Polityka prywatności

1. Administrator danych

Administratorem danych osobowych w rozumieniu RODO jest Michał Rożenek, ul. Radlińskie Chałupki 123A, 44-313 Wodzisław Śląski, NIP: 6472505696, REGON: 243202020 (dalej: „Administrator”, „my”). Kontakt w sprawach prywatności: rozenekdev@gmail.com. Niniejsza polityka opisuje, jak przetwarzamy dane użytkowników strony internetowej Steelz oraz aplikacji mobilnej Steelz.

2. Jakie dane przetwarzamy

Przetwarzamy dane konta, takie jak identyfikator użytkownika, adres e-mail, imię lub nazwę profilu, dostawca logowania Google albo Apple, identyfikator konta u dostawcy oraz poziom subskrypcji. Przetwarzamy dane treningowe zapisane w aplikacji i synchronizowane z backendem: nazwy treningów i rutyn, wybrane ćwiczenia, serie, powtórzenia, ciężary, czasy odpoczynku, czas trwania treningu, historię treningów i rekordy osobiste.

Przetwarzamy także dane techniczne i bezpieczeństwa, takie jak adres IP, logi serwera, informacje o żądaniach do API, tokeny sesji, hashe tokenów odświeżających, data utworzenia konta oraz podstawowe informacje potrzebne do działania subskrypcji Premium. Dane o metrykach ciała są przechowywane wyłącznie lokalnie na urządzeniu użytkownika i nie są wysyłane na nasze serwery.

3. Cele i podstawy prawne (RODO)

Dane przetwarzamy w celu utworzenia i obsługi konta, logowania, synchronizacji danych między urządzeniami, zapisywania historii treningów, obsługi funkcji Premium i udostępniania funkcji aplikacji — art. 6 ust. 1 lit. b RODO. Dane techniczne, logi, tokeny i informacje o bezpieczeństwie przetwarzamy w celu ochrony kont, zapobiegania nadużyciom, wykrywania błędów i zapewnienia bezpieczeństwa usługi — art. 6 ust. 1 lit. f RODO.

Dane wymagane przepisami prawa, w szczególności rozliczeniami, reklamacjami lub obowiązkami podatkowymi, przetwarzamy na podstawie art. 6 ust. 1 lit. c RODO. Dane potrzebne do ustalenia, dochodzenia lub obrony roszczeń przetwarzamy na podstawie art. 6 ust. 1 lit. f RODO. Jeżeli w przyszłości uruchomimy marketing lub analitykę wymagającą zgody, będziemy przetwarzać dane w tym zakresie dopiero po uzyskaniu wymaganej zgody — art. 6 ust. 1 lit. a RODO.

4. Logowanie przez Google i Apple

Jeżeli logujesz się przez Google lub Apple, aplikacja przekazuje do naszego backendu token od wybranego dostawcy, a backend weryfikuje go u dostawcy. Otrzymujemy dane potrzebne do potwierdzenia tożsamości, w szczególności identyfikator konta u dostawcy, adres e-mail i, jeżeli dostawca je przekaże, imię lub nazwę profilu. Nie mamy dostępu do Twojego hasła do konta Google ani Apple.

W przypadku Apple możemy przechowywać zaszyfrowany token dostawcy wymagany do cofnięcia dostępu przy usunięciu konta. W przypadku Google cofnięcie dostępu jest wykonywane po stronie aplikacji mobilnej, gdy użytkownik usuwa konto.

5. Synchronizacja z backendem i bezpieczeństwo

Dane konta, rutyn, treningów i rekordów osobistych są synchronizowane z backendem Steelz, aby umożliwić korzystanie z konta na wielu urządzeniach, kopię zapasową historii i działanie statystyk. Backend API jest hostowany w Render w regionie Frankfurt, a baza danych w Neon w regionie Frankfurt.

Transmisja danych odbywa się z użyciem szyfrowania TLS. Tokeny odświeżające są przechowywane w backendzie w postaci skrótów kryptograficznych i podlegają rotacji. Po stronie aplikacji mobilnej tokeny są przechowywane w bezpiecznym magazynie systemowym urządzenia.

6. Subskrypcje i RevenueCat

Do obsługi subskrypcji i dostępu do funkcji Premium korzystamy z RevenueCat oraz mechanizmów płatności Apple App Store i Google Play. Nie przetwarzamy pełnych danych karty płatniczej. Otrzymujemy i przechowujemy informacje potrzebne do rozpoznania uprawnień Premium, takie jak status subskrypcji, identyfikatory transakcji, daty obowiązywania, produkt i informacje o odnowieniu lub wygaśnięciu subskrypcji.

Usunięcie konta w Steelz nie zawsze anuluje odnawialną subskrypcję u operatora sklepu. Subskrypcję należy anulować także w ustawieniach Apple ID lub Google Play, jeżeli sklep nadal ją obsługuje.

7. Powiadomienia

Na dzień ostatniej aktualizacji aplikacja nie korzysta z push notifications. Jeżeli w przyszłości udostępnimy powiadomienia i użytkownik je włączy, możemy przetwarzać token urządzenia oraz preferencje powiadomień wyłącznie w celu dostarczania wybranych komunikatów. Użytkownik będzie mógł wyłączyć powiadomienia w ustawieniach aplikacji lub systemu.

8. Okresy przechowywania

Dane konta, treningów, rutyn, preferencji, rekordów osobistych i subskrypcji przechowujemy przez okres posiadania konta, a następnie usuwamy je po usunięciu konta, z wyjątkiem danych, które musimy lub możemy zachować zgodnie z prawem.

Po usunięciu konta możemy zachować minimalny rekord techniczny potwierdzający wykonanie usunięcia, obejmujący techniczny identyfikator usuniętego konta, datę żądania i wykonania usunięcia, źródło żądania, poziom subskrypcji w chwili usunięcia, zahashowany identyfikator dostawcy logowania oraz datę utworzenia konta. Rekord ten nie zawiera adresu e-mail, imienia, historii treningów, rutyn ani preferencji i jest przechowywany w celu ochrony przed nadużyciami oraz obrony roszczeń przez 3 lata od usunięcia konta, chyba że dłuższe przechowywanie jest konieczne z powodu trwającego sporu lub obowiązku prawnego.

Logi techniczne przechowujemy co do zasady przez 90 dni, chyba że dłuższe przechowywanie jest konieczne do wyjaśnienia incydentu bezpieczeństwa, zapobiegania nadużyciom lub dochodzenia roszczeń. Dane rozliczeniowe związane z subskrypcją przechowujemy przez 5 lat od końca roku podatkowego, w którym powstał obowiązek podatkowy, albo przez inny okres wymagany przez właściwe przepisy.

9. Usunięcie konta

Możesz usunąć konto w aplikacji w ustawieniach konta albo skontaktować się z nami pod adresem wskazanym w tej polityce. Usunięcie konta obejmuje usunięcie danych osobowych powiązanych z kontem, w tym profilu, tokenów, historii treningów, rutyn własnych, preferencji i rekordów osobistych, z wyjątkiem ograniczonych danych zachowywanych zgodnie z prawem.

10. Odbiorcy danych

Dane mogą być przekazywane podmiotom wspierającym działanie usługi: Render jako dostawcy hostingu API, Neon jako dostawcy bazy danych, RevenueCat jako dostawcy obsługi subskrypcji, Apple i Google jako dostawcom logowania i operatorom sklepów z aplikacjami, a także podmiotom świadczącym usługi techniczne, prawne, księgowe lub bezpieczeństwa, jeżeli jest to potrzebne do prowadzenia usługi lub wykonania obowiązków prawnych.

Nie sprzedajemy Twoich danych osobowych. Nie korzystamy obecnie z Firebase, Sentry, Expo push notifications, Google Analytics, Firebase Analytics, Meta Ads ani Google Ads.

11. Przekazywanie danych poza EOG

Podstawowa infrastruktura backendu i bazy danych dla startu usługi działa w regionie Frankfurt, w Europejskim Obszarze Gospodarczym. Niektórzy dostawcy, w szczególności Apple, Google i RevenueCat, mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. W takim przypadku stosujemy mechanizmy wymagane przez RODO, w szczególności decyzje stwierdzające odpowiedni stopień ochrony, standardowe klauzule umowne lub inne prawnie dopuszczalne zabezpieczenia.

12. Twoje prawa

Przysługuje Ci prawo dostępu do danych, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie oraz cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

Masz również prawo złożyć skargę do Prezesa Urzędu Ochrony Danych Osobowych. Aby skorzystać z praw, skontaktuj się z nami pod adresem wskazanym w tej polityce. Możemy poprosić o informacje potrzebne do potwierdzenia tożsamości osoby składającej żądanie.

13. Dobrowolność podania danych

Podanie danych wymaganych do utworzenia konta i korzystania z aplikacji jest dobrowolne, ale niezbędne do świadczenia usługi. Bez tych danych nie będziemy mogli utworzyć konta, synchronizować treningów, obsłużyć subskrypcji Premium ani zapewnić podstawowych funkcji Steelz.

14. Automatyczne decyzje

Nie podejmujemy wobec użytkowników decyzji wywołujących skutki prawne lub podobnie istotnie wpływających na użytkownika wyłącznie w sposób zautomatyzowany, w tym przez profilowanie w rozumieniu art. 22 RODO.

15. Pliki cookies i podobne technologie

Strona Steelz może korzystać z technologii niezbędnych do działania strony, bezpieczeństwa i zapamiętania podstawowych ustawień. Na dzień ostatniej aktualizacji nie korzystamy z cookies analitycznych ani reklamowych. Jeżeli w przyszłości wdrożymy analitykę, reklamę lub inne technologie niewymagane do działania strony, zastosujemy odpowiedni mechanizm zgody tam, gdzie wymagają tego przepisy.

16. Dzieci i minimalny wiek

Steelz nie jest kierowany do dzieci. Osoby poniżej 16 lat mogą korzystać z aplikacji wyłącznie za zgodą i pod nadzorem rodzica lub opiekuna prawnego. Jeżeli dowiemy się, że przetwarzamy dane osoby poniżej 16 lat bez wymaganej podstawy prawnej lub zgody opiekuna, możemy poprosić o potwierdzenie zgody albo podjąć działania w celu usunięcia konta.

17. Zmiany polityki

Możemy aktualizować politykę prywatności, gdy zmieni się aplikacja, dostawcy usług, przepisy lub sposób przetwarzania danych. Aktualna wersja będzie dostępna na stronie Steelz i w aplikacji.

18. Kontakt w sprawach prywatności

W sprawach związanych z ochroną danych napisz na adres wskazany w sekcji „Administrator danych”. Prosimy o zawężenie treści wiadomości do informacji niezbędnych do obsługi żądania.