FFitient← Strona główna

Polityka prywatności

Ostatnia aktualizacja: 17 maja 2026

1. Administrator danych

Administratorem Twoich danych osobowych jest Fitient, z siedzibą pod adresem ul. Przykładowa 1, 00-001 Warszawa. Kontakt ogólny: kontakt@fitient.pl. Kontakt w sprawach RODO: rodo@fitient.pl.

2. Kategorie przetwarzanych danych

  • Dane konta: imię, adres e-mail, hasło (zahashowane bcrypt), pseudonim, awatar
  • Dane zdrowotne: metryki ciała (waga, kroki, kalorie), zdjęcia postępów, historia treningów, plany makro
  • Dane finansowe: historia płatności i faktur (przetwarzana przez Stripe), NIP (opcjonalnie B2B)
  • Dane komunikacyjne: wiadomości na czacie, wiadomości od znajomych, powiadomienia push, posty
  • Dane techniczne: adres IP, user-agent (logi audytowe), tokeny push (Expo)
  • Dane lokalizacyjne (opcjonalne): kod pocztowy, współrzędne dla marketplace trenerów

3. Podstawy prawne przetwarzania

  • Art. 6 ust. 1 lit. b RODO — wykonanie umowy (świadczenie usługi)
  • Art. 6 ust. 1 lit. c RODO — obowiązek prawny (księgowość, faktury VAT — 5 lat)
  • Art. 6 ust. 1 lit. f RODO — uzasadniony interes (analityka wewnętrzna, bezpieczeństwo, audyt)
  • Art. 6 ust. 1 lit. a RODO — zgoda (marketing, analityka PostHog, profilowanie)
  • Art. 9 ust. 2 lit. a RODO — wyraźna zgoda na przetwarzanie danych zdrowotnych

4. Zewnętrzni procesorzy danych (subprocessors)

  • Stripe Payments Europe Ltd. — obsługa płatności i faktur (DPA: stripe.com/dpa)
  • PostHog Inc. — analityka produktowa (instancja EU, app.posthog.com)
  • Resend — wysyłka emaili transakcyjnych
  • MinIO / OVH Object Storage — przechowywanie plików (zdjęcia, wideo ćwiczeń, eksporty RODO) — region EU
  • Expo / Apple Push Notification, Google Firebase — wysyłanie powiadomień push
  • Sentry — monitoring błędów (jeśli włączony; bez PII)

Pełna lista podproceserów dostępna na żądanie: rodo@fitient.pl.

5. Transfer danych poza EOG

Niektórzy procesorzy (Stripe, Expo, część infrastruktury PostHog) mogą przetwarzać dane na serwerach poza Europejskim Obszarem Gospodarczym (głównie USA). Transfer odbywa się na podstawie:

  • Standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską
  • Mechanizmu EU–U.S. Data Privacy Framework (DPF) — dla procesorów certyfikowanych
  • Dodatkowych środków technicznych: szyfrowanie w spoczynku, TLS w tranzycie

6. Czas przechowywania danych

  • Dane konta i zdrowotne — przez czas trwania umowy. Po wniosku o usunięcie konta dane są anonimizowane po 30 dniach (grace period).
  • Faktury i dane rozliczeniowe — 5 lat od końca roku podatkowego (ustawa o rachunkowości).
  • Logi audytowe (RODO) — bezterminowo (uzasadniony interes — dowód realizacji praw).
  • Logi techniczne, sesje — do 90 dni.
  • Zdjęcia i wideo — usuwane wraz z anonimizacją konta.
  • Eksporty RODO (ZIP) — 14 dni od wygenerowania, potem auto-usuwane.

7. Twoje prawa

Przysługują Ci następujące prawa:

  • Prawo dostępu do danych (art. 15 RODO) — przez panel ustawień lub kontakt rodo@fitient.pl
  • Prawo do sprostowania danych (art. 16 RODO)
  • Prawo do usunięcia danych (art. 17 RODO) — 30-dniowy grace period z możliwością cofnięcia wniosku
  • Prawo do ograniczenia przetwarzania (art. 18 RODO)
  • Prawo do przenoszenia danych (art. 20 RODO) — eksport ZIP z poziomu aplikacji
  • Prawo do sprzeciwu (art. 21 RODO)
  • Prawo do wycofania zgody w dowolnym momencie (art. 7 ust. 3 RODO)
  • Prawo do skargi do Prezesa UODO (uodo.gov.pl)

8. Pliki cookie i technologie śledzące

Fitient używa następujących kategorii plików cookie i podobnych technologii:

  • NIEZBĘDNE (bez zgody — art. 173 ust. 3 PT) — sesja użytkownika (NextAuth.js), CSRF, preferencje motywu.
  • ANALITYCZNE (za zgodą) — PostHog (instancja EU): statystyki użycia, mapy heat, sesje (bez PII).
  • MARKETINGOWE (za zgodą) — email marketing transakcyjny dot. produktu.
  • PROFILUJĄCE (za zgodą) — rekomendacje treningowe, dopasowanie trenerów w marketplace.

Zgodę możesz wycofać w dowolnym momencie w ustawieniach prywatności (zalogowani) lub przyciskiem "Ustawienia plików cookie" w stopce.

9. Inspektor Ochrony Danych (DPO)

Aktualnie nie powołaliśmy formalnego Inspektora Ochrony Danych (administrator nie jest do tego zobowiązany w myśl art. 37 RODO). Wszystkie sprawy RODO obsługuje administrator pod adresem rodo@fitient.pl — odpowiadamy w terminie do 30 dni (z możliwością przedłużenia o kolejne 60 dni w sprawach skomplikowanych).