Polityka ochrony danych osobowych
Gonggamgak (dalej „Firma”) zgodnie z art. 30 ustawy o ochronie danych osobowych chroni dane osobowe podmiotu danych oraz ustanawia i publikuje niniejszą politykę ochrony danych osobowych, aby umożliwić szybkie i sprawne rozpatrywanie skarg związanych z przetwarzaniem danych osobowych.
Artykuł 1 (Cel przetwarzania danych osobowych)
- Rejestracja i zarządzanie kontem: identyfikacja użytkownika, połączenie logowania społecznościowego, weryfikacja wieku, zarządzanie sesją, zapobieganie nadużyciom
- Świadczenie usług: wyszukiwanie, podgląd, zakup, przeglądanie i pobieranie nut, odtwarzanie audio, biblioteka, grupy, zamówienia personalizowane oraz wsparcie klienta
- Umowy i płatności: zamówienia, płatności, kredyty, członkostwo, zwroty, faktury oraz zarządzanie uprawnieniami
- Funkcje AI: przetwarzanie wprowadzonych danych i załączników za zgodą użytkownika, generowanie wyników, kontrola bezpieczeństwa, zarządzanie limitami i rejestracją
- Ulepszanie i analiza usług: statystyki użytkowania, przepływ korzystania z usług, analiza błędów i wydajności, pod warunkiem zgody użytkownika
- Obowiązki prawne i bezpieczeństwo: zgodność z przepisami, reagowanie na incydenty bezpieczeństwa, rozstrzyganie sporów, zapobieganie naruszeniom praw i nadużyciom
- Marketing: dostarczanie informacji o wydarzeniach i reklamach wyłącznie po uzyskaniu odrębnej zgody
Artykuł 2 (Kategorie przetwarzanych danych osobowych i sposoby ich zbierania)
| Kategoria | Elementy danych | Sposób zbierania |
|---|---|---|
| Rejestracja i logowanie społecznościowe | Imię lub pseudonim, e‑mail, obraz profilowy, identyfikator dostawcy OAuth | Google, Kakao, Naver, Apple lub Meta OAuth |
| Poświadczenia wydawane przez administratora | Nazwa użytkownika, jednokierunkowy hash hasła | Wydawane i przetwarzane wyłącznie przy logowaniu na zatwierdzonych kontach Firmy |
| Ustawienia konta | Preferowany język, potwierdzenie wieku 14 lat i data weryfikacji, historia zgód i wycofań dotyczących warunków, prywatności i przetwarzania AI | Wprowadzane przez użytkownika oraz zapisy w usługach |
| Zamówienia i płatności | Numer zamówienia, produkt, kwota, waluta, kraj, typ metody płatności, status płatności/ anulacji/ zwrotu, historia kredytów i członkostwa | Proces płatności i odpowiedzi dostawcy usług płatniczych (PG) |
| Korzystanie z usług | Rekordy zakupów, przeglądania, pobierania, grup, zamówień personalizowanych, zapytań, wyszukiwań, interakcji UI, błędów i zdarzeń bezpieczeństwa | Generowane w trakcie korzystania z usług |
| AI i narzędzia produkcyjne | Prompt, rozmowy, przesłane obrazy/ pliki, wyniki generacji, model, zużycie, zapisy bezpieczeństwa | Wprowadzane lub generowane podczas używania funkcji |
| Informacje techniczne i analityczne | Adres IP, user‑agent, identyfikatory cookie i sesji, losowo generowane identyfikatory analityczne, wewnętrzne identyfikatory analityczne zalogowanego użytkownika, ścieżka strony, zdarzenia usług, ustawienia języka, czas połączenia | Automatycznie zbierane podczas korzystania z witryny lub aplikacji |
Artykuł 3 (Okres przetwarzania i przechowywania)
Firma niezwłocznie usuwa dane osobowe po osiągnięciu celu przetwarzania. Niektóre informacje mogą być jednak przechowywane osobno przez okres niezbędny do spełnienia obowiązków prawnych, rozstrzygania sporów lub zapobiegania nadużyciom.
| Informacja | Podstawa przechowywania |
|---|---|
| Konto i profil użytkownika | Do momentu całkowitego usunięcia konta. Po zakończeniu sesji i dostępu do usługi, informacje wymagane prawem są przechowywane zgodnie z ustawowymi terminami |
| Umowy, odstąpienie od umowy, płatności i dostawy | 5 lat zgodnie z ustawą o handlu elektronicznym |
| Rekordy reklamacji i rozstrzygania sporów konsumenckich | 3 lata zgodnie z ustawą o handlu elektronicznym |
| Rekordy wyświetleń i reklam | 6 miesięcy zgodnie z ustawą o handlu elektronicznym |
| Logi dostępu | 3 miesiące, jeśli wymagane przez ustawę o ochronie tajemnicy komunikacji i inne przepisy |
| Aktywne sesje logowania | Do wygaśnięcia lub wylogowania/ usunięcia konta |
| Historia zapisów profilu AI, plakatów i narzędzia Vision | 90 dni od daty utworzenia lub do momentu ręcznego usunięcia przez użytkownika |
| Plik eksportu danych osobowych | 24 godziny po wygenerowaniu |
| Rekordy zgód, wycofań oraz audytów bezpieczeństwa | Okres niezbędny do spełnienia obowiązków prawnych oraz rozstrzygania sporów i nadużyć |
Obecnie usunięcie konta natychmiast kończy dostęp do usługi i aktywne sesje. Rekordy transakcji, zgód i audytów mogą pozostać ograniczenie zgodnie z przepisami i potrzebami rozstrzygania sporów; fizyczne usunięcie lub anonimizacja konta i profilu odbywa się zgodnie z odrębną polityką cyklu życia danych. Użytkownik może w menu „Dane osobowe i dane” przeglądać, eksportować i żądać usunięcia swoich danych.
Artykuł 4 (Udostępnianie danych osobowych podmiotom trzecim)
Firma zasadniczo nie udostępnia danych osobowych podmiotom trzecim. Udostępnienie następuje wyłącznie w zakresie niezbędnym przy uzyskanej odrębnej zgodzie podmiotu danych lub gdy istnieje szczególna podstawa prawna. Przetwarzanie przez zewnętrznych dostawców w zakresie płatności, hostingu, uwierzytelniania, e‑maili, analiz i funkcji AI może podlegać powierzeniu przetwarzania, udostępnieniu podmiotom trzecim lub przekazaniu poza granice kraju, zgodnie z rzeczywistymi umowami i celami przetwarzania; szczegóły podane są w kolejnych artykułach.
Artykuł 5 (Przetwarzanie przez podmioty zewnętrzne)
| Podmiot zewnętrzny | Zakres usług |
|---|---|
| Toss Payments Co., Ltd. | Krajowe autoryzacje płatności, rozliczenia, anulacje, zwroty oraz zapobieganie oszustwom |
| PayPal, Inc. | Autoryzacje, rozliczenia, anulacje, zwroty oraz zapobieganie oszustwom w obsłudze zagranicznych płatności |
| Cloudflare, Inc. | CDN, przekazywanie ruchu webowego, zabezpieczenia, wykonywanie aplikacji Workers, przechowywanie obiektów R2, statystyki oparte na zgodzie, pośrednictwo AI Gateway i przetwarzanie Workers AI |
| Neon, Inc. | Hosting bazy danych PostgreSQL |
| Google LLC | Uwierzytelnianie i połączenie konta Google |
| Google LLC | Analiza statystyk Google Analytics 4 na podstawie zgody użytkownika |
| Google LLC | Przetwarzanie wejść i wyników funkcji AI opartej na Gemini wybranej przez użytkownika |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Uwierzytelnianie i połączenie konta przy użyciu wybranych logowań społecznościowych |
| Anthropic PBC | Przetwarzanie funkcji Claude AI wybranej przez użytkownika |
| OpenAI, L.L.C. | Przetwarzanie funkcji OpenAI AI wybranej przez użytkownika |
| Resend, Inc. | Wysyłanie e‑maili transakcyjnych, kont i usług |
Artykuł 6 (Przekazywanie danych osobowych poza granice kraju)
Firma może przekazywać i przechowywać poniższe dane osobowe poza granicami Korei w trakcie korzystania z usługi. Przekazywanie odbywa się w czasie rzeczywistym przez szyfrowane połączenie TLS, gdy użytkownik korzysta z danej funkcji lub gdy jest to niezbędne do realizacji umowy. Podstawa prawna każdego przekazania opiera się na zgodzie, realizacji umowy lub powierzeniu przetwarzania zgodnie z art. 28‑8 ustawy o ochronie danych osobowych oraz innych właściwych przepisach.
| Odbiorca i kontakt | Kraj/region | Przekazywane dane | Cel przekazania | Moment i metoda | Podstawa prawna | Okres przechowywania i wykorzystania | Sposób odmowy i konsekwencje |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | Stany Zjednoczone i globalne regiony sieci Cloudflare. Lokalizacja przetwarzania i przechowywania zależy od używanego produktu, ustawień konta i ścieżki żądania | Rekordy kont i usług, adresy IP, informacje o urządzeniach i analizie, pliki obiektowe, dane wprowadzone przez użytkownika do AI | Hosting, zabezpieczenia, przechowywanie, analiza oparta na zgodzie, pośrednictwo AI | Częste przekazywanie i przechowywanie w trakcie korzystania z usługi, transmisja TLS | Realizacja umowy i powierzenie przetwarzania | Okres przechowywania określony w krajowych zasadach lub zgodnie z ustawą o ochronie danych | Można odmówić analizy i AI poprzez wycofanie zgody, co ograniczy te funkcje. Odmowa hostingu uniemożliwi świadczenie usługi. |
| Neon, Inc. (privacy@neon.tech) | Singapur (AWS ap-southeast-1) | Dane konta, transakcje, zgody, rekordy korzystania z usługi | Przechowywanie w bazie PostgreSQL | Częste przekazywanie i przechowywanie w trakcie korzystania z usługi, transmisja TLS | Realizacja umowy i powierzenie przetwarzania | Okres przechowywania określony w krajowych zasadach lub do zakończenia umowy powierzenia | Odmowa niezbędnego przechowywania uniemożliwi świadczenie usług opartych na koncie. |
| Google LLC (googlekrsupport@google.com) | Stany Zjednoczone i inne regiony przetwarzania Google | Informacje identyfikacyjne OAuth, identyfikatory i zdarzenia analityczne, dane wejściowe/załączniki/wyjścia AI | Uwierzytelnianie OAuth, analiza GA4 oparta na zgodzie, wybrane funkcje Gemini | Transmisja TLS przy użyciu funkcji | Zgoda na funkcję lub realizacja umowy | Okres niezbędny do świadczenia funkcji oraz zgodnie z polityką Google | Można nie korzystać z wybranej funkcji lub wycofać zgodę – funkcja zostanie ograniczona. |
| Apple Inc., Meta Platforms, Inc. | Stany Zjednoczone i inne regiony przetwarzania dostawców | Identyfikatory dostawcy, imię, e‑mail, informacje profilowe | Uwierzytelnianie OAuth i połączenie konta | Transmisja TLS przy logowaniu i połączeniu | Realizacja umowy | Okres po odłączeniu konta lub zgodnie z polityką dostawcy | Można nie wybierać tego sposobu logowania – nie będzie dostępny. |
| PayPal, Inc. (privacy@paypal.com) | Stany Zjednoczone i inne regiony przetwarzania PayPal | Identyfikatory płatnika, numer zamówienia, kwota, waluta, status płatności/ anulacji/ zwrotu | Obsługa zagranicznych płatności wybranych przez użytkownika | Transmisja TLS przy żądaniu płatności | Realizacja umowy | Okres przechowywania określony w ustawie o handlu elektronicznym oraz polityce PayPal | Można nie wybierać płatności zagranicznej – dana metoda nie będzie dostępna. |
| Anthropic PBC (privacy@anthropic.com) | Stany Zjednoczone | Dane wejściowe/wyjściowe AI oraz informacje o bezpieczeństwie | Przetwarzanie funkcji Claude wybranej przez użytkownika | Transmisja TLS przy użyciu funkcji | Zgoda na przetwarzanie AI | Okres niezbędny do świadczenia funkcji oraz zgodnie z umową i polityką Anthropic | Można nie korzystać z funkcji AI lub wycofać zgodę – funkcja zostanie ograniczona. |
| OpenAI, L.L.C. (privacy@openai.com) | Stany Zjednoczone | Dane wejściowe/wyjściowe AI oraz informacje o bezpieczeństwie | Przetwarzanie funkcji OpenAI wybranej przez użytkownika | Transmisja TLS przy użyciu funkcji | Zgoda na przetwarzanie AI | Okres niezbędny do świadczenia funkcji oraz zgodnie z umową i polityką OpenAI | Można nie korzystać z funkcji AI lub wycofać zgodę – funkcja zostanie ograniczona. |
| Resend, Inc. (privacy@resend.com) | Stany Zjednoczone | Adresy e‑mail odbiorców, imię, treść wiadomości i rekordy wysyłki | Wysyłanie e‑maili transakcyjnych, kont i usług | Transmisja TLS przy wysyłce | Realizacja umowy i powierzenie przetwarzania | Okres niezbędny do obsługi wysyłek i reagowania na awarie oraz zgodnie z umową i polityką Resend | Odmowa przetwarzania niezbędnych e‑maili może utrudnić świadczenie usług. |
Użytkownik może odmówić przekazania zagranicznego, wycofując zgodę na opcjonalne funkcje AI, analizy lub płatności zagraniczne. Odmowa niezbędnych procesów, takich jak uwierzytelnianie, hosting, baza danych lub obowiązkowe e‑maile, może spowodować ograniczenie lub brak dostępności usług. Wnioski o usunięcie konta i zapytania kierować do menu „Dane osobowe i dane” lub na adres support@sheetmusic.kr.
Artykuł 7 (Przetwarzanie danych osobowych w funkcjach AI)
- Funkcje AI przetwarzają tekst, obrazy i pliki wprowadzone przez użytkownika oraz wyniki generacji w celu świadczenia usługi, kontroli bezpieczeństwa, reagowania na błędy i zarządzania limitami.
- Użytkownik nie może wprowadzać wrażliwych danych, takich jak numer PESEL czy inne informacje identyfikujące określone osoby, ani danych osobowych osób trzecich bez ich zgody.
- Usługa nie wykorzystuje wejść i wyjść AI jako danych treningowych własnych modeli. Firma korzysta z API zewnętrznych dostawców AI lub ustawień korporacyjnych; gdy jest to możliwe, konfiguracja zapewnia, że dane nie są wykorzystywane do treningu modeli dostawcy. Okres przechowywania i metody bezpieczeństwa zależą od wybranego modelu i warunków umowy.
- Zgoda na przetwarzanie AI może być wycofana w dowolnym momencie w menu „Dane osobowe i dane”. Wycofanie nie wpływa na legalność przetwarzania przed wycofaniem, ale ogranicza dalsze korzystanie z funkcji AI.
- Nieodpowiednie wyniki AI lub skargi dotyczące danych osobowych można zgłaszać na adres support@sheetmusic.kr.
Artykuł 8 (Informacje o zachowaniu, pliki cookie i pamięć lokalna)
- Usługa używa plików cookie oraz pamięci lokalnej i sesyjnej przeglądarki w celu utrzymania logowania, zabezpieczeń, ustawień języka, koszyka i stanu funkcji.
- Google Analytics 4 może, po uzyskaniu zgody, przetwarzać losowo generowane identyfikatory analityczne, wewnętrzne identyfikatory zalogowanego użytkownika, ścieżki stron, zdarzenia usług, ustawienia języka, informacje o urządzeniu i przeglądarce oraz czas połączenia.
- Cloudflare Web Analytics oraz funkcje analizy wydajności mogą przetwarzać informacje o żądaniach stron, urządzeniach, przeglądarkach i sieci; rzeczywisty sposób identyfikacji i zakres przechowywania zależą od ustawień produktu.
- Zgoda na analizę może być odrzucona lub wycofana w banerze lub w menu „Dane osobowe i dane”. Odmowa nie wpływa na możliwość korzystania z podstawowych funkcji usługi.
- Użytkownik może zablokować pliki cookie w ustawieniach przeglądarki, ale blokowanie niezbędnych plików cookie może uniemożliwić logowanie, płatności i inne kluczowe funkcje.
Artykuł 9 (Prawa podmiotu danych i jego przedstawiciela prawnego)
- Podmiot danych może, w granicach określonych prawem, żądać wglądu, korekty, usunięcia, wstrzymania przetwarzania oraz wycofania zgody. Może także skorzystać z funkcji eksportu danych, aby otrzymać kopię swoich danych osobowych.
- Żądania można składać w menu „Dane osobowe i dane”, e‑mailem lub telefonicznie; firma potwierdzi tożsamość wnioskodawcy lub jego upoważnionego przedstawiciela i rozpatrzy wniosek zgodnie z obowiązującymi przepisami.
- Jeśli istnieje obowiązek prawny przechowywania danych lub istnieje ryzyko naruszenia praw osób trzecich, niektóre żądania mogą być ograniczone; firma poinformuje o przyczynach ograniczenia.
- Usługa nie zezwala na rejestrację osób poniżej 14 lat. Jeśli firma dowie się, że osoba poniżej 14 lat zarejestrowała się jako użytkownik, podejmie weryfikację wieku, ograniczy dostęp do konta i usunie dane osobowe, z wyjątkiem informacji, które muszą być przechowywane zgodnie z przepisami.
Artykuł 10 (Usuwanie danych osobowych)
- Dane, których okres przechowywania upłynął lub które nie są już potrzebne do realizacji celu, są niezwłocznie niszczone.
- Informacje, które muszą być przechowywane ze względu na przepisy, są zabezpieczane przed użyciem w innych celach i usuwane po upływie wymaganego okresu.
- Dane osobowe w formie elektronicznej są usuwane w sposób uniemożliwiający ich odzyskanie lub są anonimizowane.
Artykuł 11 (Środki zapewniające bezpieczeństwo)
- Środki organizacyjne: ograniczenie dostępu do danych osobowych do niezbędnego personelu oraz zarządzanie procedurami i standardami ochrony.
- Środki techniczne: zarządzanie uprawnieniami dostępu, uwierzytelnianie i kontrola dostępu, szyfrowanie TLS w tranzycie, separacja i zabezpieczenie wrażliwych informacji oraz regularne testy podatności.
- Środki fizyczne: zabezpieczenia fizyczne i kontrola dostępu w centrach danych i chmurze wykorzystywanych przez firmę.
- Środki reagowania na incydenty: wykrywanie incydentów bezpieczeństwa, przegląd logów, backup i odzyskiwanie oraz procedury oceny i reakcji na incydenty.
Artykuł 12 (Inspektor ochrony danych osobowych i przyjmowanie zgłoszeń)
Inspektor ochrony danych osobowych: Jo Chang-hyun (prezes)
E‑mail: support@sheetmusic.kr
Telefon: 070-4617-6352
Artykuł 13 (Środki ochrony prawnej)
- Centrum zgłaszania naruszeń danych osobowych: 118, privacy.kisa.or.kr
- Komisja rozstrzygania sporów dotyczących danych osobowych: 1833-6972, www.kopico.go.kr
- Prokuratura Generalna: 1301, www.spo.go.kr
- Policja: 182, ecrm.police.go.kr
Artykuł 14 (Zmiany w polityce przetwarzania)
W przypadku zmiany polityki, data wejścia w życie oraz najważniejsze zmiany będą publikowane w historii zmian usługi i polityki. Zmiany mające istotny wpływ na prawa lub obowiązki podmiotu danych będą ogłaszane z wyprzedzeniem określonym w przepisach lub w rozsądnym terminie.
Postanowienia dodatkowe
Niniejsza polityka ochrony danych osobowych obowiązuje od 20 lipca 2026 r.