Administratorem Twoich danych osobowych jest:
W sprawach dotyczących przetwarzania danych osobowych możesz skontaktować się z nami pod adresem email podanym powyżej.
W zależności od sposobu korzystania z Serwisu, zbieramy następujące kategorie danych osobowych:
1. Dane identyfikacyjne i kontaktowe
| Dane | Kiedy zbierane |
|---|---|
| Imię i nazwisko | Rejestracja konta |
| Adres email | Rejestracja konta |
| Hasło (przechowywane w postaci zaszyfrowanej) | Rejestracja konta |
| Miasto (tylko Trenerzy) | Rejestracja konta Trenera |
| Bio / opis (tylko Trenerzy) | Rejestracja konta Trenera |
| Specjalizacje treningowe (tylko Trenerzy) | Rejestracja konta Trenera |
| Lata doświadczenia (tylko Trenerzy) | Rejestracja konta Trenera |
| Certyfikaty i kwalifikacje (tylko Trenerzy) | Rejestracja konta Trenera |
| Profile w mediach społecznościowych (opcjonalnie, tylko Trenerzy) | Profil Trenera |
2. Dane fizyczne i antropometryczne
| Dane | Kiedy zbierane |
|---|---|
| Waga ciała (kg) | Onboarding, wywiad żywieniowy, pomiary |
| Wzrost (cm) | Onboarding, wywiad żywieniowy |
| Wiek (lata) | Onboarding, wywiad żywieniowy |
| Płeć | Onboarding |
| Tkanka tłuszczowa (%) | Pomiary sylwetki |
| Obwód szyi (cm) | Pomiary sylwetki |
| Obwód klatki piersiowej (cm) | Pomiary sylwetki |
| Obwód bicepsa (cm) | Pomiary sylwetki |
| Obwód talii (cm) | Pomiary sylwetki |
| Obwód bioder (cm) | Pomiary sylwetki |
| Obwód uda (cm) | Pomiary sylwetki |
| Obwód łydki (cm) | Pomiary sylwetki |
3. Dane treningowe i sportowe
| Dane | Kiedy zbierane |
|---|---|
| Cel treningowy (np. redukcja, masa, kondycja) | Onboarding |
| Poziom zaawansowania (początkujący / średniozaawansowany / zaawansowany) | Onboarding |
| Uprawiany sport lub dyscyplina sportowa | Onboarding |
| Liczba dni treningowych w tygodniu | Onboarding |
| Dostępny sprzęt (siłownia, dom, brak) | Onboarding |
| Historia treningów, wykonane ćwiczenia, serie, ciężary, postępy | Korzystanie z platformy |
| Rekordy osobiste (PR) | Korzystanie z platformy |
| Punkty doświadczenia (XP), poziom, seria treningowa, zdobyte odznaki | Korzystanie z platformy (system gamifikacji) |
4. Dane zdrowotne — dane szczególnej kategorii (art. 9 RODO)
Poniższe dane stanowią dane szczególnej kategorii w rozumieniu art. 9 RODO i są przetwarzane wyłącznie na podstawie Twojej wyraźnej, dobrowolnej zgody udzielonej podczas wypełniania wywiadu:
| Dane | Kiedy zbierane |
|---|---|
| Kontuzje i urazy (rodzaj, lokalizacja, historia) | Onboarding treningowy |
| Choroby przewlekłe i schorzenia (np. cukrzyca, nadciśnienie, choroby tarczycy) | Wywiad żywieniowy |
| Przyjmowane leki | Wywiad żywieniowy |
| Alergie pokarmowe i nietolerancje (np. gluten, laktoza, orzechy) | Wywiad żywieniowy |
| Poziom stresu (skala 1–10) | Wywiad żywieniowy |
| Średnia liczba godzin snu | Wywiad żywieniowy |
| Stosowane używki (alkohol, papierosy, inne) | Wywiad żywieniowy |
5. Dane żywieniowe i dietetyczne
| Dane | Kiedy zbierane |
|---|---|
| Cel żywieniowy (redukcja / utrzymanie / masa) | Wywiad żywieniowy |
| Styl diety (np. weganizm, wegetarianizm, keto, standard) | Wywiad żywieniowy |
| Liczba posiłków dziennie i preferowane pory | Wywiad żywieniowy |
| Czas przeznaczony na gotowanie | Wywiad żywieniowy |
| Tygodniowy budżet na jedzenie | Wywiad żywieniowy |
| Nielubianie produkty spożywcze | Wywiad żywieniowy |
| Stosowane suplementy diety | Wywiad żywieniowy |
| Przykładowy dzień żywieniowy (opisowy) | Wywiad żywieniowy |
| Aktywność fizyczna poza treningami | Wywiad żywieniowy |
6. Dane finansowe i transakcyjne
| Dane | Kiedy zbierane |
|---|---|
| Historia transakcji i zakupów | Zakup subskrypcji lub planu |
| Dane kart płatniczych — NIE przechowujemy, obsługuje je Stripe Inc. | Zakup subskrypcji lub planu |
7. Dane techniczne
| Dane | Kiedy zbierane |
|---|---|
| Adres IP | Automatycznie przy każdej sesji |
| Typ i wersja przeglądarki | Automatycznie przy każdej sesji |
| Czas i długość sesji | Automatycznie przy każdej sesji |
| Pliki cookie sesyjne i funkcjonalne | Automatycznie przy każdej sesji |
8. Dane wizualne (opcjonalne)
| Dane | Kiedy zbierane |
|---|---|
| Zdjęcie profilowe (avatar) | Dobrowolnie, po wybraniu zdjęcia z galerii urządzenia w sekcji Profil |
Zdjęcie profilowe jest przechowywane w Supabase Storage (serwery w UE) i widoczne dla Twojego Trenera oraz w Twoim profilu publicznym (jeśli jesteś Trenerem). Możesz zmienić lub usunąć zdjęcie w każdej chwili z poziomu zakładki Profil. Aplikacja mobilna prosi o dostęp do galerii zdjęć wyłącznie w momencie wyboru zdjęcia profilowego — nie odczytuje galerii w żadnym innym kontekście.
9. Dane z quizów trenerskich
Trenerzy mogą tworzyć własne quizy z dowolnymi pytaniami dotyczącymi celów, zdrowia i preferencji Klienta. Zakres pytań i zbieranych danych zależy od treści quizu stworzonego przez Trenera. Trener jest zobowiązany do poinformowania Klienta o celu zbierania danych i przestrzegania zasad RODO.
| Cel przetwarzania | Podstawa prawna |
|---|---|
| Świadczenie usług platformy (konto, treningi, plany) | Art. 6 ust. 1 lit. b RODO — wykonanie umowy |
| Przetwarzanie danych zdrowotnych i fitness | Art. 9 ust. 2 lit. a RODO — wyraźna zgoda |
| Obsługa płatności | Art. 6 ust. 1 lit. b RODO — wykonanie umowy |
| Wysyłka powiadomień i komunikatów serwisowych | Art. 6 ust. 1 lit. b RODO — wykonanie umowy |
| Marketing i newsletter (jeśli wyrażono zgodę) | Art. 6 ust. 1 lit. a RODO — zgoda |
| Analiza i poprawa działania platformy | Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes |
| Wypełnienie obowiązków prawnych (np. podatkowych) | Art. 6 ust. 1 lit. c RODO — obowiązek prawny |
Twoje dane osobowe mogą być przekazywane następującym kategoriom odbiorców:
Szczegółowa lista podmiotów przetwarzających, ich rola, lokalizacja i podstawa transferu danych — patrz sekcja 11.
Nie sprzedajemy Twoich danych osobowych podmiotom trzecim.
Część naszych dostawców ma siedzibę poza Europejskim Obszarem Gospodarczym (EOG), w tym w USA. W każdym takim przypadku zapewniamy odpowiedni poziom ochrony danych poprzez:
Dla podmiotów z USA, które są aktywnymi uczestnikami EU-U.S. Data Privacy Framework (DPF), transfer odbywa się na podstawie decyzji Komisji Europejskiej o adekwatności (Art. 45 RODO) w ramach DPF. Aktualna lista DPF-certified providerów: dataprivacyframework.gov/list. DPF dotyczy następujących naszych subprocessorów: Apple, Google, Stripe, Sentry, PostHog, Cloudflare, Vercel.
Dla podmiotów nieuczestniczących w DPF (Anthropic PBC, Supabase Pte. Ltd.) transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) Komisji Europejskiej 2021/914, Moduł 2 (administrator → podmiot przetwarzający).
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta i aktywności | Do czasu usunięcia konta + 30 dni |
| Dane płatnicze i faktury | 5 lat (obowiązek podatkowy) |
| Dane techniczne / logi | 12 miesięcy |
| Dane marketingowe | Do cofnięcia zgody |
Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane.
Na podstawie RODO przysługują Ci następujące prawa:
Aby skorzystać z powyższych praw, skontaktuj się z nami pod adresem: kontakt@chcebyc.fit. Odpowiemy w ciągu 30 dni.
Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, jeżeli uważasz, że przetwarzanie Twoich danych narusza przepisy RODO.
Serwis korzysta z plików cookie oraz podobnych technologii. Poniżej znajduje się pełna lista konkretnych cookies wykorzystywanych przez Serwis:
| Nazwa cookie | Dostawca | Cel | Czas życia | Kategoria | Consent |
|---|---|---|---|---|---|
| sb-access-token | Supabase | sesja JWT (auth) | 1h | Niezbędne | Nie wymagana |
| sb-refresh-token | Supabase | odnowienie sesji | 7 dni | Niezbędne | Nie wymagana |
| ph_phc_*_posthog | PostHog (EU Frankfurt) | distinct_id, sesja analytics | 12 miesięcy | Analityczne | Wymagana |
| __stripe_mid, __stripe_sid | Stripe | tylko na checkout.stripe.com po redirect | sesja / 1 rok | Niezbędne (płatność) | Nie wymagana |
Cookies analityczne (PostHog) są ładowane wyłącznie po wyrażeniu zgody przez baner cookies wyświetlany przy pierwszej wizycie. Możesz zarządzać zgodami w dowolnym momencie klikając link „Zarządzaj cookies" w stopce.
Możesz również zarządzać plikami cookie poprzez ustawienia swojej przeglądarki. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z Serwisu (m.in. zalogowanie się i utrzymanie sesji).
Stosujemy następujące środki techniczne i organizacyjne w celu ochrony Twoich danych:
W przypadku naruszenia bezpieczeństwa danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, poinformujemy Cię bez zbędnej zwłoki.
Zastrzegamy sobie prawo do zmiany niniejszej Polityki Prywatności. O wszelkich istotnych zmianach poinformujemy Cię z wyprzedzeniem co najmniej 14 dni poprzez powiadomienie w Serwisie lub wiadomość email.
Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem chcebyc.fit/polityka.
Poniżej znajduje się pełna lista podmiotów przetwarzających, którym powierzamy dane osobowe w celu świadczenia usług Serwisu. Każdy z podmiotów został zweryfikowany pod kątem zgodności z RODO, a transfer danych poza EOG odbywa się na podstawie wymienionych instrumentów prawnych (DPF / SCC).
| # | Podmiot | Adres | Rola | Dane przekazywane | Lokalizacja | Podstawa transferu | DPA / Status |
|---|---|---|---|---|---|---|---|
| 1 | Apple Distribution International Ltd. | Hollyhill Industrial Estate, Hollyhill, Cork, Irlandia (EU representative for Apple Inc., USA) | App Store distribution + IAP iOS + Sign in with Apple | Apple ID (anonimowy), purchase token, subscription status | UE (Cork) + USA (Apple Inc.) | DPF + SCC | DPA via ADPLA (acceptance przy enrollment) |
| 2 | Google LLC | 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA | Google Play Store distribution + IAP Android (Play Billing) | Google account ID (anonimowy), purchase token, product ID | USA | DPF + SCC | Google Controller Terms v11 (auto-accept via Play Developer signup) |
| 3 | Stripe Inc. | 354 Oyster Point Boulevard, South San Francisco, CA 94080, USA | Płatności web (subskrypcje, marketplace Connect) | email, dane karty (tokenizowane), historia transakcji, Customer ID | USA | DPF + SCC | DPA: Stripe Services Agreement (accepted at account creation) |
| 4 | Sentry (Functional Software Inc.) | 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA | Error tracking i monitoring crashów | error metadata, stack traces, user_id (UUID, NIE PII), device info — Art. 9 scrubbing przez beforeSend hook | EU (Frankfurt region) | DPF + SCC | DPA v5.1.0 (signed 2026-06-14 via clickwrap), EU data residency |
| 5 | Resend Inc. | 2261 Market Street #4667, San Francisco, CA 94114, USA | Email transactional (rejestracja, faktury, notyfikacje) | email, imię, treść maila | USA + UE (eu-west-1 sending region) | DPF + SCC | DPA accepted at account creation, signed-by-CEO public PDF dostępny |
| 6 | PostHog Inc. | 2261 Market Street #4008, San Francisco, CA 94114, USA | Analityka produktowa (web + mobile) | distinct_id (anonimowy), zdarzenia anonimizowane, screen views — brak PII | UE (Frankfurt, eu.i.posthog.com) + USA (kontrakt) | DPF + SCC | DPA signed 2026-06-15 by Charles Cook (VP Operations) via PandaDoc |
| 7 | Supabase Pte. Ltd. | 160 Robinson Road, #14-04 SBF Center, Singapore 068914 | Database (PostgreSQL), Auth, Storage (avatary), Realtime (chat) | wszystkie dane użytkowników (auth, profile, treningi, pomiary, wiadomości, AI rozmowy) | UE (eu-central-1 Frankfurt) | SCC Module 2 (Supabase Pte. Ltd. NIE jest na DPF) | DPA v260601 binding via Terms of Service (account creation 2026-03-15) |
| 8 | Vercel Inc. | 440 N Barranca Avenue #4133, Covina, CA 91723, USA | Hosting Next.js (web), Serverless Functions, Cron Jobs, Edge Network CDN, Build/Deploy, Runtime Logs | wszystkie dane HTTP request/response (transit-only — NIE persistence) | USA (default region) + UE (edge cache) | DPF + SCC | DPA v effective 2026-03-31 (Pro upgrade 2026-06-15) |
| 9 | Cloudflare Inc. | 101 Townsend Street, San Francisco, CA 94107, USA | R2 Object Storage (video atlas ćwiczeń), CDN, DDoS protection | tylko video tutoriale (zero PII, zero special category data) | USA (Default jurisdiction, no PII justifies) | DPF + SCC | DPA v6.4 (effective 2026-04-03) binding via Self-Serve ToS, EU representative VeraSafe Ireland |
| 10 | Anthropic, PBC | 548 Market Street PMB 90375, San Francisco, CA 94104, USA | AI Coach (modele Claude 4.x: Opus/Sonnet/Haiku) — generowanie planów treningowych, dietetycznych, AI rozmowy | pytania użytkownika, profil (waga, BMI, cele, kontuzje), historia treningowa, plan żywieniowy — Art. 9 dane zdrowotne za wyraźną zgodą Art. 9 ust. 2 lit. a | USA | SCC Module 2 (Anthropic NIE jest na DPF) | DPA auto-incorporated do Commercial Terms (binding od pierwszego paid API request); Retencja: 30 dni dla safety/security (NIE training — Commercial Terms Section B explicit „Anthropic may not train models on Customer Content") |
Informacja dodatkowa: Trenerzy w Serwisie nie są naszymi podmiotami przetwarzającymi — występują w roli odrębnego administratora (lub współadministratora) danych swoich Klientów i zostali opisani w sekcji 4. Lista subprocessorów może ulec zmianie; o istotnych zmianach poinformujemy zgodnie z sekcją 10.