Italiano
English
Español
Français
Deutsch
Nederlands
Polski
Português
Português do Brasil
Pусский
日本語
简体中文
Bahasa Indonesia이곳은 독립적인 관광 가이드입니다. 저희는 바티칸 박물관과 어떠한 제휴 관계도 없으며, 바티칸 박물관의 공식 인가를 받은 곳도 아닙니다.
개인정보 처리방침
규정 (EU) 2016/679(GDPR) 제13조 및 제14조에 따라
최종 업데이트: 2026년 2월 7일
1. 개인정보 처리자
Culturae Heritage Services srls (이하 "관리자")는 이탈리아 피렌체(FI) 50123, Via dei Banchi 6에 등록 사무소를 두고 있으며, VAT 번호는 IT07519170489, 납세자 번호는 07519170489, REA 번호는 FI-709102입니다.
개인정보 보호 담당자: legal@vatican.museum
처리자는 GDPR 제37조에 명시된 의무 적용 대상에 해당하지 않으므로(처리자는 특수 범주의 데이터를 대규모로 처리하지 않으며, 정기적이고 체계적인 대규모 모니터링을 수행하지 않음) 데이터 보호 책임자(DPO)를 지정하지 않았습니다. 개인정보 보호와 관련된 요청이 있을 경우, 상기 주소로 문의해 주시기 바랍니다.
2. 적용 범위
본 개인정보 처리방침은 웹사이트 vatican.museum(이하 “웹사이트”) 및 관리자가 소유한 기타 웹사이트를 방문하고 이용하는 사용자(이하 “사용자” 또는 “데이터 주체”)의 개인정보를 관리자가 어떻게 처리하는지를 설명합니다.
본 고지는 웹사이트를 통해 수행되는 모든 처리(문의 양식, 등록 시스템, 통계 분석 서비스(애널리틱스), 광고 및 전환 측정 도구, 스팸 방지 및 보안 시스템, 커뮤니케이션 서비스(뉴스레터, 거래 관련 이메일) 포함)에 적용되며, 법에서 요구하는 경우 웹사이트에 통합된 동의 관리 플랫폼(CMP)을 통해 사용자의 사전 동의를 얻은 후에만 활성화됩니다.
본 웹사이트는 편집 및 정보 제공을 목적으로 합니다. 관리자는 관련 법률상 여행사, 여행 중개업체 또는 여행 대행사가 아닙니다. 서비스의 성격에 대한 자세한 내용은 면책 조항 및 이용 약관을 참조하시기 바랍니다.
3. 처리되는 데이터의 유형
3.1 브라우징 및 기술 데이터
일반적인 브라우징 과정에서, 웹사이트 운영에 사용되는 컴퓨터 시스템 및 소프트웨어 절차는 인터넷 통신 프로토콜 사용에 내재된 전송을 통해 특정 데이터를 자동으로 수집합니다. 이러한 데이터에는 IP 주소, 브라우저 유형 및 버전, 운영 체제, 언어, 요청된 URL, 요청 날짜 및 시간, HTTP 메서드, 서버 응답 코드, 기술적 세션 식별자, 보안 이벤트 등이 포함됩니다.
3.2 사용자가 자발적으로 제공하는 데이터
사용자가 문의 양식, 가입 양식 또는 직접 이메일을 통해 자발적으로 제공하는 개인정보에는 다음이 포함될 수 있습니다:
- 이름 및 성;
- 이메일 주소;
- 전화번호;
- 출신 국가;
- 자유 입력 내용;
- 회원 가입 시 로그인 정보(이메일 및 비밀번호);
- 사용자가 자발적으로 제공하기로 선택한 기타 정보.
3.3 쿠키 및 유사 기술을 통해 수집되는 데이터
본 웹사이트는 사용자가 CMP를 통해 표시한 선호도에 따라 온라인 식별자 및 웹사이트 이용 정보를 수집하기 위해 쿠키 및 유사 기술(로컬 스토리지, 픽셀, 태그)을 사용합니다. 자세한 내용은 쿠키 정책을 참조하십시오.
3.4 광고 캠페인 및 제휴 관련 데이터
디지털 마케팅 활동의 일환으로, 캠페인 추적 매개변수(예: gclid, fbclid, msclkid, ttclid, utm_* 매개변수) 및 집계된 전환 측정값이 수집될 수 있으며, 이는 항상 사용자가 명시적으로 동의한 경우에 한합니다.
3.5 예약 관련 데이터
사용자가 웹사이트를 통해 투어 또는 체험을 예약할 경우, 거래 관련 데이터(예: 예약 상태, 바우처 참조 번호)는 거래 관련 통신(예: 예약 확인, 상태 변경, 바우처 이용 가능 여부)을 전송하는 목적으로만 관리자에 의해 처리될 수 있습니다. 결제 데이터(신용카드, 은행 정보, 보안 코드)는 결제 처리를 담당하는 제3자 파트너가 독점적으로 관리하므로, 관리자는 이를 수집, 처리 또는 저장하지 않습니다(7항 참조).
3.6 뉴스레터 및 상업적 커뮤니케이션 관련 데이터
사용자가 뉴스레터를 구독하는 경우, 관리자는 사용자의 이메일 주소 및 주제별 선호도를 수집합니다. 구독은 선택 사항이며, 오직 사용자의 명시적인 사전 동의가 있을 때에만 이루어집니다.
3.7 데이터 제공의 필수 또는 선택적 성격
브라우징 데이터의 제공은 웹사이트의 기술적 운영을 위해 필수적입니다. 연락처 및 등록 양식에 대한 데이터 제공은 선택 사항입니다. 그러나 필수 항목으로 표시된 데이터(예: 이름, 이메일)를 제공하지 않을 경우, 관리자가 사용자의 요청에 응답하거나 계정을 생성하거나 요청된 서비스를 제공하는 것이 불가능할 수 있습니다.
쿠키 및 분석, 마케팅, 프로파일링 기술에 대한 동의는 전적으로 선택 사항이며, 이러한 동의를 거부하더라도 웹사이트의 이용이나 콘텐츠 접근에는 어떠한 영향도 미치지 않습니다.
4. 처리 목적, 법적 근거 및 보존 기간
관리자는 아래 표에 명시된 목적을 위해 개인정보를 처리합니다. 표에 명시된 경우, 처리는 전적으로 사용자의 사전 명시적 동의 하에 이루어집니다.
표시된 보존 기간은 합리적인 최대 기간이며, 저장 제한 원칙(GDPR 제5조 제1항 (e)호)의 적용에 따라 단축될 수 있습니다.
처리가 관리자의 정당한 이익(GDPR 제6조 제1항 제f호)에 근거하는 경우, 관리자는 자신의 정당한 이익이 데이터 주체의 권리와 기본적 자유를 침해하지 않도록 균형 평가(정당한 이익 평가 — LIA)를 수행했습니다. 사용자는 제1항에 명시된 연락처로 서면 요청을 통해 해당 평가서의 사본을 요청할 수 있습니다.
| 목적 | 데이터 | 법적 근거 | 보관 기간 | 비고 |
|---|---|---|---|---|
| 웹사이트 운영, 기술적 기능, 보안, 사기 및 악용 방지 | 브라우징 데이터, 기술 로그, IP | 정당한 이익 (GDPR 제6조 제1항 제f호) — LIA 수행 | 최대 12개월 | 조사 또는 소송 발생 시 연장 가능 |
| 문의 양식 또는 이메일을 통한 요청 처리 | 사용자가 제공한 데이터 | 계약 전 조치의 이행(GDPR 제6조 제1항 제b호) 또는 정당한 이익(GDPR 제6조 제1항 제f호) — LIA 수행 | 최종 상호작용일로부터 최대 24개월 | 법적 의무 또는 진행 중인 소송에 따름 |
| 계정 등록 및 전용 영역 관리 | 이름, 성, 이메일, 비밀번호, 전화번호, 국가 | 계약 이행 (GDPR 제6조 제1항 b호) | 계정 유지 기간 + 12개월 | 사용자 요청 시 삭제 |
| 예약과 관련된 거래 관련 통신 | 이메일, 예약 데이터, 바우처 상태 | 계약 이행(GDPR 제6조 제1항 제b호) 및 정당한 이익(GDPR 제6조 제1항 제f호) — LIA 수행 | 예약일로부터 최대 24개월 | 거래 관련 이메일만 발송, 마케팅 목적의 이메일은 발송하지 않음 |
| 법적 및 세무상 의무, 소송 관리 | 법적 의무 및 방어에 필요한 데이터 | 법적 의무(제6조 제1항 (c)호) 및/또는 정당한 이익(제6조 제1항 (f)호) | 최대 10년 또는 해당 소멸시효 기간 | |
| 통계 분석 및 측정(Google Analytics, Hotjar, Microsoft Clarity) — 동의가 있는 경우에만 | 쿠키/ID, 사용 이벤트, 기술 데이터 | 동의 (GDPR 제6조 제1항 (a)호) | 쿠키 정책에 따름(일반적으로 14~26개월) | 언제든지 철회 가능 |
| 광고, 리마케팅, 전환 (Google Ads, Bing Ads, Meta/Facebook, TikTok, Instagram) — 동의가 있는 경우에만 | 쿠키/ID, 이벤트, 캠페인 매개변수 | 동의 (GDPR 제6조 제1항 (a)호) | 마케팅: 최대 24개월; 프로파일링: 최대 12개월 | 언제든지 철회 가능 |
| 스팸 및 봇 방지 보안 (Google reCAPTCHA v3) | IP, 행동 데이터, _GRECAPTCHA 쿠키 | 정당한 이익 (GDPR 제6조 제1항 제f호) — LIA 수행 | 인증 세션 기간 | 2026년 4월 2일부터 Google이 데이터 처리자 역할을 수행합니다. 기술적/필수 쿠키. |
| 뉴스레터 및 상업적 커뮤니케이션 — 동의가 있는 경우에만 | 이메일, 주제별 선호도 | 동의 (GDPR 제6조 제1항 (a)호) | 동의가 철회될 때까지 | 24개월간 활동이 없는 경우 목록 정리 |
| 리뷰 수집 및 게시 | 이름/닉네임, 리뷰 내용, 날짜 | 동의(제6조 제1항 (a)호) 및 정당한 이익(제6조 제1항 (f)호) | 웹사이트에 게시되는 기간 동안 | 사용자 요청 시 삭제 |
5. 쿠키 및 동의 관리 플랫폼(CMP)
본 웹사이트는 Google Consent Mode v2(2024년 3월부터 유럽 광고주에게 의무화됨)를 준수하는 동의 관리 플랫폼(CMP)을 사용하며, 이를 통해 사용자는 다음을 수행할 수 있습니다:
- 비기술적 쿠키 및 도구의 범주를 수락, 거부 또는 맞춤 설정할 수 있으며;
- 웹사이트에서 이용할 수 있는 “쿠키 설정 관리” 도구를 통해 언제든지 선호도를 변경할 수 있습니다;
- 분석, 마케팅 및 프로파일링 쿠키와 기술은 유효한 동의를 얻은 후에만 활성화된다는 사실을 알 수 있습니다.
사전 차단: 사용자가 CMP를 통해 동의를 표시하기 전에는 사용자의 기기에 쿠키나 필수적이지 않은 기술이 설치되지않습니다 . 동의가 없는 경우, 기술적/필수 쿠키만 활성화됩니다.
동의 철회: 사용자는 웹사이트에서 이용할 수 있는 “쿠키 설정 관리” 도구를 통해 동의를 부여했을 때와 동일한 편의성으로 언제든지 동의를 철회할 수 있으며, 이는 철회 이전에 부여된 동의를 기반으로 한 처리의 적법성에는 영향을 미치지 않습니다(GDPR 제7조 제3항).
기술적/필수 쿠키(Google reCAPTCHA의 _GRECAPTCHA 쿠키 포함)는 웹사이트의 운영 및 보안에 필수적이므로 동의가 필요하지 않으며 기본적으로 활성화되어 있습니다.
사용되는 쿠키의 전체 목록을 포함한 자세한 내용은 쿠키 정책을 참조하십시오.
6. 데이터 수신자
개인 데이터는 데이터 처리자(GDPR 제28조), 독립적인 관리자 또는 권한을 부여받은 자로서 활동하는 다음 당사자에게 공개될 수 있습니다:
IT 및 호스팅 서비스 제공업체
- OVH SAS (OVHcloud): 호스팅, 전용 서버, 인프라 — 독일 림부르크(EEA) 소재 데이터 센터. GDPR 제28조에 따라 데이터 처리자 역할을 수행합니다.
분석, 광고 및 보안 서비스 제공업체(CMP 동의에 따라 활성화됨)
- Google Ireland Ltd / Google LLC: Google 태그 매니저, Google 애널리틱스 4, Google Ads(전환/리마케팅), Google reCAPTCHA v3.
- Microsoft Corporation / Microsoft Ireland Operations Ltd: Bing Ads(UET), Microsoft Clarity.
- Meta Platforms Ireland Ltd / Meta Platforms Inc.: Facebook Pixel, Instagram Ads.
- TikTok Technology Ltd / ByteDance Ltd: TikTok Pixel.
- Hotjar Ltd: 행동 분석 및 히트맵.
통신 서비스 제공업체
- Amazon Web Services EMEA SARL (AWS): 거래 이메일 및 뉴스레터용 Amazon SES 및 SNS — 지역 eu-west-1 (아일랜드, EEA). GDPR 제28조에 따라 데이터 처리자 역할을 수행합니다.
상업적 파트너(독립적인 관리자)
- Viator Inc. (Tripadvisor Group): iframe 통합을 통한 투어 및 체험 예약 및 결제 파트너. Viator는 결제 데이터 및 관광 서비스 제공에 대해 독립적인 데이터 관리자 역할을 수행합니다.
- GetYourGuide Deutschland GmbH: 투어 및 체험 활동 제휴 파트너.
- LivTours: 투어 및 체험 관련 제휴 파트너.
사용자가 제3자 파트너 웹사이트(제휴 마케팅)로 리디렉션될 경우, 사용자의 개인 데이터 처리는 해당 파트너의 개인정보 처리방침에 따릅니다.
기타 수령인
- 법률, 세무 및 상업 자문가(처리자 또는 권한을 위임받은 자).
- 법률에 의해 요구되는 경우, 관할 당국.
관리자는 사용자의 개인 데이터를 판매하지 않습니다.
7. 제3자 파트너(Viator)를 통한 결제
본 웹사이트는 웹사이트 페이지에서 직접 투어 및 체험 상품을 구매할 수 있는 기능을 제공합니다. 결제 절차는 전적으로 Viator Inc. (Tripadvisor Group)에서 제공하는 통합 모듈(iframe)을 통해 이루어집니다.
관리자는 사용자의 결제 데이터 (신용카드 번호, 은행 정보, 보안 코드)를 어떠한 방식으로도 수집, 처리 또는 저장하지 않습니다. 이러한 데이터는 결제 데이터 및 관광 서비스 제공에 대해 독립적인 데이터 관리자 역할을 하는 Viator에 의해 독점적으로 수집, 처리 및 저장됩니다.
관리자는 Viator로부터 다음 정보만을 수신합니다:
- 전환율에 대한 집계 및 통계 데이터;
- 예약 상태에 관한 정보(사용자에게 거래 관련 통지를 발송하기 위함);
- 판매 수수료.
구매한 투어에 대한 청구서 및 바우처는 Viator에서 직접 발행합니다.
결제 데이터 처리에 관해서는 Viator 개인정보 처리방침을 참조해 주십시오.
8. EEA 외부로의 데이터 전송
일부 제공업체(특히 미국에 본사를 둔 그룹)의 경우, 유럽 경제 지역(EEA) 외 국가로 개인 데이터를 전송할 수 있습니다. 이러한 경우, 관리자는 GDPR 제44조 및 그 이후 조항에 따라 다음과 같은 적절한 보호 조치를 채택합니다:
- 유럽연합 집행위원회의 표준 계약 조항(SCC)(GDPR 제46조(2)(c)항), 2025년 2분기 업데이트 버전, 그리고 필요한 경우 EDPB 권고안 01/2020에 따른 이전 영향 평가(TIA) 및 보완 조치;
- 가능한 경우 유럽위원회의 적정성 결정(예: 미국 내 인증 기관을 위한 EU-미국 데이터 개인정보 보호 프레임워크);
- 추가적인 기술적 및 조직적 조치(데이터 최소화, 가명화, 전송 중 및 저장 시 암호화, 접근 분리).
EEA 외부로 데이터를 전송하는 주요 제공업체로는 Google LLC, Meta Platforms Inc., Microsoft Corporation, TikTok/ByteDance, Amazon Web Services Inc., Viator Inc. 등이 있습니다.
사용자는 제1항에 명시된 연락처로 서면 요청을 통해 채택된 구체적인 보호 조치에 대한 정보 및 해당 표준 계약 조항(SCC) 사본을 요청할 수 있습니다.
9. 데이터 주체의 권리
사용자는 언제든지 GDPR 제15조~제22조에 규정된 권리를 행사할 수 있습니다:
- 개인 데이터에 대한 접근권(제15조);
- 정정 및 갱신 권리(제16조);
- 해당되는 경우 삭제권(“잊혀질 권리”)(제17조);
- 처리 제한권(제18조);
- 해당되는 경우 데이터 이동권(제20조);
- 반대권, 특히 정당한 이익에 근거한 처리에 대한 반대권(제21조); 반대의 경우, 데이터 처리자는 설득력 있는 정당한 사유를 입증하지 않는 한 해당 데이터의 추가 처리를 중단해야 함;
- 프로파일링을 포함한 전적으로 자동화된 처리에만 근거한 결정의 대상이 되지 않을 권리(제22조);
- 동의를 언제든지, 동의를 제공했던 것과 동일한 편의성으로 철회할 권리(철회 전 수행된 처리의 적법성에는 영향을 미치지 않음)(제7조 제3항).
귀하의 권리를 행사하시려면 다음 주소로 문의해 주십시오: legal@vatican.museum
관리자는 원칙적으로 요청 접수 후 1개월 이내에 답변하며, 요청이 특히 복잡하거나 요청 건수가 많은 경우 이 기간은 최대 3개월까지 연장될 수 있습니다(GDPR 제12조). 기간이 연장되는 경우, 사용자에게 1개월 이내에 통지됩니다. 요청이 명백히 근거가 없거나 과도한 경우가 아닌 한, 권리 행사는 무료입니다(GDPR 제12조 제5항).
9.1 자동화된 의사결정 절차
관리자는 사용자에게 법적 효력을 발생시키거나 이와 유사하게 사용자에게 중대한 영향을 미치는 프로파일링을 포함한 어떠한 완전 자동화된 의사결정 절차도 수행하지 않습니다 (GDPR 제22조). 웹사이트에서 사용하는 분석 및 마케팅 도구는 오로지 집계된 통계 및 광고 목적으로만 사용되며, 자동화된 개별 의사결정을 초래하지 않습니다.
9.2 감독 기관에 대한 불만 제기
사용자는 관할 감독 기관에 불만을 제기할 권리가 있습니다.
이탈리아의 경우:
개인정보보호위원회
Piazza Venezia, 11 — 00187 Roma (RM), Italy
웹사이트: www.garanteprivacy.it
PEC: protocollo@pec.gpdp.it
전화: (+39) 06 696771
또한, 2025년 11월에 발표되어 발표 15개월 후부터 적용되는 규정 (EU) 2025/2518은 국경을 넘는 사건에서 유럽 데이터 보호 당국 간의 협력을 개선하기 위한 새로운 절차적 규칙을 도입하여, 데이터 주체의 권리에 대한 추가적인 보호 장치를 제공합니다.
10. Google reCAPTCHA v3 — 특별 공지
본 웹사이트는 Google Ireland Ltd / Google LLC에서 제공하는 스팸 및 봇 방지 서비스인 Google reCAPTCHA v3를 사용하며, 이는 양식이 포함된 페이지에서만 활성화됩니다.
2026년 4월 2일부터 Google의 발표에 따라, reCAPTCHA는 Google이 데이터 처리자 ( Data Processor ) 역할을 하고, 웹사이트의 관리자(Controller)가 reCAPTCHA를 통해 수집된 데이터에 대한 데이터 관리자(Data Controller) 역할을 하는 모델로 운영됩니다.
이는 다음을 의미합니다:
- reCAPTCHA와 관련된 Google의 개인정보 처리방침 및 서비스 약관에 대한 언급은 더 이상 적용되지 않으며, 웹사이트에서 삭제되었습니다;
- reCAPTCHA를 통해 수집된 데이터의 처리는 본 개인정보 처리방침 및 Google Cloud 데이터 처리 부속서(Google Cloud Data Processing Addendum)에 따라 관리됩니다;
- reCAPTCHA는 위험 분석을 위해 필수 쿠키(_GRECAPTCHA)를 설정하며, 이는 동의가 필요 없는 기술적/필수 쿠키로 분류됩니다.
reCAPTCHA가 수집하는 데이터에는 IP 주소, 행동 데이터(마우스 움직임, 상호작용 패턴), 브라우저 및 기기 정보 등이 포함될 수 있습니다. 이러한 데이터는 보안 및 사기 방지 목적으로만 사용됩니다.
11. 미성년자
본 웹사이트는 16세 미만의 개인을 대상으로 하지 않습니다(이 기준은 이탈리아의 법령 제196/2003호 제2-quinquies조에 따라 설정됨). 관리자는 미성년자로부터 고의로 개인정보를 수집할 의도가 없습니다. 부모 또는 보호자가 필요한 동의 없이 미성년자의 데이터가 수집되었다고 판단하는 경우, 제1항에 명시된 연락처를 통해 관리자에게 연락하여 신속한 삭제를 요청할 수 있습니다.
12. 보안 조치
관리자는 무단 접근, 분실, 파기 또는 변조로부터 개인정보를 보호하기 위해 적절한 기술적 및 조직적 조치를 채택합니다(GDPR 제32조). 여기에는 암호화된 통신(HTTPS/TLS), 최소 권한을 적용한 인증된 접근, 정기적인 백업, 보안 업데이트, 접근 모니터링, 보안 사고 관리 절차 등이 포함됩니다.
13. 본 개인정보 처리방침의 변경
관리자는 언제든지 본 개인정보 처리방침을 업데이트할 권리를 보유합니다. 최종 업데이트 날짜는 상단에 명시되어 있습니다. 중요한 변경 사항은 웹사이트 내 공지사항을 통해, 그리고 가능한 경우 등록된 사용자에게 이메일을 통해 통지됩니다. 사용자는 본 페이지를 주기적으로 확인하시기 바랍니다.
14. 준거법 및 관할권
본 개인정보 처리방침은 규정 (EU) 2016/679 (GDPR), 지침 2002/58/EC(ePrivacy), 이탈리아 개인정보 보호법(2003년 제196호 법령, 2018년 제101호 법령에 의해 개정됨) 및 이탈리아 개인정보보호위원회(Garante per la Protezione dei Dati Personali)와 유럽개인정보보호위원회(EDPB)의 관련 규정 및 지침의 적용을 받습니다.
본 정책의 해석 또는 적용과 관련된 모든 분쟁에 대해서는, 강제적인 소비자 보호 규정에 달리 규정된 경우를 제외하고 피렌체 법원이 관할권을 가집니다.