Politica de prelucrare a datelor cu caracter personal
Gonggamgak (denumit în continuare „Compania”) stabilește și publică, în conformitate cu articolul 30 din „Legea privind protecția datelor cu caracter personal”, o politică de prelucrare a datelor cu caracter personal pentru a proteja datele cu caracter personal ale subiectului de date și pentru a gestiona rapid și eficient plângerile legate de prelucrarea datelor cu caracter personal.
Articolul 1 (Scopul prelucrării datelor cu caracter personal)
- Înregistrare membru și gestionare cont: identificarea utilizatorului, conectarea la login social, verificarea vârstei, gestionarea sesiunii, prevenirea utilizării frauduloase
- Furnizarea serviciului: căutare partitură, previzualizare, achiziție, vizualizare, descărcare, redare audio, bibliotecă, grup, comenzi personalizate și suport clienți
- Contract și plată: comandă, plată, credite, abonament, rambursare, facturi și gestionarea autorizațiilor
- Funcții AI: prelucrarea intrărilor și fișierelor atașate în conformitate cu consimțământul utilizatorului, generarea rezultatelor, verificarea siguranței, gestionarea limitelor de utilizare și a înregistrărilor
- Îmbunătățirea și analiza serviciului: statistici de utilizare, fluxuri de utilizare a serviciului, analiză de erori și performanță, toate bazate pe consimțământul utilizatorului
- Obligații legale și siguranță: respectarea legilor, răspuns la incidente de securitate, gestionarea disputelor, prevenirea încălcărilor de drepturi și a utilizării frauduloase
- Marketing: furnizarea de informații despre evenimente și publicitate numai cu consimțământ separat
Articolul 2 (Categorii de date cu caracter personal prelucrate și metode de colectare)
| Categorie | Elemente prelucrate | Metodă de colectare |
|---|---|---|
| Înregistrare și login social | Nume sau poreclă, e‑mail, imagine de profil, identificator furnizor OAuth și identificator specific furnizorului | Google, Kakao, Naver, Apple sau Meta OAuth |
| Credențiale emise de administrator | Nume utilizator, valoare hash unidirecțională a parolei | Emise și prelucrate doar pentru conturi aprobate de companie la autentificare |
| Înregistrare și setări cont | Limba preferată, confirmarea vârstei de peste 14 ani și data confirmării, istoric consimțăminte pentru termeni, date personale și procesare AI și retrageri ale acestora | Introducere de către utilizator și înregistrări de serviciu |
| Comandă și plată | Număr comandă, produs, sumă, monedă, țară, tip metodă plată, stare plată/anulare/rambursare, detalii credite și abonament | Procesul de plată/achiziție și răspunsul PG |
| Utilizarea serviciului | Înregistrări de achiziție, vizualizare, descărcare, grup, comandă personalizată, solicitări, căutări, interacțiuni UI, erori și înregistrări de securitate | Generate în timpul utilizării serviciului |
| AI și instrumente de creație | Prompturi, conversații, imagini/fișiere încărcate, rezultate generate, modele, utilizare, înregistrări de procesare de siguranță | Introduse sau generate când utilizatorul folosește funcția |
| Informații tehnice și de analiză | Adresă IP, agent utilizator, identificatori cookie și sesiune, identificatori de analiză generați aleatoriu, identificatori interni de analiză pentru utilizatorii autentificați, traseu pagină, evenimente de utilizare a serviciului, setare limbă, timp acces | Colectate automat în timpul utilizării web/app |
Articolul 3 (Perioada de prelucrare și păstrare)
Compania distruge datele cu caracter personal fără întârziere odată ce scopul prelucrării a fost atins. Totuși, informațiile enumerate mai jos pot fi păstrate separat pentru perioada necesară îndeplinirii obligațiilor legale, gestionării disputelor sau prevenirii utilizării frauduloase.
| Informație | Criteriu de păstrare |
|---|---|
| Cont și profil membru | Până la finalizarea ștergerii contului. După finalizarea ștergerii, sesiunea de login și accesul la serviciu sunt închise imediat, iar informațiile care trebuie păstrate conform legii sunt reținute pentru perioada legală de păstrare |
| Înregistrări de contract, retragere din ofertă, plată și livrare | 5 ani conform Legii comerțului electronic |
| Înregistrări de reclamații consumatori sau gestionare dispute | 3 ani conform Legii comerțului electronic |
| Înregistrări de afișare și publicitate | 6 luni conform Legii comerțului electronic |
| Înregistrări de acces | 3 luni dacă este necesar conform Legii protecției confidențialității comunicațiilor și altor legi aplicabile |
| Sesiune de login activă | Până la expirare sau logout/ștergere cont |
| Istoric salvare profil AI, poster, instrument Vision | 90 de zile de la data generării sau până la ștergerea de către utilizator |
| Fișier de export al datelor personale | 24 de ore de la generare |
| Înregistrări de consimțământ, retragere și securitate/audit | Pentru perioada necesară îndeplinirii obligațiilor legale și gestionării disputelor sau utilizării frauduloase |
În prezent, ștergerea contului închide imediat accesul la serviciu și sesiunea activă. Înregistrările de tranzacții, consimțăminte și audit pot rămâne limitat în conformitate cu legile aplicabile și scopul de gestionare a disputelor; procedurile de ștergere fizică și anonimizare a contului și profilului sunt gestionate conform unei politici separate de ciclu de viață a datelor. Utilizatorul poate solicita vizualizarea, exportul și ștergerea din meniul „Date personale și date” al contului.
Articolul 4 (Furnizarea datelor cu caracter personal către terți)
Compania, în principiu, nu furnizează datele cu caracter personal ale utilizatorului către terți. Furnizarea are loc doar în limita necesară, cu consimțământul separat al subiectului de date sau când există o bază legală specifică. Prelucrarea de către furnizori externi legată de plată, găzduire, autentificare, e‑mail, analiză și funcții AI poate fi încadrată ca delegare de prelucrare, furnizare către terți sau transfer internațional, în funcție de contract și scopul prelucrării; detalii specifice sunt prezentate în articolele următoare.
Articolul 5 (Prelucrarea prin furnizori externi)
| Furnizor extern | Activitate relevantă |
|---|---|
| Toss Payments Co., Ltd. | Aprobarea, decontarea, anularea, rambursarea și prevenirea tranzacțiilor frauduloase în Coreea |
| PayPal, Inc. | Aprobarea, decontarea, anularea, rambursarea și prevenirea tranzacțiilor frauduloase pentru plăți internaționale suportate |
| Cloudflare, Inc. | CDN, transmitere trafic web, securitate, execuție aplicații Workers, stocare obiecte R2, statistici web bazate pe consimțământ, intermediere AI Gateway și procesare Workers AI |
| Neon, Inc. | Găzduire bază de date PostgreSQL |
| Google LLC | Autentificare cont Google și conectare cont |
| Google LLC | Analiză statistici utilizare prin Google Analytics 4 în baza consimțământului utilizatorului |
| Google LLC | Prelucrarea intrărilor și rezultatelor pentru funcțiile AI bazate pe Gemini selectate de utilizator |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Autentificare și conectare cont prin login social selectat de utilizator |
| Anthropic PBC | Prelucrarea funcției Claude AI selectate de utilizator |
| OpenAI, L.L.C. | Prelucrarea funcției OpenAI AI selectate de utilizator |
| Resend, Inc. | Trimitere e‑mail tranzacție, cont și servicii |
Articolul 6 (Transferul internațional al datelor cu caracter personal)
Compania poate transfera și stoca în străinătate datele cu caracter personal enumerate mai jos în timpul utilizării serviciului. Transferul are loc în mod continuu prin rețele criptate TLS atunci când utilizatorul folosește funcția respectivă sau când este necesar pentru executarea contractului. Baza legală pentru fiecare transfer se bazează pe consimțământ conform Legii protecției datelor cu caracter personal articolul 28‑8, executarea contractului sau delegarea de prelucrare, în funcție de relația efectivă de prelucrare.
| Destinatar și contact | Țară/Regiune | Elemente transferate | Scopul transferului | Moment și metodă | Bază legală | Perioadă de păstrare/utilizare | Metodă de refuz și impact |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | Statele Unite și regiunile de operare globală ale Cloudflare. Locația de procesare și stocare poate varia în funcție de produs, setări cont și rută de solicitare | Înregistrări cont și serviciu, informații IP, dispozitiv și analiză, fișiere obiect, informații introduse de utilizator în AI | Găzduire, securitate, stocare, analiză bazată pe consimțământ, intermediere AI | Transfer și stocare continuă în timpul utilizării serviciului, transmisie TLS | Executarea contractului și delegarea de prelucrare | Conform perioadelor de păstrare din Coreea pentru fiecare element sau conform duratei contractului/produse setate | Analiza și AI opționale pot fi refuzate prin retragerea consimțământului, însă funcționalitatea respectivă va fi limitată. Refuzul găzduirii esențiale poate face imposibilă furnizarea serviciului |
| Neon, Inc. (privacy@neon.tech) | Singapore (AWS ap-southeast-1) | Înregistrări membru, tranzacție, consimțământ, utilizare serviciu | Stocare bază de date PostgreSQL | Transfer și stocare continuă în timpul utilizării serviciului, transmisie TLS | Executarea contractului și delegarea de prelucrare | Conform perioadelor de păstrare din Coreea pentru fiecare element sau până la încetarea contractului de delegare | Refuzul stocării esențiale poate face imposibilă furnizarea serviciului bazat pe cont |
| Google LLC (googlekrsupport@google.com) | Statele Unite și alte regiuni de procesare Google | Informații de identificare OAuth, identificatori și evenimente de analiză, sau intrări/atașamente/ieșiri AI | Autentificare OAuth, analiză GA4 bazată pe consimțământ, funcție Gemini selectată | Transmitere TLS la utilizarea funcției respective | Consimțământ specific funcției sau executarea contractului | Perioada necesară furnizării funcției și conform politicilor Google | Fiecare funcție poate fi dezactivată sau consimțământul retras, limitând funcționalitatea respectivă |
| Apple Inc., Meta Platforms, Inc. | Statele Unite și alte regiuni de procesare ale furnizorilor | Identificatori furnizor, nume, e‑mail, informații profil | Autentificare OAuth și conectare cont selectate | Transmitere TLS la login și conectare | Executarea contractului | Perioada de deconectare a contului sau conform politicilor furnizorului | Utilizatorul poate alege să nu folosească acest mod de login; în acest caz, autentificarea respectivă nu va fi disponibilă |
| PayPal, Inc. (privacy@paypal.com) | Statele Unite și alte regiuni de procesare PayPal | Informații de identificare plătitor, număr comandă, sumă, monedă, stare plată/anulare/rambursare | Procesarea plății internaționale selectate de utilizator | Transmitere TLS la solicitarea de plată | Executarea contractului | Perioada de păstrare conform Legii comerțului electronic și politicilor PayPal | Utilizatorul poate alege să nu folosească plata internațională; în acest caz, metoda respectivă nu va fi disponibilă |
| Anthropic PBC (privacy@anthropic.com) | Statele Unite | Informații de intrare/ieșire AI și date de procesare a siguranței | Prelucrarea funcției Claude AI selectate | Transmitere TLS la utilizarea funcției | Consimțământ opțional pentru prelucrare AI | Perioada necesară furnizării funcției și conform contractului/politicilor Anthropic | Funcția AI poate fi refuzată sau consimțământul retras, limitând funcționalitatea respectivă |
| OpenAI, L.L.C. (privacy@openai.com) | Statele Unite | Informații de intrare/ieșire AI și date de procesare a siguranței | Prelucrarea funcției OpenAI AI selectate | Transmitere TLS la utilizarea funcției | Consimțământ opțional pentru prelucrare AI | Perioada necesară furnizării funcției și conform contractului/politicilor OpenAI | Funcția AI poate fi refuzată sau consimțământul retras, limitând funcționalitatea respectivă |
| Resend, Inc. (privacy@resend.com) | Statele Unite | E‑mailuri primite, nume, mesaj și înregistrări de trimitere | Trimitere e‑mail tranzacție, cont și servicii | Transmitere TLS la trimitere | Executarea contractului și delegarea de prelucrare | Perioada necesară pentru trimitere și gestionarea incidentelor, conform contractului/politicilor Resend | Refuzul procesării e‑mailurilor esențiale de tranzacție și cont poate face dificilă furnizarea serviciilor conexe |
Utilizatorul poate refuza transferurile internaționale prin neutilizarea funcțiilor AI opționale, a analizelor opționale sau a plăților internaționale și prin retragerea consimțământului aferent. Refuzul procesărilor necesare pentru autentificare, găzduire, bază de date sau trimitere e‑mail esențială poate face dificilă furnizarea serviciului respectiv. Întrebările și cererile de ștergere a contului se pot depune din meniul „Date personale și date” al contului sau la support@sheetmusic.kr.
Articolul 7 (Prelucrarea datelor cu caracter personal în funcțiile AI)
- Funcțiile AI prelucrează textul, imaginile și fișierele încărcate de utilizator, precum și rezultatele generate, în scopul furnizării funcției, verificării siguranței, răspunsului la erori și gestionării limitelor de utilizare.
- Utilizatorul nu trebuie să introducă informații sensibile, cum ar fi numărul de identificare personală coreeană, sau date personale ale altor persoane fără autorizație legală în funcțiile AI.
- Serviciul nu folosește intrările sau ieșirile AI ale utilizatorului ca date de antrenament pentru modele generice. Compania utilizează API‑uri ale furnizorilor AI externi sau setări enterprise și, atunci când este suportat, configurează sistemul astfel încât intrările și ieșirile să nu fie utilizate pentru antrenarea modelelor furnizorului. Perioadele de păstrare și metodele de revizuire a siguranței variază în funcție de modelul ales și de condițiile contractuale.
- Consimțământul pentru prelucrarea AI poate fi retras oricând din secțiunea „Date personale și date” a contului. Retragerea nu afectează legalitatea prelucrărilor efectuate anterior, dar funcțiile AI vor fi limitate ulterior.
- Obiecțiile privind rezultate AI inadecvate sau legate de date personale pot fi raportate la support@sheetmusic.kr.
Articolul 8 (Informații comportamentale și cookie‑uri/ stocare locală)
- Serviciul folosește cookie‑uri și stocare locală/sesiune a browserului pentru a menține loginul, securitatea, setările de limbă, coșul de cumpărături și starea funcțiilor.
- Google Analytics 4 poate procesa, cu consimțământul utilizatorului, identificatori de analiză generați aleatoriu, identificatori interni de analiză pentru utilizatorii autentificați, traseu pagină, evenimente de utilizare a serviciului, setări de limbă, informații despre dispozitiv și browser și momentul accesului.
- Cloudflare Web Analytics și funcțiile de analiză a performanței serviciului pot procesa informații despre cererile de pagină, dispozitiv, browser și rețea; metoda exactă de identificare și perioada de păstrare depind de setările produsului aplicat.
- Consimțământul pentru analiză poate fi refuzat sau retras din banner sau din secțiunea „Date personale și date” a contului. Refuzul nu împiedică utilizarea serviciului de bază.
- Utilizatorii pot bloca cookie‑urile în setările browserului, dar blocarea cookie‑urilor esențiale poate împiedica funcții precum loginul sau plata.
Articolul 9 (Drepturile subiectului de date și ale reprezentantului legal)
- Subiectul de date poate solicita, în limitele prevăzute de lege, acces, rectificare, ștergere, suspendare a prelucrării și retragere a consimțământului pentru datele cu caracter personal. De asemenea, poate obține o copie a datelor personale prin funcția de export furnizată de companie.
- Cererea poate fi făcută din secțiunea „Date personale și date” a contului, prin e‑mail sau telefon; compania va verifica identitatea solicitantului sau a reprezentantului legal și va procesa cererea conform legii.
- Dacă există obligații legale de păstrare sau riscuri de încălcare a drepturilor altor persoane, unele cereri pot fi limitate, iar compania va furniza motivele.
- Serviciul nu permite înregistrarea de membri sub 14 ani. Dacă compania devine conștientă că un minor sub 14 ani s‑a înregistrat, va efectua verificarea vârstei, va restricționa utilizarea contului și va șterge datele personale, cu excepția informațiilor care trebuie păstrate conform legii pentru perioada specificată.
Articolul 10 (Distrugerea datelor cu caracter personal)
- Informațiile care au depășit perioada de păstrare sau ale căror scopuri de prelucrare au fost atinse sunt distruse fără întârziere.
- Informațiile care trebuie păstrate conform legii sunt păstrate în condiții de acces restricționat și distruse la expirarea perioadei de păstrare.
- Fișierele electronice cu date personale sunt șterse sau anonimizate prin metode sigure care împiedică recuperarea sau reconstrucția.
Articolul 11 (Măsuri de asigurare a securității)
- Măsuri administrative: limitarea accesului la datele cu caracter personal la personalul necesar și gestionarea procedurilor și standardelor de protecție.
- Măsuri tehnice: gestionarea drepturilor de acces, autentificare și control acces, criptare TLS în tranzit, separarea și protecția informațiilor sensibile și verificări de vulnerabilitate.
- Măsuri fizice: aplicarea securității fizice și controlului accesului la centrele de date și furnizorii de cloud utilizați de companie.
- Măsuri de răspuns la incidente: detectarea incidentelor de securitate, revizuirea jurnalelor, backup și recuperare, și proceduri de evaluare și răspuns la incidente.
Articolul 12 (Responsabilul pentru protecția datelor cu caracter personal și primirea solicitărilor)
Responsabil cu protecția datelor cu caracter personal: Jo Chang-hyun (CEO)
E‑mail: support@sheetmusic.kr
Telefon: 070-4617-6352
Articolul 13 (Remedierea încălcărilor drepturilor)
- Centrul de raportare a încălcărilor de date cu caracter personal: 118, privacy.kisa.or.kr
- Comisia de mediere a disputelor privind datele cu caracter personal: 1833-6972, www.kopico.go.kr
- Procuratura Generală: 1301, www.spo.go.kr
- Poliția Națională: 182, ecrm.police.go.kr
Articolul 14 (Modificarea politicii de prelucrare)
În cazul în care politica de prelucrare este modificată, data de intrare în vigoare și principalele modificări vor fi publicate în istoricul de servicii și politici. Modificările care au un impact semnificativ asupra drepturilor sau obligațiilor subiectului de date vor fi comunicate separat cu un preaviz conform perioadei stabilite de lege sau cu un termen rezonabil.
Dispoziții suplimentare
Această politică de prelucrare a datelor cu caracter personal intră în vigoare la data de 20 iulie 2026.