Integritetspolicy
Gonggamgak (nedan "företaget") upprättar och offentliggör denna integritetspolicy i enlighet med artikel 30 i den koreanska personuppgiftslagen för att skydda den registrerades personuppgifter och för att snabbt och smidigt hantera klagomål relaterade till behandling av personuppgifter.
Artikel 1 (Syfte med behandlingen av personuppgifter)
- Medlemsregistrering och kontohantering: identifiering av person, anslutning av social inloggning, åldersverifiering, sessionshantering, förhindrande av otillåten användning
- Tjänsteleverans: sökning, förhandsgranskning, köp, visning och nedladdning av notblad, ljuduppspelning, bibliotek, grupp, skräddarsydd beställning och kundsupport
- Avtal och betalning: beställning, betalning, krediter, medlemskap, återbetalning, kvitto och behörighetsadministration
- AI-funktioner: behandling av inmatning och bifogade filer enligt användarens samtycke, generering av resultat, säkerhetskontroll, hantering av användningsgränser och loggar
- Tjänsteförbättring och analys: statistik om användning baserad på användarens samtycke, tjänsteanvändningsflöde, fel- och prestandaanalys
- Juridiska skyldigheter och säkerhet: efterlevnad av lagar, hantering av säkerhetsincidenter, tvistlösning, skydd mot rättighetsintrång och otillåten användning
- Marknadsföring: tillhandahållande av evenemang och reklaminformation endast när separat samtycke har erhållits
Artikel 2 (Kategorier av personuppgifter som behandlas och insamlingsmetoder)
| Kategori | Behandlade uppgifter | Insamlingsmetod |
|---|---|---|
| Social medlemsregistrering/inloggning | Namn eller smeknamn, e‑post, profilbild, leverantörsspecifik identifierare från OAuth‑leverantör | Google, Kakao, Naver, Apple eller Meta OAuth |
| Administratörsgodkända autentiseringsuppgifter | Användarnamn, ensidigt hashat lösenord | Utfärdas och behandlas endast för godkända konton av företaget vid inloggning |
| Registrering och kontoinställningar | Föredraget språk, bekräftelse av att användaren är minst 14 år samt tidpunkt för bekräftelse, historik av avtal‑, personuppgifts‑ och AI‑behandlingssamtycke samt återkallelse | Användarinmatning och tjänsteloggar |
| Beställning och betalning | Beställningsnummer, produkt, belopp, valuta, land, typ av betalningsmetod, status för betalning, avbokning och återbetalning, kredit‑ och medlemskapsuppgifter | Betalnings‑ och köpprocess samt svar från betalningsgateway |
| Tjänsteanvändning | Köp‑, visnings‑, nedladdnings‑, grupp‑, skräddarsydd beställnings‑ och förfrågningsloggar, sök‑ och UI‑interaktioner, fel‑ och säkerhetsloggar | Genereras under tjänsteanvändning |
| AI och produktionsverktyg | Prompt, konversation, uppladdade bilder/filer, genererade resultat, modell‑, användnings‑ och säkerhetsbehandlingsloggar | Inmatning eller generering när användaren använder funktionen |
| Teknisk och analysinformation | IP‑adress, användaragenter, cookie‑ och sessionsidentifierare, slumpmässigt genererade analysidentifierare, interna identifierare för analyser av inloggade användare, sidväg‑ och tjänstehändelser, språkinställning, åtkomsttid | Automatiskt insamlad under webb‑ och appanvändning |
Artikel 3 (Behandlingstid och lagringstid)
Företaget raderar personuppgifter utan dröjsmål när syftet med behandlingen har uppnåtts. Följande uppgifter kan dock bevaras separat under den tid som krävs enligt lag, för tvistlösning eller för att förhindra otillåten användning.
| Uppgift | Lagringsgrund |
|---|---|
| Medlemskonto och profil | Tills medlemsuppsägning är slutförd. Vid slutförd uppsägning avslutas inloggningssessioner och tjänstetillgång omedelbart, och information som måste bevaras enligt lag lagras under den lagstadgade perioden |
| Avtal, återkallelse av köp, betalning och leveranshistorik | 5 år enligt e‑handelslagen |
| Konsumentklagomål eller tvistbehandlingsloggar | 3 år enligt e‑handelslagen |
| Marknadsförings‑ och annonsloggar | 6 månader enligt e‑handelslagen |
| Åtkomstloggar | 3 månader enligt kommunikationssekretesslagen och annan tillämplig lagstiftning |
| Aktiva inloggningssessioner | Tills de löper ut eller tills användaren loggar ut eller avslutar medlemskap |
| AI‑profil‑, poster‑ och Vision‑verktygets lagrade historik | 90 dagar från skapelsedatum eller tills användaren själv raderar |
| Personuppgifts‑exportfil | 24 timmar efter skapelse |
| Samtycke‑, återkallelse‑ samt säkerhets‑ och revisionsloggar | Den tid som krävs för lagliga skyldigheter samt för hantering av tvister och otillåten användning |
För närvarande avslutar en medlemsuppsägning omedelbart åtkomst till tjänsten och aktiva sessioner. Registrerings‑, samtycke‑ och revisionsloggar kan kvarstå begränsat enligt lag och för tvistlösning, och fysisk radering eller anonymisering av konto‑ och profilinformation sker enligt en separat livscykelpolicy för data. Användaren kan begära granskning, export eller radering via menyn "Personuppgifter och data" i kontot.
Artikel 4 (Tillhandahållande av personuppgifter till tredje part)
Företaget tillhandahåller i princip inte personuppgifter till tredje part. Sådant sker endast inom den nödvändiga omfattningen när den registrerade har gett separat samtycke eller när särskild laglig grund finns. Behandling av personuppgifter av externa leverantörer för betalning, hosting, autentisering, e‑post, analys och AI‑funktioner kan utgöra personuppgiftsbiträde, tredje parts leverans eller överföring utomlands beroende på avtal och syfte, och detaljer anges i följande avsnitt.
Artikel 5 (Behandling via externa leverantörer)
| Extern leverantör | Relaterad verksamhet |
|---|---|
| Toss Payments Co., Ltd. | Inhemsk betalningsauktorisation, avräkning, avbokning, återbetalning och förebyggande av bedrägerier |
| PayPal, Inc. | Auktorisation, avräkning, avbokning, återbetalning och förebyggande av bedrägerier för stödjda utländska betalningar |
| Cloudflare, Inc. | CDN‑ och webbtrafikleverans‑säkerhet, Workers‑applikationskörning, R2‑objektlagring, samtyckesbaserad webb‑analysetrafik, AI‑gateway‑medling och Workers‑AI‑behandling |
| Neon, Inc. | PostgreSQL‑databas‑hosting |
| Google LLC | Google‑konto‑inloggningsautentisering och kontokoppling |
| Google LLC | Google Analytics 4‑statistikanalys baserad på användarens samtycke |
| Google LLC | Behandling av inmatning och resultat för AI‑funktioner baserade på Gemini som användaren valt |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Social inloggningsautentisering och kontokoppling som användaren valt |
| Anthropic PBC | Behandling av Claude‑AI‑funktioner som användaren valt |
| OpenAI, L.L.C. | Behandling av OpenAI‑AI‑funktioner som användaren valt |
| Resend, Inc. | Utskick av transaktions‑, konto‑ och tjänste‑e‑post |
Artikel 6 (Överföring av personuppgifter utomlands)
Företaget kan överföra och lagra följande personuppgifter utomlands under tjänsteanvändning. Överföring sker kontinuerligt via TLS‑krypterade nätverk när användaren använder den aktuella funktionen eller när behandling för avtalets fullgörelse krävs. Rättslig grund för varje överföring baseras på samtycke enligt artikel 28‑8 i personuppgiftslagen, avtal eller personuppgiftsbiträde enligt gällande lagstiftning.
| Mottagare och kontakt | Land/region | Överförda uppgifter | Syfte med överföring | Tidpunkt och metod | Rättslig grund | Lagrings‑/användningstid | Avvisningsmetod och påverkan |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | USA och Cloudflares globala nätverksregioner. Behandlings‑ och lagringsplats kan variera beroende på produkt, kontoinställning och begärans väg | Konto‑ och tjänsteloggar, IP‑, enhets‑ och analysinformation, objektfiler, information som användaren matat in i AI | Hosting, säkerhet, lagring, samtyckesbaserad analys, AI‑medling | Kontinuerlig överföring och lagring under tjänsteanvändning, TLS‑överföring | Avtalets fullgörelse och personuppgiftsbiträde | Samma lagringstid som för inhemska uppgifter eller enligt avtal/produktinställning | Valfri analys och AI kan avvisas genom återkallelse av samtycke, men funktionen blir begränsad. Att avvisa obligatorisk hosting kan göra tjänsteleverans omöjlig |
| Neon, Inc. (privacy@neon.tech) | Singapore (AWS ap‑southeast‑1) | Medlems‑, transaktions‑, samtycke‑ och tjänsteanvändningsloggar | PostgreSQL‑databaslagring | Kontinuerlig överföring och lagring under tjänsteanvändning, TLS‑överföring | Avtalets fullgörelse och personuppgiftsbiträde | Samma lagringstid som för inhemska uppgifter eller tills avtalet upphör | Att avvisa obligatorisk lagring gör det svårt att tillhandahålla kontobaserade tjänster |
| Google LLC (googlekrsupport@google.com) | USA och andra Google‑behandlingsregioner | OAuth‑identifierare, analysidentifierare‑ och händelser, samt AI‑inmatning‑, bilaga‑ och utdata | OAuth‑autentisering, samtyckesbaserad GA4‑analys, valda Gemini‑funktioner | TLS‑överföring vid användning av funktionen | Samtycke per funktion eller avtalets fullgörelse | Den tid som krävs för autentisering, analys och funktionstillhandahållande enligt Googles policy | Varje vald funktion kan avaktiveras eller samtycke återkallas, vilket begränsar funktionen |
| Apple Inc., Meta Platforms, Inc. | USA och respektive leverantörs behandlingsregioner | Leverantörsidentifierare, namn, e‑post, profilinformation | Vald OAuth‑autentisering och kontokoppling | TLS‑överföring vid inloggning och koppling | Avtalets fullgörelse | Tiden tills kontokoppling tas bort eller enligt leverantörens policy | Användaren kan välja att inte använda den inloggningsmetoden, men då går den funktionen förlorad |
| PayPal, Inc. (privacy@paypal.com) | USA och andra PayPal‑behandlingsregioner | Betalningsidentifierare, beställningsnummer, belopp, valuta, status för betalning, avbokning och återbetalning | Behandling av utländska betalningar som användaren valt | TLS‑överföring vid betalningsbegäran | Avtalets fullgörelse | Enligt e‑handelslagen och PayPals policy | Användaren kan avstå från utländska betalningar, men den betalningsmetoden blir otillgänglig |
| Anthropic PBC (privacy@anthropic.com) | USA | AI‑inmatning‑, utdata‑ och säkerhetsbehandlingsinformation | Behandling av Claude‑funktioner som användaren valt | TLS‑överföring vid funktionsanvändning | Valfritt samtycke till AI‑behandling | Den tid som krävs för funktionsleverans enligt Anthropic‑avtal och policy | AI‑funktionen kan avaktiveras eller samtycke återkallas, vilket begränsar funktionen |
| OpenAI, L.L.C. (privacy@openai.com) | USA | AI‑inmatning‑, utdata‑ och säkerhetsbehandlingsinformation | Behandling av OpenAI‑funktioner som användaren valt | TLS‑överföring vid funktionsanvändning | Valfritt samtycke till AI‑behandling | Den tid som krävs för funktionsleverans enligt OpenAI‑avtal och policy | AI‑funktionen kan avaktiveras eller samtycke återkallas, vilket begränsar funktionen |
| Resend, Inc. (privacy@resend.com) | USA | Mottagar‑e‑post, namn, meddelande och sändningsloggar | Utskick av transaktions‑, konto‑ och tjänste‑e‑post | TLS‑överföring vid sändning | Avtalets fullgörelse och personuppgiftsbiträde | Den tid som krävs för sändning och incidenthantering enligt Resend‑avtal och policy | Att avvisa obligatorisk transaktions‑ och kontoe‑post kan göra relaterade tjänster svåra att tillhandahålla |
Användaren kan avvisa överföring utomlands genom att inte använda valfria AI‑funktioner, valfri analys eller utländska betalningar, eller genom att återkalla samtycke. Att avvisa nödvändig inloggningsautentisering, hosting, databas eller obligatorisk e‑post kan göra det svårt att leverera vissa funktioner eller tjänster. Förfrågningar och uppsägningar görs via menyn "Personuppgifter och data" i kontot eller på support@sheetmusic.kr.
Artikel 7 (Personuppgiftsbehandling i AI‑funktioner)
- AI‑funktioner behandlar den text, bild och fil som användaren själv matar in samt genererade resultat för att tillhandahålla funktionen, utföra säkerhetskontroller, hantera fel och övervaka användningsgränser.
- Användaren får inte mata in känslig information, personnummer eller annan identifierande information enligt den koreanska personuppgiftslagen, eller någon annans privata personuppgifter utan laglig behörighet, i AI‑funktionerna.
- Tjänsten använder inte användarens AI‑inmatning eller -utdata som träningsdata för egna generella modeller. Företaget använder API‑er från externa AI‑leverantörer eller företagsinställningar, och när sådana inställningar stöds konfigureras de så att in- och utdata inte används för leverantörens generella modellträning. Lagringstid och säkerhetsgranskning varierar per leverantör och avtal.
- Samtycke till AI‑behandling kan när som helst återkallas i menyn "Personuppgifter och data" i kontot. Återkallandet påverkar inte lagligheten i tidigare behandling, men AI‑funktionerna blir begränsade därefter.
- Olämpliga AI‑resultat eller invändningar rörande personuppgifter kan rapporteras till support@sheetmusic.kr.
Artikel 8 (Beteendeinformation samt cookies och lokal lagring)
- Tjänsten använder cookies samt webbläsarens lokala och sessionslagring för att upprätthålla inloggning, säkerhet, språkinställning, varukorg och funktionsstatus.
- Google Analytics 4 kan, när användaren har gett samtycke, behandla slumpmässigt genererade analysidentifierare, interna identifierare för inloggade användare, sidväg, tjänstehändelser, språkinställning, enhets‑ och webbläsarinformation samt åtkomsttid.
- Cloudflare Web Analytics och tjänstens prestandaanalys kan behandla sidförfrågningar samt enhets‑, webbläsar‑ och nätverksinformation; exakt identifieringsmetod och lagringsomfång följer produktens konfiguration.
- Analys‑samtycke kan avvisas eller återkallas via banner eller i menyn "Personuppgifter och data" i kontot. Avvisning påverkar inte tillgång till kärntjänster.
- Användaren kan blockera cookies i webbläsarinställningarna, men blockering av nödvändiga cookies kan göra inloggning, betalning och vissa funktioner odugliga.
Artikel 9 (Rättigheter för den registrerade och den lagliga förmyndaren)
- Den registrerade kan, i den omfattning som lagen tillåter, begära åtkomst till, rättelse eller radering av, stopp av behandling samt återkallelse av samtycke för sina personuppgifter. Dessutom kan ett personuppgifts‑exporterande verktyg användas för att få en kopia av sina uppgifter.
- Begäran kan göras via menyn "Personuppgifter och data" i kontot, per e‑post eller telefon, och företaget behandlar den efter identifiering av den registrerade eller en behörig företrädare i enlighet med lag.
- Om lagstadgade bevaringsskyldigheter föreligger eller om begäran kan inkräkta på andras rättigheter, kan vissa begäranden begränsas och skälen meddelas.
- Tjänsten tillåter inte medlemsregistrering för barn under 14 år. Om företaget blir medvetet om att ett barn under 14 år har registrerat sig, vidtas åtgärder såsom åldersverifiering, begränsning av kontoanvändning och radering av personuppgifter. Uppgifter som måste bevaras enligt lag kan dock lagras separat under den föreskrivna perioden.
Artikel 10 (Radering av personuppgifter)
- Uppgifter vars lagringstid har löpt ut eller vars behandlingssyfte har uppnåtts raderas utan dröjsmål.
- Uppgifter som måste bevaras enligt lag lagras med begränsad åtkomst och raderas när den lagrade perioden upphör.
- Elektroniska filer raderas eller anonymiseras på ett säkert sätt så att återställning eller återuppbyggnad blir omöjlig.
Artikel 11 (Säkerhetsåtgärder)
- Administrativa åtgärder: Begränsa åtkomst till personuppgifter till nödvändig personal och hantera arbetsprocesser samt skyddskriterier.
- Tekniska åtgärder: Hantering av åtkomsträttigheter, autentisering och åtkomstkontroll, TLS‑kryptering under överföring, separerad lagring av kritisk information samt sårbarhetsskanning.
- Fysiska åtgärder: Tillämpar fysisk säkerhet och åtkomstkontroll hos moln‑ och datacenterleverantörer som företaget använder.
- Incidenthantering: Upptäckt av säkerhetsincidenter, logggranskning, backup‑ och återställning samt utvärdering och responsprocedurer.
Artikel 12 (Personuppgiftsansvarig och mottagande av rättighetsutövning)
Personuppgiftsansvarig: Jo Chang‑hyun (VD)
E‑post: support@sheetmusic.kr
Telefon: 070-4617-6352
Artikel 13 (Rättslig hjälp vid kränkning av rättigheter)
- Personuppgiftsincidentrapportering: 118, privacy.kisa.or.kr
- Kommission för medling av personuppgiftskonflikter: 1833-6972, www.kopico.go.kr
- Högsta åklagarmyndigheten: 1301, www.spo.go.kr
- Polismyndigheten: 182, ecrm.police.go.kr
Artikel 14 (Ändring av behandlingspolicy)
När behandlingspolicyn ändras offentliggörs ikraftträdandedatum och huvudändringar i tjänsten samt i policyhistoriken. Ändringar som väsentligt påverkar den registrerades rättigheter eller skyldigheter meddelas separat i enlighet med lagstadgad eller rimlig tidsram.
Kompletterande bestämmelser
Denna integritetspolicy träder i kraft den 20 juli 2026.