RODO / GDPR

Polityka
prywatności

Wersja: 1.3Data wejścia w życie: 06.04.2026Ostatnia aktualizacja: 14.06.2026
🔒
Niniejsza Polityka Prywatności opisuje, w jaki sposób chceByc.fit zbiera, przetwarza i chroni Twoje dane osobowe, zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO).
1.

Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

Bartosz Krzemiński
ul. Bandurskiego 95/112, 71-685 Szczecin
NIP: 8571894058
Email: kontakt@chcebyc.fit

W sprawach dotyczących przetwarzania danych osobowych możesz skontaktować się z nami pod adresem email podanym powyżej.

2.

Jakie dane zbieramy

W zależności od sposobu korzystania z Serwisu, zbieramy następujące kategorie danych osobowych:

1. Dane identyfikacyjne i kontaktowe

DaneKiedy zbierane
Imię i nazwiskoRejestracja konta
Adres emailRejestracja konta
Hasło (przechowywane w postaci zaszyfrowanej)Rejestracja konta
Miasto (tylko Trenerzy)Rejestracja konta Trenera
Bio / opis (tylko Trenerzy)Rejestracja konta Trenera
Specjalizacje treningowe (tylko Trenerzy)Rejestracja konta Trenera
Lata doświadczenia (tylko Trenerzy)Rejestracja konta Trenera
Certyfikaty i kwalifikacje (tylko Trenerzy)Rejestracja konta Trenera
Profile w mediach społecznościowych (opcjonalnie, tylko Trenerzy)Profil Trenera

2. Dane fizyczne i antropometryczne

DaneKiedy zbierane
Waga ciała (kg)Onboarding, wywiad żywieniowy, pomiary
Wzrost (cm)Onboarding, wywiad żywieniowy
Wiek (lata)Onboarding, wywiad żywieniowy
PłećOnboarding
Tkanka tłuszczowa (%)Pomiary sylwetki
Obwód szyi (cm)Pomiary sylwetki
Obwód klatki piersiowej (cm)Pomiary sylwetki
Obwód bicepsa (cm)Pomiary sylwetki
Obwód talii (cm)Pomiary sylwetki
Obwód bioder (cm)Pomiary sylwetki
Obwód uda (cm)Pomiary sylwetki
Obwód łydki (cm)Pomiary sylwetki

3. Dane treningowe i sportowe

DaneKiedy zbierane
Cel treningowy (np. redukcja, masa, kondycja)Onboarding
Poziom zaawansowania (początkujący / średniozaawansowany / zaawansowany)Onboarding
Uprawiany sport lub dyscyplina sportowaOnboarding
Liczba dni treningowych w tygodniuOnboarding
Dostępny sprzęt (siłownia, dom, brak)Onboarding
Historia treningów, wykonane ćwiczenia, serie, ciężary, postępyKorzystanie z platformy
Rekordy osobiste (PR)Korzystanie z platformy
Punkty doświadczenia (XP), poziom, seria treningowa, zdobyte odznakiKorzystanie z platformy (system gamifikacji)

4. Dane zdrowotne — dane szczególnej kategorii (art. 9 RODO)

Poniższe dane stanowią dane szczególnej kategorii w rozumieniu art. 9 RODO i są przetwarzane wyłącznie na podstawie Twojej wyraźnej, dobrowolnej zgody udzielonej podczas wypełniania wywiadu:

DaneKiedy zbierane
Kontuzje i urazy (rodzaj, lokalizacja, historia)Onboarding treningowy
Choroby przewlekłe i schorzenia (np. cukrzyca, nadciśnienie, choroby tarczycy)Wywiad żywieniowy
Przyjmowane lekiWywiad żywieniowy
Alergie pokarmowe i nietolerancje (np. gluten, laktoza, orzechy)Wywiad żywieniowy
Poziom stresu (skala 1–10)Wywiad żywieniowy
Średnia liczba godzin snuWywiad żywieniowy
Stosowane używki (alkohol, papierosy, inne)Wywiad żywieniowy

5. Dane żywieniowe i dietetyczne

DaneKiedy zbierane
Cel żywieniowy (redukcja / utrzymanie / masa)Wywiad żywieniowy
Styl diety (np. weganizm, wegetarianizm, keto, standard)Wywiad żywieniowy
Liczba posiłków dziennie i preferowane poryWywiad żywieniowy
Czas przeznaczony na gotowanieWywiad żywieniowy
Tygodniowy budżet na jedzenieWywiad żywieniowy
Nielubianie produkty spożywczeWywiad żywieniowy
Stosowane suplementy dietyWywiad żywieniowy
Przykładowy dzień żywieniowy (opisowy)Wywiad żywieniowy
Aktywność fizyczna poza treningamiWywiad żywieniowy

6. Dane finansowe i transakcyjne

DaneKiedy zbierane
Historia transakcji i zakupówZakup subskrypcji lub planu
Dane kart płatniczych — NIE przechowujemy, obsługuje je Stripe Inc.Zakup subskrypcji lub planu

7. Dane techniczne

DaneKiedy zbierane
Adres IPAutomatycznie przy każdej sesji
Typ i wersja przeglądarkiAutomatycznie przy każdej sesji
Czas i długość sesjiAutomatycznie przy każdej sesji
Pliki cookie sesyjne i funkcjonalneAutomatycznie przy każdej sesji

8. Dane wizualne (opcjonalne)

DaneKiedy zbierane
Zdjęcie profilowe (avatar)Dobrowolnie, po wybraniu zdjęcia z galerii urządzenia w sekcji Profil

Zdjęcie profilowe jest przechowywane w Supabase Storage (serwery w UE) i widoczne dla Twojego Trenera oraz w Twoim profilu publicznym (jeśli jesteś Trenerem). Możesz zmienić lub usunąć zdjęcie w każdej chwili z poziomu zakładki Profil. Aplikacja mobilna prosi o dostęp do galerii zdjęć wyłącznie w momencie wyboru zdjęcia profilowego — nie odczytuje galerii w żadnym innym kontekście.

9. Dane z quizów trenerskich

Trenerzy mogą tworzyć własne quizy z dowolnymi pytaniami dotyczącymi celów, zdrowia i preferencji Klienta. Zakres pytań i zbieranych danych zależy od treści quizu stworzonego przez Trenera. Trener jest zobowiązany do poinformowania Klienta o celu zbierania danych i przestrzegania zasad RODO.

3.

Cele i podstawy prawne przetwarzania

Cel przetwarzaniaPodstawa prawna
Świadczenie usług platformy (konto, treningi, plany)Art. 6 ust. 1 lit. b RODO — wykonanie umowy
Przetwarzanie danych zdrowotnych i fitnessArt. 9 ust. 2 lit. a RODO — wyraźna zgoda
Obsługa płatnościArt. 6 ust. 1 lit. b RODO — wykonanie umowy
Wysyłka powiadomień i komunikatów serwisowychArt. 6 ust. 1 lit. b RODO — wykonanie umowy
Marketing i newsletter (jeśli wyrażono zgodę)Art. 6 ust. 1 lit. a RODO — zgoda
Analiza i poprawa działania platformyArt. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes
Wypełnienie obowiązków prawnych (np. podatkowych)Art. 6 ust. 1 lit. c RODO — obowiązek prawny
4.

Odbiorcy danych

Twoje dane osobowe mogą być przekazywane następującym kategoriom odbiorców:

  • Podmioty przetwarzające (subprocessors) — dostawcy infrastruktury technicznej, płatności, analityki, AI i komunikacji, którym powierzamy dane wyłącznie w zakresie niezbędnym do świadczenia usług. Pełna lista subprocessorów wraz z rolą, lokalizacją serwerów i podstawą transferu danych (DPF / SCC) znajduje się w sekcji 11 niniejszej polityki.
  • Trenerzy w Serwisie — w zakresie niezbędnym do realizacji planu treningowego (imię, dane fitness, historia treningów, dane z quizów trenerskich). Trener występuje w roli odrębnego administratora danych (lub współadministratora w zakresie wspólnie ustalonych celów) — jest zobowiązany do samodzielnego wypełnienia obowiązków informacyjnych RODO wobec swojego Klienta.

Szczegółowa lista podmiotów przetwarzających, ich rola, lokalizacja i podstawa transferu danych — patrz sekcja 11.

Nie sprzedajemy Twoich danych osobowych podmiotom trzecim.

5.

Przekazywanie danych do państw trzecich

Część naszych dostawców ma siedzibę poza Europejskim Obszarem Gospodarczym (EOG), w tym w USA. W każdym takim przypadku zapewniamy odpowiedni poziom ochrony danych poprzez:

  • standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską w decyzji 2021/914, Moduł 2 (administrator → podmiot przetwarzający),
  • weryfikację certyfikatów ochrony danych dostawców (w szczególności statusu uczestnika EU-U.S. Data Privacy Framework),
  • minimalizację zakresu przekazywanych danych.

Dla podmiotów z USA, które są aktywnymi uczestnikami EU-U.S. Data Privacy Framework (DPF), transfer odbywa się na podstawie decyzji Komisji Europejskiej o adekwatności (Art. 45 RODO) w ramach DPF. Aktualna lista DPF-certified providerów: dataprivacyframework.gov/list. DPF dotyczy następujących naszych subprocessorów: Apple, Google, Stripe, Sentry, PostHog, Cloudflare, Vercel.

Dla podmiotów nieuczestniczących w DPF (Anthropic PBC, Supabase Pte. Ltd.) transfer odbywa się na podstawie Standardowych Klauzul Umownych (SCC) Komisji Europejskiej 2021/914, Moduł 2 (administrator → podmiot przetwarzający).

6.

Okres przechowywania danych

Kategoria danychOkres przechowywania
Dane konta i aktywnościDo czasu usunięcia konta + 30 dni
Dane płatnicze i faktury5 lat (obowiązek podatkowy)
Dane techniczne / logi12 miesięcy
Dane marketingoweDo cofnięcia zgody

Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane.

7.

Twoje prawa

Na podstawie RODO przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15) — możesz uzyskać kopię swoich danych osobowych.
  • Prawo do sprostowania (art. 16) — możesz żądać poprawienia nieprawidłowych danych.
  • Prawo do usunięcia (art. 17) — „prawo do bycia zapomnianym" — możesz żądać usunięcia danych.
    Aby usunąć konto, przejdź do /usun-konto lub kliknij „Usuń konto" w Profilu w aplikacji mobilnej. Usunięcie konta uruchamia 30-dniowy okres grace, podczas którego możesz cofnąć decyzję klikając link „Anuluj usunięcie" w mailu potwierdzającym. Po 30 dniach następuje nieodwracalne usunięcie danych (z wyjątkiem danych rozliczeniowych retencjonowanych przez 5 lat zgodnie z Ordynacją Podatkową).
  • Prawo do ograniczenia przetwarzania (art. 18) — możesz żądać ograniczenia przetwarzania Twoich danych.
  • Prawo do przenoszenia danych (art. 20) — możesz otrzymać swoje dane w ustrukturyzowanym formacie.
    Możesz pobrać kopię swoich danych w formacie JSON poprzez endpoint /api/account/eksport (limit 1 export na 24h, max ~50MB w jednym pliku) lub żądając exportu emailowo na kontakt@chcebyc.fit (response do 30 dni).
  • Prawo do sprzeciwu (art. 21) — możesz sprzeciwić się przetwarzaniu opartemu na prawnie uzasadnionym interesie.
  • Prawo do cofnięcia zgody — możesz w dowolnym momencie cofnąć wyrażoną zgodę, bez wpływu na zgodność z prawem przetwarzania przed jej cofnięciem.

Aby skorzystać z powyższych praw, skontaktuj się z nami pod adresem: kontakt@chcebyc.fit. Odpowiemy w ciągu 30 dni.

Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, jeżeli uważasz, że przetwarzanie Twoich danych narusza przepisy RODO.

8.

Pliki cookie

Serwis korzysta z plików cookie oraz podobnych technologii. Poniżej znajduje się pełna lista konkretnych cookies wykorzystywanych przez Serwis:

Nazwa cookieDostawcaCelCzas życiaKategoriaConsent
sb-access-tokenSupabasesesja JWT (auth)1hNiezbędneNie wymagana
sb-refresh-tokenSupabaseodnowienie sesji7 dniNiezbędneNie wymagana
ph_phc_*_posthogPostHog (EU Frankfurt)distinct_id, sesja analytics12 miesięcyAnalityczneWymagana
__stripe_mid, __stripe_sidStripetylko na checkout.stripe.com po redirectsesja / 1 rokNiezbędne (płatność)Nie wymagana

Cookies analityczne (PostHog) są ładowane wyłącznie po wyrażeniu zgody przez baner cookies wyświetlany przy pierwszej wizycie. Możesz zarządzać zgodami w dowolnym momencie klikając link „Zarządzaj cookies" w stopce.

Możesz również zarządzać plikami cookie poprzez ustawienia swojej przeglądarki. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z Serwisu (m.in. zalogowanie się i utrzymanie sesji).

9.

Bezpieczeństwo danych

Stosujemy następujące środki techniczne i organizacyjne w celu ochrony Twoich danych:

  • Szyfrowanie połączeń SSL/TLS (protokół HTTPS),
  • Szyfrowanie danych w bazie danych,
  • Kontrola dostępu oparta na rolach (RLS — Row Level Security),
  • Regularne kopie zapasowe danych,
  • Ograniczony dostęp do danych wyłącznie dla upoważnionych pracowników,
  • Monitoring i audyt bezpieczeństwa.

W przypadku naruszenia bezpieczeństwa danych osobowych, które może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, poinformujemy Cię bez zbędnej zwłoki.

10.

Zmiany polityki prywatności

Zastrzegamy sobie prawo do zmiany niniejszej Polityki Prywatności. O wszelkich istotnych zmianach poinformujemy Cię z wyprzedzeniem co najmniej 14 dni poprzez powiadomienie w Serwisie lub wiadomość email.

Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem chcebyc.fit/polityka.

Changelog
v1.3 (14.06.2026)
  • Dodana nowa Sekcja 11 „Podmioty przetwarzające (Subprocessors)" — pełna tabela 10 podmiotów z lokalizacją, podstawą transferu danych i statusem DPA.
  • Zaktualizowana terminologia transferu danych: „Privacy Shield"„EU-U.S. Data Privacy Framework (DPF)" + zachowane SCC.
  • Dodani nowi subprocessorzy: Google LLC (Play Billing IAP Android), Vercel Inc. (hosting), Sentry (error tracking), PostHog (analityka), Cloudflare Inc. (R2 storage).
  • Skorygowana retencja Anthropic AI Coach: 30 dni dla safety/security (poprzednio błędnie podane jako „brak retencji").
  • Dodany link do procedury Art. 17 (/usun-konto) i Art. 20 (/api/account/eksport).
  • Uzupełniona lista konkretnych cookies (Sekcja 8) z nazwami, dostawcami, czasem życia.
  • Disclaimer o cookies analitycznych (wymagana zgoda) + cookie consent banner przy pierwszej wizycie.
v1.2 (14.05.2026)
  • Wersja poprzednia — pierwotna struktura 10 sekcji bez wyodrębnionej listy subprocessorów.
11.

Podmioty przetwarzające (Subprocessors)

Poniżej znajduje się pełna lista podmiotów przetwarzających, którym powierzamy dane osobowe w celu świadczenia usług Serwisu. Każdy z podmiotów został zweryfikowany pod kątem zgodności z RODO, a transfer danych poza EOG odbywa się na podstawie wymienionych instrumentów prawnych (DPF / SCC).

#PodmiotAdresRolaDane przekazywaneLokalizacjaPodstawa transferuDPA / Status
1Apple Distribution International Ltd.Hollyhill Industrial Estate, Hollyhill, Cork, Irlandia (EU representative for Apple Inc., USA)App Store distribution + IAP iOS + Sign in with AppleApple ID (anonimowy), purchase token, subscription statusUE (Cork) + USA (Apple Inc.)DPF + SCCDPA via ADPLA (acceptance przy enrollment)
2Google LLC1600 Amphitheatre Parkway, Mountain View, CA 94043, USAGoogle Play Store distribution + IAP Android (Play Billing)Google account ID (anonimowy), purchase token, product IDUSADPF + SCCGoogle Controller Terms v11 (auto-accept via Play Developer signup)
3Stripe Inc.354 Oyster Point Boulevard, South San Francisco, CA 94080, USAPłatności web (subskrypcje, marketplace Connect)email, dane karty (tokenizowane), historia transakcji, Customer IDUSADPF + SCCDPA: Stripe Services Agreement (accepted at account creation)
4Sentry (Functional Software Inc.)45 Fremont Street, 8th Floor, San Francisco, CA 94105, USAError tracking i monitoring crashówerror metadata, stack traces, user_id (UUID, NIE PII), device info — Art. 9 scrubbing przez beforeSend hookEU (Frankfurt region)DPF + SCCDPA v5.1.0 (signed 2026-06-14 via clickwrap), EU data residency
5Resend Inc.2261 Market Street #4667, San Francisco, CA 94114, USAEmail transactional (rejestracja, faktury, notyfikacje)email, imię, treść mailaUSA + UE (eu-west-1 sending region)DPF + SCCDPA accepted at account creation, signed-by-CEO public PDF dostępny
6PostHog Inc.2261 Market Street #4008, San Francisco, CA 94114, USAAnalityka produktowa (web + mobile)distinct_id (anonimowy), zdarzenia anonimizowane, screen views — brak PIIUE (Frankfurt, eu.i.posthog.com) + USA (kontrakt)DPF + SCCDPA signed 2026-06-15 by Charles Cook (VP Operations) via PandaDoc
7Supabase Pte. Ltd.160 Robinson Road, #14-04 SBF Center, Singapore 068914Database (PostgreSQL), Auth, Storage (avatary), Realtime (chat)wszystkie dane użytkowników (auth, profile, treningi, pomiary, wiadomości, AI rozmowy)UE (eu-central-1 Frankfurt)SCC Module 2 (Supabase Pte. Ltd. NIE jest na DPF)DPA v260601 binding via Terms of Service (account creation 2026-03-15)
8Vercel Inc.440 N Barranca Avenue #4133, Covina, CA 91723, USAHosting Next.js (web), Serverless Functions, Cron Jobs, Edge Network CDN, Build/Deploy, Runtime Logswszystkie dane HTTP request/response (transit-only — NIE persistence)USA (default region) + UE (edge cache)DPF + SCCDPA v effective 2026-03-31 (Pro upgrade 2026-06-15)
9Cloudflare Inc.101 Townsend Street, San Francisco, CA 94107, USAR2 Object Storage (video atlas ćwiczeń), CDN, DDoS protectiontylko video tutoriale (zero PII, zero special category data)USA (Default jurisdiction, no PII justifies)DPF + SCCDPA v6.4 (effective 2026-04-03) binding via Self-Serve ToS, EU representative VeraSafe Ireland
10Anthropic, PBC548 Market Street PMB 90375, San Francisco, CA 94104, USAAI Coach (modele Claude 4.x: Opus/Sonnet/Haiku) — generowanie planów treningowych, dietetycznych, AI rozmowypytania użytkownika, profil (waga, BMI, cele, kontuzje), historia treningowa, plan żywieniowy — Art. 9 dane zdrowotne za wyraźną zgodą Art. 9 ust. 2 lit. aUSASCC Module 2 (Anthropic NIE jest na DPF)DPA auto-incorporated do Commercial Terms (binding od pierwszego paid API request); Retencja: 30 dni dla safety/security (NIE training — Commercial Terms Section B explicit „Anthropic may not train models on Customer Content")

Informacja dodatkowa: Trenerzy w Serwisie nie są naszymi podmiotami przetwarzającymi — występują w roli odrębnego administratora (lub współadministratora) danych swoich Klientów i zostali opisani w sekcji 4. Lista subprocessorów może ulec zmianie; o istotnych zmianach poinformujemy zgodnie z sekcją 10.

© 2026 chceByc.fit — Bartosz Krzemiński, NIP: 8571894058
RegulaminPolityka prywatności