Persondatapolitik
Gonggamgak (herefter ‘virksomheden’) fastlægger og offentliggør denne persondatapolitik i overensstemmelse med artikel 30 i den koreanske persondatalov for at beskytte den registreredes personoplysninger og for at behandle klager vedrørende behandling af personoplysninger hurtigt og smidigt.
Artikel 1 (Formål med behandlingen af personoplysninger)
- Medlemsregistrering og kontoadministration: identifikation af bruger, tilknytning af social login, aldersverifikation, sessionsstyring, forebyggelse af misbrug
- Tjenesteydelser: søgning, forhåndsvisning, køb, visning og download af nodeark, afspilning af lyd, bibliotek, gruppe, skræddersyet bestilling og kundesupport
- Kontrakt og betaling: bestilling, betaling, kredit, medlemskab, refusion, kvittering og rettighedsstyring
- AI-funktioner: behandling af input‑ og vedhæftede filer i overensstemmelse med brugerens samtykke, generering af resultater, sikkerhedskontrol, styring af forbrugsgrænser og logning
- Forbedring og analyse af tjenesten: brugsstatistik, tjenesteflow, fejl‑ og præstationsanalyse på grundlag af brugerens samtykke
- Juridiske forpligtelser og sikkerhed: overholdelse af lovgivning, håndtering af sikkerhedshændelser, tvistbehandling, forebyggelse af rettighedskrænkelser og misbrug
- Markedsføring: kun når særskilt samtykke er indhentet, leveres begivenheds‑ og reklameinformation
Artikel 2 (Kategorier af personoplysninger og indsamlingstilgange)
| Kategori | Behandlingsoplysninger | Indsamlingsmetode |
|---|---|---|
| Social medlemsregistrering og login | Navn eller kaldenavn, e‑mail, profilbillede, OAuth‑udbyder og udbyderspecifik identifikator | Google, Kakao, Naver, Apple eller Meta OAuth |
| Administratorudstedte legitimationsoplysninger | Brugernavn, ensrettet hash‑værdi af adgangskode | Udstedes og behandles kun for godkendte konti fra virksomheden |
| Registrering og kontoinstillinger | Foretrukket sprog, bekræftelse af alder ≥ 14 år samt tidspunkt for bekræftelse, historik for samtykke og tilbagetrækning af vilkår, privatlivspolitik og AI‑behandling | Brugerindtastning og tjenestelog |
| Bestilling og betaling | Bestillingsnummer, produkt, beløb, valuta, land, betalingsmetodetype, betalings‑/annullerings‑/refusionsstatus, kredit‑ og medlemskabsoplysninger | Betalings‑ og købsproces samt svar fra betalingsgateway |
| Tjenesteanvendelse | Køb‑, visnings‑, download‑, gruppe‑, skræddersyet bestillings‑ og forespørgselslog, søgning‑ og UI‑interaktion, fejl‑ og sikkerhedslog | Genereret under brug af tjenesten |
| AI og produktionsværktøjer | Prompt, samtale, uploadede billeder/filer, genererede resultater, model‑, forbrugs‑ og sikkerhedsbehandlingslog | Indtastning eller generering når brugeren benytter funktionen |
| Teknisk‑ og analyseinformation | IP‑adresse, brugeragent, cookie‑/sessions‑identifikator, tilfældigt genereret analyse‑identifikator, intern analyse‑identifikator for login‑bruger, side‑sti, tjeneste‑begivenheder, sprogindstilling, adgangstidspunkt | Automatisk indsamlet under web‑ eller app‑brug |
Artikel 3 (Opbevarings- og sletteperiode)
Virksomheden sletter personoplysninger uden unødig forsinkelse, når formålet med behandlingen er opfyldt. Følgende oplysninger kan dog opbevares i den periode, der er nødvendig for lovmæssige forpligtelser, tvistbehandling eller forebyggelse af misbrug.
| Information | Opbevaringsgrundlag |
|---|---|
| Medlemskonto og profil | Indtil medlemskabet er fuldstændigt slettet. Når sletning er gennemført, afsluttes login‑sessioner og tjenesteadgang øjeblikkeligt, mens lovpligtige oplysninger opbevares i den foreskrevne lovbestemte periode |
| Kontrakt‑, fortrydelses‑, betalings‑ og leveringsoptegnelser | 5 år i henhold til e‑handelsloven |
| Forbrugerklager eller tvistbehandlingsoptegnelser | 3 år i henhold til e‑handelsloven |
| Markeds‑ og reklameoptegnelser | 6 måneder i henhold til e‑handelsloven |
| Adgangslog | 3 måneder, hvis påkrævet i henhold til lov om beskyttelse af kommunikationshemmelighed mv. |
| Aktive login‑sessioner | Indtil udløb eller logout/udmeldelse |
| AI‑profil‑, poster‑ og Vision‑værktøjs‑gemningshistorik | 90 dage fra oprettelsesdato eller indtil brugeren sletter manuelt |
| Persondataportefølje‑fil | 24 timer efter oprettelse |
| Samtykke‑/tilbagetræknings‑ og sikkerheds‑/auditlog | Den periode, der er nødvendig for lovmæssige forpligtelser og håndtering af tvister eller misbrug |
Aktuel udmeldelse af medlemskab afslutter tjenesteadgang og aktive sessioner med det samme. Registrerings‑, samtykke‑ og auditlog kan forblive i begrænset omfang i henhold til lovgivning og tvistbehandlingsformål, mens fysisk sletning eller anonymisering af konto‑ og profildata håndteres i overensstemmelse med en separat datalivscyklus‑politik. Brugeren kan anmode om visning, eksport eller sletning via menuen ‘Personoplysninger og data’ i kontoen.
Artikel 4 (Videregivelse af personoplysninger til tredjepart)
Virksomheden videregiver som hovedregel ikke brugerens personoplysninger til tredjepart. Videregivelse sker kun inden for nødvendigt omfang, når den registrerede har givet særskilt samtykke, eller når lovgivning giver et specifikt grundlag. Behandling af personoplysninger af eksterne leverandører i forbindelse med betaling, hosting, autentificering, e‑mail, analyse og AI‑funktioner kan falde ind under databehandlingsaftaler, tredjeparts‑videregivelse eller overførsel til udlandet, afhængig af den konkrete kontrakt og formål. Detaljer fremgår i de efterfølgende artikler.
Artikel 5 (Behandling via eksterne leverandører)
| Ekstern leverandør | Relateret opgave |
|---|---|
| Toss Payments Co., Ltd. | Indenlandsk betalingsgodkendelse, afregning, annullering, refusion og forebyggelse af svig |
| PayPal, Inc. | Godkendelse, afregning, annullering, refusion og forebyggelse af svig for understøttede udenlandske betalinger |
| Cloudflare, Inc. | CDN, web‑trafiklevering, sikkerhed, Workers‑applikationskørsel, R2‑objektlagring, samtykkebaseret web‑analyse, AI‑gateway‑mellemlægning og Workers‑AI‑behandling |
| Neon, Inc. | Hosting af PostgreSQL‑databaser |
| Google LLC | Godkendelse af Google‑konto login og kontotilknytning |
| Google LLC | Analyse af brugsstatistik via Google Analytics 4 baseret på brugerens samtykke |
| Google LLC | Behandling af input og output for brugervalgte Gemini‑baserede AI‑funktioner |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Godkendelse og tilknytning af brugervalgte sociale login‑tjenester |
| Anthropic PBC | Behandling af brugervalgte Claude‑AI‑funktioner |
| OpenAI, L.L.C. | Behandling af brugervalgte OpenAI‑AI‑funktioner |
| Resend, Inc. | Afsendelse af transaktions‑, konto‑ og tjeneste‑e‑mails |
Artikel 6 (Overførsel af personoplysninger til udlandet)
Virksomheden kan overføre og lagre følgende personoplysninger i udlandet i forbindelse med brug af tjenesten. Overførslen sker løbende via TLS‑krypteret netværk, når brugeren benytter den pågældende funktion eller når kontraktopfyldelse kræver det. Det juridiske grundlag for hver overførsel er samtykke, kontraktopfyldelse eller databehandlingsaftale i overensstemmelse med artikel 28‑8 i den koreanske persondatalov og øvrig relevant lovgivning.
| Modtager & kontakt | Land/region | Overførte data | Formål med overførsel | Tidspunkt & metode | Juridisk grundlag | Opbevarings‑/brugsperiode | Afvisningsmetode og konsekvens |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | USA og Cloudflare’s globale netværksområder. Placering af behandling/lager kan variere efter produkt, kontoinstillinger og anmodningssti | Konto‑ og tjenestelog, IP‑, enheds‑ og analyseinformation, objekt‑filer, bruger‑input til AI | Hosting, sikkerhed, lagring, samtykkebaseret analyse, AI‑mellemlægning | Løbende under tjenesteanvendelse, TLS‑overførsel | Kontraktopfyldelse og databehandlingsaftale | Den periode, der gælder for hver indsamlet kategori i Korea, eller i henhold til kontrakt‑/produktindstillinger | Valgfri analyse og AI kan afvises ved at trække samtykke tilbage, men funktionen vil så være utilgængelig. Afvisning af nødvendig hosting kan gøre tjenesten utilgængelig |
| Neon, Inc. (privacy@neon.tech) | Singapore (AWS ap‑southeast‑1) | Medlems‑, transaktions‑, samtykke‑ og tjeneste‑brugslog | Lagring i PostgreSQL‑database | Løbende under tjenesteanvendelse, TLS‑overførsel | Kontraktopfyldelse og databehandlingsaftale | Den periode, der gælder for hver indsamlet kategori i Korea, eller indtil databehandlingsaftalen ophører | Afvisning af nødvendig lagring gør kontobaseret tjenesteudbydelse umulig |
| Google LLC (googlekrsupport@google.com) | USA og øvrige Google‑behandlingsregioner | OAuth‑identifikatorer, analyse‑identifikatorer‑/‑begivenheder eller AI‑input‑/‑output‑data | OAuth‑godkendelse, samtykkebaseret GA4‑analyse, valgte Gemini‑funktioner | TLS‑overførsel ved brug af den pågældende funktion | Samtykke pr. funktion eller kontraktopfyldelse | Den periode, der er nødvendig for funktionens levering samt i henhold til Googles politik | Brugeren kan fravælge eller trække samtykke tilbage for hver funktion, hvorefter funktionen vil være begrænset |
| Apple Inc., Meta Platforms, Inc. | USA og øvrige leverandør‑behandlingsregioner | Leverandør‑identifikator, navn, e‑mail, profilinformation | Valgt OAuth‑godkendelse og kontotilknytning | TLS‑overførsel ved login/tilknytning | Kontraktopfyldelse | Indtil kontotilknytning ophæves eller i henhold til leverandørens politik | Brugeren kan vælge at undlade denne login‑metode, men vil så miste adgang via den pågældende leverandør |
| PayPal, Inc. (privacy@paypal.com) | USA og øvrige PayPal‑behandlingsregioner | Betaler‑identifikator, bestillingsnummer, beløb, valuta, betalings‑/annullerings‑/refusionsstatus | Behandling af valgte udenlandske betalinger | TLS‑overførsel ved betalingsanmodning | Kontraktopfyldelse | Den periode, der er påkrævet i henhold til e‑handelsloven samt PayPal‑politik | Brugeren kan vælge at undlade udenlandske betalinger, men den betalingsmetode vil så være utilgængelig |
| Anthropic PBC (privacy@anthropic.com) | USA | AI‑input‑/‑output‑data samt sikkerhedsbehandlingsinformation | Behandling af valgte Claude‑funktioner | TLS‑overførsel ved brug af funktionen | Valgfri AI‑behandlingssamtykke | Den periode, der er nødvendig for funktionens levering samt i henhold til Anthropic‑kontrakt og -politik | Brugeren kan undlade AI‑funktionen eller trække samtykke tilbage, hvorefter funktionen vil være begrænset |
| OpenAI, L.L.C. (privacy@openai.com) | USA | AI‑input‑/‑output‑data samt sikkerhedsbehandlingsinformation | Behandling af valgte OpenAI‑funktioner | TLS‑overførsel ved brug af funktionen | Valgfri AI‑behandlingssamtykke | Den periode, der er nødvendig for funktionens levering samt i henhold til OpenAI‑kontrakt og -politik | Brugeren kan undlade AI‑funktionen eller trække samtykke tilbage, hvorefter funktionen vil være begrænset |
| Resend, Inc. (privacy@resend.com) | USA | Modtagne e‑mails, navn, besked og afsendelseslog | Afsendelse af transaktions‑, konto‑ og tjeneste‑e‑mails | TLS‑overførsel ved afsendelse | Kontraktopfyldelse og databehandlingsaftale | Den periode, der er nødvendig for afsendelse og fejlhåndtering samt i henhold til Resend‑kontrakt og -politik | Afvisning af nødvendige transaktions‑/konto‑e‑mails kan gøre relaterede tjenester vanskelige at levere |
Brugeren kan afvise overførsler til udlandet ved at fravælge valgfri AI‑funktion, valgfri analyse eller udenlandske betalinger, eller ved at trække det relevante samtykke tilbage. Afvisning af nødvendige processer såsom login‑autentificering, hosting, database eller obligatorisk e‑mail‑afsendelse kan gøre den pågældende funktion eller tjeneste utilgængelig. Henvendelser og anmodninger om udmeldelse kan indsendes via menuen ‘Personoplysninger og data’ i kontoen eller på support@sheetmusic.kr.
Artikel 7 (Behandling af personoplysninger i AI‑funktioner)
- AI‑funktioner behandler den tekst, billeder og filer, som brugeren selv indtaster, samt de genererede resultater, med henblik på funktionstilbud, sikkerhedskontrol, fejlbehandling og forbrugsgrænseadministration.
- Brugeren må ikke indtaste følsomme oplysninger, såsom personnummer eller andre unikke identifikatorer i henhold til den koreanske persondatalov, eller andres private oplysninger uden lovlig tilladelse, i AI‑funktionerne.
- Tjenesten anvender ikke brugerens AI‑input eller -output som træningsdata til egne generelle modeller. Virksomheden benytter API‑er fra eksterne AI‑udbydere eller virksomhedsløsninger, og hvor leverandøren understøtter det, konfigureres input og output således, at de ikke anvendes til leverandørens generelle modeltræning. Opbevaringsperioder og sikkerhedsvurderinger varierer efter valgt model og kontraktbetingelser.
- Samtykke til AI‑behandling kan til enhver tid trækkes tilbage i menuen ‘Personoplysninger og data’ i kontoen. Tilbagetrækning påvirker ikke lovligheden af den allerede foretagne behandling, men AI‑funktionerne vil efterfølgende være begrænsede.
- Uegnet AI‑output eller klager vedrørende personoplysninger kan indsendes til support@sheetmusic.kr.
Artikel 8 (Adfærdsdata, cookies og lokal lagring)
- Tjenesten anvender cookies samt browser‑lokal‑ og sessionslagring for at opretholde login, sikkerhed, sprogindstillinger, indkøbskurv og funktionstilstande.
- Google Analytics 4 kan, når brugeren har givet samtykke, behandle tilfældigt genererede analyse‑identifikatorer, interne analyse‑identifikatorer for login‑brugere, side‑stier, tjeneste‑begivenheder, sprogindstillinger, enheds‑ og browserinformation samt adgangstidspunkter.
- Cloudflare Web Analytics og tjenestens performance‑analyse kan behandle side‑anmodninger, enheds‑, browser‑ og netværksinformation; den konkrete identifikations‑ og opbevaringsmetode afhænger af de anvendte produktindstillinger.
- Samtykke til analyse kan afvises eller trækkes tilbage via banneret eller i menuen ‘Personoplysninger og data’ i kontoen. Afvisning påvirker ikke kernefunktionerne i tjenesten.
- Brugeren kan blokere cookies i browserindstillingerne, men blokering af nødvendige cookies kan forhindre login, betaling og andre kritiske funktioner i at fungere.
Artikel 9 (Den registreredes og den lovlige værgers rettigheder)
- Den registrerede kan inden for de lovbestemte rammer anmode om indsigt, korrektion, sletning, begrænsning af behandling samt tilbagetrækning af samtykke. Derudover kan vedkommende benytte virksomhedens data‑eksportfunktion til at modtage en kopi af sine personoplysninger.
- Anmodninger kan foretages via menuen ‘Personoplysninger og data’ i kontoen, e‑mail eller telefon. Virksomheden vil efter bekræftelse af identitet eller berettiget repræsentant behandle anmodningen i overensstemmelse med gældende lovgivning.
- Hvis lovgivning pålægger opbevaring eller hvis anmodningen kan krænke andres rettigheder, kan visse anmodninger delvist afvises, og virksomheden vil give en begrundelse herfor.
- Tjenesten tillader ikke medlemsregistrering for børn under 14 år. Hvis virksomheden bliver opmærksom på, at en bruger under 14 år har oprettet en konto, vil aldersverifikation, begrænsning af kontoadgang og sletning af personoplysninger iværksættes. Oplysninger, som loven kræver at opbevare, kan dog bevares i den foreskrevne periode.
Artikel 10 (Sletning af personoplysninger)
- Oplysninger, hvis opbevaringsperiode er udløbet eller hvis formålet med behandlingen er opfyldt, slettes uden unødig forsinkelse.
- Oplysninger, som loven kræver at opbevare, opbevares under begrænset adgang, så de ikke kan anvendes til andre formål, og slettes, når den lovbestemte periode udløber.
- Elektroniske filer med personoplysninger destrueres på en sikker måde, så genoprettelse eller genproduktion er umulig, eller anonymiseres.
Artikel 11 (Sikkerhedsforanstaltninger)
- Administrative foranstaltninger: Begrænsning af adgang til personoplysninger til nødvendigt personale og styring af arbejdsprocedurer samt beskyttelsesstandarder.
- Tekniske foranstaltninger: Styring af adgangsrettigheder, autentificering og adgangskontrol, TLS‑kryptering under overførsel, separat lagring af kritiske oplysninger og regelmæssig sårbarhedsvurdering.
- Fysiske foranstaltninger: Anvendelse af fysiske sikkerheds- og adgangskontrolforanstaltninger fra cloud‑ og datacenter‑leverandører.
- Hændelsesrespons: Overvågning af sikkerhedshændelser, log‑gennemgang, backup‑ og gendannelsesprocedurer samt evaluering og håndtering af hændelser.
Artikel 12 (Persondatabeskyttelsesansvarlig og modtagelse af rettighedsanmodninger)
Persondatabeskyttelsesansvarlig: Cho Chang-hyun (CEO)
E‑mail: support@sheetmusic.kr
Telefon: 070-4617-6352
Artikel 13 (Klagerettigheder)
- Persondatabrudsmeldingscenter: 118, privacy.kisa.or.kr
- Kommission for tvistløsning om persondata: 1833-6972, www.kopico.go.kr
- Den store anklagemyndighed: 1301, www.spo.go.kr
- Politi: 182, ecrm.police.go.kr
Artikel 14 (Ændring af behandlingspolitikken)
Ved ændringer af behandlingspolitikken offentliggøres ikrafttrædelsesdato og væsentlige ændringer i tjenesten samt i politik‑historikken. Ændringer, der væsentligt påvirker den registreredes rettigheder eller forpligtelser, meddeles særskilt inden for den periode, der er fastsat i lovgivningen eller inden for en rimelig frist.
Supplerende bestemmelser
Denne persondatapolitik træder i kraft den 20. juli 2026.