Polityka prywatności

Administratorem Twoich danych osobowych jest Piotr Fijałkowski, prowadzący działalność gospodarczą pod firmą irrational Piotr Fijałkowski, ul. Grenady 8/44, 01-154 Warszawa, NIP: 9512099147, REGON: 146766660.

Kontakt w sprawach ochrony danych: support@trenlo.app.

Administrator nie powołał Inspektora Ochrony Danych (brak obowiązku na podstawie art. 37 RODO).

Trenerzy (Usługobiorcy):

Imię i nazwisko, adres e-mail, numer telefonu, hasło (przechowywane jako hash bcrypt), data urodzenia (opcjonalnie), dane rozliczeniowe (Stripe Customer ID, historia płatności), dane profilu publicznego (bio, avatar, specjalizacje).

Podopieczni (klienci trenerów):

Imię i nazwisko, adres e-mail, numer telefonu, data urodzenia, dane zdrowotne — notatki zdrowotne, przeciwwskazania, kontuzje, pomiary ciała (waga, skład ciała, obwody), zdjęcia pomiarowe, historia sesji treningowych i planów treningowych, notatki trenera, dane o płatnościach.

Dane z urządzeń wearable (opcjonalnie):

Po wyrażeniu wyraźnej zgody (autoryzacja OAuth) — dane z Garmin, Polar lub Suunto: sen (czas trwania, jakość), tętno spoczynkowe, dzienna aktywność (kroki, kalorie), sesje treningowe. Dane są pobierane w trybie tylko do odczytu.

Dane techniczne:

Adres IP (hashowany SHA-256 w logach bezpieczeństwa), user agent, anonimowy identyfikator sesji. Przy udzielaniu zgód — adres IP i user agent przechowywane jako dowód zgody (art. 7 ust. 1 RODO), anonimizowane po 30 dniach.

Wykonanie umowy (art. 6 ust. 1 lit. b RODO) — świadczenie usługi Trenlo: zarządzanie kontem, klientami, treningami, płatnościami, komunikacja serwisowa (e-mail, SMS).

Zgoda (art. 6 ust. 1 lit. a oraz art. 9 ust. 2 lit. a RODO) — przetwarzanie danych zdrowotnych podopiecznych, integracja z urządzeniami wearable, marketing (e-mail, SMS), wykorzystanie wizerunku i opinii.

Prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO) — bezpieczeństwo usługi (logi, wykrywanie nadużyć, rate limiting), wewnętrzna analityka (anonimowa), weryfikacja SMS.

Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — dokumentacja księgowa i podatkowa, realizacja praw osób (art. 15–22 RODO), prowadzenie rejestru zgód.

Dane dotyczące zdrowia podopiecznych (pomiary, kontuzje, notatki zdrowotne) stanowią szczególną kategorię danych osobowych. Przetwarzamy je wyłącznie na podstawie wyraźnej zgody podopiecznego (art. 9 ust. 2 lit. a RODO), udzielonej w systemie zgód Trenlo przed uzyskaniem dostępu do tych danych.

Dane zdrowotne są szyfrowane na poziomie aplikacji (AES-256-GCM, osobny klucz per trener). Dostęp jest blokowany w trybie fail-closed — bez ważnej zgody dane nie są wyświetlane ani dostępne przez API.

Zgoda może być wycofana w dowolnym momencie przez podopiecznego. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.

Twoje dane mogą być przekazywane następującym podmiotom przetwarzającym (art. 28 RODO):

Amazon Web Services EMEA SARL (Luksemburg, region eu-central-1) — hosting, baza danych, storage.

Stripe Payments Europe Ltd (Irlandia) — obsługa płatności.

Resend Inc. (USA, certyfikat EU-US Data Privacy Framework) — e-mail transakcyjny.

SMSAPI sp. z o.o. (Polska) — weryfikacja SMS.

Twilio Ireland Ltd (Irlandia, DPF) — SMS (dostawca zapasowy).

Cloudflare Inc. (dane w EU) — CDN, przechowywanie plików.

Sentry / Functional Software Inc. (USA, DPF) — monitoring błędów.

W przypadku integracji wearable, dane autoryzacyjne są wymieniane z wybranymi dostawcami (Garmin, Polar, Suunto) — wyłącznie za wyraźną zgodą użytkownika.

Nie sprzedajemy, nie udostępniamy i nie przekazujemy danych osobowych podmiotom trzecim w celach marketingowych.

Dane przetwarzane są przede wszystkim w Europejskim Obszarze Gospodarczym (AWS eu-central-1, Frankfurt). Transfer do USA (Resend, Sentry, Twilio) odbywa się na podstawie decyzji Komisji Europejskiej o adekwatności w ramach EU-US Data Privacy Framework (decyzja z 10 lipca 2023 r.), pod warunkiem certyfikacji podmiotu.

W przypadku braku decyzji o adekwatności stosujemy Standardowe Klauzule Umowne (SCC) zatwierdzone przez Komisję Europejską (art. 46 ust. 2 lit. c RODO).

Dane konta — przez czas trwania umowy + 90 dni na pobranie danych.

Dane zdrowotne — do usunięcia konta lub wycofania zgody (hard delete).

Dane rozliczeniowe — 5 lat (Ordynacja podatkowa).

Logi bezpieczeństwa — 90 dni (IP hashowane).

Kody SMS — 24 godziny.

Dowody zgód — IP anonimizowane po 30 dniach; treść zgody przechowywana przez cały okres świadczenia usługi.

Analityka wewnętrzna — 90 dni (dane anonimowe).

Dane wearable — do odłączenia integracji lub usunięcia konta.

Na podstawie RODO przysługują Ci następujące prawa:

Aby skorzystać ze swoich praw, napisz na support@trenlo.app. Odpowiemy bez zbędnej zwłoki, nie później niż w ciągu 30 dni.

Organ nadzorczy: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Stosujemy następujące środki techniczne i organizacyjne (art. 32 RODO):

Trenlo wykorzystuje wyłącznie pliki cookies niezbędne do działania aplikacji (sesja, uwierzytelnianie, preferencje językowe). Nie stosujemy cookies śledzących ani zewnętrznych narzędzi analitycznych opartych na cookies.

Strona publiczna (trenlo.app) korzysta z anonimowej analityki wewnętrznej opartej na losowym identyfikatorze sesji — bez plików cookies, bez śledzenia między wizytami.