GDPR 合规性
通用数据保护条例 (欧盟) 2016/679
最后更新: 11.02.2026
本政策自2026年2月11日起生效。
1. 引言
PetNexa 致力于根据通用数据保护条例 (欧盟) 2016/679(“GDPR”)保护个人数据的隐私和安全。本文件概述了我们如何处理和保护欧洲经济区 (EEA) 用户的个人数据,并描述了您作为数据主体的权利。
对于土耳其的用户,另请参阅我们的KVKK信息通知。
2. 数据控制者
Furkan Hidayet Alkan 担任通过 PetNexa 移动应用程序和网站收集的个人数据的数据控制者。
数据控制者:Furkan Hidayet Alkan
联系方式:furkan.alkan.1293@gmail.com
地址:Mehmet Akif Ersoy Mah. Arnavutoğlu Cad. 12_1 A/20 Merkez / Kastamonu
作为处理欧洲经济区居民数据的土耳其控制者,我们致力于确保符合 GDPR。如需 GDPR 相关咨询,请通过以下方式联系我们:furkan.alkan.1293@gmail.com
3. 处理的法律依据
我们根据 GDPR 第6条中定义的以下法律依据处理个人数据:
- 同意 (第6(1)(a)条):AI 兽医功能使用、营销通信、可选分析 (PostHog)、广告个性化 (AdMob)
- 合同履行 (第6(1)(b)条):账户创建和管理、宠物健康追踪服务、家庭共享功能、订阅管理、推送通知发送
- 法律义务 (第6(1)(c)条):税务记录保存、遵守数据保留法律、响应合法机构请求
- 合法利益 (第6(1)(f)条):服务改进和分析、应用程序安全和欺诈预防、错误追踪和崩溃报告 (Sentry)、账户安全会话管理
4. 您在 GDPR 下的权利
作为欧洲经济区居民,您在 GDPR 下拥有以下权利:
访问权 (第15条)
您可以请求获取我们持有的所有关于您的个人数据的副本,包括处理目的、数据类别、接收者和保留期限。
更正权 (第16条)
您可以请求更正不准确的个人数据或补充不完整的数据。您也可以直接通过应用程序设置更新大部分数据。
删除权 (第17条)
您可以请求删除您的个人数据(“被遗忘权”)。账户删除功能可在应用程序的“账户设置”中直接使用。删除后,所有个人数据将在30天内移除。
限制处理权 (第18条)
在以下情况下,您可以请求限制处理:我们正在验证数据的准确性、处理是非法的,或者您已对处理提出异议,等待合法理由的验证。
数据可移植权 (第20条)
您可以请求以结构化、常用、机器可读的格式 (JSON) 获取您的数据。数据导出功能可在应用程序的“账户设置”>“我的数据”部分获取。
异议权 (第21条)
您可以反对基于合法利益 (第6(1)(f)条) 或用于直接营销目的的处理。除非我们能证明具有令人信服的合法理由,否则我们将停止处理。
撤回同意权 (第7(3)条)
如果处理是基于同意的,您可以在任何时候撤回同意,且不影响撤回前基于同意进行处理的合法性。您可以通过应用程序设置管理同意。
与自动化决策相关的权利 (第22条)
您有权不受仅基于自动化处理并产生法律效力的决策的影响。我们的 AI 兽医功能不会产生具有法律约束力的决策。
5. 数据处理活动
下表详细说明了我们根据 GDPR 第30条进行的数据处理活动:
| 目的 | 数据类别 | 法律依据 | 保留期限 |
|---|---|---|---|
| 账户创建与管理 | 姓名、电子邮件、个人资料照片、身份验证提供商 | 合同 (第6(1)(b)条) | 账户生命周期 + 30天 |
| 身份验证 | OAuth 令牌、会话 ID、设备 ID | 合同 (第6(1)(b)条) | 会话持续时间 |
| 宠物健康追踪 | 宠物详情、健康记录、疫苗接种、药物 | 合同 (第6(1)(b)条) | 账户生命周期 + 30天 |
| 预约提醒 | 预约日期、推送通知令牌 | 合同 (第6(1)(b)条) | 直至预约日期 + 7天 |
| 疫苗提醒 | 疫苗接种计划、通知偏好 | 合同 (第6(1)(b)条) | 账户生命周期 |
| AI 兽医 | 问题、AI 回复、宠物上下文数据 | 同意 (第6(1)(a)条) | 90天 |
| 家庭共享 | 家庭组数据、成员角色、任务分配 | 合同 (第6(1)(b)条) | 账户生命周期 |
| 推送通知 | 设备令牌、通知偏好、OneSignal 外部 ID | 合同 (第6(1)(b)条) | 直至令牌失效 |
| 订阅管理 | 订阅等级、购买历史、RevenueCat 客户 ID | 合同 (第6(1)(b)条) | 5年 (税务义务) |
| 分析 | 使用事件、屏幕视图、功能交互 | 同意 / 合法利益 (第6(1)(f)条) | 24个月 |
| 错误追踪 | 崩溃报告、错误日志、设备信息 | 合法利益 (第6(1)(f)条) | 90天 |
| 广告 | AdMob 设备标识符、广告互动数据 | 同意 (第6(1)(a)条) | 根据 Google 的保留政策 |
| 会话安全 | 会话 ID、设备指纹、登录时间戳 | 合法利益 (第6(1)(f)条) | 6个月 |
| 电子邮件通信 | 电子邮件地址、电子邮件互动数据 | 合同 / 同意 | 账户生命周期 / 直至撤回 |
6. 国际数据传输
您的数据可能会被传输到欧洲经济区以外的国家并进行处理。我们根据 GDPR 第五章通过以下机制确保充分保护:
| 服务提供商 | 国家 | 目的 | 传输保障措施 |
|---|---|---|---|
| Neon (PostgreSQL) | 美国 | 主数据库 | 标准合同条款 (SCCs) |
| Google Cloud | 美国 | OAuth 身份验证 | 欧盟-美国数据隐私框架 |
| Apple | 美国 | 使用 Apple 登录 | 标准合同条款 |
| OneSignal | 美国 | 推送通知 | 标准合同条款 |
| Expo (EAS) | 美国 | 推送通知 (备用) | 标准合同条款 |
| RevenueCat | 美国 | 订阅管理 | 标准合同条款 |
| PostHog | 欧盟/美国 | 产品分析 | 欧盟托管选项 / SCCs |
| Sentry | 美国 | 错误监控 | 标准合同条款 |
| Google AdMob | 美国 | 广告 | 欧盟-美国数据隐私框架 |
| OpenAI | 美国 | AI 兽医 | 标准合同条款 |
| Resend | 美国 | 电子邮件发送 | 标准合同条款 |
除了合同保障措施外,我们还实施了补充技术措施,包括传输中 (TLS 1.3) 和静态加密、尽可能进行假名化以及访问控制,以最大程度地降低与国际传输相关的风险。
7. 数据安全
我们根据 GDPR 第32条实施了适当的技术和组织措施,包括:
- 传输中 (TLS/SSL) 和静态数据加密
- OAuth 2.0 安全身份验证(不存储密码)
- 使用加密会话 ID 强制执行单设备会话
- 带有会话验证的 JWT 令牌身份验证
- 数据库访问控制和参数化查询
- 定期依赖项更新和安全监控
- 具有明确升级路径的事件响应程序
- 数据收集和处理中的数据最小化
8. 数据泄露通知
根据 GDPR 第33条和第34条:
- 我们将在发现个人数据泄露后72小时内通知相关监管机构,如果该泄露可能对个人权利和自由造成风险
- 当泄露可能对数据主体的权利和自由造成高风险时,我们将不无故拖延地通知受影响的数据主体
- 我们维护一份内部泄露登记册,记录所有泄露事件、其影响和采取的补救措施
- 通知将包括泄露的性质、受影响数据主体的类别和大致数量、可能造成的后果以及为解决泄露而采取或提议的措施
9. 自动化决策与人工智能
我们的 AI 兽医功能使用由 AI 语言模型 (OpenAI) 提供支持的自动化处理,以提供宠物健康信息和指导。
- AI 功能不会产生对用户具有法律或类似重大影响的决策
- AI 回复仅供参考,不构成兽医医疗建议
- 不进行产生法律效力的画像分析
- 发送给 AI 的宠物数据仅限于查询所需,不用于模型训练
- 您有权要求对任何 AI 生成的输出进行人工审查
- 您可以选择不使用 AI 兽医功能;它是完全可选且基于同意的
10. Cookie 和追踪技术
有关我们使用 Cookie 和类似追踪技术的详细信息,包括如何管理您的偏好,请参阅我们的 Cookie 政策。 Cookie政策
根据 GDPR 和 ePrivacy 指令,我们在设置非必要 Cookie 之前会征得您的同意。根据法律允许,网站运营所需的必要 Cookie 无需征得同意即可放置。
11. 儿童数据
我们的服务不面向16岁以下的儿童(根据 GDPR 第8条)。我们不会故意收集16岁以下儿童的个人数据。如果我们发现无意中收集了16岁以下儿童的个人数据,我们将立即采取措施删除此类数据。如果您认为16岁以下儿童向我们提供了个人数据,请立即联系我们。
12. 行使您的权利
要行使您的 GDPR 权利,您可以使用以下方法:
- 应用内:“账户设置”>“我的数据”(用于数据导出、删除和偏好管理)
- 电子邮件:furkan.alkan.1293@gmail.com(主题:GDPR 请求)
- 请提供您的全名、与您账户关联的电子邮件以及您希望行使的具体权利
我们将在30天内回复您的请求。对于复杂或数量众多的请求,此期限可能会额外延长60天,在这种情况下,我们将在最初的30天期限内通知您延期。我们将在处理您的请求之前验证您的身份。
13. 监管机构
如果您认为您的数据保护权利受到侵犯,您有权向您所在欧盟/欧洲经济区成员国的数据保护监管机构提出投诉。您也可以向土耳其个人数据保护局 (KVKK) 提出投诉,作为控制者管辖权的机构。
14. 本政策的变更
我们可能会不时更新本 GDPR 合规政策,以反映我们实践、服务或法律要求的变化。我们将通过应用程序或电子邮件通知您重大变更。本页面顶部的“最后更新”日期表示本政策的最新修订时间。在变更后继续使用我们的服务即表示接受更新后的政策。
15. 联系信息
数据控制者:Furkan Hidayet Alkan
电子邮件:furkan.alkan.1293@gmail.com
地址:Mehmet Akif Ersoy Mah. Arnavutoğlu Cad. 12_1 A/20 Merkez / Kastamonu
GDPR 请求:furkan.alkan.1293@gmail.com(主题:GDPR 请求)