Privacy Policy
Effective January 1, 2025 | Last revised May 9, 2026
Fairium (hereinafter “the Company”) values the personal information of users of the GenToon service (hereinafter “the Service”) and complies with applicable data protection laws, including the Korean Personal Information Protection Act (PIPA). This Privacy Policy describes the categories of personal information we collect, the purposes for which we use it, the retention periods, third-party disclosures, and the rights available to data subjects.
1. Categories of Personal Information Collected and Methods of Collection
A. Categories Collected
| Category | Required | Optional |
|---|---|---|
| Sign-up | Email, name (provided via OAuth for social login) | Profile image |
| Payment | Card brand, last four digits of card number (via Polar) | Tax receipt information (phone number or business registration number) |
| Service usage | IP address, access logs, service usage records, device information (User-Agent) | Generated content, reference images, community nickname and bio |
| Customer support | Email, inquiry content | — |
B. Methods of Collection
- Direct input during sign-up and service use on the website
- Social login via Google or Kakao OAuth
- Automatic collection during payment processing via Polar
- Automatic generation and collection through cookies, logs, and similar technologies during service use
- Collection during customer inquiries via email or the Help page
2. Purposes of Processing Personal Information
- Member management. Identity verification, prevention of unauthorized use, complaint resolution, and delivery of notices
- Service provision. AI image and script generation, project storage, character management, and community operation
- Payment and billing. Subscription payments, credit purchases, refunds, and issuance of tax receipts and invoices
- Service improvement. Usage statistics analysis, error detection (Sentry), and service quality enhancement
- Marketing (optional). Event and benefit notifications (only with prior consent)
3. Retention and Use Periods
The Company destroys personal information without delay once the purpose of processing has been fulfilled. However, where retention is required by applicable law, the information shall be securely stored for the prescribed period before destruction.
| Data | Retention Period | Legal Basis |
|---|---|---|
| Member information | Until account deletion | User consent |
| Contract and payment records | 5 years | Act on Consumer Protection in Electronic Commerce, Art. 6 |
| Consumer complaint and dispute resolution records | 3 years | Act on Consumer Protection in Electronic Commerce, Art. 6 |
| Access logs | 3 months | Protection of Communications Secrets Act, Art. 15-2 |
| Tax receipt and invoice issuance records | 5 years | Framework Act on National Taxes, Art. 85-3 |
4. Provision of Personal Information to Third Parties
The Company does not provide personal information to third parties without the user's consent. However, the minimum necessary information is shared with the following parties for the purpose of providing the Service.
| Recipient | Purpose | Data Provided | Retention |
|---|---|---|---|
| Polar (Global) | Global subscription / credit payment processing and refunds | Payment information, purchase amount | 5 years after transaction completion |
| Toss Payments (Korea) | Korean subscription / credit payment processing, refunds, cash receipt and tax invoice issuance | Payment information, purchase amount, card details (when issuing billing key) | 5 years after transaction completion |
| Google LLC | Social login, AI image generation (Gemini API) | Email and profile (for login); generation prompts and reference images (for AI generation) | Until termination of service use |
| Kakao Corp. | Social login | Email, nickname, profile image (as provided by Kakao OAuth) | Until termination of service use |
Personal information may also be disclosed where required by law, such as upon presentation of a warrant by investigative authorities.
5. Entrustment of Personal Information Processing
The Company entrusts the processing of personal information to the following service providers for the purpose of operating the Service. In each entrustment agreement, the Company ensures the safe handling of personal information in accordance with applicable data protection laws.
| Processor | Entrusted Tasks |
|---|---|
| Supabase Inc. | Database hosting, user authentication, and file storage |
| Vercel Inc. | Web application hosting and CDN |
| Google Cloud (Gemini API) | AI image and text generation |
| Upstash Inc. | Distributed caching and rate limiting (Redis) |
| Functional Software Inc. (Sentry) | Error monitoring and performance tracking |
| Resend Inc. | Email delivery |
| Google LLC (Google Analytics / GA4) | Website usage analytics and service improvement |
| Microsoft Corporation (Clarity) | User behavior analytics (heatmaps and session replay) for service improvement |
🤖 AI Model Training Disclosure
GenToon does not use your prompts, uploaded reference images, or generated outputs to train any AI model. Generation is performed via the Google Gemini API; per Google's policy, paid API calls are not used for model training. We also do not build any internal training dataset from user content. Any future change to this policy will be notified in advance and require your explicit consent.
6. Overseas Transfer of Personal Information
Among the processors listed above, personal information is transferred overseas to the following entities located outside the Republic of Korea.
| Recipient | Country | Data Transferred | Method |
|---|---|---|---|
| Supabase Inc. | United States (AWS ap-northeast-2 region) | Member information, project data, files | Network transmission |
| Vercel Inc. | United States (global edge network) | Service usage logs | Network transmission |
| Google LLC | United States | Prompts, reference images | Transmitted via API calls |
| Upstash Inc. | United States | User ID or IP address (hashed) | Transmitted via API calls |
| Sentry (Functional Software Inc.) | United States | Error logs, partial user ID | Automatic SDK transmission |
7. Rights of Data Subjects and How to Exercise Them
Users (data subjects) may exercise the following rights at any time:
- Right to access personal information
- Right to request correction of inaccurate information
- Right to request deletion of personal information
- Right to request suspension of processing
You may exercise these rights through Settings > My Account within the Service or by contacting our support team at service@gentoon.ai. Requests will be processed within 10 days of receipt. If processing is delayed, we will notify you of the reason.
8. Destruction of Personal Information
- Personal information shall be destroyed without delay once the retention period has expired or the processing purpose has been achieved.
- Electronic files: Permanently deleted using methods that prevent recovery.
- Paper documents: Shredded or incinerated.
- Upon account deletion, all projects, characters, generated images, and files stored in the Service are immediately deleted. Trashed projects are permanently deleted after the 30-day retention period has elapsed.
9. Use of Cookies
The Company uses the following cookies:
| Cookie | Purpose | Duration |
|---|---|---|
| Session cookie (Supabase Auth) | Maintaining login state | End of session |
| csrf_token | CSRF attack prevention | 1 hour |
| Language preference cookie | Retaining selected language preference | Session |
| Google Analytics (GA4) cookies | Service usage analytics and service improvement | Up to 2 years |
| Microsoft Clarity cookies | User behavior analytics (heatmaps and session replay) for service improvement | Up to 1 year |
By using the Service (signing up or logging in), you are deemed to have consented to this Privacy Policy, and the analytics cookies listed above will be collected automatically. You may refuse the storage of cookies through your web browser settings. However, blocking cookies may restrict your ability to use certain features, such as logging in.
10. Measures to Ensure the Security of Personal Information
The Company implements the following measures in accordance with applicable data protection laws:
- Access control. Access to personal information is restricted to the minimum number of authorized personnel, and administrator accounts are managed via UUID-based whitelisting.
- Encryption. Passwords are stored using one-way hashing, and payment card information is processed by Polar in compliance with PCI-DSS standards. All communications are encrypted using TLS (HTTPS).
- Security headers. Security headers including HSTS, CSP, and X-Frame-Options are applied to prevent web-based attacks.
- Access restrictions. CSRF tokens, API rate limiting, and IP-based anomalous access blocking are implemented.
- Monitoring. Real-time error detection and security event monitoring are performed through Sentry.
11. Personal Information of Children Under 14
The Company does not collect personal information from children under the age of 14. If a user is identified as being under 14 years of age, the Company will delete the account and destroy the collected information without delay.
12. Data Protection Officer
- Name
- Jung-hwi Kim
- Title
- Representative / DPO
- Contact
- service@gentoon.ai
13. Remedial Agencies for Privacy Infringement
If you need to report or seek consultation regarding a privacy infringement, you may contact the following organizations:
- Personal Information Protection Commission (PIPC)
- privacy.go.kr / Tel: 182
- Korea Internet & Security Agency (KISA)
- privacy.kisa.or.kr / Tel: 118
- Supreme Prosecutors' Office, Cybercrime Investigation Division
- spo.go.kr / Tel: (02) 3480-2000
- National Police Agency, Cyber Bureau
- ecrm.police.go.kr / Tel: (02) 392-0330
14. Changes to This Policy
- This Privacy Policy may be amended due to changes in applicable laws, regulations, or internal policies of the Company.
- Any amendments will be announced within the Service at least 7 days prior to the effective date of the change.
- This Policy has been in effect since January 1, 2025. The revision dated May 9, 2026 takes effect on the same date.
15۔ پیغامات کی برقراری کی پالیسی
کمپنی سروس کے اندر تبادلہ ہونے والے پیغامات کی نوعیت کے مطابق مختلف برقراری کی مدتیں لاگو کرتی ہے۔
AI کردار چیٹ
AI کرداروں کے ساتھ گفتگو اس وقت تک محفوظ رہتی ہے جب تک آپ خود اسے حذف نہ کر دیں۔ اسٹوریج کی کارکردگی برقرار رکھنے کے لیے، ایک سال (365 دن) سے غیر فعال سیشن خودکار طور پر آرکائیو میں منتقل ہو جاتے ہیں، اور دو سال (730 دن) سے غیر فعال انفرادی پیغامات خودکار اور مستقل طور پر حذف کر دیے جاتے ہیں۔ آپ کے پن کیے گئے (پسندیدہ) پیغامات خودکار حذف سے مستثنیٰ رہتے ہیں اور ان پن کرنے تک محفوظ رہتے ہیں۔
صارف سے صارف ڈائریکٹ میسجز (DMs)
صارفین کے درمیان تبادلہ ہونے والے ڈائریکٹ میسجز بھیجے جانے کے 180 دن بعد خودکار اور مستقل طور پر حذف ہو جاتے ہیں۔ جن پیغامات کی شرائطِ سروس کی خلاف ورزی پر شکایت کی گئی ہو یا جنہیں نگرانی کے لیے فلیگ کیا گیا ہو، انہیں شکایت حل ہونے تک، یا تنازعات کے حل اور قانونی تعمیل کے لیے قابلِ اطلاق قانون کے تحت درکار کسی بھی طویل مدت تک، علیحدہ رکھا جاتا ہے۔
صارف کی جانب سے حذف
جب آپ کوئی پیغام، گفتگو، یا اپنا اکاؤنٹ حذف کرتے ہیں، تو متعلقہ ڈیٹا بیک اپس سمیت بلا تاخیر مستقل طور پر حذف (ہارڈ ڈیلیٹ) کر دیا جاتا ہے۔ ادائیگی اور لین دین کے وہ ریکارڈز جنہیں قابلِ اطلاق اکاؤنٹنگ، ٹیکس یا تنازعات کے حل کے قوانین کے تحت برقرار رکھنا ضروری ہے، اس پالیسی کے سیکشن 3 کے مطابق علیحدہ رکھے جاتے ہیں۔
رسائی لاگز (AuditLog)
رسائی لاگز—بشمول IP ایڈریس، User-Agent اور ٹائم اسٹیمپ—کوریائی مواصلاتی رازداری کے تحفظ کے قانون کی دفعہ 15-2 کے تحت تفتیشی حکام کی قانونی درخواستوں کا جواب دینے کے لیے ایک (1) سال تک محفوظ رکھے جاتے ہیں، جس کے بعد خودکار طور پر حذف ہو جاتے ہیں۔ یہ شق سیکشن 3 میں بیان کردہ رسائی لاگز کی تین ماہ کی برقراری کی مدت کی جگہ لیتی ہے (9 مئی 2026 کو ترمیم شدہ)۔
16۔ قانون نافذ کرنے والے اور سرکاری اداروں کے ساتھ تعاون
کمپنی صارفین کی ذاتی معلومات کے تحفظ کے لیے پُرعزم ہے؛ تاہم، جہاں کوئی سرکاری ادارہ مناسب قانونی طریقہ کار کے بعد جائز درخواست پیش کرے، وہاں کمپنی قابلِ اطلاق قانون کے دائرے میں تعاون کرے گی۔
قانونی طریقہ کار
جہاں کوئی تفتیشی ادارہ، عدالت، یا دیگر سرکاری ادارہ وارنٹ، عدالتی حکم، یا دیگر جائز دستاویز پیش کر کے ڈیٹا طلب کرے، کمپنی قابلِ اطلاق قانون کے دائرے میں—بشمول کوریائی ذاتی معلومات تحفظ قانون، مواصلاتی رازداری تحفظ قانون کی دفعہ 15-2، اور ٹیلی کمیونیکیشن بزنس قانون کی دفعہ 83—صرف کم سے کم ضروری معلومات فراہم کرتی ہے۔ کمپنی وارنٹ یا حکم کے بغیر محض غیر رسمی درخواستوں کا جواب نہیں دیتی۔
صارف کو اطلاع
جب کمپنی کسی سرکاری ادارے کو صارف کی معلومات فراہم کرتی ہے، تو وہ مواصلاتی رازداری تحفظ قانون اور ذاتی معلومات تحفظ قانون کی اجازت کی حد تک متاثرہ صارف کو مطلع کرنے کی معقول کوشش کرے گی۔ ایسی اطلاع میں تاخیر کی جا سکتی ہے یا اسے چھوڑا جا سکتا ہے جہاں کوئی تفتیشی ادارہ عدم انکشاف کا حکم دے، جہاں اطلاع سے کسی تفتیش یا عدالتی کارروائی میں نمایاں رکاوٹ پڑ سکتی ہو، یا جہاں قانون کے تحت اطلاع ممنوع یا محدود ہو۔
صارف کے حقوق
صارفین ذاتی معلومات تحفظ قانون کی دفعہ 35 کے تحت سرکاری اداروں کو کیے گئے انکشافات کے ریکارڈز تک رسائی کی درخواست کر سکتے ہیں۔ جہاں صارف کو یقین ہو کہ کوئی انکشاف غیر قانونی تھا، وہ قانونی چارہ جوئی کر سکتا ہے، بشمول اسی قانون کی دفعہ 43 کے تحت ثالثی اور دفعہ 39 کے تحت ہرجانہ۔ متعلقہ سوالات کے لیے، براہِ کرم اس پالیسی کے سیکشن 12 میں نامزد ڈیٹا پروٹیکشن آفیسر سے رابطہ کریں۔
