Versi
privacy-2026-07-20
Tanggal efektif
2026-07-20
Riwayat perubahan kebijakan

Kebijakan Privasi

Gonggamgak (selanjutnya disebut ‘perusahaan’) menyusun dan mempublikasikan kebijakan privasi berikut sesuai Pasal 30 Undang‑Undang Perlindungan Data Pribadi, untuk melindungi data pribadi subjek data dan menangani keluhan terkait pemrosesan data pribadi secara cepat dan lancar.

Pasal 1 (Tujuan Pemrosesan Data Pribadi)

  1. Pendaftaran anggota·Manajemen akun: identifikasi diri, koneksi login sosial, verifikasi usia, manajemen sesi, pencegahan penyalahgunaan
  2. Penyediaan layanan: pencarian lembar musik·pratinjau·pembelian·penelusuran·unduhan, pemutaran audio, perpustakaan·grup·pesanan khusus serta dukungan pelanggan
  3. Kontrak dan pembayaran: pesanan, pembayaran, kredit, keanggotaan, pengembalian dana, faktur serta manajemen hak
  4. Fungsi AI: pemrosesan masukan·lampiran sesuai persetujuan pengguna, pembuatan hasil, pemeriksaan keamanan, manajemen batas penggunaan dan catatan
  5. Peningkatan dan analisis layanan: statistik penggunaan berdasarkan persetujuan pengguna, alur penggunaan layanan, analisis kesalahan dan kinerja
  6. Kewajiban hukum dan keamanan: kepatuhan peraturan, respons insiden keamanan, penyelesaian sengketa, pencegahan pelanggaran hak dan penyalahgunaan
  7. Pemasaran: penyediaan informasi acara dan iklan hanya bila ada persetujuan terpisah

Pasal 2 (Item Data Pribadi yang Diproses dan Metode Pengumpulan)

KategoriItem yang DiprosesMetode Pengumpulan
Pendaftaran·Login sosialNama atau nickname, email, gambar profil, identifier penyedia OAuth per penyediaGoogle, Kakao, Naver, Apple, atau Meta OAuth
Kredensial yang Diterbitkan AdministratorNama pengguna, nilai hash satu arah kata sandiDiterbitkan dan diproses hanya pada akun yang disetujui perusahaan saat login
Pendaftaran·Pengaturan AkunBahasa preferensi, status usia ≥ 14 tahun dan waktu verifikasi, riwayat persetujuan dan penarikan ketentuan·privasi·AIMasukan pengguna dan catatan layanan
Pesanan·PembayaranNomor pesanan, produk, jumlah, mata uang, negara, tipe metode pembayaran, status pembayaran·pembatalan·pengembalian, riwayat kredit·keanggotaanProses pembayaran·pembelian dan respons PG
Penggunaan LayananCatatan pembelian·penelusuran·unduhan·grup·pesanan khusus·pertanyaan, interaksi UI·pencarian, catatan kesalahan dan keamananDibuat selama penggunaan layanan
AI dan Alat PembuatanPrompt, percakapan, gambar·file yang diunggah, hasil yang dihasilkan, catatan model·penggunaan·keamananMasukan atau hasil saat pengguna menggunakan fungsi
Informasi Teknis·AnalitikAlamat IP, user agent, cookie·identifier sesi, identifier analitik yang dihasilkan secara acak, identifier internal analitik untuk pengguna yang login, jalur halaman·event penggunaan layanan·pengaturan bahasa·waktu aksesDikumpulkan secara otomatis selama penggunaan web·aplikasi

Pasal 3 (Waktu Penyimpanan dan Retensi)

Perusahaan akan menghancurkan data pribadi tanpa penundaan setelah tujuan pemrosesan tercapai. Namun, informasi berikut dapat disimpan terpisah selama periode yang diperlukan untuk kewajiban hukum, penanganan sengketa, atau pencegahan penyalahgunaan.

InformasiKriteria Retensi
Akun dan profil anggotaHingga selesai proses penghapusan akun. Setelah penghapusan selesai, sesi login dan akses layanan dihentikan segera, dan informasi yang harus disimpan menurut peraturan berlaku disimpan selama periode retensi hukum yang bersangkutan
Catatan kontrak·penarikan persetujuan·pembayaran·pasokan5 tahun sesuai Undang‑Undang Perdagangan Elektronik
Catatan keluhan konsumen atau penanganan sengketa3 tahun sesuai Undang‑Undang Perdagangan Elektronik
Catatan iklan·promosi6 bulan sesuai Undang‑Undang Perdagangan Elektronik
Catatan akses3 bulan bila diperlukan menurut Undang‑Undang Perlindungan Rahasia Komunikasi dan peraturan terkait
Sesi login aktifHingga sesi kedaluwarsa atau logout·penghapusan akun
Riwayat penyimpanan profil AI·poster·alat Vision90 hari sejak pembuatan atau hingga pengguna menghapusnya secara langsung
File ekspor data pribadi24 jam setelah pembuatan
Catatan persetujuan·penarikan serta keamanan·auditSelama periode yang diperlukan untuk kewajiban hukum dan penanganan sengketa·penyalahgunaan

Saat ini, penghapusan akun mengakhiri akses layanan dan sesi aktif secara langsung. Catatan transaksi·persetujuan·audit dapat tetap ada secara terbatas sesuai peraturan dan tujuan penanganan sengketa; prosedur penghapusan fisik atau anonimisasi akun dan profil dilakukan sesuai kebijakan siklus hidup data terpisah. Pengguna dapat mengakses, mengekspor, atau menghapus data melalui menu ‘Data Pribadi & Data’ di akun mereka.

Pasal 4 (Pemberian Data Pribadi kepada Pihak Ketiga)

Perusahaan pada prinsipnya tidak memberikan data pribadi pengguna kepada pihak ketiga. Data hanya diberikan bila ada persetujuan terpisah dari subjek data atau bila terdapat dasar hukum khusus, dan hanya dalam lingkup yang diperlukan. Pemrosesan oleh penyedia eksternal terkait pembayaran, hosting, otentikasi, email, analitik, dan fungsi AI dapat termasuk pemrosesan atas perintah, pemberian kepada pihak ketiga, atau transfer ke luar negeri, tergantung pada kontrak dan tujuan pemrosesan; detail spesifik dijelaskan pada pasal berikut dan item terkait.

Pasal 5 (Pemrosesan melalui Penyedia Eksternal)

Penyedia EksternalLayanan Terkait
Toss Payments Co., Ltd.Persetujuan pembayaran domestik, penyelesaian, pembatalan, pengembalian dana, dan pencegahan transaksi tidak sah
PayPal, Inc.Persetujuan, penyelesaian, pembatalan, pengembalian dana, dan pencegahan transaksi tidak sah untuk pembayaran luar negeri yang didukung
Cloudflare, Inc.CDN·pengiriman trafik web·keamanan, eksekusi aplikasi Workers, penyimpanan objek R2, statistik penggunaan web berbasis persetujuan, perantara AI Gateway dan pemrosesan Workers AI
Neon, Inc.Hosting basis data PostgreSQL
Google LLCOtentikasi login akun Google dan koneksi akun
Google LLCAnalisis statistik menggunakan Google Analytics 4 berdasarkan persetujuan pengguna
Google LLCPemrosesan masukan dan hasil untuk fungsi AI berbasis Gemini yang dipilih pengguna
Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc.Otentikasi login sosial yang dipilih pengguna dan koneksi akun
Anthropic PBCPemrosesan fungsi Claude AI yang dipilih pengguna
OpenAI, L.L.C.Pemrosesan fungsi AI OpenAI yang dipilih pengguna
Resend, Inc.Pengiriman email transaksi·akun dan layanan

Pasal 6 (Transfer Data Pribadi ke Luar Negeri)

Perusahaan dapat mentransfer dan menyimpan data pribadi berikut ke luar negeri selama penggunaan layanan. Transfer dilakukan secara terus‑menerus melalui jaringan terenkripsi TLS ketika pengguna menggunakan fungsi terkait atau ketika pemenuhan kontrak memerlukan. Dasar hukum masing‑masing transfer mengacu pada Pasal 28‑8 Undang‑Undang Perlindungan Data Pribadi serta persetujuan, kontrak, atau perintah pemrosesan sesuai hubungan pemrosesan aktual.

Penerima·KontakNegara/WilayahItem yang DitransferTujuan TransferWaktu·MetodeDasar HukumPeriode Retensi·PenggunaanCara Menolak dan Dampaknya
Cloudflare, Inc. (privacyquestions@cloudflare.com)Amerika Serikat dan wilayah operasi jaringan global Cloudflare. Lokasi pemrosesan·penyimpanan dapat bervariasi tergantung produk, pengaturan akun, dan jalur permintaanCatatan akun·layanan, IP·perangkat·informasi analitik, file objek, data yang dimasukkan pengguna ke AIHosting·keamanan·penyimpanan·analitik berbasis persetujuan·perantara AITransfer·penyimpanan terus‑menerus selama penggunaan layanan, melalui TLSPelaksanaan kontrak dan perintah pemrosesanSesuai periode retensi masing‑masing item di Korea atau sesuai kontrak·pengaturan produkAnalitik dan AI opsional dapat ditolak dengan mencabut persetujuan, namun fungsi hosting wajib tetap; menolak hosting dapat menghambat penyediaan layanan
Neon, Inc. (privacy@neon.tech)Singapura (AWS ap-southeast-1)Data anggota, transaksi, persetujuan, catatan penggunaan layananPenyimpanan basis data PostgreSQLTransfer·penyimpanan terus‑menerus selama penggunaan layanan, melalui TLSPelaksanaan kontrak dan perintah pemrosesanSesuai periode retensi masing‑masing item di Korea atau hingga berakhirnya kontrak penugasanMenolak penyimpanan wajib dapat membuat layanan berbasis akun tidak dapat diberikan
Google LLC (googlekrsupport@google.com)Amerika Serikat dan wilayah pemrosesan Google lainnyaInformasi identifikasi OAuth, identifier·event analitik, atau masukan·lampiran·output AIOtentikasi OAuth, analitik GA4 berbasis persetujuan, fungsi Gemini yang dipilihTransfer melalui TLS saat fungsi terkait digunakanPersetujuan per fungsi atau pelaksanaan kontrakSelama periode yang diperlukan untuk penyediaan fungsi dan sesuai kebijakan GoogleSetiap fungsi dapat dinonaktifkan atau persetujuan dapat dicabut, yang akan membatasi fungsi terkait
Apple Inc., Meta Platforms, Inc.Amerika Serikat dan wilayah pemrosesan masing‑masing penyediaIdentifier penyedia, nama, email, informasi profilOtentikasi OAuth yang dipilih dan koneksi akunTransfer melalui TLS saat login·koneksiPelaksanaan kontrakSesuai periode penghapusan akun atau kebijakan penyediaPengguna dapat memilih tidak menggunakan metode login tersebut, namun tidak dapat mengakses layanan dengan cara itu
PayPal, Inc. (privacy@paypal.com)Amerika Serikat dan wilayah pemrosesan PayPalIdentifier pembayar, nomor pesanan, jumlah, mata uang, status pembayaran·pembatalan·pengembalianPemrosesan pembayaran luar negeri yang dipilih penggunaTransfer melalui TLS saat permintaan pembayaranPelaksanaan kontrakSesuai periode retensi Undang‑Undang Perdagangan Elektronik dan kebijakan PayPalPengguna dapat tidak memilih pembayaran luar negeri; metode pembayaran tersebut tidak akan tersedia
Anthropic PBC (privacy@anthropic.com)Amerika SerikatData masukan·output AI serta catatan keamananPemrosesan fungsi Claude yang dipilihTransfer melalui TLS saat fungsi digunakanPersetujuan pemrosesan AI opsionalSelama periode yang diperlukan untuk penyediaan fungsi dan sesuai kontrak·kebijakan AnthropicPengguna dapat tidak menggunakan fungsi AI atau mencabut persetujuan, yang akan membatasi fungsi tersebut
OpenAI, L.L.C. (privacy@openai.com)Amerika SerikatData masukan·output AI serta catatan keamananPemrosesan fungsi OpenAI yang dipilihTransfer melalui TLS saat fungsi digunakanPersetujuan pemrosesan AI opsionalSelama periode yang diperlukan untuk penyediaan fungsi dan sesuai kontrak·kebijakan OpenAIPengguna dapat tidak menggunakan fungsi AI atau mencabut persetujuan, yang akan membatasi fungsi tersebut
Resend, Inc. (privacy@resend.com)Amerika SerikatEmail penerima, nama, pesan, dan catatan pengirimanPengiriman email transaksi·akun dan layananTransfer melalui TLS saat pengirimanPelaksanaan kontrak dan perintah pemrosesanSelama periode yang diperlukan untuk pengiriman dan penanganan gangguan serta sesuai kontrak·kebijakan ResendMenolak pengiriman email transaksi·akun dapat menyulitkan penyediaan layanan terkait

Pengguna dapat menolak transfer luar negeri dengan tidak menggunakan fungsi AI opsional, analitik opsional, atau pembayaran luar negeri, atau dengan mencabut persetujuan terkait. Menolak login OAuth, hosting, basis data, atau pengiriman email wajib dapat menyulitkan atau membuat layanan tidak dapat diberikan. Permintaan penolakan dan penghapusan akun dapat dilakukan melalui menu ‘Data Pribadi & Data’ atau melalui support@sheetmusic.kr.

Pasal 7 (Pemrosesan Data Pribadi dalam Fungsi AI)

  1. Fungsi AI memproses teks·gambar·file yang dimasukkan pengguna serta hasil yang dihasilkan untuk penyediaan fungsi, pemeriksaan keamanan, penanganan kesalahan, dan manajemen batas penggunaan.
  2. Pengguna tidak boleh memasukkan informasi sensitif, nomor registrasi penduduk, atau data pribadi orang lain yang tidak memiliki izin ke dalam fungsi AI.
  3. Layanan tidak menggunakan masukan·output AI pengguna sebagai data pelatihan model umum. Perusahaan menggunakan API penyedia AI eksternal atau pengaturan perusahaan; bila didukung, konfigurasi memastikan masukan dan output tidak digunakan untuk pelatihan model umum penyedia. Periode penyimpanan dan mekanisme keamanan masing‑masing penyedia dapat berbeda tergantung model dan kontrak.
  4. Persetujuan pemrosesan AI dapat dicabut kapan saja melalui menu ‘Data Pribadi & Data’ di akun. Penarikan tidak memengaruhi keabsahan pemrosesan sebelum penarikan, namun fungsi AI selanjutnya akan dibatasi.
  5. Keluhan terkait hasil AI yang tidak pantas atau data pribadi dapat dilaporkan ke support@sheetmusic.kr.

Pasal 8 (Informasi Perilaku, Cookie, dan Penyimpanan Lokal)

  1. Layanan menggunakan cookie serta penyimpanan lokal·sesi browser untuk login, keamanan, pengaturan bahasa, keranjang belanja, dan mempertahankan status fungsi.
  2. Google Analytics 4 dapat memproses identifier analitik yang dihasilkan secara acak, identifier internal analitik untuk pengguna yang login, jalur halaman, event penggunaan layanan, pengaturan bahasa, informasi perangkat·browser, dan waktu akses bila ada persetujuan pengguna.
  3. Cloudflare Web Analytics dan fungsi analisis kinerja layanan dapat memproses permintaan halaman, informasi perangkat·browser, dan jaringan; cara identifikasi dan rentang retensi mengikuti pengaturan produk yang diterapkan.
  4. Persetujuan analitik dapat ditolak atau dicabut melalui banner atau menu ‘Data Pribadi & Data’ di akun. Penolakan tidak memengaruhi penggunaan layanan inti.
  5. Pengguna dapat memblokir cookie melalui pengaturan browser, namun memblokir cookie wajib dapat menyebabkan login, pembayaran, dan fungsi tertentu tidak berfungsi.

Pasal 9 (Hak Subjek Data dan Wali Hukum)

  1. Subjek data dapat meminta akses, koreksi·penghapusan, penghentian pemrosesan, dan penarikan persetujuan dalam lingkup yang diatur peraturan yang berlaku. Selain itu, subjek data dapat memperoleh salinan data pribadi melalui fungsi ekspor data pribadi yang disediakan perusahaan.
  2. Permintaan dapat dilakukan melalui menu ‘Data Pribadi & Data’ di akun, email, atau telepon; perusahaan akan memverifikasi identitas pemohon atau wakil yang sah dan memproses sesuai peraturan.
  3. Jika terdapat kewajiban penyimpanan hukum atau risiko pelanggaran hak pihak lain, sebagian permintaan dapat dibatasi dan alasan akan diinformasikan.
  4. Layanan tidak mengizinkan pendaftaran anggota bagi anak di bawah 14 tahun. Jika perusahaan mengetahui bahwa anak di bawah 14 tahun telah mendaftar, perusahaan akan melakukan verifikasi usia, membatasi penggunaan akun, dan menghapus data pribadi sesuai kebutuhan, kecuali data tersebut harus disimpan menurut peraturan yang berlaku.

Pasal 10 (Penghancuran Data Pribadi)

  1. Data yang melewati periode retensi atau yang tujuan pemrosesannya telah tercapai akan dihancurkan tanpa penundaan.
  2. Data yang harus disimpan menurut peraturan akan disimpan dengan akses terbatas agar tidak digunakan untuk tujuan lain, kemudian dihancurkan setelah periode berakhir.
  3. Data pribadi dalam bentuk file elektronik akan dihapus atau dianonimkan dengan cara yang aman sehingga pemulihan atau rekonstruksi menjadi sulit.

Pasal 11 (Langkah Keamanan)

  1. Langkah administratif: membatasi akses ke data pribadi hanya kepada personel yang memerlukannya dan mengelola prosedur kerja serta standar perlindungan.
  2. Langkah teknis: manajemen hak akses, otentikasi dan kontrol akses, enkripsi TLS pada transmisi, pemisahan penyimpanan data penting, serta pemeriksaan kerentanan keamanan.
  3. Langkah fisik: menerapkan keamanan fisik dan kontrol akses pada penyedia cloud dan pusat data yang digunakan perusahaan.
  4. Langkah respons insiden: deteksi insiden keamanan, pemeriksaan log, backup·pemulihan, serta prosedur evaluasi dan penanggulangan insiden.

Pasal 12 (Penanggung Jawab Perlindungan Data Pribadi dan Penanganan Permohonan Hak)

Penanggung Jawab Perlindungan Data Pribadi: Jo Chang-hyun (CEO)

Email: support@sheetmusic.kr

Telepon: 070-4617-6352

Pasal 13 (Pemulihan atas Pelanggaran Hak)

  1. Pusat Laporan Pelanggaran Data Pribadi: 118, privacy.kisa.or.kr
  2. Komisi Mediasi Sengketa Data Pribadi: 1833-6972, www.kopico.go.kr
  3. Kejaksaan Agung: 1301, www.spo.go.kr
  4. Kepolisian Nasional: 182, ecrm.police.go.kr

Pasal 14 (Perubahan Kebijakan Pemrosesan)

Jika kebijakan pemrosesan berubah, tanggal efektif dan perubahan utama akan dipublikasikan pada riwayat layanan dan kebijakan. Perubahan yang berdampak signifikan pada hak atau kewajiban subjek data akan diberitahukan secara terpisah sebelum atau pada saat yang wajar sesuai peraturan yang berlaku.

Ketentuan tambahan

Kebijakan privasi ini berlaku mulai 20 Juli 2026.

Nama perusahaan: Gonggamgak | CEO: Jo Chang-hyun

Nomor registrasi bisnis: 872-49-00248 | Pendaftaran penjualan melalui jaringan: No.2021-GoyangDeokyang-gu-1669

Alamat: 27 Hwajeong-ro, Unit 403, Deokyang-gu, Goyang-si, Gyeonggi-do (Hwajeong-dong)

Telepon: 070-4617-6352 | Email: support@sheetmusic.kr