Datu apstrādes politika
Gonggamgak (turpmāk “uzņēmums”) saskaņā ar „Personas datu aizsardzības likuma” 30. pantu aizsargā datu subjekta personas datus un, lai ātri un raiti risinātu ar personas datu apstrādi saistītas sūdzības, izstrādā un publicē šādu personas datu apstrādes politiku.
1. pants (Personas datu apstrādes mērķis)
- Reģistrācija un konta pārvaldība: personas identifikācija, sociālo pieteikšanās savienošana, vecuma pārbaude, sesijas pārvaldība, ļaunprātīgas izmantošanas novēršana
- Pakalpojumu sniegšana: partitūru meklēšana, priekšskatīšana, pirkšana, apskate, lejupielāde, audio atskaņošana, bibliotēka, grupa, pielāgota pasūtīšana un klientu atbalsts
- Līgums un maksājumi: pasūtījumi, maksājumi, kredīti, lojalitātes programmas, atmaksas, kvītis un tiesību pārvaldība
- AI funkcijas: lietotāja piekrišana balstīta ievades un pievienoto failu apstrāde, rezultātu ģenerēšana, drošības pārbaude, lietošanas limitu un ierakstu pārvaldība
- Pakalpojumu uzlabošana un analīze: lietotāja piekrišana balstīta lietošanas statistika, pakalpojumu lietošanas plūsma, kļūdu un veiktspējas analīze
- Juridiskie pienākumi un drošība: likumu ievērošana, drošības incidentu reaģēšana, strīdu risināšana, tiesību pārkāpumu un ļaunprātīgas izmantošanas novēršana
- Mārketings: tikai tad, ja ir saņemta atsevišķa piekrišana, tiek sniegta informācija par pasākumiem un reklāmas materiāliem
2. pants (Apstrādāto personas datu kategorijas un to vākšanas veidi)
| Kategorija | Apstrādātais elements | Vākšanas veids |
|---|---|---|
| Sociāla reģistrācija/pieteikšanās | Vārds vai segvārds, e-pasts, profila attēls, OAuth pakalpojuma sniedzēja un sniedzēja identifikators | Google, Kakao, Naver, Apple vai Meta OAuth |
| Administratora izsniegtas akreditācijas | Lietotājvārds, paroles vienvirziena heša vērtība | Izsniegts un apstrādāts tikai apstiprinātiem kontiem uzņēmuma ietvaros |
| Reģistrācija un konta iestatījumi | Vēlamā valoda, apstiprināts, ka lietotājs ir vismaz 14 gadus vecs, un apstiprināšanas datums, noteikumu, personas datu un AI apstrādes piekrišanas un atsaukšanas vēsture | Lietotāja ievade un pakalpojuma ieraksti |
| Pasūtījums un maksājums | Pasūtījuma numurs, prece, summa, valūta, valsts, maksājuma veida tips, maksājuma/atcelšanas/atmaksas statuss, kredītu/lojalitātes programmas dati | Maksājuma/pirkuma process un maksājumu pakalpojumu sniedzēja (PG) atbilde |
| Pakalpojumu lietošana | Pirkumu, apskates, lejupielādes, grupas, pielāgota pasūtījuma, pieprasījumu ieraksti, meklēšanas un UI mijiedarbība, kļūdu un drošības ieraksti | Izveidots pakalpojuma lietošanas procesā |
| AI un radīšanas rīki | Prompti, sarunas, augšupielādētie attēli/faili, radītie rezultāti, modeļa lietojums, drošības apstrādes ieraksti | Ievade vai ģenerēšana, kad lietotājs izmanto funkciju |
| Tehniskā/analītiskā informācija | IP adrese, lietotāja aģents, sīkdatnes un sesijas identifikatori, nejauši ģenerēti analītiskie identifikatori, iekšējie analītiskie identifikatori pierakstītajiem lietotājiem, lapas ceļi, pakalpojumu lietošanas notikumi, valodas iestatījums, piekļuves laiks | Automātiski savākts, lietojot tīmekļa vietni vai lietotni |
3. pants (Apstrādes un glabāšanas periods)
Uzņēmums iznīcina personas datus nekavējoties, kad tiek sasniegts apstrādes mērķis. Tomēr šādu informāciju var uzglabāt atsevišķi likumā noteiktu periodu laikā, lai izpildītu likumīgus pienākumus, risinātu strīdus vai novērstu ļaunprātīgu izmantošanu.
| Informācija | Glabāšanas kritēriji |
|---|---|
| Lietotāja konts un profils | Līdz lietotāja izbeigšanai. Pēc izbeigšanas pieteikšanās sesija un pakalpojuma piekļuve tiek nekavējoties pārtraukta, bet likumā noteiktie dati tiek uzglabāti atbilstoši likuma noteiktajam periodam |
| Līgums, atsaukšanas pieprasījums, maksājuma izpilde, piegādes ieraksti | 5 gadi saskaņā ar elektroniskās tirdzniecības likumu |
| Patērētāju sūdzības vai strīdu apstrādes ieraksti | 3 gadi saskaņā ar elektroniskās tirdzniecības likumu |
| Reklāmas un izklāsta ieraksti | 6 mēneši saskaņā ar elektroniskās tirdzniecības likumu |
| Piekļuves ieraksti | 3 mēneši, ja tas ir nepieciešams saskaņā ar sakaru noslēpuma aizsardzības likumu un citām attiecīgām normām |
| Aktīvās pieteikšanās sesijas | Līdz sesijas termiņa beigām vai izrakstīšanās/izbeigšanai |
| AI profila, plakāta, Vision rīka saglabāšanas vēsture | 90 dienas no izveides vai līdz lietotāja pašrocīgai dzēšanai |
| Personas datu eksportēšanas fails | 24 stundas pēc izveides |
| Piekrišanas/atsaukšanas un drošības/audita ieraksti | Tiek glabāti tik ilgi, cik nepieciešams likumīgu pienākumu, strīdu vai ļaunprātīgas izmantošanas risināšanai |
Pašreiz izbeigšana uzreiz pārtrauc pakalpojuma piekļuvi un aktīvās sesijas. Darījumu, piekrišanas un audita ieraksti var palikt ierobežotā apjomā atbilstoši likumam un strīdu risināšanas vajadzībām, bet konta un profila fiziskā dzēšana/anonimizēšana tiek veikta atsevišķas datu dzīves cikla politikas ietvaros. Lietotājs var pieprasīt piekļuvi, eksportu vai dzēšanu sadaļā “Personas dati un dati” savā kontā.
4. pants (Personas datu nodošana trešajām pusēm)
Uzņēmums principā nepiedāvā lietotāja personas datus trešajām pusēm. Datu subjekta atsevišķa piekrišana vai likumā noteikts īpašs pamats ir nepieciešams, lai sniegtu datus tikai vajadzīgajā apjomā. Maksājumu, hostinga, autentifikācijas, e-pasta, analīzes un AI funkciju saistītā ārējo pakalpojumu apstrāde var ietvert personas datu apstrādes uzdevumu nodošanu, trešo pušu nodrošināšanu vai datu pārsūtīšanu uz ārvalstīm, kā norādīts turpmākajās sadaļās.
5. pants (Apstrāde caur ārējiem pakalpojumu sniedzējiem)
| Ārējais pakalpojumu sniedzējs | Saistītie darbi |
|---|---|
| Toss Payments Co., Ltd. | Valsts maksājumu apstiprināšana, norēķini, atcelšana, atmaksas un krāpniecības novēršana |
| PayPal, Inc. | Ārvalstu maksājumu apstiprināšana, norēķini, atcelšana, atmaksas un krāpniecības novēršana |
| Cloudflare, Inc. | CDN, tīmekļa trafika pārsūtīšana, drošība, Workers lietojumprogrammu izpilde, R2 objektu glabāšana, piekrišanas balstīta tīmekļa lietošanas statistika, AI Gateway starpniekfunkcijas un Workers AI apstrāde |
| Neon, Inc. | PostgreSQL datubāzes hostings |
| Google LLC | Google konta pieteikšanās autentifikācija un konta savienošana |
| Google LLC | Google Analytics 4 lietošanas statistikas analīze, pamatojoties uz lietotāja piekrišanu |
| Google LLC | Lietotāja izvēlētās Gemini balstītās AI funkcijas ievades un rezultātu apstrāde |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Lietotāja izvēlētās sociālās pieteikšanās autentifikācijas un konta savienošana |
| Anthropic PBC | Lietotāja izvēlētās Claude AI funkcijas apstrāde |
| OpenAI, L.L.C. | Lietotāja izvēlētās OpenAI AI funkcijas apstrāde |
| Resend, Inc. | Darījumu, konta un pakalpojumu e-pasta sūtīšana |
6. pants (Personas datu pārsūtīšana uz ārvalstīm)
Uzņēmums var pārsūtīt un uzglabāt šādus personas datus ārvalstīs pakalpojuma lietošanas laikā. Dati tiek pārsūtīti regulāri, izmantojot TLS šifrētu tīklu, kad lietotājs izmanto attiecīgo funkciju vai ir nepieciešama līguma izpilde. Katras pārsūtīšanas juridiskais pamats balstās uz Personas datu aizsardzības likuma 28.8. pantu un citām attiecīgām normām, kas nosaka piekrišanu, līguma izpildi vai apstrādes uzdevuma nodošanu.
| Saņēmējs un kontaktinformācija | Valsts/regiona | Pārsūtītie dati | Pārsūtīšanas mērķis | Laiks/metode | Juridiskais pamats | Glabāšanas/izmantošanas periods | Noraidīšanas veids un ietekme |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | ASV un Cloudflare globālo tīklu darbības reģioni. Apstrādes/uzglabāšanas vieta var atšķirties atkarībā no izmantotā produkta, konta iestatījumiem un pieprasījuma ceļa | Konta un pakalpojumu ieraksti, IP, ierīces, analītiskā informācija, objektu faili, lietotāja AI ievade | Hostings, drošība, uzglabāšana, piekrišanas balstīta analīze, AI starpniekfunkcijas | Regulāra pārsūtīšana/uzglabāšana pakalpojuma lietošanas laikā, TLS pārraide | Līguma izpilde un apstrādes uzdevuma nodošana | Katrai informācijas kategorijai atbilstošais vietējais glabāšanas periods vai līguma/produkta iestatījumu noteiktais periods | Izvēles analīze/AI var tikt noraidīta ar piekrišanas atsaukšanu, bet tas ierobežos attiecīgās funkcijas. Ja tiek noraidīts obligāts hostings, pakalpojuma sniegšana kļūst neiespējama |
| Neon, Inc. (privacy@neon.tech) | Singapūra (AWS ap-southeast-1) | Lietotāja, darījumu, piekrišanas, pakalpojumu lietošanas ieraksti | PostgreSQL datubāzes uzglabāšana | Regulāra pārsūtīšana/uzglabāšana pakalpojuma lietošanas laikā, TLS pārraide | Līguma izpilde un apstrādes uzdevuma nodošana | Katrai informācijas kategorijai atbilstošais vietējais glabāšanas periods vai līguma izbeigšanas brīdis | Ja tiek noraidīta obligāta uzglabāšana, konta balstīta pakalpojuma sniegšana kļūst neiespējama |
| Google LLC (googlekrsupport@google.com) | ASV un citas Google apstrādes vietas | OAuth identifikatori, analītiskie identifikatori un notikumi, vai AI ievade/pievienojumi/izvade | OAuth autentifikācija, piekrišanas balstīta GA4 analīze, izvēlētā Gemini funkcija | TLS pārraide, kad tiek izmantota attiecīgā funkcija | Funkcijas piekrišana vai līguma izpilde | Periodi, kas nepieciešami autentifikācijas, analīzes un funkciju sniegšanai, saskaņā ar Google politiku | Lietotājs var neizmantot konkrēto funkciju vai atsaukt piekrišanu, kas ierobežos tās pieejamību |
| Apple Inc., Meta Platforms, Inc. | ASV un katra pakalpojumu sniedzēja apstrādes vietas | Sniedzēja identifikatori, vārds, e-pasts, profila informācija | Izvēlētā OAuth autentifikācija un konta savienošana | TLS pārraide piesakoties un savienojot kontu | Līguma izpilde | Periodi, kas noteikti konta savienošanas atcelšanas, izbeigšanas vai sniedzēja politikas dēļ | Lietotājs var neizvēlēties šo pieteikšanās veidu, bet tad attiecīgā autentifikācija nebūs pieejama |
| PayPal, Inc. (privacy@paypal.com) | ASV un citas PayPal apstrādes vietas | Maksātāja identifikatori, pasūtījuma numurs, summa, valūta, maksājuma/atcelšanas/atmaksas statuss | Lietotāja izvēlētā ārvalstu maksājuma apstrāde | TLS pārraide maksājuma pieprasījuma brīdī | Līguma izpilde | Periodi, kas noteikti elektroniskās tirdzniecības likuma glabāšanas prasībām un PayPal politikai | Lietotājs var neizvēlēties ārvalstu maksājumu, bet tad šis maksājuma veids nebūs pieejams |
| Anthropic PBC (privacy@anthropic.com) | ASV | AI ievade/izvade un drošības apstrādes informācija | Lietotāja izvēlētā Claude funkcija | TLS pārraide, kad tiek izmantota funkcija | Izvēles AI apstrādes piekrišana | Periodi, kas nepieciešami funkcijas sniegšanai, saskaņā ar Anthropic līgumu un politiku | Lietotājs var neizmantot AI funkciju vai atsaukt piekrišanu, kas ierobežos tās pieejamību |
| OpenAI, L.L.C. (privacy@openai.com) | ASV | AI ievade/izvade un drošības apstrādes informācija | Lietotāja izvēlētā OpenAI funkcija | TLS pārraide, kad tiek izmantota funkcija | Izvēles AI apstrādes piekrišana | Periodi, kas nepieciešami funkcijas sniegšanai, saskaņā ar OpenAI līgumu un politiku | Lietotājs var neizmantot AI funkciju vai atsaukt piekrišanu, kas ierobežos tās pieejamību |
| Resend, Inc. (privacy@resend.com) | ASV | Saņemtais e-pasts, vārds, ziņa un sūtīšanas ieraksti | Darījumu, konta un pakalpojumu e-pasta sūtīšana | TLS pārraide sūtīšanas brīdī | Līguma izpilde un apstrādes uzdevuma nodošana | Periodi, kas nepieciešami sūtīšanai, incidentu risināšanai un Resend līgumam/politikai | Ja tiek noraidīta obligāta darījumu/konta e-pasta apstrāde, attiecīgais pakalpojums var kļūt neiespējams |
Lietotājs var atteikties no izvēles AI funkcijām, izvēles analīzes vai ārvalstu maksājumiem, atsaucoties no piekrišanas, kas novērš attiecīgo datu pārsūtīšanu uz ārvalstīm. Ja tiek atteikta pieteikšanās autentifikācija, hostings, datubāze vai obligāta e-pasta sūtīšana, pakalpojuma sniegšana var kļūt neiespējama. Pieprasījumi un konta izbeigšanas pieprasījumi tiek apstrādāti sadaļā “Personas dati un dati” vai uz support@sheetmusic.kr.
7. pants (Personas datu apstrāde AI funkcijās)
- AI funkcijas apstrādā lietotāja tieši ievadīto tekstu, attēlus, failus un radītos rezultātus, lai nodrošinātu funkcijas sniegšanu, drošības pārbaudi, kļūdu risināšanu un lietošanas limitu pārvaldību.
- Lietotājs nedrīkst ievadīt sensitīvu informāciju, piemēram, personas kodus vai citus personas datu aizsardzības likumā definētus unikālus identifikatorus, kā arī neautorizēti izmantot citu personu privātos datus AI funkcijās.
- Pakalpojums neizmanto lietotāja AI ievadi/izvadi kā daļu no vispārējā modeļa apmācības datiem. Uzņēmums izmanto ārējo AI pakalpojumu sniedzēju API vai uzņēmuma iestatījumus, un, ja tas ir atbalstīts, konfigurē, lai ievade un izvade netiktu izmantota sniedzēja modeļa apmācībai. Glabāšanas periodi un drošības pārbaudes ir atkarīgi no izvēlētā modeļa un līguma nosacījumiem.
- AI apstrādes piekrišanu var jebkurā brīdī atsaukt sadaļā “Personas dati un dati” savā kontā. Atsaukums neietekmē jau veikto apstrādi, bet turpmāk AI funkcijas tiks ierobežotas.
- Ja rodas nepiemēroti AI rezultāti vai personas datu jautājumi, tos var ziņot uz support@sheetmusic.kr.
8. pants (Uzvedības informācija, sīkdatnes un lokālais glabāšanas vietas)
- Pakalpojums izmanto sīkdatnes un pārlūkprogrammas lokālo/ sesijas glabāšanu, lai saglabātu pieteikšanos, drošību, valodas iestatījumus, grozu un funkciju stāvokli.
- Google Analytics 4, ja lietotājs ir devis piekrišanu, var apstrādāt nejauši ģenerētus analītiskos identifikatorus, iekšējos analītiskos identifikatorus pierakstītajiem lietotājiem, lapas ceļus, pakalpojumu lietošanas notikumus, valodas iestatījumus, ierīces un pārlūkprogrammas informāciju, kā arī piekļuves laiku.
- Cloudflare Web Analytics un pakalpojuma veiktspējas analīzes funkcijas var apstrādāt lapas pieprasījumus, ierīces, pārlūkprogrammas un tīkla informāciju; konkrētā identifikācijas veids un glabāšanas apjoms ir atkarīgs no izmantotā produkta iestatījumiem.
- Analīzes piekrišanu var noraidīt vai atsaukt no banera vai konta sadaļas “Personas dati un dati”. Noraidījums neierobežo piekļuvi galvenajiem pakalpojumiem.
- Lietotājs var bloķēt sīkdatnes pārlūkprogrammas iestatījumos, bet, ja bloķē obligātās sīkdatnes, pieteikšanās, maksājumi un citas funkcijas var nestrādāt.
9. pants (Datu subjekta un likumīgā pārstāvja tiesības)
- Datu subjekts var pieprasīt piekļuvi, labošanu, dzēšanu, apstrādes apturēšanu un piekrišanas atsaukšanu saskaņā ar attiecīgajiem likumiem. Turklāt, izmantojot personas datu eksportēšanas funkciju, var saņemt savas personas datu kopiju.
- Pieprasījumu var iesniegt sadaļā “Personas dati un dati” kontā, e-pastā vai pa tālruni; uzņēmums pārbaudīs pieprasītāja vai likumīgā pārstāvja identitāti un apstrādās pieprasījumu saskaņā ar likumu.
- Ja likums nosaka glabāšanas pienākumu vai pastāv risks pārkāpt trešo personu tiesības, daļa no pieprasījuma var tikt ierobežota, un par to tiks sniegta informācija.
- Pakalpojums neļauj reģistrēties bērniem, kas jaunāki par 14 gadiem. Ja uzņēmums uzzina, ka bērns, jaunāks par 14 gadiem, ir reģistrējies, tas veiks vecuma pārbaudi, ierobežos konta lietošanu un izdzēsīs personas datus, bet likumā noteiktos datus var uzglabāt noteiktu laiku.
10. pants (Personas datu iznīcināšana)
- Dati, kuru glabāšanas periods ir beidzies vai kuru apstrādes mērķis ir sasniegts, tiek iznīcināti nekavējoties.
- Likuma prasībām uzglabājamie dati tiek turēti atsevišķi, lai tie netiktu izmantoti citām vajadzībām, un pēc noteikta perioda tiek iznīcināti.
- Elektroniskā formāta personas dati tiek dzēsti vai anonimizēti tādā veidā, kas neļauj atjaunot vai atjaunot tos.
11. pants (Drošības pasākumi)
- Administratīvie pasākumi: piekļuves tiesības uz personas datiem tiek ierobežotas uz nepieciešamo personu loku, un tiek pārvaldīti darba procesi un aizsardzības standarti.
- Tehniskie pasākumi: piekļuves tiesību pārvaldība, autentifikācija un piekļuves kontrole, TLS šifrēšana pārsūtīšanas posmā, svarīgu datu atsevišķa uzglabāšana un drošības ievainojamību pārbaudes.
- Fiziskie pasākumi: tiek piemērota mākoņa un datu centra pakalpojumu sniedzēju fiziskā drošība un piekļuves kontrole.
- Incidentu reaģēšanas pasākumi: drošības incidentu noteikšana, žurnālu pārbaude, rezerves kopiju veidošana/atjaunošana un incidentu novērtēšanas/reaģēšanas procedūras.
12. pants (Personas datu aizsardzības atbildīgais un tiesību īstenošanas pieņemšana)
Personas datu aizsardzības atbildīgais: Jo Chang-hyun (pārstāvis)
E-pasts: support@sheetmusic.kr
Tālrunis: 070-4617-6352
13. pants (Tiesību pārkāpumu risināšana)
- Personas datu pārkāpumu ziņošanas centrs: 118, privacy.kisa.or.kr
- Personas datu strīdu izlīguma komiteja: 1833-6972, www.kopico.go.kr
- Prokuratura: 1301, www.spo.go.kr
- Policija: 182, ecrm.police.go.kr
14. pants (Apstrādes politikas izmaiņas)
Ja apstrādes politika tiek mainīta, izmaiņu datumu un būtiskākos punktus publicē pakalpojumā un politikas izmaiņu vēsturē. Izmaiņas, kas būtiski ietekmē datu subjekta tiesības vai pienākumus, tiek paziņotas atsevišķi saskaņā ar likumā noteikto vai saprātīgu termiņu pirms to stāšanās spēkā.
Papildu noteikumi
Šī personas datu apstrādes politika stājas spēkā no 2026. gada 20. jūlija.