KidsTalkiPlay – Final Version · Effective as of April 12, 2026 · Data Controller: KidsTalkiPlay OÜ · Commercial Register (Estonia): 17265903 · Registered Address: Telliskivi tn 57, 10412 Tallinn, Estonia · Privacy / DPO Contact: info@kidstalkiplay.com · Last updated: April 12, 2026
The data controller is KidsTalkiPlay OÜ. For privacy enquiries: info@kidstalkiplay.com (subject: 'DATA PROTECTION').
Email, name or nickname, approximate city — basis: performance of contract (art. 6.1.b GDPR).
Children's approximate age range (optional, entered by the adult) — basis: consent (art. 6.1.a GDPR).
IP address, device, OS, app version — basis: legitimate interest for security (art. 6.1.f GDPR).
Usage and analytics data — basis: prior express consent (art. 6.1.a GDPR).
Messages are stored securely on OVH servers (France, EU) with AES-256 field-level encryption at application level. The system does not implement E2E encryption, so KidsTalkiPlay may access message content in the defined circumstances of section 6. Legal basis: legitimate interest (art. 6.1.f GDPR) and legal obligation (art. 6.1.c GDPR).
Video calls are managed through Agora.io. KidsTalkiPlay only stores minimal metadata: conversation identifier (matchId), participant identifiers and the temporary Agora.io token. KidsTalkiPlay does not store or have access to the audio or video content of video calls.
DATA NOT COLLECTED: KidsTalkiPlay does NOT collect precise GPS location, biometric data, financial data, device contacts, or audio/video content of video calls.
Chat messages: maximum 24 months from last active access. Automatic deletion, except where moderation is active or legal retention is required.
Account data: for the duration of the active account. Deletion within 30 days of closure.
Video call metadata: deleted at end of session or within 30 days.
Technical logs: maximum 90 days with automatic rotation.
Moderation and report data: maximum 5 years.
Analytics data: maximum 26 months.
In-transit encryption: HTTPS/TLS enforced at application level with HSTS.
Field-level encryption: message content encrypted with AES-256 at application level.
Encryption at rest: provided by OVH at infrastructure level.
Audit log: all access to message content is recorded with identity, date and reason.
Access control: least privilege principle.
Automatic deletion: scheduled cron jobs per retention policy.
NO E2E ENCRYPTION IN CHAT: Messages are not end-to-end encrypted. KidsTalkiPlay may access their content in the defined circumstances. This is known and accepted by the user upon registration.
Video calls are managed by Agora.io with the following security measures:
In-transit encryption (TLS) between users' devices and Agora.io servers.
Encryption of audio and video streams managed by Agora.io.
KidsTalkiPlay does not store or have access to video call content.
NO E2E ENCRYPTION IN VIDEO CALLS: Video calls use Agora.io's standard mode with in-transit encryption and media encryption managed by the provider, but without end-to-end encryption (E2E). The user accepts this upon using the video call feature.
KidsTalkiPlay may access message content, with an audit log entry, exclusively in the following circumstances: user report, automated content detection, evidence of illegal or abusive activity, safety necessity, authority request or legal obligation.
KidsTalkiPlay does NOT sell or transfer personal data to third parties for commercial purposes. Data is shared exclusively with the following processors, under a Data Processing Agreement (art. 28 GDPR):
OVH (France, EU): cloud infrastructure, hosting, database and backups via Plesk. DPA in place.
Agora.io (Agora Lab, Inc., USA): real-time video calls. DPA in process of execution pursuant to art. 28 GDPR, with Standard Contractual Clauses (SCCs) for international transfers.
Analytics provider (only active with user consent). DPA in place.
Transactional email provider. DPA in place.
Competent authorities: exclusively where required by legal obligation.
Data hosted on OVH is stored exclusively in France (EU), with no transfers outside the EEA. In the case of Agora.io, session tokens and minimal video call metadata may be processed on servers outside the EEA. This transfer is covered by Standard Contractual Clauses (SCCs) pursuant to Chapter V GDPR.
The platform is not directed at individuals under 18. Only approximate children's age ranges, entered by the adult account holder, are stored. These are not identifiable, are not shared with third parties and are automatically deleted with the account within 30 days.
Users may exercise their rights of access, rectification, erasure, objection, restriction, portability and consent withdrawal (arts. 15-21 GDPR) at: info@kidstalkiplay.com (subject: 'GDPR RIGHTS REQUEST'). Response time: 1 month, extendable to 3.
The user has the right to lodge a complaint with the supervisory authority competent in their country of residence within the EU. Supervisory authority in Estonia: Andmekaitse Inspektsioon — www.aki.ee. In Germany: the competent data protection authority of the relevant federal state (Land). In Spain: Agencia Española de Protección de Datos (AEPD) — www.aepd.es.
KidsTalkiPlay does not make decisions based solely on automated processing that produce significant legal effects on the user (art. 22 GDPR).
Reg. (EU) 524/2013: https://ec.europa.eu/consumers/odr. ODR contact: info@kidstalkiplay.com.
KidsTalkiPlay – Endgültige Fassung · Gültig ab 12. April 2026 · Verantwortlicher: KidsTalkiPlay OÜ · Handelsregister (Estland): 17265903 · Eingetragener Sitz: Telliskivi tn 57, 10412 Tallinn, Estland · Datenschutzkontakt / DSB: info@kidstalkiplay.com · Letzte Aktualisierung: 12. April 2026
Verantwortlicher ist KidsTalkiPlay OÜ. Anfragen: info@kidstalkiplay.com (Betreff: 'DATENSCHUTZ').
E-Mail, Name oder Spitzname, ungefähre Stadt — Grundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Ungefähre Altersgruppe der Kinder (optional, vom Erwachsenen eingegeben) — Grundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
IP-Adresse, Gerät, Betriebssystem, App-Version — Grundlage: berechtigtes Interesse für Sicherheit (Art. 6 Abs. 1 lit. f DSGVO).
Nutzungs- und Analysedaten — Grundlage: vorherige ausdrückliche Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Nachrichten werden sicher auf OVH-Servern (Frankreich, EU) mit AES-256-Feldverschlüsselung auf Anwendungsebene gespeichert. Das System implementiert keine E2E-Verschlüsselung, sodass KidsTalkiPlay in den in Abschnitt 6 genannten Fällen auf Inhalte zugreifen kann. Rechtsgrundlage: berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) und gesetzliche Verpflichtung (Art. 6 Abs. 1 lit. c DSGVO).
Videoanrufe werden über Agora.io abgewickelt. KidsTalkiPlay speichert nur minimale Metadaten: matchId, Teilnehmer-IDs und temporäres Agora.io-Token. KidsTalkiPlay speichert keine Audio- oder Videoinhalte von Videoanrufen und hat keinen Zugriff darauf.
NICHT ERHOBENE DATEN: KidsTalkiPlay erhebt KEINE genaue GPS-Ortung, biometrische Daten, Finanzdaten, Gerätekontakte oder Audio-/Videoinhalte von Videoanrufen.
Chat-Nachrichten: maximal 24 Monate ab letztem aktivem Zugriff. Automatische Löschung, außer bei aktiver Moderation oder gesetzlicher Aufbewahrungspflicht.
Kontodaten: für die Dauer des aktiven Kontos. Löschung innerhalb von 30 Tagen nach Kündigung.
Videoanruf-Metadaten: Löschung am Ende der Sitzung oder innerhalb von 30 Tagen.
Technische Protokolle: maximal 90 Tage mit automatischer Rotation.
Moderations- und Meldedaten: maximal 5 Jahre.
Analysedaten: maximal 26 Monate.
Transportverschlüsselung: HTTPS/TLS auf Anwendungsebene mit HSTS erzwungen.
Feldverschlüsselung: Nachrichteninhalt mit AES-256 auf Anwendungsebene verschlüsselt.
Verschlüsselung im Ruhezwustand: durch OVHauf Infrastrukturebene bereitgestellt.
Prüfprotokoll: alle Zugriffe auf Nachrichteninhalte werden erfasst.
Zugriffskontrolle: Prinzip der minimalen Rechtevergabe.
Automatische Löschung: geplante Prozesse (Cron-Jobs) gemäß Aufbewahrungsrichtlinie.
KEINE E2E-VERSCHLÜSSELUNG IM CHAT: Nachrichten sind nicht Ende-zu-Ende verschlüsselt. KidsTalkiPlay kann in den definierten Fällen auf deren Inhalt zugreifen. Dieses Merkmal ist dem Nutzer bei der Registrierung bekannt und wird von ihm akzeptiert.
Videoanrufe werden von Agora.io mit folgenden Sicherheitsmaßnahmen verwaltet:
Transportverschlüsselung (TLS) zwischen den Geräten der Nutzer und den Agora.io-Servern.
Verschlüsselung der Audio- und Videostreams durch Agora.io.
KidsTalkiPlay speichert keine Videoanrufinhalte und hat keinen Zugriff darauf.
KEINE E2E-VERSCHLÜSSELUNG BEI VIDEOANRUFEN: Videoanrufe nutzen den Standard-Agora.io-Modus mit Transportverschlüsselung und anbieterseitiger Medienverschlüsselung, jedoch ohne Ende-zu-Ende-Verschlüsselung (E2E). Der Nutzer akzeptiert dieses Merkmal bei der Nutzung der Videoanruffunktion.
KidsTalkiPlay kann mit Prüfprotokoll auf Nachrichteninhalte zugreifen, ausschließlich bei: Nutzermeldung, automatischer Erkennung, Hinweisen auf illegale Aktivitäten, Sicherheitsnotwendigkeit, Behördenanforderung oder gesetzlicher Verpflichtung.
KidsTalkiPlay verkauft oder gibt keine personenbezogenen Daten zu kommerziellen Zwecken an Dritte weiter. Daten werden ausschließlich an folgende Auftragsverarbeiter weitergegeben, unter einem AVV (Art. 28 DSGVO):
OVH (Frankreich, EU): Cloud-Infrastruktur, Hosting, Datenbank und Backups via Plesk. AVV abgeschlossen.
Agora.io (Agora Lab, Inc., USA): Echtzeit-Videoanrufe. AVV in Ausführung mit Standardvertragsklauseln (SCCs) für internationale Übertragungen.
Analyseanbieter (nur mit Nutzereinwilligung aktiv). AVV abgeschlossen.
Transaktionaler E-Mail-Anbieter. AVV abgeschlossen.
Zuständige Behörden: ausschließlich wenn gesetzlich vorgeschrieben.
Bei OVH gespeicherte Daten verbleiben in Frankreich (EU), ohne Übertragungen außerhalb des EWR. Bei Agora.io können Sitzungstoken und minimale Videoanruf-Metadaten auf Servern außerhalb des EWR verarbeitet werden. Diese Übertragung erfolgt auf Grundlage von Standardvertragsklauseln (SCCs) gemäß Kapitel V DSGVO.
Die Plattform richtet sich nicht an Personen unter 18 Jahren. Es werden nur ungefähre Altersgruppen der Kinder gespeichert, die vom erwachsenen Kontoinhaber eingegeben werden. Diese sind nicht identifizierend, werden nicht an Dritte weitergegeben und innerhalb von 30 Tagen automatisch mit dem Konto gelöscht.
Nutzer können ihre Rechte auf Auskunft, Berichtigung, Löschung, Widerspruch, Einschränkung, Datenübertragbarkeit und Widerruf der Einwilligung (Art. 15-21 DSGVO) geltend machen unter: info@kidstalkiplay.com (Betreff: 'DSGVO-BETROFFENENRECHTE'). Frist: 1 Monat, verlängerbar auf 3.
Aufsichtsbehörde: Andmekaitse Inspektsioon (Estland) — www.aki.ee. Sowie die jeweils zuständige Datenschutzbehörde im Wohnsitzland des Nutzers.
VO (EU) 524/2013: https://ec.europa.eu/consumers/odr. ODR-Kontakt: info@kidstalkiplay.com.
KidsTalkiPlay – Versión Final · Vigente desde 12 de abril de 2026 · Responsable del tratamiento: KidsTalkiPlay OÜ · Registro mercantil (Estonia): 17265903 · Domicilio social: Telliskivi tn 57, 10412 Tallinn, Estonia · Contacto privacidad / DPD: info@kidstalkiplay.com · Última actualización: 12 de abril de 2026
El responsable del tratamiento es KidsTalkiPlay OÜ. Para consultas: info@kidstalkiplay.com (asunto: 'PROTECCIÓN DE DATOS').
Email, nombre o apodo, ciudad aproximada — base: ejecución del contrato (art. 6.1.b RGPD).
Rango de edad de hijos (opcional, introducido por el adulto) — base: consentimiento (art. 6.1.a RGPD).
IP, dispositivo, sistema operativo, versión de app — base: interés legítimo para seguridad (art. 6.1.f RGPD).
Datos de uso y analítica — base: consentimiento previo y expreso (art. 6.1.a RGPD).
Los mensajes se almacenan de forma segura en servidores de OVH (Francia, UE) con cifrado de campo AES-256 a nivel de aplicación. El sistema no implementa cifrado E2E, por lo que KidsTalkiPlay puede acceder al contenido en los supuestos tasados de la sección 6. Base jurídica: interés legítimo (art. 6.1.f RGPD) y obligación legal (art. 6.1.c RGPD).
Las videollamadas se gestionan a través de Agora.io. KidsTalkiPlay únicamente almacena metadatos mínimos: matchId, identificadores de participantes y token temporal de Agora.io. KidsTalkiPlay no almacena ni tiene acceso al contenido de audio o vídeo de las videollamadas.
DATOS NO RECOGIDOS: KidsTalkiPlay NO recopila geolocalización GPS precisa, datos biométricos, datos financieros, contactos del dispositivo, ni contenido de audio/vídeo de videollamadas.
Mensajes de chat: máximo 24 meses desde el último acceso activo. Eliminación automática, salvo moderación activa o requerimiento legal.
Datos de cuenta: durante el tiempo de actividad. Eliminación en 30 días tras la baja.
Metadatos de videollamadas: eliminados al finalizar la sesión o en máximo 30 días.
Logs técnicos: máximo 90 días con rotación automática.
Datos de moderación y reportes: máximo 5 años.
Datos analíticos: máximo 26 meses.
Cifrado en tránsito: HTTPS/TLS forzado a nivel de aplicación con HSTS.
Cifrado de campo: contenido de mensajes cifrado con AES-256 a nivel de aplicación.
Cifrado en reposo: proporcionado por OVH a nivel de infraestructura.
Log de auditoría: todos los accesos al contenido de mensajes quedan registrados.
Control de acceso: principio de mínimo privilegio.
Borrado automático: procesos programados (cron jobs) según política de retención.
AUSENCIA DE CIFRADO E2E EN CHAT: Los mensajes no están cifrados de extremo a extremo. KidsTalkiPlay puede acceder a su contenido en los supuestos tasados. Esta característica es conocida y aceptada por el usuario al registrarse.
Las videollamadas son gestionadas por Agora.io con las siguientes medidas:
Cifrado en tránsito (TLS) entre los dispositivos de los usuarios y los servidores de Agora.io.
Cifrado de los streams de audio y vídeo gestionado por Agora.io.
KidsTalkiPlay no almacena ni puede acceder al contenido de las videollamadas.
AUSENCIA DE CIFRADO E2E EN VIDEOLLAMADAS: Las videollamadas utilizan el modo estándar de Agora.io con cifrado en tránsito y cifrado de media gestionado por el proveedor, pero sin cifrado de extremo a extremo (E2E). El usuario acepta esta característica al usar la funcionalidad de videollamadas.
KidsTalkiPlay podrá acceder al contenido de los mensajes, con registro de auditoría, exclusivamente ante: reporte de usuario, detección automatizada, indicios de actividad ilegal, necesidad de seguridad, requerimiento de autoridades u obligación legal.
KidsTalkiPlay no vende ni cede datos personales a terceros con fines comerciales. Los datos se comunican exclusivamente a los siguientes encargados, bajo contrato DPA (art. 28 RGPD):
OVH (Francia, UE): infraestructura cloud, hosting, base de datos y backups mediante Plesk. DPA formalizado.
Agora.io (Agora Lab, Inc., EE.UU.): videollamadas en tiempo real. DPA en proceso de ejecución conforme al art. 28 RGPD, con cláusulas contractuales tipo (SCCs) para transferencias internacionales.
Proveedor de servicios analíticos (solo activo con consentimiento del usuario). DPA formalizado.
Proveedor de correo electrónico transaccional. DPA formalizado.
Autoridades competentes: exclusivamente cuando sea requerido por obligación legal.
Los datos alojados en OVH se almacenan en Francia (UE), sin transferencias fuera del EEE. En el caso de Agora.io, los tokens y metadatos mínimos de videollamada pueden ser procesados en servidores fuera del EEE. Esta transferencia se realiza amparada en cláusulas contractuales tipo (SCCs) conforme al Capítulo V del RGPD.
La plataforma no está dirigida a menores de 18 años. Solo se recogen rangos de edad aproximada de hijos, introducidos por el adulto titular. Estos datos no son identificativos, no se comparten con terceros y se eliminan automáticamente con la cuenta en 30 días.
El usuario puede ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación, portabilidad y retirada del consentimiento (arts. 15-21 RGPD) en: info@kidstalkiplay.com (asunto: 'EJERCICIO DE DERECHOS RGPD'). Plazo: 1 mes, prorrogable a 3.
El usuario tiene derecho a presentar una reclamación ante la autoridad de control competente en su país de residencia dentro de la UE. Autoridad de control en Estonia: Andmekaitse Inspektsioon — www.aki.ee. Para usuarios en España: Agencia Española de Protección de Datos (AEPD) — www.aepd.es. Para usuarios en Alemania: la autoridad de control del Land correspondiente.
KidsTalkiPlay no adopta decisiones basadas exclusivamente en tratamiento automatizado que produzcan efectos jurídicos significativos sobre el usuario (art. 22 RGPD).
Reg. (UE) 524/2013: https://ec.europa.eu/consumers/odr. Contacto ODR: info@kidstalkiplay.com.