1. Stručný přehled
Thanxful je aplikace, která Vám umožňuje vést osobní deník vděčnosti a — pokud si to přejete — získávat k Vašim zápisům postřehy generované umělou inteligencí. Váš deník patří Vám. Vašich zápisů se dotýkáme výhradně pro účely provozu Služby; nikdy je neprodáváme, nepoužíváme je pro reklamní účely a nedovolíme jejich použití k trénování jakýchkoli modelů umělé inteligence.
| Téma | Stručná odpověď |
|---|---|
| Správce údajů | Kadir Alan — OSVČ / fyzická osoba podnikající (şahıs şirketi), Turecko. Kontakt: [email protected]. |
| Které údaje jsou zpracovávány? | E-mail, jméno, profilová fotografie (volitelně), Vaše zápisy v deníku, nálada, údaje o zařízení a předplatném. |
| Proč? | K poskytování Služby, správě předplatného, zasílání připomínkových oznámení a — pouze pokud k tomu udělíte výslovný souhlas — generování postřehů z Vašich zápisů pomocí umělé inteligence. |
| S kým jsou údaje sdíleny? | S našimi poskytovateli služeb: Google Firebase (infrastruktura), OpenAI a Google Gemini (UI), RevenueCat (předplatné), Apple (přihlášení, oznámení, zabezpečení). Vaše údaje neprodáváme ani nepronajímáme. |
| Kde jsou ukládány? | Váš účet a deník se nacházejí v Evropské unii (Google Cloud europe-west1, Belgie). Vaše zápisy jsou přenášeny do USA pouze tehdy, pokud aktivujete funkci umělé inteligence. |
| Jak dlouho? | Do okamžiku, kdy svůj účet smažete. Po smazání jsou Vaše údaje neprodleně odstraněny z našich aktivních systémů a do 30 dnů rovněž ze záloh a protokolů. |
| Jaká jsou Vaše práva? | Přístup, oprava, výmaz, přenositelnost, námitka a odvolání souhlasu. Napište na [email protected] s předmětem Soukromí; odpovíme do 30 dnů. |
2. Totožnost správce údajů
Aplikaci Thanxful poskytuje Kadir Alan, který v Turecku působí jako OSVČ / fyzická osoba podnikající (şahıs şirketi).
| Správce údajů | Kadir Alan — OSVČ / fyzická osoba podnikající (şahıs şirketi), Turecko |
| Kontakt | [email protected] (uvedení slova Soukromí v předmětu pomůže správnému nasměrování Vašeho podání) |
Jako OSVČ se nacházíme pod hranicí povinné registrace v Registru správců údajů (VERBİS) podle KVKK i pod hranicí pro povinné jmenování pověřence pro ochranu osobních údajů podle čl. 37 GDPR; nemáme tedy povinnost registrace ve VERBİS ani jmenování DPO. Pokud se tato situace změní, tyto zásady aktualizujeme. Pokud potřebujete fyzickou doručovací adresu, napište nám prosím na [email protected]; adresu Vám sdělíme na základě Vaší žádosti.
3. Rozsah působnosti
Tyto zásady se vztahují na následující:
- iOS aplikace Thanxful publikovaná v Apple App Store (
com.aota.thanxfula beta verzecom.aota.thanxful.beta). - Internetové stránky
thanxful.app(propagační stránky, tyto právní dokumenty a související obsah).
Postupy ochrany soukromí třetích stran, na něž jste z aplikace nebo webu přesměrováni (např. Apple App Store, OpenAI, RevenueCat), se řídí vlastními zásadami příslušné služby; v těchto otázkách Správce údajů nenese odpovědnost.
4. Kategorie zpracovávaných osobních údajů
Zpracovávány jsou pouze osobní údaje nezbytné pro poskytování Služby. Údaje jsou členěny do šesti kategorií:
4.1 Identifikační údaje
Při vytvoření účtu jsou zpracovávány následující údaje:
- E-mailová adresa (povinné).
- Jméno / zobrazované jméno (volitelné; můžete jej kdykoli změnit nebo ponechat prázdné).
- Profilová fotografie (volitelné; ukládá se v Firebase Storage).
- Identifikátor uživatele Firebase automaticky generovaný systémem.
- Pokud použijete možnost Sign in with Apple: Váš e-mail (skutečný nebo aliasový e-mail Apple) a — pokud se rozhodnete jej sdílet — Vaše celé jméno. Apple nám nesděluje Vaše Apple ID.
4.2 Obsah deníku — může mít povahu zvláštní kategorie osobních údajů
U každého uloženého zápisu jsou zpracovávány následující údaje:
- Text zápisu (maximálně 3 000 znaků).
- Formátování bohatého textu (tučné, kurzíva, seznamy — maximálně 30 000 znaků, kódovaně).
- Volitelný výběr nálady.
- Informace o pobídce (prompt), na kterou jste reagovali (pokud existuje).
- Místní kalendářní datum.
Obsah deníku je osobní a citlivý. Podle čl. 6 KVKK a čl. 9 GDPR mohou texty deníku obsahovat zvláštní kategorie osobních údajů týkajících se Vašeho zdraví, náboženského vyznání, politických názorů, sexuálního života nebo členství v odborech. Z tohoto důvodu je zpracování obsahu Vašeho deníku umělou inteligencí zcela podmíněno Vaším výslovným souhlasem (viz §6).
4.3 Profilové a preferenční údaje
- Informace o sérii (aktuální a nejdelší série).
- Čas poslední aktivity a časové pásmo (časové pásmo IANA Vašeho zařízení, např.
Europe/Istanbul). - Jazyková preference (Vaše volba ze seznamu 30 jazyků).
- Preference motivu (Espresso, Cosmos, Oat apod.).
- Nastavení oznámení: zapnuté/vypnuté připomínky, čas připomínky a časové pásmo.
- Stav předplatného: zda máte aktivní prémiové předplatné (prostřednictvím RevenueCat; viz §7).
- Záznam výslovného souhlasu s UI — pouze přidávací (append-only) záznam Vašich úkonů udělení, odmítnutí nebo odvolání souhlasu, jejich zdroje (onboarding, po zápisu, po nákupu nebo Nastavení), časového razítka a počtu zobrazených pobídek. Tento záznam je veden v souladu s pokynem 5.1.2(i) Apple App Store Review Guideline.
4.4 Údaje o zařízení a používání
Při používání aplikace jsou automaticky zpracovávány následující údaje:
- Informace o zařízení: model, verze operačního systému, verze aplikace, lokalizace, země, časové pásmo a interní identifikátor instance aplikace používaný službou Firebase.
- Oznamovací token (token) FCM — token přidělený Vašemu zařízení službou Firebase Cloud Messaging k zasílání připomínek. Ukládá se ve Firestore propojený s Vaším účtem; obnovuje se po opětovné instalaci nebo odhlášení.
- Údaje o událostech: metadata jako kterou obrazovku jste si v aplikaci zobrazili, zda jste uložili zápis, zda jste otevřeli postřeh nebo zda jste zahájili nákup — ovšem obsah Vašich zápisů v těchto záznamech není obsažen.
- Hlášení pádů prostřednictvím Firebase Crashlytics (zásobník volání, stav zařízení v okamžiku pádu). V ladicích sestaveních je Crashlytics vypnut; v sestaveních distribuovaných uživatelům je aktivní.
Následující údaje nejsou zpracovávány:
- Vaše IP adresa uvnitř aplikace (Firebase Analytics nám tuto informaci neukazuje).
- Váš reklamní identifikátor (IDFA) — používá se verze Firebase bez AdSupport a signály personalizace reklamy jsou vypnuté.
4.5 Údaje o předplatném
Při nákupu předplatného Thanxful:
- Transakce je zpracována společností Apple (App Store). Vaše platební metoda ani údaje o platební kartě nám nejsou předávány.
- RevenueCat spravuje životní cyklus předplatného naším jménem. Údajem sdíleným s RevenueCat je Váš identifikátor uživatele Firebase; RevenueCat nám předává identifikátor produktu, stav, datum konce platnosti a datum obnovení.
4.6 Komunikace a zpětná vazba
- E-maily podpory, které zasíláte na adresu
[email protected]. - Žádosti o funkce a hlášení chyb odesílané z aplikace (denně omezené z důvodu prevence zneužití). Ukládá se text, který jste napsali, Váš identifikátor uživatele a čas odeslání. Při smazání Vašeho účtu je zpětná vazba anonymizována (identifikátor uživatele se změní na
"deleted_user"); samotný text není smazán, ale zaniká jeho propojení s Vámi.
4.7 Zkušební režim onboardingu (před založením účtu)
Pokud si chcete vyzkoušet jeden postřeh umělé inteligence bez založení účtu, jsou zpracovávány následující údaje:
- UUID zařízení generované Vaším zařízením (nikoli IDFA).
- IP adresa zhašovaná pomocí SHA-256 (surová IP adresa se neukládá).
- Token Apple DeviceCheck (k zabránění opakování zkoušky pro jedno zařízení).
Tyto údaje jsou krátkodobě zpracovávány výhradně za účelem omezení zkušebního režimu (jednou denně na zařízení, 20 globálně na IP denně) a prevence zneužití.
4.8 Zabezpečení
- Vaše heslo zámku aplikace (pokud se rozhodnete jej aktivovat) se ukládá výhradně v iOS Keychain Vašeho zařízení; Váš telefon neopouští. Vaše biometrické údaje (Face ID / Touch ID) zůstávají v Secure Enclave společnosti Apple; nejsou nám předávány.
5. Účely zpracování a právní důvody
Účel a právní důvod každé činnosti zpracování podle čl. 5–6 KVKK a čl. 6 GDPR jsou shrnuty v následující tabulce:
| Činnost zpracování | Účel | Právní důvod podle KVKK | Právní důvod podle GDPR |
|---|---|---|---|
| Vytvoření účtu a uložení Vašich zápisů | Základní poskytování Služby | Čl. 5/2(c) — uzavření a plnění smlouvy | Čl. 6(1)(b) — plnění smlouvy |
| Generování postřehů UI z Vašich zápisů | Pouze pokud udělíte výslovný souhlas | Čl. 6(2) — výslovný souhlas pro zvláštní kategorie osobních údajů | Čl. 6(1)(a) + čl. 9(2)(a) — výslovný souhlas pro zvláštní kategorie osobních údajů |
| Zasílání denních připomínek vděčnosti | Když je aktivujete v Nastavení | Čl. 5(1) — výslovný souhlas | Čl. 6(1)(a) — souhlas |
| Zpracování předplatného přes Apple a RevenueCat | Poskytnutí zakoupené služby | Čl. 5/2(c) — plnění smlouvy | Čl. 6(1)(b) — smlouva |
| Hlášení pádů a souhrnná produktová analytika | Poskytnutí spolehlivé a stabilní aplikace | Čl. 5/2(f) — oprávněný zájem | Čl. 6(1)(f) — oprávněný zájem |
| Opatření proti zneužití (DeviceCheck, hašování IP, kvótové limity) | Prevence podvodů a zneužívání nákladů | Čl. 5/2(f) — oprávněný zájem | Čl. 6(1)(f) — oprávněný zájem |
| Uchovávání platebních záznamů pro daňové a účetní účely | Plnění zákonné povinnosti | Čl. 5/2(a) — právní povinnost | Čl. 6(1)(c) — právní povinnost |
| Reagování na zákonné žádosti příslušných orgánů | Zákonný požadavek | Čl. 5/2(a) — právní povinnost | Čl. 6(1)(c) — právní povinnost |
Nezpracováváme Vás za účelem profilování, neprovádíme automatizované rozhodování s významnými dopady na Vaši osobu a Vaše osobní údaje neprodáváme ani nepronajímáme.
6. Zpracování obsahu Vašeho deníku umělou inteligencí
Tato část byla připravena jak v rámci pokynu 5.1.2(i) Apple App Store Review Guideline, tak speciálně pro Vás jako pro osobu, jíž patří deník.
Co se děje?
Pokud udělíte výslovný souhlas, Thanxful předá vybrané zápisy z Vašeho deníku poskytovatelům umělé inteligence třetích stran; tito poskytovatelé generují:
- Okamžitý postřeh — krátká reflexe k jednomu zápisu.
- Týdenní souhrn — souhrnná analýza posledních 7 dnů.
- Měsíční souhrn — hloubková analýza posledních 30 dnů.
Kdo zpracovává Vaše zápisy?
- OpenAI (primární poskytovatel) — modely
gpt-4o-miniagpt-4o. Servery jsou v USA. - Google Gemini (záložní poskytovatel, pokud OpenAI není dostupný) — na globální infrastruktuře společnosti Google.
Jaké údaje jsou předávány?
- Texty zápisů z analyzovaného období.
- Vaše zobrazované jméno (aby Vás postřeh mohl oslovovat jménem).
- Vaše jazyková preference (aby byl postřeh vygenerován ve Vašem jazyce).
Jaké údaje předávány nejsou?
- Vaše e-mailová adresa.
- Informace o sériích, stav předplatného nebo jiné profilové údaje.
- Žádné údaje jiného uživatele.
Doba uchovávání u poskytovatele
- OpenAI uchovává požadavky přicházející přes API maximálně po dobu 30 dnů za účelem zjišťování zneužití a poté je smaže. OpenAI nepoužívá data z API k trénování modelů. (Zdroj: OpenAI API Terms.)
- Google Gemini ve výchozím nastavení nepoužívá data z API k trénování modelů. (Zdroj: Google Gemini API Terms.)
Váš výslovný souhlas
- Váš výslovný souhlas je vyžádán v okamžiku, kdy by mohla být umělá inteligence poprvé aktivována — během onboardingu, po uložení zápisu nebo po prémiovém nákupu.
- Váš souhlas je veden v pouze přidávacím auditním záznamu (
users/{uid}/aiConsent). - Svůj souhlas můžete kdykoli odvolat: Nastavení → Výslovný souhlas s UI. Odvolání okamžitě zastaví budoucí zpracování. Postřehy vygenerované do té doby zůstávají ve Vaší historii, dokud je nebo svůj účet nesmažete.
- Jelikož Váš deník může obsahovat zvláštní kategorie osobních údajů podle čl. 6 KVKK a čl. 9 GDPR, právním důvodem pro předání poskytovatelům umělé inteligence je Váš výslovný souhlas.
Postřehy umělé inteligence nejsou lékařskou, právní ani terapeutickou radou
Postřehy jsou automaticky generované texty. Mohou být chybné, zavádějící nebo vytržené z kontextu. Nenahrazují licencovaného terapeuta, lékaře, právníka ani jiné odborníky. Pokud se nacházíte v tísni, doporučujeme obrátit se na kvalifikovaného odborníka, případně v naléhavých situacích na místní záchrannou službu.
7. Sdílení a třetí strany
Vaše osobní údaje jsou sdíleny pouze s níže uvedenými poskytovateli služeb a pouze pro uvedené účely. Každý poskytovatel je smluvně zavázán zpracovávat Vaše osobní údaje výhradně podle našich pokynů a přijímat odpovídající bezpečnostní opatření.
| Poskytovatel | Role | Sdílené údaje | Region | Zásady ochrany osobních údajů |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastruktura: ověřování identity, Firestore, Storage, Cloud Functions, oznámení, analytika, hlášení pádů, remote config, App Check | Veškeré profilové údaje, zápisy v deníku, FCM tokeny, analytické události, hlášení pádů | Firestore a Cloud Functions europe-west1 (Belgie, EU). Analytika a Crashlytics na globální infrastruktuře společnosti Google. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Generování postřehů UI | Text deníku, zobrazované jméno, jazyk — pouze pokud udělíte souhlas | USA | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Generování postřehů UI (záložní) | Stejně jako u OpenAI | USA / globálně | https://policies.google.com/privacy |
| RevenueCat, Inc. | Správa předplatného | Identifikátor uživatele Firebase, identifikátor produktu, stav předplatného, datum obnovení | USA | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, oznámení APNs, DeviceCheck, platby App Store | E-mail Apple ID, oznamovací tokeny, bity zařízení, záznam o nákupu | Infrastruktura Apple | https://www.apple.com/legal/privacy/ |
Poznámka k Meta / Facebook: v souboru Info.plist máme uvedeno deklaraci FacebookAppID: 2198469434228743 výhradně pro aktivaci URL schématu „Sdílet do Instagram Stories". Facebook SDK není používán; společnosti Meta nejsou zasílána žádná data. Pokud se rozhodnete sdílet — a pouze v takovém případě — je zvolený obrázek prostřednictvím iOS Share Sheet odeslán do aplikace Instagram.
Žádosti příslušných orgánů
Vaše osobní údaje budou příslušným orgánům zpřístupněny výhradně v rámci platného právního procesu v Turecku nebo platného právního procesu jiné země, která má nad námi jurisdikci. V rozsahu, v jakém je to ze zákona povoleno, Vás budeme o takové žádosti informovat.
Žádný prodej údajů
Vaše osobní údaje nejsou prodávány. Podle definic CCPA/CPRA nejsou „sdíleny" za účelem mimokontextové behaviorální reklamy.
8. Předávání do zahraničí
Váš účet a deník jsou uloženy v Evropské unii (Google Cloud europe-west1, Belgie).
Někteří naši poskytovatelé služeb se nacházejí ve Spojených státech amerických:
- OpenAI a Google Gemini přijímají Vaše zápisy v deníku (pouze pokud udělíte souhlas) za účelem zpracování umělou inteligencí.
- RevenueCat zpracovává stav Vašeho předplatného.
- Některé služby Apple a Firebase běží na globální infrastruktuře.
Právní mechanismy, na nichž jsou tato předání založena:
- V rámci GDPR: Standardní smluvní doložky (SCC) podle rozhodnutí Evropské komise 2021/914 obsažené ve smlouvách o zpracování osobních údajů uzavřených s každým poskytovatelem; technická opatření uplatňovaná během předávání i po něm (šifrování, kontrola přístupu). U poskytovatelů s certifikací EU–US Data Privacy Framework se navíc opíráme i o toto rozhodnutí o odpovídající ochraně.
- V rámci UK GDPR: UK International Data Transfer Addendum (IDTA) připojený ke stejným SCC.
- V rámci KVKK: opíráme se o následující soubor souběžných záruk:
- Pokud aktivujete funkci umělé inteligence, Váš výslovný souhlas podle čl. 9 KVKK pro předání obsahu deníku do USA;
- Smlouvy o zpracování osobních údajů (DPA) uzavřené s každým poskytovatelem — zejména Google Cloud / Firebase DPA (která zahrnuje SCC), OpenAI API Data Processing Addendum a RevenueCat DPA — jako smluvní záruka;
- Technická opatření uvedená v §11 (šifrování, App Check, minimalizace osobních údajů při protokolování).
Naším cílem je s každým poskytovatelem, který je ochoten ji podepsat, podepsat šablonu Standardní smlouvy vydanou Úřadem pro ochranu osobních údajů a do 5 pracovních dnů od podpisu o tom úřad informovat. V případech, kdy poskytovatel šablonu úřadu neakceptuje a používá vlastní DPA, uplatní se výše uvedený soubor záruk.
Kopii dokumentů o zárukách předávání si můžete vyžádat e-mailem na adrese [email protected].
9. Doba uchovávání
Osobní údaje jsou uchovávány pouze po dobu nezbytně nutnou.
| Údaj | Doba uchovávání |
|---|---|
| Údaje o účtu (e-mail, jméno, profil, preference) | Do okamžiku, kdy svůj účet smažete. |
| Zápisy v deníku, nálady, série | Dokud sami nesmažete, nepoužijete Reset obsahu nebo nesmažete svůj účet. |
| Záznam výslovného souhlasu s UI | Po dobu existence účtu, pouze přidávacím způsobem (na základě požadavku App Store 5.1.2(i)). Maže se spolu s účtem. |
| Generované postřehy UI (okamžité, týdenní, měsíční) | Dokud je nesmažete sami, nebo dokud nesmažete svůj účet. |
| Oznamovací tokeny FCM | Dokud Vaše zařízení nezruší registraci, neodhlásíte se nebo není účet smazán. |
| Hlášení pádů Crashlytics | 90 dnů (výchozí nastavení Google). |
| Údaje o událostech Firebase Analytics | 14 měsíců (minimální výchozí nastavení Google). |
| Záznamy serveru (Cloud Logging) | 400 dnů (obsah zápisu se neprotokoluje; viz §11). |
| Sledovací záznamy (Cloud Trace) | 15 dnů. |
| Žádosti o funkce / hlášení chyb | Uchovávány za účelem rozvoje produktu; při smazání účtu jsou anonymizovány odstraněním identifikátoru uživatele. |
| Platební záznamy (přes Apple a RevenueCat) | Po dobu vyžadovanou tureckými daňovými a obchodními předpisy — typicky 10 let. |
Když smažete svůj účet (Nastavení → Pokročilé → Smazat účet nebo e-mailem), Váš profil, zápisy, postřehy, úspěchy, záznam souhlasu s UI a FCM tokeny jsou okamžitě odstraněny z našich aktivních systémů. U mezipamětí poskytovatelů služeb, záloh a protokolů může dokončení mazání trvat až 30 dnů.
10. Vaše práva
V závislosti na zemi Vašeho pobytu Vám náleží všechna nebo některá z následujících práv:
KVKK čl. 11 (osoby s pobytem v Turecku):
- Zjistit, zda jsou Vaše osobní údaje zpracovávány.
- Pokud jsou zpracovávány, žádat o informaci o tom.
- Zjistit účel zpracování a zda jsou údaje využívány v souladu s tímto účelem.
- Zjistit třetí strany, jimž jsou údaje předávány v tuzemsku nebo zahraničí.
- Žádat opravu, jsou-li údaje neúplné nebo nesprávně zpracovány.
- Žádat výmaz nebo likvidaci údajů podle čl. 7 KVKK.
- Žádat oznámení žádostí o opravu, výmaz nebo likvidaci třetím stranám, jimž byly údaje předány.
- Vznést námitku proti nepříznivému výsledku vyplývajícímu z analýzy automatizovanými systémy.
- Pokud Vám vznikne škoda v důsledku protiprávního zpracování, žádat o její náhradu.
GDPR (osoby s pobytem v EU/EHP a Spojeném království):
- Přístup (čl. 15), oprava (čl. 16), výmaz (čl. 17), omezení zpracování (čl. 18), přenositelnost údajů (čl. 20), námitka (čl. 21), odvolání výslovného souhlasu (čl. 7). Naše samoobslužná obrazovka pro export ještě není připravena; pokud o to požádáte e-mailem, zašleme Vám Vaše zápisy a profilové údaje ve strukturovaném formátu JSON do 30 dnů.
CCPA / CPRA (obyvatelé Kalifornie):
- Právo zjistit, jaké osobní údaje jsou shromažďovány, jejich zdroje, účely a třetí strany.
- Právo na výmaz a opravu.
- Právo vznést námitku proti prodeji/sdílení osobních údajů — údaje neprodáváme ani nesdílíme; není proti čemu vznášet námitku.
- Právo omezit využití citlivých osobních údajů — citlivé údaje (obsah Vašeho deníku) nejsou využívány k jiným účelům než k těm uvedeným v §5.
- Právo nebýt diskriminován za uplatnění svých práv.
Jak můžete svá práva uplatnit?
Zašlete e-mail na adresu [email protected] s předmětem Žádost o ochranu soukromí a uveďte, které ze svých práv chcete uplatnit. Pro ověření Vaší totožnosti si můžeme vyžádat doplňující údaje (obvykle požádáním o odpověď z e-mailu registrovaného k Vašemu účtu). Podle čl. 13 KVKK a čl. 12 GDPR bude Vaše žádost vyřízena nejpozději do 30 dnů. Pokud bude potřeba dodatečná lhůta, sdělíme Vám důvod a očekávaný čas odpovědi.
Pokud si v rámci CCPA přejete podat žádost prostřednictvím zástupce, můžeme se s Vámi spojit i tak za účelem ověření zmocnění zástupce.
Není-li Vaše žádost zjevně neopodstatněná nebo nepřiměřená, je uplatnění těchto práv bezplatné.
Orgány pro podávání stížností
- Turecko: Úřad pro ochranu osobních údajů (KVKK) — https://www.kvkk.gov.tr/
- EU/EHP: úřad pro ochranu osobních údajů ve Vaší zemi — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Spojené království: Information Commissioner's Office — https://ico.org.uk/
- Kalifornie: California Privacy Protection Agency — https://cppa.ca.gov/
11. Opatření pro zabezpečení dat
Bezpečnost údajů je zohledněna od fáze návrhu. Uplatňovaná technická a organizační opatření zahrnují:
- Šifrování při přenosu — veškerý síťový provoz je šifrován pomocí TLS 1.2+.
- Šifrování při uložení — serverové šifrování AES-256 v Google Cloud.
- Ověřování identity — Firebase Auth; hesla nejsou nikdy uložena v otevřeném textu.
- App Check — Apple App Attest v produkční sestavě; požadavky z nedůvěryhodných zdrojů jsou odmítány.
- Apple DeviceCheck — brání zneužití při zkušebním režimu onboardingu.
- Přísná bezpečnostní pravidla Firestore — každý uživatel čte a zapisuje pouze své vlastní údaje.
- Izolace citlivých údajů — heslo zámku aplikace je uchováváno pouze v iOS Keychain; biometrické údaje zůstávají v Apple Secure Enclave.
- Protokoly s minimalizací osobních údajů — obsah deníku není zahrnut do serverových protokolů; ukládají se pouze metadata nezbytná pro provoz a ladění (identifikátor uživatele, typ události, stav).
- Správa tajných klíčů — API klíče (OpenAI, RevenueCat, Apple DeviceCheck) jsou uchovávány v Firebase Secret Manager; nejsou součástí kódu.
Jelikož žádný systém není zcela bezpečný, v případě zjištění porušení zabezpečení osobních údajů:
- v souladu s čl. 12 odst. 5 KVKK bude Úřad pro ochranu osobních údajů informován do 72 hodin;
- v souladu s čl. 33–34 GDPR budou obyvatelé EU/EHP informováni přímo a příslušné orgány obdrží potřebná oznámení.
12. Děti
Thanxful není určen dětem mladším 13 let. Pro používání Služby musíte být ve věku alespoň 13 let (viz §3 Podmínek používání). Pokud je Vám 13 až 16 let (digitální věk pro souhlas v některých členských státech EU), právní předpisy Vaší země mohou vyžadovat souhlas rodiče nebo zákonného zástupce. Podle čl. 15 tureckého občanského zákoníku (TMK) nemají nezletilí mladší 18 let plnou způsobilost k právním úkonům, a u uživatele mladšího 18 let je vyžadován souhlas rodiče nebo zákonného zástupce.
Vědomě neshromažďujeme osobní údaje od dětí mladších 13 let. Pokud jste rodičem nebo zákonným zástupcem a domníváte se, že Vaše dítě sdílelo bez Vašeho vědomí informace, napište nám na [email protected]; informace budou smazány.
Věkové hodnocení aplikace v App Store (4+) označuje, že obsah aplikace je vhodný pro všechny věkové kategorie (neobsahuje násilí, sexuální obsah ani vulgární výrazy). Toto hodnocení obsahu nemění smluvní zákaz pro mladší 13 let.
V průběhu onboardingu není pro uživatele zaveden samostatný věkový filtr (age gate); minimální věk je vynucován prostřednictvím psané smlouvy — tento přístup je v aplikacích pro deníky a wellness běžnou praxí.
13. Kalifornská ujasnění (CCPA / CPRA)
Pokud jste obyvatelem Kalifornie, vztahuje se na Vás vedle ostatních ustanovení této politiky i tato část.
Kategorie shromažďovaných osobních údajů (posledních 12 měsíců)
| Kategorie CCPA | Shromažďujeme? | Zdroj | Účel | Sdíleno s |
|---|---|---|---|---|
| Identifikátory (e-mail, identifikátor uživatele, identifikátor zařízení) | Ano | Vy; Vaše zařízení | Účet, zabezpečení, analytika | Firebase, RevenueCat |
| Záznamy o zákaznících v Kalifornii (Cal. Civ. Code §1798.80) | Ano (jméno) | Vy | Účet | Firebase |
| Chráněné klasifikace | Ne | — | — | — |
| Komerční informace (historie předplatného) | Ano | Apple, RevenueCat | Poskytování předplatného | RevenueCat |
| Biometrické informace | Ne (Face ID zůstává v zařízení) | — | — | — |
| Internetová / síťová aktivita | Omezeně (události aplikace, hlášení pádů) | Vaše zařízení | Analytika, spolehlivost | Firebase |
| Poloha | Pouze v hrubé úrovni (země / časové pásmo) | Vaše zařízení | Lokalizace obsahu | Firebase |
| Audio / vizuální | Profilová fotografie (volitelné) | Vy | Profil | Firebase Storage |
| Profesní nebo zaměstnanecké | Ne | — | — | — |
| Vzdělání | Ne | — | — | — |
| Odvozeniny | Ne | — | — | — |
| Citlivé osobní údaje | Obsah deníku se považuje za citlivý | Vy | Postřehy UI (pouze se souhlasem) | OpenAI, Google Gemini |
Vaše kalifornská práva
- Vědět / přístup — viz §10.
- Výmaz / oprava — viz §10.
- Námitka proti prodeji / sdílení — Vaše osobní údaje neprodáváme ani nesdílíme; není proti čemu vznášet námitku.
- Omezení využití citlivých údajů — citlivé údaje (obsah Vašeho deníku) jsou využívány pouze pro účely uvedené v §6 a s Vaším výslovným souhlasem.
- Nediskriminace — uplatňování těchto práv neomezí Váš přístup ke Službě, neuplatní se odlišná cena ani odlišná kvalita služby.
Pro podání žádosti napište na [email protected] s předmětem California Privacy Request. Vaši totožnost ověříme prostřednictvím e-mailu registrovaného k účtu.
Za poskytnutí osobních údajů není nabízen žádný finanční bonus.
14. Soubory cookie a podobné technologie
V iOS aplikaci: webové soubory cookie nejsou používány. Aplikace ukládá pouze ve Vašem zařízení v UserDefaults drobné preference (jako motiv, jazyk, preference oznámení) a v iOS Keychain heslo zámku aplikace. Tyto údaje nejsou sdíleny s námi ani s třetími stranami.
Na thanxful.app: Ke dni účinnosti této politiky propagační stránky nepoužívají soubory cookie, web-beacony ani analytické sledovače třetích stran. Pokud budou v budoucnu doplněny, bude tato část aktualizována, na webu se objeví okno se souhlasem s cookies a změna bude podle §15 zpracována jako podstatná změna.
15. Změny zásad
Tyto zásady mohou být čas od času aktualizovány. O podstatných změnách (změnách, které se týkají Vašich práv nebo způsobu zpracování Vašich údajů) Vás budeme informovat e-mailem a oznámením v aplikaci nejméně 30 dnů před nabytím účinnosti změny. U nepodstatných změn (oprav překlepů, vysvětlení) bude dokument aktualizován a v hlavičce bude aktualizováno Datum účinnosti.
Pokud s novou verzí nesouhlasíte, můžete přestat používat Službu a před datem účinnosti svůj účet smazat.
16. Kontakt
V případě jakýchkoli otázek, žádostí nebo stížností týkajících se ochrany soukromí:
- E-mail:
[email protected](předmět:Soukromí) - Správce údajů: Kadir Alan — OSVČ / fyzická osoba podnikající (şahıs şirketi), Turecko
Pokud potřebujete fyzickou doručovací adresu, napište nám prosím nejprve na [email protected]; adresu sdělíme na základě Vaší žádosti.
Dohledové orgány, k nimž lze podat stížnost, jsou uvedeny v §10.
17. Slovník
- KVKK — zákon č. 6698 o ochraně osobních údajů (Turecko).
- GDPR — obecné nařízení Evropské unie o ochraně osobních údajů 2016/679.
- CCPA / CPRA — California Consumer Privacy Act ve znění California Privacy Rights Act.
- COPPA — Children's Online Privacy Protection Act (USA, mladší 13 let).
- FCM — Firebase Cloud Messaging (infrastruktura oznámení).
- Zvláštní kategorie osobních údajů / citlivé údaje — typy údajů týkající se zdraví, náboženství, politických názorů, sexuálního života apod., které vyžadují zvýšenou ochranu podle čl. 6 KVKK a čl. 9 GDPR.
- Správce údajů — fyzická nebo právnická osoba, která určuje účely a prostředky zpracování osobních údajů a odpovídá za zřízení a správu systému evidence údajů (zde: Kadir Alan).
- Výslovný souhlas — souhlas vztahující se k určité záležitosti, založený na informovanosti a vyjádřený svobodnou vůlí.
Děkujeme, že nám důvěřujete na své cestě vděčnosti.
— Thanxful