1. Et raskt overblikk
Thanxful er en app som lar deg føre en personlig takknemlighetsdagbok og — hvis du ønsker — motta refleksjoner generert av kunstig intelligens om det du skriver. Dagboken din tilhører deg. Vi rører den kun for å drive tjenesten. Vi selger den aldri, bruker den aldri til reklame og lar aldri noen KI-modell trenes på den.
| Tema | Kort svar |
|---|---|
| Behandlingsansvarlig | Kadir Alan — enkeltpersonforetak (şahıs şirketi), Tyrkia. Kontakt: [email protected]. |
| Hvilke opplysninger behandles? | E-post, navn, profilbilde (valgfritt), dagboknotatene dine, humør, enhets- og abonnementsinformasjon. |
| Hvorfor? | For å levere tjenesten, administrere abonnementer, sende påminnelser og — kun dersom du gir uttrykkelig samtykke — generere KI-refleksjoner fra notatene dine. |
| Hvem deles de med? | Våre tjenesteleverandører: Google Firebase (infrastruktur), OpenAI og Google Gemini (KI), RevenueCat (abonnement), Apple (innlogging, varsler, sikkerhet). Opplysningene dine selges eller leies aldri ut. |
| Hvor lagres de? | Kontoen og dagboken din lagres i Den europeiske union (Google Cloud europe-west1, Belgia). Notatene dine overføres kun til USA dersom du aktiverer KI-funksjonen. |
| Hvor lenge? | Frem til du sletter kontoen din. Når du sletter, fjernes opplysningene umiddelbart fra våre aktive systemer; sikkerhetskopier og logger slettes innen 30 dager. |
| Hvilke rettigheter har du? | Innsyn, retting, sletting, dataportabilitet, innsigelse og tilbakekalling av samtykke. Skriv til [email protected] med emnet Personvern; vi svarer innen 30 dager. |
2. Behandlingsansvarliges identitet
Thanxful-appen leveres av Kadir Alan, som driver virksomhet i Tyrkia som enkeltpersonforetak (şahıs şirketi).
| Behandlingsansvarlig | Kadir Alan — enkeltpersonforetak (şahıs şirketi), Tyrkia |
| Kontakt | [email protected] (skriv Personvern i emnefeltet for å sikre at henvendelsen rutes riktig) |
Som enkeltpersonforetak ligger vi under terskelen for registrering i KVKKs register over behandlingsansvarlige (VERBİS) og under terskelen for utnevnelse av personvernombud etter GDPR artikkel 37, og vi har derfor ingen plikt til VERBİS-registrering eller DPO-utnevnelse. Skulle dette endre seg, vil denne erklæringen bli oppdatert. For å be om en fysisk forkynningsadresse kan du skrive til oss på [email protected]; adressen oppgis på forespørsel.
3. Virkeområde
Denne erklæringen omfatter:
- Thanxful iOS-appen (
com.aota.thanxfulog betaversjonencom.aota.thanxful.beta) som er publisert i Apple App Store. - Nettstedet
thanxful.app(markedsføringssider, disse juridiske dokumentene og tilhørende innhold).
Personvernpraksisen til tredjeparter du blir videresendt til via appen eller nettstedet (f.eks. Apple App Store, OpenAI, RevenueCat) reguleres av de respektive tjenestenes egne retningslinjer; behandlingsansvarlig har intet ansvar for disse forholdene.
4. Kategorier av personopplysninger som behandles
Det behandles kun personopplysninger som er nødvendige for å levere tjenesten. Opplysningene grupperes i seks kategorier:
4.1 Identitetsopplysninger
Når du oppretter en konto behandles følgende opplysninger:
- E-postadresse (obligatorisk).
- Navn/visningsnavn (valgfritt; kan endres eller stå tomt når som helst).
- Profilbilde (valgfritt; lagres i Firebase Storage).
- Firebase bruker-ID som genereres automatisk av systemet.
- Hvis du bruker Sign in with Apple: e-postadressen din (reell eller Apples private videresendingsadresse) og fullt navn dersom du velger å dele det. Apple gir oss ikke tilgang til Apple-ID-en din.
4.2 Dagbokinnhold — kan utgjøre særlige kategorier av personopplysninger
For hvert lagrede notat behandles følgende opplysninger:
- Notatteksten (inntil 3 000 tegn).
- Rik tekstformatering (fet, kursiv, lister — inntil 30 000 tegn, kodet).
- Valgfritt humørvalg.
- Informasjon om ledeteksten (prompt) du svarte på (hvis aktuelt).
- Lokal kalenderdato.
Dagbokinnhold er personlig og sensitivt. I henhold til KVKK artikkel 6 og GDPR artikkel 9 kan dagboktekster inneholde særlige kategorier av personopplysninger om helse, religiøs overbevisning, politisk oppfatning, seksuell legning eller fagforeningsmedlemskap. Behandling av dagbokinnholdet ditt med kunstig intelligens er derfor fullt ut betinget av uttrykkelig samtykke fra deg (se §6).
4.3 Profil- og preferanseopplysninger
- Rekkeinformasjon (gjeldende og lengste rekke).
- Sist aktiv-tidspunkt og tidssone (enhetens IANA-tidssone, f.eks.
Europe/Istanbul). - Språkpreferanse (ditt valg fra en liste på 30 språk).
- Temapreferanse (Espresso, Cosmos, Oat osv.).
- Varselinnstillinger: hvorvidt påminnelser er på, påminnelsestidspunkt og tidssone.
- Abonnementsstatus: hvorvidt du har et aktivt premium-abonnement (via RevenueCat; se §7).
- Logg over uttrykkelig KI-samtykke — en logg som kun kan tilføyes (append-only) og som inneholder dine handlinger om å gi, avslå eller tilbakekalle samtykke, kilden (onboarding, etter notat, etter kjøp eller Innstillinger), tidsstempel og antall viste ledetekster. Loggen føres i henhold til Apple App Store Review Guideline 5.1.2(i).
4.4 Enhets- og bruksopplysninger
Følgende opplysninger behandles automatisk når du bruker appen:
- Enhetsinformasjon: modell, operativsystemversjon, appversjon, lokalitet, land, tidssone og Firebases interne app-instans-ID.
- FCM-varseltoken — token som tildeles enheten din av Firebase Cloud Messaging slik at vi kan sende påminnelser. Lagres i Firestore knyttet til kontoen din; fornyes ved reinstallasjon eller utlogging.
- Hendelsesdata: metadata som hvilken skjerm du har sett i appen, om du har lagret et notat, om du har åpnet en refleksjon eller startet et kjøp — men innholdet i notatene dine inngår ikke i disse loggene.
- Krasjrapporter via Firebase Crashlytics (stack trace, enhetstilstand ved krasjtidspunkt). Crashlytics er deaktivert i debug-bygg; aktivert i bygg som distribueres til brukere.
Følgende opplysninger behandles ikke:
- IP-adressen din i appen (Firebase Analytics gjør ikke denne informasjonen tilgjengelig for oss).
- Reklame-ID-en din (IDFA) — vi bruker en variant av Firebase uten AdSupport, og signaler for reklametilpasning er deaktivert.
4.5 Abonnementsopplysninger
Når du kjøper et Thanxful-abonnement:
- Transaksjonen gjennomføres av Apple (App Store). Betalingsmetoden eller kortopplysningene dine overføres ikke til oss.
- RevenueCat håndterer abonnementets livssyklus på våre vegne. Den eneste opplysningen som deles med RevenueCat er Firebase bruker-ID-en din; RevenueCat formidler tilbake til oss produkt-ID, status, utløpsdato og fornyelsesdato.
4.6 Kommunikasjon og tilbakemeldinger
- Støttehenvendelser via e-post som du sender til
[email protected]. - Funksjonsforespørsler og feilrapporter som sendes inn fra appen (begrenset på daglig basis for å hindre misbruk). Teksten du har skrevet, bruker-ID-en din og innsendingstidspunktet lagres. Når du sletter kontoen din, blir tilbakemeldingene anonymisert (bruker-ID erstattes med
"deleted_user"); selve teksten slettes ikke, men tilknytningen til deg fjernes.
4.7 Onboarding-prøve (før du oppretter konto)
Hvis du ønsker å prøve én KI-refleksjon uten å opprette konto, behandles følgende opplysninger:
- Enhets-UUID generert av enheten din (ikke IDFA).
- SHA-256-hashet IP-adresse (selve IP-adressen lagres ikke).
- Apple DeviceCheck-token (for å hindre at prøven gjentas per enhet).
Disse opplysningene behandles kun kortvarig for å begrense prøven (én per enhet per dag, 20 per global IP per dag) og for å hindre misbruk.
4.8 Sikkerhet
- App-låsekoden din (dersom du velger å aktivere den) lagres kun i iOS Keychain på enheten din; den forlater aldri telefonen. Biometriske data (Face ID / Touch ID) forblir i Apples Secure Enclave; de overføres ikke til oss.
5. Formål med behandlingen og rettslig grunnlag
Formålet med hver behandlingsaktivitet og det rettslige grunnlaget etter KVKK artikkel 5–6 og GDPR artikkel 6 er fremstilt i tabellen nedenfor:
| Behandlingsaktivitet | Formål | Rettslig grunnlag etter KVKK | Rettslig grunnlag etter GDPR |
|---|---|---|---|
| Opprette konto og lagre notatene dine | Grunnleggende levering av tjenesten | Art. 5/2(c) — inngåelse og oppfyllelse av avtale | Art. 6(1)(b) — oppfyllelse av avtale |
| Generere KI-refleksjoner fra dagboknotatene dine | Kun dersom du har gitt uttrykkelig samtykke | Art. 6(2) — uttrykkelig samtykke for særlige kategorier av opplysninger | Art. 6(1)(a) + Art. 9(2)(a) — uttrykkelig samtykke for særlige kategorier av opplysninger |
| Sende daglige takknemlighetspåminnelser | Når du har aktivert dette i Innstillinger | Art. 5(1) — uttrykkelig samtykke | Art. 6(1)(a) — samtykke |
| Behandle abonnement via Apple og RevenueCat | Levering av tjenesten du har kjøpt | Art. 5/2(c) — oppfyllelse av avtale | Art. 6(1)(b) — avtale |
| Krasjrapportering og aggregert produktanalyse | Levere en pålitelig og stabil app | Art. 5/2(f) — berettiget interesse | Art. 6(1)(f) — berettiget interesse |
| Tiltak mot misbruk (DeviceCheck, IP-hashing, kvotegrenser) | Hindre svindel og kostnadsmisbruk | Art. 5/2(f) — berettiget interesse | Art. 6(1)(f) — berettiget interesse |
| Oppbevaring av betalingsregistreringer for skatte- og regnskapsformål | Oppfyllelse av rettslig forpliktelse | Art. 5/2(a) — rettslig forpliktelse | Art. 6(1)(c) — rettslig forpliktelse |
| Besvare lovlige forespørsler fra offentlige myndigheter | Lovpålagt | Art. 5/2(a) — rettslig forpliktelse | Art. 6(1)(c) — rettslig forpliktelse |
Vi profilerer deg ikke, treffer ikke automatiserte avgjørelser som kan ha vesentlige følger for deg, og verken selger eller leier ut personopplysningene dine.
6. Behandling av dagbokinnholdet ditt med kunstig intelligens
Dette avsnittet er utformet både for å oppfylle Apple App Store Review Guideline 5.1.2(i) og spesielt for deg som eier av dagboken.
Hva skjer?
Dersom du gir uttrykkelig samtykke, sender Thanxful utvalgte dagboknotater til tredjeparts KI-leverandører som genererer:
- Umiddelbar refleksjon — en kort refleksjon over ett enkelt notat.
- Ukentlig oppsummering — en sammenfattende analyse av de siste 7 dagene.
- Månedlig oppsummering — en dyptgående analyse av de siste 30 dagene.
Hvem behandler notatene dine?
- OpenAI (primær leverandør) — modellene
gpt-4o-minioggpt-4o. Serverne er i USA. - Google Gemini (sekundær leverandør, dersom OpenAI er utilgjengelig) — på Googles globale infrastruktur.
Hvilke opplysninger overføres?
- Notatteksten for perioden som analyseres.
- Visningsnavnet ditt (slik at refleksjonen kan henvende seg til deg ved navn).
- Språkpreferansen din (slik at refleksjonen genereres på ditt språk).
Hvilke opplysninger overføres ikke?
- E-postadressen din.
- Rekkeinformasjon, abonnementsstatus eller andre profilopplysninger.
- Opplysninger om noen annen bruker.
Lagringstid hos leverandørene
- OpenAI oppbevarer forespørsler mottatt via API-en i inntil 30 dager for å oppdage misbruk, og sletter dem deretter. OpenAI bruker ikke API-data til å trene modeller. (Kilde: OpenAI API Terms.)
- Google Gemini bruker ikke API-data til å trene modeller som standard. (Kilde: Google Gemini API Terms.)
Ditt uttrykkelige samtykke
- Du blir bedt om uttrykkelig samtykke første gang KI kan tas i bruk — under onboarding, etter at du har lagret et notat eller etter et premiumkjøp.
- Samtykket ditt registreres i en revisjonslogg som kun kan tilføyes (
users/{uid}/aiConsent). - Du kan tilbakekalle samtykket ditt når som helst: Innstillinger → KI-samtykke. Tilbakekalling stopper umiddelbart all fremtidig behandling. Refleksjoner som er generert frem til det tidspunktet, forblir i historikken din inntil du sletter dem eller kontoen din.
- Siden dagboken din kan inneholde særlige kategorier av opplysninger etter KVKK artikkel 6 og GDPR artikkel 9, er det rettslige grunnlaget for å overføre den til KI-leverandørene ditt uttrykkelige samtykke.
KI-refleksjoner er ikke medisinske, juridiske eller terapeutiske råd
Refleksjonene er automatisk generert tekst. De kan være feilaktige, villedende eller tatt ut av sammenheng. De erstatter ikke en autorisert terapeut, lege, advokat eller annen fagperson. Hvis du opplever vanskeligheter, anbefaler vi at du kontakter en kvalifisert fagperson eller, i nødssituasjoner, lokale nødetater.
7. Deling og tredjeparter
Personopplysningene dine deles kun med tjenesteleverandørene oppført nedenfor, og kun for de angitte formålene. Hver leverandør er kontraktsforpliktet til å behandle personopplysningene dine utelukkende etter våre instrukser og til å iverksette egnede sikkerhetstiltak.
| Leverandør | Rolle | Delte opplysninger | Region | Personvernerklæring |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastruktur: autentisering, Firestore, Storage, Cloud Functions, varsler, analyse, krasjrapportering, remote config, App Check | Alle profilopplysninger, dagboknotater, FCM-tokens, analysehendelser, krasjrapporter | Firestore og Cloud Functions i europe-west1 (Belgia, EU). Analytics og Crashlytics på Googles globale infrastruktur. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Generering av KI-refleksjoner | Notattekst, visningsnavn, språk — kun når du har gitt samtykke | USA | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Generering av KI-refleksjoner (sekundær) | Samme som OpenAI | USA / globalt | https://policies.google.com/privacy |
| RevenueCat, Inc. | Abonnementsadministrasjon | Firebase bruker-ID, produkt-ID, abonnementsstatus, fornyelsesdato | USA | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, APNs-varsler, DeviceCheck, App Store-betalinger | Apple ID-e-post, varseltokens, enhetsbit, kjøpsregistrering | Apples infrastruktur | https://www.apple.com/legal/privacy/ |
Merknad om Meta / Facebook: Info.plist-filen vår inneholder erklæringen FacebookAppID: 2198469434228743 utelukkende for å aktivere URL-skjemaet for «Del til Instagram Stories». Facebook SDK brukes ikke; ingen data sendes til Meta. Når — og kun når — du velger å dele, formidles det valgte bildet til Instagram-appen via iOS' delemeny.
Forespørsler fra offentlige myndigheter
Personopplysningene dine utleveres til offentlige myndigheter kun innenfor rammen av en gyldig rettslig prosess i Tyrkia eller en gyldig rettslig prosess i et land som har jurisdiksjon over oss. Du blir informert om slike forespørsler i den utstrekning loven tillater det.
Ingen salg av opplysninger
Personopplysningene dine selges ikke. De «deles» heller ikke for kontekstuavhengig atferdsbasert markedsføring slik begrepene er definert under CCPA/CPRA.
8. Overføring til utlandet
Kontoen og dagboken din lagres i Den europeiske union (Google Cloud europe-west1, Belgia).
Enkelte av tjenesteleverandørene våre er lokalisert i USA:
- OpenAI og Google Gemini mottar dagboknotatene dine (kun når du har gitt samtykke) for KI-behandling.
- RevenueCat behandler abonnementsstatusen din.
- Enkelte tjenester fra Apple og Firebase kjøres på global infrastruktur.
De rettslige mekanismene som ligger til grunn for disse overføringene er:
- Etter GDPR: EU-kommisjonens standard personvernbestemmelser (SCC) 2021/914 som er innarbeidet i databehandleravtaler med hver leverandør; tekniske tiltak som anvendes under og etter overføringen (kryptering, tilgangskontroll). For leverandører som er sertifisert under EU–US Data Privacy Framework legges også denne tilstrekkelighetsbeslutningen til grunn.
- Etter britisk GDPR (UK GDPR): UK International Data Transfer Addendum (IDTA) tilføyd til de samme SCC-ene.
- Etter KVKK: en kombinasjon av følgende garantier:
- Ditt uttrykkelige samtykke etter KVKK artikkel 9 for overføring av dagbokinnholdet til USA dersom du aktiverer KI-funksjonen;
- Databehandleravtaler (DPA-er) inngått med hver leverandør — særlig Google Cloud / Firebase DPA (som inneholder SCC-er), OpenAI API Data Processing Addendum og RevenueCat DPA — som kontraktsmessige garantier;
- Tekniske tiltak oppført i §11 (kryptering, App Check, dataminimering ved logging).
Vårt mål er å undertegne standardkontraktsmalen publisert av det tyrkiske personvernsmyndigheten (Kişisel Verileri Koruma Kurumu) med hver leverandør som godtar dette, og å melde ifra til myndigheten innen 5 virkedager fra signeringsdatoen. I tilfeller hvor leverandøren ikke godtar styremalen og bruker sin egen DPA, anvendes de ovennevnte garantiene.
Du kan be om en kopi av overføringsgarantiene ved å skrive til [email protected].
9. Lagringstid
Personopplysninger lagres bare så lenge det er nødvendig.
| Opplysninger | Lagringstid |
|---|---|
| Kontoopplysninger (e-post, navn, profil, preferanser) | Frem til du sletter kontoen din. |
| Dagboknotater, humør, rekkeinformasjon | Inntil du selv sletter dem, bruker funksjonen Tilbakestill innhold eller sletter kontoen din. |
| Logg over uttrykkelig KI-samtykke | I kontoens levetid, kun som tilføyelse (etter App Store 5.1.2(i)). Slettes sammen med kontoen. |
| Genererte KI-refleksjoner (umiddelbar, ukentlig, månedlig) | Inntil du sletter dem selv eller sletter kontoen din. |
| FCM-varseltokens | Inntil enheten din avregistreres, du logger ut eller kontoen slettes. |
| Crashlytics krasjrapporter | 90 dager (Googles standardinnstilling). |
| Firebase Analytics-hendelsesdata | 14 måneder (Googles minimumsstandard). |
| Serverlogger (Cloud Logging) | 400 dager (notatinnhold inngår ikke i loggene; se §11). |
| Sporingslogger (Cloud Trace) | 15 dager. |
| Funksjonsforespørsler / feilrapporter | Oppbevares for produktutvikling; anonymiseres ved at bruker-ID-en fjernes når kontoen slettes. |
| Betalingsregistreringer (via Apple og RevenueCat) | Den perioden tyrkisk skatte- og handelslovgivning krever — typisk 10 år. |
Når du sletter kontoen din (Innstillinger → Avansert → Slett konto eller via e-post), fjernes profilen, notatene, refleksjonene, prestasjonene, KI-samtykkeloggen og FCM-tokens umiddelbart fra våre aktive systemer. Når det gjelder cacher hos tjenesteleverandører, sikkerhetskopier og logger, kan slettingen ta opptil 30 dager.
10. Rettighetene dine
Avhengig av landet du bor i, har du alle eller noen av følgende rettigheter:
KVKK artikkel 11 (for personer bosatt i Tyrkia):
- Få vite om personopplysningene dine behandles.
- Be om informasjon dersom de behandles.
- Få vite formålet med behandlingen og om opplysningene brukes i samsvar med formålet.
- Få vite hvilke tredjeparter opplysningene overføres til, innenlands eller utenlands.
- Be om retting dersom opplysningene er ufullstendige eller behandlet feilaktig.
- Be om sletting eller tilintetgjøring etter KVKK artikkel 7.
- Be om at krav om retting, sletting eller tilintetgjøring meddeles tredjeparter som opplysningene er overført til.
- Gjøre innsigelse mot et resultat som er ufordelaktig for deg og som er fremkommet ved analyse i automatiserte systemer.
- Kreve erstatning dersom du har lidt tap som følge av lovstridig behandling.
GDPR (for personer bosatt i EU/EØS og Storbritannia):
- Innsyn (art. 15), retting (art. 16), sletting (art. 17), begrensning av behandling (art. 18), dataportabilitet (art. 20), innsigelse (art. 21), tilbakekalling av uttrykkelig samtykke (art. 7). Vi har ennå ikke en selvbetjent eksportskjerm; ved skriftlig henvendelse leverer vi notatene og profilopplysningene dine i strukturert JSON-format innen 30 dager.
CCPA / CPRA (for innbyggere i California):
- Rett til å vite hvilke personopplysninger som samles inn, kildene, formålene og tredjepartene.
- Rett til sletting og retting.
- Rett til å motsette seg salg/deling av personopplysninger — vi selger eller deler ikke opplysninger; det er ingenting å motsette seg.
- Rett til å begrense bruken av sensitive personopplysninger — sensitive opplysninger (dagbokinnholdet ditt) brukes ikke til andre formål enn dem som er angitt i §5.
- Rett til ikke å bli diskriminert for å utøve rettighetene dine.
Hvordan utøve rettighetene dine
Send en e-post til [email protected] med emnet Personvernforespørsel og angi hvilken rettighet du ønsker å utøve. Vi kan be om tilleggsinformasjon for å bekrefte identiteten din (vanligvis ved å be deg svare fra e-postadressen som er registrert på kontoen din). I henhold til KVKK artikkel 13 og GDPR artikkel 12 behandles henvendelsen din innen 30 dager. Hvis vi trenger mer tid, vil vi opplyse deg om årsaken og forventet svartidspunkt.
Hvis du ønsker å fremme et krav gjennom en mellommann etter CCPA, kan vi likevel kontakte deg for å bekrefte mellommannens fullmakt.
Utøvelse av disse rettighetene er gratis, med mindre henvendelsen er åpenbart grunnløs eller overdreven.
Klageinstanser
- Tyrkia: Kişisel Verileri Koruma Kurumu (KVKK) — https://www.kvkk.gov.tr/
- EU/EØS: personvernsmyndigheten i landet du bor i — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Storbritannia: Information Commissioner's Office — https://ico.org.uk/
- California: California Privacy Protection Agency — https://cppa.ca.gov/
11. Tiltak for datasikkerhet
Datasikkerhet er ivaretatt fra designstadiet. De tekniske og organisatoriske tiltakene som er iverksatt omfatter:
- Kryptering ved overføring — all nettverkstrafikk krypteres med TLS 1.2+.
- Kryptering ved lagring — Google Clouds serverside-kryptering med AES-256.
- Autentisering — Firebase Auth; passord lagres aldri i klartekst.
- App Check — Apple App Attest i produksjonsbygget; forespørsler fra ikke-tiltrodde kilder avvises.
- Apple DeviceCheck — hindrer misbruk under onboarding-prøver.
- Strenge sikkerhetsregler i Firestore — hver bruker leser og skriver kun sine egne opplysninger.
- Isolering av sensitive opplysninger — app-låsekoden lagres kun i iOS Keychain; biometriske data forblir i Apple Secure Enclave.
- Logger med minimert PII — dagbokinnhold inkluderes ikke i serverlogger; bare metadata som er nødvendig for drift og feilsøking (bruker-ID, hendelsestype, status) registreres.
- Hemmelighetshåndtering — API-nøkler (OpenAI, RevenueCat, Apple DeviceCheck) lagres i Firebase Secret Manager og inngår ikke i koden.
Ettersom intet system er fullstendig sikkert, vil vi i tilfelle av et brudd på personopplysningssikkerheten:
- varsle Kişisel Verileri Koruma Kurumu innen 72 timer i henhold til KVKK artikkel 12 femte ledd;
- gi nødvendige varsler direkte til personer bosatt i EU/EØS og til berørte tilsynsmyndigheter etter GDPR artikkel 33–34.
12. Barn
Thanxful retter seg ikke mot barn under 13 år. Du må være minst 13 år for å bruke tjenesten (se Vilkår for bruk §3). Hvis du er mellom 13 og 16 år (digital samtykkealder i enkelte EU-medlemsstater), kan lovgivningen i landet ditt kreve samtykke fra forelder eller verge. Etter den tyrkiske sivilloven (TMK) artikkel 15 har mindreårige under 18 år ikke full rettslig handleevne, og samtykke fra forelder eller verge kreves for brukere under 18 år.
Vi samler ikke bevisst inn personopplysninger fra barn under 13 år. Hvis du som forelder eller verge mener at barnet ditt har delt opplysninger uten ditt samtykke, kan du skrive til [email protected]; opplysningene vil bli slettet.
Appens aldersgrense i App Store (4+) angir at innholdet i appen er egnet for alle aldre (ingen vold, seksuelt innhold eller grovt språk). Denne innholdsklassifiseringen endrer ikke kontraktsforbudet for personer under 13 år.
Det finnes ingen separat aldersport (age gate) i onboarding for brukere, og minimumsalderen håndheves gjennom skriftlig avtale — en utbredt praksis innenfor dagbok- og velværeapper.
13. California (CCPA / CPRA) opplysninger
Hvis du er innbygger i California, gjelder dette avsnittet for deg i tillegg til resten av denne erklæringen.
Kategorier av personopplysninger samlet inn (siste 12 måneder)
| CCPA-kategori | Samles inn? | Kilde | Formål | Delt med |
|---|---|---|---|---|
| Identifikatorer (e-post, bruker-ID, enhets-ID) | Ja | Du; enheten din | Konto, sikkerhet, analyse | Firebase, RevenueCat |
| California Customer Records (Cal. Civ. Code §1798.80) | Ja (navn) | Du | Konto | Firebase |
| Beskyttede klassifiseringer | Nei | — | — | — |
| Kommersiell informasjon (abonnementshistorikk) | Ja | Apple, RevenueCat | Levering av abonnement | RevenueCat |
| Biometrisk informasjon | Nei (Face ID forblir på enheten) | — | — | — |
| Internett- / nettverksaktivitet | Begrenset (apphendelser, krasjrapporter) | Enheten din | Analyse, pålitelighet | Firebase |
| Lokasjon | Kun grov nivå (land / tidssone) | Enheten din | Innholdslokalisering | Firebase |
| Lyd / bilde | Profilbilde (valgfritt) | Du | Profil | Firebase Storage |
| Yrkes- eller arbeidsrelaterte opplysninger | Nei | — | — | — |
| Utdanning | Nei | — | — | — |
| Slutninger | Nei | — | — | — |
| Sensitive personopplysninger | Dagbokinnhold anses som sensitivt | Du | KI-refleksjoner (kun med samtykke) | OpenAI, Google Gemini |
Dine California-rettigheter
- Vite / innsyn — se §10.
- Sletting / retting — se §10.
- Innsigelse mot salg / deling — vi verken selger eller deler personopplysningene dine; det er ingenting å motsette seg.
- Begrensning av bruken av sensitive opplysninger — sensitive opplysninger (dagbokinnholdet ditt) brukes kun for formålene beskrevet i §6 og med ditt uttrykkelige samtykke.
- Ingen diskriminering — bruk av disse rettighetene fører ikke til at tilgangen din til tjenesten begrenses, at du belastes en annen pris eller får levert en annen kvalitet.
For å fremme en henvendelse, skriv til [email protected] med emnet California Privacy Request. Vi bekrefter identiteten din via e-postadressen registrert på kontoen.
Det tilbys ingen økonomiske insentiver i bytte mot personopplysninger.
14. Informasjonskapsler og lignende teknologier
I iOS-appen: det brukes ingen webinformasjonskapsler. Appen lagrer kun mindre preferanser (som tema, språk, varselpreferanse) i UserDefaults på enheten din, samt app-låsekoden i iOS Keychain. Disse opplysningene deles verken med oss eller med tredjeparter.
På thanxful.app: per ikrafttredelsesdatoen for denne erklæringen bruker markedsføringssiden verken informasjonskapsler, web-beacons eller tredjeparts analyseverktøy. Dersom dette legges til på et senere tidspunkt, oppdateres dette avsnittet, et samtykkebanner for informasjonskapsler vises på nettstedet, og endringen behandles som en vesentlig endring i henhold til §15.
15. Endringer i erklæringen
Denne erklæringen kan oppdateres fra tid til annen. Ved vesentlige endringer (endringer som påvirker rettighetene dine eller måten opplysningene dine behandles på) blir du varslet via e-post og en melding i appen minst 30 dager før endringen trer i kraft. Ved ikke-vesentlige endringer (skrivefeil, klargjøringer) oppdateres dokumentet, og ikrafttredelsesdatoen øverst oppdateres.
Hvis du ikke godtar den nye versjonen, kan du slutte å bruke tjenesten og slette kontoen din før ikrafttredelsesdatoen.
16. Kontakt
For alle spørsmål, henvendelser eller klager knyttet til personvern:
- E-post:
[email protected](emne:Personvern) - Behandlingsansvarlig: Kadir Alan — enkeltpersonforetak (şahıs şirketi), Tyrkia
Hvis du trenger en fysisk forkynningsadresse, vennligst skriv først til [email protected]; adressen oppgis på forespørsel.
Tilsynsmyndighetene du kan klage til er listet opp i §10.
17. Ordliste
- KVKK — Lov nr. 6698 om vern av personopplysninger (Tyrkia).
- GDPR — Den europeiske unions personvernforordning 2016/679.
- CCPA / CPRA — California Consumer Privacy Act, som endret ved California Privacy Rights Act.
- COPPA — Children's Online Privacy Protection Act (USA, under 13 år).
- FCM — Firebase Cloud Messaging (varselinfrastruktur).
- Særlige kategorier av personopplysninger / sensitive opplysninger — typer opplysninger som krever forhøyet beskyttelse etter KVKK artikkel 6 og GDPR artikkel 9, så som helse, religion, politisk oppfatning, seksuell legning osv.
- Behandlingsansvarlig — den fysiske eller juridiske personen som bestemmer formålene og midlene for behandlingen av personopplysninger og er ansvarlig for opprettelsen og forvaltningen av registreringssystemet (her: Kadir Alan).
- Uttrykkelig samtykke — samtykke gitt frivillig, basert på informasjon og knyttet til et bestemt forhold.
Takk for at du betror oss takknemlighetsreisen din.
— Thanxful