Tietosuojakäytäntö
Gonggamgak (jäljempänä “yhtiö”) laatii ja julkaisee seuraavan tietosuojakäytännön suojellakseen rekisteröidyn henkilön henkilötietoja henkilörekisterilain 30 §:n mukaisesti ja käsitelläkseen henkilötietojen käsittelyyn liittyviä valituksia nopeasti ja sujuvasti.
1. luku (Henkilötietojen käsittelyn tarkoitus)
- Jäsenrekisteriin liittyminen·tilin hallinta: henkilöllisyyden tunnistaminen, sosiaalisen kirjautumisen yhdistäminen, ikävarmistus, istunnon hallinta, väärinkäytösten estäminen
- Palvelun tarjoaminen: nuottien haku·esikatselu·ostaminen·tarkastelu·lataus, äänen toisto, kirjasto·ryhmä·räätälöidyt tilaukset ja asiakastuki
- Sopimus ja maksaminen: tilaus, maksaminen, krediitti, jäsenyys, palautus, kuitti ja oikeuksien hallinta
- AI-ominaisuudet: käyttäjän suostumuksella syötteiden·liitetiedostojen käsittely, tulosten luominen, turvallisuustarkastus, käyttörajoitusten ja lokien hallinta
- Palvelun parantaminen ja analysointi: käyttäjän suostumuksella tapahtuva käyttötilastointi, palvelun käyttövirtaus, virhe- ja suorituskykyanalyysi
- Lainsäädännölliset velvoitteet ja turvallisuus: lain noudattaminen, tietoturvaloukkausten käsittely, riitojen ratkaisu, oikeuksien loukkaus ja väärinkäytösten estäminen
- Markkinointi: erillisen suostumuksen perusteella tapahtuva tapahtuma- ja mainostiedon tarjoaminen
2. luku (Käsiteltävät henkilötietojen kohdat ja keruumenetelmät)
| Luokittelu | Käsiteltävät tiedot | Keruumenetelmä |
|---|---|---|
| Sosiaalinen rekisteröinti·kirjautuminen | Nimi tai lempinimi, sähköposti, profiilikuva, OAuth-tarjoajan ja tarjoajakohtainen tunniste | Google, Kakao, Naver, Apple tai Meta OAuth |
| Ylläpitäjän myöntämät tunnistetiedot | Käyttäjänimi, salasanan yksisuuntainen hash-arvo | Myönnetään ja käsitellään vain yhtiön hyväksymille tileille kirjautumisen yhteydessä |
| Rekisteröityminen·tilin asetukset | Suosikkikieli, 14 vuotta täytetty ikävarmistus ja vahvistusajankohta, ehtojen·tietosuojan·AI-käsittelyn suostumus ja peruutushistoria | Käyttäjän syöte ja palvelun lokit |
| Tilaus·maksu | Tilausnumero, tuote, summa, valuutta, maa, maksutavan tyyppi, maksun·peruutuksen·palautuksen tila, krediitti·jäsenyystiedot | Maksu- ja ostoprosessi sekä maksupalveluntarjoajan vastaus |
| Palvelun käyttö | Osto·tarkastelu·lataus·ryhmä·räätälöidyt tilaukset·kyselyt, haku·UI‑vuorovaikutus, virhe- ja turvallisuusloki | Luodaan palvelun käytön aikana |
| AI ja tuotantotyökalut | Promptit, keskustelut, ladatut kuvat·tiedostot, luodut tulokset, malli·käyttö·turvallisuuskäsittelyloki | Syötetään tai luodaan, kun käyttäjä käyttää ominaisuutta |
| Tekninen·analytiikkatieto | IP‑osoite, käyttäjäagentti, eväste‑·istuntotunniste, satunnaisesti luotu analytiikkatunniste, sisäinen analytiikkatunniste kirjautuneelle käyttäjälle, sivupolku·palvelun käyttö‑tapahtuma·kieliasetus·yhteyden aika | Automaattinen keräys web‑ ja sovelluskäytön aikana |
3. luku (Käsittelyn ja säilytysajan)
Yhtiö tuhoaa henkilötiedot viipymättä, kun käsittelyn tarkoitus on toteutunut. Seuraavat tiedot voidaan kuitenkin säilyttää erikseen lain edellyttämien, riitojen käsittelyn tai väärinkäytösten estämisen tarpeiden vuoksi.
| Tieto | Säilytyskriteeri |
|---|---|
| Jäsentili ja profiili | Jäsenen poistumiseen saakka. Poistumisen jälkeen kirjautumisistunto ja palvelun pääsy lopetetaan välittömästi, ja lain edellyttämät tiedot säilytetään erikseen sovellettavan lakisäilytysajan mukaisesti |
| Sopimus·peruutus·maksu·toimitusrekisteri | 5 vuotta sähköisen kaupankäynnin lain mukaisesti |
| Kuluttajan valitus‑ tai riita‑rekisteri | 3 vuotta sähköisen kaupankäynnin lain mukaisesti |
| Ilmoitus·mainosrekisteri | 6 kuukautta sähköisen kaupankäynnin lain mukaisesti |
| Yhteysloki | 3 kuukautta telekommunikaation salassapitolain jne. mukaisesti |
| Aktiivinen kirjautumisistunto | Istunnon vanhentumiseen tai uloskirjautumiseen·poistumiseen saakka |
| AI‑profiili·juliste·Vision‑työkalun tallennushistoria | 90 päivää luomisajankohdasta tai kunnes käyttäjä poistaa itse |
| Henkilötietojen vientitiedosto | 24 tuntia luomisen jälkeen |
| Suostumus·peruutus ja turvallisuus·audit‑loki | Lain edellyttämän ja riitojen·väärinkäytösten käsittelyn tarpeen mukainen aika |
Tällä hetkellä jäsenen poistaminen lopettaa palvelun pääsyn ja aktiivisen istunnon välittömästi. Kauppa‑, suostumus‑ ja audit‑tiedot voivat jäädä rajoitetusti lain ja riitojen käsittelyn vuoksi, ja tilin sekä profiilin fyysinen poistaminen·anonymisointi toteutetaan erillisen datan elinkaaripolitiikan mukaisesti. Käyttäjä voi tarkastella, viedä tai pyytää poistamista tilin “Henkilötiedot ja data” -valikosta.
4. luku (Henkilötietojen luovuttaminen kolmansille osapuolille)
Yhtiö ei periaatteessa luovuta käyttäjän henkilötietoja kolmansille osapuolille. Tietojen luovuttaminen tapahtuu vain, jos rekisteröidyllä on erillinen suostumus tai lain erityinen peruste, ja vain tarpeellisessa laajuudessa. Maksu‑, hosting‑, tunnistautumis‑, sähköpost‑, analytiikka‑ ja AI‑toiminteisiin liittyvät ulkopuoliset palveluntarjoajat voivat käsitellä tietoja sopimuksen, käsittelyn tarkoituksen ja mahdollisen tietojen käsittelyn alihankinnan, kolmannen osapuolen luovutuksen tai ulkomaan siirron perusteella; tarkemmat tiedot annetaan seuraavassa kohdassa.
5. luku (Käsittely ulkopuolisilla palveluntarjoajilla)
| Ulkopuolinen palveluntarjoaja | Liittyvä tehtävä |
|---|---|
| Toss Payments Co., Ltd. | Kansallinen maksun hyväksyntä, sovittelu, peruutus, palautus ja petosten estäminen |
| PayPal, Inc. | Kansainvälisten maksujen hyväksyntä, sovittelu, peruutus, palautus ja petosten estäminen |
| Cloudflare, Inc. | CDN·web‑liikenteen välitys·turva, Workers‑sovellusten suoritus, R2‑objektitallennus, suostumukseen perustuva web‑käytön analytiikka, AI‑gateway‑välitys ja Workers‑AI‑käsittely |
| Neon, Inc. | PostgreSQL‑tietokannan hosting |
| Google LLC | Google‑tilin kirjautumistunnistuksen ja tilin yhdistämisen toteutus |
| Google LLC | Käyttäjän suostumuksella tapahtuva Google Analytics 4 –käytön tilastollinen analyysi |
| Google LLC | Käyttäjän valitseman Gemini‑pohjaisen AI‑toiminnon syötteiden ja tulosten käsittely |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Käyttäjän valitsema sosiaalisen kirjautumisen tunnistus ja tilin yhdistäminen |
| Anthropic PBC | Käyttäjän valitsema Claude‑AI‑toiminnon käsittely |
| OpenAI, L.L.C. | Käyttäjän valitsema OpenAI‑AI‑toiminnon käsittely |
| Resend, Inc. | Kaupan·tilin ja palvelun sähköpostien lähetys |
6. luku (Henkilötietojen siirto ulkomaille)
Yhtiö voi siirtää ja tallentaa alla olevia henkilötietoja ulkomaille palvelun käytön yhteydessä. Siirto tapahtuu TLS‑salatulla verkolla aina, kun käyttäjä käyttää kyseistä ominaisuutta tai kun sopimuksen täytäntöönpano vaatii sitä. Kunkin siirron oikeusperuste perustuu henkilötietolain 28‑§:n‑8 mukaisiin suostumuksiin, sopimuksen täytäntöönpanoon tai alihankintaan, sovellettavien lakien mukaan.
| Vastaanottaja·yhteystiedot | Maa/alue | Siirrettävät tiedot | Siirron tarkoitus | Ajankohta·menetelmä | Oikeusperuste | Säilytys·käyttöaika | Kieltäytymisen tapa ja vaikutus |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | Yhdysvallat ja Cloudflaren globaali verkkoalue. Käsittely‑ ja tallennuspaikka vaihtelee tuotteen, tilin asetusten ja pyynnön reitin mukaan | Tili‑·palveluloki, IP‑·laite‑·analytiikkatiedot, objektitiedostot, käyttäjän AI‑syötteet | Hosting·turva·tallennus·suostumukseen perustuva analytiikka·AI‑välitys | Jatkuva siirto·tallennus palvelun käytön aikana, TLS‑siirto | Sopimuksen täytäntöönpano ja alihankinta | Kansallisten säilytysrajojen mukainen tai sopimus‑·tuotekohtainen aika | Valinnainen analytiikka·AI voidaan kieltäytyä suostumuksen peruutuksella, mutta kyseinen toiminto rajoittuu. Pakollisen hosting‑palvelun kieltäminen tekee palvelun tarjoamisen vaikeaksi |
| Neon, Inc. (privacy@neon.tech) | Singapore (AWS ap‑southeast‑1) | Jäsen, kauppa, suostumus, palvelun käyttö‑loki | PostgreSQL‑tietokantatallennus | Jatkuva siirto·tallennus palvelun käytön aikana, TLS‑siirto | Sopimuksen täytäntöönpano ja alihankinta | Kansallisten säilytysrajojen mukainen tai alihankintasopimuksen päättymiseen asti | Pakollisen tallennuksen kieltäminen tekee tilipohjaisen palvelun tarjoamisen vaikeaksi |
| Google LLC (googlekrsupport@google.com) | Yhdysvallat ja muut Google‑käsittelyalueet | OAuth‑tunnistetiedot, analytiikkatunnisteet·tapahtumat tai AI‑syötteet·liitteet·tulokset | OAuth‑tunnistus, suostumukseen perustuva GA4‑analytiikka, valittu Gemini‑toiminto | TLS‑siirto toiminnon käytön yhteydessä | Toimintakohtainen suostumus tai sopimuksen täytäntöönpano | Tarvittava aika tunnistukselle·analytiikalle·toiminnolle Google‑politiikan mukaisesti | Käyttäjä voi olla käyttämättä valittuja toimintoja tai peruuttaa suostumuksen, jolloin kyseinen toiminto rajoittuu |
| Apple Inc., Meta Platforms, Inc. | Yhdysvallat ja muut tarjoajien käsittelyalueet | Tarjoajan tunniste, nimi, sähköposti, profiilitiedot | Valittu OAuth‑tunnistus ja tilin yhdistäminen | TLS‑siirto kirjautumisen·yhdistämisen yhteydessä | Sopimuksen täytäntöönpano | Tilin irrottaminen·poistuminen tai tarjoajan politiikka määrittelemä aika | Käyttäjä voi olla valitsematta kyseistä kirjautumistapaa, jolloin kyseistä tunnistusta ei voi käyttää |
| PayPal, Inc. (privacy@paypal.com) | Yhdysvallat ja muut PayPal‑käsittelyalueet | Maksajan tunnistetiedot, tilausnumero, summa, valuutta, maksun·peruutuksen·palautuksen tila | Käyttäjän valitsema kansainvälinen maksun käsittely | TLS‑siirto maksupyyntöjen yhteydessä | Sopimuksen täytäntöönpano | Sähköisen kaupankäynnin lain säilytysrajojen ja PayPal‑politiikan mukainen aika | Käyttäjä voi olla valitsematta kansainvälistä maksua, jolloin kyseistä maksutapaa ei voi käyttää |
| Anthropic PBC (privacy@anthropic.com) | Yhdysvallat | AI‑syötteet·tulokset ja turvallisuuskäsittelytiedot | Käyttäjän valitsema Claude‑toiminto | TLS‑siirto toiminnon käytön yhteydessä | Valinnainen AI‑käsittelyn suostumus | Tarvittava aika toiminnon tarjoamiseen ja Anthropic‑sopimuksen·politiikan mukainen aika | Käyttäjä voi olla käyttämättä AI‑toimintoa tai peruuttaa suostumuksen, jolloin toiminto rajoittuu |
| OpenAI, L.L.C. (privacy@openai.com) | Yhdysvallat | AI‑syötteet·tulokset ja turvallisuuskäsittelytiedot | Käyttäjän valitsema OpenAI‑toiminto | TLS‑siirto toiminnon käytön yhteydessä | Valinnainen AI‑käsittelyn suostumus | Tarvittava aika toiminnon tarjoamiseen ja OpenAI‑sopimuksen·politiikan mukainen aika | Käyttäjä voi olla käyttämättä AI‑toimintoa tai peruuttaa suostumuksen, jolloin toiminto rajoittuu |
| Resend, Inc. (privacy@resend.com) | Yhdysvallat | Vastaanotetut sähköpostit, nimi, viesti ja lähetysloki | Kaupan·tilin ja palvelun sähköpostien lähetys | TLS‑siirto lähetyksen yhteydessä | Sopimuksen täytäntöönpano ja alihankinta | Tarvittava aika lähetykseen·häiriöiden käsittelyyn ja Resend‑sopimuksen·politiikan mukainen aika | Pakollisen kauppa‑·tilisähköpostin kieltäminen voi vaikeuttaa palvelun tarjoamista |
Käyttäjä voi kieltäytyä valinnaisista AI‑toiminnoista, valinnaisesta analytiikasta tai kansainvälisistä maksuista tai peruuttaa niihin liittyvän suostumuksen, jolloin kyseinen ulkomainen siirto estyy. Jos käyttäjä kieltäytyy kirjautumistunnistuksesta, hosting‑palvelusta, tietokannasta tai pakollisesta sähköpostilähetyksestä, kyseinen toiminto tai palvelu voi olla vaikea toteuttaa. Ota yhteyttä tai lähetä jäsenen poistopyyntö tilin “Henkilötiedot ja data” -valikosta tai osoitteesta support@sheetmusic.kr.
7. luku (Henkilötietojen käsittely AI‑toiminnoissa)
- AI‑toiminnot käsittelevät käyttäjän syöttämää teksti‑·kuva‑·tiedostot ja luodut tulokset toiminnon tarjoamista, turvallisuustarkastuksia, virheiden käsittelyä ja käyttörajoitusten hallintaa varten.
- Käyttäjän ei tule syöttää arkaluontoisia tietoja, kuten henkilötunnuksia tai muita henkilötietolain määrittelemiä yksilöiviä tietoja, tai ilman asianmukaista lupaa toisen henkilön yksityisiä tietoja AI‑toimintoon.
- Palvelu ei käytä käyttäjän AI‑syötteitä·tuloksia yleiskäyttöisen mallin oppimisdatanaan. Yhtiö käyttää ulkoisten AI‑tarjoajien API‑rajapintoja tai yritystason asetuksia, ja jos tarjoaja tukee sitä, syötteet ja tulokset on konfiguroitu siten, ettei niitä käytetä tarjoajan yleismallin oppimiseen. Säilytysajat ja turvallisuustarkastukset vaihtelevat tarjoajakohtaisesti valitun mallin ja sopimusehtojen mukaan.
- AI‑käsittelyn suostumus voidaan peruuttaa milloin tahansa tilin “Henkilötiedot ja data” -osiossa. Peruutus ei vaikuta ennen peruutusta tapahtuneen käsittelyn laillisuuteen, mutta AI‑toiminnot rajoittuvat sen jälkeen.
- Sopimattomat AI‑tulokset tai henkilötietoihin liittyvät valitukset voi ilmoittaa osoitteeseen support@sheetmusic.kr.
8. luku (Käyttäytymistiedot ja evästeet·paikallinen tallennus)
- Palvelu käyttää evästeitä ja selaimen paikallista·istuntotallennusta kirjautumisen, turvallisuuden, kieliasetusten, ostoskorin ja toiminnon tilan ylläpitämiseen.
- Google Analytics 4 voi käyttäjän suostumuksella käsitellä satunnaisesti luotuja analytiikkatunnisteita, kirjautuneen käyttäjän sisäisiä analytiikkatunnisteita, sivupolkuja, palvelun käyttö‑tapahtumia, kieliasetuksia, laite‑·selaintietoja ja yhteyden aikoja.
- Cloudflare Web Analytics ja palvelun suorituskykyanalytiikka voivat käsitellä sivupyyntöjä, laite‑·selaintietoja ja verkkoon liittyviä tietoja; tarkka tunnistustapa ja säilytyksen laajuus riippuvat tuotteen asetuksista.
- Analytiikkasuostumus voidaan hylätä tai peruuttaa bannerin tai tilin “Henkilötiedot ja data” -osiossa. Hylkääminen ei estä ydintoimintojen käyttöä.
- Selaimen asetuksista voidaan estää evästeet, mutta pakollisten evästeiden estäminen voi estää kirjautumisen·maksun ja muita toimintoja.
9. luku (Rekisteröidyn ja lain edustajan oikeudet)
- Rekisteröidyllä on oikeus pyytää henkilötietojen tarkastamista, oikaisua·poistoa, käsittelyn rajoittamista ja suostumuksen peruutusta lain sallimissa rajoissa. Lisäksi yhtiö tarjoaa henkilötietojen vientitoiminnon, jonka avulla voi saada kopion omista tiedoistaan.
- Pyyntö voidaan tehdä tilin “Henkilötiedot ja data” -valikosta, sähköpostilla tai puhelimitse, ja yhtiö käsittelee sen henkilön tai oikeutettavan edustajan tunnistamisen jälkeen lain mukaisesti.
- Jos lainsäädäntö velvoittaa säilyttämään tiedot tai jos pyynnön toteuttaminen voisi loukata toisen oikeuksia, pyyntö voidaan osittain rajoittaa, ja siitä ilmoitetaan.
- Palvelu ei salli alle 14‑vuotiaiden lasten rekisteröitymistä. Jos yhtiö havaitsee, että alle 14‑vuotias on rekisteröitynyt, se toteuttaa ikävarmistuksen, rajoittaa tilin käyttöä ja poistaa henkilötiedot. Lain edellyttämät tiedot voidaan kuitenkin säilyttää erikseen sovellettavan säilytysajan mukaisesti.
10. luku (Henkilötietojen tuhoaminen)
- Kun säilytysaika on päättynyt tai käsittelyn tarkoitus on toteutunut, tiedot tuhotaan viipymättä.
- Lain edellyttämät tiedot säilytetään erikseen siten, että ne eivät ole käytettävissä muihin tarkoituksiin, ja ne tuhotaan säilytysajan päätyttyä.
- Sähköisessä tiedostomuodossa olevat henkilötiedot poistetaan turvallisella tavalla, joka estää palauttamisen tai uudelleenluomisen, tai ne anonymisoidaan.
11. luku (Turvallisuustoimenpiteet)
- Hallinnolliset toimenpiteet: rajoitetaan henkilötietoihin pääsy vain tarpeellisiin henkilöihin ja hallinnoidaan prosesseja ja suojausstandardeja.
- Tekniset toimenpiteet: pääsynhallinta, tunnistautuminen ja pääsynvalvonta, TLS‑salaus siirtoalueilla, tärkeiden tietojen erillinen säilytys ja haavoittuvuuksien tarkastus.
- Fyysiset toimenpiteet: pilvipalvelujen ja datakeskusten tarjoajien fyysinen turvallisuus ja kulunvalvonta.
- Tapahtumavastaus: tietoturvaloukkausten havaitseminen, lokien tarkastus, varmuuskopiointi·palautus sekä tapahtuman arviointi·vastausprosessit.
12. luku (Henkilötietovastaava ja oikeuksien käsittely)
Henkilötietovastaava: Jo Chang-hyun (edustaja)
Sähköposti: support@sheetmusic.kr
Puhelin: 070-4617-6352
13. luku (Oikeuksien loukkaamisen korjaus)
- Henkilötietojen loukkausilmoituskeskus: 118, privacy.kisa.or.kr
- Henkilötietojen riitojen sovittelulautakunta: 1833-6972, www.kopico.go.kr
- Suuri syyttäjänvirasto: 1301, www.spo.go.kr
- Poliisi: 182, ecrm.police.go.kr
14. luku (Käsittelykäytännön muutokset)
Muutoksista tiedotetaan palvelussa ja politiikan muutoshistoriassa, mukaan lukien voimaantulopäivä ja keskeiset muutokset. Jos muutokset vaikuttavat merkittävästi rekisteröidyn oikeuksiin tai velvollisuuksiin, niistä ilmoitetaan erikseen lain edellyttämän tai kohtuullisen ajan kuluessa.
Täydentävät määräykset
Tämä tietosuojakäytäntö astuu voimaan 20 heinäkuuta 2026.