1. En överblick
Thanxful är en app som låter dig föra en personlig tacksamhetsdagbok och, om du vill, få AI-genererade insikter om det du skriver. Din dagbok tillhör dig. Vi rör dina anteckningar enbart för att driva tjänsten och säljer dem aldrig, använder dem aldrig för annonsering och låter inga AI-modeller tränas på dem.
| Ämne | Kort svar |
|---|---|
| Personuppgiftsansvarig | Kadir Alan — enskild firma / enskild näringsidkare (şahıs şirketi), Turkiet. Kontakt: [email protected]. |
| Vilka uppgifter behandlas? | E-post, namn, profilbild (valfritt), dina dagboksanteckningar, sinnesstämning, enhets- och prenumerationsinformation. |
| Varför? | För att leverera tjänsten, hantera prenumerationer, skicka påminnelsenotiser och — endast om du gett uttryckligt samtycke — generera AI-drivna insikter från dina anteckningar. |
| Med vem delas de? | Våra tjänsteleverantörer: Google Firebase (infrastruktur), OpenAI och Google Gemini (AI), RevenueCat (prenumerationer), Apple (inloggning, notiser, säkerhet). Dina uppgifter säljs eller hyrs inte ut. |
| Var lagras de? | Ditt konto och din dagbok lagras inom Europeiska unionen (Google Cloud europe-west1, Belgien). Dina anteckningar överförs till USA endast om du själv aktiverar AI-funktionen. |
| Hur länge? | Tills du raderar ditt konto. När du raderar tas dina uppgifter omedelbart bort från våra aktiva system; från säkerhetskopior och loggar raderas de inom 30 dagar. |
| Vilka rättigheter har du? | Tillgång, rättelse, radering, dataportabilitet, invändning och återkallande av samtycke. Skriv till [email protected] med ämnesraden Integritet; vi svarar inom 30 dagar. |
2. Personuppgiftsansvarigs identitet
Thanxful-appen tillhandahålls av Kadir Alan, som verkar i Turkiet i egenskap av enskild firma / enskild näringsidkare (şahıs şirketi).
| Personuppgiftsansvarig | Kadir Alan — enskild firma / enskild näringsidkare (şahıs şirketi), Turkiet |
| Kontakt | [email protected] (att skriva Integritet i ämnesraden hjälper oss att dirigera ditt ärende rätt) |
Som enskild firma ligger vi under tröskeln för registrering i KVKK:s register över personuppgiftsansvariga (VERBİS) och under tröskeln för utnämning av dataskyddsombud enligt artikel 37 i dataskyddsförordningen, varför vi inte är skyldiga att registrera oss i VERBİS eller att utse ett DPO. Om detta ändras kommer denna policy att uppdateras. Om du behöver en fysisk delgivningsadress kan du skriva till oss på [email protected]; adress lämnas på begäran.
3. Omfattning
Denna policy omfattar följande:
- Thanxful iOS-appen som publiceras på Apple App Store (
com.aota.thanxfuloch betacom.aota.thanxful.beta). - Webbplatsen
thanxful.app(marknadsföringssidor, dessa juridiska texter och tillhörande innehåll).
Integritetsrutinerna hos tredjepartstjänster som du leds vidare till från appen eller webbplatsen (t.ex. Apple App Store, OpenAI, RevenueCat) regleras av respektive tjänsts egna policyer; personuppgiftsansvarig har inget ansvar i dessa avseenden.
4. Kategorier av personuppgifter som behandlas
Endast de personuppgifter som är nödvändiga för att tillhandahålla tjänsten behandlas. Uppgifterna delas in i sex kategorier:
4.1 Identitetsuppgifter
När du skapar ett konto behandlas följande uppgifter:
- E-postadress (obligatoriskt).
- Namn/visningsnamn (valfritt; du kan när som helst ändra eller lämna det tomt).
- Profilbild (valfritt; lagras i Firebase Storage).
- Firebase-användar-ID som genereras automatiskt av systemet.
- Om du använder Sign in with Apple: din e-post (verklig eller Apples privata vidarebefordringsadress) och, om du väljer att dela det, ditt fullständiga namn. Apple delar inte ditt Apple ID med oss.
4.2 Dagboksinnehåll — kan utgöra särskilda kategorier av personuppgifter
För varje sparad anteckning behandlas följande uppgifter:
- Anteckningstext (högst 3 000 tecken).
- Formaterad text (fet, kursiv, listor — högst 30 000 tecken, kodad).
- Valfritt val av sinnesstämning.
- Information om den prompt du svarat på (om någon).
- Lokalt kalenderdatum.
Dagboksinnehåll är personligt och känsligt. Enligt artikel 6 i KVKK och artikel 9 i dataskyddsförordningen kan dagbokstexter innehålla särskilda kategorier av personuppgifter som rör din hälsa, religiösa övertygelse, politiska åsikter, sexualliv eller fackliga tillhörighet. Av detta skäl är behandlingen av ditt dagboksinnehåll med AI helt och hållet beroende av ditt uttryckliga samtycke (se §6).
4.3 Profil- och inställningsuppgifter
- Streak-information (aktuell och längsta serie).
- Senast aktiv-tid och tidszon (din enhets IANA-tidszon, t.ex.
Europe/Istanbul). - Språkinställning (ditt val från en lista med 30 språk).
- Temainställning (Espresso, Cosmos, Oat m.fl.).
- Notisinställningar: om påminnelser är på/av, påminnelsetid och tidszon.
- Prenumerationsstatus: huruvida du har en aktiv premiumprenumeration (via RevenueCat; se §7).
- Loggning av AI-samtycke — en logg där endast tillägg är möjliga (append-only) och som innehåller dina samtyckes-, avslags- eller återkallandeåtgärder, källan (onboarding, efter inloggning, efter köp eller Inställningar), tidsstämpel och antal visade prompts. Loggen förs i enlighet med Apple App Store Review Guideline 5.1.2(i).
4.4 Enhets- och användningsuppgifter
När du använder appen behandlas följande uppgifter automatiskt:
- Enhetsinformation: modell, version av operativsystem, appversion, språkinställning, land, tidszon och Firebases interna app-instans-ID.
- FCM-notistoken (token) — den token som tilldelas din enhet av Firebase Cloud Messaging för att vi ska kunna skicka påminnelser. Lagras i Firestore kopplad till ditt konto; förnyas vid ominstallation eller utloggning.
- Händelsedata: metadata om vilken skärm du visat i appen, om du har sparat en anteckning, om du har öppnat en insikt, om du har påbörjat ett köp — men innehållet i dina anteckningar ingår inte i dessa loggar.
- Kraschrapporter via Firebase Crashlytics (stack trace, enhetens tillstånd vid krascher). I debug-byggen är Crashlytics avstängt; i de byggen som distribueras till användarna är det aktiverat.
Följande uppgifter behandlas inte:
- Din IP-adress i appen (Firebase Analytics visar inte denna information för oss).
- Din annonsidentifierare (IDFA) — vi använder Firebases version utan AdSupport och signaler för annonspersonalisering är avaktiverade.
4.5 Prenumerationsuppgifter
När du köper en Thanxful-prenumeration:
- Genomförs transaktionen av Apple (App Store). Din betalningsmetod eller dina kortuppgifter överförs inte till oss.
- RevenueCat sköter prenumerationens livscykel för vår räkning. De uppgifter som delas med RevenueCat är ditt Firebase-användar-ID; RevenueCat förmedlar produkt-ID, status, sista giltighetsdatum och förnyelsedatum till oss.
4.6 Kommunikation och feedback
- Supportmejl du skickar till
[email protected]. - Funktionsönskemål och felrapporter du skickar in från appen (begränsade per dag för att förhindra missbruk). Den text du skriver, ditt användar-ID och tidpunkten för insändning sparas. När du raderar ditt konto anonymiseras feedbacken (användar-ID ändras till
"deleted_user"); själva texten raderas inte, men dess koppling till dig tas bort.
4.7 Onboarding-test (innan du skapar konto)
Om du vill prova en enstaka AI-insikt utan att skapa konto behandlas följande uppgifter:
- Enhets-UUID som genereras av din enhet (det är inte IDFA).
- SHA-256-hashad IP-adress (rå IP-adress lagras inte).
- Apple DeviceCheck-token (för att förhindra att testet upprepas per enhet).
Dessa uppgifter behandlas endast under en kort tid i syfte att begränsa testet (en gång per enhet och dag, 20 gånger per global IP och dag) och för att förhindra missbruk.
4.8 Säkerhet
- Ditt app-låskod (om du väljer att aktivera ett sådant) lagras enbart i din enhets iOS-nyckelring (Keychain); det lämnar inte din telefon. Dina biometriska uppgifter (Face ID / Touch ID) stannar i Apples Secure Enclave; de överförs inte till oss.
5. Ändamål och rättsliga grunder för behandlingen
Ändamålet med varje behandling av personuppgifter och den rättsliga grunden enligt artiklarna 5–6 i KVKK och artikel 6 i dataskyddsförordningen redovisas i tabellen nedan:
| Behandlingsaktivitet | Ändamål | Rättslig grund enligt KVKK | Rättslig grund enligt GDPR |
|---|---|---|---|
| Skapa konto och lagra dina anteckningar | Tillhandahållande av tjänsten | Art. 5/2(c) — ingående och fullgörande av avtal | Art. 6(1)(b) — fullgörande av avtal |
| Generera AI-insikter från dina dagboksanteckningar | Endast om du gett uttryckligt samtycke | Art. 6(2) — uttryckligt samtycke för särskilda kategorier av personuppgifter | Art. 6(1)(a) + Art. 9(2)(a) — uttryckligt samtycke för särskilda kategorier av personuppgifter |
| Skicka dagliga tacksamhetspåminnelser | När du aktiverat detta i Inställningar | Art. 5(1) — uttryckligt samtycke | Art. 6(1)(a) — samtycke |
| Hantera prenumerationer via Apple och RevenueCat | Tillhandahållande av den tjänst du köpt | Art. 5/2(c) — fullgörande av avtal | Art. 6(1)(b) — avtal |
| Kraschrapportering och aggregerad produktanalys | Tillhandahålla en tillförlitlig och stabil app | Art. 5/2(f) — berättigat intresse | Art. 6(1)(f) — berättigat intresse |
| Åtgärder mot missbruk (DeviceCheck, IP-hashning, kvotbegränsningar) | Förhindra bedrägerier och kostnadsmissbruk | Art. 5/2(f) — berättigat intresse | Art. 6(1)(f) — berättigat intresse |
| Lagring av betalningsuppgifter för skatte- och bokföringsändamål | Fullgörande av rättslig skyldighet | Art. 5/2(a) — rättslig skyldighet | Art. 6(1)(c) — rättslig skyldighet |
| Besvara lagliga förfrågningar från behöriga myndigheter | Lagstadgad skyldighet | Art. 5/2(a) — rättslig skyldighet | Art. 6(1)(c) — rättslig skyldighet |
Vi behandlar inte dina uppgifter för profilering, vi bedriver inte automatiserat beslutsfattande som kan ha betydande konsekvenser för dig och vi säljer eller hyr inte ut dina personuppgifter.
6. Behandling av ditt dagboksinnehåll med artificiell intelligens
Detta avsnitt har upprättats särskilt för dig — både inom ramen för Apple App Store Review Guideline 5.1.2(i) och i din egenskap av den person dagboken tillhör.
Vad sker?
Om du ger uttryckligt samtycke överför Thanxful utvalda dagboksanteckningar till tredjeparts AI-leverantörer; dessa leverantörer producerar:
- Direktinsikt — en kort reflektion om en enskild anteckning.
- Veckosammanfattning — en sammanfattande analys av de senaste 7 dagarna.
- Månadssammanfattning — en fördjupad analys av de senaste 30 dagarna.
Vilka behandlar dina anteckningar?
- OpenAI (primär leverantör) — modellerna
gpt-4o-miniochgpt-4o. Servrarna finns i USA. - Google Gemini (reservleverantör, när OpenAI inte är tillgängligt) — på Googles globala infrastruktur.
Vilka uppgifter överförs?
- Anteckningstexterna för den period som analyseras.
- Ditt visningsnamn (för att insikten ska kunna tilltala dig vid namn).
- Din språkinställning (för att insikten ska genereras på ditt språk).
Vilka uppgifter överförs inte?
- Din e-postadress.
- Streak-information, prenumerationsstatus eller andra profiluppgifter.
- Inga andra användares uppgifter.
Lagringsperioder hos leverantören
- OpenAI lagrar förfrågningar som inkommer via API i syfte att upptäcka missbruk i högst 30 dagar och raderar dem därefter. OpenAI använder inte API-data för modellträning. (Källa: OpenAI API-villkor.)
- Google Gemini använder som standard inte API-data för modellträning. (Källa: Google Gemini API-villkor.)
Ditt uttryckliga samtycke
- Vid den första tidpunkt då AI kan komma att aktiveras — i onboarding, efter att du sparat en anteckning eller efter ett premiumköp — efterfrågas ditt uttryckliga samtycke.
- Ditt samtycke lagras i en revisionslogg där endast tillägg är möjliga (
users/{uid}/aiConsent). - Du kan när som helst återkalla ditt samtycke: Inställningar → AI-samtycke. Återkallandet stoppar omedelbart all framtida behandling. Insikter som genererats fram till den tidpunkten finns kvar i din historik tills du raderar dem eller ditt konto.
- Eftersom din dagbok kan innehålla särskilda kategorier av personuppgifter enligt artikel 6 i KVKK och artikel 9 i dataskyddsförordningen är den rättsliga grunden för överföring till AI-leverantörerna ditt uttryckliga samtycke.
AI-insikter är inte medicinsk, juridisk eller terapeutisk rådgivning
Insikterna är automatiskt genererade texter. De kan vara felaktiga, vilseledande eller tagna ur sitt sammanhang. De ersätter inte en legitimerad terapeut, läkare, advokat eller andra yrkespersoner. Om du befinner dig i nöd rekommenderar vi att du kontaktar en kvalificerad fackperson eller, vid akuta situationer, lokala räddningstjänster.
7. Utlämnande och tredje parter
Dina personuppgifter delas endast med följande tjänsteleverantörer och endast för de angivna ändamålen. Varje leverantör är genom avtal förpliktigad att behandla dina personuppgifter enbart enligt våra instruktioner och att vidta lämpliga säkerhetsåtgärder.
| Leverantör | Roll | Delade uppgifter | Region | Integritetspolicy |
|---|---|---|---|---|
| Google LLC (Firebase) | Infrastruktur: autentisering, Firestore, Storage, Cloud Functions, notiser, analys, kraschrapportering, remote config, App Check | Samtliga profiluppgifter, dagboksanteckningar, FCM-tokens, analyshändelser, kraschrapporter | Firestore och Cloud Functions i europe-west1 (Belgien, EU). Analytics och Crashlytics på Googles globala infrastruktur. |
https://policies.google.com/privacy |
| OpenAI, L.L.C. | Generering av AI-insikter | Dagbokstext, visningsnamn, språk — endast när du ger samtycke | USA | https://openai.com/policies/privacy-policy |
| Google LLC (Gemini API) | Generering av AI-insikter (reserv) | Samma som OpenAI | USA / globalt | https://policies.google.com/privacy |
| RevenueCat, Inc. | Prenumerationshantering | Firebase-användar-ID, produkt-ID, prenumerationsstatus, förnyelsedatum | USA | https://www.revenuecat.com/privacy |
| Apple Inc. | Sign in with Apple, APNs-notiser, DeviceCheck, App Store-betalningar | Apple ID-e-post, notistokens, enhetsbit, köphistorik | Apples infrastruktur | https://www.apple.com/legal/privacy/ |
Anmärkning gällande Meta / Facebook: Vår Info.plist-fil innehåller endast deklarationen FacebookAppID: 2198469434228743 i syfte att aktivera URL-schemat för "Dela till Instagram Stories". Facebook SDK används inte; inga uppgifter skickas till Meta. Endast om du själv väljer att dela — och först då — överförs den valda bilden till Instagram-appen via iOS Delningsmenyn.
Förfrågningar från behöriga myndigheter
Dina personuppgifter lämnas ut till behöriga myndigheter endast inom ramen för ett giltigt rättsligt förfarande i Turkiet eller ett giltigt rättsligt förfarande i ett land som har jurisdiktion över oss. I den utsträckning lagen tillåter informeras du om sådana förfrågningar.
Ingen försäljning av uppgifter
Dina personuppgifter säljs inte. Enligt definitionerna i CCPA/CPRA "delas" de inte heller för kontextöverskridande beteendeannonsering.
8. Överföring utomlands
Ditt konto och din dagbok lagras inom Europeiska unionen (Google Cloud europe-west1, Belgien).
Vissa av våra tjänsteleverantörer är belägna i Amerikas förenta stater:
- OpenAI och Google Gemini tar emot dina dagboksanteckningar (endast när du gett samtycke) för AI-behandling.
- RevenueCat behandlar din prenumerationsstatus.
- Vissa Apple- och Firebase-tjänster körs på global infrastruktur.
De rättsliga mekanismer som åberopas för dessa överföringar:
- Enligt GDPR: EU-kommissionens standardavtalsklausuler (SCC) 2021/914, som ingår i de personuppgiftsbiträdesavtal som tecknats med varje leverantör; samt tekniska åtgärder som tillämpas under och efter överföringen (kryptering, åtkomstkontroll). För leverantörer som är certifierade enligt EU–US Data Privacy Framework åberopas dessutom detta beslut om adekvat skyddsnivå.
- Enligt UK GDPR: UK International Data Transfer Addendum (IDTA) som biläggs samma SCC.
- Enligt KVKK: följande kombinerade skyddsåtgärder åberopas:
- Ditt uttryckliga samtycke enligt artikel 9 i KVKK för överföring av ditt dagboksinnehåll till USA om du aktiverar AI-funktionen;
- De personuppgiftsbiträdesavtal (DPA) som ingåtts med respektive leverantör — i synnerhet Google Cloud / Firebase DPA (som inkluderar SCC), OpenAI API Data Processing Addendum och RevenueCat DPA — som avtalsmässig skyddsåtgärd;
- De tekniska åtgärder som anges i §11 (kryptering, App Check, dataminimering vid loggning).
Vår målsättning är att med varje leverantör som accepterar att teckna den Standartavtalsmall (Standart Sözleşme) som publicerats av Myndigheten för skydd av personuppgifter underteckna denna mall och underrätta Myndigheten inom 5 arbetsdagar från undertecknandet. I de fall då leverantören inte godtar Myndighetens mall och använder sin egen DPA tillämpas de ovan angivna kombinerade skyddsåtgärderna.
Du kan begära en kopia av överföringsskyddsåtgärderna genom att skriva till [email protected].
9. Lagringstid
Personuppgifter lagras endast så länge det är nödvändigt.
| Uppgift | Lagringstid |
|---|---|
| Kontouppgifter (e-post, namn, profil, inställningar) | Tills du raderar ditt konto. |
| Dagboksanteckningar, sinnesstämning, streak-information | Tills du själv raderar, använder Återställ innehåll eller raderar ditt konto. |
| Logg över AI-samtycke | Under kontots hela livslängd, i append-only-format (enligt App Store 5.1.2(i)). Raderas tillsammans med kontot. |
| Genererade AI-insikter (direkta, vecko-, månadsvisa) | Tills du själv raderar dem eller ditt konto. |
| FCM-notistokens | Tills din enhet avregistrerar sig, du loggar ut eller kontot raderas. |
| Crashlytics-kraschrapporter | 90 dagar (Googles standard). |
| Firebase Analytics-händelsedata | 14 månader (Googles minsta standardvärde). |
| Serverloggar (Cloud Logging) | 400 dagar (anteckningstext loggas inte; se §11). |
| Spårningsloggar (Cloud Trace) | 15 dagar. |
| Funktionsönskemål / felrapporter | Lagras för produktutveckling; vid kontoradering anonymiseras de genom att användar-ID tas bort. |
| Betalningsuppgifter (via Apple och RevenueCat) | Den period som föreskrivs av turkisk skatte- och handelslagstiftning — vanligtvis 10 år. |
När du raderar ditt konto (Inställningar → Avancerat → Radera konto eller via e-post) tas din profil, dina anteckningar, insikter, prestationer, AI-samtyckeslogg och FCM-tokens omedelbart bort från våra aktiva system. Vad gäller cacheminnen, säkerhetskopior och loggar hos tjänsteleverantörer kan slutförandet av raderingen ta upp till 30 dagar.
10. Dina rättigheter
Beroende på vilket land du befinner dig i har du samtliga eller en del av följande rättigheter:
Artikel 11 i KVKK (för dem som är bosatta i Turkiet):
- Få veta om dina personuppgifter behandlas eller inte.
- Begära information om behandlingen om sådan har skett.
- Få veta ändamålet med behandlingen och om de används i enlighet med ändamålet.
- Få veta vilka tredje parter inom eller utom landet som uppgifterna har överförts till.
- Begära rättelse om uppgifterna är ofullständiga eller felaktigt behandlade.
- Begära radering eller förstöring enligt artikel 7 i KVKK.
- Begära att rättelse, radering eller förstöring meddelas de tredje parter till vilka uppgifterna överförts.
- Invända mot ett resultat som riktas mot dig till följd av analys via automatiserade system.
- Begära ersättning för skada som uppstått till följd av olaglig behandling.
GDPR (för dem som är bosatta i EU/EES och Storbritannien):
- Tillgång (art. 15), rättelse (art. 16), radering (art. 17), begränsning av behandling (art. 18), dataportabilitet (art. 20), invändning (art. 21), återkallande av uttryckligt samtycke (art. 7). Vår självservice-export är ännu inte tillgänglig; om du begär det per e-post skickar vi dina anteckningar och profiluppgifter i strukturerat JSON-format inom 30 dagar.
CCPA / CPRA (boende i Kalifornien):
- Rätt att få veta vilken personlig information som samlas in, dess källor, ändamål och tredje parter.
- Rätt till radering och rättelse.
- Rätt att invända mot försäljning/delning av personlig information — vi säljer eller delar inte dina uppgifter; det finns inget att invända mot.
- Rätt att begränsa användningen av känslig personlig information — känslig information (ditt dagboksinnehåll) används inte utöver de ändamål som anges i §5.
- Rätt att inte utsättas för diskriminering på grund av att du utövar dina rättigheter.
Hur kan du utöva dina rättigheter?
Skicka ett mejl till [email protected] med ämnesraden Begäran om integritet och ange vilken rättighet du vill utöva. För att verifiera din identitet kan vi begära ytterligare information (vanligen genom att be dig svara från den e-postadress som är registrerad på ditt konto). Enligt artikel 13 i KVKK och artikel 12 i dataskyddsförordningen behandlas din begäran inom senast 30 dagar. Om mer tid behövs underrättar vi dig om skälen och förväntad svarstid.
Om du önskar inkomma med en begäran genom ett ombud enligt CCPA kan vi ändå kontakta dig för att verifiera ombudets fullmakt.
Utövandet av dessa rättigheter är kostnadsfritt, om inte din begäran är uppenbart ogrundad eller överdriven.
Klagomålsmyndigheter
- Turkiet: Myndigheten för skydd av personuppgifter (KVKK) — https://www.kvkk.gov.tr/
- EU/EES: Dataskyddsmyndigheten i ditt land — https://edpb.europa.eu/about-edpb/about-edpb/members_en
- Storbritannien: Information Commissioner's Office — https://ico.org.uk/
- Kalifornien: California Privacy Protection Agency — https://cppa.ca.gov/
11. Säkerhetsåtgärder
Datasäkerheten beaktas redan i designstadiet. De tekniska och organisatoriska åtgärder som tillämpas omfattar bland annat:
- Kryptering vid överföring — all nätverkstrafik krypteras med TLS 1.2+.
- Kryptering vid lagring — Google Clouds AES-256-kryptering på serversidan.
- Autentisering — Firebase Auth; lösenord lagras aldrig i klartext.
- App Check — Apple App Attest i produktionsbygget; förfrågningar från ej betrodda källor avvisas.
- Apple DeviceCheck — förhindrar missbruk vid onboarding-test.
- Strikta säkerhetsregler för Firestore — varje användare kan endast läsa och skriva sina egna uppgifter.
- Isolering av känsliga uppgifter — app-låskoden lagras endast i iOS-nyckelringen; biometriska uppgifter stannar i Apple Secure Enclave.
- PII-minimerade loggar — dagboksinnehåll inkluderas inte i serverloggar; endast metadata som behövs för drift och felsökning (användar-ID, händelsetyp, status) loggas.
- Hemlighetshantering — API-nycklar (OpenAI, RevenueCat, Apple DeviceCheck) lagras i Firebase Secret Manager; de finns inte i koden.
Eftersom inget system är helt säkert vidtas följande åtgärder vid upptäckt av en personuppgiftsincident:
- Anmälan till Myndigheten för skydd av personuppgifter inom 72 timmar enligt artikel 12.5 i KVKK;
- Underrättelser direkt till boende i EU/EES och till berörda myndigheter enligt artiklarna 33–34 i dataskyddsförordningen.
12. Barn
Thanxful riktar sig inte till barn under 13 år. För att kunna använda tjänsten måste du vara minst 13 år (se Användarvillkoren §3). Om du är mellan 13 och 16 år (åldersgränsen för digitalt samtycke i vissa EU-medlemsstater) kan lagstiftningen i ditt land kräva samtycke från vårdnadshavare. Enligt artikel 15 i den turkiska civillagen (TMK) saknar minderåriga under 18 år full rättshandlingsförmåga, och för en användare under 18 år krävs samtycke från vårdnadshavare.
Vi samlar inte medvetet in personuppgifter från barn under 13 år. Om du som vårdnadshavare misstänker att ditt barn har delat information utan din vetskap, skriv till [email protected]; uppgifterna kommer att raderas.
Appens åldersgräns på App Store (4+) anger att appens innehåll är lämpligt för alla åldrar (inget våld, sexuellt innehåll eller grovt språk). Denna innehållsklassificering ändrar inte förbudet mot avtal under 13 år.
Det finns ingen separat ålderskontroll (age gate) för användare i onboarding; minimiåldern tillämpas genom skriftligt avtal — ett tillvägagångssätt som är vanligt inom dagboks- och välmåendeappar.
13. Information enligt Kalifornien (CCPA / CPRA)
Om du är bosatt i Kalifornien gäller detta avsnitt för dig utöver resten av denna policy.
Insamlade kategorier av personlig information (de senaste 12 månaderna)
| CCPA-kategori | Samlas in? | Källa | Ändamål | Delas med |
|---|---|---|---|---|
| Identifierare (e-post, användar-ID, enhets-ID) | Ja | Du; din enhet | Konto, säkerhet, analys | Firebase, RevenueCat |
| Kalifornisk kundregisterinformation (Cal. Civ. Code §1798.80) | Ja (namn) | Du | Konto | Firebase |
| Skyddade klassificeringar | Nej | — | — | — |
| Kommersiell information (prenumerationshistorik) | Ja | Apple, RevenueCat | Tillhandahållande av prenumeration | RevenueCat |
| Biometrisk information | Nej (Face ID stannar på enheten) | — | — | — |
| Internet- / nätverksaktivitet | Begränsad (apphändelser, kraschrapporter) | Din enhet | Analys, tillförlitlighet | Firebase |
| Plats | Endast på grov nivå (land / tidszon) | Din enhet | Lokalisering av innehåll | Firebase |
| Ljud / bild | Profilbild (valfritt) | Du | Profil | Firebase Storage |
| Yrkes- eller anställningsinformation | Nej | — | — | — |
| Utbildning | Nej | — | — | — |
| Slutsatser | Nej | — | — | — |
| Känslig personlig information | Dagboksinnehållet anses känsligt | Du | AI-insikter (endast med samtycke) | OpenAI, Google Gemini |
Dina rättigheter i Kalifornien
- Vetskap / tillgång — se §10.
- Radering / rättelse — se §10.
- Invändning mot försäljning / delning — vi säljer eller delar inte din personliga information; det finns inget att invända mot.
- Begränsning av användning av känslig information — känslig information (ditt dagboksinnehåll) används endast för de ändamål som beskrivs i §6 och med ditt uttryckliga samtycke.
- Icke-diskriminering — när du utövar dessa rättigheter begränsas inte din åtkomst till tjänsten, du debiteras inte annat pris och du erbjuds inte annan kvalitet.
För att skicka in en begäran skriv till [email protected] med ämnesraden California Privacy Request. Vi verifierar din identitet via den e-post som är registrerad på kontot.
Vi erbjuder inga ekonomiska incitament i utbyte mot personlig information.
14. Cookies och liknande tekniker
Inom iOS-appen: webbcookies används inte. Appen lagrar endast på din enhet små inställningar (såsom tema, språk, notisinställning) i UserDefaults och app-låskoden i iOS-nyckelringen. Dessa uppgifter delas inte med oss eller tredje part.
På thanxful.app: Per ikraftträdandedatumet för denna policy använder marknadsföringssidan inte cookies, web-beacons eller tredjeparts analyssystem. Om sådana läggs till längre fram uppdateras detta avsnitt, en cookie-samtyckesruta (cookie banner) visas på webbplatsen och förändringen behandlas som en väsentlig förändring enligt §15.
15. Ändringar i policyn
Denna policy kan komma att uppdateras från tid till annan. För väsentliga förändringar (förändringar som påverkar dina rättigheter eller hur dina uppgifter behandlas) underrättas du via e-post och in-app-meddelande minst 30 dagar innan ändringen träder i kraft. Vid icke väsentliga förändringar (rättning av stavfel, förtydliganden) uppdateras dokumentet och ikraftträdandedatumet överst uppdateras.
Om du inte godtar den nya versionen kan du sluta använda tjänsten och radera ditt konto innan ikraftträdandedatumet.
16. Kontakt
För alla frågor, förfrågningar eller klagomål rörande integritet:
- E-post:
[email protected](ämne:Integritet) - Personuppgiftsansvarig: Kadir Alan — enskild firma / enskild näringsidkare (şahıs şirketi), Turkiet
Om du behöver en fysisk delgivningsadress, skriv först till oss på [email protected]; adress lämnas på begäran.
De tillsynsmyndigheter du kan vända dig till med klagomål är angivna i §10.
17. Ordlista
- KVKK — Lag nr 6698 om skydd av personuppgifter (Turkiet).
- GDPR — Europeiska unionens allmänna dataskyddsförordning (förordning (EU) 2016/679).
- CCPA / CPRA — California Consumer Privacy Act, i dess ändrade lydelse genom California Privacy Rights Act.
- COPPA — Children's Online Privacy Protection Act (USA, under 13 år).
- FCM — Firebase Cloud Messaging (notisinfrastruktur).
- Särskilda kategorier av personuppgifter / känsliga uppgifter — uppgifter om hälsa, religion, politiska åsikter, sexualliv eller fackliga band m.fl. som omfattas av förstärkt skydd enligt artikel 6 i KVKK och artikel 9 i dataskyddsförordningen.
- Personuppgiftsansvarig — den fysiska eller juridiska person som bestämmer ändamålen och medlen för behandlingen av personuppgifter och som ansvarar för upprättandet och förvaltningen av personuppgiftsregistret (här: Kadir Alan).
- Uttryckligt samtycke — ett samtycke som avser en bestämd fråga, är baserat på information och lämnas av fri vilja.
Tack för att du anförtror oss din tacksamhetsresa.
— Thanxful