Gizlilik Politikası
Gonggamgak (bundan böyle ‘Şirket’) "Kişisel Bilgilerin Korunması Kanunu" madde 30 uyarınca veri sahibinin kişisel bilgilerini korur ve kişisel bilgi işleme ile ilgili şikayetlerin hızlı ve sorunsuz bir şekilde ele alınabilmesi için aşağıdaki gibi bir gizlilik politikası oluşturur ve yayınlar.
Madde 1 (Kişisel Bilgilerin İşlenme Amaçları)
- Üyelik ve Hesap Yönetimi: Kimlik doğrulama, sosyal giriş bağlantısı, yaş doğrulama, oturum yönetimi, kötüye kullanım önleme
- Hizmet Sunumu: Nota arama, ön izleme, satın alma, görüntüleme, indirme, ses çalma, kütüphane, grup, özelleştirilmiş sipariş ve müşteri desteği
- Sözleşme ve Ödeme: Sipariş, ödeme, kredi, üyelik, iade, makbuz ve yetki yönetimi
- AI Özelliği: Kullanıcı onayına dayalı giriş ve ek dosya işleme, sonuç üretimi, güvenlik denetimi, kullanım limitleri ve kayıt yönetimi
- Hizmet İyileştirme ve Analiz: Kullanıcı onayına dayalı kullanım istatistikleri, hizmet kullanım akışı, hata ve performans analizi
- Yasal Yükümlülük ve Güvenlik: Yasa uyumu, güvenlik olayı yanıtı, anlaşmazlık çözümü, hak ihlali ve kötüye kullanım önleme
- Pazarlama: Ayrı onay alındığı takdirde etkinlik ve reklam bilgileri sağlanması
Madde 2 (İşlenen Kişisel Bilgi Kalemleri ve Toplama Yöntemleri)
| Kategori | İşlenen Kalemler | Toplama Yöntemi |
|---|---|---|
| Sosyal Üyelik ve Giriş | İsim veya takma ad, e-posta, profil resmi, OAuth sağlayıcı ve sağlayıcıya özgü kimlik | Google, Kakao, Naver, Apple veya Meta OAuth |
| Yönetici Tarafından Verilen Kimlik Bilgileri | Kullanıcı adı, şifrenin tek yönlü hash değeri | Şirket tarafından onaylanan hesaplar için yalnızca verilir ve girişte işlenir |
| Kayıt ve Hesap Ayarları | Tercih edilen dil, 14 yaşından büyük olma durumu ve doğrulama zamanı, şartlar·gizlilik·AI işleme onayı ve geri çekme geçmişi | Kullanıcı girişi ve hizmet kaydı |
| Sipariş ve Ödeme | Sipariş numarası, ürün, tutar, para birimi, ülke, ödeme yöntemi türü, ödeme·iptal·iade durumu, kredi·üyelik detayları | Ödeme·satın alma süreci ve PG şirketi yanıtları |
| Hizmet Kullanımı | Satın alma·görüntüleme·indirme·grup·özelleştirilmiş sipariş·soru kayıtları, arama·UI etkileşimleri, hata ve güvenlik kayıtları | Hizmet kullanım sürecinde oluşturulan veriler |
| AI ve Üretim Araçları | Prompt, sohbet, yüklenen görsel·dosya, oluşturulan sonuç, model·kullanım·güvenlik işleme kayıtları | Kullanıcı fonksiyonu kullandığında giriş veya oluşturma |
| Teknik·Analiz Bilgileri | IP adresi, kullanıcı aracısı, çerez·oturum kimliği, rastgele oluşturulmuş analiz kimliği, oturum açan kullanıcının iç analiz kimliği, sayfa yolu·hizmet kullanım etkinliği·dil ayarı·erişim zamanı | Web·uygulama kullanım sırasında otomatik toplama |
Madde 3 (İşleme ve Saklama Süresi)
Şirket, işleme amacı gerçekleştiğinde kişisel bilgileri gecikmeksizin imha eder. Ancak aşağıdaki bilgiler yasal yükümlülük, anlaşmazlık yanıtı veya kötüye kullanım önleme amacıyla gerekli olduğu sürece ayrı ayrı saklanabilir.
| Bilgi | Saklama Kriteri |
|---|---|
| Üye hesabı ve profil | Üyelikten tamamen çıkış yapılana kadar. Çıkış tamamlandığında oturum ve hizmet erişimi anında sonlandırılır; ilgili yasalara göre saklanması gereken bilgiler yasal saklama süresi boyunca ayrı olarak tutulur |
| Sözleşme·İptal·Ödeme·Teslimat Kayıtları | Elektronik Ticaret Kanunu uyarınca 5 yıl |
| Tüketici şikayetleri veya anlaşmazlık kayıtları | Elektronik Ticaret Kanunu uyarınca 3 yıl |
| Gösterim·Reklam kayıtları | Elektronik Ticaret Kanunu uyarınca 6 ay |
| Erişim kayıtları | İletişim Gizliliği Kanunu vb. ilgili yasalara göre gerekli olduğunda 3 ay |
| Aktif oturum girişleri | Süre dolması veya oturum kapatma·çıkış·çıkış yapana kadar |
| AI profili·poster·Vision aracı kayıtları | Oluşturulma tarihinden 90 gün veya kullanıcı tarafından silinene kadar |
| Kişisel veri dışa aktarım dosyası | Oluşturulmadan 24 saat içinde |
| Onay·geri çekme ve güvenlik·denetim kayıtları | Yasal yükümlülük ve anlaşmazlık·kötüye kullanım yanıtı için gerekli süre |
Şu anda üyelikten çıkma, hizmet erişimini ve aktif oturumu anında sonlandırır. İşlem·onay·denetim kayıtları ilgili yasalara ve anlaşmazlık yanıtı amacıyla sınırlı olarak kalabilir; hesap ve profilin fiziksel silme·anonimleştirme prosedürleri ayrı bir veri yaşam döngüsü politikası çerçevesinde yürütülür. Kullanıcı, hesabının ‘Kişisel Bilgiler ve Veri’ menüsünden görüntüleme·dışa aktarma·silme talebinde bulunabilir.
Madde 4 (Kişisel Bilgilerin Üçüncü Tarafa Sağlanması)
Şirket, prensipte kullanıcının kişisel bilgilerini üçüncü taraflara sağlamaz. Veri sahibinin ayrı onayı olduğunda veya yasal bir dayanak bulunduğunda yalnızca gerekli kapsamda sağlanır. Ödeme, barındırma, kimlik doğrulama, e-posta, analiz ve AI işlevleriyle ilgili dış hizmet sağlayıcıların işleme faaliyetleri gerçek sözleşme ve işleme amacına göre kişisel veri işleme dış kaynak kullanımı, üçüncü taraf sağlama veya yurt dışına aktarım kapsamında olabilir; ayrıntılar aşağıdaki maddeler ve ilgili bölümlerde açıklanmıştır.
Madde 5 (Dış Hizmet Sağlayıcılar Tarafından İşleme)
| Dış Hizmet Sağlayıcı | İlgili İş |
|---|---|
| Toss Payments Co., Ltd. | Yerel ödeme onayı, tahsilat, iptal, iade ve sahte işlem önleme |
| PayPal, Inc. | Desteklenen yabancı ödemelerin onayı, tahsilat, iptal, iade ve sahte işlem önleme |
| Cloudflare, Inc. | CDN·web trafiği iletimi·güvenlik, Workers uygulama çalıştırma, R2 nesne depolama, onay temelli web kullanım istatistikleri, AI Gateway yönlendirme ve Workers AI işleme |
| Neon, Inc. | PostgreSQL veritabanı barındırma |
| Google LLC | Google hesabı giriş kimlik doğrulama ve hesap bağlama |
| Google LLC | Kullanıcı onayına dayalı Google Analytics 4 kullanım istatistik analizi |
| Google LLC | Kullanıcının seçtiği Gemini tabanlı AI işlevinin giriş ve sonuç işleme |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Kullanıcının seçtiği sosyal giriş kimlik doğrulama ve hesap bağlama |
| Anthropic PBC | Kullanıcının seçtiği Claude AI işlevi işleme |
| OpenAI, L.L.C. | Kullanıcının seçtiği OpenAI AI işlevi işleme |
| Resend, Inc. | İşlem·hesap ve hizmet e-posta gönderimi |
Madde 6 (Kişisel Bilgilerin Yurt Dışına Aktarımı)
Şirket, hizmet kullanımı sırasında aşağıdaki kişisel bilgileri yurt dışına aktarabilir ve depolayabilir. Kullanıcı bu işlevi kullandığında veya sözleşme ifası için işlem gerektiğinde TLS ile şifrelenmiş ağ üzerinden sürekli aktarılır. Her aktarımın yasal dayanağı Kişisel Bilgilerin Korunması Kanunu madde 28-8 vb. ilgili yasalara göre onay, sözleşme ifası·gerçekleştirme veya dış kaynak kullanımı durumuna göre uygulanır.
| Alıcı·İletişim | Ülke/Bölge | Aktarılan Öğeler | Aktarım Amacı | Zaman·Yöntem | Yasal Dayanak | Saklama·Kullanım Süresi | Reddetme Yöntemi ve Etkisi |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | ABD ve Cloudflare'ın küresel ağ operasyon bölgeleri. İşleme·depolama konumu kullanılan ürün, hesap ayarı ve istek rotasına göre değişebilir | Hesap·hizmet kayıtları, IP·cihaz·analiz bilgileri, nesne dosyaları, kullanıcının AI'ye girdiği bilgiler | Barındırma·güvenlik·depolama·onay temelli analiz·AI yönlendirme | Hizmet kullanımı sırasında sürekli aktarım·depolama, TLS ile iletim | Sözleşme ifası ve dış kaynak kullanımı | Yerel öğe bazlı saklama süresi veya sözleşme·ürün ayarına göre belirlenen süre | Seçimli analiz·AI onayı geri çekilerek reddedilebilir; ancak ilgili işlev sınırlanır. Zorunlu barındırma reddedilirse hizmet sağlanamaz. |
| Neon, Inc. (privacy@neon.tech) | Singapur (AWS ap-southeast-1) | Üye, işlem, onay, hizmet kullanım kayıtları | PostgreSQL veritabanı depolama | Hizmet kullanımı sırasında sürekli aktarım·depolama, TLS ile iletim | Sözleşme ifası ve dış kaynak kullanımı | Yerel öğe bazlı saklama süresi veya dış kaynak sözleşmesi sona erene kadar | Zorunlu depolama reddedilirse hesap temelli hizmet sağlanamaz. |
| Google LLC (googlekrsupport@google.com) | ABD ve diğer Google işlem bölgeleri | OAuth kimlik bilgileri, analiz kimliği·etkinlikleri, veya AI giriş·ek dosya·çıktı | OAuth kimlik doğrulama, onay temelli GA4 analiz, seçilen Gemini işlevi | İlgili işlev kullanıldığında TLS ile iletim | İşlev bazlı onay veya sözleşme ifası | Kimlik doğrulama·analiz·işlev sağlama için gerekli süre ve Google politikalarına göre belirlenen süre | İlgili işlev kullanılmadığında veya onay geri çekildiğinde işlev sınırlanır. |
| Apple Inc., Meta Platforms, Inc. | ABD ve ilgili sağlayıcı işlem bölgeleri | Sağlayıcı kimliği, isim, e-posta, profil bilgileri | Seçilen OAuth kimlik doğrulama ve hesap bağlama | Giriş·bağlama sırasında TLS ile iletim | Sözleşme ifası | Hesap bağlamanın kaldırılması·çıkış veya sağlayıcı politikalarına göre belirlenen süre | Bu giriş yöntemi seçilmezse ilgili kimlik doğrulama kullanılamaz. |
| PayPal, Inc. (privacy@paypal.com) | ABD ve diğer PayPal işlem bölgeleri | Ödeyen kimlik bilgileri, sipariş numarası, tutar, para birimi, ödeme·iptal·iade durumu | Kullanıcının seçtiği yabancı ödeme işleme | Ödeme talebi sırasında TLS ile iletim | Sözleşme ifası | Elektronik Ticaret Kanunu saklama süresi ve PayPal politikalarına göre belirlenen süre | Yabancı ödeme seçilmezse ilgili ödeme yöntemi kullanılamaz. |
| Anthropic PBC (privacy@anthropic.com) | ABD | AI giriş·çıkış ve güvenlik işleme bilgileri | Kullanıcının seçtiği Claude işlevi | İşlev kullanıldığında TLS ile iletim | Seçimli AI işleme onayı | İşlev sağlama için gerekli süre ve Anthropic sözleşme·politikalarına göre belirlenen süre | AI işlevi kullanılmaz veya onay geri çekilir; işlev sınırlanır. |
| OpenAI, L.L.C. (privacy@openai.com) | ABD | AI giriş·çıkış ve güvenlik işleme bilgileri | Kullanıcının seçtiği OpenAI işlevi | İşlev kullanıldığında TLS ile iletim | Seçimli AI işleme onayı | İşlev sağlama için gerekli süre ve OpenAI sözleşme·politikalarına göre belirlenen süre | AI işlevi kullanılmaz veya onay geri çekilir; işlev sınırlanır. |
| Resend, Inc. (privacy@resend.com) | ABD | Alıcı e-posta, isim, mesaj ve gönderim kayıtları | İşlem·hesap ve hizmet e-posta gönderimi | Gönderim sırasında TLS ile iletim | Sözleşme ifası ve dış kaynak kullanımı | Gönderim ve arıza yanıtı için gerekli süre ve Resend sözleşme·politikalarına göre belirlenen süre | Zorunlu işlem·hesap e-posta işleme reddedilirse ilgili hizmet sağlanması zorlaşabilir. |
Kullanıcı, seçmeli AI işlevi, seçmeli analiz veya yabancı ödemeyi kullanmayabilir veya ilgili onayı geri çekerek yurt dışı aktarımı reddedebilir. Giriş kimlik doğrulama, barındırma, veritabanı veya zorunlu e-posta gönderimi gibi hizmet sağlamak için gerekli işlemler reddedilirse ilgili işlev veya hizmet sağlanması zorlaşabilir. İletişim ve üyelikten çıkma talepleri hesabın ‘Kişisel Bilgiler ve Veri’ menüsü veya support@sheetmusic.kr üzerinden alınır.
Madde 7 (AI Özelliklerinde Kişisel Bilgi İşleme)
- AI işlevi, kullanıcının doğrudan girdiği metin·görsel·dosya ve oluşturulan sonuçları işlev sağlama, güvenlik denetimi, hata yanıtı ve kullanım limit yönetimi amacıyla işler.
- Kullanıcı, hassas bilgi, kimlik numarası gibi Kore Kişisel Bilgilerin Korunması Kanunu kapsamında özel tanımlayıcı bilgileri veya yasal yetki olmaksızın başkasının gizli kişisel bilgilerini AI işlevine girmemelidir.
- Hizmet, kullanıcının AI giriş·çıkışını kendi genel model eğitim verisi olarak kullanmaz. Şirket, dış AI sağlayıcıların API veya kurumsal ayarlarını kullanır ve bu ayarlar destekleniyorsa giriş ve çıkışların sağlayıcıların genel model eğitimine dahil edilmemesi için yapılandırılır. Sağlayıcı bazlı saklama süresi ve güvenlik inceleme yöntemi seçilen model ve sözleşme koşullarına göre değişebilir.
- AI işleme onayı, hesabın ‘Kişisel Bilgiler ve Veri’ bölümünden her zaman geri çekilebilir. Geri çekme, önceki işleme yasal geçerliliğini etkilemez; sonrasında AI işlevi sınırlanır.
- Uygunsuz AI sonuçları veya kişisel veri ile ilgili itirazlar support@sheetmusic.kr adresine bildirilebilir.
Madde 8 (Davranış Bilgileri ve Çerez·Yerel Depolama)
- Hizmet, oturum, güvenlik, dil ayarı, sepet ve işlev durumu tutmak için çerez ve tarayıcı yerel·oturum depolamasını kullanır.
- Google Analytics 4, kullanıcı onayı olduğunda rastgele oluşturulmuş analiz kimliği, oturum açan kullanıcının iç analiz kimliği, sayfa yolu, hizmet kullanım etkinliği, dil ayarı, cihaz·tarayıcı bilgileri ve erişim zamanını işleyebilir.
- Cloudflare Web Analytics ve hizmet performans analiz işlevi, sayfa isteği, cihaz·tarayıcı ve ağ bilgilerini işleyebilir; gerçek tanımlama yöntemi ve saklama kapsamı uygulanan ürün ayarına bağlıdır.
- Analiz onayı, banner veya hesabın ‘Kişisel Bilgiler ve Veri’ bölümünden reddedilebilir veya geri çekilebilir. Reddedilse de temel hizmetler kullanılabilir.
- Tarayıcı ayarlarından çerez engellenebilir; ancak zorunlu çerezler engellendiğinde oturum·ödeme gibi bazı işlevler çalışmayabilir.
Madde 9 (Veri Sahibinin ve Yasal Vekilinin Hakları)
- Veri sahibi, ilgili yasalara göre kişisel verilerin görüntülenmesi, düzeltilmesi·silinmesi, işlenmesinin durdurulması ve onayın geri çekilmesini talep edebilir. Ayrıca Şirket'in sağladığı veri dışa aktarım özelliğiyle kişisel verilerinin bir kopyasını alabilir.
- Talep, hesabın ‘Kişisel Bilgiler ve Veri’, e-posta veya telefon aracılığıyla yapılabilir; Şirket, kimlik veya yetkili temsilci doğrulaması sonrası ilgili yasalara göre işlem yapar.
- Yasal saklama zorunluluğu veya başkasının haklarının ihlali riski olduğunda bazı talepler sınırlanabilir ve gerekçesi bildirilir.
- Hizmet, 14 yaşından küçük çocukların üyeliğine izin vermez. Şirket, 14 yaşından küçük bir çocuğun üye olduğu tespit edildiğinde yaş doğrulama, hesap kullanım kısıtlaması ve kişisel veri silme gibi gerekli adımları atar. Ancak yasal saklama zorunluluğu olan bilgiler ilgili süre boyunca ayrı olarak tutulabilir.
Madde 10 (Kişisel Bilgilerin Yok Edilmesi)
- Saklama süresi dolmuş veya işleme amacı gerçekleşmiş bilgiler gecikmeksizin yok edilir.
- Yasal saklama gerektiren bilgiler başka amaçla kullanılmaması için erişim kısıtlanarak saklanır ve sürenin sonunda yok edilir.
- Elektronik dosya biçimindeki kişisel bilgiler, geri getirilemez veya yeniden üretilemez şekilde güvenli yöntemle silinir veya anonimleştirilir.
Madde 11 (Güvenlik Önlemleri)
- İdari önlemler: Kişisel bilgilere erişen personel gerekli kapsamla sınırlanır ve ilgili iş prosedürleri ve koruma standartları yönetilir.
- Teknik önlemler: Erişim yetkisi yönetimi, kimlik doğrulama ve erişim kontrolü, iletim bölgesi TLS şifrelemesi, kritik bilgi ayrı depolama ve güvenlik açıkları denetimi uygulanır.
- Fiziksel önlemler: Şirketin kullandığı bulut ve veri merkezi sağlayıcılarının fiziksel güvenliği ve giriş kontrolü uygulanır.
- Olay yanıt önlemleri: Güvenlik olayı tespiti, log incelemesi, yedekleme·geri yükleme ve olay değerlendirme·yanıt prosedürleri yürütülür.
Madde 12 (Kişisel Veri Koruma Sorumlusu ve Hak İstemi)
Kişisel Veri Koruma Sorumlusu: Jo Chang-hyun (CEO)
E-posta: support@sheetmusic.kr
Telefon: 070-4617-6352
Madde 13 (Hak İhlali Çözümü)
- Kişisel Veri İhlali Bildirim Merkezi: 118, privacy.kisa.or.kr
- Kişisel Veri Uyuşmazlık Çözüm Komisyonu: 1833-6972, www.kopico.go.kr
- Büyük Savcılık: 1301, www.spo.go.kr
- Polis Genel Müdürlüğü: 182, ecrm.police.go.kr
Madde 14 (İşleme Politikası Değişikliği)
İşleme politikası değiştiğinde yürürlük tarihi ve ana değişiklikler hizmet ve politika değişiklik geçmişinde yayınlanır. Veri sahibinin hakları veya yükümlülükleri üzerinde önemli etkisi olan değişiklikler, ilgili yasalarda belirtilen süre veya makul bir süre önceden ayrı olarak bildirilir.
Tamamlayıcı hükümler
Bu gizlilik politikası 20 Temmuz 2026 tarihinden itibaren yürürlüğe girer.