Privacybeleid
Gonggamgak (hierna ‘het bedrijf’) stelt, overeenkomstig artikel 30 van de “Wet Bescherming Persoonsgegevens”, een privacybeleid op en maakt dit openbaar om de persoonsgegevens van de betrokkene te beschermen en om klachten over de verwerking van persoonsgegevens snel en soepel af te handelen.
Artikel 1 (Doeleinden van de verwerking van persoonsgegevens)
- Lidmaatschap en accountbeheer: identificatie van de gebruiker, koppeling van sociale login, leeftijdsverificatie, sessiebeheer, preventie van misbruik
- Dienstverlening: zoeken, preview, aankoop, weergave en download van bladmuziek, audio afspelen, bibliotheek, groepen, maatwerkbestellingen en klantenondersteuning
- Contracten en betalingen: bestellingen, betalingen, credits, lidmaatschappen, terugbetalingen, facturen en autorisatiebeheer
- AI-functies: verwerking van invoer‑ en bijlagebestanden op basis van toestemming van de gebruiker, generatie van resultaten, veiligheidscontroles, beheer van gebruikslimieten en logs
- Verbetering en analyse van de dienst: gebruiksstatistieken, dienstgebruikspatronen, fout‑ en prestatieanalyse, gebaseerd op toestemming van de gebruiker
- Wettelijke verplichtingen en veiligheid: naleving van wetgeving, reactie op beveiligingsincidenten, geschillenafhandeling, preventie van inbreuk op rechten en misbruik
- Marketing: alleen wanneer afzonderlijke toestemming is verkregen, verstrekking van evenementen‑ en reclame‑informatie
Artikel 2 (Verwerkte persoonsgegevens en verzamelmethoden)
| Categorie | Verwerkte gegevens | Verzamelmethode |
|---|---|---|
| Sociale registratie en login | Naam of bijnaam, e‑mail, profielfoto, provider‑specifieke identifier van OAuth‑provider | Google, Kakao, Naver, Apple of Meta OAuth |
| Door beheerder uitgegeven inloggegevens | Gebruikersnaam, eenrichtings‑hash van wachtwoord | Alleen uitgegeven en verwerkt bij goedgekeurde accounts van het bedrijf |
| Registratie en accountinstellingen | Voorkeurstaal, bevestiging van leeftijd ≥ 14 jaar en tijdstip van bevestiging, historie van akkoord en intrekking van voorwaarden, privacy‑ en AI‑verwerking | Invoer van de gebruiker en service‑logboeken |
| Bestelling en betaling | Bestelnummer, product, bedrag, valuta, land, type betaalmethode, status van betaling/annulering/terugbetaling, credit‑ en lidmaatschapsgegevens | Betalings‑ en aankoopproces en respons van betalingsgateway |
| Dienstgebruik | Aankoop‑, weergave‑, download‑, groeps‑, maatwerk‑ en contactlogboeken, zoek‑ en UI‑interacties, fout‑ en beveiligingslogboeken | Gegenereerd tijdens gebruik van de dienst |
| AI en productietools | Prompt, dialoog, geüploade afbeeldingen/bestanden, gegenereerde resultaten, model‑, gebruiks‑ en veiligheidslogboeken | Invoer of generatie wanneer de gebruiker de functie gebruikt |
| Technische‑ en analyse‑informatie | IP‑adres, user‑agent, cookie‑/sessie‑identificatoren, willekeurig gegenereerde analyse‑identificatoren, interne analyse‑identificatoren van ingelogde gebruikers, paginapad, dienst‑gebeurtenissen, taalinstelling, toegangstijd | Automatisch verzameld tijdens web‑/app‑gebruik |
Artikel 3 (Bewaar- en verwerkingsperiode)
Het bedrijf vernietigt persoonsgegevens zonder onnodige vertraging zodra het doel van de verwerking is bereikt. Bepaalde gegevens kunnen echter afzonderlijk worden bewaard voor de periode die nodig is om wettelijke verplichtingen, geschillen of misbruikpreventie te vervullen.
| Informatie | Bewaarcriteria |
|---|---|
| Lidmaatschapsaccount en profiel | Tot het moment van definitieve accountverwijdering. Na voltooiing van de verwijdering worden login‑sessies en toegang tot de dienst onmiddellijk beëindigd; informatie die volgens wet moet worden bewaard, wordt gedurende de wettelijke bewaartermijn apart bewaard |
| Contract‑, intrekkings‑, betalings‑ en leveringsrecords | 5 jaar volgens de Wet Elektronische Handel |
| Consumentenklachten‑ of geschillenrecords | 3 jaar volgens de Wet Elektronische Handel |
| Advertentie‑ en marketingrecords | 6 maanden volgens de Wet Elektronische Handel |
| Toegangslogboeken | 3 maanden indien vereist door de Wet Bescherming van Communicatiegeheimen of andere relevante wetgeving |
| Actieve login‑sessies | Tot het moment van expiratie, uitloggen of accountverwijdering |
| AI‑profielen, posters en opslaggeschiedenis van Vision‑tools | 90 dagen vanaf creatiedatum of tot de gebruiker deze zelf verwijdert |
| Export‑bestand van persoonsgegevens | 24 uur na generatie |
| Toestemmings‑, intrekkings‑ en beveiligings‑/auditlogs | Voor de periode die nodig is voor wettelijke verplichtingen en reactie op geschillen of misbruik |
Momenteel leidt accountverwijdering tot onmiddellijke beëindiging van de toegang tot de dienst en actieve sessies. Transactie‑, toestemmings‑ en auditlogs kunnen beperkt bewaard blijven voor wettelijke en geschillen‑doeleinden; fysieke verwijdering of anonimisatie van account‑ en profielgegevens gebeurt volgens een apart gegevenslevenscyclus‑beleid. Gebruikers kunnen via het menu ‘Persoonsgegevens en Data’ van hun account inzage, export of verwijdering aanvragen.
Artikel 4 (Doorstrekking van persoonsgegevens aan derden)
Het bedrijf verstrekt persoonsgegevens in principe niet aan derden. Alleen wanneer de betrokkene afzonderlijk toestemming heeft gegeven of wanneer een wettelijke grondslag bestaat, worden gegevens binnen de noodzakelijke reikwijdte verstrekt. Verwerking door externe dienstverleners voor betalingen, hosting, authenticatie, e‑mail, analyse en AI‑functies kan onder verwerkingsovereenkomsten, doorstrekking aan derden of overdracht naar het buitenland vallen, afhankelijk van de feitelijke contracten en verwerkingsdoeleinden; de specifieke details worden in de volgende artikelen en gerelateerde items toegelicht.
Artikel 5 (Verwerking via externe dienstverleners)
| Externe dienstverlener | Gerelateerde werkzaamheden |
|---|---|
| Toss Payments Co., Ltd. | Binnenlandse betalingsautorisatie, afrekening, annulering, terugbetaling en preventie van frauduleuze transacties |
| PayPal, Inc. | Autorisatie, afrekening, annulering, terugbetaling en preventie van frauduleuze transacties voor ondersteunde buitenlandse betalingen |
| Cloudflare, Inc. | CDN‑ en web‑verkeerlevering‑ en beveiliging, uitvoering van Workers‑applicaties, R2‑objectopslag, op toestemming gebaseerde web‑gebruikstatistieken, AI‑Gateway‑routering en Workers‑AI‑verwerking |
| Neon, Inc. | Hosting van PostgreSQL‑databases |
| Google LLC | Authenticatie van Google‑accountlogin en accountkoppeling |
| Google LLC | Analyse van gebruiksstatistieken via Google Analytics 4 op basis van toestemming van de gebruiker |
| Google LLC | Verwerking van invoer en resultaten voor door de gebruiker gekozen Gemini‑gebaseerde AI‑functies |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Authenticatie en accountkoppeling via door de gebruiker gekozen sociale logins |
| Anthropic PBC | Verwerking van door de gebruiker gekozen Claude‑AI‑functies |
| OpenAI, L.L.C. | Verwerking van door de gebruiker gekozen OpenAI‑AI‑functies |
| Resend, Inc. | Verzending van transacties‑, account‑ en service‑e‑mails |
Artikel 6 (Overdracht van persoonsgegevens naar het buitenland)
Het bedrijf kan tijdens het gebruik van de dienst de onderstaande persoonsgegevens naar het buitenland overdragen en opslaan. Wanneer de gebruiker de betreffende functie gebruikt of wanneer verwerking nodig is voor contractuitvoering, vindt de overdracht plaats via een TLS‑versleuteld netwerk. De wettelijke grondslag voor elke overdracht is gebaseerd op toestemming, contractuele uitvoering of verwerkingsovereenkomst volgens artikel 28‑8 van de Wet Bescherming Persoonsgegevens en andere relevante wetgeving.
| Ontvanger / contact | Land/regio | Overgedragen gegevens | Doel van overdracht | Tijdstip / methode | Wettelijke grondslag | Bewaar‑/gebruikstermijn | Weigering en gevolgen |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | Verenigde Staten en wereldwijde Cloudflare‑netwerkregio’s; locatie van verwerking en opslag kan variëren per product, accountinstelling en verzoekroute | Account‑ en service‑logboeken, IP‑, apparaat‑ en analyse‑informatie, objectbestanden, door de gebruiker ingevoerde AI‑gegevens | Hosting, beveiliging, opslag, op toestemming gebaseerde analyse, AI‑routering | Doorlopend tijdens gebruik van de dienst, TLS‑overdracht | Contractuitvoering en verwerkingsovereenkomst | Volgens binnenlandse bewaartermijnen per item of volgens contract‑/productinstellingen | Selectieve analyse‑ en AI‑functies kunnen worden geweigerd door toestemming in te trekken, maar essentiële hosting weigeren maakt dienstverlening moeilijk |
| Neon, Inc. (privacy@neon.tech) | Singapore (AWS ap‑southeast‑1) | Lidmaatschaps‑, transactie‑, toestemmings‑ en service‑gebruiklogboeken | Opslag in PostgreSQL‑database | Doorlopend tijdens gebruik van de dienst, TLS‑overdracht | Contractuitvoering en verwerkingsovereenkomst | Volgens binnenlandse bewaartermijnen per item of tot beëindiging van de verwerkingsovereenkomst | Weigering van essentiële opslag maakt account‑gebaseerde dienstverlening moeilijk |
| Google LLC (googlekrsupport@google.com) | Verenigde Staten en andere Google‑verwerkingslocaties | OAuth‑identificatie‑informatie, analyse‑identificatoren‑/‑events, of AI‑invoer‑/‑bijlage‑/‑output | OAuth‑authenticatie, op toestemming gebaseerde GA4‑analyse, gekozen Gemini‑functies | TLS‑overdracht bij gebruik van de functie | Toestemming per functie of contractuitvoering | Voor de periode die nodig is voor authenticatie, analyse en functie‑levering volgens Google‑beleid | Gebruiker kan elke gekozen functie uitschakelen of toestemming intrekken; de betreffende functie wordt dan beperkt |
| Apple Inc., Meta Platforms, Inc. | Verenigde Staten en andere verwerkingslocaties van de providers | Provider‑identificatoren, naam, e‑mail, profielinformatie | Gekozen OAuth‑authenticatie en accountkoppeling | TLS‑overdracht bij login/koppeling | Contractuitvoering | Tot ontkoppeling, accountverwijdering of volgens provider‑beleid | Gebruiker kan de login‑methode niet kiezen; zonder deze authenticatie is de dienst niet beschikbaar |
| PayPal, Inc. (privacy@paypal.com) | Verenigde Staten en andere PayPal‑verwerkingslocaties | Betaler‑identificatie‑informatie, bestelnummer, bedrag, valuta, status van betaling/annulering/terugbetaling | Verwerking van door de gebruiker gekozen buitenlandse betalingen | TLS‑overdracht bij betalingsverzoek | Contractuitvoering | Volgens de bewaartermijnen van de Wet Elektronische Handel en PayPal‑beleid | Gebruiker kan buitenlandse betalingen weigeren; de betreffende betaalmethode is dan niet beschikbaar |
| Anthropic PBC (privacy@anthropic.com) | Verenigde Staten | AI‑invoer‑/‑output‑ en veiligheidsverwerkingsinformatie | Verwerking van door de gebruiker gekozen Claude‑functies | TLS‑overdracht bij gebruik van de functie | Selectieve AI‑verwerkingstoestemming | Voor de periode die nodig is voor functie‑levering volgens Anthropic‑contract en -beleid | Gebruiker kan AI‑functie niet gebruiken of toestemming intrekken; de functie wordt dan beperkt |
| OpenAI, L.L.C. (privacy@openai.com) | Verenigde Staten | AI‑invoer‑/‑output‑ en veiligheidsverwerkingsinformatie | Verwerking van door de gebruiker gekozen OpenAI‑functies | TLS‑overdracht bij gebruik van de functie | Selectieve AI‑verwerkingstoestemming | Voor de periode die nodig is voor functie‑levering volgens OpenAI‑contract en -beleid | Gebruiker kan AI‑functie niet gebruiken of toestemming intrekken; de functie wordt dan beperkt |
| Resend, Inc. (privacy@resend.com) | Verenigde Staten | Ontvangen e‑mail, naam, bericht‑ en verzendlogboeken | Verzending van transacties‑, account‑ en service‑e‑mails | TLS‑overdracht bij verzending | Contractuitvoering en verwerkingsovereenkomst | Voor de periode die nodig is voor verzending en incident‑respons volgens Resend‑contract en -beleid | Weigering van essentiële e‑mailverzending kan de levering van gerelateerde diensten bemoeilijken |
Gebruikers kunnen selectieve AI‑functies, selectieve analyse of buitenlandse betalingen weigeren of toestemming intrekken om de betreffende buitenlandse overdracht te blokkeren. Het weigeren van noodzakelijke processen zoals login‑authenticatie, hosting, database of essentiële e‑mailverzending kan de beschikbaarheid van de dienst of functies belemmeren. Vragen en verzoeken tot accountverwijdering kunnen worden ingediend via het menu ‘Persoonsgegevens en Data’ of via support@sheetmusic.kr.
Artikel 7 (Verwerking van persoonsgegevens in AI‑functies)
- AI‑functies verwerken door de gebruiker ingevoerde tekst, afbeeldingen en bestanden, evenals gegenereerde resultaten, voor het leveren van de functie, veiligheidscontroles, foutafhandeling en beheer van gebruikslimieten.
- Gebruikers mogen geen gevoelige informatie, zoals residentiële registratienummers of andere unieke identificatoren volgens de Koreaanse Wet Bescherming Persoonsgegevens, of persoonsgegevens van derden zonder wettelijke toestemming invoeren in AI‑functies.
- De dienst gebruikt de AI‑invoer‑ en output van de gebruiker niet als trainingsdata voor algemene modellen. Het bedrijf maakt gebruik van API’s van externe AI‑providers of bedrijfsinstellingen; wanneer ondersteund, wordt de configuratie zo ingesteld dat invoer en output niet worden gebruikt voor training van de algemene modellen van de provider. Bewaartermijnen en veiligheidscontroles variëren per provider en contractuele voorwaarden.
- Toestemming voor AI‑verwerking kan te allen tijde worden ingetrokken via ‘Persoonsgegevens en Data’ in het account. Intrekking heeft geen invloed op de rechtmatigheid van de verwerking vóór intrekking, maar beperkt daarna de AI‑functies.
- Ongepaste AI‑resultaten of klachten over persoonsgegevens kunnen worden gemeld aan support@sheetmusic.kr.
Artikel 8 (Gedragsinformatie, cookies en lokale opslag)
- De dienst maakt gebruik van cookies en browser‑lokale‑ en sessie‑opslag om login, beveiliging, taalinstelling, winkelwagen en functietoestand te behouden.
- Google Analytics 4 kan, mits toestemming van de gebruiker, willekeurig gegenereerde analyse‑identificatoren, interne analyse‑identificatoren van ingelogde gebruikers, paginapaden, dienst‑gebeurtenissen, taalinstelling, apparaat‑/browser‑informatie en toegangstijd verwerken.
- Cloudflare Web Analytics en prestatie‑analysefuncties kunnen pagina‑verzoeken, apparaat‑/browser‑ en netwerkgerelateerde informatie verwerken; de exacte identificatiemethoden en bewaaromvang hangen af van de productinstellingen.
- Analyse‑toestemming kan worden geweigerd of ingetrokken via de banner of via ‘Persoonsgegevens en Data’ in het account. Weigering heeft geen invloed op de kernfunctionaliteit van de dienst.
- Gebruikers kunnen cookies blokkeren via browserinstellingen, maar het blokkeren van essentiële cookies kan login, betalingen en andere functies verhinderen.
Artikel 9 (Rechten van de betrokkene en wettelijke vertegenwoordiger)
- De betrokkene kan, binnen de grenzen van de toepasselijke wetgeving, inzage, correctie, verwijdering, stopzetting van verwerking en intrekking van toestemming van zijn persoonsgegevens verzoeken. Daarnaast kan de betrokkene via de export‑functie van het bedrijf een kopie van zijn persoonsgegevens ontvangen.
- Verzoeken kunnen worden ingediend via ‘Persoonsgegevens en Data’ in het account, per e‑mail of telefonisch; het bedrijf verifieert de identiteit van de aanvrager of diens gerechtigde vertegenwoordiger en handelt volgens de wetgeving.
- Wanneer wettelijke bewaarplichten bestaan of wanneer het verzoek de rechten van derden kan schaden, kan een verzoek gedeeltelijk worden geweigerd; de reden wordt meegedeeld.
- De dienst staat registratie van kinderen onder de 14 jaar niet toe. Indien het bedrijf ontdekt dat een kind onder de 14 jaar een account heeft aangemaakt, worden leeftijdsverificatie, beperking van accountgebruik en verwijdering van persoonsgegevens uitgevoerd. Informatie die volgens wet moet worden bewaard, kan gedurende de wettelijke termijn apart worden bewaard.
Artikel 10 (Vernietiging van persoonsgegevens)
- Gegevens die de bewaartermijn hebben overschreden of waarvoor het verwerkingsdoel is bereikt, worden zonder onnodige vertraging vernietigd.
- Wettelijk te bewaren gegevens worden apart bewaard met beperkte toegang en vernietigd na afloop van de bewaartermijn.
- Elektronische persoonsgegevens worden op een veilige manier verwijderd of geanonimiseerd zodat herstel of reconstructie praktisch onmogelijk is.
Artikel 11 (Beveiligingsmaatregelen)
- Organisatorische maatregelen: toegang tot persoonsgegevens wordt beperkt tot noodzakelijke personen; procedures en beschermingsnormen worden beheerd.
- Technische maatregelen: beheer van toegangsrechten, authenticatie en toegangscontrole, TLS‑versleuteling tijdens transmissie, scheiding en beveiligde opslag van kritieke gegevens, en periodieke kwetsbaarheidscontroles.
- Fysieke maatregelen: fysieke beveiliging en toegangscontrole van de cloud‑ en datacenters die door het bedrijf worden gebruikt.
- Incidentrespons: detectie van beveiligingsincidenten, log‑monitoring, back‑up‑ en herstelprocessen, en procedures voor evaluatie en respons op incidenten.
Artikel 12 (Verantwoordelijke voor privacy en ontvangst van verzoeken)
Verantwoordelijke voor privacy: Jo Chang‑hyun (CEO)
E‑mail: support@sheetmusic.kr
Telefoon: 070-4617-6352
Artikel 13 (Rechtsmiddelen bij inbreuk op rechten)
- Privacy‑schade meldcentrum: 118, privacy.kisa.or.kr
- Commissie voor geschillen over persoonsgegevens: 1833-6972, www.kopico.go.kr
- Hooggerechtshof: 1301, www.spo.go.kr
- Politie: 182, ecrm.police.go.kr
Artikel 14 (Wijziging van het privacybeleid)
Wanneer het privacybeleid wordt gewijzigd, worden de ingangsdatum en de belangrijkste wijzigingen openbaar gemaakt in de dienst en in de beleidsgeschiedenis. Wijzigingen die een wezenlijke impact hebben op de rechten of verplichtingen van de betrokkene worden tijdig, volgens de wettelijke termijnen of een redelijke termijn, afzonderlijk gecommuniceerd.
Aanvullende bepalingen
Dit privacybeleid treedt in werking op 20 juli 2026.