’s terms and privacy policy. The Company does not control the third-party AI tool’s processing and is not acting as a processor/subprocessor for that third-party AI tool in this user-managed integration.

You can choose not to use MCP-based AI features at any time.

14.4 Cookies

You can manage cookies through:

Your browser settings
Our cookie preference center (when available)

Where required by law, we will not set non-essential cookies unless you consent.

14.5 Do Not Track / Global Privacy Control

DNT: We currently do not respond to Do Not Track signals
GPC: We honor Global Privacy Control (GPC) signals where required by law and technically feasible

15. Children's Privacy

The Service is not intended for users under 16 years of age. We do not knowingly collect personal information from children under 16. In some jurisdictions, different age thresholds may apply. If we become aware that we have collected personal information from a child under 16, we will take steps to delete such information promptly.

If you believe we have inadvertently collected information from a child under 16, please contact us immediately at [email protected].

16. Third-Party Links

The Service may contain links to third-party websites or services. We are not responsible for the privacy practices of these third parties. We encourage you to read the privacy policies of any third-party services you access.

17. Supervisory Authority

17.1 EEA and UK Residents

If you are in the EEA or UK and believe we have not adequately addressed your privacy concerns, you have the right to lodge a complaint with your local data protection supervisory authority.

17.2 Korea Residents

Korean residents may file complaints with:

Personal Information Protection Commission (PIPC): https://www.pipc.go.kr
Korea Internet & Security Agency (KISA): https://www.kisa.or.kr

18. Changes to This Privacy Policy

We may update this Privacy Policy from time to time. We will notify you of material changes by:

Posting the updated Privacy Policy on our website
Sending an email to your registered email address
Displaying a prominent notice within the Service

The "Effective Date" at the top of this Privacy Policy indicates when it was last revised. Your continued use of the Service after changes become effective constitutes acceptance of the revised Privacy Policy.

19. Contact Us

If you have any questions, concerns, or requests regarding this Privacy Policy or our data practices, please contact us:

Codelive Inc.

Email: [email protected]
Phone: +82 070-7954-6531
Address: GL Metro City Hangang A-dong, Unit 1813, 10 Cheongcho-ro, Deogyang-gu, Goyang-si, Gyeonggi-do 10542, Republic of Korea

For privacy-specific inquiries, please use the subject line: "Privacy Inquiry"

Last Updated: December 24, 2025

1. 소개(Introduction)

AI-ERD에 오신 것을 환영합니다. 본 개인정보처리방침(“본 방침”)은 코드라이브(주)(이하 “회사”, “당사”, “우리”)가 ai-erd.com에서 제공하는 데이터베이스 다이어그램 설계 도구인 AI-ERD 서비스(이하 “서비스”)를 귀하가 이용하는 과정에서, MCP 연동을 통한 선택적 AI 기능을 포함하여 귀하의 정보를 어떻게 수집·이용·제공(공개)·보관·보호하는지 설명합니다. 당사는 개인정보 보호와 투명한 데이터 처리에 최선을 다하고 있습니다. 귀하의 개인정보 처리 방식에 대해 충분히 이해하실 수 있도록, 본 방침을 주의 깊게 읽어 주시기 바랍니다.

회사 정보(Company Information)

코드라이브(주)
(10542) 대한민국 경기도 고양시 덕양구 청초로 10, GL메트로시티 한강 A동 1813호
이메일: [email protected]
전화: +82 070-7954-6531

2. 정의(Definitions)

용어(Term)	정의(Definition)
“Customer Data”(고객 데이터)	서비스에 업로드, 생성 또는 저장하는 데이터, 파일, 다이어그램, 스키마 및 기타 콘텐츠
“Other Information”(기타 정보)	고객 데이터가 아닌, 자동으로 수집되거나 귀하가 제공하는 정보(계정 정보, 이용 데이터, 기기 정보 등)
“Personal Data”(개인정보)	적용되는 개인정보보호법령에서 정의하는 바에 따라, 식별되었거나 식별 가능한 자연인과 관련된 모든 정보
“Service”(서비스)	ai-erd.com을 통해 제공되는 AI-ERD 플랫폼(모든 기능, 도구, API 및 관련 서비스 포함)
“User”, “you”, “your”(이용자/귀하)	서비스를 이용하거나 접근하는 모든 개인 또는 법인
“Third-Party Services”(제3자 서비스)	서비스와 통합되거나 서비스를 통해 접근되는 외부 서비스, 애플리케이션 또는 플랫폼

3. 적용 범위(Scope)

3.1 본 방침이 적용되는 범위(What This Policy Covers)

본 방침은 다음에 적용됩니다.

AI-ERD 웹사이트(ai-erd.com)를 통해 수집되는 정보
서비스를 통해 수집되는 정보
귀하와 코드라이브(주) 간의 커뮤니케이션

3.2 본 방침이 적용되지 않는 범위(What This Policy Does Not Cover)

본 방침은 다음에는 적용되지 않습니다.

서비스에서 링크된 제3자 웹사이트 또는 서비스
제3자 인증 제공자가 자사의 서비스에서 독립적으로 수집하는 정보(해당 제공자의 자체 처리)
귀하가 서비스의 공유 기능을 통해 공개적으로 공유하기로 선택한 정보
귀하가 MCP로 연결한 이후, 제3자 AI 도구가 자사 서비스 내에서 데이터를 처리하는 방식(제14.3절 참조)
공개적으로 공유된 콘텐츠는 링크를 가진 누구나 또는 귀하가 설정한 방식에 따라 접근 가능할 수 있습니다.

4. 개인정보처리의 주체(Controller) 및 처리자(Processor)

4.1 귀하의 Customer Data(고객 데이터)

Customer Data(귀하의 다이어그램, 스키마, 파일 등)에 관하여:

귀하는 “Data Controller”(개인정보처리의 목적·수단을 결정하는 자) 입니다. 귀하가 Customer Data 처리의 목적과 수단을 결정합니다.
코드라이브(주)는 일반적으로 서비스 제공을 위해 Customer Data에 대해 “processor”(처리자)로서 역할을 하며, 보안, 준법, 서비스 운영을 위해 필요한 제한적 처리에 대해서는 “controller”(처리주체)로서 역할을 할 수 있습니다.

4.2 기타 정보(Other Information)

Other Information(계정 정보, 이용 분석 등)에 관하여:

코드라이브(주)는 “Data Controller”(처리주체) 입니다. 당사가 해당 정보를 어떻게 수집·이용할지 결정합니다.

5. 수집하는 정보(Information We Collect)

5.1 Customer Data(고객 데이터)

Customer Data는 귀하가 서비스에서 생성하거나 업로드하는 정보입니다.

데이터 유형	예시
다이어그램 및 스키마	ERD 다이어그램, 데이터베이스 스키마, 테이블 구조
내보내기 파일	SQL 파일, JSON 내보내기, 이미지(PNG, SVG)
프로젝트 정보	프로젝트 이름, 설명, 메모

중요(Important): 당사는 Customer Data를 당사 자체 AI/머신러닝 모델 학습에 사용하지 않습니다. 귀하가 MCP를 통한 AI 기능을 사용하기로 선택하는 경우, 귀하가 연결한 제3자 AI 도구가 귀하의 다이어그램 데이터를 처리할 수 있습니다(제14.3절 참조).

5.2 기타 정보(Other Information)

당사는 다음의 방식으로 Other Information을 수집합니다.

(1) 귀하가 제공하는 정보(Information You Provide)

데이터 유형	예시
계정 정보	이름, 이메일 주소(OAuth 제공자 또는 이메일 로그인)
프로필 정보	표시 이름, 프로필 사진(제공된 경우)
커뮤니케이션	고객지원 요청, 피드백, 설문 응답

(2) 자동으로 수집되는 정보(Information Collected Automatically)

데이터 유형	예시
이용 데이터	사용한 기능, 수행한 행동, 타임스탬프
기기 정보	브라우저 종류, 운영체제, 기기 유형
로그 데이터	IP 주소, 접속 시간, 조회 페이지
쿠키	세션 식별자, 환경설정

(3) 제3자로부터 수집되는 정보(Information from Third Parties)

출처(Source)	데이터 유형(Data Type)
OAuth 제공자	기본 프로필 정보(이름, 이메일, 프로필 사진)
분석 서비스	집계된 이용 통계

6. 정보 이용 방법(How We Use Your Information)

당사는 무료 티어에 광고를 도입할 수 있습니다. 다만, 당사는 Customer Data(예: 귀하의 다이어그램 또는 스키마)를 광고 타기팅 또는 개인화에 사용하지 않습니다.

6.1 Customer Data

당사는 Customer Data를 다음 목적에 한하여 사용합니다.

서비스 제공 및 운영
귀하의 다이어그램 저장 및 표시
귀하가 게시한 내보내기 및 공유 기능 제공
귀하가 요청한 경우 기술 지원 제공

당사는 Customer Data를 다음 목적으로 사용하지 않습니다.

당사 자체 AI 또는 머신러닝 모델 학습
제3자에게 판매
타기팅 또는 개인화된 광고 제공을 위한 Customer Data 사용
마케팅을 위한 이용자 프로파일 생성

6.2 Other Information

당사는 Other Information을 다음 목적으로 사용합니다.

목적(Purpose)	설명(Description)
서비스 제공(Service Provision)	계정 생성 및 관리, 접근 인증
서비스 개선(Service Improvement)	(법령상 요구되는 경우 쿠키 동의에 따름) 서비스 이용 방식을 측정·이해하여 기능 및 성능 개선
커뮤니케이션(Communication)	서비스 공지 발송, 문의 대응
보안(Security)	사기, 남용 및 보안 위협 탐지·방지
법적 준수(Legal Compliance)	적용 법령 및 규제 준수
광고(Advertising) (무료 티어에 도입되는 경우)	(법령상 요구되는 경우 쿠키 동의에 따름) 광고 표시, 광고 성과 측정, 광고 사기 방지

7. 처리의 법적 근거(GDPR Legal Basis)

귀하가 EEA(유럽경제지역), 영국 또는 기타 처리의 법적 근거가 요구되는 관할에 있는 경우, 당사는 다음에 의존합니다.

법적 근거(Legal Basis)	적용 대상(Applies To)
계약 이행(Contract Performance)	귀하가 요청한 서비스 제공에 필요한 처리(계정 생성, 다이어그램 저장, 내보내기 등)
정당한 이익(Legitimate Interests)	서비스 개선, 보안 및 사기 방지; 또한 관련 법령상 동의가 필요하지 않은 범위의 제한적 측정/분석
동의(Consent)	법령상 동의가 필요한 경우의 분석 쿠키 및 유사 기술(및 광고 관련 쿠키/식별자)
법적 의무(Legal Obligation)	적용 법령 준수, 법적 요청에 대한 대응

귀하는 당사에 연락하거나 설정을 조정함으로써 언제든지 동의를 철회할 수 있습니다. 분석 쿠키 및 유사 기술에 대해서는 법령상 요구되는 경우 동의에 의존합니다.

8. 정보 공유 및 공개(Data Sharing and Disclosure)

8.1 판매 금지(We Do Not Sell Your Data)

당사는 적용 법령에서 정의하는 의미의 개인정보를 판매하지 않습니다.

8.2 서브프로세서(Subprocessors)

당사는 서비스 운영을 위해 다음 서비스 제공자를 사용합니다.

제공자(Provider)	목적(Purpose)	공유되는 데이터(Data Shared)	위치(Location)
Cafe24(호스팅)	클라우드 인프라, 호스팅	Customer Data, 계정 정보	대한민국
Google Analytics	이용 분석	이용 데이터(해당되는 경우 쿠키/식별자 데이터 포함)	글로벌(구글의 처리 위치에 따라 결정)
Sentry	오류 및 성능 모니터링	오류/진단 데이터(예: 스택 트레이스, 기기/브라우저 정보, 제한적 요청 컨텍스트)	글로벌(Sentry의 처리 위치에 따라 결정)
결제 제공자(Payment Provider)	결제 처리	결제 정보	대한민국/미국

8.3 인증 제공자(제3자)(Authentication Providers (Third Parties))

귀하는 Google, GitHub, Microsoft 또는 이메일로 로그인할 수 있습니다. 이러한 인증 제공자는 그들의 약관 및 개인정보처리방침에 따라 일정 정보(예: 이름, 이메일 주소, 프로필 정보)를 처리합니다. 당사는 귀하를 인증하고 서비스를 운영하기 위해 제한된 계정 정보를 제공받습니다.

8.4 기타 공개(Other Disclosures)

당사는 다음의 경우 귀하의 정보를 공개할 수 있습니다.

상황(Circumstance)	설명(Description)
귀하의 동의(With Your Consent)	귀하가 명시적으로 공유를 승인하는 경우
서비스 제공자(Service Providers)	기밀유지 약정 하에 서비스 운영을 지원하는 공급업체
법적 요구(Legal Requirements)	법령, 규정, 법적 절차 또는 정부 요청 준수
안전 및 권리(Safety and Rights)	당사, 이용자 또는 공중의 권리·재산·안전 보호
사업 이전(Business Transfers)	합병, 인수 또는 자산 매각과 관련(귀하에게 통지)

8.5 광고(Advertising)

당사는 무료 티어에 광고를 도입할 수 있습니다. 광고를 도입하는 경우, 당사는 제3자 광고 파트너를 사용하여 광고를 표시하고 성과를 측정할 수 있습니다. 구성에 따라, 이는 광고 전달, 빈도 제한(frequency capping), 측정 및 사기 방지를 위해 기기 및 이용 정보(해당되는 경우 쿠키/식별자 데이터, IP 주소, 기본 로그/상호작용 데이터 등)를 공유하는 것을 포함할 수 있습니다. 당사는 Customer Data(귀하의 다이어그램, 스키마, 파일)를 타기팅 또는 개인화된 광고 제공에 사용하지 않습니다. 법령상 요구되는 경우, 당사는 광고 쿠키 또는 유사 기술에 대해 동의를 받고 거부(opt-out)할 수 있는 통제를 제공합니다. 광고를 도입하는 경우, 광고가 개인화인지 여부를 공개하고, 요구되는 선택권/거부권(광고 쿠키 사용 포함)을 제공합니다. 해당되는 경우, 귀하는 [email protected]로 연락하여 거부(opt-out) 요청을 제출할 수도 있습니다.

9. 국외 이전(International Data Transfers)

9.1 데이터 위치(Data Location)

귀하의 데이터는 주로 대한민국에 위치한 서버에 저장됩니다.

9.2 대한민국 외 이전(Transfers Outside Korea)

일부 서비스 제공자(예: Google Analytics, Sentry)는 글로벌 인프라에 따라 대한민국 외에서 특정 개인정보를 처리할 수 있습니다. 적용 법령상 요구되는 경우, 당사는 국외 이전을 위한 적절한 보호조치 및 적법한 이전 메커니즘 (표준계약조항(SCCs) 및/또는 기타 인정된 메커니즘 포함)을 사용합니다.

대한민국은 EU/EEA 데이터 이전과 관련하여 유럽위원회로부터 적정성(adequacy) 결정을 받은 국가입니다. 영국에서의 이전과 관련하여, 당사는 영국법에서 요구되는 경우 EU SCC에 대한 영국 부속서(UK Addendum), UK IDTA 또는 기타 유효한 이전 메커니즘에 의존합니다. 국제 이전에는 분석, 모니터링 및 서비스 신뢰성 지원을 위해 이용 및 기기 정보(예: 해당되는 경우 쿠키/식별자 데이터, IP 주소, 사용자 에이전트, 접근 로그) 및 오류/진단 데이터(예: 오류 이벤트, 스택 트레이스, 성능 데이터)가 포함될 수 있습니다. 이전은 귀하가 서비스를 이용하고 분석/모니터링 이벤트가 생성될 때 암호화된 네트워크를 통해 이루어집니다. 귀하는 (가능한 경우) 쿠키 동의 설정을 통해 비필수 분석을 제어할 수 있으며, [email protected]로 연락하여 적용되는 개인정보 권리를 행사할 수 있습니다. 보유기간은 제공자 설정 및 당사의 보유정책을 따르며, 법령상 더 긴 기간이 요구되지 않는 한 필요한 기간 동안만 정보를 보유합니다. 요청 시, 당사는 수신자 및 이전 보호조치에 관한 가용한 세부 정보를 제공합니다.

9.3 귀하의 권리(Your Rights)

귀하가 EEA, 영국 또는 국외 이전 제한이 있는 기타 관할에 있는 경우, 귀하는 국제 이전에 대해 당사가 사용하는 보호조치에 관한 정보를 요청할 권리가 있습니다.

10. 쿠키 및 추적 기술(Cookies and Tracking Technologies)

10.1 사용하는 쿠키 유형(Types of Cookies We Use)

Cookie Type	목적	보유 기간
필수 쿠키	인증, 보안, 기본 기능	세션/지속(목적에 따라 상이)
분석 쿠키	이용자가 서비스를 어떻게 이용하는지 이해	최대 26개월 (귀하의 동의 설정 및 제공자 구성에 따라 상이)

10.2 쿠키 선택(Your Cookie Choices)

필수 쿠키: 서비스 기능을 위해 필요하며 비활성화할 수 없습니다.
분석 쿠키: 브라우저 설정 또는 (가능한 경우) 쿠키 환경설정 센터를 통해 거부할 수 있습니다.

10.3 Do Not Track

당사는 현재 브라우저의 “Do Not Track” 신호에 응답하지 않습니다. 다만, 법령상 요구되고 기술적으로 가능한 경우 Global Privacy Control(GPC) 신호를 준수합니다.

11. 보유기간(Data Retention)

당사는 서비스 제공 및 본 방침에 기재된 목적을 달성하는 데 필요한 기간 동안 정보를 보유합니다.

데이터 유형	보유기간	비고
Customer Data	귀하가 삭제할 때까지 + 30일	복구를 위한 30일 유예기간
계정 정보	계정 유지기간 + 30일	계정 종료 후 삭제
거래 기록(해당되는 경우)	5년	법/세무 요건
서버 로그	3개월	보안 및 디버깅
분석 데이터	26개월	가능한 경우 집계 및/또는 비식별화
백업 데이터	30일	순환 백업 주기

예외(Exceptions): 법령, 법적 절차 또는 당사의 법적 권리 보호를 위해 필요한 경우 더 오래 보유할 수 있습니다.

12. 정보보안(Data Security)

당사는 귀하의 데이터를 보호하기 위해 적절한 기술적·관리적 조치를 시행합니다.

조치(Measure)	설명(Description)
전송 중 암호화	모든 데이터 전송에 TLS 1.2+ 적용
저장 시 암호화	호스팅/저장 시스템에서 지원되는 경우 저장 시 암호화(예: AES-256)
접근 통제	역할 기반 접근, 최소권한 원칙
인증	신뢰할 수 있는 제공자를 통한 OAuth 2.0 및/또는 이메일 기반 인증(해당되는 경우)
모니터링	보안 로깅 및 이상징후 탐지
임직원 교육	정기적인 보안 인식 교육

인터넷 전송 또는 전자적 저장 방식은 100% 안전할 수 없습니다. 당사는 절대적 보안을 보장할 수 없습니다.

13. 개인정보 권리(Your Privacy Rights)

13.1 일반 권리(모든 이용자)(General Rights (All Users))

귀하의 위치와 무관하게, 귀하는 다음 권리를 가질 수 있습니다.

권리(Right)	설명(Description)
열람(Access)	개인정보 사본 요청
정정(Correction)	부정확한 정보의 정정 요청
삭제(Deletion)	데이터 삭제 요청
내보내기(Export)	표준 형식으로 다이어그램 내보내기
동의 철회(Withdraw Consent)	선택적 처리에 대한 동의 철회

브라질(LGPD): 귀하가 브라질에 있는 경우, 브라질 LGPD에 따라 처리 확인, 열람, 정정, 익명화/삭제, 이동성, 공유 수신자 정보, 동의 철회 등의 권리가 있을 수 있습니다. 귀하는 제13.4절에 기재된 방식으로 이러한 권리를 행사할 수 있습니다. 당사는 브라질에서 LGPD상 가능한 법적 근거(예: 동의, 계약 이행, 법적 의무, 정당한 이익 등)에 따라 개인정보를 처리합니다. 귀하는 브라질 국가 데이터보호기구(ANPD)에 민원을 제기할 수도 있습니다.

13.2 EEA/영국/스위스 거주자의 추가 권리(Additional Rights for EEA, UK, and Switzerland Residents)

GDPR 및 유사 법령에 따라 귀하는 다음 권리를 추가로 가질 수 있습니다.

권리(Right)	설명(Description)
처리 제한(Restriction)	처리 제한 요청
이동성(Portability)	기계 판독 가능한 형식으로 데이터 제공 요청
이의 제기(Object)	정당한 이익에 근거한 처리에 대한 이의 제기
자동화 결정(Automated Decisions)	법적 효과가 있는 전적으로 자동화된 의사결정의 대상이 되지 않을 권리
민원 제기(Lodge Complaint)	관할 감독기관에 민원 제기

13.3 캘리포니아 거주자의 권리(CCPA/CPRA)(Rights for California Residents)

캘리포니아 거주자인 경우, CCPA 및 CPRA에 따라 추가 권리가 있습니다.

수집되는 개인정보 범주(Categories of Personal Information Collected)

범주(Category)	예시(Examples)	수집 여부(Collected)
식별자(Identifiers)	이름, 이메일, IP 주소	예(Yes)
상거래 정보(Commercial Information)	거래 내역(향후)	향후(Future)
인터넷 활동(Internet Activity)	브라우징 이력, 서비스 상호작용	예(Yes)
위치정보(Geolocation)	IP 기반 일반 위치	예(Yes)
직업/전문 정보(Professional Information)	회사명(제공된 경우)	선택(Optional)
추론(Inferences)	이용으로부터 도출된 선호	제한적(Limited)

캘리포니아 권리(Your California Rights)

권리(Right)	설명(Description)
알 권리(Right to Know)	수집·이용·공개된 개인정보에 대한 공개 요청
삭제권(Right to Delete)	개인정보 삭제 요청
정정권(Right to Correct)	부정확한 개인정보 정정 요청
거부권(Right to Opt-Out)	개인정보의 판매(sale) 또는 공유(sharing) 거부
비차별(Right to Non-Discrimination)	권리 행사로 인한 차별적 처우 금지

판매/공유 고지(Sale and Sharing Disclosure)

당사는 분석을 측정 및 서비스 개선 목적으로만 사용하며, 교차-컨텍스트 행태 광고를 위한 분석을 활성화하지 않습니다. 요구되는 경우, 귀하는 쿠키 환경설정 및/또는 GPC를 통해 거부할 수 있습니다.
귀하는 제13.4절에 따라 이메일로도 거부(opt-out) 요청을 제출할 수 있습니다.
당사가 광고를 도입하는 경우, 일부 공개 또는 데이터 공유는 적용 법령(예: CPRA)상 “판매” 또는 “공유”로 간주될 수 있습니다. 요구되는 경우, 당사는 거부 메커니즘(예: 쿠키 환경설정, GPC 및/또는 서비스 내 통제)을 제공합니다.
또한 당사는 (가능한 경우) 온라인 요청 양식 또는 서비스 내 통제를 제공할 수 있습니다.

대리인(Authorized Agents) 귀하는 대리인을 지정하여 귀하를 대신해 요청을 제출할 수 있습니다. 당사는 대리 권한의 확인을 요구할 수 있습니다.

13.4 권리 행사(Exercising Your Rights)

권리 행사를 위해 다음으로 연락해 주세요.

이메일: [email protected]
제목(Subject Line): Privacy Rights Request

당사는 적용 법령이 요구하는 기간 내에 요청에 응답합니다(일반적으로 GDPR은 30일, CCPA는 45일).

14. 선택 및 설정(Your Choices)

14.1 계정 정보(Account Information)

귀하는 계정 설정에서 계정 정보를 업데이트하거나 당사에 연락하여 업데이트할 수 있습니다.

14.2 이메일 커뮤니케이션(Email Communications)

귀하는 다음 방식으로 프로모션 이메일 수신을 거부할 수 있습니다.

프로모션 이메일의 “unsubscribe” 링크 클릭
[email protected]로 연락

참고(Note): 거래성 이메일(예: 보안 경고, 서비스 공지)은 수신 거부할 수 없습니다.

14.3 AI 기능(AI Features)

귀하가 MCP를 통한 AI 기능을 사용하기로 선택하는 경우, 귀하는 Claude Code와 같은 제3자 AI 도구에 AI-ERD를 연결할 수 있습니다. 이 구성에서 Claude Code는 귀하가 요청한 제안 생성 또는 업데이트 적용을 위해 AI-ERD의 MCP 엔드포인트(예: 다이어그램 생성/조회/목록/업데이트 도구)를 통해 귀하의 다이어그램 데이터를 요청하고 수신할 수 있습니다. 제3자 AI 도구가 수행하는 모든 처리(해당 도구 내에서 다이어그램 데이터를 사용하는 방식 포함)는 해당 제공자의 약관 및 개인정보처리방침의 적용을 받습니다. 회사는 이 사용자 관리형 연동(user-managed integration)에서 제3자 AI 도구의 처리를 통제하지 않으며, 해당 제3자 AI 도구에 대해 처리자/서브프로세서로서 역할을 하지 않습니다. 귀하는 언제든지 MCP 기반 AI 기능을 사용하지 않도록 선택할 수 있습니다.

14.4 쿠키(Cookies)

귀하는 다음을 통해 쿠키를 관리할 수 있습니다.

브라우저 설정
(가능한 경우) 쿠키 환경설정 센터 법령상 요구되는 경우, 당사는 귀하의 동의 없이는 비필수 쿠키를 설정하지 않습니다.

14.5 Do Not Track / Global Privacy Control

DNT: 당사는 현재 Do Not Track 신호에 응답하지 않습니다.
GPC: 법령상 요구되고 기술적으로 가능한 경우 GPC 신호를 준수합니다.

15. 아동의 개인정보(Children’s Privacy)

본 서비스는 16세 미만 이용자를 대상으로 하지 않습니다. 당사가 16세 미만 아동의 개인정보를 수집했다고 판단되는 경우, 당사는 해당 정보를 즉시 삭제하기 위한 조치를 취합니다. 당사가 의도치 않게 아동의 개인정보를 수집했다고 생각되면 [email protected]로 연락해 주세요. 일부 관할에서는 다른 연령 기준이 적용될 수 있습니다.

16. 제3자 링크(Third-Party Links)

서비스에는 제3자 웹사이트 또는 서비스로의 링크가 포함될 수 있습니다. 당사는 제3자 서비스의 개인정보처리 관행을 통제하지 않으며 그에 대해 책임지지 않습니다. 귀하가 접근하는 모든 제3자 서비스의 개인정보처리방침을 확인하시기 바랍니다.

17. 감독기관(Supervisory Authority)

17.1 EEA 및 영국 거주자(EEA and UK Residents)

귀하가 EEA 또는 영국에 거주하는 경우, 귀하는 현지 감독기관에 불만/민원을 제기할 권리가 있습니다.

17.2 대한민국(Republic of Korea)

대한민국 이용자는 아래 기관을 포함하여 관할 기관에 민원을 제기할 수 있습니다.

개인정보보호위원회(PIPC): https://www.pipc.go.kr
한국인터넷진흥원(KISA): https://www.kisa.or.kr

18. 개인정보처리방침 변경(Changes to This Privacy Policy)

당사는 본 방침을 수시로 업데이트할 수 있습니다. 중요한 변경이 있는 경우, 당사는 웹사이트 공지 또는 이메일(가능한 경우) 등 합리적인 방식으로 통지합니다. 본 방침 상단의 “시행일”은 마지막 개정 시점을 나타냅니다. 변경 후에도 계속 서비스를 이용하는 경우, 변경된 방침에 동의한 것으로 간주될 수 있습니다.

19. 문의(Contact Us)

본 방침 또는 당사의 개인정보 처리에 관한 질문, 우려 또는 요청이 있는 경우 아래로 연락해 주세요.

이메일: [email protected]
주소: (10542) 대한민국 경기도 고양시 덕양구 청초로 10, GL메트로시티 한강 A동 1813호

개인정보 관련 문의의 경우 제목에 다음을 기재해 주세요: 개인정보 보호 문의