1. Pe scurt
Thanxful este o aplicație care vă permite să țineți un jurnal personal de recunoștință și, dacă doriți, să primiți reflecții generate de inteligența artificială asupra celor scrise. Jurnalul Dvs. vă aparține. Atingem conținutul acestuia exclusiv pentru a face Serviciul să funcționeze; nu îl vindem niciodată, nu îl folosim pentru publicitate și nu permitem niciodată utilizarea sa pentru antrenarea vreunui model de inteligență artificială.
| Subiect | Răspuns scurt |
|---|---|
| Operator de date | Kadir Alan — persoană fizică autorizată / PFA (şahıs şirketi), Türkiye. Contact: [email protected]. |
| Ce date sunt prelucrate? | E-mail, nume, fotografie de profil (opțional), înregistrările Dvs. din jurnal, dispoziție, informații despre dispozitiv și abonament. |
| De ce? | Pentru a furniza Serviciul, a gestiona abonamentele, a trimite notificări de reamintire și — numai dacă v-ați exprimat consimțământul explicit — pentru a genera reflecții asistate de inteligența artificială pe baza înregistrărilor Dvs. |
| Cu cine se partajează? | Furnizorii noștri de servicii: Google Firebase (infrastructură), OpenAI și Google Gemini (IA), RevenueCat (abonament), Apple (autentificare, notificări, securitate). Datele Dvs. nu sunt vândute și nu sunt închiriate. |
| Unde sunt stocate? | Contul și jurnalul Dvs. se află în Uniunea Europeană (Google Cloud europe-west1, Belgia). Înregistrările Dvs. din jurnal sunt transferate în Statele Unite numai dacă activați funcția de IA. |
| Pentru cât timp? | Până când vă ștergeți contul. La ștergere, datele Dvs. sunt eliminate imediat din sistemele noastre active; sunt șterse și din copiile de rezervă și jurnale în termen de 30 de zile. |
| Care sunt drepturile Dvs.? | Acces, rectificare, ștergere, portabilitate, opoziție și retragerea consimțământului. Scrieți la [email protected] cu subiectul Confidențialitate; răspundem în termen de 30 de zile. |
2. Identitatea Operatorului de Date
Aplicația Thanxful este oferită de Kadir Alan, care își desfășoară activitatea în Türkiye în calitate de persoană fizică autorizată / PFA (şahıs şirketi).
| Operator de date | Kadir Alan — persoană fizică autorizată / PFA (şahıs şirketi), Türkiye |
| Contact | [email protected] (menționarea cuvântului Confidențialitate în subiect contribuie la direcționarea corectă a solicitării Dvs.) |
În calitate de persoană fizică autorizată, ne situăm sub pragul de înregistrare în Registrul Operatorilor de Date (VERBİS) al KVKK și sub pragul de desemnare a Responsabilului cu Protecția Datelor prevăzut la articolul 37 din GDPR; prin urmare, nu avem obligația de a ne înregistra în VERBİS sau de a desemna un DPO. În cazul în care această situație se modifică, prezenta politică va fi actualizată. Pentru a solicita o adresă fizică de corespondență, ne puteți scrie la [email protected]; adresa de corespondență vă va fi comunicată ca urmare a solicitării Dvs.
3. Domeniu de aplicare
Prezenta politică se aplică:
- Aplicației Thanxful pentru iOS (
com.aota.thanxfulși varianta betacom.aota.thanxful.beta) publicate pe Apple App Store. - Site-ului web
thanxful.app(paginile de prezentare, prezentele documente legale și conținutul conex).
Practicile de confidențialitate ale serviciilor terțe către care sunteți redirecționat prin intermediul aplicației sau al site-ului (de exemplu, Apple App Store, OpenAI, RevenueCat) sunt supuse politicilor proprii ale serviciului respectiv; Operatorul de Date nu poartă răspunderea în această privință.
4. Categoriile de Date cu Caracter Personal Prelucrate
Sunt prelucrate doar datele cu caracter personal necesare pentru furnizarea Serviciului. Datele sunt grupate în șase categorii:
4.1 Date de identitate
Atunci când vă creați un cont, sunt prelucrate următoarele date:
- Adresa de e-mail (obligatorie).
- Nume / nume afișat (opțional; îl puteți modifica oricând sau îl puteți lăsa necompletat).
- Fotografia de profil (opțional; este stocată în Firebase Storage).
- Identificatorul de utilizator Firebase generat automat de sistem.
- Dacă utilizați opțiunea Sign in with Apple: adresa Dvs. de e-mail (reală sau adresa de releu privat a Apple) și, dacă alegeți să o partajați, numele Dvs. complet. Apple nu ne transmite Apple ID-ul Dvs.
4.2 Conținutul jurnalului — poate avea caracterul unor categorii speciale de date cu caracter personal
Pentru fiecare înregistrare salvată sunt prelucrate următoarele date:
- Textul înregistrării (maximum 3.000 de caractere).
- Formatare îmbogățită a textului (aldin, italic, liste — maximum 30.000 de caractere, codat).
- Selecția opțională a dispoziției.
- Informații despre îndemnul (prompt) la care ați răspuns (dacă există).
- Data calendaristică locală.
Conținutul jurnalului este personal și sensibil. În conformitate cu articolul 6 din KVKK și articolul 9 din GDPR, textele din jurnal pot conține categorii speciale de date cu caracter personal referitoare la sănătatea, convingerile religioase, opiniile politice, viața sexuală sau apartenența sindicală a Dvs. Din acest motiv, prelucrarea conținutului jurnalului Dvs. cu ajutorul inteligenței artificiale depinde în întregime de consimțământul Dvs. explicit (a se vedea §6).
4.3 Date de profil și de preferințe
- Informații privind seria (seria curentă și cea mai lungă serie).
- Momentul ultimei activități și fusul orar (fusul orar IANA al dispozitivului Dvs., de ex.
Europe/Istanbul). - Preferința de limbă (selecția Dvs. dintr-o listă de 30 de limbi).
- Preferința de temă (Espresso, Cosmos, Oat etc.).
- Setările de notificare: dacă reamintirile sunt active/inactive, ora reamintirii și fusul orar.
- Statutul abonamentului: dacă aveți sau nu un abonament premium activ (prin RevenueCat; a se vedea §7).
- Înregistrarea consimțământului explicit pentru IA — un jurnal exclusiv prin adăugare (append-only), care cuprinde acțiunile Dvs. de acordare, refuzare sau retragere a consimțământului, sursa acestora (onboarding, după salvarea unei înregistrări, după achiziție sau Setări), marcajul temporal și numărul de îndemnuri afișate. Această înregistrare este păstrată conform Liniei directoare 5.1.2(i) a Apple App Store Review.
4.4 Date privind dispozitivul și utilizarea
Atunci când utilizați aplicația, sunt prelucrate automat următoarele date:
- Informații despre dispozitiv: model, versiune sistem de operare, versiune aplicație, setarea regională, țară, fus orar și identificatorul intern de instanță a aplicației al Firebase.
- Tokenul de notificare FCM — tokenul atribuit dispozitivului Dvs. de către Firebase Cloud Messaging pentru a putea trimite reamintirile. Este stocat în Firestore în legătură cu contul Dvs. și se reînnoiește după reinstalare sau deconectare.
- Date despre evenimente: metadate precum ce ecran ați vizualizat în aplicație, dacă ați salvat o înregistrare, dacă ați deschis o reflecție, dacă ați inițiat o achiziție — însă conținutul înregistrărilor Dvs. nu apare în aceste jurnale.
- Rapoartele de blocare prin Firebase Crashlytics (urma stivei, starea dispozitivului în momentul blocării). În build-urile de depanare, Crashlytics este dezactivat; este activ în build-urile distribuite utilizatorilor.
Următoarele date nu sunt prelucrate:
- Adresa Dvs. IP în interiorul aplicației (Firebase Analytics nu ne expune această informație).
- Identificatorul Dvs. publicitar (IDFA) — folosim varianta Firebase fără AdSupport, iar semnalele de personalizare a reclamelor sunt dezactivate.
4.5 Date privind abonamentul
Atunci când achiziționați un abonament Thanxful:
- Tranzacția este efectuată de Apple (App Store). Modalitatea Dvs. de plată sau datele cardului nu ne sunt transmise.
- RevenueCat gestionează ciclul de viață al abonamentului în numele nostru. Datele partajate cu RevenueCat constau în identificatorul Dvs. de utilizator Firebase; RevenueCat ne transmite identificatorul produsului, statutul, data ultimei valabilități și data reînnoirii.
4.6 Comunicări și feedback
- E-mailurile de asistență trimise la
[email protected]. - Solicitările de funcționalități și rapoartele de erori transmise din interiorul aplicației (limitate zilnic pentru a preveni utilizarea abuzivă). Sunt stocate textul scris de Dvs., identificatorul de utilizator și momentul trimiterii. La ștergerea contului, feedback-ul este anonimizat (identificatorul de utilizator este înlocuit cu
"deleted_user"); textul în sine nu este șters, însă legătura cu Dvs. este eliminată.
4.7 Încercarea în onboarding (înainte de crearea contului)
Dacă doriți să încercați o singură reflecție generată de inteligența artificială fără a vă crea un cont, sunt prelucrate următoarele date:
- UUID-ul dispozitivului generat de dispozitivul Dvs. (nu este IDFA).
- Adresa IP rezumată cu SHA-256 (adresa IP brută nu este stocată).
- Tokenul Apple DeviceCheck (pentru a împiedica repetarea încercării pe același dispozitiv).
Aceste date sunt prelucrate doar pe termen scurt, exclusiv pentru limitarea încercării (una pe dispozitiv pe zi, 20 pe IP global pe zi) și prevenirea utilizării abuzive.
4.8 Securitate
- Codul de blocare al aplicației (dacă alegeți să îl activați) este stocat exclusiv în iOS Keychain de pe dispozitivul Dvs.; nu părăsește telefonul. Datele Dvs. biometrice (Face ID / Touch ID) rămân în Secure Enclave-ul Apple; nu ne sunt transmise.
5. Scopurile Prelucrării și Temeiurile Juridice
Scopul fiecărei activități de prelucrare a datelor și temeiul juridic în baza articolelor 5-6 din KVKK și a articolului 6 din GDPR sunt prezentate mai jos sub formă de tabel:
| Activitate de prelucrare | Scop | Temei juridic KVKK | Temei juridic GDPR |
|---|---|---|---|
| Crearea contului și stocarea înregistrărilor Dvs. | Furnizarea de bază a Serviciului | Art. 5/2(c) — încheierea și executarea contractului | Art. 6(1)(b) — executarea contractului |
| Generarea de reflecții IA pe baza înregistrărilor din jurnal | Numai dacă ați acordat consimțământ explicit | Art. 6(2) — consimțământ explicit pentru categoriile speciale de date | Art. 6(1)(a) + Art. 9(2)(a) — consimțământ explicit pentru categoriile speciale de date |
| Trimiterea reamintirilor zilnice de recunoștință | Atunci când le activați din Setări | Art. 5(1) — consimțământ explicit | Art. 6(1)(a) — consimțământ |
| Prelucrarea abonamentelor prin Apple și RevenueCat | Furnizarea serviciului achiziționat | Art. 5/2(c) — executarea contractului | Art. 6(1)(b) — contract |
| Raportarea blocărilor și analitica cumulativă a produsului | Oferirea unei aplicații fiabile și stabile | Art. 5/2(f) — interes legitim | Art. 6(1)(f) — interes legitim |
| Măsuri împotriva utilizării abuzive (DeviceCheck, rezumarea IP-ului, limite de cotă) | Prevenirea fraudei și a abuzului de costuri | Art. 5/2(f) — interes legitim | Art. 6(1)(f) — interes legitim |
| Păstrarea înregistrărilor de plată în scopuri fiscale și contabile | Îndeplinirea obligației legale | Art. 5/2(a) — obligație legală | Art. 6(1)(c) — obligație legală |
| Răspunsul la solicitările legale ale autorităților competente | Obligație legală | Art. 5/2(a) — obligație legală | Art. 6(1)(c) — obligație legală |
Nu vă prelucrăm datele în scopul creării de profiluri, nu desfășurăm activități automate de luare a deciziilor care ar putea produce consecințe semnificative cu privire la Dvs. și nu vindem, nici nu închiriem datele Dvs. cu caracter personal.
6. Prelucrarea Conținutului Jurnalului Dvs. cu Ajutorul Inteligenței Artificiale
Prezenta secțiune este redactată atât în temeiul Liniei directoare 5.1.2(i) a Apple App Store Review, cât și special pentru Dvs., în calitate de persoană căreia îi aparține jurnalul.
Ce se întâmplă?
În cazul în care vă exprimați consimțământul explicit, Thanxful transmite înregistrările selectate din jurnalul Dvs. unor furnizori terți de inteligență artificială; acești furnizori generează:
- Reflecție instantanee — o scurtă reflecție pentru o singură înregistrare.
- Sumar săptămânal — o analiză sintetizată a ultimelor 7 zile.
- Sumar lunar — o analiză aprofundată a ultimelor 30 de zile.
Cine prelucrează înregistrările Dvs.?
- OpenAI (furnizorul principal) — modelele
gpt-4o-minișigpt-4o. Serverele se află în SUA. - Google Gemini (furnizor de rezervă, atunci când OpenAI nu este accesibil) — pe infrastructura globală a Google.
Ce date sunt transmise?
- Textele înregistrărilor din perioada analizată.
- Numele Dvs. afișat (pentru ca reflecția să vi se poată adresa pe nume).
- Preferința Dvs. de limbă (pentru ca reflecția să fie generată în limba Dvs.).
Ce date nu sunt transmise?
- Adresa Dvs. de e-mail.
- Informațiile despre serie, statutul abonamentului sau alte date de profil.
- Niciun fel de date ale unui alt utilizator.
Perioadele de păstrare la nivelul furnizorilor
- OpenAI păstrează cererile primite prin API maximum 30 de zile în scopul detectării utilizării abuzive, după care le șterge. OpenAI nu utilizează datele transmise prin API pentru antrenarea modelelor. (Sursă: Termenii API OpenAI.)
- Google Gemini nu utilizează în mod implicit datele transmise prin API pentru antrenarea modelelor. (Sursă: Termenii API Google Gemini.)
Consimțământul Dvs. explicit
- În momentul în care inteligența artificială ar putea fi activată pentru prima dată — în onboarding, după salvarea unei înregistrări sau după o achiziție premium — vi se solicită consimțământul explicit.
- Consimțământul Dvs. este păstrat într-un jurnal de audit exclusiv prin adăugare (
users/{uid}/aiConsent). - Vă puteți retrage consimțământul oricând: Setări → Consimțământ Explicit IA. Retragerea oprește instantaneu prelucrările viitoare. Reflecțiile generate până în acel moment rămân în istoricul Dvs. până când le ștergeți pe acestea sau contul Dvs.
- Întrucât jurnalul Dvs. poate conține categorii speciale de date în temeiul articolului 6 din KVKK și al articolului 9 din GDPR, temeiul juridic al transferului către furnizorii de inteligență artificială este consimțământul Dvs. explicit.
Reflecțiile inteligenței artificiale nu reprezintă recomandări medicale, juridice sau terapeutice
Reflecțiile sunt texte generate automat. Acestea pot fi greșite, înșelătoare sau decontextualizate. Ele nu înlocuiesc un terapeut autorizat, un medic, un avocat sau alți profesioniști. Dacă vă aflați în dificultate, vă recomandăm să apelați la un specialist autorizat sau, în situații de urgență, la serviciile locale de urgență.
7. Partajare și Terți
Datele Dvs. cu caracter personal sunt partajate exclusiv cu furnizorii de servicii enumerați mai jos și exclusiv în scopurile menționate. Fiecare furnizor este obligat prin contract să prelucreze datele Dvs. cu caracter personal numai conform instrucțiunilor noastre și să adopte măsuri de securitate adecvate.
| Furnizor | Rol | Date partajate | Regiune | Politica de confidențialitate |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastructură: autentificare, Firestore, Storage, Cloud Functions, notificări, analitică, rapoarte de blocare, remote config, App Check | Toate datele de profil, înregistrările din jurnal, tokenurile FCM, evenimentele de analitică, rapoartele de blocare | Firestore și Cloud Functions în europe-west1 (Belgia, UE). Analitica și Crashlytics, infrastructura globală a Google. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Generarea reflecțiilor IA | Textul jurnalului, numele afișat, limba — numai atunci când vă exprimați consimțământul | SUA | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Generarea reflecțiilor IA (de rezervă) | Identice cu OpenAI | SUA / global | https://policies.google.com/privacy |
| RevenueCat, Inc. | Gestionarea abonamentelor | Identificator de utilizator Firebase, identificator produs, statut abonament, dată reînnoire | SUA | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, notificări APNs, DeviceCheck, plăți App Store | E-mail Apple ID, tokenuri de notificare, biți de dispozitiv, evidența achizițiilor | Infrastructura Apple | https://www.apple.com/legal/privacy/ |
Notă privind Meta / Facebook: În fișierul nostru Info.plist există doar declarația FacebookAppID: 2198469434228743, exclusiv pentru a activa schema URL „Partajare către Instagram Stories”. Nu este utilizat SDK-ul Facebook; către Meta nu sunt trimise date. Atunci când alegeți să partajați — și numai în acel caz — imaginea selectată este transmisă aplicației Instagram prin intermediul Foii de partajare iOS.
Solicitările autorităților competente
Datele Dvs. cu caracter personal sunt divulgate autorităților competente exclusiv în cadrul unei proceduri legale valabile în Türkiye sau al unei proceduri legale valabile a unei țări care are jurisdicție asupra noastră. În măsura permisă de lege, veți fi informat cu privire la astfel de solicitări.
Nu există vânzare de date
Datele Dvs. cu caracter personal nu sunt vândute. Conform definițiilor CCPA/CPRA, acestea „nu sunt partajate” în scopul publicității comportamentale între contexte.
8. Transferul în Afara Țării
Contul și jurnalul Dvs. sunt stocate în Uniunea Europeană (Google Cloud europe-west1, Belgia).
Unii dintre furnizorii noștri de servicii sunt localizați în Statele Unite ale Americii:
- OpenAI și Google Gemini primesc înregistrările din jurnalul Dvs. (numai atunci când vă exprimați consimțământul) în scopul prelucrării prin inteligența artificială.
- RevenueCat prelucrează statutul abonamentului Dvs.
- Anumite servicii Apple și Firebase rulează pe infrastructură globală.
Mecanismele juridice pe care ne bazăm pentru aceste transferuri:
- În temeiul GDPR: Clauzele contractuale standard (SCC) ale Comisiei UE nr. 2021/914, incluse în acordurile de prelucrare a datelor încheiate cu fiecare furnizor; măsurile tehnice aplicate în timpul și după transfer (criptare, control al accesului). Pentru furnizorii care dețin certificarea EU–US Data Privacy Framework, ne bazăm suplimentar și pe această decizie de adecvare.
- În temeiul GDPR al Regatului Unit: UK International Data Transfer Addendum (IDTA) atașat acelorași SCC.
- În temeiul KVKK: Ne bazăm pe următorul set multiplu de garanții:
- Consimțământul Dvs. explicit, în temeiul articolului 9 din KVKK, pentru transferul conținutului jurnalului Dvs. în SUA atunci când activați funcția de inteligență artificială;
- Acordurile de prelucrare a datelor (DPA) încheiate cu fiecare furnizor — în special Acordul Google Cloud / Firebase DPA (care include SCC-uri), Addendum-ul OpenAI API privind Prelucrarea Datelor și DPA-ul RevenueCat — drept garanție contractuală;
- Măsurile tehnice enumerate la §11 (criptare, App Check, minimizarea datelor cu caracter personal la înregistrare).
Obiectivul nostru este să semnăm modelul de Standart Sözleşme publicat de Autoritatea de Protecție a Datelor cu Caracter Personal cu fiecare furnizor care acceptă să semneze acest model și să transmitem notificarea către Autoritate în termen de 5 zile lucrătoare de la data semnării. În cazurile în care furnizorul nu acceptă modelul Autorității și utilizează propriul DPA, se aplică setul de garanții enumerat mai sus.
Puteți solicita o copie a garanțiilor aferente transferului scriind la [email protected].
9. Perioada de Păstrare
Datele cu caracter personal sunt păstrate doar pe perioada în care sunt necesare.
| Date | Perioada de păstrare |
|---|---|
| Datele contului (e-mail, nume, profil, preferințe) | Până la ștergerea contului Dvs. |
| Înregistrările din jurnal, dispozițiile, informațiile despre serii | Până la momentul în care le ștergeți, utilizați funcția de Resetare a Conținutului sau vă ștergeți contul. |
| Jurnalul de consimțământ explicit pentru IA | Pe durata contului, exclusiv în formă de adăugare (conform App Store 5.1.2(i)). Se șterge împreună cu contul. |
| Reflecțiile IA generate (instantanee, săptămânale, lunare) | Până la momentul în care le ștergeți Dvs. sau contul Dvs. |
| Tokenuri de notificare FCM | Până la dezînregistrarea dispozitivului, deconectare sau ștergerea contului. |
| Rapoartele de blocare Crashlytics | 90 de zile (valoare implicită Google). |
| Datele despre evenimente Firebase Analytics | 14 luni (valoare implicită minimă Google). |
| Jurnalele de server (Cloud Logging) | 400 de zile (conținutul înregistrărilor nu este inclus în jurnal; a se vedea §11). |
| Înregistrările de trasabilitate (Cloud Trace) | 15 zile. |
| Solicitări de funcționalități / rapoarte de erori | Sunt păstrate în scopul îmbunătățirii produsului; la ștergerea contului, sunt anonimizate prin eliminarea identificatorului de utilizator. |
| Înregistrările de plată (prin Apple și RevenueCat) | Perioada prevăzută de legislația fiscală și comercială turcă — de regulă 10 ani. |
Atunci când vă ștergeți contul (Setări → Avansat → Șterge Contul sau prin e-mail), profilul, înregistrările, reflecțiile, realizările, jurnalul de consimțământ pentru IA și tokenurile FCM ale Dvs. sunt eliminate instantaneu din sistemele noastre active. În ceea ce privește memoriile cache, copiile de rezervă și jurnalele furnizorilor de servicii, finalizarea ștergerii poate dura până la 30 de zile.
10. Drepturile Dvs.
În funcție de țara în care vă aflați, beneficiați de toate sau de o parte dintre următoarele drepturi:
Articolul 11 din KVKK (rezidenții din Türkiye):
- Dreptul de a afla dacă datele Dvs. cu caracter personal sunt prelucrate sau nu.
- Dreptul de a solicita informații în acest sens, dacă datele au fost prelucrate.
- Dreptul de a afla scopul prelucrării și dacă datele sunt utilizate conform scopului.
- Dreptul de a afla terții către care au fost transferate datele, atât pe plan intern, cât și extern.
- Dreptul de a solicita rectificarea datelor prelucrate incomplet sau eronat.
- Dreptul de a solicita ștergerea sau distrugerea datelor în temeiul articolului 7 din KVKK.
- Dreptul de a solicita comunicarea către terții cărora li s-au transferat datele a operațiunilor de rectificare, ștergere sau distrugere.
- Dreptul de a se opune unui rezultat defavorabil rezultat din analizarea datelor prin sisteme automate.
- Dreptul de a solicita despăgubiri pentru prejudiciile suferite ca urmare a prelucrării ilegale a datelor.
GDPR (rezidenții din UE/SEE și Regatul Unit):
- Acces (Art. 15), rectificare (Art. 16), ștergere (Art. 17), restricționarea prelucrării (Art. 18), portabilitatea datelor (Art. 20), opoziție (Art. 21), retragerea consimțământului explicit (Art. 7). Ecranul nostru de export auto-servire nu este încă disponibil; dacă solicitați acest lucru prin e-mail, vă vom transmite înregistrările și datele Dvs. de profil în format JSON structurat în termen de 30 de zile.
CCPA / CPRA (rezidenți din California):
- Dreptul de a afla ce informații cu caracter personal sunt colectate, sursele, scopurile și terții implicați.
- Dreptul la ștergere și rectificare.
- Dreptul de a se opune vânzării/partajării informațiilor cu caracter personal — nu vindem și nu partajăm date; nu există nicio situație împotriva căreia să vă puteți opune.
- Dreptul de a limita utilizarea informațiilor sensibile cu caracter personal — informațiile sensibile (conținutul jurnalului Dvs.) nu sunt utilizate în alte scopuri decât cele menționate la §5.
- Dreptul de a nu fi supus discriminării ca urmare a exercitării drepturilor Dvs.
Cum vă puteți exercita drepturile?
Trimiteți un e-mail la [email protected] cu subiectul Solicitare de Confidențialitate și menționați ce drept doriți să exercitați. Pentru a vă verifica identitatea putem solicita informații suplimentare (de regulă, prin a vă cere să răspundeți de la adresa de e-mail înregistrată în cont). În conformitate cu articolul 13 din KVKK și articolul 12 din GDPR, solicitarea Dvs. va fi soluționată în cel mult 30 de zile. Dacă este necesară o perioadă suplimentară, vă vom comunica motivul și momentul preconizat al răspunsului.
Dacă doriți să formulați o cerere prin intermediul unui mandatar, în temeiul CCPA, putem totuși să vă contactăm pentru a verifica documentul de împuternicire al mandatarului.
Cu excepția cazului în care solicitarea Dvs. este în mod evident nefondată sau excesivă, exercitarea acestor drepturi este gratuită.
Autorități la care puteți formula plângere
- Türkiye: Autoritatea de Protecție a Datelor cu Caracter Personal (KVKK) — https://www.kvkk.gov.tr/
- UE/SEE: autoritatea de protecție a datelor din țara în care vă aflați — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Regatul Unit: Information Commissioner's Office — https://ico.org.uk/
- California: California Privacy Protection Agency — https://cppa.ca.gov/
11. Măsuri de Securitate a Datelor
Securitatea datelor este avută în vedere încă din faza de proiectare. Măsurile tehnice și administrative implementate includ:
- Criptare în tranzit — întregul trafic de rețea este criptat cu TLS 1.2+.
- Criptare la stocare — criptare AES-256 partea de server Google Cloud.
- Autentificare — Firebase Auth; parolele nu sunt niciodată stocate în text simplu.
- App Check — Apple App Attest în build-ul de producție; cererile provenite din surse nesigure sunt respinse.
- Apple DeviceCheck — împiedică abuzurile în cadrul încercărilor din onboarding.
- Reguli stricte de securitate Firestore — fiecare utilizator citește și scrie doar propriile date.
- Izolarea datelor sensibile — codul de blocare al aplicației este păstrat exclusiv în iOS Keychain; datele biometrice rămân în Apple Secure Enclave.
- Jurnale cu PII minimizate — conținutul jurnalului nu este inclus în jurnalele de server; sunt înregistrate doar metadatele necesare operării și depanării (identificator de utilizator, tip eveniment, statut).
- Gestionarea cheilor secrete — cheile API (OpenAI, RevenueCat, Apple DeviceCheck) sunt stocate în Firebase Secret Manager; nu sunt incluse în cod.
Întrucât niciun sistem nu este complet sigur, în cazul detectării unei încălcări a securității datelor cu caracter personal:
- Conform articolului 12 alineatul 5 din KVKK, Autoritatea de Protecție a Datelor cu Caracter Personal este notificată în termen de 72 de ore;
- Conform articolelor 33-34 din GDPR, sunt efectuate notificările directe către rezidenții UE/SEE și notificările necesare către autoritățile competente.
12. Copii
Thanxful nu se adresează copiilor cu vârsta sub 13 ani. Pentru a putea utiliza Serviciul, trebuie să aveți cel puțin 13 ani (a se vedea Termenii de Utilizare §3). Dacă aveți între 13 și 16 ani (vârsta consimțământului digital în unele state membre UE), legislația din țara Dvs. ar putea solicita acordul părintelui sau tutorelui Dvs. În conformitate cu articolul 15 din Codul Civil Turc (TMK), minorii cu vârsta sub 18 ani nu au capacitate contractuală deplină, iar pentru un utilizator cu vârsta sub 18 ani este necesar acordul părintelui sau al tutorelui.
Nu colectăm cu bună știință date cu caracter personal de la copii cu vârsta sub 13 ani. Dacă în calitate de părinte sau tutore considerați că copilul Dvs. ne-a furnizat informații fără știrea Dvs., scrieți la [email protected]; informațiile vor fi șterse.
Clasificarea de vârstă App Store a aplicației (4+) indică faptul că aplicația este adecvată tuturor vârstelor din punct de vedere al conținutului (nu conține violență, conținut sexual sau limbaj vulgar). Această clasificare a conținutului nu modifică interdicția contractuală pentru cei sub 13 ani.
În onboarding nu există o poartă separată de verificare a vârstei (age gate) pentru utilizatori, vârsta minimă fiind aplicată prin contractul scris — această abordare este o practică larg răspândită în aplicațiile de jurnal/wellness.
13. Divulgări California (CCPA / CPRA)
Dacă sunteți rezident în California, prezenta secțiune vi se aplică în completarea restului prezentei politici.
Categorii de informații cu caracter personal colectate (ultimele 12 luni)
| Categorie CCPA | Se colectează? | Sursă | Scop | Părți cu care se partajează |
|---|---|---|---|---|
| Identificatori (e-mail, identificator utilizator, identificator dispozitiv) | Da | Dvs.; dispozitivul Dvs. | Cont, securitate, analitică | Firebase, RevenueCat |
| Evidențe ale Clienților din California (Cal. Civ. Code §1798.80) | Da (nume) | Dvs. | Cont | Firebase |
| Clasificări protejate | Nu | — | — | — |
| Informații comerciale (istoric abonament) | Da | Apple, RevenueCat | Furnizarea abonamentului | RevenueCat |
| Informații biometrice | Nu (Face ID rămâne pe dispozitiv) | — | — | — |
| Activitate internet / rețea | Limitat (evenimente din aplicație, rapoarte de blocare) | Dispozitivul Dvs. | Analitică, fiabilitate | Firebase |
| Locație | Numai la nivel aproximativ (țară / fus orar) | Dispozitivul Dvs. | Localizarea conținutului | Firebase |
| Audio / vizual | Fotografie de profil (opțional) | Dvs. | Profil | Firebase Storage |
| Profesional sau de angajare | Nu | — | — | — |
| Educație | Nu | — | — | — |
| Inferențe | Nu | — | — | — |
| Informații sensibile cu caracter personal | Conținutul jurnalului este considerat sensibil | Dvs. | Reflecții IA (numai cu consimțământ) | OpenAI, Google Gemini |
Drepturile Dvs. în California
- Cunoaștere / acces — a se vedea §10.
- Ștergere / rectificare — a se vedea §10.
- Opoziție la vânzare / partajare — nu vindem și nu partajăm informațiile Dvs. cu caracter personal; nu există nicio situație împotriva căreia să vă puteți opune.
- Limitarea utilizării informațiilor sensibile — informațiile sensibile (conținutul jurnalului Dvs.) sunt utilizate exclusiv în scopurile descrise la §6 și pe baza consimțământului Dvs. explicit.
- Nediscriminare — atunci când vă exercitați aceste drepturi, accesul Dvs. la Serviciu nu este restricționat, nu se aplică prețuri diferite și nu se oferă o calitate diferită.
Pentru solicitări, scrieți la [email protected] cu subiectul California Privacy Request. Vă verificăm identitatea prin e-mailul înregistrat în cont.
Nu se oferă nicio recompensă financiară în schimbul informațiilor cu caracter personal.
14. Cookie-uri și Tehnologii Similare
În cadrul aplicației iOS: nu sunt utilizate cookie-uri web. Aplicația păstrează exclusiv pe dispozitivul Dvs., în UserDefaults, mici preferințe (precum tema, limba, preferința de notificare), iar în iOS Keychain, codul de blocare al aplicației. Aceste date nu sunt partajate cu noi sau cu terți.
Pe thanxful.app: La data intrării în vigoare a prezentei politici, site-ul de prezentare nu utilizează cookie-uri, web-beacons sau elemente terțe de urmărire analitică. Dacă acestea vor fi adăugate ulterior, prezenta secțiune va fi actualizată, pe site va fi afișată o casetă de consimțământ pentru cookie-uri (cookie banner), iar modificarea va fi tratată drept modificare semnificativă conform §15.
15. Modificările Politicii
Prezenta politică poate fi actualizată periodic. Pentru modificările semnificative (modificări care afectează drepturile Dvs. sau modul de prelucrare a datelor Dvs.) veți fi notificat cu cel puțin 30 de zile înainte de intrarea în vigoare a modificării, prin e-mail și prin notificare în aplicație. În cazul modificărilor nesemnificative (corecții ortografice, clarificări) documentul este actualizat, iar Data Intrării în Vigoare din partea de sus este actualizată.
Dacă nu acceptați noua versiune, puteți înceta utilizarea Serviciului și vă puteți șterge contul înainte de data intrării în vigoare.
16. Contact
Pentru orice întrebare, solicitare sau plângere legată de confidențialitate:
- E-mail:
[email protected](subiect:Confidențialitate) - Operator de date: Kadir Alan — persoană fizică autorizată / PFA (şahıs şirketi), Türkiye
Dacă este necesară o adresă fizică de corespondență, scrieți-ne mai întâi la [email protected]; adresa va fi comunicată ca urmare a solicitării Dvs.
Autoritățile de supraveghere la care puteți formula plângere sunt enumerate la §10.
17. Glosar
- KVKK — Legea nr. 6698 privind Protecția Datelor cu Caracter Personal (Türkiye).
- GDPR — Regulamentul (UE) 2016/679, Regulamentul General privind Protecția Datelor al Uniunii Europene.
- CCPA / CPRA — California Consumer Privacy Act, astfel cum a fost modificat prin California Privacy Rights Act.
- COPPA — Children's Online Privacy Protection Act (SUA, vârsta sub 13 ani).
- FCM — Firebase Cloud Messaging (infrastructura de notificări).
- Categorii speciale de date cu caracter personal / date sensibile — categorii de date care necesită protecție sporită în temeiul articolului 6 din KVKK și al articolului 9 din GDPR, precum cele referitoare la sănătate, religie, opinii politice, viață sexuală etc.
- Operator de date — persoana fizică sau juridică ce stabilește scopurile și mijloacele prelucrării datelor cu caracter personal și care este responsabilă de înființarea și gestionarea sistemului de evidență a datelor (în acest caz: Kadir Alan).
- Consimțământ explicit — consimțământul referitor la un anumit subiect, bazat pe informare și exprimat în mod liber.
Vă mulțumim pentru încrederea acordată în călătoria Dvs. de recunoștință.
— Thanxful