1. एक नज़र में
हमने Thanxful इसलिए बनाया है ताकि आप एक निजी कृतज्ञता डायरी रख सकें और — यदि आप चाहें — अपनी लिखी बातों पर AI द्वारा उत्पन्न चिंतन प्राप्त कर सकें। आपकी डायरी आपकी है। हम इसे केवल सेवा संचालित करने के लिए छूते हैं। हम आपका डेटा कभी नहीं बेचते और आपकी प्रविष्टियों का उपयोग कभी भी AI मॉडलों को प्रशिक्षित करने के लिए नहीं करते।
| विषय | संक्षिप्त उत्तर |
|---|---|
| Thanxful कौन चलाता है? | Kadir Alan, तुर्किये में पंजीकृत एक एकल स्वामित्व / sole proprietor (şahıs şirketi)। संपर्क: [email protected]। |
| आप क्या एकत्र करते हैं? | आपका ईमेल, नाम, डायरी प्रविष्टियाँ, मनोदशा (mood), डिवाइस और सदस्यता जानकारी। |
| क्यों? | ऐप संचालित करने, सदस्यताएँ प्रदान करने, अनुस्मारक भेजने और — केवल यदि आप स्पष्ट सहमति देते हैं — आपकी प्रविष्टियों से AI अंतर्दृष्टि उत्पन्न करने के लिए। |
| आप किसके साथ साझा करते हैं? | हमारे सेवा प्रदाता: Google Firebase (बैकएंड), OpenAI और Google Gemini (AI), RevenueCat (सदस्यता), Apple (साइन-इन, पुश, दुरुपयोग-रोधी)। हम आपका डेटा किसी को भी नहीं बेचते या किराये पर नहीं देते। |
| यह कहाँ संग्रहीत है? | आपका खाता और डायरी यूरोपीय संघ में रहती है (europe-west1, बेल्जियम)। आपकी प्रविष्टियाँ केवल तभी संयुक्त राज्य अमेरिका जाती हैं जब आप AI अंतर्दृष्टि का अनुरोध करते हैं। |
| कितने समय तक? | जब तक आप अपना खाता हटा नहीं देते। जब आप हटाते हैं, तो आपका डेटा हमारे सक्रिय सिस्टम से तुरंत हटा दिया जाता है और बैकअप तथा लॉग से 30 दिनों के भीतर। |
| आपके क्या अधिकार हैं? | पहुँच, सुधार, विलोपन, सुवाह्यता (portability), आपत्ति और सहमति वापसी। विषय Privacy Request के साथ [email protected] पर ईमेल करें। हम 30 दिनों के भीतर उत्तर देते हैं। |
2. हम कौन हैं
Thanxful iOS के लिए एक कृतज्ञता डायरी ऐप है जिसे Kadir Alan द्वारा प्रकाशित किया गया है, जो तुर्किये में संचालित एक एकल स्वामित्व / sole proprietor (şahıs şirketi) हैं।
| डेटा नियंत्रक (Data controller) (veri sorumlusu) | Kadir Alan — एकल स्वामित्व / sole proprietor (şahıs şirketi), तुर्किये |
| संपर्क | [email protected] (विषय पंक्ति में Privacy शामिल करें) |
EU/UK सामान्य डेटा संरक्षण विनियम (GDPR) और तुर्किये के व्यक्तिगत डेटा संरक्षण कानून संख्या 6698 (KVKK) के प्रयोजनों के लिए, Kadir Alan Thanxful iOS ऐप और thanxful.app वेबसाइट के माध्यम से प्रसंस्कृत व्यक्तिगत डेटा के लिए डेटा नियंत्रक (veri sorumlusu) हैं।
KVKK की VERBİS सीमा और GDPR अनुच्छेद 37 की DPO सीमा से नीचे संचालित एक एकल स्वामी के रूप में, हमें VERBİS के साथ पंजीकरण करने या डेटा संरक्षण अधिकारी (Data Protection Officer) नियुक्त करने की आवश्यकता नहीं है। यदि यह बदलता है, तो हम इस नीति को अद्यतन करेंगे। यदि आपको कानूनी सूचनाएँ देने के लिए डाक पत्राचार पता चाहिए, तो पहले [email protected] पर ईमेल करें — हम तुरंत एक पता प्रदान करेंगे।
3. कार्यक्षेत्र
यह नीति निम्नलिखित पर लागू होती है:
- Apple App Store पर Thanxful iOS ऐप (
com.aota.thanxfulऔर बीटाcom.aota.thanxful.beta)। thanxful.appवेबसाइट (विपणन पृष्ठ, ये कानूनी दस्तावेज़ और कोई भी सहायक सामग्री)।
यह उन तृतीय-पक्ष सेवाओं पर लागू नहीं होती जिन तक आप बाहरी लिंक के माध्यम से पहुँचते हैं (उदा., Apple का App Store, OpenAI की वेबसाइट, RevenueCat का प्लेटफ़ॉर्म)। वे सेवाएँ अपनी स्वयं की गोपनीयता नीतियों के अंतर्गत संचालित होती हैं।
4. हम जो जानकारी एकत्र करते हैं
हम केवल वही एकत्र करते हैं जो सेवा संचालित करने के लिए आवश्यक है। हम इसे छह श्रेणियों में समूहीकृत करते हैं:
4.1 पहचान डेटा
जब आप एक खाता बनाते हैं, तो हम एकत्र करते हैं:
- ईमेल पता (आवश्यक)।
- प्रदर्शन नाम (display name) (वैकल्पिक; आप बदल सकते हैं या खाली छोड़ सकते हैं)।
- प्रोफ़ाइल फ़ोटो (वैकल्पिक; Firebase Storage में संग्रहीत)।
- एक अद्वितीय Firebase उपयोगकर्ता ID (स्वचालित रूप से उत्पन्न; आंतरिक रूप से उपयोग किया गया)।
- यदि आप Sign in with Apple का उपयोग करते हैं: आपका ईमेल (वास्तविक या Apple का निजी रिले) और, पहले साइन-इन पर, यदि आप साझा करना चुनते हैं तो आपका पूरा नाम। Apple अपनी Apple ID हमारे साथ साझा नहीं करता है।
4.2 डायरी सामग्री — विशेष-श्रेणी डेटा (special-category data)
डायरी प्रविष्टियाँ ऐप का हृदय हैं। आपके द्वारा सहेजी गई प्रत्येक प्रविष्टि के लिए, हम संग्रहीत करते हैं:
- प्रविष्टि का पाठ (अधिकतम 3,000 अक्षर तक)।
- रिच-टेक्स्ट स्वरूपण (बोल्ड, इटैलिक, सूचियाँ — अधिकतम 30,000 अक्षर तक, एन्कोडेड)।
- वैकल्पिक मनोदशा (mood) चयन।
- आपके द्वारा प्रत्युत्तर दिया गया संकेत (prompt) (यदि कोई हो)।
- स्थानीय कैलेंडर तिथि (ताकि आपको अपने जीवन के प्रत्येक दिन के लिए एक प्रविष्टि मिले, न कि प्रत्येक UTC दिन के लिए एक)।
डायरी प्रविष्टियाँ व्यक्तिगत और संवेदनशील हैं। GDPR अनुच्छेद 9 और KVKK अनुच्छेद 6 के तहत, एक डायरी में डेटा की विशेष श्रेणियाँ हो सकती हैं (उदाहरण के लिए, सामग्री जो आपके स्वास्थ्य, धार्मिक विश्वासों, राजनीतिक विचारों, यौनिकता या ट्रेड-यूनियन सदस्यता को प्रकट करती है)। हम सभी डायरी सामग्री को विशेष-श्रेणी डेटा के रूप में मानते हैं और जब इसे AI अंतर्दृष्टि के लिए प्रसंस्कृत किया जाता है तो आपकी स्पष्ट सहमति पर निर्भर करते हैं (देखें §6)।
4.3 प्रोफ़ाइल और प्राथमिकताएँ
- स्ट्रीक्स (streaks) (वर्तमान और सबसे लंबी)।
- अंतिम सक्रिय टाइमस्टैम्प और समय क्षेत्र (आपके डिवाइस का IANA समय क्षेत्र, उदा.,
Europe/Istanbul)। - भाषा वरीयता (आपकी चुनी हुई ऐप भाषा, 30 की सूची से)।
- थीम वरीयता (Espresso, Cosmos, Oat, इत्यादि)।
- अधिसूचना सेटिंग्स: क्या अनुस्मारक चालू हैं, अनुस्मारक का समय और समय क्षेत्र।
- सदस्यता स्थिति: क्या आपके पास एक सक्रिय प्रीमियम सदस्यता है (RevenueCat से; देखें §7)।
- AI सहमति रिकॉर्ड — आपकी AI-सहमति क्रियाओं (दी गई, अस्वीकृत, रद्द की गई), स्रोत (onboarding, post-entry, post-purchase, या Settings), टाइमस्टैम्प और दिखाई गई संकेत संख्या का एक केवल-संलग्न (append-only) लॉग। यह लॉग Apple App Store समीक्षा दिशानिर्देश 5.1.2(i) द्वारा आवश्यक है।
4.4 डिवाइस और उपयोग डेटा
जब आप ऐप का उपयोग करते हैं तो हम स्वचालित रूप से एकत्र करते हैं:
- डिवाइस पहचानकर्ता जो आपका डिवाइस Firebase Analytics को रिपोर्ट करता है: डिवाइस मॉडल, OS संस्करण, ऐप संस्करण, स्थानीयता (locale), देश, समय क्षेत्र और Firebase का आंतरिक app instance ID।
- FCM पुश टोकन — Firebase Cloud Messaging द्वारा प्रति-इंस्टॉल नियत एक टोकन ताकि हम आपको अनुस्मारक भेज सकें। आपके खाते के अंतर्गत Firestore में संग्रहीत और पुनः-इंस्टॉल या साइन-आउट पर घुमाया गया।
- ईवेंट डेटा: आपने ऐप में क्या किया — आपने कौन-सी स्क्रीन देखी, क्या आपने एक प्रविष्टि सहेजी, क्या आपने एक अंतर्दृष्टि खोली, क्या आपने चेकआउट प्रारंभ किया — लेकिन आपकी प्रविष्टियों की सामग्री नहीं।
- क्रैश रिपोर्ट Firebase Crashlytics के माध्यम से (स्टैक ट्रेस, क्रैश के समय डिवाइस की स्थिति)। Crashlytics डिबग बिल्ड पर अक्षम है। यह उस रिलीज़ बिल्ड पर सक्षम है जो उपयोगकर्ताओं को भेजी जाती है।
हम एकत्र नहीं करते:
- ऐप के अंदर आपका IP पता (Firebase Analytics इसे हमें प्रकट नहीं करता)।
- आपका विज्ञापन पहचानकर्ता (IDFA) — हम Firebase के गैर-AdSupport प्रकार का उपयोग करते हैं और विज्ञापन-वैयक्तिकरण संकेतों को अक्षम करते हैं।
4.5 सदस्यता डेटा
जब आप एक Thanxful सदस्यता खरीदते हैं:
- लेनदेन Apple (App Store) द्वारा संसाधित किया जाता है। हम आपकी भुगतान विधि या कार्ड विवरण कभी नहीं देखते।
- RevenueCat हमारी ओर से सदस्यता जीवनचक्र को संभालता है। हम RevenueCat के साथ आपकी Firebase उपयोगकर्ता ID साझा करते हैं; RevenueCat हमारे साथ उत्पाद ID, स्थिति, समाप्ति तिथि और नवीनीकरण तिथि साझा करता है।
4.6 संचार और प्रतिक्रिया
- सहायता ईमेल जो आप
[email protected]पर भेजते हैं। - फ़ीचर अनुरोध और बग रिपोर्ट जो आप ऐप के अंदर से सबमिट करते हैं (दुरुपयोग को रोकने के लिए प्रति दिन कुछ तक दर-सीमित)। हम आपके द्वारा लिखा गया पाठ, आपकी उपयोगकर्ता ID और टाइमस्टैम्प संग्रहीत करते हैं। जब आप अपना खाता हटाते हैं, तो प्रतिक्रिया को हटाने के बजाय अनामीकृत किया जाता है (उपयोगकर्ता ID को
"deleted_user"से बदल दिया जाता है), क्योंकि यह हमें उत्पाद बनाने में मदद करता है; आपके द्वारा लिखा गया पाठ अब आपसे जुड़ा नहीं रहता।
4.7 Onboarding परीक्षण (खाता बनाने से पहले)
यदि आप साइन इन करने से पहले एक एकल AI अंतर्दृष्टि आज़माते हैं, तो हम एकत्र करते हैं:
- आपके डिवाइस द्वारा उत्पन्न एक डिवाइस UUID (IDFA नहीं)।
- एक हैश किया गया IP पता (SHA-256 — हम कच्चा IP कभी संग्रहीत नहीं करते)।
- एक Apple DeviceCheck टोकन (ताकि Apple हमें बता सके कि क्या डिवाइस ने पहले से ही परीक्षण का उपयोग किया है)।
इनका उपयोग केवल परीक्षण को दर-सीमित करने (प्रति डिवाइस प्रति दिन एक, प्रति वैश्विक IP प्रति दिन 20) और दुरुपयोग को रोकने के लिए किया जाता है। ये जल्दी समाप्त हो जाते हैं।
4.8 सुरक्षा
- आपका ऐप-लॉक पासकोड (यदि आप एक सक्षम करते हैं) केवल आपके डिवाइस पर iOS Keychain में संग्रहीत होता है। यह आपके फ़ोन को कभी नहीं छोड़ता। आपका बायोमेट्रिक (Face ID / Touch ID) डेटा Apple के Secure Enclave में रहता है; हम इसे कभी प्राप्त नहीं करते।
5. हम आपकी जानकारी का उपयोग कैसे और क्यों करते हैं
प्रत्येक प्रसंस्करण गतिविधि के लिए हम आपको बताते हैं कि हम क्या करते हैं और GDPR अनुच्छेद 6 तथा KVKK अनुच्छेद 5 के तहत हमारा कानूनी आधार क्या है।
| हम क्या करते हैं | क्यों | कानूनी आधार (GDPR Art. 6) | कानूनी आधार (KVKK Art. 5/6) |
|---|---|---|---|
| आपका खाता बनाना और बनाए रखना; आपकी प्रविष्टियाँ संग्रहीत करना | हम इसके बिना ऐप नहीं चला सकते | 6(1)(b) अनुबंध का निष्पादन | 5(2)(c) अनुबंध निष्पादन से सीधे संबंधित |
| आपकी डायरी प्रविष्टियों से AI अंतर्दृष्टि उत्पन्न करना | केवल यदि आप स्पष्ट रूप से सहमत होते हैं | 6(1)(a) सहमति + 9(2)(a) विशेष-श्रेणी डेटा के लिए स्पष्ट सहमति | 6(2) विशेष-श्रेणी डेटा के लिए स्पष्ट लिखित सहमति |
| दैनिक कृतज्ञता अनुस्मारक भेजना | आप इसे Settings में चालू करते हैं | 6(1)(a) सहमति | 5(1) स्पष्ट सहमति |
| Apple और RevenueCat के माध्यम से सदस्यता खरीद को संसाधित करना | ताकि हम आपको वह दे सकें जिसके लिए आपने भुगतान किया | 6(1)(b) अनुबंध | 5(2)(c) अनुबंध |
| क्रैश रिपोर्टिंग (Crashlytics) और सकल उत्पाद विश्लेषण | क्रैश ठीक करने और यह समझने के लिए कि क्या उपयोगी है | 6(1)(f) वैध हित — एक विश्वसनीय ऐप चलाना | 5(2)(f) वैध हित |
| दुरुपयोग-रोधी: DeviceCheck बिट्स, IP हैशिंग, परीक्षण और प्रतिक्रिया पर दर सीमाएँ | स्पैम और AI के लागत-दुरुपयोग को रोकने के लिए | 6(1)(f) वैध हित — सुरक्षा | 5(2)(f) वैध हित |
| कर और लेखांकन के लिए भुगतान-संबंधित रिकॉर्ड रखना | कानूनी आवश्यकता | 6(1)(c) कानूनी दायित्व | 5(2)(a) कानूनी दायित्व |
| अधिकारियों से वैध अनुरोधों का जवाब देना | हम जहाँ आवश्यक हो वहाँ अनुपालन करेंगे | 6(1)(c) कानूनी दायित्व | 5(2)(a) कानूनी दायित्व |
हम आपकी प्रोफ़ाइल नहीं बनाते, हम स्वचालित निर्णय-निर्माण नहीं करते जो आपको महत्वपूर्ण रूप से प्रभावित करता है, और हम आपका डेटा किसी को भी नहीं बेचते या किराये पर नहीं देते।
6. आपकी डायरी का AI प्रसंस्करण
यह अनुभाग App Store समीक्षा दिशानिर्देश 5.1.2(i) के लिए और आपके लिए — वह व्यक्ति जिसकी डायरी शामिल है — के लिए है। इसे ध्यान से पढ़ें।
क्या होता है
जब आप AI अंतर्दृष्टि के लिए स्पष्ट रूप से सहमत होते हैं, तो Thanxful चयनित डायरी प्रविष्टियों का पाठ तृतीय-पक्ष AI प्रदाताओं को भेजता है ताकि वे उत्पन्न कर सकें:
- तत्काल अंतर्दृष्टि — एक प्रविष्टि पर एक संक्षिप्त चिंतन।
- साप्ताहिक सारांश — पिछले 7 दिनों की प्रविष्टियों का एक संक्षिप्त सारांश।
- मासिक सारांश — पिछले 30 दिनों की प्रविष्टियों का एक गहरा विश्लेषण।
आपकी प्रविष्टियाँ कौन प्रसंस्कृत करता है
- OpenAI (प्राथमिक), मॉडल
gpt-4o-miniऔरgpt-4oका उपयोग करते हुए। सर्वर संयुक्त राज्य अमेरिका में। - Google Gemini (बैकअप, यदि OpenAI अनुपलब्ध है)। सर्वर संयुक्त राज्य अमेरिका / Google के वैश्विक बुनियादी ढाँचे में।
हम क्या भेजते हैं
- विश्लेषित अवधि के लिए आपकी प्रविष्टियों का पाठ।
- आपका प्रदर्शन नाम (ताकि अंतर्दृष्टि आपको नाम से संबोधित कर सके)।
- आपकी पसंदीदा भाषा (ताकि अंतर्दृष्टि आपकी भाषा में वापस आए)।
हम क्या नहीं भेजते
- आपका ईमेल पता।
- आपकी स्ट्रीक संख्याएँ, सदस्यता स्थिति या कोई प्रोफ़ाइल डेटा।
- किसी अन्य उपयोगकर्ता का कोई डेटा।
AI प्रदाताओं द्वारा प्रतिधारण
- OpenAI दुरुपयोग निगरानी के लिए API इनपुट को 30 दिनों तक रखता है, फिर उन्हें हटा देता है। OpenAI मॉडलों को प्रशिक्षित करने के लिए API डेटा का उपयोग नहीं करता। (स्रोत: OpenAI API Terms।)
- Google Gemini डिफ़ॉल्ट रूप से मॉडलों को प्रशिक्षित करने के लिए API डेटा का उपयोग नहीं करता। (स्रोत: Google Gemini API Terms।)
आपकी सहमति
- हम आपकी स्पष्ट सहमति पहली बार माँगते हैं जब AI का उपयोग किया जा सकता है — onboarding के दौरान, एक प्रविष्टि सहेजने के बाद या एक प्रीमियम खरीद के बाद।
- आपकी सहमति एक छेड़छाड़-स्पष्ट केवल-संलग्न लॉग (
users/{uid}/aiConsent) में दर्ज की जाती है। - आप किसी भी समय अपनी सहमति वापस ले सकते हैं Settings → AI Consent में। वापसी भविष्य के AI प्रसंस्करण को तुरंत अवरुद्ध कर देती है। पहले से उत्पन्न पिछली अंतर्दृष्टियाँ आपके इतिहास में तब तक रहती हैं जब तक आप उन्हें या अपने खाते को नहीं हटाते।
- GDPR अनुच्छेद 9(2)(a) और KVKK अनुच्छेद 6(2) के तहत, आपकी डायरी में विशेष-श्रेणी डेटा हो सकता है। आपकी स्पष्ट सहमति इसे AI प्रदाताओं को भेजने का कानूनी आधार है।
AI अंतर्दृष्टि चिकित्सीय, कानूनी या उपचारात्मक सलाह नहीं है
AI-उत्पन्न अंतर्दृष्टि स्वचालित रूप से उत्पादित पाठ हैं। ये गलत, भ्रामक या संदर्भ से बाहर हो सकती हैं। ये एक लाइसेंस प्राप्त चिकित्सक, डॉक्टर, वकील या अन्य पेशेवर का विकल्प नहीं हैं। यदि आप संकट में हैं, तो एक योग्य पेशेवर से संपर्क करें या, आपातकालीन स्थिति में, स्थानीय आपातकालीन सेवाओं से।
7. साझाकरण और तृतीय पक्ष
हम व्यक्तिगत डेटा केवल नीचे सूचीबद्ध सेवा प्रदाताओं के साथ और केवल दिखाए गए उद्देश्यों के लिए साझा करते हैं। प्रत्येक प्रदाता आपके डेटा को केवल हमारे निर्देशों पर प्रसंस्कृत करने और उपयुक्त सुरक्षा उपाय लागू करने के लिए संविदात्मक रूप से बाध्य है।
| प्रदाता | भूमिका | साझा डेटा | क्षेत्र | उनकी गोपनीयता नीति |
|---|---|---|---|---|
| Google LLC (Firebase) | बैकएंड: प्रमाणीकरण, Firestore डेटाबेस, Storage, Cloud Functions, Messaging, Analytics, Crashlytics, Remote Config, App Check | सभी प्रोफ़ाइल डेटा, डायरी प्रविष्टियाँ, FCM टोकन, एनालिटिक्स ईवेंट, क्रैश रिपोर्ट | Firestore और Cloud Functions europe-west1 में (बेल्जियम, EU)। Analytics और Crashlytics Google के वैश्विक बुनियादी ढाँचे पर। |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | AI अंतर्दृष्टि निर्माण | डायरी प्रविष्टि का पाठ, प्रदर्शन नाम, भाषा — केवल जब आप सहमत हों | संयुक्त राज्य अमेरिका | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | AI अंतर्दृष्टि निर्माण (बैकअप) | OpenAI के समान | संयुक्त राज्य अमेरिका / वैश्विक | https://policies.google.com/privacy |
| RevenueCat, Inc. | सदस्यता प्रबंधन | Firebase उपयोगकर्ता ID, उत्पाद ID, सदस्यता स्थिति, नवीनीकरण तिथि | संयुक्त राज्य अमेरिका | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, पुश अधिसूचनाएँ (APNs), DeviceCheck, App Store भुगतान | Apple ID ईमेल, पुश टोकन, डिवाइस बिट्स, खरीद रिकॉर्ड | Apple बुनियादी ढाँचा | https://www.apple.com/legal/privacy/ |
Meta / Facebook: हमारी Info.plist फ़ाइल Facebook App ID 2198469434228743 को केवल iOS "Share to Instagram Stories" URL योजना सक्षम करने के लिए घोषित करती है। हम Facebook SDK शामिल नहीं करते। हम Meta को कोई डेटा नहीं भेजते। Meta केवल वही छवि प्राप्त करता है जिसे आप साझा करना चुनते हैं, यदि और जब आप उसे साझा करते हैं — ठीक उसी तरह जैसे किसी अन्य "Share Sheet" गंतव्य के साथ।
कानून प्रवर्तन और कानूनी अनुरोध
हम सार्वजनिक प्राधिकारियों को व्यक्तिगत डेटा केवल तभी प्रकट करेंगे जब हम तुर्किये में एक वैध कानूनी प्रक्रिया द्वारा या किसी अन्य देश में जिसका हम पर वैध अधिकार क्षेत्र है, उसके द्वारा आवश्यक हों। जहाँ कानूनी रूप से अनुमति है, हम आपको ऐसे अनुरोध के बारे में सूचित करेंगे।
डेटा की कोई बिक्री नहीं
हम आपका व्यक्तिगत डेटा नहीं बेचते। हम इसे क्रॉस-संदर्भ व्यवहारिक विज्ञापन के लिए "साझा" नहीं करते (जैसा कि उन शब्दों को California Consumer Privacy Act / CPRA के तहत परिभाषित किया गया है)।
8. अंतर्राष्ट्रीय डेटा स्थानांतरण
आपका खाता और डायरी यूरोपीय संघ (Google Cloud europe-west1, बेल्जियम) में संग्रहीत हैं।
हमारे कुछ सेवा प्रदाता संयुक्त राज्य अमेरिका में हैं:
- OpenAI और Google Gemini AI प्रसंस्करण के लिए आपकी डायरी प्रविष्टियाँ प्राप्त करते हैं (केवल जब आप सहमत हों)।
- RevenueCat आपकी सदस्यता स्थिति को प्रसंस्कृत करता है।
- कुछ Apple और Firebase सेवाएँ वैश्विक बुनियादी ढाँचे पर चलती हैं।
हम इन स्थानांतरणों के लिए निम्नलिखित कानूनी तंत्रों पर निर्भर करते हैं:
- GDPR: प्रत्येक प्रदाता के साथ हमारे डेटा-प्रसंस्करण समझौतों (DPAs) में निहित मानक संविदात्मक खंड (SCCs, EU Commission Decision 2021/914), तकनीकी उपायों (पारगमन और विश्राम में एन्क्रिप्शन, प्रति-सेवा एक्सेस नियंत्रण) द्वारा पूरक। EU–US Data Privacy Framework के तहत प्रमाणित प्रदाताओं के लिए, हम अतिरिक्त रूप से उस पर्याप्तता निर्णय पर निर्भर करते हैं।
- UK GDPR: उन्हीं SCCs से संलग्न UK International Data Transfer Addendum (IDTA)।
- KVKK (तुर्किये): निम्नलिखित का संयोजन
- KVKK Art. 9(1) के तहत आपकी स्पष्ट सहमति जब आप AI अंतर्दृष्टि के लिए सहमत होते हैं (आपकी डायरी सामग्री केवल तभी स्थानांतरित की जाती है जब आपने AI चालू किया हो);
- संविदात्मक सुरक्षा के रूप में प्रत्येक प्रदाता के साथ हस्ताक्षरित डेटा-प्रसंस्करण समझौते (DPAs), प्रदाता की अपनी GDPR/KVKK-संरेखित शर्तों को लागू करते हुए — विशेष रूप से Google Cloud / Firebase DPA (जो SCCs को शामिल करता है), OpenAI API Data Processing Addendum और RevenueCat DPA;
- §11 में सूचीबद्ध तकनीकी उपाय (एन्क्रिप्शन, App Check, न्यूनतम लॉगिंग) जो मिलकर 2024–2026 KVKK सुधार के तहत "उपयुक्त सुरक्षा" प्रदान करते हैं।
हम तुर्की डेटा संरक्षण प्राधिकरण के Standart Sözleşme (Standard Contract) टेम्पलेट को प्रत्येक प्रदाता के साथ निष्पादित करने की दिशा में काम कर रहे हैं जो उन पर हस्ताक्षर करने को तैयार है, और — जहाँ हस्ताक्षर किया गया है — प्राधिकरण के साथ आवश्यक 5-व्यावसायिक-दिवस अधिसूचना दाखिल करेंगे। जहाँ एक प्रदाता KVKK टेम्पलेट को स्वीकार नहीं करता और अपने स्वयं के DPA पर जोर देता है, हम ऊपर दिए गए संयुक्त सुरक्षा उपायों पर निर्भर करते हैं।
आप [email protected] पर लिखकर हमसे स्थानांतरण-सुरक्षा दस्तावेज़ों की एक प्रति माँग सकते हैं।
9. प्रतिधारण
हम व्यक्तिगत डेटा केवल तब तक रखते हैं जब तक हमें इसकी आवश्यकता होती है।
| डेटा | प्रतिधारण |
|---|---|
| खाता डेटा (ईमेल, नाम, प्रोफ़ाइल, प्राथमिकताएँ) | जब तक आप अपना खाता नहीं हटाते। |
| डायरी प्रविष्टियाँ, मनोदशाएँ, स्ट्रीक्स | जब तक आप उन्हें व्यक्तिगत रूप से नहीं हटाते, अपनी सामग्री रीसेट नहीं करते (Settings → Reset Account), या अपना खाता नहीं हटाते। |
| AI सहमति लॉग | आपके खाते के जीवन के लिए केवल-संलग्न (App Store Guideline 5.1.2(i) द्वारा आवश्यक)। आपके खाते के साथ हटाया गया। |
| AI-उत्पन्न अंतर्दृष्टि (तत्काल, साप्ताहिक, मासिक) | जब तक आप उन्हें या अपना खाता नहीं हटाते। |
| FCM पुश टोकन | जब तक आपका डिवाइस अपंजीकृत नहीं हो जाता, आप साइन आउट नहीं करते, या आपका खाता नहीं हटाया जाता। |
| Crashlytics क्रैश रिपोर्ट | 90 दिन (Google डिफ़ॉल्ट)। |
| Firebase Analytics ईवेंट | 14 महीने (Google डिफ़ॉल्ट, न्यूनतम)। |
| Cloud Logging (सर्वर लॉग) | 400 दिन (कोई प्रविष्टि सामग्री लॉग नहीं की जाती; देखें §11)। |
| Cloud Trace (अवलोकनीयता) | 15 दिन। |
| फ़ीचर अनुरोध / बग रिपोर्ट | उत्पाद सुधार के लिए बनाए रखा गया; खाता विलोपन के 30 दिनों के भीतर अनामीकृत (उपयोगकर्ता-ID हटा दी गई) ताकि सामग्री अब आपसे जुड़ी न रहे। |
| भुगतान रिकॉर्ड (Apple और RevenueCat के माध्यम से) | जब तक लागू तुर्की कर और वाणिज्यिक कानून आवश्यक हो — आमतौर पर 10 वर्ष। |
जब आप अपना खाता हटाते हैं (Settings → Advanced → Delete Account, या ईमेल द्वारा), तो हम आपके प्रोफ़ाइल, प्रविष्टियों, अंतर्दृष्टियों, उपलब्धियों, AI सहमति लॉग और FCM टोकन को हमारे सक्रिय सिस्टम से तुरंत हटा देते हैं। सेवा-प्रदाता कैश, बैकअप और लॉग के माध्यम से विलोपन के प्रसार में 30 दिनों तक लग सकते हैं।
10. आपके अधिकार
आप कहाँ रहते हैं इस पर निर्भर करते हुए, आपके पास निम्नलिखित में से कुछ या सभी अधिकार हैं:
- पहुँच का अधिकार (GDPR Art. 15 / KVKK Art. 11 / CCPA "right to know") — आपके बारे में हमारे पास मौजूद व्यक्तिगत डेटा की एक प्रति।
- सुधार का अधिकार (GDPR Art. 16 / KVKK Art. 11) — गलत डेटा को सही करना।
- विलोपन का अधिकार (GDPR Art. 17 / KVKK Art. 7 / CCPA "right to delete") — हमसे अपना डेटा हटाने के लिए कहें। ऐप का Delete Account प्रवाह यह करता है।
- प्रसंस्करण के प्रतिबंध का अधिकार (GDPR Art. 18 / KVKK Art. 11) — हमें बताएँ कि विवाद का समाधान होने तक आपके डेटा का उपयोग बंद करें।
- डेटा सुवाह्यता का अधिकार (GDPR Art. 20 / CCPA "right to data portability") — आपके द्वारा हमें दिए गए डेटा की मशीन-पठनीय प्रति प्राप्त करें। हमारे पास अभी तक एक स्व-सेवा निर्यात बटन नहीं है। हमें ईमेल करें और हम 30 दिनों के भीतर आपकी प्रविष्टियाँ और प्रोफ़ाइल संरचित JSON के रूप में आपको भेज देंगे।
- आपत्ति का अधिकार (GDPR Art. 21 / KVKK Art. 11) — वैध हितों पर आधारित प्रसंस्करण पर आपत्ति करें (उदाहरण के लिए, एनालिटिक्स)।
- सहमति वापस लेने का अधिकार (GDPR Art. 7 / KVKK Art. 5/6) — Settings → AI Consent में AI अंतर्दृष्टि बंद करें; Settings → Notifications में अनुस्मारक बंद करें। सहमति वापस लेना उस प्रसंस्करण की वैधता को प्रभावित नहीं करता जो पहले ही हो चुका है।
- CCPA / CPRA (California निवासी):
- यह जानने का अधिकार कि हम कौन-सी व्यक्तिगत जानकारी एकत्र करते हैं, स्रोत, उद्देश्य और तृतीय पक्ष।
- हटाने का अधिकार और सुधार करने का अधिकार।
- व्यक्तिगत जानकारी की बिक्री या साझाकरण से ऑप्ट आउट करने का अधिकार — हम बेचते या साझा नहीं करते, इसलिए ऑप्ट आउट करने के लिए कुछ नहीं है, लेकिन आप इसकी पुष्टि किसी भी समय कर सकते हैं।
- संवेदनशील व्यक्तिगत जानकारी के उपयोग को सीमित करने का अधिकार — हम संवेदनशील व्यक्तिगत जानकारी का उपयोग §5 में वर्णित उद्देश्यों के बाहर के उद्देश्यों के लिए नहीं करते।
- अपने अधिकारों का प्रयोग करने के लिए गैर-भेदभाव का अधिकार।
- शिकायत दर्ज करने का अधिकार:
- तुर्किये: Kişisel Verileri Koruma Kurumu (KVKK Authority) — https://www.kvkk.gov.tr/
- EU/EEA: आपका स्थानीय डेटा-संरक्षण प्राधिकरण (सूची: https://edpb.europa.eu/about-edpb/about-edpb/members_en)
- UK: Information Commissioner's Office — https://ico.org.uk/
- California: California Privacy Protection Agency — https://cppa.ca.gov/
अपने अधिकारों का प्रयोग कैसे करें
विषय पंक्ति Privacy Request के साथ [email protected] पर ईमेल करें और हमें बताएँ कि आप किस अधिकार का प्रयोग करना चाहते हैं। हम आपसे आपकी पहचान सत्यापित करने के लिए कह सकते हैं (आमतौर पर आपके खाते के ईमेल पते से उत्तर देकर)। हम GDPR अनुच्छेद 12 और KVKK अनुच्छेद 13 द्वारा आवश्यक रूप से 30 दिनों के भीतर उत्तर देते हैं। यदि हमें अधिक समय की आवश्यकता है, तो हम आपको बताएँगे कि क्यों और प्रतिक्रिया कब अपेक्षित है।
आप एक एजेंट को (उदा., CCPA के तहत) हस्ताक्षरित प्राधिकरण भेजकर अपनी ओर से कार्य करने के लिए अधिकृत भी कर सकते हैं; हम संवेदनशील अनुरोधों के लिए आपकी पहचान को सीधे सत्यापित करेंगे।
इन अधिकारों का प्रयोग करने के लिए कोई शुल्क नहीं है जब तक कि आपका अनुरोध स्पष्ट रूप से निराधार या अत्यधिक न हो (उदा., दोहरावपूर्ण)।
11. सुरक्षा
हम सुरक्षा को गंभीरता से लेते हैं। हमारे उपायों में शामिल हैं:
- पारगमन में एन्क्रिप्शन — सभी नेटवर्क ट्रैफ़िक के लिए TLS 1.2+।
- विश्राम में एन्क्रिप्शन — Google Cloud का डिफ़ॉल्ट सर्वर-साइड एन्क्रिप्शन (AES-256)।
- प्रमाणीकरण — Firebase Auth; पासवर्ड कभी भी सादे पाठ में संग्रहीत नहीं किए जाते।
- App Check — उत्पादन बिल्ड पर Apple App Attest; अविश्वसनीय क्लाइंट से अनुरोध अस्वीकार किए जाते हैं।
- Apple DeviceCheck — दुरुपयोग को रोकने के लिए onboarding परीक्षण के दौरान उपयोग किया गया।
- सख्त Firestore सुरक्षा नियम — प्रत्येक उपयोगकर्ता केवल अपना डेटा पढ़ और लिख सकता है।
- संवेदनशील डेटा का पृथक्करण — आपका ऐप-लॉक पासकोड केवल iOS Keychain में संग्रहीत है; आपका बायोमेट्रिक डेटा Apple Secure Enclave में रहता है और हम इसे कभी प्राप्त नहीं करते।
- PII-न्यूनतम लॉग — हम जानबूझकर सर्वर लॉग से डायरी पाठ को बाहर करते हैं। हम संचालन और डिबगिंग के लिए आवश्यक केवल मेटाडेटा (उपयोगकर्ता ID, ईवेंट प्रकार, स्थिति) लॉग करते हैं।
- गुप्त प्रबंधन — API कुंजियाँ (OpenAI, RevenueCat, Apple DeviceCheck) कोड में नहीं, बल्कि Firebase Secret Manager में रहती हैं।
कोई भी प्रणाली पूरी तरह से सुरक्षित नहीं है। यदि हम कभी एक व्यक्तिगत-डेटा उल्लंघन का पता लगाते हैं, तो हम KVKK Art. 12(5) के तहत KVKK प्राधिकरण को 72 घंटों के भीतर सूचित करेंगे, और जहाँ कानून आवश्यक है, GDPR Art. 33–34 के तहत आपको सीधे सूचित करेंगे।
12. बच्चे
Thanxful 13 वर्ष से कम उम्र के बच्चों के लिए निर्देशित नहीं है। सेवा का उपयोग करने के लिए आपकी आयु कम से कम 13 वर्ष होनी चाहिए (देखें Terms of Service §3)। यदि आप 13 और अपने देश में डिजिटल सहमति की आयु (कुछ EU सदस्य राज्यों में 14–16) के बीच हैं, तो स्थानीय कानून के तहत आपको माता-पिता या अभिभावक की अनुमति की आवश्यकता हो सकती है।
हम जानबूझकर 13 वर्ष से कम उम्र के बच्चों से व्यक्तिगत जानकारी एकत्र नहीं करते। यदि आप माता-पिता या अभिभावक हैं और मानते हैं कि आपके बच्चे ने हमें व्यक्तिगत जानकारी दी है, तो [email protected] पर ईमेल करें और हम इसे हटा देंगे।
ऐप की App Store आयु रेटिंग (4+) यह दर्शाती है कि सामग्री सभी उम्र के लिए उपयुक्त है (कोई हिंसा, यौन सामग्री या स्पष्ट भाषा नहीं)। यह खाता बनाने के लिए संविदात्मक न्यूनतम आयु 13 को नहीं बदलती।
हम 13+ न्यूनतम लागू करने के लिए हमारी Terms of Service में लिखित पात्रता आवश्यकता पर निर्भर करते हैं। डायरी और कल्याण ऐप्स के बीच सामान्य प्रथा के अनुरूप, हम ऐप के अंदर आयु द्वार (age gate) नहीं लगाते। तुर्की नागरिक संहिता (TMK) Art. 15 के तहत, अवयस्कों के पास आम तौर पर पूर्ण संविदात्मक क्षमता का अभाव होता है; यदि आपकी आयु 18 वर्ष से कम है, तो माता-पिता या कानूनी अभिभावक को आपकी ओर से इन दस्तावेज़ों से सहमत होना चाहिए।
13. California (CCPA / CPRA) प्रकटीकरण
यदि आप एक California निवासी हैं, तो यह अनुभाग इस नीति के बाकी हिस्सों के अतिरिक्त आप पर लागू होता है।
एकत्रित व्यक्तिगत जानकारी की श्रेणियाँ (पिछले 12 महीने)
| CCPA श्रेणी | एकत्रित? | स्रोत | उद्देश्य | किसके साथ साझा |
|---|---|---|---|---|
| पहचानकर्ता (ईमेल, उपयोगकर्ता ID, डिवाइस ID) | हाँ | आप; आपका डिवाइस | खाता, सुरक्षा, एनालिटिक्स | Firebase, RevenueCat |
| California Customer Records (Cal. Civ. Code §1798.80) के तहत व्यक्तिगत जानकारी | हाँ (नाम) | आप | खाता | Firebase |
| संरक्षित वर्गीकरण | नहीं | — | — | — |
| वाणिज्यिक जानकारी (सदस्यता इतिहास) | हाँ | Apple, RevenueCat | सदस्यता वितरण | RevenueCat |
| बायोमेट्रिक जानकारी | नहीं (Face ID डिवाइस पर रहता है) | — | — | — |
| इंटरनेट / नेटवर्क गतिविधि | सीमित (ऐप ईवेंट, क्रैश रिपोर्ट) | आपका डिवाइस | एनालिटिक्स, विश्वसनीयता | Firebase |
| भौगोलिक स्थान | केवल मोटे स्तर पर (Firebase Analytics से देश / समय क्षेत्र) | आपका डिवाइस | सामग्री स्थानीयकरण | Firebase |
| ऑडियो / दृश्य / थर्मल / घ्राण | प्रोफ़ाइल फ़ोटो (यदि आप जोड़ते हैं) | आप | प्रोफ़ाइल | Firebase Storage |
| व्यावसायिक या रोज़गार जानकारी | नहीं | — | — | — |
| शिक्षा जानकारी | नहीं | — | — | — |
| अनुमान | नहीं | — | — | — |
| संवेदनशील व्यक्तिगत जानकारी | डायरी सामग्री को संवेदनशील माना जाता है | आप | AI अंतर्दृष्टि (केवल सहमति के साथ) | OpenAI, Google Gemini |
आपके California अधिकार
- जानना / पहुँच — देखें §10।
- हटाना — देखें §10।
- सुधारना — देखें §10।
- बिक्री / साझाकरण से ऑप्ट आउट — हम आपकी व्यक्तिगत जानकारी नहीं बेचते या साझा करते। आपके पास ऑप्ट आउट करने के लिए कुछ नहीं है।
- संवेदनशील व्यक्तिगत जानकारी के उपयोग को सीमित करना — हम संवेदनशील जानकारी (आपकी डायरी सामग्री) का उपयोग केवल §6 में वर्णित उद्देश्यों के लिए और आपकी स्पष्ट सहमति के साथ करते हैं।
- गैर-भेदभाव — हम आपको किसी भी CCPA अधिकार का प्रयोग करने के लिए सेवा से इनकार नहीं करेंगे, अलग कीमत नहीं लेंगे, या अलग गुणवत्ता प्रदान नहीं करेंगे।
इन अधिकारों का प्रयोग करने के लिए, विषय California Privacy Request के साथ [email protected] पर ईमेल करें। हम पुष्टि करके आपकी पहचान सत्यापित करते हैं कि आप खाते का ईमेल नियंत्रित करते हैं।
हम व्यक्तिगत जानकारी के बदले में कोई वित्तीय प्रोत्साहन प्रदान नहीं करते।
14. कुकीज़ और समान तकनीकें
iOS ऐप में: हम वेब कुकीज़ का उपयोग नहीं करते। ऐप UserDefaults में स्थानीय रूप से छोटी मात्रा में डेटा (आपके थीम, भाषा ओवरराइड, अधिसूचना ध्वज जैसी प्राथमिकताएँ) और iOS Keychain में (ऐप-लॉक पासकोड) संग्रहीत करता है। इसमें से कुछ भी हमारे साथ या तृतीय पक्षों के साथ साझा नहीं किया जाता।
thanxful.app पर: इस नीति की प्रभावी तिथि के अनुसार, विपणन साइट कुकीज़, वेब-बीकन या तृतीय-पक्ष एनालिटिक्स ट्रैकर्स का उपयोग नहीं करती। यदि हम भविष्य में कोई जोड़ते हैं, तो हम इस अनुभाग को अद्यतन करेंगे, साइट पर एक कुकी सहमति बैनर प्रदर्शित करेंगे, और परिवर्तन को एक भौतिक अद्यतन (देखें §15) के रूप में मानेंगे।
15. इस नीति में परिवर्तन
हम इस नीति को समय-समय पर अद्यतन करेंगे। भौतिक परिवर्तनों (परिवर्तन जो आपके अधिकारों या आपके डेटा के साथ हम क्या करते हैं उसे प्रभावित करते हैं) के लिए, हम परिवर्तन प्रभावी होने से पहले ईमेल और इन-ऐप बैनर द्वारा कम से कम 30 दिनों की सूचना देंगे। गैर-भौतिक परिवर्तनों (टाइपो सुधार, स्पष्टीकरण) के लिए, हम दस्तावेज़ को अद्यतन करेंगे और शीर्ष पर "प्रभावी तिथि" को अद्यतन करेंगे।
यदि आप किसी परिवर्तन से सहमत नहीं हैं, तो आप परिवर्तन प्रभावी होने से पहले सेवा का उपयोग बंद कर सकते हैं और अपना खाता हटा सकते हैं।
16. संपर्क
किसी भी गोपनीयता प्रश्न, डेटा-विषय अनुरोध या शिकायत के लिए:
- ईमेल:
[email protected](विषय:Privacy) - डेटा नियंत्रक: Kadir Alan (एकल स्वामित्व / sole proprietor, तुर्किये)
यदि आपको डाक द्वारा कानूनी सूचना देनी है, तो पहले [email protected] पर हमें ईमेल करें और हम एक पत्राचार पता प्रदान करेंगे।
पर्यवेक्षी प्राधिकरण जिनके साथ आप शिकायत दर्ज कर सकते हैं:
- तुर्किये: Kişisel Verileri Koruma Kurumu — https://www.kvkk.gov.tr/
- EU/EEA: आपका स्थानीय डेटा-संरक्षण प्राधिकरण — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- UK: Information Commissioner's Office — https://ico.org.uk/
- California: California Privacy Protection Agency — https://cppa.ca.gov/
17. शब्दावली
- GDPR — Regulation (EU) 2016/679, यूरोपीय संघ का सामान्य डेटा संरक्षण विनियम।
- KVKK — Kişisel Verilerin Korunması Kanunu, तुर्किये का व्यक्तिगत डेटा संरक्षण कानून संख्या 6698।
- CCPA / CPRA — California Consumer Privacy Act जैसा कि California Privacy Rights Act द्वारा संशोधित किया गया है।
- COPPA — Children's Online Privacy Protection Act (संयुक्त राज्य अमेरिका)।
- FCM — Firebase Cloud Messaging, वह सेवा जिसका उपयोग हम पुश अधिसूचनाएँ भेजने के लिए करते हैं।
- विशेष-श्रेणी डेटा / संवेदनशील डेटा — स्वास्थ्य, धर्म, राजनीति, यौनिकता आदि के बारे में जानकारी। GDPR Art. 9 और KVKK Art. 6 के तहत, इस श्रेणी को बढ़ी हुई सुरक्षा की आवश्यकता है।
अपने कृतज्ञता अभ्यास के साथ हम पर भरोसा करने के लिए धन्यवाद।
— Thanxful टीम