1. W skrócie
Thanxful to aplikacja, która umożliwia Państwu prowadzenie osobistego dziennika wdzięczności oraz – jeżeli sobie Państwo tego życzą – otrzymywanie spostrzeżeń wspieranych sztuczną inteligencją na temat tego, co Państwo zapisują. Państwa dziennik należy do Państwa. Sięgamy po jego treść wyłącznie w celu świadczenia Usługi i nigdy nie sprzedajemy Państwa danych, nie wykorzystujemy ich do reklam ani nie pozwalamy, by służyły do trenowania jakichkolwiek modeli sztucznej inteligencji.
| Zagadnienie | Krótka odpowiedź |
|---|---|
| Administrator danych | Kadir Alan — jednoosobowa działalność gospodarcza (şahıs şirketi), Turcja. Kontakt: [email protected]. |
| Jakie dane są przetwarzane? | Adres e-mail, imię, zdjęcie profilowe (opcjonalnie), wpisy z dziennika, nastrój, informacje o urządzeniu i subskrypcji. |
| W jakim celu? | Świadczenie Usługi, obsługa subskrypcji, wysyłanie powiadomień przypominających oraz – wyłącznie po wyrażeniu przez Państwa wyraźnej zgody – generowanie spostrzeżeń AI z Państwa wpisów. |
| Komu są udostępniane? | Naszym dostawcom usług: Google Firebase (infrastruktura), OpenAI i Google Gemini (AI), RevenueCat (subskrypcje), Apple (logowanie, powiadomienia, bezpieczeństwo). Państwa dane nie są sprzedawane ani wynajmowane. |
| Gdzie są przechowywane? | Państwa konto i dziennik znajdują się w Unii Europejskiej (Google Cloud europe-west1, Belgia). Wpisy z dziennika są przekazywane do Stanów Zjednoczonych wyłącznie wtedy, gdy włączą Państwo funkcję AI. |
| Jak długo? | Do momentu usunięcia konta. Po jego usunięciu Państwa dane są niezwłocznie usuwane z naszych aktywnych systemów; z kopii zapasowych i dzienników – w ciągu 30 dni. |
| Jakie przysługują Państwu prawa? | Dostęp, sprostowanie, usunięcie, przenoszenie, sprzeciw oraz wycofanie zgody. Prosimy o wiadomość na adres [email protected] z tematem Prywatność; odpowiadamy w ciągu 30 dni. |
2. Tożsamość Administratora danych
Aplikacja Thanxful jest świadczona przez Kadira Alana, prowadzącego w Turcji jednoosobową działalność gospodarczą (jednoosobowa działalność gospodarcza (şahıs şirketi)).
| Administrator danych | Kadir Alan — jednoosobowa działalność gospodarcza (şahıs şirketi), Turcja |
| Kontakt | [email protected] (umieszczenie w temacie wiadomości słowa Prywatność ułatwia poprawne skierowanie zapytania) |
Jako jednoosobowa działalność gospodarcza pozostajemy poniżej progu rejestracji w Rejestrze Administratorów Danych (VERBİS) wynikającego z KVKK oraz poniżej progu wyznaczenia Inspektora Ochrony Danych przewidzianego w art. 37 GDPR, w związku z czym nie ciąży na nas obowiązek rejestracji w VERBİS ani powołania DPO. W przypadku zmiany tej sytuacji niniejsza polityka zostanie zaktualizowana. W celu uzyskania fizycznego adresu do doręczeń mogą Państwo napisać do nas na adres [email protected]; adres do doręczeń zostanie udostępniony w odpowiedzi na Państwa wniosek.
3. Zakres
Niniejsza polityka obejmuje:
- Aplikację Thanxful na iOS (
com.aota.thanxfuloraz wersję betacom.aota.thanxful.beta) opublikowaną w Apple App Store. - Witrynę internetową
thanxful.app(strony promocyjne, niniejsze dokumenty prawne i powiązane treści).
Praktyki w zakresie prywatności usług osób trzecich (np. Apple App Store, OpenAI, RevenueCat), do których są Państwo przekierowywani z aplikacji lub witryny, podlegają politykom prywatności tych usług; w tym zakresie Administrator danych nie ponosi odpowiedzialności.
4. Kategorie przetwarzanych danych osobowych
Przetwarzamy wyłącznie dane osobowe niezbędne do świadczenia Usługi. Dane są pogrupowane w sześć kategorii:
4.1 Dane identyfikacyjne
Po utworzeniu konta przetwarzane są następujące dane:
- Adres e-mail (obowiązkowo).
- Imię/nazwa wyświetlana (opcjonalnie; mogą je Państwo w dowolnym momencie zmienić lub pozostawić puste).
- Zdjęcie profilowe (opcjonalnie; przechowywane w Firebase Storage).
- Generowany automatycznie przez system identyfikator użytkownika Firebase.
- Jeżeli korzystają Państwo z opcji Sign in with Apple: adres e-mail (rzeczywisty lub prywatny adres przekierowujący Apple) oraz – o ile zdecydują się go Państwo udostępnić – pełne imię i nazwisko. Apple nie przekazuje nam Państwa Apple ID.
4.2 Treść dziennika — może mieć charakter szczególnej kategorii danych osobowych
Dla każdego zapisanego wpisu przetwarzane są następujące dane:
- Tekst wpisu (do 3000 znaków).
- Formatowanie tekstu wzbogaconego (pogrubienie, kursywa, listy – do 30 000 znaków, w postaci zakodowanej).
- Opcjonalny wybór nastroju.
- Informacja o pytaniu (prompcie), na które Państwo odpowiedzieli (jeżeli dotyczy).
- Lokalna data kalendarzowa.
Treść dziennika ma charakter osobisty i wrażliwy. Zgodnie z art. 6 KVKK oraz art. 9 GDPR teksty dziennika mogą zawierać szczególne kategorie danych osobowych dotyczące Państwa zdrowia, przekonań religijnych, poglądów politycznych, życia seksualnego lub przynależności związkowej. Z tego względu przetwarzanie treści Państwa dziennika z wykorzystaniem sztucznej inteligencji opiera się wyłącznie na Państwa wyraźnej zgodzie (zob. §6).
4.3 Dane profilowe i preferencje
- Informacje o passie (aktualnym i najdłuższym).
- Czas ostatniej aktywności i strefa czasowa (strefa czasowa IANA Państwa urządzenia, np.
Europe/Istanbul). - Preferencja językowa (Państwa wybór z listy 30 języków).
- Preferencja motywu (Espresso, Cosmos, Oat itp.).
- Ustawienia powiadomień: czy przypomnienia są włączone/wyłączone, godzina przypomnienia oraz strefa czasowa.
- Status subskrypcji: informacja, czy posiadają Państwo aktywną subskrypcję premium (za pośrednictwem RevenueCat; zob. §7).
- Rejestr wyraźnej zgody na AI – dziennik wyłącznie z możliwością dopisywania (append-only), zawierający Państwa działania w zakresie udzielenia, odmowy lub wycofania zgody, źródło (onboarding, po zapisaniu wpisu, po zakupie lub Ustawienia), znacznik czasu oraz liczbę wyświetlonych pytań. Rejestr ten jest prowadzony zgodnie z wytycznymi Apple App Store Review Guideline 5.1.2(i).
4.4 Dane dotyczące urządzenia i korzystania z aplikacji
Podczas korzystania z aplikacji automatycznie przetwarzane są następujące dane:
- Informacje o urządzeniu: model, wersja systemu operacyjnego, wersja aplikacji, ustawienia regionalne, kraj, strefa czasowa oraz wewnętrzny identyfikator instancji aplikacji Firebase.
- Token powiadomień FCM – token przypisywany Państwa urządzeniu przez Firebase Cloud Messaging w celu wysyłania przypomnień. Jest on przechowywany w Firestore w powiązaniu z Państwa kontem; po ponownej instalacji lub wylogowaniu zostaje odświeżony.
- Dane zdarzeń: metadane dotyczące tego, który ekran Państwo wyświetlili, czy zapisali wpis, czy otworzyli spostrzeżenie, czy rozpoczęli zakup – jednak treść Państwa wpisów nie jest rejestrowana w tych logach.
- Raporty awarii za pośrednictwem Firebase Crashlytics (ślad stosu, stan urządzenia w momencie awarii). W kompilacjach debug Crashlytics jest wyłączony; jest aktywny w kompilacjach dystrybuowanych do użytkowników.
Następujące dane nie są przetwarzane:
- Państwa adres IP w aplikacji (Firebase Analytics nie udostępnia nam tej informacji).
- Państwa identyfikator reklamowy (IDFA) – używamy wariantu Firebase niezawierającego AdSupport, a sygnały personalizacji reklam są wyłączone.
4.5 Dane subskrypcyjne
Po zakupieniu subskrypcji Thanxful:
- Transakcję realizuje Apple (App Store). Państwa metoda płatności ani dane karty nie są nam przekazywane.
- RevenueCat obsługuje cykl życia subskrypcji w naszym imieniu. Dane udostępniane RevenueCat to Państwa identyfikator użytkownika Firebase; RevenueCat przekazuje nam identyfikator produktu, status, datę wygaśnięcia oraz datę odnowienia.
4.6 Komunikacja i informacja zwrotna
- Wiadomości e-mail wsparcia wysyłane przez Państwa na adres
[email protected]. - Prośby o nowe funkcje oraz zgłoszenia błędów przesyłane z poziomu aplikacji (objęte dziennym limitem w celu zapobiegania nadużyciom). Zapisywany jest treść wiadomości, identyfikator użytkownika oraz czas wysłania. Po usunięciu konta zgłoszenia są anonimizowane (identyfikator użytkownika zmieniany na
"deleted_user"); sama treść nie jest usuwana, lecz zostaje zerwane jej powiązanie z Państwem.
4.7 Próbne korzystanie podczas onboardingu (przed założeniem konta)
Jeżeli przed założeniem konta zechcą Państwo wypróbować pojedyncze spostrzeżenie AI, przetwarzane są następujące dane:
- UUID urządzenia generowany przez Państwa urządzenie (nie jest to IDFA).
- Adres IP zaszyfrowany skrótem SHA-256 (surowy adres IP nie jest przechowywany).
- Token Apple DeviceCheck (w celu uniemożliwienia powtórzenia próby na tym samym urządzeniu).
Dane te są przetwarzane wyłącznie krótkotrwale, w celu ograniczenia próbnego użycia (jedno na urządzenie dziennie, 20 na globalny adres IP dziennie) oraz zapobiegania nadużyciom.
4.8 Bezpieczeństwo
- Państwa kod blokady aplikacji (jeżeli zdecydują się go Państwo aktywować) jest przechowywany wyłącznie w Pęku kluczy iOS (Keychain) na Państwa urządzeniu i nie opuszcza Państwa telefonu. Państwa dane biometryczne (Face ID / Touch ID) pozostają w Bezpiecznym enklawie Apple (Secure Enclave); nie są nam przekazywane.
5. Cele i podstawy prawne przetwarzania
Cel każdej czynności przetwarzania danych oraz podstawa prawna w rozumieniu art. 5–6 KVKK i art. 6 GDPR zostały przedstawione w poniższej tabeli:
| Czynność przetwarzania | Cel | Podstawa prawna KVKK | Podstawa prawna GDPR |
|---|---|---|---|
| Tworzenie konta i przechowywanie Państwa wpisów | Podstawowe świadczenie Usługi | Art. 5/2(c) — zawarcie i wykonanie umowy | Art. 6(1)(b) — wykonanie umowy |
| Generowanie spostrzeżeń AI z Państwa wpisów dziennika | Wyłącznie po wyrażeniu przez Państwa wyraźnej zgody | Art. 6(2) — wyraźna zgoda dla szczególnych kategorii danych | Art. 6(1)(a) + Art. 9(2)(a) — wyraźna zgoda dla szczególnych kategorii danych |
| Wysyłanie codziennych przypomnień o wdzięczności | Po włączeniu w Ustawieniach | Art. 5(1) — wyraźna zgoda | Art. 6(1)(a) — zgoda |
| Obsługa subskrypcji za pośrednictwem Apple i RevenueCat | Świadczenie zakupionej usługi | Art. 5/2(c) — wykonanie umowy | Art. 6(1)(b) — umowa |
| Raportowanie awarii i zbiorcze analizy produktu | Świadczenie niezawodnej i stabilnej aplikacji | Art. 5/2(f) — prawnie uzasadniony interes | Art. 6(1)(f) — prawnie uzasadniony interes |
| Środki przeciwdziałania nadużyciom (DeviceCheck, hashowanie IP, limity kwot) | Zapobieganie oszustwom i nadużyciom kosztowym | Art. 5/2(f) — prawnie uzasadniony interes | Art. 6(1)(f) — prawnie uzasadniony interes |
| Przechowywanie zapisów płatności na potrzeby podatkowe i księgowe | Wypełnienie obowiązku prawnego | Art. 5/2(a) — obowiązek prawny | Art. 6(1)(c) — obowiązek prawny |
| Reagowanie na zgodne z prawem żądania uprawnionych organów | Obowiązek prawny | Art. 5/2(a) — obowiązek prawny | Art. 6(1)(c) — obowiązek prawny |
Nie przetwarzamy Państwa danych w celu profilowania, nie podejmujemy zautomatyzowanych decyzji wywołujących wobec Państwa istotne skutki ani nie sprzedajemy ani nie wynajmujemy Państwa danych osobowych.
6. Przetwarzanie treści Państwa dziennika przez sztuczną inteligencję
Niniejszy rozdział został przygotowany zarówno na potrzeby Apple App Store Review Guideline 5.1.2(i), jak i specjalnie dla Państwa, jako osoby, do której należy dziennik.
Co się dzieje?
W przypadku wyrażenia przez Państwa wyraźnej zgody Thanxful przekazuje wybrane wpisy z Państwa dziennika zewnętrznym dostawcom sztucznej inteligencji; dostawcy ci generują:
- Spostrzeżenie natychmiastowe – krótka refleksja dotycząca pojedynczego wpisu.
- Podsumowanie tygodniowe – zwięzła analiza ostatnich 7 dni.
- Podsumowanie miesięczne – pogłębiona analiza ostatnich 30 dni.
Kto przetwarza Państwa wpisy?
- OpenAI (dostawca podstawowy) – modele
gpt-4o-miniigpt-4o. Serwery znajdują się w USA. - Google Gemini (dostawca zapasowy, gdy OpenAI jest niedostępne) – w globalnej infrastrukturze Google.
Jakie dane są przekazywane?
- Tekst wpisów z analizowanego okresu.
- Państwa nazwa wyświetlana (aby spostrzeżenie mogło zwracać się do Państwa po imieniu).
- Państwa preferencja językowa (aby spostrzeżenie zostało wygenerowane w Państwa języku).
Jakie dane nie są przekazywane?
- Państwa adres e-mail.
- Informacje o passach, status subskrypcji ani inne dane profilowe.
- Jakiekolwiek dane innego użytkownika.
Okresy przechowywania po stronie dostawcy
- OpenAI przechowuje żądania przesyłane przez API w celu wykrywania nadużyć przez maksymalnie 30 dni, a następnie je usuwa. OpenAI nie wykorzystuje danych z API do trenowania modeli. (Źródło: Warunki API OpenAI.)
- Google Gemini domyślnie nie wykorzystuje danych z API do trenowania modeli. (Źródło: Warunki API Google Gemini.)
Państwa wyraźna zgoda
- O Państwa wyraźną zgodę pytamy w pierwszym momencie, w którym sztuczna inteligencja może zostać użyta – podczas onboardingu, po zapisaniu wpisu lub po zakupie subskrypcji premium.
- Państwa zgoda jest rejestrowana w dzienniku audytu z wyłączną możliwością dopisywania (
users/{uid}/aiConsent). - Mogą Państwo wycofać zgodę w dowolnym momencie: Ustawienia → Wyraźna zgoda na AI. Wycofanie natychmiast wstrzymuje przyszłe przetwarzanie. Spostrzeżenia wygenerowane do tego momentu pozostają w Państwa historii do czasu ich usunięcia lub usunięcia konta.
- Ponieważ Państwa dziennik może zawierać szczególne kategorie danych w rozumieniu art. 6 KVKK i art. 9 GDPR, podstawą prawną przekazania ich dostawcom AI jest Państwa wyraźna zgoda.
Spostrzeżenia AI nie stanowią porady medycznej, prawnej ani terapeutycznej
Spostrzeżenia są tekstami generowanymi automatycznie. Mogą być błędne, mylące lub oderwane od kontekstu. Nie zastępują licencjonowanego terapeuty, lekarza, prawnika ani innych specjalistów. W przypadku trudnej sytuacji zalecamy zwrócenie się do uprawnionego specjalisty, a w sytuacjach nagłych – do lokalnych służb ratunkowych.
7. Udostępnianie i osoby trzecie
Państwa dane osobowe są udostępniane wyłącznie wymienionym poniżej dostawcom usług i wyłącznie w określonych celach. Każdy dostawca jest umownie zobowiązany do przetwarzania Państwa danych osobowych wyłącznie zgodnie z naszymi instrukcjami oraz do stosowania odpowiednich środków bezpieczeństwa.
| Dostawca | Rola | Udostępniane dane | Region | Polityka prywatności |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastruktura: uwierzytelnianie, Firestore, Storage, Cloud Functions, powiadomienia, analityka, raporty awarii, remote config, App Check | Wszystkie dane profilowe, wpisy z dziennika, tokeny FCM, zdarzenia analityczne, raporty awarii | Firestore i Cloud Functions w europe-west1 (Belgia, UE). Analityka i Crashlytics – w globalnej infrastrukturze Google. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Generowanie spostrzeżeń AI | Tekst dziennika, nazwa wyświetlana, język – wyłącznie po wyrażeniu zgody | USA | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Generowanie spostrzeżeń AI (zapasowo) | Tak samo jak w przypadku OpenAI | USA / globalnie | https://policies.google.com/privacy |
| RevenueCat, Inc. | Zarządzanie subskrypcjami | Identyfikator użytkownika Firebase, identyfikator produktu, status subskrypcji, data odnowienia | USA | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, powiadomienia APNs, DeviceCheck, płatności App Store | Adres e-mail Apple ID, tokeny powiadomień, bity urządzenia, zapisy zakupów | Infrastruktura Apple | https://www.apple.com/legal/privacy/ |
Uwaga dotycząca Meta / Facebook: w pliku Info.plist znajduje się wyłącznie deklaracja FacebookAppID: 2198469434228743, służąca aktywowaniu schematu URL „udostępnienie do Instagram Stories”. Nie korzystamy z Facebook SDK; do Meta nie są wysyłane żadne dane. Jeżeli zdecydują się Państwo udostępnić obraz – i tylko wówczas – wybrany obraz jest przekazywany do aplikacji Instagram za pośrednictwem iOS Share Sheet.
Żądania uprawnionych organów
Państwa dane osobowe są ujawniane uprawnionym organom wyłącznie w ramach ważnego procesu prawnego prowadzonego w Turcji albo ważnego procesu prawnego prowadzonego w państwie posiadającym wobec nas jurysdykcję. W zakresie dozwolonym przez prawo poinformujemy Państwa o takim żądaniu.
Brak sprzedaży danych
Państwa dane osobowe nie są sprzedawane. Nie są również „udostępniane” w celach behawioralnej reklamy między kontekstami w rozumieniu definicji CCPA/CPRA.
8. Przekazywanie danych poza granice kraju
Państwa konto i dziennik są przechowywane w Unii Europejskiej (Google Cloud europe-west1, Belgia).
Niektórzy z naszych dostawców usług znajdują się w Stanach Zjednoczonych:
- OpenAI i Google Gemini otrzymują wpisy z Państwa dziennika (wyłącznie po wyrażeniu zgody) w celu przetwarzania przez sztuczną inteligencję.
- RevenueCat przetwarza Państwa status subskrypcji.
- Niektóre usługi Apple i Firebase działają w globalnej infrastrukturze.
Mechanizmy prawne, na których opierają się te przekazania:
- W ramach GDPR: Standardowe Klauzule Umowne (SCC) Komisji UE 2021/914 wprowadzone do umów powierzenia przetwarzania danych z poszczególnymi dostawcami; środki techniczne stosowane w trakcie i po przekazaniu (szyfrowanie, kontrola dostępu). W przypadku dostawców certyfikowanych w ramach EU–US Data Privacy Framework opieramy się dodatkowo na tej decyzji o adekwatności.
- W ramach UK GDPR: dołączany do tych samych SCC UK International Data Transfer Addendum (IDTA).
- W ramach KVKK: opieramy się na poniższym wieloskładnikowym zestawie zabezpieczeń:
- Państwa wyraźna zgoda na podstawie art. 9 KVKK w przypadku przekazywania treści dziennika do USA, jeżeli włączą Państwo funkcję sztucznej inteligencji;
- umowy powierzenia przetwarzania danych (DPA) zawarte z poszczególnymi dostawcami – w szczególności Google Cloud / Firebase DPA (zawierający SCC), OpenAI API Data Processing Addendum oraz RevenueCat DPA – jako zabezpieczenie umowne;
- środki techniczne wymienione w §11 (szyfrowanie, App Check, minimalizacja danych osobowych w logach).
Naszym celem jest podpisanie wzoru Standart Sözleşme wydanego przez turecki Urząd Ochrony Danych Osobowych z każdym dostawcą, który zaakceptuje jego podpisanie, oraz zgłoszenie tego do Urzędu w terminie 5 dni roboczych od daty podpisu. W przypadkach, w których dostawca nie akceptuje wzoru Urzędu i posługuje się własnym DPA, stosujemy wymieniony powyżej zestaw zabezpieczeń.
Kopię dokumentów dotyczących zabezpieczeń przekazania mogą Państwo otrzymać, kierując prośbę na adres [email protected].
9. Okres przechowywania
Dane osobowe są przechowywane wyłącznie tak długo, jak jest to konieczne.
| Dane | Okres przechowywania |
|---|---|
| Dane konta (e-mail, imię, profil, preferencje) | Do momentu usunięcia konta. |
| Wpisy z dziennika, nastrój, informacje o passach | Do momentu samodzielnego usunięcia, użycia funkcji Resetowania treści lub usunięcia konta. |
| Dziennik wyraźnej zgody na AI | Przez cały okres istnienia konta, w trybie wyłącznie z możliwością dopisywania (zgodnie z wytyczną App Store 5.1.2(i)). Usuwany wraz z kontem. |
| Wygenerowane spostrzeżenia AI (natychmiastowe, tygodniowe, miesięczne) | Do momentu samodzielnego usunięcia lub usunięcia konta. |
| Tokeny powiadomień FCM | Do momentu wyrejestrowania urządzenia, wylogowania lub usunięcia konta. |
| Raporty awarii Crashlytics | 90 dni (wartość domyślna Google). |
| Dane zdarzeń Firebase Analytics | 14 miesięcy (minimalna wartość domyślna Google). |
| Logi serwera (Cloud Logging) | 400 dni (treść wpisów nie jest logowana; zob. §11). |
| Logi obserwowalności (Cloud Trace) | 15 dni. |
| Prośby o nowe funkcje / zgłoszenia błędów | Przechowywane na potrzeby rozwoju produktu; po usunięciu konta są anonimizowane poprzez usunięcie identyfikatora użytkownika. |
| Zapisy płatności (za pośrednictwem Apple i RevenueCat) | Przez okres wymagany tureckim prawem podatkowym i handlowym – zazwyczaj 10 lat. |
Po usunięciu konta (Ustawienia → Zaawansowane → Usuń konto lub poprzez e-mail) Państwa profil, wpisy, spostrzeżenia, osiągnięcia, dziennik zgody na AI oraz tokeny FCM są niezwłocznie usuwane z naszych aktywnych systemów. Pełne usunięcie z pamięci podręcznej dostawców usług, kopii zapasowych i logów może potrwać do 30 dni.
10. Państwa prawa
W zależności od kraju zamieszkania przysługują Państwu wszystkie lub niektóre z poniższych praw:
Art. 11 KVKK (osoby zamieszkałe w Turcji):
- Prawo do uzyskania informacji, czy Państwa dane osobowe są przetwarzane.
- W przypadku ich przetwarzania – prawo do uzyskania informacji na ten temat.
- Prawo do poznania celu przetwarzania oraz tego, czy dane są wykorzystywane zgodnie z tym celem.
- Prawo do poznania osób trzecich, którym dane są przekazywane w kraju lub za granicą.
- Prawo żądania sprostowania w przypadku niepełnego lub błędnego przetwarzania.
- Prawo żądania usunięcia lub zniszczenia danych w trybie art. 7 KVKK.
- Prawo żądania powiadomienia osób trzecich, którym dane zostały przekazane, o sprostowaniu, usunięciu lub zniszczeniu.
- Prawo wniesienia sprzeciwu wobec niekorzystnego dla Państwa wyniku analiz prowadzonych w sposób zautomatyzowany.
- Prawo żądania naprawienia szkody powstałej wskutek niezgodnego z prawem przetwarzania.
GDPR (osoby zamieszkałe w UE/EOG i Wielkiej Brytanii):
- Prawo dostępu (art. 15), sprostowania (art. 16), usunięcia (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20), sprzeciwu (art. 21) oraz wycofania wyraźnej zgody (art. 7). Nasz panel samoobsługowego eksportu nie jest jeszcze gotowy; w razie zgłoszenia takiego żądania pocztą elektroniczną przekażemy Państwu Państwa wpisy oraz dane profilowe w ustrukturyzowanym formacie JSON w ciągu 30 dni.
CCPA / CPRA (mieszkańcy Kalifornii):
- Prawo do uzyskania informacji o gromadzonych danych osobowych, ich źródłach, celach i osobach trzecich.
- Prawo do usunięcia i sprostowania.
- Prawo wniesienia sprzeciwu wobec sprzedaży/udostępniania danych osobowych – nie sprzedajemy ani nie udostępniamy danych; brak jest podstaw do wniesienia sprzeciwu.
- Prawo do ograniczenia wykorzystania wrażliwych danych osobowych – wrażliwe dane (treść Państwa dziennika) nie są wykorzystywane poza celami określonymi w §5.
- Prawo do braku dyskryminacji z tytułu skorzystania ze swoich praw.
Jak skorzystać z przysługujących Państwu praw?
Prosimy o przesłanie wiadomości e-mail na adres [email protected] z tematem Wniosek o ochronę prywatności i wskazaniem prawa, z którego chcą Państwo skorzystać. Możemy poprosić o dodatkowe informacje w celu weryfikacji Państwa tożsamości (zazwyczaj prosząc o odpowiedź z adresu e-mail przypisanego do konta). Zgodnie z art. 13 KVKK i art. 12 GDPR Państwa wniosek zostanie rozpatrzony najpóźniej w terminie 30 dni. Jeżeli będzie potrzebny dodatkowy czas, poinformujemy Państwa o przyczynach i przewidywanym terminie odpowiedzi.
Jeżeli na podstawie CCPA chcą Państwo działać przez przedstawiciela, możemy się z Państwem skontaktować w celu zweryfikowania pełnomocnictwa przedstawiciela.
O ile Państwa wniosek nie jest w sposób oczywisty bezzasadny lub nadmierny, korzystanie z tych praw jest bezpłatne.
Organy nadzoru, do których można złożyć skargę
- Turcja: Kişisel Verileri Koruma Kurumu (KVKK) – https://www.kvkk.gov.tr/
- UE/EOG: organ ochrony danych w Państwa kraju – https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Wielka Brytania: Information Commissioner's Office – https://ico.org.uk/
- Kalifornia: California Privacy Protection Agency – https://cppa.ca.gov/
11. Środki bezpieczeństwa danych
Bezpieczeństwo danych jest uwzględniane już na etapie projektowania. Stosowane środki techniczne i organizacyjne obejmują:
- Szyfrowanie w trakcie przesyłu – cały ruch sieciowy szyfrowany jest protokołem TLS 1.2+.
- Szyfrowanie w spoczynku – szyfrowanie po stronie serwera Google Cloud AES-256.
- Uwierzytelnianie – Firebase Auth; hasła nigdy nie są przechowywane w postaci jawnej.
- App Check – Apple App Attest w kompilacji produkcyjnej; żądania pochodzące z niezaufanych źródeł są odrzucane.
- Apple DeviceCheck – uniemożliwia nadużycia podczas próbnego korzystania w onboardingu.
- Restrykcyjne reguły bezpieczeństwa Firestore – każdy użytkownik może odczytywać i zapisywać wyłącznie własne dane.
- Izolacja danych wrażliwych – kod blokady aplikacji jest przechowywany wyłącznie w Pęku kluczy iOS; dane biometryczne pozostają w Apple Secure Enclave.
- Logi z minimalizacją PII – treść dziennika nie jest umieszczana w logach serwera; zapisywane są wyłącznie metadane (identyfikator użytkownika, typ zdarzenia, status) niezbędne do działania i debugowania.
- Zarządzanie kluczami tajnymi – klucze API (OpenAI, RevenueCat, Apple DeviceCheck) są przechowywane w Firebase Secret Manager; nie znajdują się w kodzie.
Ponieważ żaden system nie jest w pełni bezpieczny, w przypadku wykrycia naruszenia ochrony danych osobowych:
- na podstawie art. 12 ust. 5 KVKK dokonamy w ciągu 72 godzin zgłoszenia do Kişisel Verileri Koruma Kurumu;
- na podstawie art. 33–34 GDPR dokonamy bezpośredniego powiadomienia osób zamieszkałych w UE/EOG oraz wymaganych powiadomień właściwych organów.
12. Dzieci
Thanxful nie jest skierowany do dzieci poniżej 13. roku życia. Aby korzystać z Usługi, należy mieć ukończone co najmniej 13 lat (zob. §3 Regulaminu). Jeżeli mają Państwo od 13 do 16 lat (cyfrowy wiek zgody w niektórych państwach członkowskich UE), prawo Państwa kraju może wymagać zgody rodzica lub opiekuna. Zgodnie z art. 15 tureckiego Kodeksu cywilnego (TMK) osoby małoletnie poniżej 18. roku życia nie posiadają pełnej zdolności do czynności prawnych, w związku z czym w przypadku użytkownika poniżej 18. roku życia wymagana jest zgoda rodzica lub opiekuna.
Świadomie nie gromadzimy danych osobowych od dzieci poniżej 13. roku życia. Jeżeli jako rodzic lub opiekun mają Państwo podejrzenie, że Państwa dziecko udostępniło informacje bez Państwa wiedzy, prosimy o wiadomość na adres [email protected]; dane zostaną usunięte.
Klasyfikacja wiekowa aplikacji w App Store (4+) wskazuje, że treść aplikacji jest odpowiednia dla wszystkich grup wiekowych (brak przemocy, treści seksualnych, wulgaryzmów). Klasyfikacja ta nie zmienia umownego zakazu korzystania przez osoby poniżej 13. roku życia.
W onboardingu nie stosuje się odrębnej bramki wiekowej (age gate) – minimalny wiek jest egzekwowany na drodze pisemnej umowy. Takie podejście jest powszechną praktyką w aplikacjach do prowadzenia dziennika i wspierania dobrostanu.
13. Informacje dla mieszkańców Kalifornii (CCPA / CPRA)
Jeżeli są Państwo mieszkańcem Kalifornii, niniejszy rozdział stosuje się do Państwa w uzupełnieniu pozostałych postanowień polityki.
Kategorie gromadzonych danych osobowych (ostatnie 12 miesięcy)
| Kategoria CCPA | Czy gromadzona? | Źródło | Cel | Strona, której udostępniana |
|---|---|---|---|---|
| Identyfikatory (e-mail, identyfikator użytkownika, identyfikator urządzenia) | Tak | Państwo; Państwa urządzenie | Konto, bezpieczeństwo, analityka | Firebase, RevenueCat |
| California Customer Records (Cal. Civ. Code §1798.80) | Tak (imię) | Państwo | Konto | Firebase |
| Klasyfikacje chronione | Nie | — | — | — |
| Informacje handlowe (historia subskrypcji) | Tak | Apple, RevenueCat | Świadczenie subskrypcji | RevenueCat |
| Informacje biometryczne | Nie (Face ID pozostaje na urządzeniu) | — | — | — |
| Aktywność internetowa / sieciowa | Ograniczona (zdarzenia w aplikacji, raporty awarii) | Państwa urządzenie | Analityka, niezawodność | Firebase |
| Geolokalizacja | Wyłącznie zgrubna (kraj / strefa czasowa) | Państwa urządzenie | Lokalizacja treści | Firebase |
| Dźwięk / obraz | Zdjęcie profilowe (opcjonalnie) | Państwo | Profil | Firebase Storage |
| Informacje zawodowe lub o zatrudnieniu | Nie | — | — | — |
| Wykształcenie | Nie | — | — | — |
| Wnioskowania | Nie | — | — | — |
| Wrażliwe dane osobowe | Treść dziennika jest traktowana jako wrażliwa | Państwo | Spostrzeżenia AI (wyłącznie po wyrażeniu zgody) | OpenAI, Google Gemini |
Państwa prawa w Kalifornii
- Prawo do informacji / dostępu – zob. §10.
- Prawo do usunięcia / sprostowania – zob. §10.
- Prawo sprzeciwu wobec sprzedaży / udostępniania – Państwa danych osobowych nie sprzedajemy ani nie udostępniamy; brak jest podstaw do wniesienia sprzeciwu.
- Prawo do ograniczenia wykorzystania danych wrażliwych – dane wrażliwe (treść Państwa dziennika) są wykorzystywane wyłącznie w celach opisanych w §6 i za Państwa wyraźną zgodą.
- Brak dyskryminacji – skorzystanie z tych praw nie skutkuje ograniczeniem dostępu do Usługi, zastosowaniem innej ceny ani inną jakością obsługi.
Wniosek prosimy kierować na adres [email protected] z tematem California Privacy Request. Państwa tożsamość weryfikujemy na podstawie adresu e-mail przypisanego do konta.
Nie oferujemy zachęt finansowych w zamian za dane osobowe.
14. Pliki cookie i podobne technologie
W aplikacji iOS: nie używamy plików cookie webowych. Aplikacja przechowuje wyłącznie na Państwa urządzeniu drobne preferencje w UserDefaults (motyw, język, ustawienia powiadomień itp.) oraz kod blokady aplikacji w Pęku kluczy iOS. Dane te nie są udostępniane nam ani osobom trzecim.
W witrynie thanxful.app: w dniu wejścia w życie niniejszej polityki strona promocyjna nie korzysta z plików cookie, sygnalizatorów (web beacon) ani zewnętrznych narzędzi analitycznych. W przypadku ich wprowadzenia w przyszłości niniejszy rozdział zostanie zaktualizowany, w witrynie zostanie wyświetlony baner zgody na pliki cookie, a zmiana będzie traktowana jako istotna zmiana w rozumieniu §15.
15. Zmiany polityki
Niniejsza polityka może być od czasu do czasu aktualizowana. O istotnych zmianach (zmianach wpływających na Państwa prawa lub na sposób przetwarzania danych) zostaną Państwo poinformowani drogą e-mailową oraz powiadomieniem w aplikacji z co najmniej 30-dniowym wyprzedzeniem przed wejściem zmian w życie. W przypadku zmian nieistotnych (poprawek redakcyjnych, doprecyzowań) dokument zostanie zaktualizowany, a u góry dokumentu zostanie zaktualizowana Data wejścia w życie.
Jeżeli nie akceptują Państwo nowej wersji, mogą Państwo przed datą jej wejścia w życie zaprzestać korzystania z Usługi i usunąć konto.
16. Kontakt
We wszelkich sprawach dotyczących prywatności, wnioskach lub skargach:
- E-mail:
[email protected](temat:Prywatność) - Administrator danych: Kadir Alan – jednoosobowa działalność gospodarcza (şahıs şirketi), Turcja
W razie potrzeby uzyskania fizycznego adresu do doręczeń prosimy najpierw o wiadomość na adres [email protected]; adres zostanie udostępniony w odpowiedzi na Państwa wniosek.
Organy nadzoru, do których mogą Państwo wnieść skargę, są wymienione w §10.
17. Słownik
- KVKK – Ustawa nr 6698 o ochronie danych osobowych (Turcja).
- GDPR – Ogólne rozporządzenie Unii Europejskiej o ochronie danych nr 2016/679 (RODO).
- CCPA / CPRA – California Consumer Privacy Act, w brzmieniu zmienionym ustawą California Privacy Rights Act.
- COPPA – Children's Online Privacy Protection Act (USA, dotyczący dzieci poniżej 13. roku życia).
- FCM – Firebase Cloud Messaging (infrastruktura powiadomień).
- Szczególne kategorie danych osobowych / dane wrażliwe – kategorie danych dotyczące zdrowia, religii, poglądów politycznych, życia seksualnego itp., które wymagają wzmocnionej ochrony na podstawie art. 6 KVKK i art. 9 GDPR.
- Administrator danych – osoba fizyczna lub prawna ustalająca cele i sposoby przetwarzania danych osobowych oraz odpowiedzialna za utworzenie i zarządzanie systemem rejestrowania danych (tu: Kadir Alan).
- Wyraźna zgoda – zgoda dotycząca określonego zagadnienia, oparta na uprzednim poinformowaniu i wyrażona swobodną wolą.
Dziękujemy, że obdarzyli nas Państwo zaufaniem w swojej drodze do wdzięczności.
— Thanxful