Polityka Prywatności

Niniejsza Polityka Prywatności opisuje, jak Fitney Tecnologia Ltda. („Fitney”, „my”) zbiera, wykorzystuje, udostępnia i chroni dane osobowe użytkowników („Użytkownicy”, „Ty”) naszej platformy SaaS fitness i żywieniowej.

Niniejsza Polityka ma zastosowanie do wszystkich usług oferowanych przez Fitney, w tym:

• Strony instytucjonalnej (fitney.com.br);
• Aplikacji mobilnej na iOS i Android;
• Panelu administracyjnego dla specjalistów (backoffice);
• Aplikacji white-label generowanych dla specjalistów planu Premium;
• API i usług backend.

Jest uzupełniona naszą stroną o LGPD i Polityką Cookies.

Zalecamy przeczytanie całej Polityki. Korzystając z Platformy, potwierdzasz, że zrozumiałeś nasze praktyki przetwarzania danych.

Dla celów niniejszej Polityki i obowiązujących przepisów o ochronie danych:

• Fitney Tecnologia Ltda. jest administratorem danych osobowych Specjalistów (trenerów personalnych, dietetyków), którzy korzystają z Platformy;
• Specjalista jest administratorem danych osobowych swoich Podopiecznych, a Fitney działa jako podmiot przetwarzający te dane;
• Z Inspektorem Ochrony Danych (DPO) można skontaktować się pod adresem dpo@fitneyapp.com.

To rozróżnienie jest istotne dla wykonywania praw: Podopieczni powinni przede wszystkim kierować wnioski do Specjalisty zarządzającego ich danymi, mogą też kontaktować się bezpośrednio z Fitney.

Zbieramy następujące kategorie danych osobowych:

Dane rejestracyjne

• Imię i nazwisko, e-mail, telefon (z kodem kraju);
• CPF/CNPJ (do fakturowania w Brazylii);
• Rejestracja lub certyfikacja zawodowa, gdy dobrowolnie podana przez Użytkownika (np. CREF, CRN w Brazylii; NASM, ACE, NSCA, RD w USA; REPs, EREPS w Europie). Te dane są opcjonalne i nie są weryfikowane przez Fitney;
• Adres firmowy i dane do faktury.

Dane zdrowia i fitness (dane wrażliwe)

• Pomiary ciała (waga, wzrost, obwody);
• Cele zdrowotne i fitness;
• Historia treningów i ćwiczeń;
• Dane żywieniowe i plany żywieniowe;
• Zdjęcia postępów (dobrowolnie podane);
• Ograniczenia żywieniowe i zadeklarowane warunki zdrowotne;
• Dane importowane z platform zdrowotnych (Apple HealthKit na iOS i Health Connect na Androidzie), w tym kroki, tętno, spalone kalorie, pokonana odległość i sesje ćwiczeń — tylko za wyraźną zgodą podmiotu, udzieloną bezpośrednio w systemie operacyjnym urządzenia;
• Wywiad zdrowotny (kwestionariusz zdrowia): historia medyczna, styl życia, poziom aktywności fizycznej, cele — wypełniany dobrowolnie przez Podopiecznego lub Specjalistę.

Dane użycia i urządzenia

• Adres IP, typ przeglądarki i systemu operacyjnego;
• Odwiedzane strony, czas spędzony i interakcje;
• Dane geolokalizacyjne (na podstawie IP w witrynie; GPS w aplikacji mobilnej, gdy autoryzowane, do rejestracji miejsca treningu);
• Identyfikatory urządzenia: model, wersja systemu operacyjnego, wersja aplikacji i unikalny identyfikator urządzenia;
• Tokeny powiadomień push (Firebase Cloud Messaging) do wysyłki przypomnień i komunikacji;
• Dane wydajności i diagnostyki zbierane przez Firebase Crashlytics (raporty awarii, bez identyfikowalnych danych osobowych);
• Cookies i podobne technologie — zobacz naszą Politykę Cookies.

Dane lokalnego przechowywania (Aplikacja mobilna)

• Cache odpowiedzi API (przechowywany lokalnie do 3 dni dla działania offline);
• Kolejka operacji offline (ćwiczenia, check-iny i sesje biegowe wykonane bez połączenia, synchronizowane automatycznie po ponownym połączeniu);
• Preferencje powiadomień i ustawienia Użytkownika;
• Niedawna historia otrzymanych powiadomień (ostatnie 10).

Dane płatności

• Dane transakcji (kwota, data, status);
• Ostatnie 4 cyfry karty i marka (do identyfikacji);
• Dane zakupów dokonanych w aplikacji (in-app purchase) przez Apple App Store lub Google Play, w tym identyfikatory transakcji i okres subskrypcji;
• Uwaga: pełne dane karty są przetwarzane bezpośrednio przez Stripe lub lokalnego operatora (Asaas w Brazylii) i nigdy nie są przechowywane na naszych serwerach.

Dane komunikacji

• Wiadomości wymieniane między Specjalistą a Podopiecznym na Platformie;
• Komunikacja wsparcia i feedback.

Przetwarzamy dane osobowe na podstawie następujących podstaw prawnych:

Podstawa prawna	LGPD (Art. 7)	RODO (Art. 6)	Przykłady użycia
Wykonanie umowy	Art. 7, V	Art. 6(1)(b)	Świadczenie usługi, przetwarzanie płatności
Zgoda	Art. 7, I / Art. 11, I	Art. 6(1)(a)	Dane zdrowotne, marketing, niezbędne cookies
Prawnie uzasadniony interes	Art. 7, IX	Art. 6(1)(f)	Bezpieczeństwo, zapobieganie oszustwom, ulepszanie usługi
Obowiązek prawny	Art. 7, II	Art. 6(1)(c)	Obowiązki podatkowe, regulacyjne, nakaz sądowy
Ochrona życia	Art. 7, VII	Art. 6(1)(d)	Sytuacje kryzysowe dotyczące danych zdrowotnych

Dla danych wrażliwych (danych zdrowia i fitness) preferencyjnie używamy konkretnej i wyraźnej zgody podmiotu, zgodnie z art. 11 LGPD i art. 9 RODO.

Wykorzystujemy Twoje dane osobowe do następujących celów:

• Świadczenie usługi: tworzenie i utrzymywanie konta, dostarczanie zakontraktowanych funkcji, przetwarzanie płatności;
• Personalizacja: dostosowanie doświadczenia, rekomendacji treningów i funkcji do Twojego profilu;
• Komunikacja: wysyłanie powiadomień o usłudze, aktualizacjach, alertach bezpieczeństwa i (za zgodą) komunikacji marketingowej;
• Bezpieczeństwo: wykrywanie, zapobieganie i badanie oszustw, nieuprawnionego dostępu i złośliwej aktywności;
• Ulepszanie usługi: analizowanie wzorców użycia (w sposób zagregowany i zanonimizowany, gdy to możliwe), by ulepszać funkcje;
• Zgodność prawna: spełnianie obowiązków podatkowych, regulacyjnych, sądowych i właściwych organów;
• Wsparcie: odpowiadanie na wnioski, reklamacje i zapewnianie pomocy technicznej.

Udostępniamy dane osobowe tylko w poniższych sytuacjach, zawsze z odpowiednimi zabezpieczeniami:

Dostawcy usług (operatorzy/podmioty przetwarzające)

• Infrastruktura i hosting: dostawcy chmury (serwery w USA i/lub UE);
• Płatności: Stripe i lokalni operatorzy;
• Analityka i monitoring: Google Analytics 4 (przez Google Tag Manager, z Consent Mode v2), Firebase Analytics i Firebase Crashlytics (raporty stabilności), Microsoft Clarity (mapy ciepła);
• Powiadomienia push: Firebase Cloud Messaging (Google);
• Przechowywanie multimediów: Amazon S3 i Supabase (zdjęcia ćwiczeń, check-inów i ocen);
• Zdrowie: Apple HealthKit i Google Health Connect (tylko odczyt/zapis lokalny na urządzeniu, dane nieprzesyłane na serwery Fitney);
• Płatności: Stripe (międzynarodowe) i Asaas (Brazylia — PIX i Boleto); Apple App Store i Google Play (zakupy w aplikacji);
• E-mail transakcyjny: dostawcy wysyłki e-mail (SMTP);
• Wsparcie: narzędzia obsługi klienta.

Wszyscy dostawcy są zakontraktowani z klauzulami ochrony danych (Data Processing Agreements — DPA).

Udostępnianie Specjalista-Podopieczny

Specjalista ma dostęp do danych swoich Podopiecznych w zakresie niezbędnym do świadczenia usługi. Podopieczny powinien zapoznać się z polityką prywatności swojego Specjalisty.

Obowiązki prawne

Możemy ujawniać dane, gdy wymaga tego prawo, nakaz sądowy, postępowanie prawne lub wniosek właściwego organu rządowego.

Transfery korporacyjne

W przypadku fuzji, przejęcia, reorganizacji lub sprzedaży aktywów dane mogą być przekazywane, z wcześniejszym powiadomieniem i zachowaniem ochron.

Fitney nie sprzedaje danych osobowych podmiotom trzecim, zgodnie z definicjami LGPD, RODO i CCPA/CPRA.

Fitney może przekazywać dane osobowe poza kraj pochodzenia podmiotu, zgodnie z obowiązującymi przepisami:

Brazylia → Zagranica (LGPD, art. 33-36)

• Do krajów lub organizacji zapewniających odpowiedni stopień ochrony, uznany przez ANPD;
• Na podstawie standardowych klauzul umownych zatwierdzonych przez ANPD;
• Za konkretną i wyraźną zgodą podmiotu;
• Gdy konieczne do wykonania umowy.

UE/EOG → Zagranica (RODO, art. 44-49)

• Do krajów z decyzją o adekwatności Komisji Europejskiej;
• Na podstawie Standardowych Klauzul Umownych (SCC) UE;
• Do USA, w ramach EU-US Data Privacy Framework, gdy ma to zastosowanie;
• W razie potrzeby przeprowadzana jest ocena wpływu transferu (TIA).

Nasze główne serwery znajdują się w Stanach Zjednoczonych (AWS/Google Cloud) z odpowiednimi technicznymi i organizacyjnymi środkami bezpieczeństwa.

Przechowujemy dane osobowe tylko przez okres niezbędny do celów opisanych w niniejszej Polityce:

Kategoria danych	Okres retencji	Uzasadnienie
Dane aktywnego konta	Dopóki konto jest aktywne	Wykonanie umowy
Dane po anulowaniu	Do 6 miesięcy	Możliwość reaktywacji
Dane podatkowe/finansowe	5 lat	Obowiązek prawny (Krajowy Kodeks Podatkowy)
Dane zdrowotne	Do usunięcia przez podmiot lub 2 lata po nieaktywności	Regularne wykonywanie praw
Logi dostępu	6 miesięcy	Obowiązek prawny (Ramy Cywilne Internetu, art. 15)
Dane komunikacji	Dopóki konto aktywne + 1 rok	Wsparcie i rozwiązywanie sporów
Dane zanonimizowane	Bezterminowo	Dane zanonimizowane nie są danymi osobowymi

Po zakończeniu okresu retencji dane są nieodwracalnie usuwane lub anonimizowane.

W zależności od lokalizacji masz następujące prawa wobec swoich danych osobowych:

Prawa wynikające z LGPD (Brazylia)

Zgodnie z art. 17-22 LGPD masz prawo do:

• Potwierdzenia istnienia przetwarzania;
• Dostępu do danych osobowych;
• Poprawy niekompletnych, nieprawidłowych lub nieaktualnych danych;
• Anonimizacji, blokowania lub usunięcia niepotrzebnych lub nadmiernych danych;
• Przenoszenia danych;
• Usunięcia danych przetwarzanych za zgodą;
• Informacji o udostępnianiu osobom trzecim;
• Cofnięcia zgody;
• Sprzeciwu wobec przetwarzania.

Prawa wynikające z RODO (UE/EOG)

Zgodnie z art. 15-22 RODO masz prawo do:

• Dostępu (art. 15);
• Sprostowania (art. 16);
• Usunięcia / „prawo do bycia zapomnianym” (art. 17);
• Ograniczenia przetwarzania (art. 18);
• Przenoszenia (art. 20);
• Sprzeciwu (art. 21), w tym sprzeciwu wobec marketingu bezpośredniego;
• Niepodlegania zautomatyzowanym decyzjom (art. 22);
• Złożenia skargi do właściwego organu nadzorczego.

Prawa wynikające z CCPA/CPRA (Kalifornia, USA)

• Prawo do wiedzy, jakie dane są zbierane i jak są wykorzystywane;
• Prawo do usunięcia danych osobowych;
• Prawo do poprawy nieprawidłowych danych;
• Prawo do rezygnacji ze sprzedaży/udostępniania danych (opt-out);
• Prawo do ograniczenia użycia danych wrażliwych;
• Prawo do niedyskryminacji za wykonywanie swoich praw.

Fitney nie sprzedaje ani nie udostępnia danych osobowych w celach reklamy behawioralnej między kontekstami, zgodnie z definicją CPRA.

Aby wykonać swoje prawa, skontaktuj się przez dpo@fitneyapp.com. Odpowiemy w ciągu 15 dni (LGPD), 30 dni (RODO) lub 45 dni (CCPA).

Wdrażamy techniczne i organizacyjne środki ochrony Twoich danych osobowych, w tym:

• Szyfrowanie: dane w tranzycie chronione przez TLS 1.3; dane wrażliwe szyfrowane w spoczynku (AES-256);
• Kontrola dostępu: uwierzytelnianie wieloskładnikowe, zasada najmniejszych uprawnień, logi dostępu;
• Infrastruktura: serwery w certyfikowanych centrach danych (SOC 2 Type II, ISO 27001);
• Monitoring: wykrywanie włamań, monitoring 24/7 i automatyczne alerty;
• Backup: szyfrowane kopie zapasowe z retencją i regularnymi testami przywracania;
• Zespół: regularne szkolenia bezpieczeństwa i prywatności dla wszystkich pracowników;
• Testy: okresowe oceny podatności i przeglądy bezpieczeństwa.

Żaden system nie jest w 100% bezpieczny. W przypadku incydentu bezpieczeństwa powiadomimy właściwe organy (ANPD, europejskie organy ochrony danych) i zainteresowanych w prawnych terminach.

Platforma nie jest skierowana do osób poniżej 18 roku życia. Osoby poniżej 18 lat mogą korzystać z Platformy tylko za weryfikowalną zgodą opiekuna prawnego.

• Brazylia (LGPD, art. 14): dane dzieci (do 12 lat) tylko za konkretną i wyróżnioną zgodą co najmniej jednego z rodziców lub opiekuna prawnego. Nastolatki (12-17 lat): zgoda opiekuna prawnego;
• UE (RODO, art. 8): zgoda osób poniżej 16 lat (lub niższego wieku określonego przez państwo członkowskie, minimum 13 lat) wymaga upoważnienia osoby sprawującej władzę rodzicielską;
• USA (COPPA): nie zbieramy świadomie danych osób poniżej 13 lat. Jeśli się o tym dowiemy, natychmiast usuniemy dane.

Jeśli uważasz, że dane małoletniego zostały zebrane bez upoważnienia, skontaktuj się z dpo@fitneyapp.com.

Używamy cookies i podobnych technologii do obsługi Platformy, analizy użycia i personalizacji doświadczenia. Szczegółowe informacje znajdziesz w naszej Polityce Cookies.

Podsumowanie:

• Niezbędne cookies: niezbędne do działania witryny (bez konieczności zgody);
• Cookies analityczne: by zrozumieć, jak Platforma jest używana (wymagają zgody);
• Cookies marketingowe: by personalizować reklamy (wymagają zgody).

Możesz zarządzać preferencjami cookies w dowolnym momencie przez baner cookies lub ustawienia przeglądarki.

Fitney może używać przetwarzania zautomatyzowanego do:

• Rekomendowania treningów i planów żywieniowych na podstawie profilu Podopiecznego;
• Wykrywania nietypowych wzorców użycia dla bezpieczeństwa;
• Personalizacji doświadczenia na Platformie.

Te rekomendacje są pomocnicze i zawsze podlegają przeglądowi Specjalisty. Nie podejmujemy decyzji wywołujących skutki prawne lub znacząco wpływających na podmiot wyłącznie na podstawie zautomatyzowanego przetwarzania.

Zgodnie z art. 20 LGPD i art. 22 RODO masz prawo zażądać przeglądu zautomatyzowanych decyzji i uzyskać informacje o stosowanych kryteriach i procedurach.

Możemy okresowo aktualizować niniejszą Politykę. Istotne zmiany będą komunikowane z 30-dniowym wyprzedzeniem przez:

• E-mail do zarejestrowanych Użytkowników;
• Powiadomienie na Platformie;
• Aktualizację daty „Ostatniej aktualizacji” na tej stronie.

Dla zmian wymagających nowej zgody (np. nowych celów przetwarzania danych wrażliwych) poprosimy o konkretną zgodę przed wdrożeniem.

Zalecamy okresowe przeglądanie niniejszej Polityki.

Pytania, wnioski lub reklamacje dotyczące niniejszej Polityki lub przetwarzania Twoich danych osobowych:

• Inspektor Ochrony Danych (DPO): dpo@fitneyapp.com
• Ogólny: legal@fitneyapp.com
• Adres: Fitney Tecnologia Ltda., CNPJ 44.638.274/0001-86, R. Cascavel, 2760 — Curitiba, PR, Brazylia

Jeśli nie jesteś zadowolony z naszej odpowiedzi, możesz złożyć skargę do właściwego organu ochrony danych:

• Brazylia: Krajowy Urząd Ochrony Danych (ANPD) — gov.br/anpd
• UE: Urząd ochrony danych Twojego kraju zamieszkania
• USA (Kalifornia): Office of the Attorney General of California