Zásady zpracování osobních údajů
Gonggamgak (dále jen „společnost“) podle článku 30 zákona o ochraně osobních údajů chrání osobní údaje subjektu údajů a zajišťuje rychlé a plynulé řešení stížností souvisejících se zpracováním osobních údajů. Proto stanovuje a zveřejňuje následující zásady zpracování osobních údajů.
Článek 1 (Účel zpracování osobních údajů)
- Registrace a správa účtu: identifikace uživatele, propojení sociálního přihlášení, ověření věku, správa relace, prevence zneužití
- Poskytování služby: vyhledávání not, náhled, nákup, prohlížení, stažení, přehrávání audia, knihovna, skupiny, zakázkové objednávky a podpora zákazníků
- Smlouva a platba: objednávky, platby, kredity, členství, vrácení peněz, faktury a správa oprávnění
- AI funkce: zpracování vstupů a příloh na základě souhlasu uživatele, generování výsledků, kontrola bezpečnosti, správa limitů a záznamů
- Zlepšování služby a analýza: statistiky používání, tok služby, analýza chyb a výkonu na základě souhlasu uživatele
- Právní povinnosti a bezpečnost: dodržování zákonů, reakce na bezpečnostní incidenty, řešení sporů, ochrana práv a prevence zneužití
- Marketing: poskytování informací o akcích a reklamních materiálech pouze po získání samostatného souhlasu
Článek 2 (Kategorie zpracovávaných osobních údajů a způsoby sběru)
| Kategorie | Zpracovávané položky | Způsob sběru |
|---|---|---|
| Sociální registrace a přihlášení | jméno nebo přezdívka, e‑mail, profilový obrázek, identifikátor poskytovatele OAuth a identifikátor poskytovatele | Google, Kakao, Naver, Apple nebo Meta OAuth |
| Správou vydávané přihlašovací údaje | uživatelské jméno, jednosměrný hash hesla | Vydává se a zpracovává pouze pro schválené účty společnosti při přihlášení |
| Registrace a nastavení účtu | preferovaný jazyk, potvrzení věku 14 let a čas potvrzení, historie souhlasu a odvolání podmínek, zásad a AI zpracování | Vstup uživatele a záznamy služby |
| Objednávka a platba | číslo objednávky, produkt, částka, měna, země, typ platební metody, stav platby/vrácení/stornování, údaje o kreditech a členství | Proces nákupu a odpovědi platebního poskytovatele (PG) |
| Využívání služby | záznamy o nákupu, prohlížení, stažení, skupinách, zakázkových objednávkách, dotazech, vyhledávání, UI interakcích, chybách a bezpečnostních událostech | Vytvořeno během používání služby |
| AI a nástroje tvorby | prompt, konverzace, nahrané obrázky/soubory, výstupy, model, využití, záznamy o bezpečnostním zpracování | Vstup nebo generování při použití funkce uživatelem |
| Technické a analytické informace | IP adresa, uživatelský agent, cookie a identifikátory relace, náhodně generované analytické identifikátory, interní analytické identifikátory přihlášených uživatelů, cesta stránky, události služby, nastavení jazyka, čas přístupu | Automaticky sbíráno během používání webu/aplikace |
Článek 3 (Doba zpracování a uchovávání)
Společnost zničí osobní údaje bez prodlení po dosažení účelu zpracování. Nicméně následující informace mohou být uchovávány po dobu nezbytnou k plnění zákonných povinností, řešení sporů nebo prevenci zneužití.
| Informace | Základ pro uchování |
|---|---|
| Účet a profil člena | Do okamžiku dokončení výmazu účtu. Po dokončení výmazu jsou relace a přístup k službě okamžitě ukončeny; informace, které je nutné uchovat podle zákona, jsou uloženy po příslušnou zákonnou lhůtu |
| Záznamy o smlouvě, odstoupení, platbě a dodávce | 5 let podle zákona o elektronickém obchodě |
| Záznamy o stížnostech spotřebitelů nebo řešení sporů | 3 roky podle zákona o elektronickém obchodě |
| Záznamy o zobrazení a reklamě | 6 měsíců podle zákona o elektronickém obchodě |
| Záznamy o přístupu | 3 měsíce podle zákona o ochraně komunikace a dalších příslušných předpisů |
| Aktivní relace přihlášení | Do expirace nebo odhlášení/výmazu účtu |
| AI profil, poster a historie ukládání nástroje Vision | 90 dní od vytvoření nebo do okamžiku, kdy uživatel sám soubor smaže |
| Soubor pro export osobních údajů | 24 hodin po vytvoření |
| Záznamy o souhlasu, odvolání a bezpečnostní/auditní záznamy | Po dobu nezbytnou pro plnění zákonných povinností a řešení sporů či zneužití |
V současnosti výmaz účtu okamžitě ukončí přístup ke službě a aktivní relace. Záznamy o transakcích, souhlasu a auditu mohou být omezeně uchovány podle zákona a pro účely řešení sporů; fyzické smazání nebo anonymizace účtu a profilu probíhá podle samostatné politiky životního cyklu dat. Uživatel může v nabídce „Osobní údaje a data“ účtu požádat o zobrazení, export nebo výmaz.
Článek 4 (Poskytnutí osobních údajů třetím stranám)
Společnost v zásadě neposkytuje osobní údaje uživatele třetím stranám. Poskytuje je pouze v rozsahu nezbytném, pokud existuje samostatný souhlas subjektu údajů nebo zvláštní zákonný důvod. Zpracování externích poskytovatelů souvisejících s platbami, hostingem, autentizací, e‑mailem, analýzou a AI může představovat zpracování na základě pověření, poskytování třetí straně nebo přenos do zahraničí; podrobnosti jsou uvedeny v následujících článcích a souvisejících položkách.
Článek 5 (Zpracování prostřednictvím externích poskytovatelů)
| Externí poskytovatel | Související činnost |
|---|---|
| Toss Payments Co., Ltd. | Domácí schvalování plateb, vyrovnání, storno, vrácení a prevence podvodů |
| PayPal, Inc. | Schvalování, vyrovnání, storno, vrácení a prevence podvodů u podporovaných zahraničních plateb |
| Cloudflare, Inc. | CDN, přenos webového provozu, zabezpečení, spuštění Workers aplikací, úložiště objektů R2, souhlasem podložená webová statistika, AI Gateway a zpracování Workers AI |
| Neon, Inc. | Hosting PostgreSQL databáze |
| Google LLC | Autentizace přihlášení Google účtem a propojení účtu |
| Google LLC | Statistiky Google Analytics 4 na základě souhlasu uživatele |
| Google LLC | Zpracování vstupů a výstupů AI funkcí založených na Gemini podle volby uživatele |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Autentizace a propojení účtů pomocí vybraných sociálních přihlášení |
| Anthropic PBC | Zpracování AI funkcí Claude podle volby uživatele |
| OpenAI, L.L.C. | Zpracování AI funkcí OpenAI podle volby uživatele |
| Resend, Inc. | Odesílání e‑mailů souvisejících s transakcemi, účty a službami |
Článek 6 (Přenos osobních údajů do zahraničí)
Společnost může během používání služby přenášet a ukládat níže uvedené osobní údaje do zahraničí. Přenos probíhá šifrovaně pomocí TLS, kdykoli uživatel využívá danou funkci nebo je nutný pro plnění smlouvy. Právní základ každého přenosu se řídí souhlasem, plněním smlouvy nebo pověřením podle zákona o ochraně osobních údajů a souvisejících předpisů.
| Příjemce a kontakt | Země/region | Přenášené položky | Účel přenosu | Čas a metoda | Právní základ | Doba uchování a využití | Způsob odmítnutí a dopad |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | USA a globální síť Cloudflare; umístění zpracování/ukládání se může lišit podle produktu, nastavení účtu a cesty požadavku | Záznamy účtu a služby, IP, zařízení, analytické informace, objektové soubory, informace zadané uživatelem do AI | Hosting, zabezpečení, ukládání, souhlasem podložená analýza, AI přeposílání | Průběžný během používání služby, TLS přenos | Plnění smlouvy a pověření zpracování | Podle domácí doby uchování položek nebo dle nastavení smlouvy/produktu | Volitelná analýza a AI lze odmítnout odvoláním souhlasu, ale funkce bude omezena. Odmítnutí povinného hostingu znemožní poskytování služby. |
| Neon, Inc. (privacy@neon.tech) | Singapur (AWS ap-southeast-1) | Údaje o členech, transakcích, souhlasech, využití služby | Ukládání v PostgreSQL databázi | Průběžný během používání služby, TLS přenos | Plnění smlouvy a pověření zpracování | Podle domácí doby uchování položek nebo do ukončení smlouvy o pověření | Odmítnutí povinného ukládání znemožní poskytování služeb založených na účtu. |
| Google LLC (googlekrsupport@google.com) | USA a další regiony zpracování Google | OAuth identifikátory, analytické identifikátory a události, nebo AI vstupy/přílohy/výstupy | OAuth autentizace, souhlasem podložená analýza GA4, vybraná Gemini funkce | TLS přenos při využití funkce | Souhlas podle funkce nebo plnění smlouvy | Doba potřebná pro poskytování autentizace, analýzy a funkce dle politiky Google | Každou funkci lze nepoužívat nebo odvolat souhlas; funkce bude omezena. |
| Apple Inc., Meta Platforms, Inc. | USA a další regiony poskytovatelů | Identifikátory poskytovatele, jméno, e‑mail, profilové informace | Vybraná OAuth autentizace a propojení účtu | TLS přenos při přihlášení a propojení | Plnění smlouvy | Doba po odpojení/odstranění účtu nebo dle politiky poskytovatele | Lze zvolit jiný způsob přihlášení; daný způsob pak nebude k dispozici. |
| PayPal, Inc. (privacy@paypal.com) | USA a další regiony PayPal | Identifikátory plátce, číslo objednávky, částka, měna, stav platby/stornování/vrácení | Zpracování zahraničních plateb podle volby uživatele | TLS přenos při požadavku na platbu | Plnění smlouvy | Doba uchování podle zákona o elektronickém obchodě a politiky PayPal | Zahraniční platbu lze nevybrat; daný platební prostředek pak nebude k dispozici. |
| Anthropic PBC (privacy@anthropic.com) | USA | AI vstupy, výstupy a informace o bezpečnostním zpracování | Zpracování Claude funkce podle volby uživatele | TLS přenos při využití funkce | Souhlas s volitelným AI zpracováním | Doba potřebná pro poskytování funkce a dle smlouvy/politiky Anthropic | AI funkci lze nepoužívat nebo odvolat souhlas; funkce bude omezena. |
| OpenAI, L.L.C. (privacy@openai.com) | USA | AI vstupy, výstupy a informace o bezpečnostním zpracování | Zpracování OpenAI funkce podle volby uživatele | TLS přenos při využití funkce | Souhlas s volitelným AI zpracováním | Doba potřebná pro poskytování funkce a dle smlouvy/politiky OpenAI | AI funkci lze nepoužívat nebo odvolat souhlas; funkce bude omezena. |
| Resend, Inc. (privacy@resend.com) | USA | Přijímané e‑maily, jméno, zpráva a záznamy o odeslání | Odesílání e‑mailů souvisejících s transakcemi, účty a službami | TLS přenos při odeslání | Plnění smlouvy a pověření zpracování | Doba potřebná pro odesílání a řešení výpadků dle smlouvy/politiky Resend | Odmítnutí povinných transakčních a účetních e‑mailů může ztížit poskytování souvisejících služeb. |
Uživatel může odmítnout zahraniční přenos tím, že nevyužije volitelné AI funkce, volitelnou analýzu nebo zahraniční platbu, nebo odvolá související souhlas. Odmítnutí nezbytných procesů, jako je autentizace, hosting, databáze nebo povinné e‑mailové odesílání, může vést k omezení nebo nemožnosti poskytování služby. Dotazy a žádosti o výmaz účtu lze zaslat prostřednictvím nabídky „Osobní údaje a data“ nebo na support@sheetmusic.kr.
Článek 7 (Zpracování osobních údajů v AI funkcích)
- AI funkce zpracovávají text, obrázky, soubory a výstupy, které uživatel zadá, za účelem poskytování funkce, kontroly bezpečnosti, řešení chyb a správy limitů.
- Uživatel nesmí zadávat citlivé informace, jako je rodné číslo nebo jiné osobní údaje chráněné zákonem o ochraně osobních údajů KR, ani osobní údaje třetích stran bez oprávnění.
- Služba nepoužívá vstupy ani výstupy AI k trénování vlastních univerzálních modelů. Společnost používá API externích AI poskytovatelů nebo podnikové nastavení a v případě podpory konfiguruje, aby vstupy a výstupy nebyly použity k trénování jejich modelů. Doba uchování a bezpečnostní kontrola se liší podle poskytovatele, modelu a smluvních podmínek.
- Souhlas s AI zpracováním lze kdykoli odvolat v sekci „Osobní údaje a data“ účtu. Odvolání neovlivní zákonnost již provedeného zpracování, ale následně bude funkce AI omezena.
- Nevhodné AI výstupy nebo stížnosti týkající se osobních údajů lze nahlásit na support@sheetmusic.kr.
Článek 8 (Chování, cookies a lokální úložiště)
- Služba používá cookies a lokální či session úložiště pro udržení přihlášení, zabezpečení, nastavení jazyka, košíku a stavu funkcí.
- Google Analytics 4 může při souhlasu uživatele zpracovávat náhodně generované analytické identifikátory, interní analytické identifikátory přihlášených uživatelů, cestu stránky, události služby, nastavení jazyka, informace o zařízení a prohlížeči a čas přístupu.
- Cloudflare Web Analytics a funkce analýzy výkonu služby mohou zpracovávat informace o požadavcích stránky, zařízení, prohlížeči a síti; konkrétní způsob identifikace a rozsah uchování závisí na nastavení produktu.
- Souhlas s analýzou lze odmítnout nebo odvolat v banneru nebo v sekci „Osobní údaje a data“ účtu. Odmítnutí neomezuje základní funkce služby.
- Uživatel může v nastavení prohlížeče blokovat cookies, avšak blokování povinných cookies může způsobit nefunkčnost přihlášení, plateb a dalších klíčových funkcí.
Článek 9 (Práva subjektu údajů a zákonných zástupců)
- Subjekt údajů může v rozsahu stanoveném zákonem požadovat přístup, opravu, výmaz, pozastavení zpracování a odvolání souhlasu. Může také získat kopii svých osobních údajů prostřednictvím funkce exportu poskytované službou.
- Žádosti lze učinit v sekci „Osobní údaje a data“, e‑mailem nebo telefonicky; společnost po ověření identity nebo oprávněného zástupce vyřídí žádost podle příslušných předpisů.
- Pokud existuje zákonná povinnost uchování nebo riziko porušení práv třetích stran, může být část žádosti omezena a společnost o důvodech informuje.
- Služba nepovoluje registraci dětí mladších 14 let. Pokud společnost zjistí, že dítě mladší 14 let se zaregistrovalo, provede ověření věku, omezení používání účtu a výmaz osobních údajů. Údaje, které je nutné uchovat podle zákona, mohou být po příslušnou dobu nadále uloženy.
Článek 10 (Zničení osobních údajů)
- Údaje, jejichž uchovávací lhůta uplynula nebo jejichž účel zpracování byl dosažen, jsou zničeny bez prodlení.
- Údaje, které je nutné uchovat zákonem, jsou po dobu potřebnou pro plnění zákonných povinností uchovávány v omezeném přístupu a po uplynutí lhůty zničeny.
- Elektronické soubory s osobními údaji jsou smazány nebo anonymizovány tak, aby bylo obtížné je obnovit nebo znovu vytvořit.
Článek 11 (Opatření k zajištění bezpečnosti)
- Organizační opatření: omezení přístupu k osobním údajům na nezbytně nutné osoby a správa souvisejících pracovních postupů a ochranných standardů.
- Technická opatření: správa oprávnění, autentizace a kontrola přístupu, šifrování TLS během přenosu, oddělené ukládání citlivých informací a kontrola bezpečnostních zranitelností.
- Fyzická opatření: fyzické zabezpečení a kontrola vstupu u poskytovatelů cloudových a datových center, které společnost využívá.
- Opatření při incidentu: detekce bezpečnostních incidentů, kontrola logů, zálohování a obnovování, a postupy hodnocení a reakce na incidenty.
Článek 12 (Osoba odpovědná za ochranu osobních údajů a podání žádosti o uplatnění práv)
Osoba odpovědná za ochranu osobních údajů: Jo Chang-hyun (CEO)
E‑mail: support@sheetmusic.kr
Telefon: 070-4617-6352
Článek 13 (Ochrana práv v případě porušení)
- Centrum pro hlášení porušení osobních údajů: 118, privacy.kisa.or.kr
- Komise pro mediaci sporů o osobní údaje: 1833-6972, www.kopico.go.kr
- Nejvyšší státní zastupitelství: 1301, www.spo.go.kr
- Policie: 182, ecrm.police.go.kr
Článek 14 (Změna zásad zpracování)
V případě změny zásad bude datum účinnosti a hlavní změny zveřejněny v historii změn služby a zásad. Změny, které podstatně ovlivní práva nebo povinnosti subjektu údajů, budou oznámeny zvlášť před uplynutím lhůty stanovené zákonem nebo v rozumném předstihu.
Doplňkové ustanovení
Tyto zásady zpracování osobních údajů vstupují v platnost dne 20. července 2026.