Polityka prywatności CoachReview

1. Administrator danych

Administratorem danych osobowych Użytkowników serwisu jest Marcin Jasiński, adres: ul. Długa 75, 84-239 Bolszewo, NIP 7742896892, wpisany do CEIDG.

Kontakt w sprawach związanych z ochroną danych osobowych jest możliwy pod adresem e-mail: mindmotion.tech@gmail.com lub korespondencyjnie na adres prowadzenia działalności Administratora.

W zakresie danych Podopiecznych wprowadzanych przez Trenera Administratorem co do zasady jest Trener, a Operator pełni rolę podmiotu przetwarzającego (procesora) na warunkach umowy powierzenia (DPA).

2. Inspektor Ochrony Danych

Administrator nie wyznaczył Inspektora Ochrony Danych — nie istnieje obowiązek wyznaczenia IOD w rozumieniu art. 37 RODO. We wszystkich sprawach związanych z ochroną danych osobowych prosimy o kontakt z Administratorem pod adresem e-mail: mindmotion.tech@gmail.com.

3. Kategorie przetwarzanych danych

Dane konta Użytkownika: imię, nazwisko, adres e-mail, hasło (w postaci skrótu), preferowany język, strefa czasowa, dane profilu publicznego (jeżeli zostały opublikowane), dane rozliczeniowe.

Dane techniczne: adres IP, identyfikatory urządzenia i przeglądarki, dzienniki zdarzeń, dane diagnostyczne i dane plików cookies.

Dane Podopiecznych wprowadzane przez Trenera: imię, nazwisko, dane kontaktowe, notatki treningowe, dokumenty, materiały, nagrania wideo, kalendarz dostępności, dane związane ze świadczonymi usługami trenerskimi.

Dane szczególnych kategorii (RODO art. 9), takie jak dane dotyczące zdrowia, mogą być przez Trenera wprowadzane na własną odpowiedzialność i wyłącznie wtedy, gdy Trener dysponuje odpowiednią podstawą prawną.

4. Cele i podstawy prawne przetwarzania

Świadczenie usługi i obsługa konta – art. 6 ust. 1 lit. b RODO (wykonanie umowy).

Obsługa płatności i wystawianie faktur – art. 6 ust. 1 lit. b oraz lit. c RODO (obowiązek prawny w zakresie rachunkowości i podatków).

Bezpieczeństwo serwisu, zapobieganie nadużyciom i logowanie zdarzeń – art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes Administratora polegający na ochronie usługi).

Obsługa reklamacji i ewentualnych roszczeń – art. 6 ust. 1 lit. b, c i f RODO.

Komunikacja marketingowa – art. 6 ust. 1 lit. a RODO (zgoda) oraz art. 10 ustawy o świadczeniu usług drogą elektroniczną i art. 172 prawa telekomunikacyjnego, jeżeli wiadomość jest kierowana na adres e-mail lub numer telefonu.

Realizacja obowiązków wynikających z DSA i innych przepisów – art. 6 ust. 1 lit. c RODO.

5. Źródła danych

Większość danych pochodzi bezpośrednio od Użytkownika (przy rejestracji, w panelu, podczas płatności).

Część danych jest generowana w trakcie korzystania z serwisu (logi, dane techniczne).

Dane Podopiecznych pochodzą od Trenera, który wprowadza je do serwisu.

6. Odbiorcy i podmioty przetwarzające

Dane mogą być powierzane następującym kategoriom dostawców działających na zlecenie Administratora: dostawcy hostingu i infrastruktury chmurowej, dostawcy obiektowego przechowywania plików (np. Amazon S3 lub Cloudflare R2), dostawcy poczty transakcyjnej, dostawca operatora płatności Stripe Payments Europe, Ltd., dostawcy narzędzi monitoringu i logowania błędów, dostawcy narzędzi obsługi klienta.

Dane mogą być również udostępniane uprawnionym organom państwowym na podstawie obowiązujących przepisów.

Aktualna lista podprocesorów wraz z lokalizacją przetwarzania jest udostępniana na żądanie pod adresem mindmotion.tech@gmail.com.

7. Przekazywanie danych poza EOG

Niektórzy dostawcy mogą przetwarzać dane poza Europejskim Obszarem Gospodarczym, w szczególności w Stanach Zjednoczonych. W takich przypadkach Administrator stosuje odpowiednie zabezpieczenia, w tym standardowe klauzule umowne (SCC) zatwierdzone przez Komisję Europejską oraz, w odniesieniu do dostawców z USA, ramy ochrony danych UE-USA (Data Privacy Framework), o ile dany dostawca jest do nich certyfikowany.

Kopię klauzul lub informację o stosowanych zabezpieczeniach Użytkownik może uzyskać kontaktując się z Administratorem.

8. Okresy przechowywania

Dane konta są przechowywane przez czas obowiązywania umowy oraz przez okres niezbędny do rozliczenia umowy i rozpatrzenia reklamacji.

Dane rozliczeniowe i faktury są przechowywane przez okres wymagany przepisami prawa podatkowego i rachunkowego (co do zasady 5 lat licząc od końca roku obrotowego).

Dane na potrzeby ustalenia, dochodzenia lub obrony roszczeń są przechowywane do upływu okresu przedawnienia.

Nagrania video opublikowane w serwisie są przechowywane przez okres dostępności określony w wybranym planie (6 miesięcy dla planu Solo, 12 miesięcy dla planu Pro), liczony od daty publikacji. Po upływie tego okresu nagranie jest automatycznie przenoszone do kosza i pozostaje dostępne do przywrócenia przez 30 dni, po czym jest trwale usuwane wraz z plikiem przechowywanym w obiektowym przechowywaniu (Cloudflare R2 lub Amazon S3). Nagrania robocze (niepublikowane) są usuwane po 30 dniach od utworzenia. Szczegółowe zasady, w tym zasady postępowania w przypadku zmiany planu, opisuje regulamin (punkt 6a).

Dane techniczne i logi bezpieczeństwa są przechowywane nie dłużej niż 12 miesięcy, chyba że dłuższe przechowywanie jest niezbędne dla bezpieczeństwa serwisu lub z powodu trwającego incydentu.

9. Prawa osób, których dane dotyczą

Każda osoba, której dane są przetwarzane, ma prawo: dostępu do danych (art. 15 RODO), sprostowania (art. 16), usunięcia (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20), sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionego interesu (art. 21) oraz cofnięcia zgody, gdy podstawą jest zgoda (art. 7).

W celu realizacji praw Użytkownik może skorzystać z funkcji w panelu konta lub skontaktować się pod adresem mindmotion.tech@gmail.com. Administrator odpowiada bez zbędnej zwłoki, nie później niż w terminie miesiąca.

Każdej osobie przysługuje także prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa) lub do innego właściwego organu nadzorczego w państwie zwykłego pobytu osoby zgłaszającej skargę.

10. Profilowanie i decyzje zautomatyzowane

Administrator nie podejmuje wobec Użytkowników decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie na nich wpływały, w rozumieniu art. 22 RODO.

11. Pliki cookies i podobne technologie

Serwis używa plików cookies i podobnych technologii. Pliki niezbędne do logowania, bezpieczeństwa i działania aplikacji nie wymagają zgody Użytkownika. Pliki analityczne, marketingowe lub funkcjonalne wykraczające poza niezbędne wymagają wyraźnej, dobrowolnej i świadomej zgody, którą można w każdej chwili wycofać.

Banner cookies pozwala Użytkownikowi zaakceptować, odrzucić lub dostosować zakres plików zapisywanych w urządzeniu. Szczegółowa lista plików cookies, ich celów oraz okresów przechowywania jest dostępna w ustawieniach plików cookies.

12. Bezpieczeństwo danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne służące zapewnieniu bezpieczeństwa danych, w tym szyfrowanie połączeń (TLS), hashowanie haseł, kontrolę dostępu, zasady minimalizacji danych, regularne kopie zapasowe oraz monitoring zdarzeń.

W przypadku stwierdzenia naruszenia ochrony danych osobowych mogącego powodować ryzyko naruszenia praw lub wolności osób fizycznych, Administrator zgłasza naruszenie organowi nadzorczemu w terminie 72 godzin oraz, w razie potrzeby, informuje osoby, których dane dotyczą.

13. Dane użytkownika Google i usługi Google API

Zakres uprawnień: https://www.googleapis.com/auth/calendar.events.freebusy (odczyt informacji o zajętości w Kalendarzu Google).

Zakres dostępu do danych: bloki czasu zajętego/wolnego w głównym Kalendarzu Google Trenera dla wybranego tygodnia. Operator nie uzyskuje dostępu do tytułów, opisów, uczestników, lokalizacji, załączników ani jakiejkolwiek innej treści wydarzeń.

Cel: wyznaczenie wolnych okien czasowych w celu zaimportowania ich do kalendarza dostępności CoachReview. Dane użytkownika Google są wykorzystywane wyłącznie w celu pokazania wolnych/zajętych okien Trenerowi, który połączył konto, i w żadnym innym celu.

Przechowywanie: token odświeżania wydany przez Google jest przechowywany w postaci zaszyfrowanej i używany wyłącznie do odpytywania o zajętość/wolność na żądanie Trenera. Odpowiedzi free/busy są przetwarzane w pamięci; trwale zapisywane są wyłącznie te okna dostępności, które Trener wybierze do importu.

Udostępnianie: dane użytkownika Google nie są sprzedawane, udostępniane stronom trzecim w celach reklamowych ani wykorzystywane do trenowania modeli AI/ML. CoachReview nie przekazuje danych użytkownika Google stronom trzecim z wyjątkiem przypadków niezbędnych do świadczenia lub ulepszania integracji, wykonania obowiązku prawnego lub w ramach fuzji, przejęcia lub sprzedaży aktywów, z powiadomieniem Użytkowników.

Ograniczone wykorzystanie: korzystanie i przekazywanie do jakiejkolwiek innej aplikacji informacji uzyskanych z Google API odbywa się zgodnie z Google API Services User Data Policy, w tym z wymogami Limited Use.

Cofnięcie zgody: Trener może odłączyć Kalendarz Google w dowolnym momencie w ustawieniach konta lub cofnąć dostęp pod adresem https://myaccount.google.com/permissions. Po odłączeniu token odświeżania jest usuwany.

14. Zmiany polityki

Administrator może aktualizować politykę w przypadku zmiany przepisów, dostawców lub funkcji serwisu. Każda istotna zmiana jest komunikowana Użytkownikom pocztą e-mail oraz oznaczona datą aktualizacji u góry dokumentu. Wcześniejsze wersje polityki są przechowywane na potrzeby rozliczalności.