Przejdź do treści

Dokument prawny

Polityka prywatności

Ostatnia aktualizacja:

Niniejsza polityka prywatności opisuje, w jaki sposób vkuba (dalej także jako „Administrator" lub „my") zbiera, wykorzystuje i chroni dane osobowe użytkowników serwisu, aplikacji mobilnej oraz aplikacji webowej vkuba (dalej łącznie jako „Usługa").

Dokument przygotowany jest zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO) oraz polską ustawą z dnia 10 maja 2018 r. o ochronie danych osobowych.

1. Administrator danych osobowych

Administratorem danych osobowych jest:

  • vkuba sp. z o.o. [do uzupełnienia po rejestracji spółki]
  • NIP: [do uzupełnienia]
  • REGON: [do uzupełnienia]
  • KRS: [do uzupełnienia]
  • Adres siedziby: [do uzupełnienia]
  • E-mail kontaktowy: rodo@vkuba.pl

2. Inspektor Ochrony Danych

Na obecnym etapie rozwoju vkuba nie wyznaczono Inspektora Ochrony Danych — nie jest to obowiązkowe (art. 37 RODO). Wszystkie pytania dotyczące przetwarzania danych osobowych prosimy kierować na adres rodo@vkuba.pl.

3. Cele i podstawy prawne przetwarzania

Dane osobowe przetwarzamy w następujących celach:

3.1. Świadczenie Usługi (umowa)

Podstawa prawna: art. 6 ust. 1 lit. b RODO — wykonanie umowy, której stroną jest osoba, której dane dotyczą.

Dotyczy: rejestracji konta trenera, prowadzenia profilu klienta zaproszonego przez trenera, wykonywania planów treningowych, rezerwacji sesji, czatu, płatności subskrypcji.

3.2. Obsługa płatności i wystawianie faktur (obowiązek prawny)

Podstawa prawna: art. 6 ust. 1 lit. c RODO w związku z ustawą o rachunkowości i ustawą o VAT.

Dane rozliczeniowe (NIP, dane do faktury, historia płatności) przetwarzamy oraz przechowujemy przez okres wymagany przepisami prawa podatkowego (5 lat od końca roku podatkowego).

3.3. Marketing własnych usług (uzasadniony interes)

Podstawa prawna: art. 6 ust. 1 lit. f RODO — prawnie uzasadniony interes Administratora.

W tym zakresie wysyłamy informacje o nowych funkcjonalnościach, zmianach cennika i usprawnieniach. W każdej chwili możesz wnieść sprzeciw, klikając „zrezygnuj" w wiadomości e-mail lub pisząc na rodo@vkuba.pl.

3.4. Marketing zewnętrzny / newsletter (zgoda)

Podstawa prawna: art. 6 ust. 1 lit. a RODO — dobrowolna zgoda. Jeśli zapisałeś się do newslettera, możesz wycofać zgodę w każdej chwili. Wycofanie zgody nie wpływa na zgodność przetwarzania sprzed wycofania.

3.5. Bezpieczeństwo i przeciwdziałanie nadużyciom (uzasadniony interes)

Podstawa prawna: art. 6 ust. 1 lit. f RODO — wykrywanie prób ataków, ochrona przed nadużyciami, zachowanie ciągłości usługi. Logi techniczne są pseudonimizowane i przechowywane przez okres do 90 dni.

4. Kategorie przetwarzanych danych

4.1. Trener (administrator własnych klientów w serwisie vkuba)

  • imię i nazwisko, e-mail (opcjonalnie), numer telefonu (identyfikator logowania)
  • dane do faktury (firma, NIP, adres rejestrowy)
  • treść planów treningowych, opisy ćwiczeń, harmonogram pracy
  • logi aktywności (data logowania, używane urządzenie)

4.2. Klient zaproszony przez trenera

  • imię i nazwisko, numer telefonu (identyfikator logowania)
  • e-mail (opcjonalnie, do paragonów)
  • dane treningowe i zdrowotne wprowadzone w aplikacji: waga, BMI, tętno, ciśnienie, postępy serii, zdjęcia formy
  • treść wiadomości w czacie z trenerem
  • historia rezerwacji i płatności

Dane zdrowotne (waga, tętno, ciśnienie, fotografie ciała) stanowią szczególną kategorię danych osobowych w rozumieniu art. 9 RODO. Przetwarzamy je wyłącznie na podstawie wyraźnej zgody klienta wyrażonej w aplikacji oraz w celu wykonania umowy z trenerem prowadzącym.

5. Odbiorcy danych (procesorzy)

Aby świadczyć Usługę, korzystamy z wyspecjalizowanych dostawców działających w modelu powierzenia przetwarzania (umowa DPA art. 28 RODO):

Dostawca Cel powierzenia Lokalizacja
Clerk Inc. uwierzytelnianie (logowanie SMS, Apple, Google, passkey) USA
Cloudflare Inc. hosting Workers, baza D1, magazyn R2, sieć CDN USA / globalnie
PayU S.A. obsługa płatności BLIK, PIS, kart, subskrypcji Polska (Poznań)
Google LLC (FCM) wysyłka powiadomień push na iOS / Android / Web USA
SMSAPI sp. z o.o. wysyłka SMS-ów zaproszeniowych (jeśli aktywne) Polska (Kraków)

Aktualną listę procesorów wraz z linkami do ich umów DPA udostępniamy na żądanie pod rodo@vkuba.pl.

6. Przekazywanie danych poza EOG

Część dostawców (Clerk, Cloudflare, Google FCM) ma siedzibę poza Europejskim Obszarem Gospodarczym, w Stanach Zjednoczonych. Dane przekazywane są na podstawie:

  • Decyzji Komisji Europejskiej z 10 lipca 2023 r. (Data Privacy Framework) dla certyfikowanych odbiorców w USA, oraz
  • Standardowych klauzul umownych (SCC) zatwierdzonych decyzją Komisji 2021/914 dla pozostałych transferów.

7. Okres przechowywania danych

  • Dane konta trenera: przez okres trwania umowy + 30 dni po jej rozwiązaniu (czas na cofnięcie usunięcia).
  • Dane klientów trenera: usuwane wraz z danymi trenera, chyba że klient sam założy odrębne konto.
  • Dane rozliczeniowe i faktury: 5 lat od końca roku podatkowego, w którym wystawiono fakturę (obowiązek ustawowy).
  • Logi bezpieczeństwa: 90 dni.
  • Wiadomości w czacie: do momentu usunięcia konta przez użytkownika lub trenera.

8. Twoje prawa

Zgodnie z RODO, w odniesieniu do swoich danych masz prawo do:

  • dostępu do danych (art. 15 RODO),
  • sprostowania danych nieprawidłowych (art. 16),
  • usunięcia danych — „prawo do bycia zapomnianym" (art. 17),
  • ograniczenia przetwarzania (art. 18),
  • przenoszenia danych — eksport CSV / JSON klientów i planów (art. 20),
  • sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu (art. 21),
  • wycofania zgody tam, gdzie jest podstawą (art. 7 ust. 3),
  • złożenia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Większość praw realizujesz samodzielnie w ustawieniach konta. Pozostałe sprawy kierujesz na rodo@vkuba.pl — odpowiadamy w ciągu 30 dni.

9. Pliki cookies i technologie podobne

Szczegółowe informacje znajdziesz w naszej Polityce cookies. W skrócie: na stronie marketingowej używamy wyłącznie niezbędnych cookies sesyjnych. Żadne cookies analityczne ani marketingowe nie są ładowane bez Twojej zgody.

10. Profilowanie i decyzje zautomatyzowane

vkuba nie podejmuje decyzji wywołujących skutki prawne na podstawie wyłącznie zautomatyzowanego przetwarzania (art. 22 RODO). Algorytmy w aplikacji (np. sugerowanie ćwiczeń) są narzędziem rekomendacyjnym — ostateczna decyzja należy zawsze do trenera.

11. Środki bezpieczeństwa

  • szyfrowanie połączeń TLS 1.3 (HTTPS) na wszystkich endpointach,
  • szyfrowanie danych „at rest" w Cloudflare D1 i R2,
  • logowanie wieloczynnikowe (passkey, kod SMS) dla wszystkich kont,
  • brak haseł w systemie — eliminuje ryzyko wycieku haseł,
  • zasada najmniejszych uprawnień w dostępie wewnętrznym,
  • regularne audyty kodu i zależności (SCA, CodeQL).

12. Zmiany polityki

O istotnych zmianach polityki prywatności poinformujemy z co najmniej 14-dniowym wyprzedzeniem — e-mailem oraz banerem w aplikacji. Niniejsza wersja obowiązuje od 30 kwietnia 2026 r.

13. Kontakt

W sprawach związanych z przetwarzaniem danych osobowych: rodo@vkuba.pl.