Політика обробки персональних даних
Гонґамґак (далі – «Компанія») відповідно до статті 30 Закону про захист персональних даних встановлює та публікує цю політику обробки персональних даних, щоб захистити персональні дані суб’єктів даних та забезпечити швидке та ефективне вирішення скарг, пов’язаних з обробкою персональних даних.
Стаття 1 (Мета обробки персональних даних)
- Реєстрація та управління обліковим записом: ідентифікація особи, підключення соціального входу, підтвердження віку, управління сесією, запобігання зловживанням
- Надання послуг: пошук нот, попередній перегляд, покупка, перегляд, завантаження, відтворення аудіо, бібліотека, групи, індивідуальні замовлення та підтримка клієнтів
- Контракти та платежі: замовлення, оплата, кредити, членство, повернення, квитанції та управління правами
- AI‑функції: обробка введення та прикріплених файлів за згодою користувача, генерація результатів, перевірка безпеки, управління лімітом використання та журналом
- Поліпшення та аналіз послуг: статистика використання, потік використання сервісу, аналіз помилок та продуктивності за згодою користувача
- Юридичні обов’язки та безпека: дотримання законодавства, реагування на інциденти безпеки, вирішення спорів, запобігання порушенню прав та зловживанням
- Маркетинг: надання інформації про події та рекламні матеріали лише за окремою згодою
Стаття 2 (Категорії персональних даних та способи їх збору)
| Категорія | Оброблювані дані | Спосіб збору |
|---|---|---|
| Соціальна реєстрація/вхід | Ім’я або нікнейм, електронна пошта, зображення профілю, ідентифікатор постачальника OAuth | Google, Kakao, Naver, Apple або Meta OAuth |
| Облікові дані, видані адміністратором | Ім’я користувача, одностороннє хеш‑значення пароля | Видається та обробляється лише для затверджених облікових записів компанії |
| Реєстрація та налаштування облікового запису | Бажана мова, підтвердження віку 14+ та час підтвердження, історія згоди з умовами, політикою конфіденційності та AI‑обробкою, а також їх відкликання | Введення користувачем та записи сервісу |
| Замовлення та платежі | Номер замовлення, товар, сума, валюта, країна, тип платіжного засобу, статус платежу/скасування/повернення, дані про кредити та членство | Процес платежу/покупки та відповіді платіжного шлюзу |
| Використання сервісу | Записи про покупки, перегляди, завантаження, групи, індивідуальні замовлення, запити, пошукові та UI‑взаємодії, журнали помилок та безпеки | Створюються під час використання сервісу |
| AI та інструменти створення | Промпти, діалоги, завантажені зображення/файли, результати генерації, дані про модель, використання, записи безпеки | Введення або генерація під час використання функції |
| Технічна та аналітична інформація | IP‑адреса, user‑agent, ідентифікатори cookie та сесії, випадково створені аналітичні ідентифікатори, внутрішні ідентифікатори користувачів для аналізу, шлях сторінки, події використання сервісу, налаштування мови, час доступу | Автоматично збирається під час використання веб‑або мобільного додатку |
Стаття 3 (Термін обробки та зберігання)
Компанія знищує персональні дані без затримки після досягнення мети їх обробки. Однак наступна інформація може зберігатися окремо протягом періодів, необхідних за законодавством, для вирішення спорів або запобігання зловживань.
| Інформація | Критерій зберігання |
|---|---|
| Обліковий запис та профіль користувача | До завершення процесу видалення облікового запису. Після завершення сесія входу та доступ до сервісу припиняються негайно; інформація, яку потрібно зберігати за законом, зберігається протягом встановлених законодавством термінів |
| Контракти, відмова від замовлення, платежі, записи про постачання | 5 років згідно з законом про електронну комерцію |
| Записи про скарги споживачів або вирішення спорів | 3 роки згідно з законом про електронну комерцію |
| Записи про рекламу та маркетинг | 6 місяців згідно з законом про електронну комерцію |
| Журнали доступу | 3 місяці, якщо це необхідно згідно з законом про захист таємниці комунікацій та іншим застосовним законодавством |
| Активна сесія входу | До закінчення терміну дії або виходу/видалення облікового запису |
| Історія збереження AI‑профілів, постерів, інструменту Vision | 90 днів від дати створення або до моменту, коли користувач самостійно видалить |
| Файли експорту персональних даних | 24 години після створення |
| Записи про згоди, відкликання, безпеку та аудит | Протягом періоду, необхідного для виконання юридичних зобов’язань та реагування на спори або зловживання |
Наразі видалення облікового запису негайно припиняє доступ до сервісу та активну сесію. Записи про транзакції, згоди та аудит можуть залишатися обмежено згідно з законодавством та цілями вирішення спорів; фізичне видалення або анонімізація облікового запису та профілю здійснюються відповідно до окремої політики життєвого циклу даних. Користувач може запитати перегляд, експорт або видалення даних у розділі «Персональні дані та дані» свого облікового запису.
Стаття 4 (Надання персональних даних третім особам)
Компанія принципово не передає персональні дані користувачів третім особам. Передача можливе лише за окремою згодою суб’єкта даних або коли закон передбачає спеціальну підставу. Обробка, пов’язана з платежами, хостингом, аутентифікацією, електронною поштою, аналітикою та AI‑функціями, може підпадати під категорії делегування обробки, передачі третім особам або трансферу за кордон, залежно від реального договору та мети обробки; деталі наведено у відповідних статтях.
Стаття 5 (Обробка за участю зовнішніх постачальників)
| Зовнішній постачальник | Пов’язана діяльність |
|---|---|
| Toss Payments Co., Ltd. | Внутрішнє схвалення платежів, розрахунки, скасування, повернення та запобігання шахрайству |
| PayPal, Inc. | Схвалення, розрахунки, скасування, повернення та запобігання шахрайству для підтримуваних іноземних платежів |
| Cloudflare, Inc. | CDN, передача веб‑трафіку, безпека, виконання Workers‑додатків, сховище R2, статистика використання веб‑сайту за згодою, AI‑Gateway та обробка Workers AI |
| Neon, Inc. | Хостинг бази даних PostgreSQL |
| Google LLC | Аутентифікація входу через Google‑акаунт та його підключення |
| Google LLC | Аналіз статистики за допомогою Google Analytics 4 за згодою користувача |
| Google LLC | Обробка вводу та результатів AI‑функції на базі Gemini за вибором користувача |
| Kakao Corp., NAVER Corp., Apple Inc., Meta Platforms, Inc. | Аутентифікація та підключення облікових записів через обраний соціальний вхід |
| Anthropic PBC | Обробка функції Claude AI за вибором користувача |
| OpenAI, L.L.C. | Обробка функції OpenAI AI за вибором користувача |
| Resend, Inc. | Надсилання електронних листів щодо транзакцій, облікових записів та сервісних повідомлень |
Стаття 6 (Трансфер персональних даних за кордон)
Компанія може передавати та зберігати нижченаведені персональні дані за кордон під час використання сервісу. Передача здійснюється у режимі TLS у момент використання функції або коли це необхідно для виконання контракту. Правова підстава кожного трансферу визначається згідно зі статтею 28‑8 Закону про захист персональних даних та іншими застосовними нормативами, включаючи згоду, виконання контракту або делегування обробки.
| Отримувач/Контакт | Країна/Регіон | Передані дані | Мета передачі | Час/Метод | Правова підстава | Термін зберігання/використання | Спосіб відмови та вплив |
|---|---|---|---|---|---|---|---|
| Cloudflare, Inc. (privacyquestions@cloudflare.com) | США та регіони глобальної мережі Cloudflare; місце обробки/зберігання залежить від продукту, налаштувань облікового запису та шляху запиту | Записи облікового запису та сервісу, IP‑адреси, дані пристроїв, аналітична інформація, об’єктні файли, дані, введені користувачем в AI | Хостинг, безпека, зберігання, аналіз за згодою, AI‑транзит | Постійний трансфер/зберігання під час використання сервісу, передача через TLS | Виконання контракту та делегування обробки | Термін зберігання згідно з внутрішніми термінами для кожного елементу або до закінчення контракту/налаштувань продукту | Опціональний аналіз та AI можна відмовити, відклавши згоду; це обмежить відповідні функції. Відмова від обов’язкового хостингу ускладнить надання сервісу. |
| Neon, Inc. (privacy@neon.tech) | Сінгапур (AWS ap‑southeast‑1) | Записи про членство, транзакції, згоди, використання сервісу | Зберігання в базі даних PostgreSQL | Постійний трансфер/зберігання під час використання сервісу, передача через TLS | Виконання контракту та делегування обробки | Термін зберігання згідно з внутрішніми термінами або до завершення договору делегування | Відмова від обов’язкового зберігання ускладнить надання сервісу, що базується на обліковому записі. |
| Google LLC (googlekrsupport@google.com) | США та інші регіони обробки Google | Ідентифікатори OAuth, аналітичні ідентифікатори·події, або AI‑введення·вкладення·виведення | OAuth‑аутентифікація, аналіз GA4 за згодою, обрана функція Gemini | Передача через TLS під час використання відповідної функції | Згода за функцією або виконання контракту | Термін, необхідний для надання функції, та згідно з політикою Google | Користувач може не використовувати окрему функцію або відкликати згоду, що обмежить цю функцію. |
| Apple Inc., Meta Platforms, Inc. | США та регіони обробки відповідних постачальників | Ідентифікатори постачальника, ім’я, електронна пошта, дані профілю | Обрана OAuth‑аутентифікація та підключення облікового запису | Передача через TLS під час входу/підключення | Виконання контракту | Термін, визначений політикою постачальника або після від’єднання/видалення облікового запису | Можна не обирати цей спосіб входу; у цьому випадку відповідна аутентифікація недоступна. |
| PayPal, Inc. (privacy@paypal.com) | США та інші регіони обробки PayPal | Ідентифікатори платника, номер замовлення, сума, валюта, статус платежу·скасування·повернення | Обробка обраного іноземного платежу | Передача через TLS під час запиту платежу | Виконання контракту | Термін згідно з законом про електронну комерцію та політикою PayPal | Можна не обирати іноземний платіж; у цьому випадку відповідний спосіб оплати недоступний. |
| Anthropic PBC (privacy@anthropic.com) | США | Введення та виведення AI, дані безпеки | Обробка обраної функції Claude | Передача через TLS під час використання функції | Опціональна згода на AI‑обробку | Термін, необхідний для надання функції, та згідно з договором та політикою Anthropic | Можна не користуватись AI‑функцією або відкликати згоду, що обмежить цю функцію. |
| OpenAI, L.L.C. (privacy@openai.com) | США | Введення та виведення AI, дані безпеки | Обробка обраної функції OpenAI | Передача через TLS під час використання функції | Опціональна згода на AI‑обробку | Термін, необхідний для надання функції, та згідно з договором та політикою OpenAI | Можна не користуватись AI‑функцією або відкликати згоду, що обмежить цю функцію. |
| Resend, Inc. (privacy@resend.com) | США | Отримувані електронні листи, ім’я, повідомлення та журнали відправки | Надсилання електронних листів щодо транзакцій, облікових записів та сервісних повідомлень | Передача через TLS під час відправки | Виконання контракту та делегування обробки | Термін, необхідний для відправки та реагування на інциденти, та згідно з договором Resend | Відмова від обов’язкових транзакційних/облікових електронних листів може ускладнити надання відповідних сервісів. |
Користувач може відмовитися від трансферу за кордон, не використовуючи опціональні AI‑функції, аналіз або іноземні платежі, або відклавши відповідну згоду. Відмова від обов’язкових процесів, таких як аутентифікація, хостинг, база даних або обов’язкові електронні листи, може ускладнити або зробити неможливим використання сервісу. Запити та запити на видалення облікового запису надсилаються через меню «Персональні дані та дані» облікового запису або за адресою support@sheetmusic.kr.
Стаття 7 (Обробка персональних даних у AI‑функціях)
- AI‑функції обробляють текст, зображення, файли, введені користувачем, та результати генерації з метою надання функції, перевірки безпеки, реагування на помилки та управління лімітом використання.
- Користувачі не повинні вводити чутливу інформацію, таку як номер ідентифікації, або будь‑які особисті дані третіх осіб без законного дозволу.
- Сервіс не використовує введення та виведення AI як дані для навчання власних універсальних моделей. Компанія користується API зовнішніх AI‑постачальників або корпоративними налаштуваннями, і коли це підтримується, конфігурує їх так, щоб введення та виведення не використовувалися для навчання їхніх універсальних моделей. Термін зберігання та методи безпеки залежать від обраної моделі та умов договору.
- Згоду на AI‑обробку можна відкликати у розділі «Персональні дані та дані» облікового запису в будь‑який час. Відкликання не впливає на законність вже здійсненої обробки, проте подальше використання AI‑функцій буде обмежено.
- Скарги щодо недоречних AI‑результатів або порушення персональних даних можна надсилати на support@sheetmusic.kr.
Стаття 8 (Поведенкова інформація, cookie та локальне сховище)
- Сервіс використовує cookie та локальне/сесійне сховище браузера для входу, безпеки, налаштувань мови, кошика та стану функцій.
- Google Analytics 4 може обробляти випадково створені аналітичні ідентифікатори, внутрішні ідентифікатори користувачів, шлях сторінки, події використання сервісу, налаштування мови, інформацію про пристрій/браузер та час доступу, за умови згоди користувача.
- Cloudflare Web Analytics та функції аналізу продуктивності можуть обробляти запити сторінок, інформацію про пристрій/браузер та мережу; конкретний спосіб ітерування та термін зберігання залежать від налаштувань продукту.
- Згоду на аналіз можна відмовити або відкликати у банері або в розділі «Персональні дані та дані» облікового запису; відмова не впливає на доступ до основних функцій сервісу.
- Користувач може блокувати cookie у налаштуваннях браузера, проте блокування обов’язкових cookie може призвести до неработоспособності входу, платежів та інших функцій.
Стаття 9 (Права суб’єкта даних та законного представника)
- Суб’єкт даних має право, у межах, встановлених законодавством, запитувати перегляд, виправлення, видалення, призупинення обробки та відкликання згоди щодо своїх персональних даних. Крім того, користувач може скористатися функцією експорту даних, щоб отримати копію своїх персональних даних.
- Запити можна надсилати через розділ «Персональні дані та дані» облікового запису, електронною поштою або телефоном; компанія перевіряє особу або уповноваженого представника та обробляє запит згідно з законодавством.
- Якщо закон вимагає зберігання даних або існує ризик порушення прав інших осіб, деякі запити можуть бути обмежені; у такому випадку компанія повідомить про причину.
- Сервіс не допускає реєстрації користувачів віком до 14 років. Якщо компанія виявляє, що особа молодша 14 років зареєстрована, вона проводить підтвердження віку, обмежує використання облікового запису та видаляє персональні дані. Однак інформація, яку закон вимагає зберігати, може залишатися протягом встановлених термінів.
Стаття 10 (Знищення персональних даних)
- Інформація, термін зберігання якої минув або мета обробки якої досягнута, знищується без зволікання.
- Дані, які необхідно зберігати за законодавством, зберігаються у захищеному режимі, недоступному для інших цілей, і знищуються після закінчення встановленого терміну.
- Електронні файли персональних даних видаляються або анонімізуються таким чином, щоб їх відновлення або повторне використання було неможливим.
Стаття 11 (Заходи щодо забезпечення безпеки)
- Організаційні заходи: обмеження доступу до персональних даних лише для необхідних осіб, управління процесами та стандартами захисту.
- Технічні заходи: управління правами доступу, аутентифікація та контроль доступу, шифрування TLS під час передачі, роздільне зберігання критичних даних та перевірка вразливостей.
- Фізичні заходи: застосування фізичної безпеки та контролю доступу у хмарних та дата‑центричних провайдерів, якими користується компанія.
- Заходи реагування на інциденти: виявлення інцидентів безпеки, моніторинг журналів, резервне копіювання та відновлення, а також процеси оцінки та реагування.
Стаття 12 (Відповідальна особа за захист персональних даних та прийом запитів)
Відповідальна особа за захист персональних даних: Чо Чханґхен (CEO)
Електронна пошта: support@sheetmusic.kr
Телефон: 070-4617-6352
Стаття 13 (Захист прав у випадку порушення)
- Центр повідомлень про порушення персональних даних: 118, privacy.kisa.or.kr
- Комісія з врегулювання спорів щодо персональних даних: 1833-6972, www.kopico.go.kr
- Прокуратура: 1301, www.spo.go.kr
- Поліція: 182, ecrm.police.go.kr
Стаття 14 (Зміна політики обробки)
У разі зміни політики обробки компанія публікує дату набрання чинності та основні зміни в історії сервісу та політики. Зміни, які суттєво впливають на права або обов’язки суб’єктів даних, повідомляються окремо за період, встановлений законодавством, або за розумний термін до їх набрання.
Додаткові положення
Ця політика обробки персональних даних набирає чинності з 20 липня 2026 року.