GERMAN
1. Verantwortlicher
Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:
Heinz Mayr
Fischachstraße 27
Österreich
E-Mail: zachbaibai@gmail.com
2. Datenschutzbeauftragter
Für alle Fragen rund um den Datenschutz und zur Ausübung Ihrer Rechte wenden Sie sich bitte an
unseren Datenschutzbeauftragten:
Heinz Mayr
E-Mail: zachbaibai@gmail.com
3. Kategorien verarbeiteter personenbezogener Daten
Im Rahmen der Nutzung unserer App (“Meet & Drink”) erheben und verarbeiten wir folgende
Datenkategorien:
1. Benutzer- und Profildaten
• Vor- und Nachname (sofern freiwillig angegeben)
• Benutzername / Anzeigename
• E-Mail-Adresse
• Profilbild (wenn hochgeladen)
• Passwort (verschlüsselt gespeichert)
2. Kontaktdaten & Kommunikation
• Inhalte und Metadaten von Support-Anfragen (z. B. Text der E-Mail, Datum, Uhrzeit)
3. Standortdaten
• GPS-Koordinaten (Breiten- und Längengrad) mit Zeitstempel und Genauigkeit (in Metern)
a) Standortdaten im Rahmen von Bonierungs-Uploads für Freunde
b) Radius-/Umgebungs-Sharing (“Umgebungsbonierung”): Exakte Standortdaten, die für fremde
Nutzer im konfigurierten Umkreis sichtbar werden (opt-in in den Profileinstellungen)
c) Standortverlauf / Historie: Langfristige Speicherung von Standortdaten, damit Nutzer eine
persönliche Historie ihrer besuchten Orte einsehen können
4. Geräte- und Metadaten
• Geräte-ID (z. B. UUID des Mobilgeräts)
• Betriebssystem (z. B. Android-Version, iOS-Version)
• App-Version
• IP-Adresse (zur Abwehr von Angriffen und Gewährleistung der Sicherheit)
• Logdaten (Zeitpunkt des App-Starts, Dauer der Nutzung, Fehlermeldungen / Crash-Reports, ggf.
anonymisierte Debug-Informationen)
5. Sonstige Daten
• Push-Token für Push-Benachrichtigungen
4. Zwecke der Verarbeitung und jeweilige Rechtsgrundlagen
Zweck der Verarbeitung: Bereitstellung und Verwaltung des Nutzerkontos
Verarbeitete Daten: Profildaten, Kontaktdaten, Geräte- und Metadaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer / Erläuterung: Bis zur Löschung des Accounts (gesetzliche Aufbewahrungspflichten, z.
B. für buchhalterische Zwecke)
Zweck der Verarbeitung: Bonier-Funktion für Freunde – Veröffentlichung und Anzeige von Stories an
in der App bestätigte Freunde, ggf. mit Standortdaten (einmalig)
Verarbeitete Daten: Standortdaten, Story-Inhalte (Bilder, Videos), Zeitstempel, Profildaten
(Verknüpfung), Geräte- und Metadaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung)
Speicherdauer / Erläuterung: Dauerhafte Speicherung für Historie
Zweck der Verarbeitung: Radius-/Umgebungs-Sharing (“Umgebungsbonierung”) für Fremde (opt-in)
Verarbeitete Daten: Exakte Standortdaten, Story-Inhalte, Zeitstempel, Profildaten, Geräte- und
Metadaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Speicherdauer / Erläuterung: Bis Widerruf der Einwilligung oder Löschung des Accounts, längstens
jedoch 10 Jahre. Bereits gespeicherte Daten werden bei Widerruf innerhalb von 30 Tagen gelöscht.
Zweck der Verarbeitung: Langfristige Speicherung des Standortverlaufs / Historie (opt-in)
Verarbeitete Daten: Chronologische Standortdaten (GPS, Timestamp, Genauigkeit), Geräte- und
Metadaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung)
Speicherdauer / Erläuterung: Bis Widerruf der Einwilligung oder Löschung des Accounts, längstens
jedoch 10 Jahre. Bereits gespeicherte Daten werden bei Widerruf innerhalb von 30 Tagen gelöscht.
Zweck der Verarbeitung: Technische und organisatorische Sicherheit (Log-/Fehlerdaten)
Verarbeitete Daten: IP-Adresse, Logdaten (Crash-Reports, Login-Versuche), Geräte- und Metadaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Speicherdauer / Erläuterung: Max. 7 Tage, danach Anonymisierung oder vollständige Löschung,
sofern nicht lokal für die Dauer eines Support-Falles benötigt.
Zweck der Verarbeitung: Kundenservice & Support
Verarbeitete Daten: E-Mail-Inhalte und Metadaten aus Support-Anfragen, ggf. Chat-Verläufe,
Profildaten
Rechtsgrundlage: Art. 6 Abs. 1 lit. b (Vertragserfüllung) bzw. Art. 6 Abs. 1 lit. f (berechtigtes Interesse)
Speicherdauer / Erläuterung: Bis zur abschließenden Bearbeitung der Anfrage + 3 Monate
(Dokumentationszwecke).
Zweck der Verarbeitung: Anonyme App-Analyse (z. B. Nutzungsstatistiken)
Verarbeitete Daten: Geräte- und Metadaten (aggregiert, anonymisiert)
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse)
Speicherdauer / Erläuterung: Anonymisierte Daten werden dauerhaft gespeichert; keine Rückschlüsse
auf Personen möglich.
5. Einwilligung und Widerruf
1. Erteilung der Einwilligung
a) Radius-/Umgebungs-Sharing (“Umgebungsbonierung”)
Vor der erstmaligen Nutzung dieser Funktion wird dem Nutzer in einem eigenen
Einwilligungsdialog (Pop-up) nahezu wortgleich folgender Text präsentiert:
„Ich stimme zu, dass meine exakten Standortdaten (GPS-Koordinaten) zusammen mit den von mir
hochgeladenen Stories dauerhaft in einem Umkreis von [konfigurierbarer Radius, z. B. 500 Meter] für
andere Meet & Drink-Nutzer sichtbar gemacht werden. Ich kann diese Zustimmung jederzeit in den
App-Einstellungen widerrufen. Die vollständigen Informationen hierzu finde ich in der
Datenschutzerklärung unter § 4.3 sowie § 5.2 (Standortverlauf).“
– Der Nutzer muss eine Checkbox oder einen Schalter aktiv anklicken („Ich stimme zu“). Eine
vorausgewählte Checkbox ist unzulässig.
b) Langfristige Speicherung des Standortverlaufs / Historie
Im Rahmen eines zweiten, separaten Einwilligungsdialogs wird folgender Text angezeigt:
„Ich stimme zu, dass die Meet & Drink-App meine Standortdaten (GPS-Koordinaten) dauerhaft
speichert, um mir eine persönliche Historie meiner besuchten Orte (Zeitleiste und Kartenansicht)
bereitzustellen. Ich kann diese Einwilligung jederzeit in den App-Einstellungen widerrufen und meine
bereits gespeicherten Standortdaten vollständig löschen lassen.“
– Der Nutzer muss aktiv auf „Ich stimme zu“ klicken. Danach werden Standortdaten regelmäßig im
Hintergrund abgelegt (sofern die App entsprechende Sensorberechtigungen hat).
2. Dokumentation der Einwilligung
– Wir speichern pro Einwilligungsvorgang in einer geschützten Datenbanktabelle „UserConsent“
folgende Informationen:
• Benutzer-/Konto-ID
• Consent-Type (z. B. “Umgebungs-Sharing” oder “Standortverlauf”)
• Datum/Uhrzeit der Zustimmung (Timestamp)
• Version des Einwilligungstextes (z. B. Datum der Veröffentlichung der Datenschutzerklärung)
• Consent-Status („granted“ bzw. „revoked“)
– Das dient als Nachweis, sollte ein Nutzer später die Nichterteilung oder einen zeitlichen Ablauf
bestreiten.
3. Widerruf der Einwilligung
– Nutzer können ihre Einwilligung jederzeit in den App-Einstellungen unter „Profil → Einstellungen
→ Geodaten teilen“ bzw. „Umgebungsbonierung“ widerrufen.
– Nach Widerruf gilt:
• Radius-/Umgebungs-Sharing: Ab dem Zeitpunkt des Widerrufs werden keine neuen
Standortdaten mehr für das Radius-Sharing verarbeitet. Bereits veröffentlichte Stories bleiben ggf.
gemäß Speicherdauer bestehen, es sei denn, der Nutzer lässt diese löschen.
• Ein Widerruf berührt nicht die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung.
6. Speicherdauer und Speicherbegrenzung
1. Profildaten & Kontaktdaten
– Datenkategorien: Vor-/Nachname, Benutzername, E-Mail, Profilbild, Passwort (verschlüsselt)
– Speicherdauer: Bis zur Löschung des Nutzerkontos durch den Nutzer. Anschließend werden Daten
aufgrund gesetzlicher Aufbewahrungspflichten (z. B. steuerrechtliche Dokumente) für weitere 6
Monate gespeichert und danach vollständig gelöscht oder anonymisiert.
2. Story-Daten für Freunde
– Datenkategorien: Story-Inhalte (Bilder/Videos), Standortdaten, Zeitstempel, Profildaten zur
Verknüpfung
– Speicherdauer: Dauerhaft nach Upload. Löschung kann manuell beantragt werden.
3. Radius-/Umgebungs-Sharing-Daten
– Datenkategorien: Exakte Standortdaten (GPS), Story-Inhalte, Zeitstempel, Profildaten zur
Verknüpfung
– Speicherdauer bei aktiver Einwilligung: Bis die Einwilligung widerrufen wird oder das Konto
gelöscht wird, längstens jedoch 10 Jahre. Bei Widerruf (per Mail an zachbaibai@gmail.com) werden
bereits gespeicherte Daten innerhalb von 30 Tagen gelöscht.
4. Standortverlauf / Historie
– Datenkategorien: Chronologische Standortdaten (GPS mit Timestamp), Genauigkeit, Geräte- und
Metadaten
– Speicherdauer bei aktiver Einwilligung: Bis die Einwilligung widerrufen wird oder das Konto
gelöscht wird, längstens jedoch 10 Jahre. Bei Widerruf werden vorhandene Standortdaten innerhalb
von 30 Tagen vollständig gelöscht.
5. Technische Log- und Geräte-Daten
– Datenkategorien: IP-Adresse, Logereignisse (Login, Logout, Fehler), Crash-Reports (anonymisiert)
– Speicherdauer: Maximal 7 Tage. Danach anonymisiert oder gelöscht, sofern sie nicht im Rahmen
eines Support-Falles länger benötigt werden.
6. Daten im Rahmen des Kundenservice
– Datenkategorien: Support-Anfragen (E-Mail-Inhalte, Chat-Verläufe), Metadaten (Datum, Uhrzeit)
– Speicherdauer: Bis zur abschließenden Bearbeitung der Anfrage + 3 Monate
(Dokumentationszwecke).
7. Anonymisierte Nutzungsstatistiken
– Datenkategorien: Geräte- und Metadaten (anonymisiert, nicht personenbezogen)
– Speicherdauer: Unbegrenzt in anonymisierter Form, da keine Rückschlüsse auf einzelne Personen
mehr möglich sind.
7. Empfänger / Kategorien von Empfängern und Datenübermittlung
1. Auftragsverarbeiter (Art. 28 DSGVO)
Wir setzen externe Dienstleister (Auftragsverarbeiter) ein, die nach unserer Weisung Daten
verarbeiten. Diese Dienstleister haben jeweils keinen weiteren Zugriff auf personenbezogene Daten
außer dem, was sie zwingend benötigen, um ihre vertraglich vereinbarten Dienste zu erfüllen.
• Google Firebase (Datenhosting in EU-Rechenzentren)
– Verarbeitung von Nutzerdaten (Realtime Database, Firestore, Authentifizierung, Hosting, Cloud
Functions)
– Google Firebase ist vertraglich gemäß Art. 28 DSGVO gebunden, personenbezogene Daten nur
gemäß unseren Weisungen zu verarbeiten.
– Datenschutzbedingungen von Firebase: https://firebase.google.com/support/privacy
• Mailgun (E-Mail-Versanddienstleister)
– Versand von Bestätigungs- und Support-E-Mails
– Vertragliche Regelung gemäß Art. 28 DSGVO
– Datenschutzerklärung von Mailgun: https://www.mailgun.com/privacy/
2. Datenübermittlung in Drittländer
– Google Firebase hostet Daten ausschließlich in EU-Rechenzentren; es findet standardmäßig keine
Übertragung in Drittländer (z. B. USA) statt, sofern Sie keine entsprechenden Services optional
aktivieren.
– Sollten wir in der Zukunft weitere Services nutzen, die außerhalb der EU-/EWR-Länder verarbeitet
werden, informieren wir Sie rechtzeitig, und die Übermittlung erfolgt ausschließlich auf Grundlage
von EU-Standardvertragsklauseln (Art. 46 Abs. 2 lit. c DSGVO) oder einer
Angemessenheitsentscheidung der Europäischen Kommission.
3. Sonstige Empfänger
– Wir geben Ihre personenbezogenen Daten nicht an andere Dritte weiter, es sei denn, Sie haben
ausdrücklich eingewilligt (z. B. Radius-Sharing) oder wir sind gesetzlich dazu verpflichtet (z. B.
behördliche Anfragen, Gerichtsbeschluss).
9. Rechte der betroffenen Person
1. Auskunftsrecht (§ 15 DSGVO)
Sie können Auskunft darüber verlangen, ob und welche personenbezogenen Daten wir zu Ihrer
Person gespeichert haben. Wir informieren Sie über:
– Verarbeitete Datenkategorien
– Verarbeitungszwecke
– Empfänger bzw. Kategorien von Empfängern
– Geplante Speicherdauer oder Kriterien zur Festlegung der Speicherdauer
– Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder
Widerspruch
– Beschwerderecht bei einer Aufsichtsbehörde
– Herkunft der Daten (sofern nicht bei Ihnen erhoben)
2. Recht auf Berichtigung (§ 16 DSGVO)
Sie können die unverzügliche Berichtigung unrichtiger oder unvollständiger personenbezogener
Daten verlangen.
3. Recht auf Löschung (“Recht auf Vergessenwerden”, § 17 DSGVO)
Sie können die Löschung Ihrer personenbezogenen Daten verlangen, sofern einer der folgenden
Gründe zutrifft:
– Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig.
– Ein Widerruf der Einwilligung liegt vor und es fehlt an einer anderen Rechtsgrundlage.
– Sie haben Widerspruch gegen die Verarbeitung eingelegt und es sprechen keine vorrangigen
berechtigten Gründe dafür.
– Die Daten wurden unrechtmäßig verarbeitet.
Hinweis: Daten, zu denen gesetzliche Aufbewahrungspflichten bestehen (z. B. steuerrechtliche
Dokumente), werden gesperrt und nach Ablauf der Fristen gelöscht.
4. Recht auf Einschränkung der Verarbeitung (§ 18 DSGVO)
Sie können verlangen, dass die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt wird, z.
B. wenn:
– Die Richtigkeit der Daten von Ihnen bestritten wird, für die Dauer der Überprüfung.
– Die Verarbeitung unrechtmäßig ist und Sie statt Löschung die Einschränkung verlangen.
– Wir die Daten nicht länger benötigen, Sie sie jedoch zur Geltendmachung, Ausübung oder
Verteidigung von Rechtsansprüchen benötigen.
– Sie Widerspruch gegen die Verarbeitung eingelegt haben (solange noch nicht feststeht, ob
unsere berechtigten Gründe überwiegen).
5. Recht auf Datenübertragbarkeit (§ 20 DSGVO)
Sie können verlangen, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem
strukturierten, gängigen und maschinenlesbaren Format (z. B. CSV, JSON) zu erhalten. Sie können
diese Daten einem anderen Verantwortlichen übermitteln lassen, soweit dies technisch machbar ist.
6. Widerspruchsrecht (§ 21 DSGVO)
Sie haben das Recht, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten für Zwecke,
die auf unserem berechtigten Interesse beruhen (z. B. Logdaten-Speicherung, anonyme Statistiken),
Widerspruch einzulegen. Nach Ihrem Widerspruch verarbeiten wir Ihre Daten für diese Zwecke nicht
mehr, es sei denn, wir können zwingende, schutzwürdige Gründe nachweisen, die Ihre Interessen,
Rechte und Freiheiten überwiegen.
7. Widerruf von Einwilligungen (§ 7 Abs. 3 DSGVO)
Sie können eine erteilte Einwilligung (z. B. für Radius-/Umgebungs-Sharing oder Standortverlaufs-
Historie) jederzeit mit Wirkung für die Zukunft widerrufen, ohne dass hierfür andere als die
Übermittlungskosten nach den Basistarifen entstehen. Ein Widerruf berührt nicht die Rechtmäßigkeit
der bis zum Widerruf erfolgten Verarbeitung.
8. Beschwerderecht bei einer Aufsichtsbehörde
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen DSGVO
oder andere EU-Datenschutzvorschriften verstößt, können Sie eine Beschwerde bei einer zuständigen
Datenschutzaufsichtsbehörde einreichen. In Österreich ist dies die Österreichische
Datenschutzbehörde (Wickenburggasse 8, 1080 Wien, Tel.: +43 1 52 152-0, E-Mail: dsb@dsb.gv.at).
10. Technische Realisierung von Einwilligung und Widerruf
1. Einwilligungsvorgang (opt-in)
a) Radius-/Umgebungs-Sharing
– Direkt vor Nutzung der Funktion „Stories an alle Nutzer im Umkreis teilen“ zeigen wir einen
einseitigen Einwilligungsdialog an, der alle wesentlichen Informationen enthält (Zweck,
Datenkategorien, Widerrufsrecht, Link zur Datenschutzerklärung).
– Der Nutzer muss aktiv auf „Ich stimme zu“ klicken. Kein vorangehakter Checkbox.
– Erst nach Bestätigung wird die Funktion aktiviert und Standortdaten im Radius-Modus
verarbeitet.
b) Standortverlauf / Historie
– Beim ersten Aufruf der Funktion „Meine Standorthistorie anzeigen“ erscheint ein gesonderter
Dialogtext, in dem wir erklären, dass Standortdaten dauerhaft gespeichert werden, um eine Historie
bereitzustellen.
– Der Nutzer muss ebenfalls aktiv auf „Ich stimme zu“ klicken. Danach werden Standortdaten
regelmäßig im Hintergrund abgelegt (sofern die App entsprechende Berechtigungen hat).
2. Dokumentation der Einwilligung
– In einer Datenbanktabelle „UserConsent“ speichern wir:
• Benutzer-ID
• Consent-Type (z. B. „Umgebungs-Sharing“ oder „Standortverlauf“)
• Datum/Uhrzeit der Zustimmung (Timestamp)
• Version des Einwilligungstextes (Datum der Veröffentlichung der Datenschutzerklärung)
• Consent-Status („granted“ bzw. „revoked“)
3. Widerrufsvorgang
– Über das Menü „Profil → Einstellungen → Geodaten freigeben“ bzw. „Umgebungsbonierungen
aktivieren“ kann der Nutzer jederzeit per Schalter die jeweilige Einwilligung deaktivieren.
– Nach Widerruf werden ab diesem Zeitpunkt keine neuen Standortdaten mehr für die jeweilige
Funktion gespeichert.
11. Datenübermittlung in Drittländer
Derzeit werden Ihre Standort- und Nutzerdaten ausschließlich in Rechenzentren der Europäischen
Union gespeichert (Google Firebase, EU-Region). Wir nutzen keine Dienste, die personenbezogene
Daten in Drittländer übermitteln. Sollte dies künftig erforderlich werden (z. B. Einsatz eines neuen
Cloud-Anbieters außerhalb der EU), informieren wir Sie entsprechend und stellen sicher, dass eine
geeignete Rechtsgrundlage vorliegt (z. B. EU-Standardvertragsklauseln, Binding Corporate Rules).
12. Änderungen dieser Datenschutzerklärung
Wir behalten uns vor, diese Datenschutzerklärung zu ändern, wenn es erforderlich ist (z. B. durch
Weiterentwicklung unserer App, Änderung rechtlicher Anforderungen oder neuer Funktionen).
Änderungen werden wir mindestens 14 Tage vor Inkrafttreten über einen In-App-Hinweis und per E-
Mail an alle registrierten Nutzer ankündigen. In der App wird stets die aktuellste Version der
Datenschutzerklärung hinterlegt. Bitte prüfen Sie die Datenschutzerklärung regelmäßig auf
Aktualisierungen.
Stand dieser Datenschutzerklärung: 4. Juni 2025
Contact & Support
Bei Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte erreichen Sie uns unter:
E-Mail: zachbaibai@gmail.com
Adresse: Fischachstraße 27, 5101 Bergheim, Österreich
Aufsichtsbehörde
Österreichische Datenschutzbehörde
Wickenburggasse 8, 1080 Wien
Tel.: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Rechtsbehelfsbelehrung
Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen geltendes
Datenschutzrecht verstößt, können Sie sich bei der zuständigen Aufsichtsbehörde beschweren. In
Österreich ist dies die Österreichische Datenschutzbehörde (siehe obige Kontaktangaben).
ENGLISH
1. Controller
The controller for data processing in accordance with the EU General Data Protection Regulation
(GDPR) is:
Heinz Mayr
Fischachstraße 27
Austria
Email: zachbaibai@gmail.com
2. Data Protection Officer
For any questions regarding data protection and to exercise your rights, please contact our Data
Protection Officer:
Heinz Mayr
Email: zachbaibai@gmail.com
3. Categories of Personal Data Processed
When using our app (“Meet & Drink”), we collect and process the following categories of personal
data:
1. User and Profile Data
• First and last name (if voluntarily provided)
• Username / Display name
• Email address
• Profile picture (if uploaded)
• Password (stored encrypted)
2. Contact Data & Communication
• Content and metadata of support requests (e.g., email text, date, time)
3. Location Data
• GPS coordinates (latitude and longitude) with timestamp and accuracy (in meters)
a) Location data when uploading check-ins for friends
b) Radius/area sharing (“Area Check-in”): exact location data visible to other users within the
configured radius (opt-in in profile settings)
c) Location history: long-term storage of location data so that users can view a personal history of
places they visited
4. Device and Metadata
• Device ID (e.g., UUID of the mobile device)
• Operating system (e.g., Android version, iOS version)
• App version
• IP address (to prevent attacks and ensure security)
• Log data (app start time, usage duration, error messages/crash reports, possibly anonymized
debug information)
5. Other Data
• Push token for push notifications
4. Purposes of Processing and Legal Bases
Purpose of Processing: Provision and Management of User Account
Processed Data: Profile data, contact data, device and metadata
Legal Basis: Art. 6(1)(b) GDPR (performance of contract)
Retention Period / Explanation: Until account deletion (statutory retention periods, e.g., for
accounting purposes)
Purpose of Processing: “Check-in” Feature for Friends – Posting and displaying stories to app-
confirmed friends, possibly with location data (one-time)
Processed Data: Location data, story content (images, videos), timestamp, profile data (for linking),
device and metadata
Legal Basis: Art. 6(1)(b) GDPR (performance of contract)
Retention Period / Explanation: Permanently stored for history
Purpose of Processing: Radius/Area Sharing (“Area Check-in”) for Public (opt-in)
Processed Data: Exact location data, story content, timestamp, profile data, device and metadata
Legal Basis: Art. 6(1)(a) GDPR (consent)
Retention Period / Explanation: Until consent is withdrawn or account deleted, but no longer than 10
years. Upon withdrawal, previously stored data is deleted within 30 days.
Purpose of Processing: Long-Term Storage of Location History (opt-in)
Processed Data: Chronological location data (GPS, timestamp, accuracy), device and metadata
Legal Basis: Art. 6(1)(a) GDPR (consent)
Retention Period / Explanation: Until consent is withdrawn or account deleted, but no longer than 10
years. Upon withdrawal, existing location data is completely deleted within 30 days.
Purpose of Processing: Technical and Organizational Security (Log/Error Data)
Processed Data: IP address, log data (crash reports, login attempts), device and metadata
Legal Basis: Art. 6(1)(f) GDPR (legitimate interest)
Retention Period / Explanation: Maximum 7 days, then anonymized or fully deleted, unless required
locally for a support case.
Purpose of Processing: Customer Service & Support
Processed Data: Email content and metadata from support requests, possibly chat transcripts, profile
data
Legal Basis: Art. 6(1)(b) GDPR (performance of contract) or Art. 6(1)(f) GDPR (legitimate interest)
Retention Period / Explanation: Until final resolution of the request + 3 months (documentation
purposes).
Purpose of Processing: Anonymous App Analytics (e.g., usage statistics)
Processed Data: Device and metadata (aggregated, anonymized)
Legal Basis: Art. 6(1)(f) GDPR (legitimate interest)
Retention Period / Explanation: Anonymized data is stored indefinitely; no personal identification is
possible.
5. Consent and Withdrawal
1. Granting Consent
a) Radius/Area Sharing (“Area Check-in”)
Before using this feature for the first time, the user is shown a dedicated consent dialog (pop-up)
containing nearly word-for-word the following text:
“I agree that my exact location data (GPS coordinates), together with the stories I upload, be
made permanently visible to other Meet & Drink users within a radius of [configurable radius, e.g.,
500 meters]. I can withdraw this consent at any time in the app settings. Full details can be found in
the Privacy Policy under § 4.3 and § 5.2 (Location History).”
– The user must actively click a checkbox or switch (“I agree”). A pre-ticked checkbox is not
permitted.
b) Long-Term Storage of Location History
In a separate consent dialog, the following text is shown:
“I agree that the Meet & Drink app permanently stores my location data (GPS coordinates) to
provide me with a personal history of places I have visited (timeline and map view). I can withdraw
this consent at any time in the app settings and have my stored location data completely deleted.”
– The user must actively click “I agree.” Then location data is recorded in the background
(provided the app has the required sensor permissions).
2. Documentation of Consent
– We store, for each consent event in a protected database table “UserConsent,” the following
information:
• User/account ID
• Consent type (e.g., “Area Check-in” or “Location History”)
• Date/time of consent (timestamp)
• Version of the consent text (date of publication of the Privacy Policy)
• Consent status (“granted” or “revoked”)
– This serves as evidence if a user later disputes non-consent or timing.
3. Withdrawal of Consent
– Users can withdraw their consent at any time in the app settings under “Profile → Settings →
Share Location” or “Enable Area Check-Ins.”
– Upon withdrawal:
• Area Check-In: From that moment on, no new location data is processed for area check-ins.
Previously published stories remain stored according to their retention period unless the user
requests deletion.
• Withdrawal does not affect the lawfulness of processing performed up to the withdrawal.
6. Data Retention and Storage Limitation
1. Profile Data & Contact Data
– Data categories: First/last name, username, email, profile picture, password (encrypted)
– Retention period: Until the user deletes their account. After deletion, data subject to legal
retention (e.g., financial records) is stored for an additional 6 months and then deleted or
anonymized.
2. Story Data for Friends
– Data categories: Story content (images/videos), location data, timestamp, profile data for linking
– Retention period: Permanently after upload. Deletion can be requested manually.
3. Area Check-In Data
– Data categories: Exact location data (GPS), story content, timestamp, profile data for linking
– Retention period with active consent: Until consent is withdrawn or account is deleted, but no
longer than 10 years. Upon withdrawal (by email to zachbaibai@gmail.com), previously stored data is
deleted within 30 days.
4. Location History
– Data categories: Chronological location data (GPS with timestamp, accuracy), device and
metadata
– Retention period with active consent: Until consent is withdrawn or account is deleted, but no
longer than 10 years. Upon withdrawal, existing location data is fully deleted within 30 days.
5. Technical Log & Device Data
– Data categories: IP address, log events (login, logout, errors), anonymized crash reports
– Retention period: Maximum 7 days. Then anonymized or deleted, unless required longer for a
support case.
6. Customer Service Data
– Data categories: Support requests (email content, chat transcripts), metadata (date, time)
– Retention period: Until final resolution of the request + 3 months (documentation purposes).
7. Anonymous Usage Statistics
– Data categories: Device and metadata (anonymized, non-personal)
– Retention period: Indefinite in anonymized form, as no personal identification is possible.
7. Recipients / Categories of Recipients and Data Transfers
1. Processors (Art. 28 GDPR)
We use external service providers (processors) who process data on our behalf. These providers
have no further access to personal data beyond what is strictly necessary to perform their contractual
services.
• Google Firebase (EU data centers)
– Processing of user data (Realtime Database, Firestore, Authentication, Hosting, Cloud Functions)
– Firebase is contractually bound under Art. 28 GDPR to process personal data only according to
our instructions.
– Firebase Privacy Policy: https://firebase.google.com/support/privacy
• Mailgun (Email Delivery Service)
– Sending confirmation and support emails
– Contractual arrangement per Art. 28 GDPR
– Mailgun Privacy Policy: https://www.mailgun.com/privacy/
2. Transfers to Third Countries
– Google Firebase stores data exclusively in EU data centers; no default transfers to third countries
(e.g., USA) unless you enable such services.
– Should we use services outside the EU/EEA in the future, we will inform you in advance, and
transfers will be based on EU Standard Contractual Clauses (Art. 46(2)(c) GDPR) or an adequacy
decision by the European Commission.
3. Other Recipients
– We do not share your personal data with any other third parties unless you have expressly
consented (e.g., area check-in) or we are legally obliged to do so (e.g., regulatory requests, court
orders).
9. Data Subject Rights
1. Right of Access (§ 15 GDPR)
You may request information about whether and which personal data we have stored about you.
We will inform you about:
– Processed data categories
– Processing purposes
– Recipients or categories of recipients
– Planned retention period or criteria for determining retention
– Existence of right to rectification, erasure, restriction of processing, or objection
– Right to lodge a complaint with a supervisory authority
– Source of data (if not collected from you)
2. Right to Rectification (§ 16 GDPR)
You may request the prompt correction of inaccurate or incomplete personal data.
3. Right to Erasure (“Right to be Forgotten”, § 17 GDPR)
You may request the deletion of your personal data if one of the following applies:
– Data are no longer necessary for the purposes for which they were collected.
– Consent has been withdrawn and no other legal basis for processing exists.
– You have objected to processing and no overriding legitimate grounds exist.
– Data have been unlawfully processed.
Note: Data subject to statutory retention (e.g., tax records) will be blocked and deleted after these
retention periods expire.
4. Right to Restriction of Processing (§ 18 GDPR)
You may request restriction of processing if:
– You dispute the accuracy of the data, for the duration of verification.
– Processing is unlawful and you request restriction instead of erasure.
– We no longer need the data, but you require them to assert, exercise, or defend legal claims.
– You have objected to processing (until it is determined whether our legitimate grounds override
yours).
5. Right to Data Portability (§ 20 GDPR)
You may request to receive your personal data, which you have provided to us, in a structured,
commonly used, and machine-readable format (e.g., CSV, JSON) and transmit these data to another
controller if technically feasible.
6. Right to Object (§ 21 GDPR)
You may object at any time to the processing of your personal data for purposes based on
legitimate interest (e.g., log data storage, anonymous statistics). After your objection, we will no
longer process your data for these purposes unless we demonstrate compelling legitimate grounds
that override your interests, rights, and freedoms.
7. Withdrawal of Consent (§ 7(3) GDPR)
You may withdraw your consent at any time for processing based on consent (e.g., area check-in,
location history) without any cost beyond the basic transmission costs. Withdrawal does not affect
the lawfulness of processing carried out prior to withdrawal.
8. Right to Lodge a Complaint with a Supervisory Authority
If you believe that processing of your personal data violates the GDPR or other EU data protection
regulations, you may lodge a complaint with a competent supervisory authority. In Austria, this is the
Austrian Data Protection Authority (Wickenburggasse 8, 1080 Vienna, Tel.: +43 1 52 152-0, Email:
dsb@dsb.gv.at).
10. Technical Implementation of Consent and Withdrawal
1. Consent Process (opt-in)
a) Area Check-In
– Immediately before using “Share stories with all users nearby,” we display a one-page consent
dialog containing all essential information (purpose, data categories, withdrawal rights, link to Privacy
Policy).
– The user must actively click “I agree.” Pre-ticked checkboxes are not permitted.
– Only after confirmation is the feature activated and location data processed in area mode.
b) Location History
– On first access to “Show my location history,” a separate dialog appears explaining that location
data will be stored long-term to provide a history.
– The user must actively click “I agree.” Then location data is recorded in the background (if the
app has the necessary sensor permissions).
2. Documentation of Consent
– In a database table “UserConsent,” we store:
• User ID
• Consent type (e.g., “Area Check-In” or “Location History”)
• Date/time of consent (timestamp)
• Version of the consent text (date of Privacy Policy publication)
• Consent status (“granted” or “revoked”)
3. Withdrawal Process
– Via “Profile → Settings → Share Location” or “Enable Area Check-In,” the user can deactivate
consent at any time with a switch.
– After withdrawal, no new location data is stored for the respective function.
11. Transfers to Third Countries
Currently, your location and user data are stored exclusively in data centers within the European
Union (Google Firebase, EU region). We do not use any services that transfer personal data to non-EU
countries. Should this become necessary in the future (e.g., use of a new cloud provider outside the
EU), we will inform you accordingly and ensure an appropriate legal basis is in place (e.g., EU
Standard Contractual Clauses, Binding Corporate Rules).
12. Changes to This Privacy Policy
We reserve the right to amend this Privacy Policy if required (e.g., due to app updates, legal changes,
or new features). Changes will be announced at least 14 days before taking effect via an in-app notice
and by email to all registered users. The app will always display the latest version of the Privacy Policy.
Please review the Privacy Policy regularly for updates.
Effective Date: June 4, 2025
Contact & Support
For questions about data protection or exercising your rights, contact us at:
Email: zachbaibai@gmail.com
Address: Fischachstraße 27, 5101 Bergheim, Austria
Supervisory Authority
Austrian Data Protection Authority
Wickenburggasse 8, 1080 Vienna
Tel.: +43 1 52 152-0
Email: dsb@dsb.gv.at
Legal Remedies Note
If you believe that the processing of your personal data violates applicable data protection laws, you
may file a complaint with the competent supervisory authority. In Austria, this is the Austrian Data
Protection Authority (see contact details above).
ITALIAN
1. Titolare del trattamento
Responsabile del trattamento ai sensi del Regolamento Generale sulla Protezione dei Dati (GDPR) è:
Heinz Mayr
Fischachstraße 27
Austria
Email: zachbaibai@gmail.com
2. Responsabile della protezione dei dati
Per qualsiasi domanda relativa alla protezione dei dati e all’esercizio dei tuoi diritti, rivolgiti al nostro
Responsabile della protezione dei dati:
Heinz Mayr
Email: zachbaibai@gmail.com
3. Categorie di dati personali trattati
Quando utilizzi la nostra app (“Meet & Drink”), raccogliamo e trattiamo le seguenti categorie di dati
personali:
1. Dati utente e profilo
• Nome e cognome (se fornito volontariamente)
• Nome utente / nome visualizzato
• Indirizzo email
• Immagine del profilo (se caricata)
• Password (memorizzata cifrata)
2. Dati di contatto e comunicazione
• Contenuti e metadati delle richieste di supporto (es. testo dell’email, data, ora)
3. Dati di posizione
• Coordinate GPS (latitudine e longitudine) con timestamp e accuratezza (in metri)
a) Dati di posizione per il caricamento di “check-in” per amici
b) Condivisione area (“Area Check-in”): dati di posizione precisi visibili ad altri utenti entro un
raggio configurabile (opt-in nelle impostazioni del profilo)
c) Cronologia della posizione: memorizzazione a lungo termine dei dati di posizione, affinché gli
utenti possano visualizzare una cronologia personale dei luoghi visitati
4. Dati del dispositivo e metadati
• ID del dispositivo (es. UUID del dispositivo mobile)
• Sistema operativo (es. versione Android, versione iOS)
• Versione dell’app
• Indirizzo IP (per prevenire attacchi e garantire la sicurezza)
• Dati di log (ora di avvio dell’app, durata dell’utilizzo, messaggi di errore / segnalazioni di crash,
eventualmente informazioni di debug anonimizzate)
5. Altri dati
• Token push per le notifiche push
4. Finalità del trattamento e basi giuridiche
Finalità del trattamento: Fornitura e gestione dell’account utente
Dati trattati: Dati del profilo, dati di contatto, dati del dispositivo e metadati
Base giuridica: Art. 6(1)(b) GDPR (esecuzione del contratto)
Periodo di conservazione / Spiegazione: Fino alla cancellazione dell’account (obblighi di
conservazione di legge, es. per finalità contabili)
Finalità del trattamento: Funzione “Check-in” per amici – Pubblicazione e visualizzazione di storie agli
amici confermati nell’app, eventualmente con dati di posizione (una tantum)
Dati trattati: Dati di posizione, contenuto delle storie (immagini, video), timestamp, dati del profilo
(collegamento), dati del dispositivo e metadati
Base giuridica: Art. 6(1)(b) GDPR (esecuzione del contratto)
Periodo di conservazione / Spiegazione: Conservazione permanente per la cronologia
Finalità del trattamento: Condivisione area (“Area Check-in”) per terzi (opt-in)
Dati trattati: Dati di posizione precisi, contenuto delle storie, timestamp, dati del profilo, dati del
dispositivo e metadati
Base giuridica: Art. 6(1)(a) GDPR (consenso)
Periodo di conservazione / Spiegazione: Fino al ritiro del consenso o alla cancellazione dell’account,
ma non più di 10 anni. In caso di ritiro, i dati già memorizzati vengono cancellati entro 30 giorni.
Finalità del trattamento: Conservazione a lungo termine della cronologia della posizione (opt-in)
Dati trattati: Dati di posizione cronologici (GPS, timestamp, accuratezza), dati del dispositivo e
metadati
Base giuridica: Art. 6(1)(a) GDPR (consenso)
Periodo di conservazione / Spiegazione: Fino al ritiro del consenso o alla cancellazione dell’account,
ma non più di 10 anni. In caso di ritiro, i dati di posizione esistenti vengono completamente cancellati
entro 30 giorni.
Finalità del trattamento: Sicurezza tecnica e organizzativa (dati di log / errore)
Dati trattati: Indirizzo IP, dati di log (segnalazioni di crash, tentativi di accesso), dati del dispositivo e
metadati
Base giuridica: Art. 6(1)(f) GDPR (interesse legittimo)
Periodo di conservazione / Spiegazione: Massimo 7 giorni, quindi anonimizzazione o cancellazione
completa, salvo necessità per un caso di supporto.
Finalità del trattamento: Assistenza clienti e supporto
Dati trattati: Contenuti e metadati delle email di supporto, eventuali chat, dati del profilo
Base giuridica: Art. 6(1)(b) GDPR (esecuzione del contratto) o Art. 6(1)(f) GDPR (interesse legittimo)
Periodo di conservazione / Spiegazione: Fino alla risoluzione definitiva della richiesta + 3 mesi (per
scopi documentali).
Finalità del trattamento: Analisi anonima dell’app (es. statistiche d’uso)
Dati trattati: Dati del dispositivo e metadati (aggregati, anonimizzati)
Base giuridica: Art. 6(1)(f) GDPR (interesse legittimo)
Periodo di conservazione / Spiegazione: Dati anonimizzati conservati permanentemente; non è
possibile risalire a persone.
5. Consenso e revoca
1. Rilascio del consenso
a) Condivisione area (“Area Check-in”)
Prima di utilizzare questa funzionalità per la prima volta, all’utente viene mostrato un dialogo di
consenso separato contenente praticamente lo stesso testo:
“Acconsento che i miei dati di posizione esatti (coordinate GPS), insieme alle storie che carico,
siano resi permanentemente visibili agli altri utenti di Meet & Drink entro un raggio di [raggio
configurabile, es. 500 metri]. Posso revocare questo consenso in qualsiasi momento nelle
impostazioni dell’app. Le informazioni complete si trovano nell’Informativa sulla privacy ai paragrafi §
4.3 e § 5.2 (Cronologia posizione).”
– L’utente deve cliccare attivamente una casella di controllo o un interruttore (“Acconsento”). Una
casella pre-selezionata non è consentita.
b) Conservazione a lungo termine della cronologia della posizione
In un secondo dialogo di consenso viene visualizzato il seguente testo:
“Acconsento che l’app Meet & Drink memorizzi permanentemente i miei dati di posizione
(coordinate GPS) per fornirmi una cronologia personale dei luoghi visitati (timeline e vista mappa).
Posso revocare questo consenso in qualsiasi momento nelle impostazioni dell’app e richiedere la
cancellazione completa dei miei dati di posizione già memorizzati.”
– L’utente deve cliccare attivamente “Acconsento”. Successivamente i dati di posizione vengono
registrati regolarmente in background (se l’app dispone delle necessarie autorizzazioni ai sensori).
2. Documentazione del consenso
– Per ogni evento di consenso, in una tabella di database protetta “UserConsent” salviamo:
• ID utente / account
• Tipo di consenso (es. “Area Check-in” o “Cronologia posizione”)
• Data/orario del consenso (timestamp)
• Versione del testo di consenso (data di pubblicazione dell’Informativa sulla privacy)
• Stato del consenso (“granted” o “revoked”)
– Ciò serve come prova nel caso in cui l’utente contesti la mancata concessione o la data di rilascio.
3. Revoca del consenso
– Gli utenti possono revocare il proprio consenso in qualsiasi momento nelle impostazioni dell’app,
sotto “Profilo → Impostazioni → Condividi posizione” o “Abilita Area Check-In”.
– Dopo la revoca:
• Area Check-In: Da quel momento in poi non verranno più elaborati nuovi dati di posizione per
l’Area Check-In. Le storie già pubblicate rimarranno memorizzate secondo i tempi di conservazione
previsti, a meno che l’utente non richieda la loro rimozione.
– La revoca non pregiudica la liceità del trattamento effettuato prima della revoca.
6. Durata della conservazione dei dati e limitazione della conservazione
1. Dati del profilo & contatti
– Categorie di dati: nome e cognome, nome utente, email, foto del profilo, password (cifrata)
– Periodo di conservazione: Fino alla cancellazione dell’account da parte dell’utente.
Successivamente, i dati soggetti a obblighi di conservazione legale (es. documenti fiscali) vengono
mantenuti per altri 6 mesi e poi completamente cancellati o anonimizzati.
2. Dati delle storie per amici
– Categorie di dati: contenuto delle storie (immagini, video), dati di posizione, timestamp, dati del
profilo per collegamento
– Periodo di conservazione: Permanente dopo l’upload. La cancellazione può essere richiesta
manualmente.
3. Dati dell’Area Check-In
– Categorie di dati: dati di posizione precisi (GPS), contenuto delle storie, timestamp, dati del profilo
per collegamento
– Periodo di conservazione con consenso attivo: Fino al ritiro del consenso o alla cancellazione
dell’account, ma non oltre 10 anni. Alla revoca (per email a zachbaibai@gmail.com), i dati già
memorizzati vengono cancellati entro 30 giorni.
4. Cronologia della posizione
– Categorie di dati: dati di posizione cronologici (GPS con timestamp, accuratezza), dati del
dispositivo e metadati
– Periodo di conservazione con consenso attivo: Fino al ritiro del consenso o alla cancellazione
dell’account, ma non oltre 10 anni. Alla revoca, i dati esistenti vengono completamente cancellati
entro 30 giorni.
5. Dati di log tecnici e del dispositivo
– Categorie di dati: indirizzo IP, eventi di log (accesso, logout, errori), segnalazioni di crash
anonimizzate
– Periodo di conservazione: Massimo 7 giorni. Dopodiché anonimizzati o cancellati, salvo necessità
per un caso di supporto.
6. Dati di assistenza clienti
– Categorie di dati: richieste di supporto (contenuti email, chat), metadati (data, ora)
– Periodo di conservazione: Fino alla risoluzione finale della richiesta + 3 mesi (per scopi
documentali).
7. Statistiche anonime di utilizzo
– Categorie di dati: dati del dispositivo e metadati (anonimizzati, non identificabili)
– Periodo di conservazione: Indefinito in forma anonimizzata, poiché non è possibile risalire a
singole persone.
7. Destinatari / categorie di destinatari e trasferimenti di dati
1. Responsabili del trattamento (Art. 28 GDPR)
Utilizziamo fornitori esterni (responsabili del trattamento) che trattano i dati per nostro conto.
Questi fornitori non hanno accesso a ulteriori dati personali oltre a quanto strettamente necessario
per svolgere i loro servizi contrattuali.
• Google Firebase (data center UE)
– Trattamento dei dati utente (Realtime Database, Firestore, Autenticazione, Hosting, Cloud
Functions)
– Firebase è vincolata contrattualmente (Art. 28 GDPR) a trattare i dati personali solo secondo le
nostre istruzioni.
– Informativa sulla privacy di Firebase: https://firebase.google.com/support/privacy
• Mailgun (Servizio di invio email)
– Invio di email di conferma e assistenza
– Regolamentazione contrattuale ai sensi dell’Art. 28 GDPR
– Informativa sulla privacy di Mailgun: https://www.mailgun.com/privacy/
2. Trasferimenti verso paesi terzi
– Google Firebase ospita i dati esclusivamente in data center UE; non ci sono trasferimenti
predefiniti verso paesi terzi (es. USA), a meno che non si attivino servizi aggiuntivi.
– Se in futuro utilizzeremo servizi al di fuori dell’UE/SEE, ti informeremo in anticipo e i trasferimenti
saranno basati su Clausole Contrattuali Standard UE (Art. 46(2)(c) GDPR) o su una decisione di
adeguatezza della Commissione Europea.
3. Altri destinatari
– Non divulghiamo i tuoi dati personali ad altri terzi, a meno che tu non abbia espresso esplicito
consenso (es. Area Check-In) o siamo obbligati dalla legge (es. richieste delle autorità, ordini
giudiziari).
9. Diritti dell’interessato
1. Diritto di accesso (§ 15 GDPR)
Puoi chiedere conferma se trattiamo o meno dati personali che ti riguardano e, in tal caso, accedere
ai dati e alle seguenti informazioni:
– Categorie di dati trattati
– Finalità del trattamento
– Destinatari o categorie di destinatari
– Periodo di conservazione previsto o criteri per determinarlo
– Esistenza del diritto di rettifica, cancellazione, limitazione del trattamento o opposizione
– Diritto di presentare reclamo a un’autorità di controllo
– Origine dei dati (se non raccolti direttamente da te)
2. Diritto di rettifica (§ 16 GDPR)
Puoi richiedere la rettifica senza indugio di dati personali inesatti o incompleti.
3. Diritto alla cancellazione (“diritto all’oblio”, § 17 GDPR)
Puoi chiedere la cancellazione dei tuoi dati personali se si verifica una delle seguenti condizioni:
– I dati non sono più necessari per le finalità per cui erano stati raccolti.
– Hai revocato il consenso e non esiste un’altra base giuridica per il trattamento.
– Ti sei opposto al trattamento e non esistono motivi legittimi prevalenti.
– I dati sono stati trattati illecitamente.
Nota: I dati soggetti a obblighi di conservazione legale (es. documenti fiscali) saranno bloccati e
cancellati dopo il termine dei periodi di conservazione.
4. Diritto alla limitazione del trattamento (§ 18 GDPR)
Puoi chiedere la limitazione del trattamento se:
– Contesti l’esattezza dei dati, per il tempo necessario alla loro verifica.
– Il trattamento è illecito e chiedi la limitazione invece della cancellazione.
– Non abbiamo più bisogno dei dati, ma li desideri per esercitare, far valere o difendere i tuoi diritti
in sede legale.
– Ti sei opposto al trattamento, finché non si determina se i nostri motivi legittimi prevalgano sui
tuoi.
5. Diritto alla portabilità dei dati (§ 20 GDPR)
Puoi chiedere di ricevere i tuoi dati personali forniti a noi in un formato strutturato, di uso comune e
leggibile da dispositivo (es. CSV, JSON), e richiederne il trasferimento diretto a un altro titolare, se
tecnicamente possibile.
6. Diritto di opposizione (§ 21 GDPR)
Puoi opporti in qualsiasi momento al trattamento dei tuoi dati personali per finalità basate sul
nostro interesse legittimo (es. archiviazione dei log, statistiche anonime). Dopo l’opposizione,
smetteremo di trattare i tuoi dati per tali scopi, a meno che non dimostriamo motivi legittimi
imperativi che prevalgano sui tuoi interessi, diritti e libertà.
7. Revoca del consenso (§ 7(3) GDPR)
Puoi revocare in qualsiasi momento il consenso prestato per i trattamenti basati sul consenso (es.
Area Check-In, cronologia posizione). La revoca è valida per il futuro e non comporta costi oltre ai
costi di trasmissione ordinari. La revoca non pregiudica la liceità del trattamento effettuato prima
della revoca.
8. Diritto di proporre reclamo a un’autorità di controllo
Se ritieni che il trattamento dei tuoi dati personali violi il GDPR o altre normative UE in materia di
protezione dei dati, puoi presentare reclamo a un’autorità di controllo competente. In Austria,
l’autorità competente è l’Autorità di protezione dei dati austriaca (Wickenburggasse 8, 1080 Vienna,
Tel.: +43 1 52 152-0, Email: dsb@dsb.gv.at).
10. Implementazione tecnica del consenso e della revoca
1. Procedura di consenso (opt-in)
a) Area Check-In
– Prima di utilizzare la funzione “Condividi storie con tutti gli utenti nelle vicinanze”, mostriamo un
dialogo di consenso monofinestra che contiene tutte le informazioni essenziali (finalità, categorie di
dati, diritti di revoca, link all’Informativa sulla privacy).
– L’utente deve cliccare attivamente “Acconsento”. Nessuna casella pre-selezionata è consentita.
– Solo dopo la conferma la funzione viene attivata e i dati di posizione vengono elaborati in
modalità area.
b) Cronologia posizione
– Al primo accesso alla funzione “Mostra la mia cronologia della posizione”, viene visualizzato un
dialogo separato che spiega che i dati di posizione verranno salvati a lungo termine per fornire una
cronologia.
– L’utente deve cliccare attivamente “Acconsento”. Successivamente i dati di posizione vengono
registrati regolarmente in background (se l’app dispone delle autorizzazioni necessarie).
2. Documentazione del consenso
– In una tabella di database “UserConsent” memorizziamo:
• ID utente
• Tipo di consenso (es. “Area Check-In” o “Cronologia posizione”)
• Data/ora del consenso (timestamp)
• Versione del testo di consenso (data di pubblicazione dell’Informativa sulla privacy)
• Stato del consenso (“granted” o “revoked”)
3. Procedura di revoca
– Nel menu “Profilo → Impostazioni → Condividi posizione” o “Abilita Area Check-In”, l’utente può
disattivare in qualsiasi momento il rispettivo consenso con un interruttore.
– Dopo la revoca, nessun nuovo dato di posizione viene memorizzato per la funzionalità
corrispondente.
11. Trasferimenti verso paesi terzi
Attualmente, i tuoi dati di posizione e utente vengono memorizzati esclusivamente in data center
dell’Unione Europea (Google Firebase, regione UE). Non utilizziamo servizi che trasferiscono dati
personali verso paesi terzi. Se in futuro ciò fosse necessario (es. utilizzo di un nuovo cloud provider al
di fuori dell’UE), ti informeremo e garantiremo che esista una base giuridica adeguata (es. Clausole
Contrattuali Standard UE, Binding Corporate Rules).
12. Modifiche a questa informativa sulla privacy
Ci riserviamo il diritto di modificare questa informativa quando necessario (es. aggiornamenti
dell’app, modifiche normative o nuove funzionalità). Le modifiche verranno comunicate almeno 14
giorni prima della loro entrata in vigore tramite notifica in-app e email a tutti gli utenti registrati. L’app
mostrerà sempre la versione più recente dell’informativa sulla privacy. Ti invitiamo a consultare
regolarmente l’informativa per eventuali aggiornamenti.
Data di entrata in vigore: 4 giugno 2025
Contatti & Supporto
Per domande sulla protezione dei dati o per esercitare i tuoi diritti, contattaci a:
Email: zachbaibai@gmail.com
Indirizzo: Fischachstraße 27, 5101 Bergheim, Austria
Autorità di controllo
Autorità di protezione dei dati austriaca
Wickenburggasse 8, 1080 Vienna
Tel.: +43 1 52 152-0
Email: dsb@dsb.gv.at
Informativa sui ricorsi
Se ritieni che il trattamento dei tuoi dati personali violi la normativa vigente, puoi presentare un
reclamo all’autorità di controllo competente. In Austria, l’autorità è l’Autorità di protezione dei dati
austriaca (vedi recapiti sopra).
FRENCH
1. Responsable du traitement
Le responsable du traitement au sens du Règlement général sur la protection des données (RGPD) est
:
Heinz Mayr
Fischachstraße 27
Autriche
Email : zachbaibai@gmail.com
2. Délégué à la protection des données
Pour toute question concernant la protection des données et l’exercice de vos droits, veuillez
contacter notre Délégué à la protection des données :
Heinz Mayr
Email : zachbaibai@gmail.com
3. Catégories de données à caractère personnel traitées
Dans le cadre de l’utilisation de notre application (« Meet & Drink »), nous collectons et traitons les
catégories de données personnelles suivantes :
1. Données d’utilisateur et de profil
• Prénom et nom (le cas échéant, si volontairement fournis)
• Nom d’utilisateur / Nom d’affichage
• Adresse e-mail
• Photo de profil (le cas échéant)
• Mot de passe (stocké chiffré)
2. Données de contact et communication
• Contenu et métadonnées des demandes d’assistance (ex. texte des e-mails, date, heure)
3. Données de localisation
• Coordonnées GPS (latitude / longitude) avec horodatage et précision (en mètres)
a) Données de localisation pour les check-ins d’histoires entre amis
b) Partage de zone (« Area Check-in ») : données de localisation exactes visibles par d’autres
utilisateurs dans le rayon configuré (opt-in dans les paramètres du profil)
c) Historique de localisation : stockage à long terme des données de localisation afin que les
utilisateurs puissent consulter un historique personnel des lieux visités
4. Données d’appareil et métadonnées
• Identifiant de l’appareil (ex. UUID de l’appareil mobile)
• Système d’exploitation (ex. version Android, version iOS)
• Version de l’application
• Adresse IP (pour prévenir les attaques et assurer la sécurité)
• Journaux (heure de lancement de l’app, durée d’utilisation, messages d’erreur / rapports de crash,
éventuellement informations de débogage anonymisées)
5. Autres données
• Jeton push pour notifications push
4. Finalités du traitement et bases juridiques
Finalité du traitement : Mise à disposition et gestion du compte utilisateur
Données traitées : Données de profil, données de contact, données d’appareil et métadonnées
Base juridique : Art. 6(1)(b) RGPD (exécution du contrat)
Durée de conservation / Explication : Jusqu’à la suppression du compte (durées légales de
conservation, ex. à des fins comptables)
Finalité du traitement : Fonction « Check-in » pour amis – Publication et affichage d’histoires aux amis
confirmés dans l’app, éventuellement avec données de localisation (une fois)
Données traitées : Données de localisation, contenu des histoires (images, vidéos), horodatage,
données de profil (liaison), données d’appareil et métadonnées
Base juridique : Art. 6(1)(b) RGPD (exécution du contrat)
Durée de conservation / Explication : Conservation permanente à des fins d’historique
Finalité du traitement : Partage de zone (« Area Check-in ») pour tiers (opt-in)
Données traitées : Données de localisation exactes, contenu des histoires, horodatage, données de
profil, données d’appareil et métadonnées
Base juridique : Art. 6(1)(a) RGPD (consentement)
Durée de conservation / Explication : Jusqu’au retrait du consentement ou à la suppression du
compte, dans la limite de 10 ans. En cas de retrait, les données déjà stockées sont supprimées sous
30 jours.
Finalité du traitement : Stockage à long terme de l’historique de localisation (opt-in)
Données traitées : Données de localisation chronologiques (GPS, horodatage, précision), données
d’appareil et métadonnées
Base juridique : Art. 6(1)(a) RGPD (consentement)
Durée de conservation / Explication : Jusqu’au retrait du consentement ou à la suppression du
compte, dans la limite de 10 ans. En cas de retrait, les données existantes sont supprimées sous 30
jours.
Finalité du traitement : Sécurité technique et organisationnelle (données de log / erreur)
Données traitées : Adresse IP, données de log (rapports de crash, tentatives de connexion), données
d’appareil et métadonnées
Base juridique : Art. 6(1)(f) RGPD (intérêt légitime)
Durée de conservation / Explication : Maximum 7 jours, puis anonymisation ou suppression
complète, sauf nécessité pour un cas d’assistance.
Finalité du traitement : Service client & support
Données traitées : Contenu et métadonnées des demandes d’assistance (email, chat), données de
profil
Base juridique : Art. 6(1)(b) RGPD (exécution du contrat) ou Art. 6(1)(f) RGPD (intérêt légitime)
Durée de conservation / Explication : Jusqu’à la résolution finale de la demande + 3 mois (à des fins
de documentation).
Finalité du traitement : Analyse anonyme de l’app (ex. statistiques d’utilisation)
Données traitées : Données d’appareil et métadonnées (agrégées, anonymisées)
Base juridique : Art. 6(1)(f) RGPD (intérêt légitime)
Durée de conservation / Explication : Les données anonymisées sont conservées indéfiniment ;
aucune identification personnelle n’est possible.
5. Consentement et retrait
1. Accord de consentement
a) Partage de zone (« Area Check-in »)
Avant d’utiliser cette fonctionnalité pour la première fois, un dialogue de consentement dédié
(pop-up) s’affiche contenant presque mot pour mot le texte suivant :
« J’accepte que mes données de localisation exactes (coordonnées GPS), ainsi que les histoires
que je téléverse, soient rendues permanentes et visibles pour les autres utilisateurs de Meet & Drink
dans un rayon de [rayon configurable, ex. 500 mètres]. Je peux retirer ce consentement à tout
moment dans les paramètres de l’application. Les informations complètes sont disponibles dans la
présente Politique de confidentialité aux §§ 4.3 et 5.2 (Historique de localisation). »
– L’utilisateur doit activer manuellement une case à cocher ou un interrupteur (« J’accepte »).
Aucune case pré-cochée n’est autorisée.
b) Stockage à long terme de l’historique de localisation
Dans un second dialogue de consentement, le texte suivant s’affiche :
« J’accepte que l’application Meet & Drink stocke de manière permanente mes données de
localisation (coordonnées GPS) afin de me fournir un historique personnel des lieux visités
(chronologie et vue carte). Je peux retirer ce consentement à tout moment dans les paramètres de
l’application et demander la suppression complète de mes données de localisation déjà stockées. »
– L’utilisateur doit cliquer manuellement sur « J’accepte ». Par la suite, les données de localisation
sont enregistrées régulièrement en arrière-plan (si l’application dispose des autorisations
nécessaires).
2. Documentation du consentement
– Nous enregistrons, pour chaque événement de consentement dans une table de base de données
protégée « UserConsent », les informations suivantes :
• Identifiant utilisateur / compte
• Type de consentement (ex. « Area Check-in » ou « Historique de localisation »)
• Date/heure du consentement (horodatage)
• Version du texte de consentement (date de publication de la Politique de confidentialité)
• Statut du consentement (« granted » ou « revoked »)
– Cela sert de preuve si un utilisateur conteste l’absence de consentement ou la date de celui-ci.
3. Retrait du consentement
– Les utilisateurs peuvent retirer leur consentement à tout moment dans les paramètres de
l’application sous « Profil → Paramètres → Partager la localisation » ou « Activer Area Check-In ».
– Après retrait :
• Area Check-In : À partir de ce moment, aucune nouvelle donnée de localisation n’est traitée pour
les Area Check-Ins. Les histoires déjà publiées restent stockées selon la durée de conservation prévue,
sauf si l’utilisateur demande leur suppression.
– Le retrait n’affecte pas la légalité du traitement réalisé avant le retrait.
6. Durée de conservation des données et limitation de conservation
1. Données de profil & de contact
– Catégories de données : prénom / nom, nom d’utilisateur, email, photo de profil, mot de passe
(chiffré)
– Durée de conservation : Jusqu’à la suppression du compte par l’utilisateur. Ensuite, les données
soumises à une obligation légale de conservation (ex. documents fiscaux) sont conservées pendant 6
mois supplémentaires, puis supprimées ou anonymisées.
2. Données des histoires pour amis
– Catégories de données : contenu des histoires (images, vidéos), données de localisation,
horodatage, données de profil pour lien
– Durée de conservation : Permanente après l’upload. Suppression possible sur demande.
3. Données de Area Check-In
– Catégories de données : données de localisation exactes (GPS), contenu des histoires, horodatage,
données de profil pour lien
– Durée de conservation en cas de consentement actif : Jusqu’au retrait du consentement ou à la
suppression du compte, au plus tard 10 ans. En cas de retrait (par email à zachbaibai@gmail.com), les
données stockées sont supprimées sous 30 jours.
4. Historique de localisation
– Catégories de données : données de localisation chronologiques (GPS avec horodatage, précision),
données d’appareil et métadonnées
– Durée de conservation en cas de consentement actif : Jusqu’au retrait du consentement ou à la
suppression du compte, au plus tard 10 ans. En cas de retrait, les données existantes sont
complètement supprimées sous 30 jours.
5. Données de log technique et de l’appareil
– Catégories de données : adresse IP, événements de log (connexion, déconnexion, erreurs),
rapports de crash anonymisés
– Durée de conservation : Maximum 7 jours. Ensuite, anonymisation ou suppression complète, sauf
si nécessaire pour un cas d’assistance.
6. Données pour le support client
– Catégories de données : demandes d’assistance (contenu des emails, transcriptions de chat),
métadonnées (date, heure)
– Durée de conservation : Jusqu’à la résolution finale de la demande + 3 mois (à des fins
documentaires).
7. Statistiques d’utilisation anonymes
– Catégories de données : données d’appareil et métadonnées (anonymisées, non identifiables)
– Durée de conservation : Indéfinie sous forme anonymisée, car aucune identification personnelle
n’est possible.
7. Destinataires / catégories de destinataires et transferts de données
1. Sous-traitants (Art. 28 GDPR)
Nous faisons appel à des prestataires externes (sous-traitants) qui traitent les données pour notre
compte. Ces prestataires n’ont aucun accès supplémentaire aux données personnelles au-delà de ce
qui est strictement nécessaire pour exécuter leurs services contractuels.
• Google Firebase (centres de données UE)
– Traitement des données utilisateur (Realtime Database, Firestore, Authentification,
Hébergement, Cloud Functions)
– Firebase est contractuellement liée (Art. 28 GDPR) à traiter les données personnelles
uniquement selon nos instructions.
– Politique de confidentialité de Firebase : https://firebase.google.com/support/privacy
• Mailgun (Service d’envoi d’e-mails)
– Envoi d’e-mails de confirmation et d’assistance
– Arrangement contractuel selon Art. 28 GDPR
– Politique de confidentialité de Mailgun : https://www.mailgun.com/privacy/
2. Transferts vers des pays tiers
– Google Firebase héberge les données exclusivement dans des centres de données UE ; aucun
transfert par défaut vers des pays tiers (ex. États-Unis), sauf si des services supplémentaires sont
activés.
– Si nous utilisons à l’avenir des services hors UE/EEE, nous vous en informerons et les transferts
seront basés sur des Clauses Contractuelles Standard UE (Art. 46(2)(c) GDPR) ou sur une décision
d’adéquation de la Commission européenne.
3. Autres destinataires
– Nous ne communiquons pas vos données personnelles à d’autres tiers, sauf si vous y avez
expressément consenti (ex. Area Check-In) ou si nous y sommes légalement obligés (ex. demandes
des autorités, ordonnances judiciaires).
9. Droits de la personne concernée
1. Droit d’accès (§ 15 GDPR)
Vous pouvez demander la confirmation que nous traitons ou non des données personnelles vous
concernant et, le cas échéant, accéder à ces données et aux informations suivantes :
– Catégories de données traitées
– Finalités du traitement
– Destinataires ou catégories de destinataires
– Durée de conservation prévue ou critères pour la déterminer
– Existence du droit de rectification, d’effacement, de limitation du traitement ou d’opposition
– Droit d’introduire une réclamation auprès d’une autorité de contrôle
– Origine des données (le cas échéant, si elles n’ont pas été recueillies directement auprès de
vous)
2. Droit de rectification (§ 16 GDPR)
Vous pouvez demander la rectification sans délai de données personnelles inexactes ou
incomplètes.
3. Droit à l’effacement (“droit à l’oubli”, § 17 GDPR)
Vous pouvez demander l’effacement de vos données personnelles si l’une des conditions suivantes
est remplie :
– Les données ne sont plus nécessaires aux finalités pour lesquelles elles ont été collectées.
– Vous avez retiré votre consentement et aucune autre base légale ne justifie le traitement.
– Vous vous êtes opposé au traitement et aucun motif légitime prépondérant n’existe.
– Les données ont été traitées de manière illégale.
Note : Les données soumises à une obligation légale de conservation (ex. documents fiscaux) seront
bloquées puis supprimées après expiration des délais légaux.
4. Droit à la limitation du traitement (§ 18 GDPR)
Vous pouvez demander la limitation du traitement si :
– Vous contestez l’exactitude des données, le temps nécessaire à la vérification.
– Le traitement est illégal et vous souhaitez une limitation plutôt que l’effacement.
– Nous n’avons plus besoin des données, mais vous en avez besoin pour exercer ou défendre vos
droits devant une instance judiciaire.
– Vous avez formé opposition au traitement, tant que nos motifs légitimes ne sont pas déterminés
prioritaires.
5. Droit à la portabilité des données (§ 20 GDPR)
Vous pouvez demander à recevoir vos données personnelles fournies dans un format structuré,
couramment utilisé et lisible par machine (ex. CSV, JSON), et demander leur transmission directe à un
autre responsable si techniquement possible.
6. Droit d’opposition (§ 21 GDPR)
Vous pouvez vous opposer à tout moment au traitement de vos données personnelles pour des
finalités basées sur notre intérêt légitime (ex. stockage des journaux, statistiques anonymes). Après
opposition, nous cesserons de traiter vos données pour ces finalités, sauf si nous démontrons des
motifs légitimes impératifs qui prévalent sur vos intérêts, droits et libertés.
7. Retrait du consentement (§ 7(3) GDPR)
Vous pouvez retirer votre consentement à tout moment pour les traitements basés sur le
consentement (ex. Area Check-In, historique de localisation), sans frais supplémentaires au-delà des
coûts de transmission de base. Le retrait n’affecte pas la légalité du traitement effectué avant ce
retrait.
8. Droit d’introduire une réclamation auprès d’une autorité de contrôle
Si vous estimez que le traitement de vos données personnelles viole le GDPR ou d’autres
règlements UE en matière de protection des données, vous pouvez déposer une réclamation auprès
de l’autorité de contrôle compétente. En Autriche, l’autorité compétente est l’Autorité de protection
des données austriache (Wickenburggasse 8, 1080 Vienne, Tél. : +43 1 52 152-0, Email :
dsb@dsb.gv.at).
10. Mise en œuvre technique du consentement et du retrait
1. Procédure de consentement (opt-in)
a) Area Check-In
– Juste avant d’utiliser la fonction « Partager des histoires avec tous les utilisateurs à proximité »,
un dialogue de consentement d’une seule page présentant toutes les informations essentielles
(finalité, catégories de données, droit de retrait, lien vers la Politique de confidentialité) apparaît.
– L’utilisateur doit cliquer activement sur « J’accepte ». Aucune case pré-cochée n’est autorisée.
– Ce n’est qu’après confirmation que la fonction est activée et que les données de localisation sont
traitées en mode zone.
b) Historique de localisation
– Lors du premier accès à la fonction « Afficher mon historique de localisation », apparaît un
dialogue séparé expliquant que les données de localisation seront stockées à long terme pour fournir
un historique.
– L’utilisateur doit cliquer activement sur « J’accepte ». Ensuite, les données de localisation sont
enregistrées régulièrement en arrière-plan (si l’application dispose des autorisations nécessaires).
2. Documentation du consentement
– Dans une table de base de données « UserConsent », nous stockons :
• ID utilisateur
• Type de consentement (ex. « Area Check-In » ou « Historique de localisation »)
• Date/heure du consentement (horodatage)
• Version du texte de consentement (date de publication de la Politique de confidentialité)
• Statut du consentement (« granted » ou « revoked »)
3. Procédure de retrait
– Via le menu « Profil → Paramètres → Partager la localisation » ou « Activer Area Check-In »,
l’utilisateur peut désactiver le consentement correspondant à tout moment à l’aide d’un interrupteur.
– Après retrait, aucune nouvelle donnée de localisation n’est stockée pour la fonctionnalité
correspondante.
11. Transferts vers des pays tiers
Actuellement, vos données de localisation et d’utilisateur sont stockées exclusivement dans des
centres de données de l’Union européenne (Google Firebase, région UE). Nous n’utilisons aucun
service qui transfère des données personnelles vers des pays tiers. Si cela devenait nécessaire à
l’avenir (ex. nouveau fournisseur de cloud hors UE), nous vous en informerions et garantirions qu’une
base juridique appropriée soit en place (ex. Clauses Contractuelles Standard UE, Binding Corporate
Rules).
12. Modifications de cette politique de confidentialité
Nous nous réservons le droit de modifier cette politique lorsque nécessaire (ex. mise à jour de
l’application, changements législatifs ou nouvelles fonctionnalités). Les modifications seront
annoncées au moins 14 jours avant leur entrée en vigueur via une notification dans l’application et
par e-mail à tous les utilisateurs inscrits. L’application affichera toujours la version la plus récente de
la politique de confidentialité. Veuillez consulter régulièrement la politique pour connaître les mises à
jour.
Date d’entrée en vigueur : 4 juin 2025
Contact & Support
Pour toute question sur la protection des données ou pour exercer vos droits, contactez-nous à :
Email : zachbaibai@gmail.com
Adresse : Fischachstraße 27, 5101 Bergheim, Autriche
Autorité de contrôle
Autorité de protection des données austriache
Wickenburggasse 8, 1080 Vienne
Tél. : +43 1 52 152-0
Email : dsb@dsb.gv.at
Note sur les recours
Si vous pensez que le traitement de vos données personnelles viole la législation applicable, vous
pouvez déposer une réclamation auprès de l’autorité de contrôle compétente. En Autriche, il s’agit de
l’Autorité de protection des données austriache (voir coordonnées ci-dessus).
SPANISH
1. Responsable del tratamiento
El responsable del tratamiento de datos de acuerdo con el Reglamento General de Protección de
Datos (RGPD) es:
Heinz Mayr
Fischachstraße 27
Austria
Correo electrónico: zachbaibai@gmail.com
2. Delegado de protección de datos
Para cualquier consulta relacionada con la protección de datos y el ejercicio de sus derechos, póngase
en contacto con nuestro Delegado de Protección de Datos:
Heinz Mayr
Correo electrónico: zachbaibai@gmail.com
3. Categorías de datos personales tratados
En el contexto del uso de nuestra aplicación (“Meet & Drink”), recopilamos y tratamos las siguientes
categorías de datos personales:
1. Datos de usuario y perfil
• Nombre y apellidos (si se proporcionan voluntariamente)
• Nombre de usuario / Nombre para mostrar
• Dirección de correo electrónico
• Foto de perfil (si se carga)
• Contraseña (almacenada cifrada)
2. Datos de contacto y comunicación
• Contenido y metadatos de solicitudes de soporte (por ejemplo, texto del correo, fecha, hora)
3. Datos de ubicación
• Coordenadas GPS (latitud y longitud) con marca de tiempo y precisión (en metros)
a) Datos de ubicación para “check-ins” de historias con amigos
b) Compartir radio/zona (“Area Check-in”): datos de ubicación exactos visibles para otros usuarios
dentro del radio configurado (opt-in en la configuración del perfil)
c) Historial de ubicación: almacenamiento a largo plazo de datos de ubicación para que los
usuarios puedan ver un historial personal de los lugares visitados
4. Datos del dispositivo y metadatos
• ID de dispositivo (p. ej., UUID del dispositivo móvil)
• Sistema operativo (p. ej., versión de Android, versión de iOS)
• Versión de la aplicación
• Dirección IP (para prevenir ataques y garantizar la seguridad)
• Datos de registro (hora de inicio de la aplicación, duración de uso, mensajes de error / informes
de fallos, posiblemente información de depuración anonimizada)
5. Otros datos
• Token de notificaciones push
4. Finalidades del tratamiento y bases jurídicas
Finalidad del tratamiento: Suministro y gestión de la cuenta de usuario
Datos tratados: Datos de perfil, datos de contacto, datos del dispositivo y metadatos
Base jurídica: Art. 6(1)(b) RGPD (cumplimiento de contrato)
Periodo de conservación / Explicación: Hasta la eliminación de la cuenta (plazos legales de
conservación, p. ej., con fines contables)
Finalidad del tratamiento: Función “Check-in” para amigos – Publicación y visualización de historias a
amigos confirmados en la app, posiblemente con datos de ubicación (una sola vez)
Datos tratados: Datos de ubicación, contenido de las historias (imágenes, videos), marca de tiempo,
datos de perfil (vinculación), datos del dispositivo y metadatos
Base jurídica: Art. 6(1)(b) RGPD (cumplimiento de contrato)
Periodo de conservación / Explicación: Almacenamiento permanente para historial
Finalidad del tratamiento: Compartir zona (“Area Check-in”) para terceros (opt-in)
Datos tratados: Datos de ubicación exactos, contenido de las historias, marca de tiempo, datos de
perfil, datos del dispositivo y metadatos
Base jurídica: Art. 6(1)(a) RGPD (consentimiento)
Periodo de conservación / Explicación: Hasta que se retire el consentimiento o se elimine la cuenta,
pero no más de 10 años. Una vez retirado, los datos ya almacenados se eliminarán en 30 días.
Finalidad del tratamiento: Almacenamiento a largo plazo del historial de ubicación (opt-in)
Datos tratados: Datos de ubicación cronológicos (GPS, marca de tiempo, precisión), datos de
dispositivo y metadatos
Base jurídica: Art. 6(1)(a) RGPD (consentimiento)
Periodo de conservación / Explicación: Hasta que se retire el consentimiento o se elimine la cuenta,
pero no más de 10 años. Una vez retirado, los datos de ubicación existentes se eliminarán por
completo en 30 días.
Finalidad del tratamiento: Seguridad técnica y organizativa (datos de registro / error)
Datos tratados: Dirección IP, datos de registro (informes de fallos, intentos de inicio de sesión), datos
de dispositivo y metadatos
Base jurídica: Art. 6(1)(f) RGPD (interés legítimo)
Periodo de conservación / Explicación: Máximo 7 días, luego anonimización o eliminación completa, a
menos que se necesiten más tiempo para un caso de soporte.
Finalidad del tratamiento: Servicio al cliente & soporte
Datos tratados: Contenido y metadatos de correos electrónicos de soporte, posiblemente
transcripciones de chat, datos de perfil
Base jurídica: Art. 6(1)(b) RGPD (cumplimiento de contrato) o Art. 6(1)(f) RGPD (interés legítimo)
Periodo de conservación / Explicación: Hasta la resolución final de la solicitud + 3 meses (fines de
documentación).
Finalidad del tratamiento: Análisis anónimo de la aplicación (p. ej., estadísticas de uso)
Datos tratados: Datos de dispositivo y metadatos (agregados, anonimizados)
Base jurídica: Art. 6(1)(f) RGPD (interés legítimo)
Periodo de conservación / Explicación: Los datos anonimizados se almacenan de forma indefinida; no
es posible identificarlos personalmente.
5. Consentimiento y retirada
1. Otorgamiento del consentimiento
a) Compartir zona (“Area Check-in”)
Antes de utilizar esta función por primera vez, se muestra al usuario un cuadro de diálogo de
consentimiento independiente (pop-up) con el texto casi literal:
“Acepto que mis datos de ubicación exactos (coordenadas GPS), junto con las historias que suba,
sean visibles permanentemente para otros usuarios de Meet & Drink dentro de un radio de [radio
configurable, p. ej., 500 metros]. Puedo retirar este consentimiento en cualquier momento en la
configuración de la app. Puede encontrar información completa en la Política de privacidad en las
secciones § 4.3 y § 5.2 (Historial de ubicación).”
– El usuario debe hacer clic activamente en “Acepto”. No se permite una casilla pre-marcada.
b) Almacenamiento a largo plazo del historial de ubicación
En un segundo cuadro de diálogo de consentimiento, se muestra el siguiente texto:
“Acepto que la app Meet & Drink almacene permanentemente mis datos de ubicación
(coordenadas GPS) para proporcionarme un historial personal de los lugares que he visitado (línea de
tiempo y vista de mapa). Puedo retirar este consentimiento en cualquier momento en la
configuración de la app y solicitar la eliminación completa de mis datos de ubicación ya
almacenados.”
– El usuario debe hacer clic activamente en “Acepto”. Luego, los datos de ubicación se registran
periódicamente en segundo plano (si la app tiene los permisos necesarios).
2. Documentación del consentimiento
– Almacenamos por cada evento de consentimiento, en una tabla de base de datos protegida
“UserConsent”, la siguiente información:
• ID de usuario / cuenta
• Tipo de consentimiento (p. ej., “Area Check-In” o “Historial de ubicación”)
• Fecha/hora del consentimiento (timestamp)
• Versión del texto de consentimiento (fecha de publicación de la Política de privacidad)
• Estado del consentimiento (“granted” o “revoked”)
– Esto sirve como prueba en caso de que un usuario luego niegue haber dado el consentimiento o
discuta el momento en que lo otorgó.
3. Retiro del consentimiento
– Los usuarios pueden retirar su consentimiento en cualquier momento en la configuración de la
app, en “Perfil → Configuración → Compartir ubicación” o “Activar Area Check-In”.
– Tras el retiro:
• Area Check-In: A partir de ese momento, no se procesarán nuevos datos de ubicación para Area
Check-In. Las historias ya publicadas permanecerán almacenadas según el período de retención, a
menos que el usuario las solicite eliminar.
– El retiro no afecta la legalidad del tratamiento realizado antes del retiro.
6. Plazo de conservación de datos y limitación del almacenamiento
1. Datos de perfil & contacto
– Categorías de datos: nombre y apellidos, nombre de usuario, correo electrónico, foto de perfil,
contraseña (cifrada)
– Plazo de conservación: Hasta que el usuario elimine su cuenta. Posteriormente, los datos sujetos a
obligaciones legales de conservación (p. ej., documentos fiscales) se conservarán 6 meses adicionales
y luego se eliminarán o anonimizarán.
2. Datos de historias para amigos
– Categorías de datos: contenido de las historias (imágenes, videos), datos de ubicación, marca de
tiempo, datos de perfil para vinculación
– Plazo de conservación: Permanente tras la carga. Se puede solicitar eliminación manual.
3. Datos de Area Check-In
– Categorías de datos: datos de ubicación precisos (GPS), contenido de las historias, marca de
tiempo, datos de perfil para vinculación
– Plazo de conservación con consentimiento activo: Hasta que se retire el consentimiento o se
elimine la cuenta, pero no más de 10 años. Si se retira (por correo a zachbaibai@gmail.com), los
datos almacenados se eliminarán en 30 días.
4. Historial de ubicación
– Categorías de datos: datos de ubicación cronológicos (GPS con marca de tiempo, precisión), datos
de dispositivo y metadatos
– Plazo de conservación con consentimiento activo: Hasta que se retire el consentimiento o se
elimine la cuenta, pero no más de 10 años. Si se retira, los datos existentes se eliminarán en 30 días.
5. Datos de registro técnico y del dispositivo
– Categorías de datos: dirección IP, eventos de registro (inicio de sesión, cierre de sesión, errores),
informes de fallos anonimados
– Plazo de conservación: Máximo 7 días. Luego se anonimiza o elimina, a menos que se necesite
para un caso de soporte.
6. Datos de atención al cliente
– Categorías de datos: solicitudes de soporte (contenido de correo, transcripciones de chat),
metadatos (fecha, hora)
– Plazo de conservación: Hasta la resolución final de la solicitud + 3 meses (para documentación).
7. Estadísticas de uso anónimas
– Categorías de datos: datos de dispositivo y metadatos (anonimados, no identificables)
– Plazo de conservación: Ilimitado en forma anonimizada, ya que no es posible identificar a
personas.
7. Destinatarios / categorías de destinatarios y transferencias de datos
1. Encargados del tratamiento (Art. 28 RGPD)
Utilizamos proveedores externos (encargados del tratamiento) que procesan datos por cuenta
nuestra. Estos proveedores no tienen acceso a datos personales adicionales más allá de lo
estrictamente necesario para cumplir sus servicios contractuales.
• Google Firebase (centros de datos UE)
– Procesamiento de datos de usuario (Realtime Database, Firestore, Autenticación, Hosting, Cloud
Functions)
– Firebase está contractualmente obligada (Art. 28 RGPD) a procesar datos personales solo según
nuestras instrucciones.
– Política de privacidad de Firebase: https://firebase.google.com/support/privacy
• Mailgun (Servicio de envío de correos electrónicos)
– Envío de correos de confirmación y soporte
– Acuerdo contractual según Art. 28 RGPD
– Política de privacidad de Mailgun: https://www.mailgun.com/privacy/
2. Transferencias a terceros países
– Google Firebase almacena datos exclusivamente en centros de datos de la UE; no hay
transferencias predeterminadas a terceros países (p. ej., EE. UU.) a menos que habilites servicios
adicionales.
– Si utilizamos servicios fuera de la UE/EEE en el futuro, te informaremos y las transferencias se
basarán en las Cláusulas Contractuales Tipo de la UE (Art. 46(2)(c) RGPD) o en una decisión de
adecuación de la Comisión Europea.
3. Otros destinatarios
– No compartimos tus datos personales con terceros, a menos que hayas dado tu consentimiento
expreso (p. ej., Area Check-In) o estemos legalmente obligados a hacerlo (p. ej., solicitudes de
autoridades, órdenes judiciales).
9. Derechos del interesado
1. Derecho de acceso (§ 15 RGPD)
Puedes solicitar confirmación de si procesamos o no datos personales que te conciernen y, en su
caso, acceder a dichos datos y a la siguiente información:
– Categorías de datos procesados
– Finalidades del tratamiento
– Destinatarios o categorías de destinatarios
– Período de conservación previsto o criterios para determinarlo
– Existencia del derecho a rectificar, borrar, limitar el tratamiento u oponerse
– Derecho a presentar reclamación ante una autoridad de control
– Origen de los datos (si no los recopilamos directamente de ti)
2. Derecho a la rectificación (§ 16 RGPD)
Puedes solicitar la corrección sin demora de datos personales inexactos o incompletos.
3. Derecho al borrado (“derecho al olvido”, § 17 RGPD)
Puedes solicitar el borrado de tus datos personales si se cumple alguna de las siguientes
condiciones:
– Los datos ya no son necesarios para las finalidades para las que se recopilaron.
– Has retirado el consentimiento y no existe otra base jurídica.
– Te has opuesto al tratamiento y no existen motivos legítimos imperiosos que prevalezcan.
– Los datos se han procesado de manera ilegal.
Nota: Los datos sujetos a retención legal (p. ej., documentos fiscales) serán bloqueados y
eliminados tras el plazo de retención.
4. Derecho a la limitación del tratamiento (§ 18 RGPD)
Puedes solicitar la limitación del tratamiento si:
– Cuestionas la exactitud de los datos, mientras estos se verifican.
– El tratamiento es ilegal y solicitas la limitación en lugar del borrado.
– Ya no necesitamos los datos, pero los necesitas para ejercer, reclamar o defender tus derechos
legales.
– Te has opuesto al tratamiento, mientras se determina si nuestros motivos legítimos prevalecen
sobre los tuyos.
5. Derecho a la portabilidad de datos (§ 20 RGPD)
Puedes solicitar recibir tus datos personales que nos has proporcionado en un formato
estructurado, de uso común y legible por máquina (p. ej., CSV, JSON), y solicitar su transmisión directa
a otro responsable si técnicamente es posible.
6. Derecho a oponerse (§ 21 RGPD)
Puedes oponerte en cualquier momento al tratamiento de tus datos personales para fines basados
en nuestro interés legítimo (p. ej., almacenamiento de registros, estadísticas anónimas). Tras tu
oposición, dejaremos de procesar tus datos para esos fines, a menos que demostremos motivos
legítimos imperativos que prevalezcan sobre tus intereses, derechos y libertades.
7. Retirada del consentimiento (§ 7(3) RGPD)
Puedes retirar tu consentimiento en cualquier momento para los tratamientos basados en el
consentimiento (p. ej., Area Check-In, historial de ubicación) sin incurrir en costos, salvo gastos de
transmisión según la tarifa básica. La retirada no afecta la legalidad del tratamiento realizado antes de
la retirada.
8. Derecho a presentar reclamación ante una autoridad de control
Si consideras que el tratamiento de tus datos personales infringe la normativa vigente, puedes
presentar una reclamación ante la autoridad de control competente. En Austria, la autoridad
competente es la Autoridad de Protección de Datos de Austria (Wickenburggasse 8, 1080 Viena, Tel.:
+43 1 52 152-0, Email: dsb@dsb.gv.at).
10. Implementación técnica del consentimiento y la retirada
1. Proceso de consentimiento (opt-in)
a) Area Check-In
– Justo antes de utilizar la función “Compartir historias con todos los usuarios cercanos”,
mostramos un cuadro de diálogo de consentimiento de una sola página que contiene toda la
información esencial (finalidad, categorías de datos, derecho de retirada, enlace a la política de
privacidad).
– El usuario debe hacer clic activamente en “Acepto”. No se permite ninguna casilla pre-marcada.
– Solo después de la confirmación se activa la función y se procesan los datos de ubicación en
modo área.
b) Historial de ubicación
– Al acceder por primera vez a la función “Mostrar mi historial de ubicación”, aparece un diálogo
separado que explica que los datos de ubicación se almacenarán a largo plazo para proporcionar un
historial.
– El usuario debe hacer clic activamente en “Acepto”. Luego, los datos de ubicación se graban
periódicamente en segundo plano (si la app dispone de los permisos necesarios).
2. Documentación del consentimiento
– En una tabla de base de datos “UserConsent”, almacenamos:
• ID de usuario
• Tipo de consentimiento (p. ej., “Area Check-In” o “Historial de ubicación”)
• Fecha/hora del consentimiento (timestamp)
• Versión del texto de consentimiento (fecha de publicación de la política de privacidad)
• Estado del consentimiento (“granted” o “revoked”)
3. Proceso de retirada
– En el menú “Perfil → Configuración → Compartir ubicación” o “Activar Area Check-In”, el usuario
puede desactivar el consentimiento correspondiente en cualquier momento con un interruptor.
– Tras la retirada, no se almacenarán nuevos datos de ubicación para la función correspondiente.
11. Transferencias a terceros países
Actualmente, sus datos de ubicación y de usuario se almacenan exclusivamente en centros de datos
de la Unión Europea (Google Firebase, región UE). No utilizamos servicios que transfieran datos
personales a terceros países. Si en el futuro fuera necesario (p. ej., nuevo proveedor de nube fuera de
la UE), le informaremos y garantizaremos que exista una base jurídica adecuada (p. ej., Cláusulas
Contractuales Tipo UE, Binding Corporate Rules).
12. Cambios en esta política de privacidad
Nos reservamos el derecho de modificar esta política cuando sea necesario (p. ej., actualizaciones de
la app, cambios legales o nuevas funciones). Los cambios se anunciarán al menos 14 días antes de
entrar en vigor a través de una notificación en la app y por correo electrónico a todos los usuarios
registrados. La app mostrará siempre la versión más reciente de la política de privacidad. Revise
regularmente la política para conocer las actualizaciones.
Fecha de entrada en vigor: 4 de junio 2025
Contacto y soporte
Para preguntas sobre protección de datos o para ejercer sus derechos, contáctenos en:
Correo electrónico: zachbaibai@gmail.com
Dirección: Fischachstraße 27, 5101 Bergheim, Austria
Autoridad de control
Autoridad de Protección de Datos de Austria
Wickenburggasse 8, 1080 Viena
Tel.: +43 1 52 152-0
Correo electrónico: dsb@dsb.gv.at
Nota sobre recursos legales
Si considera que el tratamiento de sus datos personales infringe la normativa aplicable, puede
presentar una reclamación ante la autoridad de control competente. En Austria, la autoridad
competente es la Autoridad de Protección de Datos de Austria (ver datos de contacto arriba).
JAPANESE
1. 管理者
一般データ保護規則(GDPR)に基づくデータ処理の管理者は以下の通りです:
ハインツ・マイヤー (Heinz Mayr)
フィシャッハシュトラーセ 27
オーストリア
メール: zachbaibai@gmail.com
2. プライバシー担当者
データ保護に関するご質問や権利行使については、弊社のプライバシー担当者までご連絡く
ださい:
ハインツ・マイヤー (Heinz Mayr)
メール: zachbaibai@gmail.com
3. 処理される個人データのカテゴリ
当社のアプリ(「Meet & Drink」)の利用にあたり、以下の個人データカテゴリを収集・処
理します:
1. ユーザーおよびプロファイルデータ
• 氏名(任意提供の場合)
• ユーザー名 / 表示名
• メールアドレス
• プロファイル画像(アップロードされた場合)
• パスワード(暗号化して保存)
2. 連絡先データおよび通信
• サポートリクエストの内容およびメタデータ(例:メール本文、日付、時刻)
3. 位置情報データ
• GPS座標(緯度・経度)、タイムスタンプ、精度(メートル単位)
a) 友人向けのチェックイン時の位置情報
b) 半径/エリアシェア(「エリアチェックイン」):設定された半径内の他のユーザーに
対して正確な位置情報を表示(プロフィール設定でオプトイン)
c) 位置履歴:ユーザーが訪れた場所の個人履歴を表示できるように長期的に位置情報を保
存
4. デバイスおよびメタデータ
• デバイスID(例:モバイルデバイスのUUID)
• OS(例:Androidバージョン、iOSバージョン)
• アプリバージョン
• IPアドレス(不正アクセス防止とセキュリティ確保のため)
• ログデータ(アプリ起動時刻、利用時間、エラーメッセージ/クラッシュレポート、場
合によっては匿名化されたデバッグ情報)
5. その他のデータ
• プッシュ通知トークン
4. 処理の目的および法的根拠
処理目的:ユーザーアカウントの提供および管理
処理データ:プロファイルデータ、連絡先データ、デバイスおよびメタデータ
法的根拠:GDPR第6条第1項(b)(契約の履行)
保持期間/説明:アカウント削除まで(会計などの法的義務により追加で保存される場合あ
り)
処理目的:友人向けチェックイン機能 – 承認済み友人へのストーリー投稿および表示(位置
情報を含む場合あり,一度限り)
処理データ:位置情報、ストーリー内容(画像、動画)、タイムスタンプ、プロファイルデ
ータ(リンク用)、デバイスおよびメタデータ
法的根拠:GDPR第6条第1項(b)(契約の履行)
保持期間/説明:履歴のために永続的に保存
処理目的:半径/エリアシェア(「エリアチェックイン」)の公開(オプトイン)
処理データ:正確な位置情報、ストーリー内容、タイムスタンプ、プロファイルデータ、デ
バイスおよびメタデータ
法的根拠:GDPR第6条第1項(a)(同意)
保持期間/説明:同意撤回またはアカウント削除まで,最長10年。同意撤回後は既存データ
を30日以内に削除。
処理目的:位置履歴/ヒストリーの長期保存(オプトイン)
処理データ:時系列の位置情報(GPS、タイムスタンプ、精度)、デバイスおよびメタデー
タ
法的根拠:GDPR第6条第1項(a)(同意)
保持期間/説明:同意撤回またはアカウント削除まで,最長10年。同意撤回後は既存データ
を30日以内に完全削除。
処理目的:技術的および組織的セキュリティ(ログ/エラーデータ)
処理データ:IPアドレス、ログデータ(クラッシュレポート、ログイン試行)、デバイスお
よびメタデータ
法的根拠:GDPR第6条第1項(f)(正当な利益)
保持期間/説明:最大7日間,その後匿名化または完全削除。ただしサポート対応で必要な場
合は保持。
処理目的:カスタマーサービスおよびサポート
処理データ:サポートリクエストのメール内容およびメタデータ、チャット履歴(該当する
場合)、プロファイルデータ
法的根拠:GDPR第6条第1項(b)(契約の履行)または第6条第1項(f)(正当な利益)
保持期間/説明:問い合わせの完了後+3か月(記録目的)。
処理目的:匿名化されたアプリ解析(利用統計など)
処理データ:デバイスおよびメタデータ(集計・匿名化)
法的根拠:GDPR第6条第1項(f)(正当な利益)
保持期間/説明:匿名化データは永久に保存,個人特定不可。
5. 同意および撤回
1. 同意の付与
a) 半径/エリアシェア(「エリアチェックイン」)
この機能を初めて利用する前に,ユーザーには専用の同意ダイアログ(ポップアップ)
が表示され,ほぼ同一の文言で以下のテキストが提示されます:
「私は,アップロードするストーリーとともに,私の正確な位置情報(GPS座標)が[設
定可能な半径, 例:500m]以内の他のMeet & Drinkユーザーに永続的に公開されることに同意
します。この同意はアプリ設定でいつでも撤回できます。詳細はプライバシーポリシーの§
4.3および§ 5.2 (位置履歴)をご参照ください。」
– ユーザーはチェックボックスまたはトグルスイッチを明示的にオンにする必要がありま
す(「同意する」)。事前に選択されたチェックボックスは許可されません。
b) 位置履歴/ヒストリーの長期保存
別の同意ダイアログにて以下のテキストが表示されます:
「私は,Meet & Drinkアプリが私の位置情報(GPS座標)を永続的に保存し,訪れた場所
の個人履歴(タイムラインと地図表示)を提供することに同意します。この同意はアプリ設
定でいつでも撤回でき,既に保存された位置データを完全に削除するよう要求できます。」
– ユーザーは「同意する」を明示的にクリックする必要があります。その後,(アプリに
必要なセンサー権限がある場合)位置情報はバックグラウンドで定期的に保存されます。
2. 同意の記録
– 同意が得られた場合,保護されたデータベーステーブル「UserConsent」に以下を保存し
ます:
• ユーザーID / アカウントID
• 同意タイプ(例:「エリアチェックイン」または「位置履歴」)
• 同意日時(タイムスタンプ)
• プライバシーポリシーのバージョン(公開日)
• 同意ステータス(「granted」または「revoked」)
– ユーザーが後で同意の有無や日時を争う場合の証拠となります。
3. 同意の撤回
– ユーザーはいつでもアプリ設定の「プロフィール → 設定 → 位置情報を共有」または「エ
リアチェックインを有効化」で同意を撤回できます。
– 撤回後:
• エリアチェックイン:撤回以降,新たな位置情報はエリアチェックインに使用されなく
なります。既に公開されたストーリーは所定の保持期間に従って残りますが,ユーザーが削
除を求めた場合は削除されます。
– 撤回は撤回前の処理の適法性には影響しません。
6. データ保持期間および保持制限
1. プロファイルデータ & 連絡先データ
– データカテゴリ:氏名,ユーザー名,メールアドレス,プロファイル画像,パスワード
(暗号化)
– 保持期間:ユーザーがアカウントを削除するまで。削除後,法定の保存義務対象データ
(例:会計資料など)はさらに6か月間保存され,その後完全に削除または匿名化されます
。
2. 友人向けストーリーデータ
– データカテゴリ:ストーリー内容(画像/動画),位置情報,タイムスタンプ,リンク
用プロファイルデータ
– 保持期間:アップロード後無期限。ユーザーからの削除申請により削除可能。
3. エリアチェックインデータ
– データカテゴリ:正確な位置情報(GPS),ストーリー内容,タイムスタンプ,リンク用
プロファイルデータ
– 保持期間(同意が有効な場合):同意の撤回またはアカウント削除まで,最長10年。 同
意撤回(メール:zachbaibai@gmail.com)後30日以内に既存データを完全削除。
4. 位置履歴/ヒストリー
– データカテゴリ:時系列の位置情報(GPS,タイムスタンプ,精度),デバイスおよびメ
タデータ
– 保持期間(同意が有効な場合):同意の撤回またはアカウント削除まで,最長10年。同
意撤回後30日以内に既存データを完全削除。
5. 技術的ログデータおよびデバイスデータ
– データカテゴリ:IPアドレス,ログイベント(ログイン,ログアウト,エラー),匿名化
クラッシュレポート
– 保持期間:最大7日間。その後匿名化または削除。ただしサポートケースのために必要な
場合は必要期間だけ保持。
6. カスタマーサポートデータ
– データカテゴリ:サポートリクエスト(メール内容,チャット履歴),メタデータ(日
付,時刻)
– 保持期間:問い合わせ完了後+3か月(記録目的)。
7. 匿名利用統計
– データカテゴリ:デバイスおよびメタデータ(匿名化,個人識別不可能)
– 保持期間:匿名化された形式で無期限に保持。個人識別不可。
7. 受領者 / 受領者のカテゴリおよびデータ転送
1. 委託事業者(GDPR第28条)
当社は外部事業者(委託事業者)を利用し,当社の指示に従ってデータを処理します。こ
れらの事業者は契約上必要最低限の範囲でのみ個人データにアクセスします。
• Google Firebase(EUデータセンター)
– ユーザーデータの処理(Realtime Database,Firestore,認証,ホスティング,Cloud
Functions)
– Firebaseは契約によりGDPR第28条に準拠し,当社の指示にのみ従って個人データを処理
します。
– Firebaseプライバシーポリシー: https://firebase.google.com/support/privacy
• Mailgun(メール配信サービス)
– 確認メールおよびサポートメールの送信
– GDPR第28条に基づく契約形態
– Mailgunプライバシーポリシー: https://www.mailgun.com/privacy/
2. 第三国への移転
– Google FirebaseはEU内のデータセンターのみでデータを保存しており,デフォルトでは第
三国(例:米国)への移転は行いません。ただし追加サービスを有効化した場合は例外です
。
– 将来EU/EEA外のサービスを利用する場合は事前に通知し,EU標準契約条項(第46条第2項
(c) GDPR)または欧州委員会の適合性決定に基づいて移転を実施します。
3. その他の受領者
– お客様の個人データを第三者に提供することはありません。ただし,お客様が明示的に
同意した場合(例:エリアチェックイン)または法的義務がある場合(例:当局からの要請
,裁判所命令)は例外です。
9. 本人の権利
1. 開示請求権(第15条)
自身に関する個人データを当社が保有しているかどうか,および保有している場合には当
該データにアクセスする権利があります。開示される情報には以下が含まれます:
– 処理されたデータカテゴリ
– 処理の目的
– 受領者または受領者のカテゴリ
– 保存予定期間またはその基準
– 訂正,消去,処理制限,異議申し立ての権利の有無
– 監督当局への苦情申し立て権
– データの出所(直接収集していない場合)
2. 訂正権(第16条)
不正確または不完全な個人データの訂正をただちに要求できます。
3. 消去権(「忘れられる権利」,第17条)
次のいずれかに該当する場合,個人データの消去を要求できます:
– データが収集目的に必要なくなった場合
– 同意を撤回し,他の法的根拠がない場合
– 処理に異議を唱え,正当な根拠がない場合
– データが不正に処理された場合
注意:法的保存義務があるデータ(例:会計資料など)はブロックされ,保存義務期間満
了後に削除されます。
4. 処理制限権(第18条)
次のいずれかの場合に処理制限を要求できます:
– データの正確性に異議を唱えている場合,確認が完了するまで
– 処理が違法であり,消去ではなく制限を希望する場合
– 当社がもはやデータを必要としないが,法的権利行使または防御のために必要な場合
– 処理に異議を唱え,正当な利益が優先するかどうかが確定していない場合
5. データポータビリティ権(第20条)
提供した個人データを構造化された,汎用的かつ機械可読な形式(例:CSV,JSON)で受
け取り,他の管理者に技術的に可能であれば直接送信するよう要求できます。
6. 異議申し立て権(第21条)
正当な利益に基づく処理(例:ログ保存,匿名統計)に対していつでも異議を申し立てる
ことができます。異議申し立て後,当社はこれらの目的でデータの処理を停止しますが,当
社があなたの利益を上回る緊急かつ正当な理由を示した場合は例外です。
7. 同意撤回権(第7条第3項)
任意の同意(例:エリアチェックイン,位置履歴)をいつでも撤回できます。撤回は将来
に対して有効であり,基本通信費を除き費用はかかりません。撤回前の処理の合法性には影
響しません。
8. 監督当局への苦情申し立て権
個人データの処理がGDPRまたは他のEUデータ保護規則に違反していると考える場合,所轄
の監督当局に苦情申し立てができます。オーストリアではオーストリアデータ保護庁が監督
当局です(Wickenburggasse 8,1080 ウィーン,Tel: +43 1 52 152-0,Email: dsb@dsb.gv.at)。
10. 同意および撤回の技術的実装
1. 同意取得手続き(オプトイン)
a) エリアチェックイン
– 「近くのすべてのユーザーとストーリーを共有」機能を初めて使用する前に,目的,デ
ータカテゴリ,撤回権,プライバシーポリシーへのリンクを含む単一画面の同意ダイアログ
を表示します。
– ユーザーは「同意する」を明示的にクリックする必要があります。事前に選択されたチ
ェックボックスは許可されません。
– 同意後にのみ機能が有効化され,エリアモードで位置情報が処理されます。
b) 位置履歴
– 「マイ位置履歴を表示」機能を初めて呼び出すと,別のダイアログが表示され,位置デ
ータが長期的に保存され,履歴を提供することが説明されます。
– ユーザーは「同意する」を明示的にクリックする必要があります。その後,(アプリに
必要なセンサー権限がある場合)バックグラウンドで定期的に位置データが保存されます。
2. 同意の記録
– データベーステーブル「UserConsent」に次の情報を保存します:
• ユーザーID
• 同意タイプ(例:「エリアチェックイン」または「位置履歴」)
• 同意日時(タイムスタンプ)
• プライバシーポリシーのバージョン(公開日)
• 同意ステータス(「granted」または「revoked」)
3. 撤回手続き
– 「プロフィール → 設定 → 位置情報を共有」または「エリアチェックインを有効化」メニ
ューで,ユーザーはいつでも該当する同意をスイッチで無効化できます。
– 撤回後,該当機能のための新しい位置データは保存されなくなります。
11. 第三国への移転
現在,あなたの位置情報およびユーザーデータはEU内のデータセンター(Google Firebase,
EUリージョン)にのみ保存されています。第三国に個人データを移転するサービスは利用し
ていません。将来的に必要になった場合(例:EU外の新しいクラウドプロバイダーを使用)
,適切な法的根拠(EU標準契約条項, Binding Corporate Rulesなど)を確保し,事前に通知し
ます。
12. 本ポリシーの変更
当社は,必要に応じて本ポリシーを変更する権利を有します(例:アプリのアップデート,
法令変更,新機能)。変更は発効の少なくとも 14 日前にアプリ内通知および登録ユーザー
へのメールで告知します。アプリ内では常に最新バージョンを表示するため,定期的に本ポ
リシーを確認してください。
本ポリシーの発効日:2025年6月4日
お問い合わせ & サポート
データ保護に関するご質問や権利行使については,以下までご連絡ください:
メール:zachbaibai@gmail.com
住所:Fischachstraße 27,5101 Bergheim,オーストリア
監督当局
オーストリアデータ保護庁
Wickenburggasse 8,1080 ウィーン
Tel:+43 1 52 152-0
メール:dsb@dsb.gv.at
法的救済手段について
個人データの処理が適用法に違反しているとお考えの場合,所轄の監督当局に苦情申し立て
ができます。オーストリアではオーストリアデータ保護庁が監督当局です(上記連絡先参照
)。