1. Egy pillantásra
A Thanxful egy alkalmazás, amely lehetővé teszi, hogy Ön személyes hálanaplót vezessen, és amennyiben kívánja, mesterséges intelligencia által támogatott reflexiókat kapjon az írásairól. A naplója az Öné. A bejegyzéseihez kizárólag a Szolgáltatás működtetése érdekében nyúlunk hozzá, soha nem értékesítjük, nem használjuk reklámcélra, és nem engedjük, hogy bármely mesterséges intelligencia modell betanítására felhasználják.
| Téma | Rövid válasz |
|---|---|
| Adatkezelő | Kadir Alan — egyéni vállalkozó (şahıs şirketi), Törökország. Kapcsolat: [email protected]. |
| Milyen adatokat kezelünk? | E-mail-cím, név, profilkép (opcionális), naplóbejegyzések, hangulat, eszköz- és előfizetési adatok. |
| Miért? | A Szolgáltatás nyújtása, az előfizetés kezelése, emlékeztető értesítések küldése, valamint — kizárólag az Ön kifejezett hozzájárulása esetén — mesterséges intelligencia által támogatott reflexiók készítése a bejegyzéseiből. |
| Kivel osztjuk meg? | Szolgáltatóinkkal: Google Firebase (infrastruktúra), OpenAI és Google Gemini (MI), RevenueCat (előfizetés), Apple (bejelentkezés, értesítés, biztonság). Az Ön adatait nem értékesítjük és nem adjuk bérbe. |
| Hol tároljuk? | A fiókja és a naplója az Európai Unióban található (Google Cloud europe-west1, Belgium). A bejegyzései csak akkor kerülnek az Egyesült Államokba, ha Ön bekapcsolja az MI-funkciót. |
| Meddig? | A fiókja törléséig. Törlés esetén az adatai aktív rendszereinkből azonnal eltávolításra kerülnek; a biztonsági mentésekből és a naplókból 30 napon belül törlődnek. |
| Milyen jogai vannak? | Hozzáférés, helyesbítés, törlés, hordozhatóság, tiltakozás és hozzájárulás visszavonása. Írjon a [email protected] címre Adatvédelem tárggyal; 30 napon belül válaszolunk. |
2. Az adatkezelő személye
A Thanxful alkalmazást Törökországban egyéni vállalkozóként (şahıs şirketi) tevékenykedő Kadir Alan nyújtja.
| Adatkezelő | Kadir Alan — egyéni vállalkozó (şahıs şirketi), Törökország |
| Kapcsolat | [email protected] (a tárgy mezőben kérjük az Adatvédelem szó feltüntetését, hogy megkeresése a megfelelő helyre kerüljön) |
Egyéni vállalkozóként a KVKK Adatkezelők Nyilvántartására (VERBİS) vonatkozó regisztrációs küszöbértéke, valamint a GDPR 37. cikke szerinti adatvédelmi tisztviselő kijelölésére vonatkozó küszöbérték alatt maradunk, ezért nem terhel minket VERBİS-regisztrációs vagy adatvédelmi tisztviselő (DPO) kijelölésére vonatkozó kötelezettség. Amennyiben ez a helyzet megváltozik, jelen szabályzatot frissítjük. Postai kézbesítési cím igénylése érdekében forduljon hozzánk a [email protected] címen; a kézbesítési címet kérése alapján bocsátjuk rendelkezésre.
3. Hatály
Jelen szabályzat hatálya a következőkre terjed ki:
- Az Apple App Store-ban közzétett Thanxful iOS-alkalmazás (
com.aota.thanxfulés bétacom.aota.thanxful.beta). - A
thanxful.appweboldal (bemutatkozó oldalak, jelen jogi dokumentumok és a kapcsolódó tartalom).
Az alkalmazásból vagy a weboldalról elérhető harmadik felek szolgáltatásainak (pl. Apple App Store, OpenAI, RevenueCat) adatvédelmi gyakorlata az adott szolgáltatás saját szabályzata alá tartozik; ezekért az Adatkezelő nem felelős.
4. A kezelt személyes adatok kategóriái
Kizárólag a Szolgáltatás nyújtásához szükséges személyes adatokat kezeljük. Az adatok hat kategóriába sorolhatók:
4.1 Azonosító adatok
A fiók létrehozásakor a következő adatokat kezeljük:
- E-mail-cím (kötelező).
- Név / megjelenítendő név (opcionális; bármikor módosítható vagy üresen hagyható).
- Profilkép (opcionális; a Firebase Storage-ban kerül tárolásra).
- A rendszer által automatikusan generált Firebase felhasználói azonosító.
- Ha a Sign in with Apple lehetőséget használja: az e-mail-címe (valós vagy az Apple privát továbbítócíme), valamint amennyiben megosztja, a teljes neve. Az Apple az Apple ID-ját nem továbbítja számunkra.
4.2 Naplótartalom — különleges adatnak minősülhet
Minden mentett bejegyzéshez a következő adatokat kezeljük:
- Bejegyzés szövege (legfeljebb 3000 karakter).
- Gazdag szöveges formázás (félkövér, dőlt, lista — legfeljebb 30 000 karakter, kódolva).
- Opcionális hangulat kiválasztása.
- A megválaszolt indítóprompt információi (ha van).
- Helyi naptári dátum.
A naplótartalom személyes és érzékeny. A KVKK 6. cikke és a GDPR 9. cikke értelmében a naplószövegek az Ön egészségi állapotára, vallási meggyőződésére, politikai véleményére, szexuális életére vagy szakszervezeti tagságára vonatkozó különleges személyes adatokat tartalmazhatnak. Ezért a naplótartalom mesterséges intelligenciával történő kezelése teljes mértékben az Ön kifejezett hozzájárulásától függ (lásd §6).
4.3 Profil- és preferenciaadatok
- Sorozat-információ (jelenlegi és leghosszabb sorozat).
- Utolsó aktivitás időpontja és időzónája (az eszköz IANA időzónája, pl.
Europe/Istanbul). - Nyelvi preferencia (választás a 30 nyelvet tartalmazó listából).
- Téma preferencia (Espresso, Cosmos, Oat stb.).
- Értesítési beállítások: az emlékeztetők be- vagy kikapcsolt állapota, az emlékeztető időpontja és időzónája.
- Előfizetési státusz: az aktív prémium előfizetés megléte vagy hiánya (a RevenueCaten keresztül; lásd §7).
- MI kifejezett hozzájárulási nyilvántartás — kizárólag hozzáfűző (append-only) napló, amely tartalmazza a hozzájárulás megadásának, megtagadásának vagy visszavonásának műveleteit, azok forrását (onboarding, bejegyzés mentése után, vásárlás után vagy a Beállítások menüből), időbélyegét, valamint a megjelenített promptok számát. Ezt a nyilvántartást az Apple App Store felülvizsgálati irányelvének 5.1.2(i) pontja értelmében vezetjük.
4.4 Eszköz- és használati adatok
Az alkalmazás használata során automatikusan kezeljük a következő adatokat:
- Eszközinformációk: modell, operációs rendszer verziója, alkalmazásverzió, helyi beállítás, ország, időzóna és a Firebase belső alkalmazáspéldány-azonosítója.
- FCM értesítési token — az emlékeztetők kézbesíthetősége érdekében a Firebase Cloud Messaging által az eszközhöz rendelt token. A fiókjához kapcsolva a Firestore-ban kerül tárolásra; újratelepítés vagy kijelentkezés után megújul.
- Eseményadatok: metaadatok arról, hogy az alkalmazásban mely képernyőt jelenítette meg, mentett-e bejegyzést, megnyitott-e egy reflexiót, indított-e vásárlást — azonban a bejegyzések tartalma ezekben a naplókban nem szerepel.
- Összeomlási jelentések a Firebase Crashlyticson keresztül (verem-nyomvonal, az eszköz állapota az összeomlás pillanatában). A Crashlytics a debug verziókban ki van kapcsolva; a felhasználóknak terjesztett verziókban aktív.
A következő adatokat nem kezeljük:
- Az alkalmazáson belüli IP-címét (a Firebase Analytics ezt az információt számunkra nem mutatja meg).
- Az azonosítóját reklámozási célra (IDFA) — a Firebase AdSupport nélküli verzióját használjuk, és a hirdetésszemélyre szabási jelzések ki vannak kapcsolva.
4.5 Előfizetési adatok
Thanxful-előfizetés vásárlása esetén:
- A tranzakciót az Apple (App Store) bonyolítja le. A fizetési módja vagy kártyaadatai nem kerülnek hozzánk továbbításra.
- A RevenueCat nevünkben kezeli az előfizetés életciklusát. A RevenueCattel megosztott adat a Firebase felhasználói azonosítója; a RevenueCat a termékazonosítót, a státuszt, a lejárati és megújítási dátumot továbbítja számunkra.
4.6 Kommunikáció és visszajelzés
- A
[email protected]címre küldött ügyfélszolgálati e-mailek. - Az alkalmazáson belül küldött funkciókérelmek és hibajelentések (a visszaélések elkerülése érdekében napi szinten korlátozva). A megírt szöveg, a felhasználói azonosító és a beküldés időpontja kerül tárolásra. A fiók törlésekor a visszajelzések anonimizálásra kerülnek (a felhasználói azonosító
"deleted_user"értékre módosul); a szöveg maga nem törlődik, ám az Önnel való kapcsolata megszűnik.
4.7 Onboarding próba (a fiók létrehozása előtt)
Amennyiben fióknyitás nélkül szeretne kipróbálni egyetlen MI-reflexiót, a következő adatokat kezeljük:
- Az eszköz által generált eszköz-UUID (nem IDFA).
- SHA-256 algoritmussal hashelt IP-cím (nyers IP-cím nem kerül tárolásra).
- Apple DeviceCheck token (a próba eszközönkénti megismétlésének megakadályozása érdekében).
Ezeket az adatokat kizárólag a próba korlátozása (eszközönként napi egy, globális IP-nként napi 20) és a visszaélések megelőzése céljából, rövid ideig kezeljük.
4.8 Biztonság
- Az alkalmazászár jelszó (amennyiben aktiválja) kizárólag az eszközén lévő iOS Keychainben kerül tárolásra; az eszközét nem hagyja el. A biometrikus adatai (Face ID / Touch ID) az Apple Secure Enclave-ben maradnak; számunkra nem továbbítódnak.
5. Az adatkezelés céljai és jogalapjai
Az egyes adatkezelési tevékenységek célját és a KVKK 5–6. cikkei, valamint a GDPR 6. cikke szerinti jogalapját az alábbi táblázat foglalja össze:
| Adatkezelési tevékenység | Cél | KVKK jogalap | GDPR jogalap |
|---|---|---|---|
| Fiók létrehozása és bejegyzések tárolása | A Szolgáltatás alapvető nyújtása | 5/2(c) cikk — szerződés létrehozása és teljesítése | 6(1)(b) cikk — szerződés teljesítése |
| MI-reflexiók készítése a naplóbejegyzésekből | Kizárólag az Ön kifejezett hozzájárulása esetén | 6(2) cikk — kifejezett hozzájárulás különleges adatok kezeléséhez | 6(1)(a) + 9(2)(a) cikk — kifejezett hozzájárulás különleges adatok kezeléséhez |
| Napi háladatos emlékeztetők küldése | Amikor a Beállításokban aktiválja | 5(1) cikk — kifejezett hozzájárulás | 6(1)(a) cikk — hozzájárulás |
| Előfizetés kezelése az Apple-n és a RevenueCaten keresztül | A megvásárolt szolgáltatás nyújtása | 5/2(c) cikk — szerződés teljesítése | 6(1)(b) cikk — szerződés |
| Összeomlási jelentések és összesített termékanalitika | Megbízható és stabil alkalmazás biztosítása | 5/2(f) cikk — jogos érdek | 6(1)(f) cikk — jogos érdek |
| Visszaélés-megelőzési intézkedések (DeviceCheck, IP-hashelés, kvótakorlátok) | Csalások és költségvisszaélések megakadályozása | 5/2(f) cikk — jogos érdek | 6(1)(f) cikk — jogos érdek |
| Fizetési nyilvántartások adózási és számviteli célú megőrzése | Jogi kötelezettség teljesítése | 5/2(a) cikk — jogi kötelezettség | 6(1)(c) cikk — jogi kötelezettség |
| Az illetékes hatóságok jogszerű megkereséseire való válaszadás | Jogi kötelezettség | 5/2(a) cikk — jogi kötelezettség | 6(1)(c) cikk — jogi kötelezettség |
Önt nem profilozzuk, nem végzünk olyan automatizált döntéshozatalt, amely jelentős következménnyel járhat Önre nézve, és személyes adatait nem értékesítjük vagy adjuk bérbe.
6. A naplótartalom mesterséges intelligenciával történő kezelése
Jelen szakaszt mind az Apple App Store felülvizsgálati irányelv 5.1.2(i) pontja keretében, mind pedig kifejezetten Önnek mint a napló jogosultjának szántuk.
Mi történik?
Az Ön kifejezett hozzájárulása esetén a Thanxful a kiválasztott naplóbejegyzéseit harmadik fél MI-szolgáltatóknak továbbítja; e szolgáltatók a következőket állítják elő:
- Azonnali reflexió — egy bejegyzéshez tartozó rövid reflexió.
- Heti összefoglaló — az elmúlt 7 nap összegző elemzése.
- Havi összefoglaló — az elmúlt 30 nap mélyreható elemzése.
Kik kezelik a bejegyzéseket?
- OpenAI (elsődleges szolgáltató) —
gpt-4o-miniésgpt-4omodellek. A szerverek az Egyesült Államokban találhatók. - Google Gemini (tartalék szolgáltató, ha az OpenAI nem érhető el) — a Google globális infrastruktúráján.
Mely adatokat továbbítjuk?
- Az elemzett időszak bejegyzésszövegei.
- A megjelenítendő neve (hogy a reflexió Önt néven szólíthassa meg).
- A nyelvi preferenciája (hogy a reflexió az Ön nyelvén készüljön).
Mely adatokat nem továbbítjuk?
- Az e-mail-címét.
- A sorozat-információkat, az előfizetési státuszt és egyéb profiladatokat.
- Más felhasználó semmilyen adatát.
Megőrzési idők a szolgáltatók oldalán
- Az OpenAI az API-n keresztül érkező kéréseket visszaélés-felderítés céljából legfeljebb 30 napig tárolja, majd törli azokat. Az OpenAI az API-adatokat nem használja modell-betanításra. (Forrás: OpenAI API Feltételek.)
- A Google Gemini alapértelmezés szerint az API-adatokat nem használja modell-betanításra. (Forrás: Google Gemini API Feltételek.)
Az Ön kifejezett hozzájárulása
- A mesterséges intelligencia első lehetséges használata előtt — onboarding közben, egy bejegyzés mentését követően vagy prémium vásárlás után — kérjük az Ön kifejezett hozzájárulását.
- A hozzájárulás kizárólag hozzáfűző (append-only) ellenőrzési naplóban (
users/{uid}/aiConsent) kerül rögzítésre. - Hozzájárulását bármikor visszavonhatja: Beállítások → MI Kifejezett Hozzájárulás. A visszavonás a jövőbeli adatkezelést azonnal leállítja. Az addig elkészített reflexiók a saját vagy a fiók törléséig az előzményei között maradnak.
- Mivel a naplója a KVKK 6. és a GDPR 9. cikke értelmében különleges adatokat tartalmazhat, az MI-szolgáltatókhoz történő továbbítás jogalapja az Ön kifejezett hozzájárulása.
Az MI-reflexiók nem minősülnek orvosi, jogi vagy terápiás tanácsnak
A reflexiók automatikusan generált szövegek. Lehetnek pontatlanok, félrevezetők vagy a kontextustól elszakítottak. Nem helyettesítik a szakképzett terapeuta, orvos, ügyvéd vagy más szakember tanácsát. Amennyiben nehéz időszakot él át, javasoljuk, hogy forduljon szakemberhez, vészhelyzet esetén pedig a helyi vészhelyzeti szolgálatokhoz.
7. Megosztás és harmadik felek
Személyes adatait kizárólag az alábbi szolgáltatókkal és kizárólag a megjelölt célokra osztjuk meg. Minden szolgáltató szerződésben kötelezettséget vállalt arra, hogy az Ön személyes adatait kizárólag az utasításaink szerint kezeli, és megfelelő biztonsági intézkedéseket alkalmaz.
| Szolgáltató | Szerep | Megosztott adat | Régió | Adatvédelmi szabályzat |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastruktúra: hitelesítés, Firestore, Storage, Cloud Functions, értesítés, analitika, összeomlási jelentés, remote config, App Check | Minden profilkép-adat, naplóbejegyzések, FCM tokenek, analitikai események, összeomlási jelentések | Firestore és Cloud Functions: europe-west1 (Belgium, EU). Az analitika és a Crashlytics a Google globális infrastruktúráján. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | MI-reflexió generálás | Naplószöveg, megjelenítendő név, nyelv — kizárólag az Ön hozzájárulása esetén | Egyesült Államok | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | MI-reflexió generálás (tartalék) | Mint az OpenAI esetében | Egyesült Államok / globális | https://policies.google.com/privacy |
| RevenueCat, Inc. | Előfizetés-kezelés | Firebase felhasználói azonosító, termékazonosító, előfizetési státusz, megújítási dátum | Egyesült Államok | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, APNs értesítések, DeviceCheck, App Store fizetések | Apple ID e-mail, értesítési tokenek, eszközbit, vásárlási nyilvántartás | Apple infrastruktúra | https://www.apple.com/legal/privacy/ |
Megjegyzés a Meta / Facebook vonatkozásában: Az Info.plist fájlunk kizárólag az „Instagram Stories-ba történő megosztás” URL-séma engedélyezése érdekében tartalmaz FacebookAppID: 2198469434228743 bejegyzést. Facebook SDK-t nem használunk; a Meta részére semmilyen adat nem kerül továbbításra. Amennyiben a megosztást választja — és kizárólag ebben az esetben — a kiválasztott kép az iOS Megosztási Lap útján kerül átadásra az Instagram alkalmazásnak.
Hatósági megkeresések
Személyes adatait kizárólag a Törökországban hatályos jogi eljárás vagy a felettünk joghatósággal bíró ország jogszerű eljárása keretében adjuk át a hatóságok részére. A jogszabályok által megengedett mértékben az ilyen megkeresésekről tájékoztatást nyújtunk Önnek.
Nincs adatértékesítés
Személyes adatait nem értékesítjük. A CCPA/CPRA fogalmai szerint kontextuson kívüli viselkedési reklámcélra „nem osztjuk meg”.
8. Nemzetközi adattovábbítás
A fiókja és a naplója az Európai Unióban (Google Cloud europe-west1, Belgium) kerül tárolásra.
Egyes szolgáltatóink az Amerikai Egyesült Államokban találhatók:
- Az OpenAI és a Google Gemini a naplóbejegyzéseket (kizárólag az Ön hozzájárulása esetén) MI-feldolgozás céljából fogadja.
- A RevenueCat az előfizetési státuszát kezeli.
- Egyes Apple és Firebase szolgáltatások globális infrastruktúrán működnek.
Ezen továbbításokra alkalmazott jogi mechanizmusok:
- GDPR keretében: Az egyes szolgáltatókkal kötött adatfeldolgozási megállapodásokba beépített, az EU Bizottság 2021/914 sz. határozata szerinti általános szerződési feltételek (SCC-k); az átvitel során és azt követően alkalmazott technikai intézkedések (titkosítás, hozzáférés-szabályozás). Az EU–US Data Privacy Framework tanúsítvánnyal rendelkező szolgáltatók esetén kiegészítésként ezen megfelelőségi határozatra is támaszkodunk.
- UK GDPR keretében: Az ugyanazon SCC-khez csatolt UK International Data Transfer Addendum (IDTA).
- KVKK keretében: Az alábbi többszintű biztosítékrendszerre támaszkodunk:
- Az MI-funkció bekapcsolása esetén a naplótartalom Egyesült Államokba történő továbbításához szükséges, a KVKK 9. cikke szerinti kifejezett hozzájárulása;
- Az egyes szolgáltatókkal kötött adatfeldolgozási megállapodások (DPA-k) — különösen a Google Cloud / Firebase DPA (amely tartalmazza az SCC-ket), az OpenAI API Adatfeldolgozási Kiegészítő Jegyzőkönyv és a RevenueCat DPA — szerződéses biztosítékként;
- A §11-ben felsorolt technikai intézkedések (titkosítás, App Check, naplózáskor a személyes adatok minimalizálása).
Célunk, hogy minden olyan szolgáltatóval, aki ehhez hozzájárul, aláírjuk a török Kişisel Verileri Koruma Kurumu által kiadott Standart Sözleşme sablont, és az aláírást követő 5 munkanapon belül bejelentést tegyünk a Hatóság felé. Azokban az esetekben, amikor a szolgáltató nem fogadja el a Tanács sablonját, és saját DPA-ját használja, a fent felsorolt biztosítéki rendszer kerül alkalmazásra.
Az adattovábbítási biztosítékok másolatát a [email protected] címre írva kérheti.
9. Megőrzési idő
A személyes adatokat kizárólag a szükséges ideig őrizzük meg.
| Adat | Megőrzési idő |
|---|---|
| Fiókadatok (e-mail, név, profil, preferenciák) | A fiók törléséig. |
| Naplóbejegyzések, hangulat, sorozat-információk | Egyenkénti törlésig, a Tartalom Visszaállítás funkció használatáig vagy a fiók törléséig. |
| MI kifejezett hozzájárulási napló | A fiók fennállásáig, kizárólag hozzáfűző formátumban (App Store 5.1.2(i) követelménye). A fiókkal együtt törlődik. |
| Generált MI-reflexiók (azonnali, heti, havi) | Egyenkénti vagy a fiók törléséig. |
| FCM értesítési tokenek | Az eszköz regisztrációjának visszavonásáig, kijelentkezésig vagy a fiók törléséig. |
| Crashlytics összeomlási jelentések | 90 nap (Google alapértelmezés). |
| Firebase Analytics eseményadatok | 14 hónap (Google minimális alapértelmezés). |
| Szervernaplók (Cloud Logging) | 400 nap (a bejegyzés tartalma nem kerül naplózásra; lásd §11). |
| Megfigyelhetőségi nyomvonalak (Cloud Trace) | 15 nap. |
| Funkciókérelmek / hibajelentések | Termékfejlesztési célból kerülnek megőrzésre; a fiók törlésekor a felhasználói azonosító eltávolításával anonimizálásra kerülnek. |
| Fizetési nyilvántartások (Apple-n és RevenueCaten keresztül) | A török adó- és kereskedelmi jogszabályok által előírt időtartamig — jellemzően 10 év. |
A fiók törlésekor (Beállítások → Speciális → Fiók Törlése vagy e-mailben) a profil, a bejegyzések, a reflexiók, az eredmények, az MI hozzájárulási napló és az FCM tokenek aktív rendszereinkből azonnal eltávolításra kerülnek. A szolgáltatói gyorsítótárak, biztonsági mentések és naplók tekintetében a törlés befejezése akár 30 napig is eltarthat.
10. Az Ön jogai
Lakóhelye szerint Ön a következő jogok egészével vagy egy részével rendelkezik:
KVKK 11. cikk (Törökországban élők számára):
- Tájékozódás arról, hogy személyes adatait kezelik-e.
- Amennyiben kezelik, az ezzel kapcsolatos információ kérése.
- Az adatkezelés céljának és annak rendeltetésszerű felhasználásának megismerése.
- Azon harmadik felek megismerése, akiknek belföldön vagy külföldön az adatait továbbították.
- A hiányosan vagy tévesen kezelt adatok helyesbítésének kérése.
- A KVKK 7. cikke értelmében az adatok törlésének vagy megsemmisítésének kérése.
- A helyesbítési, törlési, megsemmisítési kérelmek azon harmadik felekkel való közlésének kérése, akiknek az adatokat továbbították.
- Az automatizált rendszerekkel végzett elemzés Önre nézve hátrányos eredménye elleni tiltakozás.
- Jogellenes adatkezelés következtében elszenvedett kár megtérítésének követelése.
GDPR (EU/EGT-ben és az Egyesült Királyságban élők számára):
- Hozzáférés (15. cikk), helyesbítés (16. cikk), törlés (17. cikk), az adatkezelés korlátozása (18. cikk), adathordozhatóság (20. cikk), tiltakozás (21. cikk), kifejezett hozzájárulás visszavonása (7. cikk). Önkiszolgáló exportálási képernyőnk még nem áll rendelkezésre; e-mailben benyújtott kérelem esetén bejegyzéseit és profiladatait strukturált JSON formátumban 30 napon belül eljuttatjuk Önhöz.
CCPA / CPRA (kaliforniai lakosok):
- Annak megismerésének joga, hogy mely személyes információk kerülnek gyűjtésre, azok forrása, célja és a harmadik felek.
- Törléshez és helyesbítéshez való jog.
- A személyes információk értékesítése/megosztása elleni tiltakozás joga — adatokat nem értékesítünk vagy osztunk meg; ez ellen nincs mi ellen tiltakozni.
- Az érzékeny személyes információk felhasználásának korlátozásához való jog — az érzékeny információk (a naplótartalma) az §5-ben megjelölt célokon kívül nem kerülnek felhasználásra.
- A jogai gyakorlása miatt diszkriminációmentességhez való jog.
Hogyan gyakorolhatja jogait?
Küldjön e-mailt a [email protected] címre Adatvédelmi Megkeresés tárggyal, és jelezze, mely jogát kívánja gyakorolni. Személyazonosságának megerősítése érdekében további információt kérhetünk (jellemzően azzal, hogy a fiókjához kapcsolt e-mail-címről válaszoljon). A KVKK 13. cikke és a GDPR 12. cikke értelmében a megkeresés legkésőbb 30 napon belül elbírálásra kerül. Amennyiben további időre van szükségünk, ennek okáról és a várható válaszidőről tájékoztatjuk Önt.
Amennyiben a CCPA keretében meghatalmazott útján kíván megkeresést benyújtani, a meghatalmazás igazolásának ellenőrzése érdekében Önnel is felvehetjük a kapcsolatot.
E jogok gyakorlása ingyenes, kivéve ha a megkeresés nyilvánvalóan megalapozatlan vagy túlzott.
Panasztételi fórumok
- Törökország: Kişisel Verileri Koruma Kurumu (KVKK) — https://www.kvkk.gov.tr/
- EU/EGT: A lakóhelye szerinti ország adatvédelmi hatósága — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Egyesült Királyság: Information Commissioner's Office — https://ico.org.uk/
- Kalifornia: California Privacy Protection Agency — https://cppa.ca.gov/
11. Adatbiztonsági intézkedések
Az adatbiztonság a tervezési szakasztól kezdve szempont. Az alkalmazott technikai és szervezési intézkedések közé tartoznak:
- Továbbítás közbeni titkosítás — az összes hálózati forgalom TLS 1.2+ titkosítással védett.
- Tárolás közbeni titkosítás — Google Cloud szerveroldali AES-256 titkosítás.
- Hitelesítés — Firebase Auth; jelszavak soha nem kerülnek tárolásra nyílt szövegként.
- App Check — éles verzióban Apple App Attest; megbízhatatlan forrásból érkező kérések elutasításra kerülnek.
- Apple DeviceCheck — az onboarding próbák visszaéléseinek megakadályozása.
- Szigorú Firestore biztonsági szabályok — minden felhasználó kizárólag a saját adatait olvashatja és írhatja.
- Érzékeny adatok elkülönítése — az alkalmazászár jelszó kizárólag az iOS Keychainben kerül tárolásra; a biometrikus adatok az Apple Secure Enclave-ben maradnak.
- PII-minimalizált naplók — a naplótartalom nem kerül a szervernaplókba; kizárólag az üzemeltetéshez és hibakereséshez szükséges metaadatok (felhasználói azonosító, esemény típusa, státusz) kerülnek rögzítésre.
- Titkos kulcsok kezelése — az API-kulcsok (OpenAI, RevenueCat, Apple DeviceCheck) a Firebase Secret Managerben kerülnek tárolásra; nem szerepelnek a kódban.
Mivel egyetlen rendszer sem teljesen biztonságos, személyes adatokkal kapcsolatos incidens észlelése esetén:
- A KVKK 12. cikk 5. bekezdése értelmében a Kişisel Verileri Koruma Kurumu felé 72 órán belül bejelentés történik;
- A GDPR 33–34. cikke értelmében az EU/EGT-ben élők részére közvetlenül és az illetékes hatóságok felé a szükséges bejelentések megtörténnek.
12. Gyermekek
A Thanxful nem irányul a 13 évnél fiatalabb gyermekekre. A Szolgáltatás használatához legalább 13 évesnek kell lennie (lásd a Szolgáltatási Feltételek §3-at). Amennyiben Ön 13 és 16 év közötti (egyes EU-tagállamokban a digitális hozzájárulás korhatára), a lakóhelye szerinti jogszabályok szülő vagy gondviselő hozzájárulását írhatják elő. A Török Polgári Törvénykönyv (TMK) 15. cikke értelmében a 18 évnél fiatalabbak nem rendelkeznek teljes szerződéskötési képességgel; 18 évesnél fiatalabb felhasználó esetén szülő vagy gondviselő hozzájárulása szükséges.
Tudatosan nem gyűjtünk személyes adatot 13 évnél fiatalabb gyermektől. Amennyiben Ön szülő vagy gondviselő, és úgy véli, hogy gyermeke az Ön tudta nélkül adatot adott át, írjon a [email protected] címre; az adatok törlésre kerülnek.
Az alkalmazás App Store életkori besorolása (4+) azt jelzi, hogy az alkalmazás tartalma minden életkor számára megfelelő (nem tartalmaz erőszakot, szexuális tartalmat vagy trágár nyelvezetet). Ez a tartalmi besorolás nem változtat a 13 év alatti életkorra vonatkozó szerződéses tilalmon.
Az onboarding során a felhasználók számára nincs külön életkori szűrő (age gate); a minimális életkort írásbeli szerződés útján érvényesítjük — ez a megközelítés a napló- és jóllét-alkalmazásokban elterjedt gyakorlat.
13. Kalifornia (CCPA / CPRA) tájékoztató
Amennyiben Ön kaliforniai lakos, jelen szabályzat többi részén túlmenően ez a szakasz is vonatkozik Önre.
Gyűjtött személyes információk kategóriái (utolsó 12 hónap)
| CCPA kategória | Gyűjtésre kerül? | Forrás | Cél | Megosztott felek |
|---|---|---|---|---|
| Azonosítók (e-mail, felhasználói azonosító, eszközazonosító) | Igen | Ön; az Ön eszköze | Fiók, biztonság, analitika | Firebase, RevenueCat |
| Kaliforniai Ügyfélnyilvántartások (Cal. Civ. Code §1798.80) | Igen (név) | Ön | Fiók | Firebase |
| Védett besorolások | Nem | — | — | — |
| Kereskedelmi információk (előfizetési előzmények) | Igen | Apple, RevenueCat | Előfizetés nyújtása | RevenueCat |
| Biometrikus információk | Nem (a Face ID az eszközön marad) | — | — | — |
| Internetes / hálózati tevékenység | Korlátozott (alkalmazás-események, összeomlási jelentések) | Az Ön eszköze | Analitika, megbízhatóság | Firebase |
| Helymeghatározás | Csak durva szintű (ország / időzóna) | Az Ön eszköze | Tartalom honosítása | Firebase |
| Hang / kép | Profilkép (opcionális) | Ön | Profil | Firebase Storage |
| Foglalkozási vagy munkaviszonyra vonatkozó | Nem | — | — | — |
| Oktatás | Nem | — | — | — |
| Következtetések | Nem | — | — | — |
| Érzékeny személyes információk | A naplótartalom érzékenynek minősül | Ön | MI-reflexiók (kizárólag hozzájárulással) | OpenAI, Google Gemini |
Az Ön kaliforniai jogai
- Tájékozódás / hozzáférés — lásd §10.
- Törlés / helyesbítés — lásd §10.
- Értékesítés / megosztás elleni tiltakozás — személyes információit nem értékesítjük és nem osztjuk meg; ez ellen nincs mi ellen tiltakozni.
- Érzékeny információk felhasználásának korlátozása — az érzékeny információkat (a naplótartalmát) kizárólag a §6-ban ismertetett célokra és az Ön kifejezett hozzájárulásával használjuk.
- Diszkriminációmentesség — e jogok gyakorlása esetén nem korlátozzuk a Szolgáltatáshoz való hozzáférését, nem alkalmazunk eltérő árazást, és nem kínálunk eltérő minőséget.
Megkereséshez írjon a [email protected] címre California Privacy Request tárggyal. Személyazonosságát a fiókhoz kapcsolt e-mail-címen keresztül igazoljuk.
Személyes információért cserébe pénzügyi ösztönzőt nem kínálunk.
14. Sütik és hasonló technológiák
Az iOS-alkalmazáson belül: webes sütik nem kerülnek alkalmazásra. Az alkalmazás kizárólag az eszközén tárol kis méretű preferenciákat (téma, nyelv, értesítési preferencia stb.) a UserDefaults területen, valamint az alkalmazászár jelszót az iOS Keychainben. Ezek az adatok sem velünk, sem harmadik felekkel nem kerülnek megosztásra.
A thanxful.app oldalon: Jelen szabályzat hatálybalépésének időpontjában a bemutató oldal nem alkalmaz sütiket, web-bigyókat (web-beacon) vagy harmadik fél által üzemeltetett analitikai követőket. Amennyiben a jövőben ezek bevezetésére kerül sor, a jelen szakaszt frissítjük, az oldalon süti-hozzájárulási sávot (cookie banner) jelenítünk meg, és a változás a §15 szerinti lényeges változásnak minősül.
15. A szabályzat módosításai
Jelen szabályzatot időről időre frissíthetjük. A lényeges változásokról (amelyek érintik a jogait vagy az adatkezelés módját) a változás hatálybalépése előtt legalább 30 nappal e-mailben és alkalmazáson belüli értesítéssel tájékoztatjuk Önt. A nem lényeges változások esetén (helyesírási javítások, pontosítások) a dokumentum frissítésre kerül, és a legfelső Hatálybalépés Dátuma aktualizálódik.
Amennyiben az új verziót nem fogadja el, a hatálybalépés előtt befejezheti a Szolgáltatás használatát és törölheti a fiókját.
16. Kapcsolat
Adatvédelemmel kapcsolatos bármely kérdés, megkeresés vagy panasz esetén:
- E-mail:
[email protected](tárgy:Adatvédelem) - Adatkezelő: Kadir Alan — egyéni vállalkozó (şahıs şirketi), Törökország
Postai kézbesítési címre van szüksége? Először írjon a [email protected] címre; a címet kérése alapján bocsátjuk rendelkezésre.
A panasszal megkereshető felügyeleti hatóságokat a §10 sorolja fel.
17. Fogalomtár
- KVKK — 6698 számú, a Személyes Adatok Védelméről szóló törvény (Türkiye).
- GDPR — 2016/679 számú Európai Uniós Általános Adatvédelmi Rendelet.
- CCPA / CPRA — California Consumer Privacy Act, a California Privacy Rights Act által módosított formában.
- COPPA — Children's Online Privacy Protection Act (USA, 13 év alatt).
- FCM — Firebase Cloud Messaging (értesítési infrastruktúra).
- Különleges személyes adat / érzékeny adat — egészségre, vallásra, politikai véleményre, szexuális életre stb. vonatkozó adatok, amelyek a KVKK 6. cikke és a GDPR 9. cikke értelmében fokozott védelmet igényelnek.
- Adatkezelő — a személyes adatok kezelésének céljait és eszközeit meghatározó, az adatnyilvántartási rendszer kialakításáért és kezeléséért felelős természetes vagy jogi személy (itt: Kadir Alan).
- Kifejezett hozzájárulás — meghatározott témára vonatkozó, tájékoztatáson alapuló és szabad akaratból kinyilvánított hozzájárulás.
Köszönjük, hogy a hála útján bízik bennünk.
— Thanxful