Kebijakan Privasi
Gonggamgak (selanjutnya disebut ‘perusahaan’) menyusun dan mempublikasikan kebijakan privasi berikut sesuai Pasal 30 Undang‑Undang Perlindungan Data Pribadi, untuk melindungi data pribadi subjek data dan menangani keluhan terkait pemrosesan data pribadi secara cepat dan lancar.
Pasal 1 (Tujuan Pemrosesan Data Pribadi)
- Pendaftaran anggota·Manajemen akun: identifikasi diri, koneksi login sosial, verifikasi usia, manajemen sesi, pencegahan penyalahgunaan
- Penyediaan layanan: pencarian lembar musik·pratinjau·pembelian·penelusuran·unduhan, pemutaran audio, perpustakaan·grup·pesanan khusus serta dukungan pelanggan
- Kontrak dan pembayaran: pesanan, pembayaran, kredit, keanggotaan, pengembalian dana, faktur serta manajemen hak
- Fungsi AI: pemrosesan masukan·lampiran sesuai persetujuan pengguna, pembuatan hasil, pemeriksaan keamanan, manajemen batas penggunaan dan catatan
- Peningkatan dan analisis layanan: statistik penggunaan berdasarkan persetujuan pengguna, alur penggunaan layanan, analisis kesalahan dan kinerja
- Kewajiban hukum dan keamanan: kepatuhan peraturan, respons insiden keamanan, penyelesaian sengketa, pencegahan pelanggaran hak dan penyalahgunaan
- Pemasaran: penyediaan informasi acara dan iklan hanya bila ada persetujuan terpisah
Pasal 2 (Item Data Pribadi yang Diproses dan Metode Pengumpulan)
| Kategori | Item yang Diproses | Metode Pengumpulan |
|---|---|---|
| Pendaftaran·Login sosial | Nama atau nickname, email, gambar profil, identifier penyedia OAuth per penyedia | Google, Kakao, Naver, Apple, atau Meta OAuth |
| Kredensial yang Diterbitkan Administrator | Nama pengguna, nilai hash satu arah kata sandi | Diterbitkan dan diproses hanya pada akun yang disetujui perusahaan saat login |
| Pendaftaran·Pengaturan Akun | Bahasa preferensi, status usia ≥ 14 tahun dan waktu verifikasi, riwayat persetujuan dan penarikan ketentuan·privasi·AI | Masukan pengguna dan catatan layanan |
| Pesanan·Pembayaran | Nomor pesanan, produk, jumlah, mata uang, negara, tipe metode pembayaran, status pembayaran·pembatalan·pengembalian, riwayat kredit·keanggotaan | Proses pembayaran·pembelian dan respons PG |
| Penggunaan Layanan | Catatan pembelian·penelusuran·unduhan·grup·pesanan khusus·pertanyaan, interaksi UI·pencarian, catatan kesalahan dan keamanan | Dibuat selama penggunaan layanan |
| AI dan Alat Pembuatan | Prompt, percakapan, gambar·file yang diunggah, hasil yang dihasilkan, catatan model·penggunaan·keamanan | Masukan atau hasil saat pengguna menggunakan fungsi |
| Informasi Teknis·Analitik | Alamat IP, user agent, cookie·identifier sesi, identifier analitik yang dihasilkan secara acak, identifier internal analitik untuk pengguna yang login, jalur halaman·event penggunaan layanan·pengaturan bahasa·waktu akses | Dikumpulkan secara otomatis selama penggunaan web·aplikasi |
Pasal 3 (Waktu Penyimpanan dan Retensi)
Perusahaan akan menghancurkan data pribadi tanpa penundaan setelah tujuan pemrosesan tercapai. Namun, informasi berikut dapat disimpan terpisah selama periode yang diperlukan untuk kewajiban hukum, penanganan sengketa, atau pencegahan penyalahgunaan.
| Informasi | Kriteria Retensi |
|---|---|
| Akun dan profil anggota | Hingga selesai proses penghapusan akun. Setelah penghapusan selesai, sesi login dan akses layanan dihentikan segera, dan informasi yang harus disimpan menurut peraturan berlaku disimpan selama periode retensi hukum yang bersangkutan |
| Catatan kontrak·penarikan persetujuan·pembayaran·pasokan | 5 tahun sesuai Undang‑Undang Perdagangan Elektronik |
| Catatan keluhan konsumen atau penanganan sengketa | 3 tahun sesuai Undang‑Undang Perdagangan Elektronik |
| Catatan iklan·promosi | 6 bulan sesuai Undang‑Undang Perdagangan Elektronik |
| Catatan akses | 3 bulan bila diperlukan menurut Undang‑Undang Perlindungan Rahasia Komunikasi dan peraturan terkait |
| Sesi login aktif | Hingga sesi kedaluwarsa atau logout·penghapusan akun |
| Riwayat penyimpanan profil AI·poster·alat Vision | 90 hari sejak pembuatan atau hingga pengguna menghapusnya secara langsung |
| File ekspor data pribadi | 24 jam setelah pembuatan |
| Catatan persetujuan·penarikan serta keamanan·audit | Selama periode yang diperlukan untuk kewajiban hukum dan penanganan sengketa·penyalahgunaan |
Saat ini, penghapusan akun mengakhiri akses layanan dan sesi aktif secara langsung. Catatan transaksi·persetujuan·audit dapat tetap ada secara terbatas sesuai peraturan dan tujuan penanganan sengketa; prosedur penghapusan fisik atau anonimisasi akun dan profil dilakukan sesuai kebijakan siklus hidup data terpisah. Pengguna dapat mengakses, mengekspor, atau menghapus data melalui menu ‘Data Pribadi & Data’ di akun mereka.
Pasal 4 (Pemberian Data Pribadi kepada Pihak Ketiga)
Perusahaan pada prinsipnya tidak memberikan data pribadi pengguna kepada pihak ketiga. Data hanya diberikan bila ada persetujuan terpisah dari subjek data atau bila terdapat dasar hukum khusus, dan hanya dalam lingkup yang diperlukan. Pemrosesan oleh penyedia eksternal terkait pembayaran, hosting, otentikasi, email, analitik, dan fungsi AI dapat termasuk pemrosesan atas perintah, pemberian kepada pihak ketiga, atau transfer ke luar negeri, tergantung pada kontrak dan tujuan pemrosesan; detail spesifik dijelaskan pada pasal berikut dan item terkait.
Pasal 5 (Pemrosesan melalui Penyedia Eksternal)
| Penyedia Eksternal | Layanan Terkait |
|---|---|
| Toss Payments Co., Ltd. | Persetujuan pembayaran domestik, penyelesaian, pembatalan, pengembalian dana, dan pencegahan transaksi tidak sah |
| PayPal, Inc. | Persetujuan, penyelesaian, pembatalan, pengembalian dana, dan pencegahan transaksi tidak sah untuk pembayaran luar negeri yang didukung |
| Cloudflare, Inc. | CDN·pengiriman trafik web·keamanan, eksekusi aplikasi Workers, penyimpanan objek R2, statistik penggunaan web berbasis persetujuan, perantara AI Gateway dan pemrosesan Workers AI |
| Neon, Inc. | Hosting basis data PostgreSQL |
| Google LLC | Otentikasi login akun Google dan koneksi akun |
| Google LLC | Analisis statistik menggunakan Google Analytics 4 berdasarkan persetujuan pengguna |
| Google LLC | Pemrosesan masukan dan hasil untuk fungsi AI berbasis Gemini yang dipilih pengguna |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Otentikasi login sosial yang dipilih pengguna dan koneksi akun |
| Anthropic PBC | Pemrosesan fungsi Claude AI yang dipilih pengguna |
| OpenAI, L.L.C. | Pemrosesan fungsi AI OpenAI yang dipilih pengguna |
| Resend, Inc. | Pengiriman email transaksi·akun dan layanan |
Pasal 6 (Transfer Data Pribadi ke Luar Negeri)
Perusahaan dapat mentransfer dan menyimpan data pribadi berikut ke luar negeri selama penggunaan layanan. Transfer dilakukan secara terus‑menerus melalui jaringan terenkripsi TLS ketika pengguna menggunakan fungsi terkait atau ketika pemenuhan kontrak memerlukan. Dasar hukum masing‑masing transfer mengacu pada Pasal 28‑8 Undang‑Undang Perlindungan Data Pribadi serta persetujuan, kontrak, atau perintah pemrosesan sesuai hubungan pemrosesan aktual.
| Penerima·Kontak | Negara/Wilayah | Item yang Ditransfer | Tujuan Transfer | Waktu·Metode | Dasar Hukum | Periode Retensi·Penggunaan | Cara Menolak dan Dampaknya |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | Amerika Serikat dan wilayah operasi jaringan global Cloudflare. Lokasi pemrosesan·penyimpanan dapat bervariasi tergantung produk, pengaturan akun, dan jalur permintaan | Catatan akun·layanan, IP·perangkat·informasi analitik, file objek, data yang dimasukkan pengguna ke AI | Hosting·keamanan·penyimpanan·analitik berbasis persetujuan·perantara AI | Transfer·penyimpanan terus‑menerus selama penggunaan layanan, melalui TLS | Pelaksanaan kontrak dan perintah pemrosesan | Sesuai periode retensi masing‑masing item di Korea atau sesuai kontrak·pengaturan produk | Analitik dan AI opsional dapat ditolak dengan mencabut persetujuan, namun fungsi hosting wajib tetap; menolak hosting dapat menghambat penyediaan layanan |
| Neon, Inc. (privacy@neon.tech) | Singapura (AWS ap-southeast-1) | Data anggota, transaksi, persetujuan, catatan penggunaan layanan | Penyimpanan basis data PostgreSQL | Transfer·penyimpanan terus‑menerus selama penggunaan layanan, melalui TLS | Pelaksanaan kontrak dan perintah pemrosesan | Sesuai periode retensi masing‑masing item di Korea atau hingga berakhirnya kontrak penugasan | Menolak penyimpanan wajib dapat membuat layanan berbasis akun tidak dapat diberikan |
| Google LLC (googlekrsupport@google.com) | Amerika Serikat dan wilayah pemrosesan Google lainnya | Informasi identifikasi OAuth, identifier·event analitik, atau masukan·lampiran·output AI | Otentikasi OAuth, analitik GA4 berbasis persetujuan, fungsi Gemini yang dipilih | Transfer melalui TLS saat fungsi terkait digunakan | Persetujuan per fungsi atau pelaksanaan kontrak | Selama periode yang diperlukan untuk penyediaan fungsi dan sesuai kebijakan Google | Setiap fungsi dapat dinonaktifkan atau persetujuan dapat dicabut, yang akan membatasi fungsi terkait |
| Apple Inc., Meta Platforms, Inc. | Amerika Serikat dan wilayah pemrosesan masing‑masing penyedia | Identifier penyedia, nama, email, informasi profil | Otentikasi OAuth yang dipilih dan koneksi akun | Transfer melalui TLS saat login·koneksi | Pelaksanaan kontrak | Sesuai periode penghapusan akun atau kebijakan penyedia | Pengguna dapat memilih tidak menggunakan metode login tersebut, namun tidak dapat mengakses layanan dengan cara itu |
| PayPal, Inc. (privacy@paypal.com) | Amerika Serikat dan wilayah pemrosesan PayPal | Identifier pembayar, nomor pesanan, jumlah, mata uang, status pembayaran·pembatalan·pengembalian | Pemrosesan pembayaran luar negeri yang dipilih pengguna | Transfer melalui TLS saat permintaan pembayaran | Pelaksanaan kontrak | Sesuai periode retensi Undang‑Undang Perdagangan Elektronik dan kebijakan PayPal | Pengguna dapat tidak memilih pembayaran luar negeri; metode pembayaran tersebut tidak akan tersedia |
| Anthropic PBC (privacy@anthropic.com) | Amerika Serikat | Data masukan·output AI serta catatan keamanan | Pemrosesan fungsi Claude yang dipilih | Transfer melalui TLS saat fungsi digunakan | Persetujuan pemrosesan AI opsional | Selama periode yang diperlukan untuk penyediaan fungsi dan sesuai kontrak·kebijakan Anthropic | Pengguna dapat tidak menggunakan fungsi AI atau mencabut persetujuan, yang akan membatasi fungsi tersebut |
| OpenAI, L.L.C. (privacy@openai.com) | Amerika Serikat | Data masukan·output AI serta catatan keamanan | Pemrosesan fungsi OpenAI yang dipilih | Transfer melalui TLS saat fungsi digunakan | Persetujuan pemrosesan AI opsional | Selama periode yang diperlukan untuk penyediaan fungsi dan sesuai kontrak·kebijakan OpenAI | Pengguna dapat tidak menggunakan fungsi AI atau mencabut persetujuan, yang akan membatasi fungsi tersebut |
| Resend, Inc. (privacy@resend.com) | Amerika Serikat | Email penerima, nama, pesan, dan catatan pengiriman | Pengiriman email transaksi·akun dan layanan | Transfer melalui TLS saat pengiriman | Pelaksanaan kontrak dan perintah pemrosesan | Selama periode yang diperlukan untuk pengiriman dan penanganan gangguan serta sesuai kontrak·kebijakan Resend | Menolak pengiriman email transaksi·akun dapat menyulitkan penyediaan layanan terkait |
Pengguna dapat menolak transfer luar negeri dengan tidak menggunakan fungsi AI opsional, analitik opsional, atau pembayaran luar negeri, atau dengan mencabut persetujuan terkait. Menolak login OAuth, hosting, basis data, atau pengiriman email wajib dapat menyulitkan atau membuat layanan tidak dapat diberikan. Permintaan penolakan dan penghapusan akun dapat dilakukan melalui menu ‘Data Pribadi & Data’ atau melalui support@sheetmusic.kr.
Pasal 7 (Pemrosesan Data Pribadi dalam Fungsi AI)
- Fungsi AI memproses teks·gambar·file yang dimasukkan pengguna serta hasil yang dihasilkan untuk penyediaan fungsi, pemeriksaan keamanan, penanganan kesalahan, dan manajemen batas penggunaan.
- Pengguna tidak boleh memasukkan informasi sensitif, nomor registrasi penduduk, atau data pribadi orang lain yang tidak memiliki izin ke dalam fungsi AI.
- Layanan tidak menggunakan masukan·output AI pengguna sebagai data pelatihan model umum. Perusahaan menggunakan API penyedia AI eksternal atau pengaturan perusahaan; bila didukung, konfigurasi memastikan masukan dan output tidak digunakan untuk pelatihan model umum penyedia. Periode penyimpanan dan mekanisme keamanan masing‑masing penyedia dapat berbeda tergantung model dan kontrak.
- Persetujuan pemrosesan AI dapat dicabut kapan saja melalui menu ‘Data Pribadi & Data’ di akun. Penarikan tidak memengaruhi keabsahan pemrosesan sebelum penarikan, namun fungsi AI selanjutnya akan dibatasi.
- Keluhan terkait hasil AI yang tidak pantas atau data pribadi dapat dilaporkan ke support@sheetmusic.kr.
Pasal 8 (Informasi Perilaku, Cookie, dan Penyimpanan Lokal)
- Layanan menggunakan cookie serta penyimpanan lokal·sesi browser untuk login, keamanan, pengaturan bahasa, keranjang belanja, dan mempertahankan status fungsi.
- Google Analytics 4 dapat memproses identifier analitik yang dihasilkan secara acak, identifier internal analitik untuk pengguna yang login, jalur halaman, event penggunaan layanan, pengaturan bahasa, informasi perangkat·browser, dan waktu akses bila ada persetujuan pengguna.
- Cloudflare Web Analytics dan fungsi analisis kinerja layanan dapat memproses permintaan halaman, informasi perangkat·browser, dan jaringan; cara identifikasi dan rentang retensi mengikuti pengaturan produk yang diterapkan.
- Persetujuan analitik dapat ditolak atau dicabut melalui banner atau menu ‘Data Pribadi & Data’ di akun. Penolakan tidak memengaruhi penggunaan layanan inti.
- Pengguna dapat memblokir cookie melalui pengaturan browser, namun memblokir cookie wajib dapat menyebabkan login, pembayaran, dan fungsi tertentu tidak berfungsi.
Pasal 9 (Hak Subjek Data dan Wali Hukum)
- Subjek data dapat meminta akses, koreksi·penghapusan, penghentian pemrosesan, dan penarikan persetujuan dalam lingkup yang diatur peraturan yang berlaku. Selain itu, subjek data dapat memperoleh salinan data pribadi melalui fungsi ekspor data pribadi yang disediakan perusahaan.
- Permintaan dapat dilakukan melalui menu ‘Data Pribadi & Data’ di akun, email, atau telepon; perusahaan akan memverifikasi identitas pemohon atau wakil yang sah dan memproses sesuai peraturan.
- Jika terdapat kewajiban penyimpanan hukum atau risiko pelanggaran hak pihak lain, sebagian permintaan dapat dibatasi dan alasan akan diinformasikan.
- Layanan tidak mengizinkan pendaftaran anggota bagi anak di bawah 14 tahun. Jika perusahaan mengetahui bahwa anak di bawah 14 tahun telah mendaftar, perusahaan akan melakukan verifikasi usia, membatasi penggunaan akun, dan menghapus data pribadi sesuai kebutuhan, kecuali data tersebut harus disimpan menurut peraturan yang berlaku.
Pasal 10 (Penghancuran Data Pribadi)
- Data yang melewati periode retensi atau yang tujuan pemrosesannya telah tercapai akan dihancurkan tanpa penundaan.
- Data yang harus disimpan menurut peraturan akan disimpan dengan akses terbatas agar tidak digunakan untuk tujuan lain, kemudian dihancurkan setelah periode berakhir.
- Data pribadi dalam bentuk file elektronik akan dihapus atau dianonimkan dengan cara yang aman sehingga pemulihan atau rekonstruksi menjadi sulit.
Pasal 11 (Langkah Keamanan)
- Langkah administratif: membatasi akses ke data pribadi hanya kepada personel yang memerlukannya dan mengelola prosedur kerja serta standar perlindungan.
- Langkah teknis: manajemen hak akses, otentikasi dan kontrol akses, enkripsi TLS pada transmisi, pemisahan penyimpanan data penting, serta pemeriksaan kerentanan keamanan.
- Langkah fisik: menerapkan keamanan fisik dan kontrol akses pada penyedia cloud dan pusat data yang digunakan perusahaan.
- Langkah respons insiden: deteksi insiden keamanan, pemeriksaan log, backup·pemulihan, serta prosedur evaluasi dan penanggulangan insiden.
Pasal 12 (Penanggung Jawab Perlindungan Data Pribadi dan Penanganan Permohonan Hak)
Penanggung Jawab Perlindungan Data Pribadi: Jo Chang-hyun (CEO)
Email: support@sheetmusic.kr
Telepon: 070-4617-6352
Pasal 13 (Pemulihan atas Pelanggaran Hak)
- Pusat Laporan Pelanggaran Data Pribadi: 118, privacy.kisa.or.kr
- Komisi Mediasi Sengketa Data Pribadi: 1833-6972, www.kopico.go.kr
- Kejaksaan Agung: 1301, www.spo.go.kr
- Kepolisian Nasional: 182, ecrm.police.go.kr
Pasal 14 (Perubahan Kebijakan Pemrosesan)
Jika kebijakan pemrosesan berubah, tanggal efektif dan perubahan utama akan dipublikasikan pada riwayat layanan dan kebijakan. Perubahan yang berdampak signifikan pada hak atau kewajiban subjek data akan diberitahukan secara terpisah sebelum atau pada saat yang wajar sesuai peraturan yang berlaku.
Ketentuan tambahan
Kebijakan privasi ini berlaku mulai 20 Juli 2026.