Polityka prywatności

Kiptly („my”, „nasz”, „Serwis”) to aplikacja do śledzenia treningów na iOS i Android oraz strona marketingowa kiptly.com. Niniejsza Polityka prywatności wyjaśnia, w jaki sposób zbieramy, wykorzystujemy, udostępniamy i chronimy Twoje dane osobowe oraz jakie prawa przysługują Ci na mocy Ogólnego rozporządzenia UE o ochronie danych (RODO).

Administrator danych: Aliaksandr Samuseu, osoba fizyczna zamieszkała w Polsce. Kontakt: [email protected].

1. Jakie dane zbieramy

Zbieramy wyłącznie dane niezbędne do świadczenia usług Serwisu. Kategorie:

• Dane konta: imię, adres e-mail i zdjęcie profilowe uzyskiwane podczas logowania przez Google lub Apple.
• Dane treningowe: ćwiczenia, serie, powtórzenia, ciężar, czas trwania, notatki i rekordy osobiste, które rejestrujesz w Serwisie.
• Pomiary ciała (opcjonalnie): waga, procent tkanki tłuszczowej i obwody, jeśli zdecydujesz się je wprowadzić.
• Dane dotyczące zdrowia — kategoria szczególna (art. 9 RODO): informacje o cyklu menstruacyjnym (jeśli włączysz tryb treningu uwzględniający cykl) oraz dane odczytywane z Apple Health lub Google Health Connect (sen, kroki, tętno spoczynkowe). Przetwarzane wyłącznie po udzieleniu przez Ciebie wyraźnej zgody w Serwisie.
• Dane urządzenia: token powiadomień push, strefa czasowa, wersja systemu operacyjnego i wersja aplikacji.
• Diagnostyka: raporty o awariach i ślady błędów, w tym typ urządzenia, wersja systemu, wersja aplikacji oraz zanonimizowany identyfikator konta. Nie przesyłamy do diagnostyki adresu e-mail, imienia ani treści treningów.

2. Podstawy prawne przetwarzania

Zgodnie z art. 6 (oraz art. 9 dla danych dotyczących zdrowia) RODO opieramy się na następujących podstawach prawnych:

• Wykonanie umowy (art. 6 ust. 1 lit. b): przetwarzanie danych konta, treningów i subskrypcji jest niezbędne do świadczenia Serwisu, z którego korzystasz.
• Prawnie uzasadniony interes (art. 6 ust. 1 lit. f): bezpieczeństwo, zapobieganie oszustwom, diagnostyka awarii i błędów. Naszym interesem jest utrzymanie stabilności i bezpieczeństwa Serwisu; możesz w każdej chwili wnieść sprzeciw.
• Zgoda (art. 6 ust. 1 lit. a): powiadomienia push oraz inne przetwarzanie opcjonalne, na które wyraźnie poprosimy o Twoją zgodę. Zgodę możesz wycofać w dowolnym momencie; nie wpływa to na zgodność z prawem wcześniejszego przetwarzania. Nie wysyłamy wiadomości marketingowych i nie prowadzimy analityki wymagającej zgody.
• Wyraźna zgoda (art. 9 ust. 2 lit. a): dane dotyczące zdrowia (śledzenie cyklu, Apple Health / Health Connect). Prosimy o tę zgodę osobno i możesz ją wycofać w dowolnym momencie w ustawieniach.

3. Jak wykorzystujemy Twoje dane

• Wyświetlanie Twoich treningów, postępów i analityki w Serwisie.
• Synchronizacja danych między Twoimi urządzeniami.
• Wysyłanie powiadomień push i wiadomości e-mail, na które wyraziłeś zgodę (przypomnienia o treningach, wiadomości trenera, potwierdzenia transakcyjne).
• Zwiększanie niezawodności, diagnostyka awarii i usuwanie błędów na podstawie zanonimizowanej diagnostyki.
• Wykrywanie oszustw i nadużyć, w tym nadużyć subskrypcji oraz naruszeń Regulaminu.

4. Dane dotyczące zdrowia i fitnessu — postanowienia szczególne

• Dane dotyczące zdrowia przetwarzamy wyłącznie na podstawie Twojej wyraźnej zgody, udzielanej odrębnie od akceptacji Regulaminu.
• Nigdy nie wykorzystujemy danych o zdrowiu i fitnessie do reklamy, marketingu ani tzw. „data mining” (eksploracji danych) do jakichkolwiek innych celów komercyjnych.
• Nigdy nie wykorzystujemy danych o zdrowiu i fitnessie do podejmowania decyzji w zakresie zatrudnienia, ubezpieczenia, kredytu czy mieszkalnictwa.
• Nigdy nie umieszczamy chronionych informacji o zdrowiu w iCloud ani w żadnej innej konsumenckiej chmurze podmiotów trzecich. Twoje dane zdrowotne są przechowywane na naszych zarządzanych serwerach w UE (Hetzner, Niemcy), zgodnie z opisem w sekcji 5, i replikowane wyłącznie do naszego szyfrowanego magazynu kopii zapasowych opisanego w tej sekcji.
• Nigdy nie sprzedajemy Twoich danych stronom trzecim i nie udostępniamy ich reklamodawcom.
• Apple HealthKit i Google Health Connect: prosimy wyłącznie o uprawnienia do odczytu, które wyraźnie nadasz w Serwisie. Lista żądanych typów danych jest wyświetlana na ekranie uprawnień i może zostać cofnięta w dowolnej chwili w ustawieniach urządzenia.

5. Zewnętrzni dostawcy usług

Udostępniamy dane ograniczonej liczbie podmiotów przetwarzających, niezbędnych do świadczenia Serwisu. Z każdym z nich zawarto umowę powierzenia przetwarzania danych (DPA) zgodnie z art. 28 RODO:

• Google Sign-In i Apple Sign-In: uwierzytelnianie użytkowników. Udostępniane dane: token logowania, e-mail, imię, awatar.
• RevenueCat (Stany Zjednoczone): zarządzanie cyklem życia subskrypcji. Udostępniane dane: zanonimizowany identyfikator użytkownika, status subskrypcji. Transfery objęte są Ramami Ochrony Prywatności UE–USA (EU–US Data Privacy Framework) oraz Standardowymi Klauzulami Umownymi (SCCs).
• Firebase Cloud Messaging (Stany Zjednoczone): dostarczanie powiadomień push. Udostępniane dane: token push. Transfery objęte są Ramami Ochrony Prywatności UE–USA oraz Standardowymi Klauzulami Umownymi (SCCs).
• Resend (Stany Zjednoczone): dostarczanie wiadomości transakcyjnych (potwierdzenia, resetowanie hasła, ważne powiadomienia o koncie). Udostępniane dane: adres e-mail, treść wiadomości. Transfery objęte są Ramami Ochrony Prywatności UE–USA oraz Standardowymi Klauzulami Umownymi (SCCs).
• Sentry (Stany Zjednoczone): raportowanie awarii i błędów. Udostępniane dane: ślad stosu, typ urządzenia, wersja systemu, wersja aplikacji, zanonimizowany identyfikator konta. Nie przesyłamy do Sentry adresu e-mail, imienia ani treści treningów. Transfery objęte są Ramami Ochrony Prywatności UE–USA oraz Standardowymi Klauzulami Umownymi (SCCs).
• Hetzner Online GmbH (Niemcy): hosting podstawowej bazy danych i serwerów aplikacji w Unii Europejskiej.
• Cloudflare, Inc. (Stany Zjednoczone, z centrami danych w UE): DNS, ochrona przed DDoS oraz zewnętrzne, szyfrowane miejsce na kopie zapasowe (Cloudflare R2, region UE). Kopie zapasowe są rotowane w ciągu 30 dni. Transfery objęte są Ramami Ochrony Prywatności UE–USA oraz Standardowymi Klauzulami Umownymi (SCCs).

6. Międzynarodowe transfery danych

Twoje dane są przechowywane przede wszystkim na serwerach w Unii Europejskiej (Hetzner, Niemcy). Niektórzy z wymienionych powyżej podmiotów przetwarzających działają w Stanach Zjednoczonych. Transfery te odbywają się na podstawie Ram Ochrony Prywatności UE–USA — w przypadku podmiotów certyfikowanych — oraz Standardowych Klauzul Umownych Komisji Europejskiej wraz z wymaganymi środkami uzupełniającymi.

7. Okresy przechowywania danych

• Aktywne konta: przechowujemy Twoje dane osobowe tak długo, jak Twoje konto jest aktywne.
• Po usunięciu konta: wszystkie dane osobowe są trwale usuwane w ciągu 30 dni.
• Zewnętrzne kopie zapasowe: rotowane w ciągu 30 dni; usunięte dane znikają z kopii zapasowych w tym okresie.
• Dzienniki awarii i błędów: przechowywane w Sentry do 90 dni, a następnie usuwane.
• Zagregowana analityka: przechowywana bezterminowo w całkowicie zanonimizowanej formie, bez identyfikatorów pozwalających powiązać ją z Tobą.

8. Bezpieczeństwo

Chronimy Twoje dane za pomocą szyfrowania TLS 1.3 podczas przesyłania oraz AES-256 w spoczynku. Dostęp do systemów produkcyjnych jest ograniczony do upoważnionego personelu i poddawany audytowi. Sekrety i dane uwierzytelniające są przechowywane w zarządzanej usłudze sekretów.

W przypadku naruszenia ochrony danych osobowych mogącego naruszyć Twoje prawa i wolności powiadomimy właściwy organ nadzorczy w ciągu 72 godzin oraz bez zbędnej zwłoki powiadomimy osoby, których dane dotyczą, zgodnie z art. 33 i 34 RODO.

9. Twoje prawa (RODO)

Na mocy RODO przysługują Ci następujące prawa:

• Prawo dostępu (art. 15): żądanie kopii swoich danych. Dostępne samoobsługowo w Ustawienia → Konto → Eksport danych.
• Prawo do sprostowania (art. 16): w dowolnym momencie edytuj profil w ustawieniach.
• Prawo do usunięcia (art. 17): usuń konto i wszystkie powiązane dane w Ustawienia → Konto → Usuń konto.
• Prawo do ograniczenia przetwarzania (art. 18): żądanie wstrzymania przetwarzania w określonych okolicznościach.
• Prawo do przenoszenia danych (art. 20): eksport treningów i postępów w formacie CSV.
• Prawo do sprzeciwu (art. 21): sprzeciw wobec przetwarzania opartego na prawnie uzasadnionych interesach.
• Prawo do wycofania zgody (art. 7 ust. 3): wycofanie udzielonej zgody w dowolnym momencie, równie łatwo jak jej udzielenie. Wycofanie nie wpływa na zgodność z prawem wcześniejszego przetwarzania.
• Prawo do wniesienia skargi (art. 77): wniesienie skargi do polskiego organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl) — lub do lokalnego organu ochrony danych w Twoim kraju UE/EOG.

Aby skorzystać z któregokolwiek z tych praw, napisz na [email protected]. Odpowiadamy w ciągu 30 dni.

Nie podejmujemy zautomatyzowanych decyzji ani nie prowadzimy profilowania wywołującego wobec Ciebie skutki prawne lub w podobny sposób istotnie na Ciebie wpływającego.

10. Prywatność dzieci

Serwis jest przeznaczony dla użytkowników w wieku 16 lat i starszych. Świadomie nie zbieramy danych od dzieci poniżej 16. roku życia. Jeśli sądzisz, że dziecko przekazało Serwisowi dane osobowe, skontaktuj się pod adresem [email protected], a niezwłocznie je usuniemy.

11. Zmiany niniejszej polityki

Niniejszą Politykę prywatności możemy od czasu do czasu aktualizować. O istotnych zmianach powiadomimy Cię e-mailem oraz banerem w aplikacji co najmniej 30 dni przed wejściem zmian w życie. Data u góry strony odzwierciedla ostatnią aktualizację.

12. Kontakt

W sprawach dotyczących prywatności lub realizacji przysługujących Ci praw skontaktuj się z Administratorem danych, Aliaksandrem Samuseu, pod adresem [email protected].