Asmens duomenų tvarkymo politika
Gonggamgak (toliau – „Įmonė“) pagal „Asmens duomenų apsaugos įstatymo“ 30 straipsnį nustato ir viešina šią asmens duomenų tvarkymo politiką, siekdama apsaugoti duomenų subjekto asmens duomenis ir greitai bei sklandžiai spręsti su asmens duomenų tvarkymu susijusias problemas.
1 straipsnis (Asmens duomenų tvarkymo tikslas)
- Nario registracija ir paskyros valdymas: asmens identifikavimas, socialinio prisijungimo susiejimas, amžiaus patikrinimas, sesijos valdymas, neteisėto naudojimo prevencija
- Paslaugų teikimas: partitūrų paieška, peržiūra, pirkimas, peržiūra, atsisiuntimas, garso atkūrimas, biblioteka, grupės, individualūs užsakymai ir klientų aptarnavimas
- Sutartys ir mokėjimai: užsakymas, mokėjimas, kreditai, narystė, grąžinimas, kvitos ir teisių valdymas
- AI funkcijos: naudotojo sutikimu apdorojami įvesties ir priedų failai, rezultatų generavimas, saugumo patikrinimas, naudojimo limitų ir įrašų valdymas
- Paslaugų tobulinimas ir analizė: naudotojo sutikimu atliekama naudojimo statistika, paslaugų naudojimo srautas, klaidų ir našumo analizė
- Teisiniai įsipareigojimai ir saugumas: įstatymų laikymasis, saugumo incidentų reagavimas, ginčų sprendimas, teisių pažeidimų ir neteisėto naudojimo prevencija
- Rinkodara: tik su atskiru sutikimu teikiama informacija apie renginius ir reklaminę medžiagą
2 straipsnis (Tvarkomi asmens duomenų elementai ir rinkimo būdai)
| Kategorija | Tvarkomi elementai | Rinkimo būdas |
|---|---|---|
| Socialinė registracija ir prisijungimas | Vardas arba slapyvardis, el. paštas, profilio nuotrauka, OAuth tiekėjo ir tiekėjo identifikatorius | Google, Kakao, Naver, Apple arba Meta OAuth |
| Administratoriaus išduoti prisijungimo įgaliojimai | Naudotojo vardas, slaptažodžio vienos krypties maišos reikšmė | Išduodama ir apdorojama tik patvirtintoms įmonės paskyroms |
| Registracija ir paskyros nustatymai | Pageidaujama kalba, amžiaus patikrinimas (ar asmuo yra 14 metų ar vyresnis) ir patikrinimo data, sutikimo su taisyklėmis, privatumo politika ir AI tvarkymu istorija | Naudotojo įvestis ir paslaugos įrašai |
| Užsakymas ir mokėjimas | Užsakymo numeris, produktas, suma, valiuta, šalis, mokėjimo priemonės tipas, mokėjimo, atšaukimo, grąžinimo būsena, kreditų ir narystės įrašai | Mokėjimo ir pirkimo procesas bei mokėjimo šliuzo (PG) atsakymas |
| Paslaugų naudojimas | Pirkimo, peržiūros, atsisiuntimo, grupės, individualaus užsakymo, užklausų įrašai, paieškos, UI sąveikos, klaidų ir saugumo įrašai | Generuojama paslaugų naudojimo metu |
| AI ir kūrimo įrankiai | Užklausos, pokalbiai, įkeltos nuotraukos ir failai, generuoti rezultatai, modelio naudojimas, saugumo apdorojimo įrašai | Įvestis arba generavimas, kai naudotojas naudoja funkciją |
| Techninė ir analizės informacija | IP adresas, naudotojo agentas, slapukai ir sesijos identifikatoriai, atsitiktinai sukurtas analizės identifikatorius, prisijungusių naudotojų vidinis analizės identifikatorius, puslapio kelias, paslaugų įvykių įrašai, kalbos nustatymas, prisijungimo laikas | Automatinis surinkimas naudojant internetą ir programėlę |
3 straipsnis (Tvarkymo ir saugojimo laikotarpiai)
Įmonė asmens duomenis sunaikina nedelsiant, kai pasiekiamas tvarkymo tikslas. Tačiau šie duomenys gali būti saugomi atskirai, kol būtina pagal įstatymus, ginčų sprendimą arba neteisėto naudojimo prevenciją.
| Informacija | Saugojimo kriterijus |
|---|---|
| Nario paskyra ir profilis | Iki nario išsiregistravimo. Išsiregistravus, prisijungimo sesija ir prieiga prie paslaugų nutraukiama iš karto, o įstatymų reikalaujamą informaciją saugoma pagal teisėtus saugojimo terminus |
| Sutartys, atšaukimo prašymai, mokėjimo įrašai, tiekimo įrašai | 5 metai pagal elektroninės prekybos įstatymą |
| Vartotojų skundai ir ginčų sprendimo įrašai | 3 metai pagal elektroninės prekybos įstatymą |
| Rodymo ir reklamos įrašai | 6 mėnesiai pagal elektroninės prekybos įstatymą |
| Prisijungimo įrašai | 3 mėnesiai pagal komunikacijos slaptumo įstatymą ir kitus susijusius įstatymus |
| Aktyvios prisijungimo sesijos | Iki sesijos galiojimo arba atsijungimo / išsiregistravimo |
| AI profilio, plakato, Vision įrankio saugojimo istorija | 90 dienos nuo sukūrimo arba iki naudotojo paties ištrynimo |
| Asmens duomenų eksporto failas | 24 valandos po sukūrimo |
| Sutikimo, atšaukimo ir saugumo / audito įrašai | Laikotarpis, reikalingas teisiniams įsipareigojimams ir ginčų / neteisėto naudojimo reagavimui |
Šiuo metu nario išsiregistravimas iš karto nutraukia prieigą prie paslaugų ir aktyvias sesijas. Mokėjimo, sutikimo ir audito įrašai gali likti ribotai pagal įstatymus ir ginčų sprendimo poreikius, o fizinis paskyros ir profilio ištrynimas bei anonimizavimas atliekamas pagal atskirą duomenų gyvavimo ciklo politiką. Naudotojas gali per „Asmens duomenų ir duomenų“ meniu peržiūrėti, eksportuoti ir prašyti ištrinti savo duomenis.
4 straipsnis (Asmens duomenų teikimas trečiosioms šalims)
Įmonė principu neperduoda naudotojo asmens duomenų trečiosioms šalims. Duomenys gali būti perduodami tik su atskiru duomenų subjekto sutikimu arba kai įstatymai suteikia specialų pagrindą, ir tik būtinu mastu. Mokėjimų, talpinimo, autentifikacijos, el. pašto, analizės ir AI funkcijų susijusios išorinės įmonės gali apdoroti duomenis pagal sutartį, duomenų tvarkymo delegavimą, trečiųjų šalių teikimą arba duomenų perdavimą į užsienį, kaip nurodyta tolesniuose punktuose.
5 straipsnis (Apdorojimas per išorines įmones)
| Išorinė įmonė | Susijusios paslaugos |
|---|---|
| Toss Payments Co., Ltd. | Vietinis mokėjimo patvirtinimas, apskaita, atšaukimas, grąžinimas ir neteisėto sandorio prevencija |
| PayPal, Inc. | Užsienio mokėjimų patvirtinimas, apskaita, atšaukimas, grąžinimas ir neteisėto sandorio prevencija |
| Cloudflare, Inc. | CDN, interneto srauto perdavimas, saugumas, Workers programų vykdymas, R2 objektų saugykla, sutikimu pagrįsta interneto naudojimo statistika, AI Gateway tarpinimas ir Workers AI apdorojimas |
| Neon, Inc. | PostgreSQL duomenų bazės talpinimas |
| Google LLC | Google paskyros prisijungimo autentifikavimas ir paskyros susiejimas |
| Google LLC | Google Analytics 4 naudojimo statistikos analizė pagal naudotojo sutikimą |
| Google LLC | Naudotojo pasirinktos Gemini AI funkcijos įvesties ir rezultatų apdorojimas |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Naudotojo pasirinktos socialinės prisijungimo autentifikacijos ir paskyros susiejimo paslaugos |
| Anthropic PBC | Naudotojo pasirinktos Claude AI funkcijos apdorojimas |
| OpenAI, L.L.C. | Naudotojo pasirinktos OpenAI AI funkcijos apdorojimas |
| Resend, Inc. | Sandorių, paskyrų ir paslaugų el. pašto siuntimas |
6 straipsnis (Asmens duomenų perdavimas į užsienį)
Įmonė gali perkelti ir saugoti žemiau nurodytus asmens duomenis užsienyje paslaugų naudojimo metu. Duomenys perduodami nuolat per TLS šifruotą tinklą, kai naudotojas naudoja atitinkamą funkciją arba kai tai būtina sutarties vykdymui. Kiekvieno perdavimo teisinis pagrindas remiasi Asmens duomenų apsaugos įstatymo 28‑a straipsnio‑8 dalimi, sutikimu, sutarties vykdymu arba duomenų tvarkymo delegavimu, priklausomai nuo faktinio apdorojimo santykių.
| Gavėjas ir kontaktas | Šalis / regionas | Perduodami duomenys | Perdavimo tikslas | Laikas ir metodas | Teisinis pagrindas | Saugojimo / naudojimo laikotarpis | Atsisakymo būdas ir poveikis |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | Jungtinės Valstijos ir Cloudflare pasaulinės tinklo operacijos regionai. Apdorojimo / saugojimo vieta gali skirtis priklausomai nuo naudojamo produkto, paskyros nustatymų ir užklausų maršruto | Paskyros ir paslaugų įrašai, IP, įrenginio ir analizės informacija, objektų failai, naudotojo AI įvestis | Talpinimas, saugumas, saugojimas, sutikimu pagrįsta analizė, AI tarpinimas | Nuolatinis perdavimas ir saugojimas paslaugų naudojimo metu, TLS perdavimas | Sutarties vykdymas ir duomenų tvarkymo delegavimas | Lietuvoje nustatytas saugojimo laikotarpis arba sutarties / produkto nustatymai | Pasirinktinę analizę ir AI galima atsisakyti atšaukiant sutikimą, tačiau tai apriboja atitinkamas funkcijas. Būtinas talpinimas negali būti atmestas, nes tai trukdytų paslaugų teikimui |
| Neon, Inc. (privacy@neon.tech) | Singapūras (AWS ap-southeast-1) | Nario, sandorio, sutikimo, paslaugų naudojimo įrašai | PostgreSQL duomenų bazės saugojimas | Nuolatinis perdavimas ir saugojimas paslaugų naudojimo metu, TLS perdavimas | Sutarties vykdymas ir duomenų tvarkymo delegavimas | Lietuvoje nustatytas saugojimo laikotarpis arba iki delegavimo sutarties pabaigos | Būtinas saugojimas negali būti atmestas, nes tai trukdytų paskyros pagrindu teikiamoms paslaugoms |
| Google LLC (googlekrsupport@google.com) | Jungtinės Valstijos ir kiti Google apdorojimo regionai | OAuth identifikatoriai, analizės identifikatoriai ir įvykiai, arba AI įvestis, priedai ir išvestis | OAuth autentifikavimas, sutikimu pagrįsta GA4 analizė, pasirinktos Gemini funkcijos | TLS perdavimas naudojant atitinkamą funkciją | Funkcijos sutikimas arba sutarties vykdymas | Laikotarpis, reikalingas autentifikavimui, analizei ir funkcijoms, pagal Google politiką | Kiekvieną funkciją galima nepasirinkti arba atšaukti sutikimą, tačiau tai apriboja atitinkamą funkciją |
| Apple Inc., Meta Platforms, Inc. | Jungtinės Valstijos ir kiti tiekėjų apdorojimo regionai | Tiekėjo identifikatoriai, vardas, el. paštas, profilio informacija | Pasirinkta OAuth autentifikacija ir paskyros susiejimas | TLS perdavimas prisijungimo ir susiejimo metu | Sutarties vykdymas | Paskyros susiejimo atšaukimas / išsiregistravimas arba tiekėjo politika | Galima nepasirinkti šio prisijungimo būdo, tačiau tada šios autentifikacijos funkcijos nebus prieinamos |
| PayPal, Inc. (privacy@paypal.com) | Jungtinės Valstijos ir kiti PayPal apdorojimo regionai | Mokėtojo identifikatoriai, užsakymo numeris, suma, valiuta, mokėjimo, atšaukimo, grąžinimo būsena | Naudotojo pasirinktas užsienio mokėjimo apdorojimas | TLS perdavimas mokėjimo užklausos metu | Sutarties vykdymas | Pagal elektroninės prekybos įstatymą nustatytas saugojimo laikotarpis ir PayPal politika | Užsienio mokėjimą galima nepasirinkti, tačiau tada šios mokėjimo priemonės nebus prieinamos |
| Anthropic PBC (privacy@anthropic.com) | Jungtinės Valstijos | AI įvestis, išvestis ir saugumo apdorojimo informacija | Naudotojo pasirinkta Claude AI funkcija | TLS perdavimas naudojant funkciją | Pasirinktinio AI apdorojimo sutikimas | Laikotarpis, reikalingas funkcijai, pagal Anthropic sutartį ir politiką | AI funkciją galima nepasirinkti arba atšaukti sutikimą, tačiau tai apriboja funkciją |
| OpenAI, L.L.C. (privacy@openai.com) | Jungtinės Valstijos | AI įvestis, išvestis ir saugumo apdorojimo informacija | Naudotojo pasirinkta OpenAI AI funkcija | TLS perdavimas naudojant funkciją | Pasirinktinio AI apdorojimo sutikimas | Laikotarpis, reikalingas funkcijai, pagal OpenAI sutartį ir politiką | AI funkciją galima nepasirinkti arba atšaukti sutikimą, tačiau tai apriboja funkciją |
| Resend, Inc. (privacy@resend.com) | Jungtinės Valstijos | Gautas el. paštas, vardas, žinutė ir siuntimo įrašai | Sandorių, paskyrų ir paslaugų el. pašto siuntimas | TLS perdavimas siuntimo metu | Sutarties vykdymas ir duomenų tvarkymo delegavimas | Laikotarpis, reikalingas siuntimui ir gedimų reagavimui, pagal Resend sutartį ir politiką | Būtinas sandorių ir paskyrų el. pašto apdorojimas negali būti atmestas, nes tai gali apsunkinti susijusių paslaugų teikimą |
Naudotojas gali atsisakyti pasirinktinų AI funkcijų, pasirinktinės analizės arba užsienio mokėjimų, atšaukdami susijusį sutikimą. Jei atsisakoma būtinos autentifikacijos, talpinimo, duomenų bazės arba privalomo el. pašto siuntimo, gali būti sunku arba neįmanoma teikti atitinkamas funkcijas ar paslaugas. Užklausos ir nario išsiregistravimo prašymai priimami per paskyros „Asmens duomenų ir duomenų“ meniu arba adresu support@sheetmusic.kr.
7 straipsnis (Asmens duomenų tvarkymas AI funkcijose)
- AI funkcijos apdoroja naudotojo tiesiogiai įvestą tekstą, nuotraukas, failus ir generuotus rezultatus, siekdamos teikti funkciją, saugumo patikrinimą, klaidų reagavimą ir naudojimo limitų valdymą.
- Naudotojas negali įvesti jautrios informacijos, pvz., asmens identifikacinių duomenų ar kitų asmenų neleistinos informacijos, į AI funkcijas be teisėto leidimo.
- Paslauga nenaudoja naudotojo AI įvesties ir išvesties kaip bendro modelio mokymo duomenų. Įmonė naudoja išorinių AI tiekėjų API arba įmonės nustatytus sprendimus, ir, kai tai palaikoma, konfigūruoja, kad įvestis ir išvestis nebūtų naudojamos tiekėjo bendro modelio mokymui. Saugojimo laikotarpiai ir saugumo patikrinimo metodai skiriasi priklausomai nuo pasirinkto modelio ir sutarties sąlygų.
- AI tvarkymo sutikimą galima bet kada atšaukti paskyros „Asmens duomenų ir duomenų“ skyriuje. Atšaukimas neturi įtakos ankstesnių tvarkymų teisėtumui, tačiau vėliau AI funkcijos bus apribotos.
- Netinkami AI rezultatai arba asmens duomenų susiję skundai gali būti pranešti adresu support@sheetmusic.kr.
8 straipsnis (Elgsenos informacija ir slapukai / vietinis saugojimas)
- Paslauga naudoja slapukus ir naršyklės vietinį / sesijos saugojimą, kad išlaikytų prisijungimą, saugumą, kalbos nustatymus, krepšelį ir funkcijų būseną.
- Google Analytics 4 gali, su naudotojo sutikimu, apdoroti atsitiktinai sukurtą analizės identifikatorių, prisijungusių naudotojų vidinį analizės identifikatorių, puslapio kelią, paslaugų naudojimo įvykius, kalbos nustatymą, įrenginio ir naršyklės informaciją bei prisijungimo laiką.
- Cloudflare Web Analytics ir paslaugų našumo analizės funkcijos gali apdoroti puslapio užklausas, įrenginio, naršyklės ir tinklo informaciją; faktinis identifikavimo būdas ir saugojimo apimtis priklauso nuo naudojamų produktų nustatymų.
- Analizės sutikimą galima atmesti arba atšaukti per reklamų juostą arba paskyros „Asmens duomenų ir duomenų“ skyrių. Atmetus, pagrindinės paslaugos vis tiek prieinamos.
- Naršyklės nustatymuose galima blokuoti slapukus, tačiau jei blokuojami būtini slapukai, gali neveikti prisijungimas, mokėjimas ir kitos svarbios funkcijos.
9 straipsnis (Duomenų subjekto ir teisėsaugos atstovo teisės)
- Duomenų subjektas gali, pagal galiojančius įstatymus, prašyti asmens duomenų peržiūros, taisymo, ištrynimo, tvarkymo sustabdymo ir sutikimo atšaukimo. Be to, per asmens duomenų eksporto funkciją gali gauti savo duomenų kopiją.
- Prašymai gali būti pateikti per paskyros „Asmens duomenų ir duomenų“ meniu, el. paštu arba telefonu, o įmonė patikrina prašytojo tapatybę arba teisėtą atstovą ir atlieka veiksmus pagal įstatymus.
- Kai įstatymai reikalauja duomenų išsaugojimo arba kai ištrynimas galėtų pakenkti kitų asmenų teisėms, kai kurie prašymai gali būti apriboti, o priežastys bus paaiškintos.
- Paslauga neleidžia vaikams iki 14 metų registruotis. Jei įmonė sužino, kad vaikas iki 14 metų tapo nariu, atliekama amžiaus patikra, paskyros naudojimo apribojimas ir asmens duomenų ištrynimas. Tačiau informacija, kurią įstatymai reikalauja išsaugoti, gali būti laikoma atskirai nustatytą laikotarpį.
10 straipsnis (Asmens duomenų naikinimas)
- Informacija, kurios saugojimo laikotarpis baigėsi arba kurios tvarkymo tikslas pasiektas, sunaikinama nedelsiant.
- Informacija, kurią reikia saugoti pagal įstatymus, laikoma atskirai, apribojant prieigą, ir sunaikinama pasibaigus nustatytam laikotarpiui.
- Elektroninės formos asmens duomenys sunaikinami saugiai, kad jų atkūrimas ar atkurimas būtų neįmanomas, arba atliekama anonimizacija.
11 straipsnis (Saugumo užtikrinimo priemonės)
- Administracinės priemonės: asmens duomenų prieiga apribojama tik tiems, kuriems būtina, ir valdomi susiję darbo procesai bei apsaugos standartai.
- Techninės priemonės: prieigos teisių valdymas, autentifikavimas ir prieigos kontrolė, TLS šifravimas duomenų perdavimo metu, svarbių duomenų atskiras saugojimas ir saugumo spragų patikrinimas.
- Fizinės priemonės: taikoma debesų ir duomenų centrų paslaugų tiekėjų fizinė sauga ir prieigos kontrolė.
- Incidentų reagavimo priemonės: saugumo incidentų aptikimas, žurnalų peržiūra, atsarginių kopijų kūrimas ir atkūrimas, bei incidentų vertinimo ir reagavimo procedūros.
12 straipsnis (Asmens duomenų apsaugos atsakingas asmuo ir teisės įgyvendinimo priėmimas)
Asmens duomenų apsaugos atsakingas asmuo: Jo Chang-hyeon (generalinis direktorius)
El. paštas: support@sheetmusic.kr
Telefonas: 070-4617-6352
13 straipsnis (Teisių pažeidimo ištaisymas)
- Asmens duomenų pažeidimų pranešimų centras: 118, privacy.kisa.or.kr
- Asmens duomenų ginčų sprendimo komisija: 1833-6972, www.kopico.go.kr
- Didžioji prokuratūra: 1301, www.spo.go.kr
- Policijos departamentas: 182, ecrm.police.go.kr
14 straipsnis (Tvarkymo politikos keitimas)
Jei tvarkymo politika keičiasi, įgyvendinimo data ir pagrindiniai pakeitimai skelbiami paslaugų ir politikos keitimų istorijoje. Pokyčiai, kurie reikšmingai veikia duomenų subjekto teises arba įsipareigojimus, pranešami atskirai prieš įgyvendinimo datą, pagal įstatymų nustatytą arba pagrįstą laikotarpį.
Papildomos nuostatos
Ši asmens duomenų tvarkymo politika įsigalioja nuo 2026 m. liepos 20 d.