1. Sekilas pandang
Thanxful adalah aplikasi yang memungkinkan Anda menyimpan jurnal rasa syukur pribadi dan, jika Anda mau, mendapatkan wawasan berbasis kecerdasan buatan tentang apa yang Anda tulis. Jurnal Anda adalah milik Anda. Kami hanya menyentuh tulisan Anda untuk menjalankan Layanan, tidak pernah menjualnya, tidak pernah menggunakannya untuk iklan, dan tidak pernah membiarkannya dipakai untuk melatih model kecerdasan buatan apa pun.
| Topik | Jawaban singkat |
|---|---|
| Pengendali Data | Kadir Alan — usaha perseorangan / sole proprietor (şahıs şirketi), Türkiye. Kontak: [email protected]. |
| Data apa yang diproses? | Email, nama, foto profil (opsional), entri jurnal Anda, suasana hati, informasi perangkat dan langganan. |
| Mengapa? | Untuk menyediakan Layanan, mengelola langganan, mengirim notifikasi pengingat, dan — hanya jika Anda memberikan persetujuan eksplisit — menghasilkan wawasan berbasis kecerdasan buatan dari entri Anda. |
| Dengan siapa data dibagikan? | Penyedia layanan kami: Google Firebase (infrastruktur), OpenAI dan Google Gemini (AI), RevenueCat (langganan), Apple (sign-in, notifikasi, keamanan). Data Anda tidak dijual atau disewakan. |
| Di mana data disimpan? | Akun dan jurnal Anda berada di Uni Eropa (Google Cloud europe-west1, Belgia). Entri Anda hanya ditransfer ke Amerika Serikat jika Anda mengaktifkan fitur AI. |
| Berapa lama? | Sampai Anda menghapus akun. Saat Anda menghapus, data Anda segera dihapus dari sistem aktif kami; cadangan dan log juga dihapus dalam 30 hari. |
| Apa hak-hak Anda? | Akses, koreksi, penghapusan, portabilitas, keberatan, dan penarikan persetujuan. Tulis ke [email protected] dengan subjek Privacy; kami akan menjawab dalam 30 hari. |
2. Identitas Pengendali Data
Aplikasi Thanxful disediakan oleh Kadir Alan, yang beroperasi di Türkiye sebagai usaha perseorangan / sole proprietor (şahıs şirketi).
| Pengendali Data | Kadir Alan — usaha perseorangan / sole proprietor (şahıs şirketi), Türkiye |
| Kontak | [email protected] (mencantumkan Privacy pada baris subjek membantu permintaan Anda diarahkan dengan benar) |
Sebagai usaha perseorangan, kami berada di bawah ambang pendaftaran Sicil Pengendali Data (VERBİS) KVKK dan ambang penunjukan Petugas Perlindungan Data berdasarkan Pasal 37 GDPR, sehingga kami tidak memiliki kewajiban untuk mendaftar VERBİS atau menunjuk DPO. Apabila keadaan ini berubah, kebijakan ini akan diperbarui. Untuk meminta alamat surat-menyurat fisik, Anda dapat menulis kepada kami di [email protected]; alamat akan dibagikan atas permintaan Anda.
3. Cakupan
Kebijakan ini mencakup:
- Aplikasi iOS Thanxful yang diterbitkan di Apple App Store (
com.aota.thanxfuldan betacom.aota.thanxful.beta). - Situs web
thanxful.app(halaman pemasaran, dokumen hukum ini, dan konten terkait).
Praktik privasi layanan pihak ketiga yang Anda akses melalui aplikasi atau situs (mis. Apple App Store, OpenAI, RevenueCat) tunduk pada kebijakan masing-masing layanan; Pengendali Data tidak bertanggung jawab atas hal-hal tersebut.
4. Kategori Data Pribadi yang Diproses
Kami hanya memproses data pribadi yang diperlukan untuk menyediakan Layanan. Data dikelompokkan ke dalam enam kategori:
4.1 Data identitas
Saat Anda membuat akun, data berikut diproses:
- Alamat email (wajib).
- Nama/nama tampilan (opsional; Anda dapat mengubah atau mengosongkannya kapan saja).
- Foto profil (opsional; disimpan di Firebase Storage).
- ID pengguna Firebase yang dibuat secara otomatis oleh sistem.
- Jika Anda menggunakan Sign in with Apple: alamat email Anda (alamat asli atau alamat relai pribadi Apple) dan, jika Anda memilih untuk membagikannya, nama lengkap Anda. Apple tidak meneruskan Apple ID Anda kepada kami.
4.2 Konten jurnal — dapat termasuk dalam kategori khusus data pribadi
Untuk setiap entri yang Anda simpan, data berikut diproses:
- Teks entri (maksimum 3.000 karakter).
- Pemformatan teks kaya (tebal, miring, daftar — maksimum 30.000 karakter, dikodekan).
- Pemilihan suasana hati opsional.
- Informasi mengenai prompt yang Anda jawab (jika ada).
- Tanggal kalender lokal.
Konten jurnal bersifat pribadi dan sensitif. Berdasarkan Pasal 6 KVKK dan Pasal 9 GDPR, teks jurnal dapat memuat kategori khusus data pribadi yang berkaitan dengan kesehatan, keyakinan agama, pandangan politik, kehidupan seksual, atau keanggotaan serikat pekerja. Oleh karena itu, pemrosesan konten jurnal Anda dengan kecerdasan buatan sepenuhnya bergantung pada persetujuan eksplisit Anda (lihat §6).
4.3 Data profil dan preferensi
- Informasi streak (streak saat ini dan terpanjang).
- Waktu aktif terakhir dan zona waktu (zona waktu IANA perangkat Anda, mis.
Europe/Istanbul). - Preferensi bahasa (pilihan Anda dari daftar 30 bahasa).
- Preferensi tema (Espresso, Cosmos, Oat, dll.).
- Pengaturan notifikasi: status aktif/nonaktif pengingat, jam pengingat, dan zona waktu.
- Status langganan: ada atau tidaknya langganan premium aktif (melalui RevenueCat; lihat §7).
- Catatan persetujuan eksplisit AI — log yang hanya dapat ditambahkan (append-only) yang berisi tindakan persetujuan, penolakan, atau penarikan, sumbernya (onboarding, setelah entri, setelah pembelian, atau Pengaturan), stempel waktu, dan jumlah prompt yang ditampilkan. Catatan ini disimpan sesuai Apple App Store Review Guideline 5.1.2(i).
4.4 Data perangkat dan penggunaan
Saat Anda menggunakan aplikasi, data berikut diproses secara otomatis:
- Informasi perangkat: model, versi sistem operasi, versi aplikasi, locale, negara, zona waktu, dan app instance ID internal Firebase.
- Token notifikasi FCM — token yang ditetapkan ke perangkat Anda oleh Firebase Cloud Messaging agar pengingat dapat dikirim. Disimpan di Firestore yang terhubung dengan akun Anda; diperbarui setelah pemasangan ulang atau logout.
- Data peristiwa: metadata seperti layar yang Anda lihat di aplikasi, apakah Anda menyimpan suatu entri, apakah Anda membuka suatu wawasan, atau apakah Anda memulai pembelian — namun konten entri Anda tidak termasuk dalam catatan ini.
- Laporan crash melalui Firebase Crashlytics (stack trace, status perangkat saat crash). Pada build debug, Crashlytics dinonaktifkan; pada build yang didistribusikan kepada pengguna, fitur ini aktif.
Data berikut tidak diproses:
- Alamat IP Anda di dalam aplikasi (Firebase Analytics tidak menampilkan informasi ini kepada kami).
- Pengenal iklan (IDFA) Anda — kami menggunakan varian Firebase tanpa AdSupport dan menonaktifkan sinyal personalisasi iklan.
4.5 Data langganan
Saat Anda membeli langganan Thanxful:
- Transaksi diproses oleh Apple (App Store). Metode pembayaran atau detail kartu Anda tidak diteruskan kepada kami.
- RevenueCat mengelola siklus hidup langganan atas nama kami. Data yang dibagikan dengan RevenueCat adalah ID pengguna Firebase Anda; RevenueCat meneruskan ID produk, status, tanggal kedaluwarsa, dan tanggal perpanjangan kepada kami.
4.6 Komunikasi dan umpan balik
- Email dukungan yang Anda kirim ke
[email protected]. - Permintaan fitur dan laporan bug yang Anda kirim dari dalam aplikasi (dibatasi per hari untuk mencegah penyalahgunaan). Teks yang Anda tulis, ID pengguna Anda, dan waktu pengiriman akan disimpan. Saat Anda menghapus akun, umpan balik akan dianonimkan (ID pengguna diubah menjadi
"deleted_user"); teksnya sendiri tidak dihapus, namun keterkaitannya dengan Anda akan dihilangkan.
4.7 Uji coba onboarding (sebelum membuat akun)
Jika Anda ingin mencoba satu wawasan AI tanpa membuat akun, data berikut diproses:
- UUID perangkat yang dibuat oleh perangkat Anda (bukan IDFA).
- Alamat IP yang di-hash dengan SHA-256 (alamat IP mentah tidak disimpan).
- Token Apple DeviceCheck (untuk mencegah pengulangan uji coba pada perangkat yang sama).
Data ini hanya diproses dalam waktu singkat untuk membatasi uji coba (satu kali per perangkat per hari, 20 kali per IP global per hari) dan mencegah penyalahgunaan.
4.8 Keamanan
- Kata sandi kunci aplikasi Anda (jika Anda memilih untuk mengaktifkannya) hanya disimpan di iOS Keychain pada perangkat Anda; tidak meninggalkan ponsel Anda. Data biometrik Anda (Face ID / Touch ID) tetap berada di Secure Enclave milik Apple; tidak diteruskan kepada kami.
5. Tujuan Pemrosesan dan Dasar Hukum
Tujuan setiap aktivitas pemrosesan data dan dasar hukum berdasarkan Pasal 5-6 KVKK serta Pasal 6 GDPR disajikan dalam tabel berikut:
| Aktivitas pemrosesan | Tujuan | Dasar hukum KVKK | Dasar hukum GDPR |
|---|---|---|---|
| Membuat akun dan menyimpan entri Anda | Penyediaan dasar Layanan | Ps. 5/2(c) — pembentukan dan pelaksanaan kontrak | Ps. 6(1)(b) — pelaksanaan kontrak |
| Menghasilkan wawasan AI dari entri jurnal Anda | Hanya jika Anda memberikan persetujuan eksplisit | Ps. 6(2) — persetujuan eksplisit untuk kategori khusus data | Ps. 6(1)(a) + Ps. 9(2)(a) — persetujuan eksplisit untuk kategori khusus data |
| Mengirim pengingat rasa syukur harian | Saat Anda mengaktifkannya di Pengaturan | Ps. 5(1) — persetujuan eksplisit | Ps. 6(1)(a) — persetujuan |
| Memproses langganan melalui Apple dan RevenueCat | Penyediaan layanan yang Anda beli | Ps. 5/2(c) — pelaksanaan kontrak | Ps. 6(1)(b) — kontrak |
| Pelaporan crash dan analitik produk agregat | Menyediakan aplikasi yang andal dan stabil | Ps. 5/2(f) — kepentingan sah | Ps. 6(1)(f) — kepentingan sah |
| Tindakan anti-penyalahgunaan (DeviceCheck, hashing IP, batas kuota) | Mencegah penipuan dan eksploitasi biaya | Ps. 5/2(f) — kepentingan sah | Ps. 6(1)(f) — kepentingan sah |
| Penyimpanan catatan pembayaran untuk pajak dan akuntansi | Pemenuhan kewajiban hukum | Ps. 5/2(a) — kewajiban hukum | Ps. 6(1)(c) — kewajiban hukum |
| Menanggapi permintaan sah dari otoritas yang berwenang | Kewajiban hukum | Ps. 5/2(a) — kewajiban hukum | Ps. 6(1)(c) — kewajiban hukum |
Kami tidak memproses data Anda untuk tujuan profiling, tidak menjalankan pengambilan keputusan otomatis yang dapat menimbulkan akibat penting bagi Anda, serta tidak menjual atau menyewakan data pribadi Anda.
6. Pemrosesan Konten Jurnal Anda dengan Kecerdasan Buatan
Bagian ini disusun khusus untuk Anda, baik dalam rangka Apple App Store Review Guideline 5.1.2(i) maupun karena jurnal tersebut adalah milik Anda.
Apa yang dilakukan?
Apabila Anda memberikan persetujuan eksplisit, Thanxful meneruskan entri jurnal terpilih kepada penyedia kecerdasan buatan pihak ketiga; penyedia tersebut akan menghasilkan:
- Wawasan instan — refleksi singkat untuk satu entri.
- Ringkasan mingguan — analisis ringkas atas 7 hari terakhir.
- Ringkasan bulanan — analisis mendalam atas 30 hari terakhir.
Siapa yang memproses entri Anda?
- OpenAI (penyedia utama) — model
gpt-4o-minidangpt-4o. Server berada di Amerika Serikat. - Google Gemini (penyedia cadangan, jika OpenAI tidak dapat diakses) — pada infrastruktur global Google.
Data apa yang diteruskan?
- Teks entri dari periode yang dianalisis.
- Nama tampilan Anda (agar wawasan dapat menyapa Anda dengan nama).
- Preferensi bahasa Anda (agar wawasan dihasilkan dalam bahasa Anda).
Data apa yang tidak diteruskan?
- Alamat email Anda.
- Informasi streak, status langganan, atau data profil lainnya.
- Data pengguna lain mana pun.
Periode penyimpanan di sisi penyedia
- OpenAI menyimpan permintaan yang masuk melalui API maksimal 30 hari untuk tujuan deteksi penyalahgunaan, kemudian menghapusnya. OpenAI tidak menggunakan data API untuk melatih model. (Sumber: OpenAI API Terms.)
- Google Gemini secara default tidak menggunakan data API untuk melatih model. (Sumber: Google Gemini API Terms.)
Persetujuan eksplisit Anda
- Persetujuan eksplisit Anda akan diminta pada saat AI dapat pertama kali diaktifkan — di onboarding, setelah Anda menyimpan suatu entri, atau setelah pembelian premium.
- Persetujuan Anda dicatat dalam audit log yang hanya dapat ditambahkan (
users/{uid}/aiConsent). - Anda dapat menarik persetujuan kapan saja: Pengaturan → Persetujuan AI. Penarikan menghentikan pemrosesan di masa mendatang seketika. Wawasan yang telah dihasilkan hingga saat itu tetap berada di riwayat Anda sampai Anda menghapusnya atau menghapus akun.
- Karena jurnal Anda dapat memuat kategori khusus data berdasarkan Pasal 6 KVKK dan Pasal 9 GDPR, dasar hukum untuk meneruskannya kepada penyedia AI adalah persetujuan eksplisit Anda.
Wawasan AI bukan nasihat medis/hukum/terapeutik
Wawasan adalah teks yang dihasilkan secara otomatis. Wawasan tersebut dapat keliru, menyesatkan, atau tidak sesuai konteks. Wawasan ini tidak menggantikan terapis, dokter, pengacara, atau profesional bersertifikat lainnya. Jika Anda sedang dalam tekanan, kami menyarankan Anda menghubungi profesional yang berwenang atau, dalam keadaan darurat, layanan darurat setempat.
7. Pembagian dan Pihak Ketiga
Data pribadi Anda hanya dibagikan dengan penyedia layanan berikut, dan hanya untuk tujuan yang disebutkan. Setiap penyedia terikat secara kontraktual untuk memproses data pribadi Anda hanya berdasarkan instruksi kami serta menerapkan langkah-langkah keamanan yang sesuai.
| Penyedia | Peran | Data yang dibagikan | Wilayah | Kebijakan privasi |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastruktur: autentikasi, Firestore, Storage, Cloud Functions, notifikasi, analitik, laporan crash, remote config, App Check | Seluruh data profil, entri jurnal, token FCM, peristiwa analitik, laporan crash | Firestore dan Cloud Functions di europe-west1 (Belgia, UE). Analitik dan Crashlytics pada infrastruktur global Google. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Pembuatan wawasan AI | Teks jurnal, nama tampilan, bahasa — hanya jika Anda memberikan persetujuan | Amerika Serikat | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Pembuatan wawasan AI (cadangan) | Sama dengan OpenAI | Amerika Serikat / global | https://policies.google.com/privacy |
| RevenueCat, Inc. | Manajemen langganan | ID pengguna Firebase, ID produk, status langganan, tanggal perpanjangan | Amerika Serikat | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, notifikasi APNs, DeviceCheck, pembayaran App Store | Email Apple ID, token notifikasi, bit perangkat, catatan pembelian | Infrastruktur Apple | https://www.apple.com/legal/privacy/ |
Catatan tentang Meta / Facebook: Pada berkas Info.plist kami hanya terdapat deklarasi FacebookAppID: 2198469434228743 untuk mengaktifkan skema URL "Bagikan ke Instagram Stories". Facebook SDK tidak digunakan; tidak ada data yang dikirim kepada Meta. Apabila Anda memilih untuk membagikan — dan hanya pada saat itu — gambar yang Anda pilih akan diteruskan ke aplikasi Instagram melalui iOS Share Sheet.
Permintaan otoritas yang berwenang
Data pribadi Anda akan diungkapkan kepada otoritas yang berwenang hanya berdasarkan proses hukum yang sah di Türkiye atau berdasarkan proses hukum yang sah di negara yang memiliki yurisdiksi atas kami. Sepanjang diizinkan oleh hukum, Anda akan diberi tahu mengenai permintaan tersebut.
Tidak ada penjualan data
Data pribadi Anda tidak dijual. Berdasarkan definisi CCPA/CPRA, data tersebut juga tidak "dibagikan" untuk tujuan periklanan perilaku lintas konteks.
8. Transfer ke Luar Negeri
Akun dan jurnal Anda disimpan di Uni Eropa (Google Cloud europe-west1, Belgia).
Beberapa penyedia layanan kami berada di Amerika Serikat:
- OpenAI dan Google Gemini menerima entri jurnal Anda (hanya jika Anda memberikan persetujuan) untuk pemrosesan kecerdasan buatan.
- RevenueCat memproses status langganan Anda.
- Beberapa layanan Apple dan Firebase berjalan pada infrastruktur global.
Mekanisme hukum yang menjadi dasar untuk transfer ini:
- Berdasarkan GDPR: Standard Contractual Clauses (SCC) Komisi UE No. 2021/914 yang dimasukkan ke dalam perjanjian pemrosesan data dengan masing-masing penyedia; tindakan teknis (enkripsi, kontrol akses) yang diterapkan selama dan setelah transfer. Untuk penyedia yang memiliki sertifikasi EU–US Data Privacy Framework, keputusan adequacy ini juga menjadi dasar tambahan.
- Berdasarkan UK GDPR: UK International Data Transfer Addendum (IDTA) yang dilampirkan pada SCC yang sama.
- Berdasarkan KVKK: Mengandalkan rangkaian jaminan berlapis berikut:
- Persetujuan eksplisit Anda berdasarkan Pasal 9 KVKK untuk transfer konten jurnal ke Amerika Serikat apabila Anda mengaktifkan fitur AI;
- Perjanjian pemrosesan data (DPA) yang ditandatangani dengan masing-masing penyedia — khususnya Google Cloud / Firebase DPA (yang mencakup SCC), OpenAI API Data Processing Addendum, dan RevenueCat DPA — sebagai jaminan kontraktual;
- Tindakan teknis yang disebutkan dalam §11 (enkripsi, App Check, minimisasi data pribadi pada logging).
Tujuan kami adalah menandatangani template Standart Sözleşme yang diterbitkan oleh Otoritas Perlindungan Data Pribadi dengan setiap penyedia yang bersedia menerima template tersebut, serta memberitahukannya kepada Otoritas dalam 5 hari kerja sejak tanggal penandatanganan. Apabila penyedia tidak menerima template Otoritas dan menggunakan DPA-nya sendiri, rangkaian jaminan di atas tetap diberlakukan.
Anda dapat meminta salinan jaminan transfer dengan menulis ke [email protected].
9. Periode Penyimpanan
Data pribadi hanya disimpan selama diperlukan.
| Data | Periode penyimpanan |
|---|---|
| Data akun (email, nama, profil, preferensi) | Sampai Anda menghapus akun. |
| Entri jurnal, suasana hati, informasi streak | Sampai Anda menghapusnya sendiri, menggunakan Reset Konten, atau menghapus akun. |
| Log persetujuan eksplisit AI | Selama akun aktif, dalam bentuk yang hanya dapat ditambahkan (sesuai App Store 5.1.2(i)). Dihapus bersama akun. |
| Wawasan AI yang dihasilkan (instan, mingguan, bulanan) | Sampai Anda menghapusnya sendiri atau menghapus akun. |
| Token notifikasi FCM | Sampai perangkat Anda dibatalkan registrasinya, Anda logout, atau akun dihapus. |
| Laporan crash Crashlytics | 90 hari (default Google). |
| Data peristiwa Firebase Analytics | 14 bulan (default minimum Google). |
| Log server (Cloud Logging) | 400 hari (konten entri tidak masuk ke log; lihat §11). |
| Catatan keterlacakan (Cloud Trace) | 15 hari. |
| Permintaan fitur / laporan bug | Disimpan untuk pengembangan produk; saat akun dihapus, ID pengguna dihilangkan sehingga datanya dianonimkan. |
| Catatan pembayaran (melalui Apple dan RevenueCat) | Sesuai jangka waktu yang diatur peraturan perpajakan dan perdagangan Türkiye — biasanya 10 tahun. |
Saat Anda menghapus akun (Pengaturan → Lanjutan → Hapus Akun atau melalui email), profil, entri, wawasan, pencapaian, log persetujuan AI, dan token FCM Anda akan segera dihapus dari sistem aktif kami. Untuk cache penyedia layanan, cadangan, dan log, penghapusan dapat memakan waktu hingga 30 hari.
10. Hak Anda
Bergantung pada negara tempat tinggal Anda, Anda memiliki sebagian atau seluruh hak berikut:
KVKK Pasal 11 (untuk yang berdomisili di Türkiye):
- Mengetahui apakah data pribadi Anda diproses atau tidak.
- Meminta informasi mengenai pemrosesannya jika data telah diproses.
- Mengetahui tujuan pemrosesan dan apakah data digunakan sesuai tujuan.
- Mengetahui pihak ketiga di dalam atau di luar negeri yang menerima transfer.
- Meminta koreksi apabila data diproses secara tidak lengkap atau tidak benar.
- Meminta penghapusan atau pemusnahan berdasarkan Pasal 7 KVKK.
- Meminta agar permintaan koreksi, penghapusan, atau pemusnahan diberitahukan kepada pihak ketiga yang menerima transfer.
- Mengajukan keberatan terhadap hasil yang merugikan Anda yang muncul dari analisis sistem otomatis.
- Meminta ganti rugi atas kerugian yang dialami akibat pemrosesan yang melanggar hukum.
GDPR (untuk yang berdomisili di UE/EEA dan Inggris):
- Akses (Ps. 15), koreksi (Ps. 16), penghapusan (Ps. 17), pembatasan pemrosesan (Ps. 18), portabilitas data (Ps. 20), keberatan (Ps. 21), penarikan persetujuan eksplisit (Ps. 7). Layar ekspor mandiri kami belum tersedia; apabila Anda memintanya melalui email, kami akan mengirimkan entri dan data profil Anda dalam format JSON terstruktur dalam 30 hari.
CCPA / CPRA (untuk penduduk California):
- Hak untuk mengetahui informasi pribadi apa yang dikumpulkan, sumbernya, tujuan, dan pihak ketiganya.
- Hak penghapusan dan koreksi.
- Hak untuk menolak penjualan/pembagian informasi pribadi — kami tidak menjual atau membagikan data; tidak ada hal yang perlu ditolak.
- Hak untuk membatasi penggunaan informasi pribadi yang sensitif — informasi sensitif (konten jurnal Anda) tidak digunakan di luar tujuan yang disebutkan dalam §5.
- Hak untuk tidak mendapatkan diskriminasi karena menggunakan hak Anda.
Bagaimana cara menggunakan hak Anda?
Kirim email ke [email protected] dengan baris subjek Privacy Request dan sebutkan hak mana yang ingin Anda gunakan. Kami dapat meminta informasi tambahan untuk memverifikasi identitas Anda (biasanya dengan meminta Anda menjawab dari email yang terdaftar pada akun). Berdasarkan Pasal 13 KVKK dan Pasal 12 GDPR, permintaan Anda akan ditanggapi paling lambat dalam 30 hari. Apabila diperlukan tambahan waktu, Anda akan diberi tahu mengenai alasannya dan perkiraan waktu jawaban.
Apabila Anda ingin mengajukan permintaan melalui agen berdasarkan CCPA, kami tetap dapat menghubungi Anda untuk memverifikasi surat kuasa agen tersebut.
Penggunaan hak ini gratis, kecuali permintaan Anda jelas tidak berdasar atau berlebihan.
Otoritas pengaduan
- Türkiye: Otoritas Perlindungan Data Pribadi (KVKK) — https://www.kvkk.gov.tr/
- UE/EEA: Otoritas perlindungan data di negara tempat Anda berada — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Inggris: Information Commissioner's Office — https://ico.org.uk/
- California: California Privacy Protection Agency — https://cppa.ca.gov/
11. Tindakan Keamanan Data
Keamanan data telah dipertimbangkan sejak tahap perancangan. Tindakan teknis dan administratif yang diterapkan meliputi:
- Enkripsi saat transit — seluruh lalu lintas jaringan dienkripsi dengan TLS 1.2+.
- Enkripsi saat penyimpanan — enkripsi sisi server AES-256 milik Google Cloud.
- Autentikasi — Firebase Auth; kata sandi tidak pernah disimpan dalam bentuk teks biasa.
- App Check — Apple App Attest pada build produksi; permintaan dari sumber yang tidak tepercaya akan ditolak.
- Apple DeviceCheck — mencegah penyalahgunaan pada uji coba onboarding.
- Aturan keamanan Firestore yang ketat — setiap pengguna hanya membaca dan menulis datanya sendiri.
- Isolasi data sensitif — kata sandi kunci aplikasi hanya disimpan di iOS Keychain; data biometrik tetap berada di Apple Secure Enclave.
- Log dengan PII yang diminimalkan — konten jurnal tidak dimasukkan ke log server; hanya metadata yang diperlukan untuk operasi dan debugging (ID pengguna, jenis peristiwa, status) yang dicatat.
- Manajemen kunci rahasia — kunci API (OpenAI, RevenueCat, Apple DeviceCheck) disimpan di Firebase Secret Manager; tidak berada di dalam kode.
Karena tidak ada sistem yang sepenuhnya aman, apabila terjadi insiden pelanggaran data pribadi:
- Pemberitahuan akan disampaikan kepada Otoritas Perlindungan Data Pribadi dalam 72 jam berdasarkan Pasal 12 ayat 5 KVKK;
- Pemberitahuan langsung kepada penduduk UE/EEA dan kepada otoritas terkait akan dilakukan sesuai Pasal 33-34 GDPR.
12. Anak-anak
Thanxful tidak ditujukan untuk anak-anak di bawah usia 13 tahun. Untuk dapat menggunakan Layanan, Anda harus berusia minimal 13 tahun (lihat Ketentuan Penggunaan §3). Apabila Anda berusia antara 13 hingga 16 tahun (usia persetujuan digital di beberapa negara anggota UE), peraturan di negara Anda dapat mensyaratkan persetujuan orang tua atau wali. Berdasarkan Pasal 15 Türk Medeni Kanunu (TMK), anak di bawah usia 18 tahun tidak memiliki kapasitas hukum penuh untuk berkontrak, sehingga persetujuan orang tua atau wali diperlukan bagi pengguna di bawah usia 18 tahun.
Kami tidak secara sengaja mengumpulkan data pribadi dari anak di bawah usia 13 tahun. Apabila Anda sebagai orang tua atau wali meyakini bahwa anak Anda telah membagikan informasi tanpa sepengetahuan Anda, silakan menulis ke [email protected]; informasi tersebut akan dihapus.
Pemeringkatan usia App Store untuk aplikasi (4+) menunjukkan bahwa konten aplikasi sesuai untuk semua usia (tidak mengandung kekerasan, konten seksual, atau bahasa kasar). Pemeringkatan konten ini tidak mengubah larangan kontraktual untuk usia di bawah 13 tahun.
Tidak terdapat age gate khusus pada onboarding bagi pengguna; usia minimum diberlakukan melalui ketentuan kontrak tertulis — pendekatan ini lazim diterapkan pada aplikasi jurnal/kesejahteraan.
13. Pengungkapan California (CCPA / CPRA)
Apabila Anda penduduk California, bagian ini berlaku untuk Anda sebagai tambahan dari bagian-bagian lain dalam kebijakan ini.
Kategori informasi pribadi yang dikumpulkan (12 bulan terakhir)
| Kategori CCPA | Dikumpulkan? | Sumber | Tujuan | Pihak yang menerima |
|---|---|---|---|---|
| Pengenal (email, ID pengguna, ID perangkat) | Ya | Anda; perangkat Anda | Akun, keamanan, analitik | Firebase, RevenueCat |
| Catatan Pelanggan California (Cal. Civ. Code §1798.80) | Ya (nama) | Anda | Akun | Firebase |
| Klasifikasi yang dilindungi | Tidak | — | — | — |
| Informasi komersial (riwayat langganan) | Ya | Apple, RevenueCat | Penyediaan langganan | RevenueCat |
| Informasi biometrik | Tidak (Face ID tetap di perangkat) | — | — | — |
| Aktivitas internet / jaringan | Terbatas (peristiwa aplikasi, laporan crash) | Perangkat Anda | Analitik, keandalan | Firebase |
| Lokasi | Hanya tingkat kasar (negara / zona waktu) | Perangkat Anda | Lokalisasi konten | Firebase |
| Audio / visual | Foto profil (opsional) | Anda | Profil | Firebase Storage |
| Profesi atau pekerjaan | Tidak | — | — | — |
| Pendidikan | Tidak | — | — | — |
| Inferensi | Tidak | — | — | — |
| Informasi pribadi yang sensitif | Konten jurnal diperlakukan sebagai sensitif | Anda | Wawasan AI (hanya dengan persetujuan) | OpenAI, Google Gemini |
Hak California Anda
- Mengetahui / akses — lihat §10.
- Penghapusan / koreksi — lihat §10.
- Penolakan penjualan / pembagian — kami tidak menjual atau membagikan informasi pribadi Anda; tidak ada hal yang perlu ditolak.
- Pembatasan penggunaan informasi sensitif — informasi sensitif (konten jurnal Anda) hanya digunakan untuk tujuan yang dijelaskan dalam §6 dan dengan persetujuan eksplisit Anda.
- Tidak diperlakukan secara diskriminatif — penggunaan hak-hak ini tidak akan membatasi akses Anda ke Layanan, mengubah harga, atau menurunkan kualitas yang diberikan kepada Anda.
Untuk mengajukan permintaan, kirim email ke [email protected] dengan baris subjek California Privacy Request. Kami akan memverifikasi identitas Anda melalui email yang terdaftar pada akun.
Tidak ada insentif finansial yang ditawarkan sebagai imbalan atas informasi pribadi.
14. Cookie dan Teknologi Serupa
Di dalam aplikasi iOS: tidak ada cookie web yang digunakan. Aplikasi hanya menyimpan preferensi kecil (seperti tema, bahasa, preferensi notifikasi) di UserDefaults pada perangkat Anda dan kata sandi kunci aplikasi di iOS Keychain. Data ini tidak dibagikan dengan kami atau pihak ketiga.
Pada thanxful.app: Per tanggal berlakunya kebijakan ini, situs pemasaran tidak menggunakan cookie, web-beacon, atau pelacak analitik pihak ketiga. Apabila ditambahkan di kemudian hari, bagian ini akan diperbarui, banner persetujuan cookie akan ditampilkan di situs, dan perubahan tersebut akan diperlakukan sebagai perubahan material sesuai §15.
15. Perubahan Kebijakan
Kebijakan ini dapat diperbarui dari waktu ke waktu. Untuk perubahan material (perubahan yang memengaruhi hak Anda atau cara data Anda diproses), Anda akan diberi tahu melalui email dan notifikasi dalam aplikasi setidaknya 30 hari sebelum perubahan berlaku. Untuk perubahan non-material (perbaikan ejaan, klarifikasi), dokumen akan diperbarui dan Tanggal Berlaku di bagian atas akan diperbarui.
Apabila Anda tidak menyetujui versi baru, Anda dapat berhenti menggunakan Layanan dan menghapus akun sebelum tanggal berlaku.
16. Kontak
Untuk segala pertanyaan, permintaan, atau pengaduan terkait privasi:
- Email:
[email protected](subjek:Privacy) - Pengendali Data: Kadir Alan — usaha perseorangan / sole proprietor (şahıs şirketi), Türkiye
Apabila Anda memerlukan alamat surat-menyurat fisik, harap menulis terlebih dahulu kepada kami di [email protected]; alamat akan dibagikan atas permintaan Anda.
Otoritas pengawas tempat Anda dapat mengajukan pengaduan tercantum dalam §10.
17. Glosarium
- KVKK — Undang-Undang Perlindungan Data Pribadi No. 6698 (Türkiye).
- GDPR — Peraturan Perlindungan Data Umum Uni Eropa No. 2016/679.
- CCPA / CPRA — California Consumer Privacy Act, sebagaimana diubah dengan California Privacy Rights Act.
- COPPA — Children's Online Privacy Protection Act (AS, di bawah usia 13 tahun).
- FCM — Firebase Cloud Messaging (infrastruktur notifikasi).
- Kategori khusus data pribadi / data sensitif — jenis data yang memerlukan perlindungan lebih kuat berdasarkan Pasal 6 KVKK dan Pasal 9 GDPR, seperti data tentang kesehatan, agama, pandangan politik, kehidupan seksual, dan sebagainya.
- Pengendali data — orang perseorangan atau badan hukum yang menentukan tujuan dan sarana pemrosesan data pribadi serta bertanggung jawab atas pembentukan dan pengelolaan sistem pencatatan data (di sini: Kadir Alan).
- Persetujuan eksplisit — persetujuan yang berkenaan dengan suatu hal tertentu, didasarkan pada pemberitahuan, dan dinyatakan secara bebas atas kehendak sendiri.
Terima kasih telah memercayakan perjalanan rasa syukur Anda kepada kami.
— Thanxful