Polityka prywatności

1. Kim jesteśmy

Administratorem Twoich danych osobowych jest FIT FIVE sp. z o.o. z siedzibą w Zubowicach (22-435), Zubowice 94, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy Lublin-Wschód w Lublinie z siedzibą w Świdniku, VI Wydział Gospodarczy KRS, pod numerem KRS: 0001220822, NIP: 9223089450, REGON: 543854718, kapitał zakładowy: 5.000,00 zł ("FitFive", "my", "nas").

FitFive prowadzi platformę SaaS dla trenerów personalnych, dietetyków, fizjoterapeutów, instruktorów oraz studiów fitness, studiów pilates, studiów jogi, studiów tańca, klubów crossfit, siłowni i innych studiów ruchowych, a także ich klientów. Serwis jest dostępny w domenie fitfive.app oraz powiązanych poddomenach (dalej: "Serwis").

Wyznaczyliśmy Inspektora Ochrony Danych, z którym możesz skontaktować się pod adresem dpo@fitfive.app w sprawach dotyczących przetwarzania Twoich danych osobowych i wykonywania Twoich praw.

2. Jakie dane zbieramy

Zakres przetwarzanych danych zależy od Twojej roli w Serwisie (trener personalny, instruktor pilates/jogi/crossfit/tańca, dietetyk, fizjoterapeuta, klient trenera, właściciel studia, pracownik studia, recepcjonista) oraz od tego, z których funkcji korzystasz.

Dane konta: imię, nazwisko, adres e-mail, numer telefonu, hasło (przechowywane w postaci skrótu kryptograficznego).
Dane profilu trenera: zdjęcie, opis, specjalizacje, certyfikaty, lokalizacja świadczonych usług, dane firmowe (NIP) dla wystawiania faktur.
Dane klienta trenera: cele treningowe, ograniczenia zdrowotne i kontuzje (jeśli zdecydujesz się je podać), parametry ciała (waga, wzrost, obwody), preferencje żywieniowe, postępy.
Dane treningowe i dietetyczne: plany treningowe, plany żywieniowe, dzienniki nawyków, zdjęcia transformacji (wyłącznie te, które samodzielnie prześlesz).
Dane płatnicze: historia subskrypcji, faktury, ostatnie 4 cyfry karty (pełne dane karty są przetwarzane wyłącznie przez naszego operatora płatności — Stripe).
Dane techniczne: adres IP, identyfikator urządzenia, typ przeglądarki, system operacyjny, dzienniki zdarzeń bezpieczeństwa.
Komunikacja: treść wiadomości w czacie wewnętrznym, zgłoszenia do wsparcia, korespondencja e-mail.

Dane dotyczące zdrowia (kontuzje, ograniczenia, parametry ciała) są szczególną kategorią danych w rozumieniu art. 9 RODO. Przetwarzamy je wyłącznie na podstawie Twojej wyraźnej zgody i tylko w celu świadczenia usługi treningowej. W każdej chwili możesz wycofać zgodę.

3. Dane konta Google (Google OAuth)

Jeżeli zdecydujesz się zalogować do FitFive przy użyciu konta Google, FitFive uzyskuje od Google następujące podstawowe informacje o Twoim profilu:

adres e-mail powiązany z kontem Google,
imię i nazwisko widoczne na koncie Google,
identyfikator konta Google (Google account ID),
zdjęcie profilowe, jeśli zostało ustawione publicznie.

Dane te są używane wyłącznie do rejestracji konta, logowania oraz identyfikacji użytkownika w aplikacji FitFive. Nie używamy ich do profilowania, reklamy ani do żadnych celów wykraczających poza obsługę konta i autoryzację dostępu.

FitFive nie sprzedaje danych Google użytkowników ani nie udostępnia ich podmiotom trzecim w celach reklamowych. Nie zachowujemy ani nie przetwarzamy żadnych dodatkowych zakresów (scope'ów) wykraczających poza podstawowy profil Google (openid, email, profile).

W każdej chwili możesz odebrać FitFive dostęp do swojego konta Google, korzystając z panelu myaccount.google.com/permissions. Spowoduje to, że nie będziesz mógł logować się przez Google, ale Twoje konto FitFive (i powiązane dane) pozostanie nietknięte — możesz je usunąć w ustawieniach aplikacji lub na żądanie skierowane na privacy@fitfive.app.

4. W jakim celu i na jakiej podstawie prawnej

Każdy cel przetwarzania ma przypisaną konkretną podstawę prawną z art. 6 lub art. 9 RODO.

Cel przetwarzania	Podstawa prawna	Okres przechowywania
Świadczenie usług Serwisu (rejestracja, dostęp do funkcji)	Art. 6 ust. 1 lit. b RODO — wykonanie umowy	Czas trwania umowy + 3 lata
Generowanie planów treningowych i dietetycznych przez AI	Art. 6 ust. 1 lit. b RODO + art. 9 ust. 2 lit. a (zgoda na dane zdrowotne)	Do wycofania zgody lub usunięcia konta
Rozliczenia, faktury, KSeF	Art. 6 ust. 1 lit. c RODO — obowiązek prawny (ustawa o VAT, KSeF)	5 lat od końca roku podatkowego
Wysyłka powiadomień o treningach, dietach, płatnościach	Art. 6 ust. 1 lit. b RODO — wykonanie umowy	Czas trwania umowy
Marketing własnych produktów (newsletter)	Art. 6 ust. 1 lit. a RODO — zgoda	Do wycofania zgody
Obsługa zgłoszeń, reklamacji i wsparcie	Art. 6 ust. 1 lit. b i f RODO	3 lata od zamknięcia zgłoszenia
Bezpieczeństwo, wykrywanie nadużyć, logi	Art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes	12 miesięcy
Dochodzenie i obrona roszczeń	Art. 6 ust. 1 lit. f RODO	Do upływu okresu przedawnienia

5. Komu udostępniamy Twoje dane

Nie sprzedajemy Twoich danych. Udostępniamy je wyłącznie podmiotom, które pomagają nam świadczyć usługę, na podstawie umów powierzenia przetwarzania danych (art. 28 RODO).

Dostawcy infrastruktury chmurowej: Amazon Web Services (EU) — hosting i CDN.
Operator płatności: Stripe Payments Europe — przetwarzanie płatności kartą i SEPA.
Operator e-mail: Amazon SES / Postmark — dostarczanie wiadomości transakcyjnych.
Operator SMS: dostawca infrastruktury SMS dla powiadomień.
Dostawcy AI: OpenAI Ireland / Anthropic (dla funkcji generowania planów) — wyłącznie dane niezbędne, bez identyfikatorów osobowych, zgodnie z DPA dostawcy.
Google LLC — w zakresie obsługi logowania OAuth (przekazujemy do Google tylko żądania autoryzacji; Google nie otrzymuje od nas żadnych danych zdrowotnych ani treściowych z aplikacji).
Operator KSeF: Krajowa Administracja Skarbowa — w zakresie wystawiania ustrukturyzowanych faktur (obowiązek ustawowy).
Operator analityki produktowej (np. PostHog EU) — w zakresie zdarzeń produktowych, bez danych zdrowotnych.
Trener i/lub studio, do którego należysz jako klient — w zakresie niezbędnym do realizacji usługi treningowej.
Organy państwowe — wyłącznie na podstawie obowiązujących przepisów prawa, na ich uzasadnione żądanie.

Aktualna lista podprocesorów wraz z lokalizacją przetwarzania danych dostępna jest na żądanie pod adresem privacy@fitfive.app.

6. Przekazywanie danych poza EOG

Niektórzy z naszych dostawców (m.in. OpenAI, Anthropic, Google) mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym. W każdym takim przypadku stosujemy mechanizmy zabezpieczające przewidziane w rozdziale V RODO:

Standardowe Klauzule Umowne Komisji Europejskiej (SCC) w wersji z 2021 r.
Decyzje Komisji Europejskiej o adekwatności (jeśli dotyczy danego kraju).
Dodatkowe środki techniczne, w tym pseudonimizacja danych przed transferem.

Możesz uzyskać kopię stosowanych zabezpieczeń kontaktując się z naszym IOD.

7. Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa, z których możesz skorzystać kontaktując się z nami pod adresem privacy@fitfive.app:

Prawo dostępu do danych (art. 15 RODO) — uzyskania informacji jakie dane przetwarzamy i kopii tych danych.
Prawo do sprostowania (art. 16) — poprawienia danych nieprawidłowych lub uzupełnienia niekompletnych.
Prawo do usunięcia ("prawo do bycia zapomnianym", art. 17) — usunięcia danych, gdy nie są już potrzebne lub gdy wycofujesz zgodę.
Prawo do ograniczenia przetwarzania (art. 18).
Prawo do przenoszenia danych (art. 20) — otrzymania danych w formacie ustrukturyzowanym (JSON/CSV).
Prawo do sprzeciwu (art. 21) — w szczególności wobec przetwarzania w celach marketingowych.
Prawo do wycofania zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania, którego dokonano przed jej wycofaniem.
Prawo do wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa), jeśli uznasz, że przetwarzanie narusza RODO.

Odpowiadamy na każde żądanie w terminie do 30 dni. W uzasadnionych przypadkach (np. dużej liczby żądań) możemy ten termin przedłużyć o kolejne dwa miesiące, o czym Cię uprzedzimy.

8. Pliki cookies i podobne technologie

Używamy plików cookies i podobnych technologii, aby zapewnić działanie Serwisu, zapamiętać Twoje preferencje oraz analizować ruch i sposób korzystania z platformy.

Cookies niezbędne — wymagane do logowania, sesji i bezpieczeństwa. Nie wymagają zgody.
Cookies funkcjonalne — zapamiętują Twój język, motyw, układ panelu.
Cookies analityczne — anonimowy pomiar ruchu (Plausible/PostHog EU). Wymagają zgody.
Cookies marketingowe — wyłącznie po wyrażeniu zgody w banerze cookies.

W każdej chwili możesz zmienić swoje preferencje cookies w ustawieniach przeglądarki lub w panelu Serwisu.

9. Bezpieczeństwo danych

Stosujemy środki techniczne i organizacyjne zapewniające ochronę danych odpowiednią do ryzyka, w tym:

Szyfrowanie transmisji (TLS 1.3) i szyfrowanie danych w spoczynku (AES-256).
Hashowanie haseł algorytmem bcrypt.
Wielopoziomowy system uprawnień oparty na rolach (RBAC).
Regularne audyty bezpieczeństwa, testy penetracyjne i monitoring zdarzeń.
Procedury reagowania na incydenty i obowiązek zgłaszania naruszeń do PUODO w terminie 72 godzin.
Kopie zapasowe i plany ciągłości działania.

W przypadku stwierdzenia incydentu, który mógłby skutkować wysokim ryzykiem naruszenia Twoich praw, niezwłocznie Cię o tym poinformujemy.

10. Dane dzieci

Serwis nie jest skierowany do osób poniżej 16. roku życia. Świadomie nie zbieramy danych osobowych dzieci. Jeśli ustalimy, że konto należy do osoby poniżej 16. roku życia bez zgody opiekuna, niezwłocznie je usuniemy.

11. Zmiany Polityki

Możemy aktualizować niniejszą Politykę, na przykład w związku ze zmianą funkcji Serwisu, zmianą przepisów lub praktyki organów nadzorczych. O istotnych zmianach poinformujemy Cię z co najmniej 14-dniowym wyprzedzeniem za pośrednictwem e-maila i komunikatu w Serwisie.

Bieżąca wersja Polityki jest zawsze dostępna pod adresem fitfive.app/privacy-policy. Wersje archiwalne udostępniamy na żądanie.