1. Yhdellä silmäyksellä
Thanxful on sovellus, jonka avulla voitte pitää henkilökohtaista kiitollisuuspäiväkirjaa ja halutessanne saada tekoälyn tuottamia oivalluksia kirjoituksistanne. Päiväkirjanne kuuluu teille. Käsittelemme merkintöjänne yksinomaan palvelun toimittamiseksi. Emme koskaan myy tietojanne, käytä niitä mainontaan emmekä anna niitä minkään tekoälymallin koulutusaineistoksi.
| Aihe | Lyhyt vastaus |
|---|---|
| Rekisterinpitäjä | Kadir Alan — yksityinen elinkeinonharjoittaja (şahıs şirketi), Turkki. Yhteydenotot: [email protected]. |
| Mitä tietoja käsitellään? | Sähköpostiosoite, nimi, profiilikuva (vapaaehtoinen), päiväkirjamerkintänne, mieliala, laite- ja tilaustiedot. |
| Miksi? | Palvelun tarjoamiseksi, tilausten hallinnoimiseksi, muistutusten lähettämiseksi ja — ainoastaan teidän nimenomaisella suostumuksellanne — tekoälyn tuottamien oivallusten luomiseksi merkinnöistänne. |
| Kenen kanssa tietoja jaetaan? | Palveluntarjoajiemme kanssa: Google Firebase (infrastruktuuri), OpenAI ja Google Gemini (tekoäly), RevenueCat (tilaukset), Apple (kirjautuminen, ilmoitukset, turvallisuus). Tietojanne ei myydä eikä vuokrata. |
| Missä tiedot säilytetään? | Tilinne ja päiväkirjanne sijaitsevat Euroopan unionissa (Google Cloud europe-west1, Belgia). Päiväkirjamerkintänne siirretään Yhdysvaltoihin ainoastaan, jos otatte tekoälyominaisuuden käyttöön. |
| Kuinka pitkään? | Tilinne poistamiseen saakka. Kun poistatte tilinne, tietonne poistetaan välittömästi aktiivisista järjestelmistämme; varmuuskopioista ja lokeista tiedot poistetaan 30 päivän kuluessa. |
| Mitkä ovat oikeutenne? | Pääsy tietoihin, oikaisu, poisto, siirrettävyys, vastustaminen ja suostumuksen peruuttaminen. Lähettäkää sähköpostia osoitteeseen [email protected] aiheella Tietosuoja; vastaamme 30 päivän kuluessa. |
2. Rekisterinpitäjän tiedot
Thanxful-sovelluksen tarjoaa Turkissa yksityisenä elinkeinonharjoittajana (şahıs işletmesi) toimiva Kadir Alan.
| Rekisterinpitäjä | Kadir Alan — yksityinen elinkeinonharjoittaja (şahıs şirketi), Turkki |
| Yhteydenotot | [email protected] (merkitsemällä aiheeksi Tietosuoja autatte ohjaamaan pyyntönne oikein) |
Yksityisenä elinkeinonharjoittajana toimimme KVKK:n rekisterinpitäjien rekisterin (VERBİS) rekisteröintirajan ja GDPR:n 37 artiklan mukaisen tietosuojavastaavan nimittämisrajan alapuolella, joten meillä ei ole velvollisuutta rekisteröityä VERBİS-järjestelmään tai nimittää tietosuojavastaavaa (DPO). Mikäli tämä tilanne muuttuu, tämä seloste päivitetään. Voitte pyytää fyysistä tiedoksianto-osoitetta kirjoittamalla osoitteeseen [email protected]; tiedoksianto-osoite jaetaan pyyntönne perusteella.
3. Soveltamisala
Tämä seloste kattaa seuraavat:
- Apple App Storessa julkaistu Thanxful iOS -sovellus (
com.aota.thanxfulja betacom.aota.thanxful.beta). - Verkkosivusto
thanxful.app(esittelysivut, nämä oikeudelliset asiakirjat ja niihin liittyvä sisältö).
Sovelluksen tai sivuston kautta linkitettyjen kolmannen osapuolen palveluiden (esim. Apple App Store, OpenAI, RevenueCat) tietosuojakäytännöt ovat kyseisten palveluiden omien selosteiden alaisia; rekisterinpitäjällä ei ole vastuuta näiden osalta.
4. Käsiteltävien henkilötietojen luokat
Käsittelemme ainoastaan palvelun tarjoamisen kannalta välttämättömiä henkilötietoja. Tiedot jaetaan kuuteen luokkaan:
4.1 Tunnistetiedot
Kun luotte tilin, käsitellään seuraavia tietoja:
- Sähköpostiosoite (pakollinen).
- Nimi/näyttönimi (vapaaehtoinen; voitte muuttaa tai jättää tyhjäksi milloin tahansa).
- Profiilikuva (vapaaehtoinen; tallennetaan Firebase Storageen).
- Järjestelmän automaattisesti luoma Firebase-käyttäjätunniste.
- Jos käytätte Sign in with Apple -toimintoa: sähköpostiosoitteenne (oikea tai Applen yksityinen välitysosoite) ja, jos haluatte jakaa sen, koko nimenne. Apple ei välitä Apple ID:tänne meille.
4.2 Päiväkirjasisältö — voi olla erityisiin henkilötietoryhmiin kuuluvaa tietoa
Jokaisen tallennetun merkinnän osalta käsitellään seuraavia tietoja:
- Merkintäteksti (enintään 3 000 merkkiä).
- Rikastettu tekstimuotoilu (lihavointi, kursivointi, luettelot — enintään 30 000 merkkiä, koodattuna).
- Vapaaehtoinen mielialavalinta.
- Tieto vastaamastanne kehotteesta (prompt) (jos sellainen on).
- Paikallinen kalenteripäivämäärä.
Päiväkirjasisältö on henkilökohtaista ja arkaluonteista. KVKK:n 6 artiklan ja GDPR:n 9 artiklan mukaisesti päiväkirjatekstit voivat sisältää terveyteenne, uskonnolliseen vakaumukseenne, poliittisiin näkemyksiinne, sukupuolielämäänne tai ammattiyhdistystoimintaanne liittyviä erityisiin henkilötietoryhmiin kuuluvia tietoja. Tästä syystä päiväkirjasisältönne käsittely tekoälyllä perustuu kokonaisuudessaan nimenomaiseen suostumukseenne (ks. §6).
4.3 Profiili- ja asetustiedot
- Putkitiedot (nykyinen ja pisin putki).
- Viimeinen aktiivisuusajankohta ja aikavyöhyke (laitteenne IANA-aikavyöhyke, esim.
Europe/Istanbul). - Kielivalinta (valintanne 30 kielen luettelosta).
- Teemavalinta (Espresso, Cosmos, Oat jne.).
- Ilmoitusasetukset: muistutusten päällä-/poissaolotila, muistutusaika ja aikavyöhyke.
- Tilauksen tila: onko teillä aktiivinen premium-tilaus (RevenueCatin kautta; ks. §7).
- Tekoälyn nimenomaisen suostumuksen kirjaus — vain liitettävissä oleva (append-only) loki, joka sisältää suostumuksen antamiset, kieltäytymiset tai peruutukset, niiden lähteen (käyttöönotto, merkinnän jälkeen, oston jälkeen tai Asetukset), aikaleiman ja näytettyjen kehotteiden määrän. Tämä loki pidetään Apple App Storen tarkistusohjeen 5.1.2(i) edellyttämänä.
4.4 Laite- ja käyttötiedot
Sovelluksen käytön aikana seuraavia tietoja käsitellään automaattisesti:
- Laitetiedot: malli, käyttöjärjestelmäversio, sovellusversio, kielialue, maa, aikavyöhyke ja Firebasen sisäinen sovellusinstanssin tunniste.
- FCM-ilmoitusmerkki (token) — Firebase Cloud Messagingin laitteeseenne määrittämä merkki muistutusten lähettämistä varten. Tallennetaan Firestoreen tilinne yhteyteen; uudistetaan uudelleenasennuksen tai uloskirjautumisen jälkeen.
- Tapahtumatiedot: metatiedot kuten mitä näyttöä katsoitte sovelluksessa, tallensitteko merkinnän, avasitteko oivalluksen tai aloititteko ostotapahtuman — mutta merkintöjenne sisältö ei sisälly näihin tietoihin.
- Kaatumisraportit Firebase Crashlyticsin kautta (pinojäljitys, laitteen tila kaatumishetkellä). Crashlytics on poissa käytöstä debug-versioissa; käyttäjille jaettavissa versioissa se on käytössä.
Seuraavia tietoja ei käsitellä:
- IP-osoitettanne sovelluksen sisällä (Firebase Analytics ei näytä tätä tietoa meille).
- Mainostunnistettanne (IDFA) — käytössä on Firebasen AdSupportia sisältämätön versio ja mainosten personointisignaalit on poistettu käytöstä.
4.5 Tilaustiedot
Kun ostatte Thanxful-tilauksen:
- Maksutapahtuman suorittaa Apple (App Store). Maksutapaanne tai korttitietojanne ei välitetä meille.
- RevenueCat hoitaa tilauksen elinkaaren puolestamme. RevenueCatin kanssa jaetaan Firebase-käyttäjätunnisteenne; RevenueCat välittää meille tuotetunnisteen, tilan, viimeisen voimassaolopäivän ja uusimispäivämäärän.
4.6 Viestintä ja palaute
- Osoitteeseen
[email protected]lähettämänne tukisähköpostit. - Sovelluksen sisältä lähettämänne ominaisuuspyynnöt ja vikailmoitukset (väärinkäytön estämiseksi rajoitettu päiväkohtaisesti). Kirjoittamanne teksti, käyttäjätunnisteenne ja lähetysaika tallennetaan. Kun poistatte tilinne, palautteet anonymisoidaan (käyttäjätunniste muutetaan muotoon
"deleted_user"); itse tekstiä ei poisteta, mutta sen yhteys teihin katkaistaan.
4.7 Käyttöönoton kokeilu (ennen tilin luomista)
Jos haluatte kokeilla yhtä tekoälyn oivallusta ilman tilin luomista, käsitellään seuraavia tietoja:
- Laitteenne tuottama laitteen UUID (ei IDFA).
- SHA-256-tiivistetty IP-osoite (raakaa IP-osoitetta ei tallenneta).
- Apple DeviceCheck -merkki (kokeilun toistumisen estämiseksi laitekohtaisesti).
Näitä tietoja käsitellään ainoastaan lyhytaikaisesti kokeilun rajoittamiseksi (yksi kokeilu laitetta kohti päivässä, 20 kokeilua globaalia IP-osoitetta kohti päivässä) ja väärinkäytön estämiseksi.
4.8 Turvallisuus
- Sovelluslukon salasananne (jos otatte sen käyttöön) tallennetaan ainoastaan laitteenne iOS-avainnipussa (Keychain); se ei poistu puhelimestanne. Biometriset tietonne (Face ID / Touch ID) säilyvät Applen suojatussa lokerossa (Secure Enclave); niitä ei välitetä meille.
5. Käsittelyn tarkoitukset ja oikeusperusteet
Kunkin tietojenkäsittelytoiminnon tarkoitus ja KVKK:n 5–6 artiklan sekä GDPR:n 6 artiklan mukainen oikeusperuste esitetään alla taulukkomuodossa:
| Käsittelytoimi | Tarkoitus | KVKK-oikeusperuste | GDPR-oikeusperuste |
|---|---|---|---|
| Tilin luominen ja merkintöjenne tallentaminen | Palvelun perustarjonta | 5/2(c) art. — sopimuksen tekeminen ja täyttäminen | 6(1)(b) art. — sopimuksen täyttäminen |
| Tekoälyn oivallusten tuottaminen päiväkirjamerkinnöistänne | Ainoastaan teidän antaessanne nimenomaisen suostumuksen | 6(2) art. — nimenomainen suostumus erityisten henkilötietojen osalta | 6(1)(a) + 9(2)(a) art. — nimenomainen suostumus erityisten henkilötietojen osalta |
| Päivittäisten kiitollisuusmuistutusten lähettäminen | Kun otatte ne käyttöön Asetuksissa | 5(1) art. — nimenomainen suostumus | 6(1)(a) art. — suostumus |
| Tilauksen käsittely Applen ja RevenueCatin kautta | Ostamanne palvelun toimittaminen | 5/2(c) art. — sopimuksen täyttäminen | 6(1)(b) art. — sopimus |
| Kaatumisraportointi ja kumulatiivinen tuoteanalytiikka | Luotettavan ja vakaan sovelluksen tarjoaminen | 5/2(f) art. — oikeutettu etu | 6(1)(f) art. — oikeutettu etu |
| Väärinkäytön estotoimenpiteet (DeviceCheck, IP-tiivistys, kiintiörajat) | Petosten ja kustannusten väärinkäytön estäminen | 5/2(f) art. — oikeutettu etu | 6(1)(f) art. — oikeutettu etu |
| Maksutietojen säilyttäminen verotusta ja kirjanpitoa varten | Lakisääteisen velvoitteen täyttäminen | 5/2(a) art. — lakisääteinen velvoite | 6(1)(c) art. — lakisääteinen velvoite |
| Vastaaminen toimivaltaisten viranomaisten lainmukaisiin pyyntöihin | Lakisääteinen velvoite | 5/2(a) art. — lakisääteinen velvoite | 6(1)(c) art. — lakisääteinen velvoite |
Emme käsittele tietojanne profilointitarkoituksessa, emme suorita teihin merkittävästi vaikuttavia automatisoituja päätöksentekotoimintoja emmekä myy tai vuokraa henkilötietojanne.
6. Päiväkirjasisältönne käsittely tekoälyllä
Tämä jakso on laadittu sekä Apple App Storen tarkistusohjeen 5.1.2(i) mukaisesti että erityisesti teitä varten päiväkirjan omistajana.
Mitä tehdään?
Nimenomaisen suostumuksenne perusteella Thanxful välittää valitut päiväkirjamerkintänne kolmansien osapuolten tekoälypalveluntarjoajille; nämä palveluntarjoajat tuottavat:
- Välittömän oivalluksen — lyhyen reflektion yhdestä merkinnästä.
- Viikkoyhteenvedon — viimeisten 7 päivän tiivistelmäanalyysin.
- Kuukausiyhteenvedon — viimeisten 30 päivän syvällisen analyysin.
Kuka käsittelee merkintöjänne?
- OpenAI (ensisijainen palveluntarjoaja) —
gpt-4o-mini- jagpt-4o-mallit. Palvelimet sijaitsevat Yhdysvalloissa. - Google Gemini (varapalveluntarjoaja, kun OpenAI ei ole tavoitettavissa) — Googlen globaalissa infrastruktuurissa.
Mitä tietoja välitetään?
- Analysoitavan ajanjakson merkintätekstit.
- Näyttönimenne (jotta oivallus voi puhutella teitä nimellänne).
- Kielivalintanne (jotta oivallus tuotetaan teidän kielellänne).
Mitä tietoja ei välitetä?
- Sähköpostiosoitettanne.
- Putkitietoja, tilauksen tilaa tai muita profiilitietoja.
- Minkään muun käyttäjän tietoja.
Säilytysajat palveluntarjoajien puolella
- OpenAI säilyttää API:n kautta tulevat pyynnöt väärinkäytön havaitsemiseksi enintään 30 päivää ja poistaa ne sen jälkeen. OpenAI ei käytä API-tietoja mallien koulutukseen. (Lähde: OpenAI API -ehdot.)
- Google Gemini ei oletusarvoisesti käytä API-tietoja mallien koulutukseen. (Lähde: Google Gemini API -ehdot.)
Nimenomainen suostumuksenne
- Nimenomaista suostumustanne pyydetään ensimmäisellä mahdollisella tekoälyn käyttöhetkellä — käyttöönotossa, merkinnän tallentamisen jälkeen tai premium-oston jälkeen.
- Suostumuksenne tallennetaan vain liitettävissä olevaan tarkastuslokiin (
users/{uid}/aiConsent). - Voitte peruuttaa suostumuksenne milloin tahansa: Asetukset → Tekoälyn nimenomainen suostumus. Peruuttaminen pysäyttää tulevan käsittelyn välittömästi. Siihen mennessä tuotetut oivallukset säilyvät historiassanne, kunnes poistatte ne tai tilinne.
- Koska päiväkirjanne voi sisältää KVKK:n 6 artiklan ja GDPR:n 9 artiklan tarkoittamia erityisiä henkilötietoja, tekoälypalveluntarjoajille siirtämisen oikeusperuste on nimenomainen suostumuksenne.
Tekoälyn oivallukset eivät ole lääketieteellistä, oikeudellista tai terapeuttista neuvontaa
Oivallukset ovat automaattisesti tuotettuja tekstejä. Ne voivat olla virheellisiä, harhaanjohtavia tai irrallaan asiayhteydestä. Ne eivät korvaa lisensoitua terapeuttia, lääkäriä, asianajajaa tai muuta asiantuntijaa. Mikäli koette ahdistusta, suosittelemme kääntymään pätevän asiantuntijan puoleen tai hätätilanteissa paikallisten hätäpalvelujen puoleen.
7. Jakaminen ja kolmannet osapuolet
Henkilötietojanne jaetaan ainoastaan alla lueteltujen palveluntarjoajien kanssa ja vain ilmoitettuihin tarkoituksiin. Kukin palveluntarjoaja on sopimuksellisesti velvoitettu käsittelemään henkilötietojanne ainoastaan ohjeidemme mukaisesti ja toteuttamaan asianmukaiset turvatoimenpiteet.
| Palveluntarjoaja | Rooli | Jaetut tiedot | Alue | Tietosuojaseloste |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastruktuuri: tunnistautuminen, Firestore, Storage, Cloud Functions, ilmoitukset, analytiikka, kaatumisraportit, etäkonfiguraatio, App Check | Kaikki profiilitiedot, päiväkirjamerkinnät, FCM-merkit, analytiikkatapahtumat, kaatumisraportit | Firestore ja Cloud Functions sijainnissa europe-west1 (Belgia, EU). Analytiikka ja Crashlytics Googlen globaalissa infrastruktuurissa. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Tekoälyn oivallusten tuottaminen | Päiväkirjateksti, näyttönimi, kieli — ainoastaan suostumuksenne perusteella | Yhdysvallat | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Tekoälyn oivallusten tuottaminen (varajärjestelmä) | Sama kuin OpenAI | Yhdysvallat / globaali | https://policies.google.com/privacy |
| RevenueCat, Inc. | Tilausten hallinta | Firebase-käyttäjätunniste, tuotetunniste, tilauksen tila, uusimispäivämäärä | Yhdysvallat | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, APNs-ilmoitukset, DeviceCheck, App Store -maksut | Apple ID -sähköposti, ilmoitusmerkit, laitteen bitti, ostokirjaus | Applen infrastruktuuri | https://www.apple.com/legal/privacy/ |
Huomautus Metasta / Facebookista: Info.plist-tiedostossamme on ainoastaan Instagram Stories -jakamisen URL-skeeman aktivoimista varten ilmoitettu FacebookAppID: 2198469434228743. Facebook SDK:ta ei käytetä; Metalle ei lähetetä mitään tietoja. Kun valitsette jakamisen — ja vain siinä tapauksessa — valitsemanne kuva välitetään Instagram-sovellukseen iOS:n jakosivun kautta.
Toimivaltaisten viranomaisten pyynnöt
Henkilötietojanne luovutetaan toimivaltaisille viranomaisille ainoastaan Turkin voimassa olevan oikeudellisen menettelyn tai sellaisen maan voimassa olevan oikeudellisen menettelyn yhteydessä, jolla on lainkäyttövaltaa meihin nähden. Lain salliessa teille ilmoitetaan tällaisista pyynnöistä.
Tietoja ei myydä
Henkilötietojanne ei myydä. CCPA/CPRA:n määritelmien mukaisesti niitä ei myöskään "jaeta" asiayhteydestä riippumatonta käyttäytymismainontaa varten.
8. Tietojen siirto ulkomaille
Tilinne ja päiväkirjanne säilytetään Euroopan unionissa (Google Cloud europe-west1, Belgia).
Osa palveluntarjoajistamme sijaitsee Yhdysvalloissa:
- OpenAI ja Google Gemini vastaanottavat päiväkirjamerkintänne (ainoastaan suostumuksenne perusteella) tekoälykäsittelyä varten.
- RevenueCat käsittelee tilauksenne tilan.
- Osa Applen ja Firebasen palveluista toimii globaalissa infrastruktuurissa.
Näihin siirtoihin sovellettavat oikeusmekanismit:
- GDPR:n osalta: EU-komission päätökseen 2021/914 perustuvat vakiosopimuslausekkeet (SCC), jotka sisältyvät kunkin palveluntarjoajan kanssa allekirjoitettuihin tietojenkäsittelysopimuksiin; siirron aikana ja sen jälkeen sovellettavat tekniset toimenpiteet (salaus, pääsynvalvonta). EU–US Data Privacy Framework -sertifikaatin omaavien palveluntarjoajien osalta perusteena käytetään lisäksi tätä riittävyyspäätöstä.
- Yhdistyneen kuningaskunnan GDPR:n osalta: samoihin SCC-lausekkeisiin liitetty UK International Data Transfer Addendum (IDTA).
- KVKK:n osalta: seuraava monikerroksinen takeisto:
- Tekoälyominaisuuden käyttöönoton yhteydessä KVKK:n 9 artiklan mukainen nimenomainen suostumuksenne päiväkirjasisältönne siirtämiseen Yhdysvaltoihin;
- Kunkin palveluntarjoajan kanssa tehdyt tietojenkäsittelysopimukset (DPA) — erityisesti Google Cloud / Firebase DPA (sisältää SCC:t), OpenAI API Data Processing Addendum ja RevenueCat DPA — sopimuksellisena takeena;
- §11:ssä luetellut tekniset toimenpiteet (salaus, App Check, henkilötietojen minimointi tallennuksessa).
Tavoitteenamme on allekirjoittaa Turkin tietosuojaviranomaisen julkaiseman Standart Sözleşme -mallisopimuksen jokaisen sen hyväksyvän palveluntarjoajan kanssa ja tehdä viranomaiselle ilmoitus 5 työpäivän kuluessa allekirjoituspäivästä. Mikäli palveluntarjoaja ei hyväksy viranomaisen mallia ja käyttää omaa DPA:taan, sovelletaan edellä mainittuja takeita.
Voitte pyytää kopion siirtotakeista kirjoittamalla osoitteeseen [email protected].
9. Säilytysaika
Henkilötietoja säilytetään ainoastaan tarpeellisen ajan.
| Tieto | Säilytysaika |
|---|---|
| Tilitiedot (sähköposti, nimi, profiili, asetukset) | Tilinne poistamiseen saakka. |
| Päiväkirjamerkinnät, mielialat, putkitiedot | Niin kauan kuin ette poista niitä itse, käytä Sisällön nollausta tai poista tiliänne. |
| Tekoälyn nimenomaisen suostumuksen loki | Tilin koko keston ajan, vain liitettävissä olevassa muodossa (App Storen 5.1.2(i) -vaatimuksen mukaisesti). Poistetaan tilin mukana. |
| Tuotetut tekoälyn oivallukset (välitön, viikoittainen, kuukausittainen) | Niin kauan kuin ette poista niitä itse tai poista tiliänne. |
| FCM-ilmoitusmerkit | Kunnes laitteenne peruuttaa rekisteröintinsä, kirjaudutte ulos tai tili poistetaan. |
| Crashlyticsin kaatumisraportit | 90 päivää (Googlen oletusasetus). |
| Firebase Analyticsin tapahtumatiedot | 14 kuukautta (Googlen vähimmäisoletus). |
| Palvelinlokit (Cloud Logging) | 400 päivää (merkintäsisältö ei tallennu lokeihin; ks. §11). |
| Jäljityskirjaukset (Cloud Trace) | 15 päivää. |
| Ominaisuuspyynnöt / vikailmoitukset | Säilytetään tuotteen kehittämistä varten; tilin poistamisen yhteydessä anonymisoidaan poistamalla käyttäjätunniste. |
| Maksukirjaukset (Applen ja RevenueCatin kautta) | Turkin vero- ja kauppalainsäädännön edellyttämä aika — tyypillisesti 10 vuotta. |
Kun poistatte tilinne (Asetukset → Lisäasetukset → Poista tili tai sähköpostitse), profiilinne, merkintänne, oivalluksenne, saavutuksenne, tekoälyn suostumuslokinne ja FCM-merkkinne poistetaan välittömästi aktiivisista järjestelmistämme. Palveluntarjoajien välimuistien, varmuuskopioiden ja lokien osalta poiston täydellinen toteutuminen voi kestää enintään 30 päivää.
10. Oikeutenne
Asuinmaastanne riippuen teillä on kaikki tai osa seuraavista oikeuksista:
KVKK:n 11 artikla (Turkissa asuvat):
- Oikeus saada tietää, käsitelläänkö henkilötietojanne.
- Pyytää tietoja käsittelystä, mikäli sitä on tapahtunut.
- Saada tietoa käsittelyn tarkoituksesta ja siitä, käytetäänkö tietoja tarkoituksen mukaisesti.
- Saada tietoa kotimaassa tai ulkomailla siirretyistä kolmansista osapuolista.
- Pyytää tietojen oikaisua, jos ne on käsitelty puutteellisesti tai virheellisesti.
- Pyytää tietojen poistamista tai hävittämistä KVKK:n 7 artiklan mukaisesti.
- Pyytää oikaisu-, poisto- ja hävittämispyyntöjen ilmoittamista kolmansille osapuolille, joille tietoja on siirretty.
- Vastustaa automaattisilla järjestelmillä tehdyn analyysin perusteella syntynyttä epäedullista tulosta.
- Vaatia vahingonkorvausta, jos lainvastaisen käsittelyn vuoksi on aiheutunut vahinkoa.
GDPR (EU-/ETA- ja Yhdistyneen kuningaskunnan asukkaat):
- Oikeus saada pääsy tietoihin (15 art.), oikaisu (16 art.), poisto (17 art.), käsittelyn rajoittaminen (18 art.), tietojen siirrettävyys (20 art.), vastustaminen (21 art.), nimenomaisen suostumuksen peruuttaminen (7 art.). Itsepalveluvientinäkymäämme ei ole vielä toteutettu; sähköpostipyyntönne perusteella toimitamme merkintänne ja profiilitietonne strukturoidussa JSON-muodossa 30 päivän kuluessa.
CCPA / CPRA (Kalifornian asukkaat):
- Oikeus saada tietää, mitä henkilötietoja kerätään, niiden lähteet, tarkoitukset ja kolmannet osapuolet.
- Oikeus poistoon ja oikaisuun.
- Oikeus vastustaa henkilötietojen myyntiä/jakamista — emme myy emmekä jaa tietoja; vastustettavaa ei ole.
- Oikeus rajoittaa arkaluonteisten henkilötietojen käyttöä — arkaluonteisia tietoja (päiväkirjasisältöänne) ei käytetä §5:ssä mainittujen tarkoitusten ulkopuolella.
- Oikeus välttää syrjintää oikeuksien käyttämisen vuoksi.
Miten voitte käyttää oikeuksianne?
Lähettäkää sähköpostia osoitteeseen [email protected] aiheella Tietosuojapyyntö ja ilmoittakaa, mitä oikeuttanne haluatte käyttää. Saatamme pyytää lisätietoja henkilöllisyytenne vahvistamiseksi (yleensä pyytämällä teitä vastaamaan tilillenne rekisteröidystä sähköpostiosoitteesta). KVKK:n 13 artiklan ja GDPR:n 12 artiklan mukaisesti pyyntönne käsitellään viimeistään 30 päivän kuluessa. Mikäli lisäaikaa tarvitaan, ilmoitamme teille syyn ja odotetun vastausajan.
Mikäli haluatte tehdä CCPA:n mukaisen pyynnön välittäjän kautta, saatamme silti ottaa teihin yhteyttä välittäjän valtuutuksen vahvistamiseksi.
Näiden oikeuksien käyttö on maksutonta, ellei pyyntönne ole ilmeisen perusteeton tai kohtuuton.
Valitusten käsittelyelimet
- Turkki: Kişisel Verileri Koruma Kurumu (KVKK) — https://www.kvkk.gov.tr/
- EU/ETA: oman maanne tietosuojaviranomainen — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Yhdistynyt kuningaskunta: Information Commissioner's Office — https://ico.org.uk/
- Kalifornia: California Privacy Protection Agency — https://cppa.ca.gov/
11. Tietoturvatoimenpiteet
Tietoturva on huomioitu suunnitteluvaiheesta lähtien. Toteutetut tekniset ja hallinnolliset toimenpiteet sisältävät:
- Salaus siirron aikana — kaikki verkkoliikenne salataan TLS 1.2+ -standardilla.
- Salaus säilytyksen aikana — Google Cloudin palvelinpuolen AES-256-salaus.
- Tunnistautuminen — Firebase Auth; salasanoja ei koskaan tallenneta selkokielisinä.
- App Check — tuotantoversiossa Apple App Attest; epäluotettavista lähteistä tulevat pyynnöt hylätään.
- Apple DeviceCheck — estää väärinkäytön käyttöönoton kokeiluissa.
- Tiukat Firestoren turvallisuussäännöt — kukin käyttäjä lukee ja kirjoittaa ainoastaan omia tietojaan.
- Arkaluonteisten tietojen eristäminen — sovelluslukon salasana säilytetään ainoastaan iOS-avainnipussa; biometriset tiedot säilyvät Applen Secure Enclavessa.
- Henkilötietojen minimointi lokeissa — päiväkirjasisältöä ei sisällytetä palvelinlokeihin; ainoastaan käytön ja virheenkorjauksen kannalta tarpeelliset metatiedot (käyttäjätunniste, tapahtumatyyppi, tila) kirjataan.
- Salaisten avaimien hallinta — API-avaimet (OpenAI, RevenueCat, Apple DeviceCheck) säilytetään Firebase Secret Managerissa; ne eivät sisälly koodiin.
Koska mikään järjestelmä ei ole täysin turvallinen, henkilötietojen tietoturvaloukkauksen havaitsemisen tapauksessa:
- KVKK:n 12 artiklan 5 momentin mukainen ilmoitus tehdään Kişisel Verileri Koruma Kurumulle 72 tunnin kuluessa;
- GDPR:n 33–34 artiklan mukaiset tarpeelliset ilmoitukset tehdään suoraan EU-/ETA-asukkaille ja asianomaisille viranomaisille.
12. Lapset
Thanxful ei ole suunnattu alle 13-vuotiaille lapsille. Palvelun käyttäminen edellyttää vähintään 13 vuoden ikää (ks. Käyttöehdot §3). Mikäli olette 13–16-vuotias (joissakin EU:n jäsenvaltioissa digitaalisen suostumuksen ikäraja), asuinmaanne lainsäädäntö voi edellyttää vanhemman tai huoltajan suostumusta. Turkin siviililain (TMK) 15 artiklan mukaisesti alle 18-vuotiailla alaikäisillä ei ole täyttä sopimuskelpoisuutta, joten alle 18-vuotiaan käyttäjän osalta vaaditaan vanhemman tai huoltajan suostumus.
Alle 13-vuotiailta lapsilta ei tietoisesti kerätä henkilötietoja. Mikäli olette vanhempi tai huoltaja ja epäilette lapsenne jakaneen tietoja tietämättänne, lähettäkää sähköpostia osoitteeseen [email protected]; tiedot poistetaan.
Sovelluksen App Storen ikäluokitus (4+) tarkoittaa, että sovelluksen sisältö sopii kaikenikäisille (ei sisällä väkivaltaa, seksuaalista sisältöä tai karkeaa kieltä). Tämä sisältöluokitus ei muuta alle 13-vuotiaita koskevaa sopimuskieltoa.
Käyttöönoton yhteydessä käyttäjille ei ole erillistä ikätarkistusta (age gate), vaan vähimmäisikä toteutetaan kirjallisen sopimuksen kautta — tämä on yleinen käytäntö päiväkirja- ja hyvinvointisovelluksissa.
13. Kalifornian (CCPA / CPRA) tiedonannot
Mikäli olette Kalifornian asukas, tämä jakso koskee teitä tämän selosteen muiden osien lisäksi.
Kerättyjen henkilötietojen luokat (viimeiset 12 kuukautta)
| CCPA-luokka | Kerätäänkö? | Lähde | Tarkoitus | Jaettu osapuoli |
|---|---|---|---|---|
| Tunnisteet (sähköposti, käyttäjätunniste, laitetunniste) | Kyllä | Te; laitteenne | Tili, turvallisuus, analytiikka | Firebase, RevenueCat |
| Kalifornian asiakastiedot (Cal. Civ. Code §1798.80) | Kyllä (nimi) | Te | Tili | Firebase |
| Suojatut luokitukset | Ei | — | — | — |
| Kaupalliset tiedot (tilaushistoria) | Kyllä | Apple, RevenueCat | Tilauksen toimittaminen | RevenueCat |
| Biometriset tiedot | Ei (Face ID säilyy laitteessa) | — | — | — |
| Internet- / verkkotoiminta | Rajoitettu (sovellustapahtumat, kaatumisraportit) | Laitteenne | Analytiikka, luotettavuus | Firebase |
| Sijainti | Vain karkealla tasolla (maa / aikavyöhyke) | Laitteenne | Sisällön lokalisointi | Firebase |
| Ääni / kuva | Profiilikuva (vapaaehtoinen) | Te | Profiili | Firebase Storage |
| Ammatilliset tai työllisyystiedot | Ei | — | — | — |
| Koulutus | Ei | — | — | — |
| Päätelmät | Ei | — | — | — |
| Arkaluonteiset henkilötiedot | Päiväkirjasisältö katsotaan arkaluonteiseksi | Te | Tekoälyn oivallukset (vain suostumuksella) | OpenAI, Google Gemini |
Kalifornian-oikeutenne
- Tiedonsaanti / pääsy — ks. §10.
- Poisto / oikaisu — ks. §10.
- Myynnin / jakamisen vastustaminen — henkilötietojanne ei myydä eikä jaeta; vastustettavaa ei ole.
- Arkaluonteisten tietojen käytön rajoittaminen — arkaluonteisia tietoja (päiväkirjasisältöänne) käytetään ainoastaan §6:ssä kuvattuihin tarkoituksiin ja nimenomaisella suostumuksellanne.
- Syrjinnän välttäminen — näiden oikeuksien käyttäminen ei rajoita pääsyänne palveluun, johda eri hinnoitteluun tai eri laatuun.
Pyynnön voi tehdä kirjoittamalla osoitteeseen [email protected] aiheella California Privacy Request. Henkilöllisyytenne vahvistetaan tilillenne rekisteröidystä sähköpostiosoitteesta.
Henkilötietojen vastineeksi ei tarjota taloudellisia kannustimia.
14. Evästeet ja vastaavat teknologiat
iOS-sovelluksen sisällä: verkkoevästeitä ei käytetä. Sovellus tallentaa vain laitteellenne UserDefaults-tallennustilaan pieniä asetuksia (kuten teema, kieli, ilmoitusasetus) ja iOS-avainnippuun sovelluslukon salasanan. Näitä tietoja ei jaeta meidän tai kolmansien osapuolten kanssa.
Sivustolla thanxful.app: Tämän selosteen voimaantulopäivänä esittelysivusto ei käytä evästeitä, web-jäljitteitä tai kolmansien osapuolten analytiikkaseuraajia. Mikäli niitä lisätään myöhemmin, tämä jakso päivitetään, sivustolla näytetään evästesuostumusbanneri (cookie banner) ja muutos käsitellään §15:n mukaisena olennaisena muutoksena.
15. Selosteen muutokset
Tätä selostetta voidaan päivittää aika ajoin. Olennaisista muutoksista (muutokset, jotka vaikuttavat oikeuksiinne tai tietojenne käsittelytapaan) teille ilmoitetaan sähköpostitse ja sovelluksen sisäisellä ilmoituksella vähintään 30 päivää ennen muutoksen voimaantuloa. Vähäisten muutosten (kirjoitusvirheiden korjaukset, selvennykset) yhteydessä asiakirja päivitetään ja yläosassa oleva voimaantulopäivä päivitetään.
Mikäli ette hyväksy uutta versiota, voitte lopettaa palvelun käytön ja poistaa tilinne ennen voimaantulopäivää.
16. Yhteystiedot
Kaikkia tietosuojaan liittyviä kysymyksiä, pyyntöjä ja valituksia varten:
- Sähköposti:
[email protected](aihe:Tietosuoja) - Rekisterinpitäjä: Kadir Alan — yksityinen elinkeinonharjoittaja (şahıs şirketi), Turkki
Mikäli tarvitsette fyysisen tiedoksianto-osoitteen, kirjoittakaa ensin osoitteeseen [email protected]; osoite jaetaan pyyntönne perusteella.
Valvontaviranomaiset, joille voitte tehdä valituksen, on lueteltu §10:ssä.
17. Sanasto
- KVKK — laki nro 6698 henkilötietojen suojasta (Turkki).
- GDPR — Euroopan unionin yleinen tietosuoja-asetus 2016/679.
- CCPA / CPRA — California Consumer Privacy Act, sellaisena kuin se on muutettuna California Privacy Rights Actilla.
- COPPA — Children's Online Privacy Protection Act (Yhdysvallat, alle 13-vuotiaat).
- FCM — Firebase Cloud Messaging (ilmoitusinfrastruktuuri).
- Erityisiin henkilötietoryhmiin kuuluva tieto / arkaluonteinen tieto — terveyteen, uskontoon, poliittisiin näkemyksiin, sukupuolielämään ym. liittyvä tieto, joka edellyttää KVKK:n 6 artiklan ja GDPR:n 9 artiklan mukaisesti tehostettua suojaa.
- Rekisterinpitäjä — luonnollinen henkilö tai oikeushenkilö, joka määrittelee henkilötietojen käsittelyn tarkoitukset ja keinot ja vastaa rekisterijärjestelmän perustamisesta ja hallinnasta (tässä: Kadir Alan).
- Nimenomainen suostumus — tiettyä asiaa koskeva, tietoon perustuva ja vapaalla tahdolla annettu suostumus.
Kiitos, että luotatte meihin kiitollisuusmatkallanne.
— Thanxful