1. Sekilas pandang
Thanxful ialah aplikasi yang membolehkan Anda menyimpan jurnal kesyukuran peribadi dan, jika Anda mahu, menerima cerapan berbantukan kecerdasan buatan tentang apa yang Anda tulis. Jurnal Anda adalah milik Anda. Kami hanya menyentuh apa yang Anda tulis untuk mengendalikan Perkhidmatan, tidak pernah menjualnya, tidak pernah menggunakannya untuk pengiklanan, dan tidak pernah membenarkannya digunakan untuk melatih sebarang model kecerdasan buatan.
| Topik | Jawapan ringkas |
|---|---|
| Pengawal Data | Kadir Alan — perniagaan milikan tunggal / sole proprietor (şahıs şirketi), Türkiye. Hubungi: [email protected]. |
| Data apa yang diproses? | E-mel, nama, foto profil (pilihan), catatan jurnal Anda, mood, maklumat peranti dan langganan. |
| Mengapa? | Untuk menyediakan Perkhidmatan, mengurus langganan, menghantar pemberitahuan peringatan, dan — hanya jika Anda memberikan persetujuan eksplisit — menjana cerapan berbantukan kecerdasan buatan daripada catatan Anda. |
| Dengan siapa ia dikongsi? | Penyedia perkhidmatan kami: Google Firebase (infrastruktur), OpenAI dan Google Gemini (AI), RevenueCat (langganan), Apple (log masuk, pemberitahuan, keselamatan). Data Anda tidak dijual atau disewakan. |
| Di mana ia disimpan? | Akaun dan jurnal Anda berada di Kesatuan Eropah (Google Cloud europe-west1, Belgium). Catatan Anda dipindahkan ke Amerika Syarikat hanya jika Anda mengaktifkan ciri AI. |
| Berapa lama? | Sehingga Anda memadam akaun Anda. Apabila dipadam, data Anda dialih keluar dengan serta-merta daripada sistem aktif kami; ia juga dipadam daripada sandaran dan log dalam tempoh 30 hari. |
| Apakah hak Anda? | Akses, pembetulan, pemadaman, kemudahalihan, bantahan dan penarikan balik persetujuan. Hantar e-mel kepada [email protected] dengan tajuk subjek Privacy; kami akan menjawab dalam tempoh 30 hari. |
2. Identiti Pengawal Data
Aplikasi Thanxful disediakan oleh Kadir Alan, yang beroperasi di Türkiye sebagai perniagaan milikan tunggal / sole proprietor (şahıs şirketi).
| Pengawal Data | Kadir Alan — perniagaan milikan tunggal / sole proprietor (şahıs şirketi), Türkiye |
| Hubungan | [email protected] (menulis Privacy dalam baris subjek membantu permintaan Anda dihalakan dengan betul) |
Sebagai perniagaan milikan tunggal, kami berada di bawah ambang pendaftaran Daftar Pengawal Data (VERBİS) di bawah KVKK dan ambang pelantikan Pegawai Perlindungan Data di bawah Artikel 37 GDPR, justeru kami tidak mempunyai obligasi untuk mendaftar dengan VERBİS atau melantik DPO. Dasar ini akan dikemas kini sekiranya keadaan ini berubah. Untuk meminta alamat penyampaian fizikal, sila tulis kepada kami melalui [email protected]; alamat penyampaian akan dikongsi atas permintaan Anda.
3. Skop
Dasar ini meliputi perkara berikut:
- Aplikasi Thanxful iOS yang diterbitkan di Apple App Store (
com.aota.thanxfuldan betacom.aota.thanxful.beta). - Laman web
thanxful.app(halaman promosi, dokumen perundangan ini dan kandungan berkaitan).
Amalan privasi perkhidmatan pihak ketiga yang Anda diarahkan kepadanya melalui aplikasi atau laman ini (cth. Apple App Store, OpenAI, RevenueCat) tertakluk pada dasar perkhidmatan masing-masing; Pengawal Data tidak bertanggungjawab terhadap perkara-perkara ini.
4. Kategori Data Peribadi yang Diproses
Hanya data peribadi yang diperlukan untuk penyediaan Perkhidmatan diproses. Data ini dikumpulkan dalam enam kategori:
4.1 Data identiti
Apabila Anda membuat akaun, data berikut diproses:
- Alamat e-mel (wajib).
- Nama / nama paparan (pilihan; Anda boleh mengubahnya bila-bila masa atau membiarkannya kosong).
- Foto profil (pilihan; disimpan di Firebase Storage).
- ID pengguna Firebase yang dijana secara automatik oleh sistem.
- Jika Anda menggunakan pilihan Sign in with Apple: e-mel Anda (sebenar atau alamat penghantaran semula peribadi Apple) dan, jika Anda memilih untuk berkongsi, nama penuh Anda. Apple tidak menyampaikan Apple ID Anda kepada kami.
4.2 Kandungan jurnal — boleh menjadi kategori khas data peribadi
Untuk setiap catatan yang Anda simpan, data berikut diproses:
- Teks catatan (sehingga 3,000 aksara).
- Pemformatan teks kaya (tebal, italik, senarai — sehingga 30,000 aksara, dikodkan).
- Pilihan mood (pilihan).
- Maklumat tentang gesaan (prompt) yang Anda jawab (jika ada).
- Tarikh kalendar tempatan.
Kandungan jurnal adalah peribadi dan sensitif. Menurut Artikel 6 KVKK dan Artikel 9 GDPR, teks jurnal mungkin mengandungi kategori khas data peribadi yang berkaitan dengan kesihatan, kepercayaan agama, pandangan politik, kehidupan seksual atau keahlian kesatuan sekerja Anda. Atas sebab ini, pemprosesan kandungan jurnal Anda dengan kecerdasan buatan adalah sepenuhnya bergantung pada persetujuan eksplisit Anda (lihat §6).
4.3 Data profil dan keutamaan
- Maklumat siri (streak) (semasa dan terpanjang).
- Masa aktiviti terakhir dan zon waktu (zon waktu IANA peranti Anda, cth.
Europe/Istanbul). - Keutamaan bahasa (pilihan Anda daripada senarai 30 bahasa).
- Keutamaan tema (Espresso, Cosmos, Oat dan lain-lain).
- Tetapan pemberitahuan: sama ada peringatan dihidupkan/dimatikan, masa peringatan dan zon waktu.
- Status langganan: sama ada Anda mempunyai langganan premium yang aktif (melalui RevenueCat; lihat §7).
- Rekod persetujuan eksplisit AI — log yang hanya boleh ditambah (append-only) yang merangkumi tindakan Anda memberikan, menolak atau menarik balik persetujuan, sumbernya (onboarding, selepas catatan, selepas pembelian atau Tetapan), cap masa dan bilangan gesaan yang dipaparkan. Rekod ini disimpan menurut Garis Panduan Semakan Apple App Store 5.1.2(i).
4.4 Data peranti dan penggunaan
Data berikut diproses secara automatik semasa Anda menggunakan aplikasi:
- Maklumat peranti: model, versi sistem pengendalian, versi aplikasi, tetapan tempatan, negara, zon waktu dan ID kejadian aplikasi dalaman Firebase.
- Token pemberitahuan FCM — token yang diberikan kepada peranti Anda oleh Firebase Cloud Messaging supaya kami boleh menghantar peringatan. Disimpan di Firestore yang dikaitkan dengan akaun Anda; diperbaharui selepas pemasangan semula atau log keluar.
- Data peristiwa: metadata seperti skrin yang Anda lihat dalam aplikasi, sama ada Anda menyimpan catatan, sama ada Anda membuka cerapan, sama ada Anda memulakan pembelian — tetapi kandungan catatan Anda tidak terkandung dalam rekod ini.
- Laporan ranap melalui Firebase Crashlytics (jejak tindanan, keadaan peranti pada masa ranap). Crashlytics dilumpuhkan dalam binaan nyahpepijat (debug); ia diaktifkan dalam binaan yang diedarkan kepada pengguna.
Data berikut tidak diproses:
- Alamat IP Anda dalam aplikasi (Firebase Analytics tidak mendedahkan maklumat ini kepada kami).
- Pengecam pengiklanan Anda (IDFA) — versi Firebase tanpa AdSupport digunakan dan isyarat pemperibadian iklan dilumpuhkan.
4.5 Data langganan
Apabila Anda membeli langganan Thanxful:
- Transaksi diproses oleh Apple (App Store). Kaedah pembayaran atau maklumat kad Anda tidak disampaikan kepada kami.
- RevenueCat mengendalikan kitaran hayat langganan bagi pihak kami. Data yang dikongsi dengan RevenueCat ialah ID pengguna Firebase Anda; RevenueCat menyampaikan ID produk, status, tarikh tamat tempoh terakhir dan tarikh pembaharuan kepada kami.
4.6 Komunikasi dan maklum balas
- E-mel sokongan yang Anda hantar ke
[email protected]. - Permintaan ciri dan laporan pepijat yang Anda hantar dari dalam aplikasi (terhad pada asas harian untuk mengelakkan penyalahgunaan). Teks yang Anda tulis, ID pengguna Anda dan masa penghantaran disimpan. Apabila Anda memadam akaun Anda, maklum balas dianonimkan (ID pengguna ditukar kepada
"deleted_user"); teks itu sendiri tidak dipadam, tetapi pautan dengan Anda dialih keluar.
4.7 Percubaan onboarding (sebelum mendaftar akaun)
Jika Anda ingin mencuba satu cerapan kecerdasan buatan tanpa membuka akaun, data berikut diproses:
- UUID peranti yang dijana oleh peranti Anda (bukan IDFA).
- Alamat IP yang dicincang dengan SHA-256 (alamat IP mentah tidak disimpan).
- Token Apple DeviceCheck (untuk menghalang percubaan diulangi pada peranti yang sama).
Data ini diproses untuk tempoh yang singkat semata-mata bagi tujuan menghadkan percubaan (sekali sehari setiap peranti, 20 sehari setiap IP global) dan mencegah penyalahgunaan.
4.8 Keselamatan
- Kata laluan kunci aplikasi Anda (jika Anda memilih untuk mengaktifkannya), disimpan hanya dalam Keychain iOS pada peranti Anda; ia tidak meninggalkan telefon Anda. Data biometrik Anda (Face ID / Touch ID) kekal dalam Secure Enclave Apple; ia tidak disampaikan kepada kami.
5. Tujuan Pemprosesan dan Asas Perundangan
Tujuan setiap aktiviti pemprosesan data dan asas perundangannya di bawah Artikel 5-6 KVKK dan Artikel 6 GDPR dipersembahkan dalam jadual di bawah:
| Aktiviti pemprosesan | Tujuan | Asas perundangan KVKK | Asas perundangan GDPR |
|---|---|---|---|
| Membuat akaun dan menyimpan catatan Anda | Penyediaan asas Perkhidmatan | Art. 5/2(c) — pembentukan dan pelaksanaan kontrak | Art. 6(1)(b) — pelaksanaan kontrak |
| Menjana cerapan AI daripada catatan jurnal Anda | Hanya jika Anda memberikan persetujuan eksplisit | Art. 6(2) — persetujuan eksplisit untuk kategori khas data peribadi | Art. 6(1)(a) + Art. 9(2)(a) — persetujuan eksplisit untuk kategori khas data peribadi |
| Menghantar peringatan kesyukuran harian | Apabila Anda mengaktifkannya dalam Tetapan | Art. 5(1) — persetujuan eksplisit | Art. 6(1)(a) — persetujuan |
| Memproses langganan melalui Apple dan RevenueCat | Penyediaan perkhidmatan yang Anda beli | Art. 5/2(c) — pelaksanaan kontrak | Art. 6(1)(b) — kontrak |
| Pelaporan ranap dan analitik produk berkumpul | Menyediakan aplikasi yang boleh dipercayai dan stabil | Art. 5/2(f) — kepentingan sah | Art. 6(1)(f) — kepentingan sah |
| Langkah pencegahan penyalahgunaan (DeviceCheck, pencincangan IP, had kuota) | Mencegah penipuan dan penyalahgunaan kos | Art. 5/2(f) — kepentingan sah | Art. 6(1)(f) — kepentingan sah |
| Penyimpanan rekod pembayaran untuk cukai dan perakaunan | Pemenuhan obligasi perundangan | Art. 5/2(a) — obligasi perundangan | Art. 6(1)(c) — obligasi perundangan |
| Memberi maklum balas kepada permintaan sah pihak berkuasa | Kewajipan undang-undang | Art. 5/2(a) — obligasi perundangan | Art. 6(1)(c) — obligasi perundangan |
Kami tidak memproses Anda untuk tujuan pemprofilan, tidak menjalankan aktiviti membuat keputusan automatik yang boleh menimbulkan kesan ketara terhadap Anda, dan tidak menjual atau menyewakan data peribadi Anda.
6. Pemprosesan Kandungan Jurnal Anda dengan Kecerdasan Buatan
Bahagian ini disediakan khas untuk Anda dalam kapasiti Apple App Store Review Guideline 5.1.2(i) dan dalam kapasiti orang yang memiliki jurnal tersebut.
Apa yang dilakukan?
Sekiranya Anda memberikan persetujuan eksplisit, Thanxful menghantar catatan jurnal yang dipilih kepada penyedia kecerdasan buatan pihak ketiga; penyedia ini menjana perkara berikut:
- Cerapan segera — refleksi pendek untuk satu catatan.
- Ringkasan mingguan — analisis ringkas 7 hari terakhir.
- Ringkasan bulanan — analisis mendalam 30 hari terakhir.
Siapa memproses catatan Anda?
- OpenAI (penyedia utama) — model
gpt-4o-minidangpt-4o. Pelayan berada di Amerika Syarikat. - Google Gemini (penyedia sandaran apabila OpenAI tidak boleh diakses) — pada infrastruktur global Google.
Data apa yang disampaikan?
- Teks catatan bagi tempoh yang dianalisis.
- Nama paparan Anda (supaya cerapan boleh menyapa Anda dengan nama Anda).
- Keutamaan bahasa Anda (supaya cerapan dijana dalam bahasa Anda).
Data apa yang tidak disampaikan?
- Alamat e-mel Anda.
- Maklumat siri, status langganan atau data profil yang lain.
- Apa-apa data pengguna lain.
Tempoh penyimpanan di pihak penyedia
- OpenAI menyimpan permintaan yang masuk melalui API sehingga 30 hari untuk tujuan pengesanan penyalahgunaan dan kemudian memadamnya. OpenAI tidak menggunakan data API untuk melatih model. (Sumber: OpenAI API Terms.)
- Google Gemini secara lalai tidak menggunakan data API untuk melatih model. (Sumber: Google Gemini API Terms.)
Persetujuan eksplisit Anda
- Persetujuan eksplisit Anda diminta pada saat AI mungkin pertama kali aktif — semasa onboarding, selepas menyimpan catatan, atau selepas pembelian premium.
- Persetujuan Anda disimpan dalam log audit yang hanya boleh ditambah (
users/{uid}/aiConsent). - Anda boleh menarik balik persetujuan Anda pada bila-bila masa: Tetapan → Persetujuan Eksplisit AI. Penarikan balik akan menghentikan pemprosesan akan datang dengan serta-merta. Cerapan yang telah dijana sehingga ke saat itu kekal dalam sejarah Anda sehingga Anda memadam cerapan tersebut atau akaun Anda.
- Memandangkan jurnal Anda mungkin mengandungi kategori khas data di bawah Artikel 6 KVKK dan Artikel 9 GDPR, asas perundangan untuk pemindahan kepada penyedia kecerdasan buatan adalah persetujuan eksplisit Anda.
Cerapan kecerdasan buatan bukan nasihat perubatan/perundangan/terapeutik
Cerapan ialah teks yang dijana secara automatik. Ia mungkin salah, mengelirukan atau terkeluar daripada konteks. Ia tidak menggantikan ahli terapi berlesen, doktor, peguam atau pakar lain. Sekiranya Anda dalam kesusahan, kami mengesyorkan agar Anda merujuk kepada pakar yang bertauliah atau, dalam kecemasan, kepada perkhidmatan kecemasan tempatan.
7. Perkongsian dan Pihak Ketiga
Data peribadi Anda dikongsi hanya dengan penyedia perkhidmatan berikut, dan hanya untuk tujuan yang dinyatakan. Setiap penyedia terikat secara kontrak untuk memproses data peribadi Anda hanya menurut arahan kami dan untuk mengambil langkah keselamatan yang sesuai.
| Penyedia | Peranan | Data yang dikongsi | Wilayah | Dasar privasi |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastruktur: pengesahan identiti, Firestore, Storage, Cloud Functions, pemberitahuan, analitik, laporan ranap, remote config, App Check | Semua data profil, catatan jurnal, token FCM, peristiwa analitik, laporan ranap | Firestore dan Cloud Functions di europe-west1 (Belgium, EU). Analitik dan Crashlytics pada infrastruktur global Google. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Penjanaan cerapan AI | Teks jurnal, nama paparan, bahasa — hanya apabila Anda memberikan persetujuan | Amerika Syarikat | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Penjanaan cerapan AI (sandaran) | Sama seperti OpenAI | Amerika Syarikat / global | https://policies.google.com/privacy |
| RevenueCat, Inc. | Pengurusan langganan | ID pengguna Firebase, ID produk, status langganan, tarikh pembaharuan | Amerika Syarikat | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, pemberitahuan APNs, DeviceCheck, pembayaran App Store | E-mel Apple ID, token pemberitahuan, bit peranti, rekod pembelian | Infrastruktur Apple | https://www.apple.com/legal/privacy/ |
Nota mengenai Meta / Facebook: Dalam fail Info.plist kami terdapat hanya pengisytiharan FacebookAppID: 2198469434228743 untuk mengaktifkan skema URL "Kongsi ke Instagram Stories". Facebook SDK tidak digunakan; tiada data dihantar kepada Meta. Apabila Anda memilih untuk berkongsi — dan hanya pada keadaan tersebut — imej yang Anda pilih disampaikan kepada aplikasi Instagram melalui Halaman Perkongsian iOS.
Permintaan pihak berkuasa
Data peribadi Anda hanya didedahkan kepada pihak berkuasa dalam lingkup proses perundangan yang sah di Türkiye atau proses perundangan yang sah di sesebuah negara yang mempunyai bidang kuasa ke atas kami. Sekiranya dibenarkan oleh undang-undang, Anda akan dimaklumkan mengenai permintaan sebegini.
Tiada penjualan data
Data peribadi Anda tidak dijual. Mengikut definisi CCPA/CPRA, ia juga tidak "dikongsi" untuk tujuan pengiklanan tingkah laku merentas konteks.
8. Pemindahan Merentas Sempadan
Akaun dan jurnal Anda disimpan di dalam Kesatuan Eropah (Google Cloud europe-west1, Belgium).
Beberapa penyedia perkhidmatan kami berada di Amerika Syarikat:
- OpenAI dan Google Gemini menerima catatan jurnal Anda (hanya apabila Anda memberikan persetujuan) untuk tujuan pemprosesan kecerdasan buatan.
- RevenueCat memproses status langganan Anda.
- Sebahagian daripada perkhidmatan Apple dan Firebase dijalankan pada infrastruktur global.
Mekanisme perundangan yang dirujuk untuk pemindahan ini:
- Di bawah GDPR: Standard Contractual Clauses (SCC) Suruhanjaya EU 2021/914 yang dimasukkan dalam perjanjian pemprosesan data yang ditandatangani dengan setiap penyedia; langkah teknikal yang dilaksanakan semasa dan selepas pemindahan (penyulitan, kawalan capaian). Bagi penyedia yang mempunyai pensijilan EU–US Data Privacy Framework, keputusan kecukupan ini juga dijadikan asas tambahan.
- Di bawah UK GDPR: UK International Data Transfer Addendum (IDTA) yang dilampirkan pada SCC yang sama.
- Di bawah KVKK: Set jaminan berbilang berikut dijadikan rujukan:
- Sekiranya Anda mengaktifkan ciri kecerdasan buatan, persetujuan eksplisit Anda di bawah Artikel 9 KVKK untuk pemindahan kandungan jurnal Anda ke Amerika Syarikat;
- Perjanjian pemprosesan data (DPA) yang dimeterai dengan setiap penyedia — khususnya Google Cloud / Firebase DPA (yang memuatkan SCC), OpenAI API Data Processing Addendum dan RevenueCat DPA — sebagai jaminan kontrak;
- Langkah teknikal yang disenaraikan dalam §11 (penyulitan, App Check, peminimumam data peribadi semasa pengelogan).
Matlamat kami ialah menandatangani templat Standart Sözleşme yang dikeluarkan oleh Pihak Berkuasa Perlindungan Data Peribadi dengan setiap penyedia yang bersetuju untuk menandatanganinya, dan untuk membuat pemberitahuan kepada Pihak Berkuasa dalam tempoh 5 hari bekerja dari tarikh tandatangan. Dalam keadaan penyedia tidak menerima templat Pihak Berkuasa dan menggunakan DPA mereka sendiri, set jaminan yang disenaraikan di atas akan dilaksanakan.
Anda boleh meminta salinan jaminan pemindahan dengan menulis ke [email protected].
9. Tempoh Penyimpanan
Data peribadi disimpan hanya selama tempoh yang diperlukan.
| Data | Tempoh penyimpanan |
|---|---|
| Data akaun (e-mel, nama, profil, keutamaan) | Sehingga Anda memadam akaun Anda. |
| Catatan jurnal, mood, maklumat siri | Sehingga Anda memadamnya sendiri, menggunakan Tetapan Semula Kandungan, atau memadam akaun Anda. |
| Log persetujuan eksplisit AI | Sepanjang tempoh akaun, dalam bentuk yang hanya boleh ditambah (sebagaimana dikehendaki oleh App Store 5.1.2(i)). Dipadam bersama akaun. |
| Cerapan AI yang dijana (segera, mingguan, bulanan) | Sehingga Anda memadamnya sendiri atau memadam akaun Anda. |
| Token pemberitahuan FCM | Sehingga peranti Anda membatalkan pendaftarannya, log keluar atau akaun dipadam. |
| Laporan ranap Crashlytics | 90 hari (lalai Google). |
| Data peristiwa Firebase Analytics | 14 bulan (lalai minimum Google). |
| Log pelayan (Cloud Logging) | 400 hari (kandungan catatan tidak dimasukkan dalam log; lihat §11). |
| Rekod kebolehkesanan (Cloud Trace) | 15 hari. |
| Permintaan ciri / laporan pepijat | Disimpan untuk tujuan pembangunan produk; apabila akaun dipadam, dianonimkan dengan mengalih keluar ID pengguna. |
| Rekod pembayaran (melalui Apple dan RevenueCat) | Tempoh yang ditetapkan oleh undang-undang cukai dan perdagangan Türkiye — biasanya 10 tahun. |
Apabila Anda memadam akaun Anda (Tetapan → Lanjutan → Padam Akaun atau melalui e-mel), profil, catatan, cerapan, pencapaian, log persetujuan AI dan token FCM Anda dialih keluar serta-merta daripada sistem aktif kami. Penyiapan pemadaman dari segi cache penyedia perkhidmatan, sandaran dan log mungkin mengambil masa sehingga 30 hari.
10. Hak Anda
Bergantung pada negara tempat Anda berada, Anda mempunyai sebahagian atau keseluruhan hak berikut:
Artikel 11 KVKK (penduduk Türkiye):
- Mengetahui sama ada data peribadi Anda diproses atau tidak.
- Meminta maklumat berkaitan jika ia diproses.
- Mengetahui tujuan pemprosesan dan sama ada ia digunakan menurut tujuan tersebut.
- Mengetahui pihak ketiga yang dipindahkan kepadanya di dalam atau di luar negara.
- Meminta pembetulan jika ia diproses dengan tidak lengkap atau salah.
- Meminta pemadaman atau pemusnahan dalam lingkup Artikel 7 KVKK.
- Meminta pemberitahuan permintaan pembetulan, pemadaman dan pemusnahan kepada pihak ketiga yang dipindahkan kepadanya.
- Membantah keputusan yang merugikan Anda akibat analisis melalui sistem automatik.
- Menuntut pampasan kerugian yang dialami akibat pemprosesan yang menyalahi undang-undang.
GDPR (penduduk EU/EEA dan UK):
- Akses (Art. 15), pembetulan (Art. 16), pemadaman (Art. 17), pengehadan pemprosesan (Art. 18), kemudahalihan data (Art. 20), bantahan (Art. 21), penarikan balik persetujuan eksplisit Anda (Art. 7). Skrin eksport layan diri kami belum tersedia; jika Anda memintanya melalui e-mel, kami akan menyampaikan catatan dan data profil Anda dalam format JSON berstruktur dalam tempoh 30 hari.
CCPA / CPRA (penduduk California):
- Hak untuk mengetahui maklumat peribadi yang dikumpul, sumbernya, tujuannya dan pihak ketiga.
- Hak untuk pemadaman dan pembetulan.
- Hak untuk membantah penjualan/perkongsian maklumat peribadi — kami tidak menjual atau berkongsi data; tiada keadaan untuk dibantah.
- Hak untuk menghadkan penggunaan maklumat peribadi sensitif — maklumat sensitif (kandungan jurnal Anda) tidak digunakan di luar tujuan yang dinyatakan dalam §5.
- Hak untuk tidak didiskriminasi kerana menggunakan hak Anda.
Bagaimana Anda boleh menggunakan hak Anda?
Hantar e-mel ke [email protected] dengan tajuk subjek Privacy Request dan nyatakan hak yang ingin Anda gunakan. Kami mungkin meminta maklumat tambahan untuk mengesahkan identiti Anda (biasanya dengan meminta Anda menjawab daripada e-mel yang didaftarkan dalam akaun Anda). Menurut Artikel 13 KVKK dan Artikel 12 GDPR, permintaan Anda akan diselesaikan dalam tempoh selewat-lewatnya 30 hari. Jika tempoh tambahan diperlukan, kami akan memaklumkan sebab dan masa jangkaan jawapan kepada Anda.
Jika Anda ingin membuat permintaan melalui ejen di bawah CCPA, kami masih boleh menghubungi Anda untuk mengesahkan dokumen kuasa ejen tersebut.
Penggunaan hak ini adalah percuma melainkan permintaan Anda jelas tidak berasas atau berlebihan.
Pihak berkuasa untuk mengemukakan aduan
- Türkiye: Kişisel Verileri Koruma Kurumu (KVKK) — https://www.kvkk.gov.tr/
- EU/EEA: Pihak berkuasa perlindungan data di negara tempat Anda berada — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- United Kingdom: Information Commissioner's Office — https://ico.org.uk/
- California: California Privacy Protection Agency — https://cppa.ca.gov/
11. Langkah Keselamatan Data
Keselamatan data diberi perhatian sejak peringkat reka bentuk lagi. Langkah teknikal dan pentadbiran yang dilaksanakan termasuk:
- Penyulitan semasa pemindahan — semua trafik rangkaian disulitkan dengan TLS 1.2+.
- Penyulitan semasa penyimpanan — penyulitan AES-256 sisi pelayan Google Cloud.
- Pengesahan identiti — Firebase Auth; kata laluan tidak pernah disimpan dalam bentuk teks biasa.
- App Check — Apple App Attest pada binaan pengeluaran; permintaan daripada sumber yang tidak dipercayai ditolak.
- Apple DeviceCheck — menghalang penyalahgunaan dalam percubaan onboarding.
- Peraturan keselamatan Firestore yang ketat — setiap pengguna hanya boleh membaca dan menulis datanya sendiri.
- Pengasingan data sensitif — kata laluan kunci aplikasi disimpan hanya dalam Keychain iOS; data biometrik kekal dalam Apple Secure Enclave.
- Log dengan PII diminimumkan — kandungan jurnal tidak dimasukkan dalam log pelayan; hanya metadata yang diperlukan untuk operasi dan nyahpepijat (ID pengguna, jenis peristiwa, status) yang direkodkan.
- Pengurusan kunci rahsia — kunci API (OpenAI, RevenueCat, Apple DeviceCheck) disimpan di Firebase Secret Manager; ia tidak terdapat dalam kod.
Memandangkan tiada sistem yang sepenuhnya selamat, sekiranya pelanggaran data peribadi dikesan:
- Pemberitahuan akan dibuat kepada Kişisel Verileri Koruma Kurumu dalam tempoh 72 jam di bawah Artikel 12(5) KVKK;
- Pemberitahuan yang diperlukan akan dibuat secara langsung kepada penduduk EU/EEA dan kepada pihak berkuasa berkaitan di bawah Artikel 33-34 GDPR.
12. Kanak-kanak
Thanxful tidak ditujukan kepada kanak-kanak di bawah umur 13 tahun. Anda mestilah berumur sekurang-kurangnya 13 tahun untuk menggunakan Perkhidmatan (lihat Terma Penggunaan §3). Sekiranya Anda berumur antara 13 hingga 16 tahun (umur persetujuan digital di sesetengah negara anggota EU), undang-undang di negara Anda mungkin memerlukan persetujuan ibu bapa atau penjaga. Menurut Artikel 15 Kanun Sivil Türkiye (TMK), kanak-kanak di bawah umur 18 tahun tidak mempunyai keupayaan kontrak penuh, justeru kebenaran ibu bapa atau penjaga diperlukan untuk pengguna yang berumur di bawah 18 tahun.
Data peribadi tidak dikumpulkan dengan sengaja daripada kanak-kanak di bawah umur 13 tahun. Sekiranya Anda sebagai ibu bapa atau penjaga mempercayai bahawa anak Anda telah berkongsi maklumat tanpa pengetahuan Anda, sila tulis kepada [email protected]; maklumat tersebut akan dipadam.
Penarafan umur App Store (4+) menunjukkan bahawa kandungan aplikasi sesuai untuk semua umur (tidak mengandungi keganasan, kandungan seksual atau bahasa kasar). Penarafan kandungan ini tidak mengubah larangan kontrak di bawah umur 13 tahun.
Tiada gerbang umur (age gate) berasingan untuk pengguna semasa onboarding, dan umur minimum dikuatkuasakan melalui kontrak bertulis — pendekatan ini adalah amalan biasa dalam aplikasi jurnal/kesejahteraan.
13. Pendedahan California (CCPA / CPRA)
Sekiranya Anda penduduk California, bahagian ini terpakai kepada Anda sebagai tambahan kepada selebihnya dasar ini.
Kategori maklumat peribadi yang dikumpulkan (12 bulan terakhir)
| Kategori CCPA | Dikumpul? | Sumber | Tujuan | Pihak yang dikongsikan |
|---|---|---|---|---|
| Pengecam (e-mel, ID pengguna, ID peranti) | Ya | Anda; peranti Anda | Akaun, keselamatan, analitik | Firebase, RevenueCat |
| Rekod Pelanggan California (Cal. Civ. Code §1798.80) | Ya (nama) | Anda | Akaun | Firebase |
| Klasifikasi terlindung | Tidak | — | — | — |
| Maklumat komersial (sejarah langganan) | Ya | Apple, RevenueCat | Penyediaan langganan | RevenueCat |
| Maklumat biometrik | Tidak (Face ID kekal pada peranti) | — | — | — |
| Aktiviti internet / rangkaian | Terhad (peristiwa aplikasi, laporan ranap) | Peranti Anda | Analitik, kebolehpercayaan | Firebase |
| Lokasi | Hanya pada tahap kasar (negara / zon waktu) | Peranti Anda | Penyetempatan kandungan | Firebase |
| Audio / visual | Foto profil (pilihan) | Anda | Profil | Firebase Storage |
| Profesional atau pekerjaan | Tidak | — | — | — |
| Pendidikan | Tidak | — | — | — |
| Inferens | Tidak | — | — | — |
| Maklumat peribadi sensitif | Kandungan jurnal dianggap sensitif | Anda | Cerapan AI (hanya dengan persetujuan) | OpenAI, Google Gemini |
Hak California Anda
- Mengetahui / akses — lihat §10.
- Pemadaman / pembetulan — lihat §10.
- Bantahan terhadap penjualan / perkongsian — kami tidak menjual atau berkongsi maklumat peribadi Anda; tiada keadaan untuk dibantah.
- Hadkan penggunaan maklumat sensitif — maklumat sensitif (kandungan jurnal Anda) hanya digunakan untuk tujuan yang dijelaskan dalam §6 dan dengan persetujuan eksplisit Anda.
- Tidak didiskriminasi — capaian Anda kepada Perkhidmatan tidak dihadkan, tiada harga berbeza dikenakan dan tiada kualiti berbeza disediakan apabila Anda menggunakan hak ini.
Untuk membuat permintaan, sila tulis ke [email protected] dengan tajuk subjek California Privacy Request. Kami akan mengesahkan identiti Anda melalui e-mel yang didaftarkan dalam akaun.
Tiada insentif kewangan ditawarkan sebagai pertukaran untuk maklumat peribadi.
14. Kuki dan Teknologi yang Serupa
Dalam aplikasi iOS: kuki web tidak digunakan. Aplikasi hanya menyimpan keutamaan kecil (seperti tema, bahasa, keutamaan pemberitahuan) dalam UserDefaults pada peranti Anda dan kata laluan kunci aplikasi dalam Keychain iOS. Data ini tidak dikongsi dengan kami atau pihak ketiga.
Pada thanxful.app: Mulai tarikh berkuat kuasa dasar ini, laman promosi tidak menggunakan kuki, web-beacon atau penjejak analitik pihak ketiga. Sekiranya ditambah pada masa hadapan, bahagian ini akan dikemas kini, kotak persetujuan kuki (cookie banner) akan dipaparkan di laman dan perubahan tersebut akan dianggap sebagai perubahan penting menurut §15.
15. Perubahan Dasar
Dasar ini boleh dikemas kini dari semasa ke semasa. Untuk perubahan penting (perubahan yang menjejaskan hak Anda atau cara data Anda diproses), Anda akan dimaklumkan melalui e-mel dan pemberitahuan dalam aplikasi sekurang-kurangnya 30 hari sebelum perubahan tersebut berkuat kuasa. Untuk perubahan tidak penting (pembetulan ejaan, penjelasan), dokumen akan dikemas kini dan Tarikh Berkuat Kuasa di bahagian atas akan dikemas kini.
Sekiranya Anda tidak menerima versi baharu, Anda boleh berhenti menggunakan Perkhidmatan dan memadam akaun Anda sebelum tarikh berkuat kuasa.
16. Hubungan
Untuk segala soalan, permintaan atau aduan berkaitan privasi:
- E-mel:
[email protected](subjek:Privacy) - Pengawal Data: Kadir Alan — perniagaan milikan tunggal / sole proprietor (şahıs şirketi), Türkiye
Sekiranya alamat penyampaian fizikal diperlukan, sila tulis kepada kami terlebih dahulu melalui [email protected]; alamat akan dikongsi atas permintaan.
Pihak berkuasa penyeliaan yang Anda boleh kemukakan aduan disenaraikan dalam §10.
17. Glosari
- KVKK — Akta Perlindungan Data Peribadi No. 6698 (Türkiye).
- GDPR — Peraturan Perlindungan Data Umum Kesatuan Eropah No. 2016/679.
- CCPA / CPRA — California Consumer Privacy Act, sebagaimana dipinda oleh California Privacy Rights Act.
- COPPA — Children's Online Privacy Protection Act (Amerika Syarikat, di bawah umur 13 tahun).
- FCM — Firebase Cloud Messaging (infrastruktur pemberitahuan).
- Kategori khas data peribadi / data sensitif — jenis data seperti kesihatan, agama, pandangan politik, kehidupan seksual dan sebagainya yang memerlukan perlindungan yang dipertingkatkan menurut Artikel 6 KVKK dan Artikel 9 GDPR.
- Pengawal data — orang sebenar atau entiti perundangan yang menentukan tujuan dan cara pemprosesan data peribadi serta bertanggungjawab atas penubuhan dan pengurusan sistem rakaman data (di sini: Kadir Alan).
- Persetujuan eksplisit — persetujuan yang dinyatakan dengan kehendak bebas dan berasaskan maklumat berkaitan perkara tertentu.
Terima kasih kerana mempercayai kami dalam perjalanan kesyukuran Anda.
— Thanxful