Polityka Prywatności

1.1. Administratorem danych osobowych jest CREOTON TOMASZ PRZESTACKI, NIP: 6172150102 (dalej: „Administrator”), prowadzący platformę GymCore dostępną pod adresem gymcore.pl oraz app.gymcore.pl.

1.2. Kontakt z Administratorem w sprawach dotyczących ochrony danych osobowych: email — kontakt@gymcore.pl.

1.3. Administrator dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, że zbierane dane są przetwarzane zgodnie z prawem, zbierane dla oznaczonych celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami.

2.1. W ramach korzystania z Platformy Administrator może zbierać następujące dane osobowe:

Użytkownicy (właściciele siłowni):

• imię i nazwisko osoby kontaktowej;
• adres email;
• numer telefonu;
• nazwa firmy, NIP, adres siedziby;
• dane do rozliczeń i fakturowania.

Członkowie siłowni (klienci końcowi):

• imię i nazwisko;
• adres email;
• numer telefonu;
• data urodzenia;
• zdjęcie profilowe (opcjonalnie);
• identyfikatory OAuth (Google ID, Apple ID) — w przypadku logowania przez media społecznościowe;
• historia wejść, rezerwacji, zakupów i aktywności w ramach siłowni.

Dane zbierane automatycznie:

• adres IP;
• typ i wersja przeglądarki;
• system operacyjny;
• data i godzina dostępu;
• pliki cookies i podobne technologie (patrz sekcja 8).

3.1. Dane osobowe przetwarzane są w następujących celach i na następujących podstawach prawnych:

• Świadczenie usług drogą elektroniczną — na podstawie art. 6 ust. 1 lit. b RODO (wykonanie umowy). Obejmuje rejestrację konta, logowanie, zarządzanie subskrypcją, obsługę płatności.
• Uwierzytelnianie użytkowników — na podstawie art. 6 ust. 1 lit. b RODO. Obejmuje logowanie przez email/hasło oraz logowanie przez Google i Apple (OAuth 2.0).
• Rozliczenia i fakturowanie — na podstawie art. 6 ust. 1 lit. c RODO (obowiązek prawny).
• Komunikacja z użytkownikiem — na podstawie art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes). Obejmuje powiadomienia systemowe, przypomnienia, wsparcie techniczne.
• Powiadomienia SMS i email — na podstawie art. 6 ust. 1 lit. b RODO (wykonanie umowy) lub art. 6 ust. 1 lit. a RODO (zgoda). Obejmuje przypomnienia o karnetach, potwierdzenia zapisów na zajęcia, życzenia urodzinowe.
• Bezpieczeństwo i zapobieganie nadużyciom — na podstawie art. 6 ust. 1 lit. f RODO. Obejmuje logi dostępu, monitorowanie prób nieautoryzowanego dostępu.

4.1. Platforma umożliwia logowanie i rejestrację za pośrednictwem kont Google (Google Sign-In) oraz Apple (Sign in with Apple). Korzystanie z tych metod jest dobrowolne i stanowi alternatywę dla logowania email/hasło.

4.2. W przypadku logowania przez Google, Platforma uzyskuje dostęp do następujących danych z konta Google użytkownika:

• adres email;
• imię i nazwisko;
• identyfikator użytkownika Google (Google ID);
• zdjęcie profilowe (jeśli dostępne).

4.3. W przypadku logowania przez Apple, Platforma uzyskuje dostęp do:

• adres email (lub prywatny adres relay Apple);
• imię i nazwisko (przy pierwszym logowaniu);
• identyfikator użytkownika Apple (Apple ID).

4.4. Dane uzyskane za pośrednictwem Google i Apple są wykorzystywane wyłącznie w celu utworzenia i uwierzytelniania konta użytkownika w Platformie. Administrator nie uzyskuje dostępu do hasła ani innych poufnych danych konta Google lub Apple.

4.5. Użytkownik może w dowolnym momencie odłączyć konto Google lub Apple od swojego konta w Platformie, kontaktując się z Administratorem lub zmieniając ustawienia w swoim koncie Google / Apple.

4.6. Przetwarzanie danych z Google i Apple odbywa się zgodnie z politykami prywatności tych usług: Polityka prywatności Google, Polityka prywatności Apple.

5.1. Dane osobowe mogą być udostępniane następującym kategoriom odbiorców:

• Operatorzy płatności — PayU S.A., PayPro S.A. (Przelewy24), mElements S.A. (Paynow) — w zakresie niezbędnym do realizacji transakcji płatniczych;
• Dostawca SMS — SMSAPI (LINK Mobility Poland Sp. z o.o.) — w zakresie niezbędnym do wysyłania powiadomień SMS;
• Dostawcy infrastruktury — Railway (hosting aplikacji), Neon (baza danych), Vercel (hosting frontend) — w zakresie niezbędnym do świadczenia usługi;
• Google LLC, Apple Inc. — w zakresie uwierzytelniania OAuth (logowanie przez Google / Apple);
• Organy publiczne — w przypadkach przewidzianych obowiązującym prawem.

5.2. Ze wszystkimi podmiotami przetwarzającymi dane na zlecenie Administratora zawarte są odpowiednie umowy powierzenia przetwarzania danych osobowych.

5.3. Dane osobowe mogą być przekazywane do państw trzecich (poza EOG) wyłącznie w zakresie korzystania z usług Google LLC i Apple Inc., na podstawie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską.

6.1. Dane osobowe są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane:

• Dane konta — przez czas trwania umowy oraz 30 dni po jej rozwiązaniu (okres na eksport danych);
• Dane rozliczeniowe i faktury — przez 5 lat od końca roku podatkowego, w którym wystawiono fakturę (obowiązek prawny);
• Logi dostępu i bezpieczeństwa — przez 12 miesięcy;
• Dane członków siłowni — zgodnie z polityką retencji ustaloną przez właściciela siłowni (Administratora danych członków). Po usunięciu konta siłowni dane są trwale usuwane w ciągu 30 dni.

7.1. Każda osoba, której dane osobowe są przetwarzane, ma prawo do:

• dostępu do swoich danych osobowych (art. 15 RODO);
• sprostowania nieprawidłowych danych (art. 16 RODO);
• usunięcia danych — „prawo do bycia zapomnianym” (art. 17 RODO);
• ograniczenia przetwarzania (art. 18 RODO);
• przenoszenia danych — eksport w formacie CSV/PDF (art. 20 RODO);
• sprzeciwu wobec przetwarzania (art. 21 RODO);
• cofnięcia zgody w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem (art. 7 ust. 3 RODO).

7.2. W celu skorzystania z powyższych praw należy skontaktować się z Administratorem pod adresem kontakt@gymcore.pl.

7.3. Administrator realizuje żądania w terminie 30 dni od ich otrzymania. W przypadkach szczególnie skomplikowanych termin może zostać wydłużony o kolejne 60 dni, o czym osoba zostanie poinformowana.

7.4. Każda osoba ma prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa), jeśli uzna, że przetwarzanie jej danych narusza przepisy RODO.

8.1. Platforma wykorzystuje pliki cookies (ciasteczka) — niewielkie pliki tekstowe zapisywane na urządzeniu użytkownika.

8.2. Rodzaje wykorzystywanych cookies:

• Niezbędne (sesyjne) — wymagane do prawidłowego działania Platformy, logowania i utrzymania sesji. Nie wymagają zgody.
• Funkcjonalne — zapamiętywanie preferencji użytkownika (np. wybrany język, motyw kolorystyczny).
• Analityczne — zbieranie anonimowych statystyk dotyczących korzystania z Platformy w celu jej ulepszania.

8.3. Platforma nie wykorzystuje cookies reklamowych ani śledzących (tracking cookies). Nie profilujemy użytkowników w celach marketingowych.

8.4. Użytkownik może zarządzać plikami cookies za pomocą ustawień przeglądarki. Wyłączenie cookies niezbędnych może ograniczyć funkcjonalność Platformy.

8.5. Dane przechowywane w localStorage przeglądarki (tokeny sesji, preferencje) są wykorzystywane wyłącznie do uwierzytelniania i personalzacji interfejsu. Są usuwane po wylogowaniu.

9.1. Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu ochrony danych osobowych, w szczególności:

• szyfrowanie transmisji danych protokołem TLS 1.2+ (HTTPS);
• szyfrowanie danych w spoczynku (AES-256);
• hashowanie haseł algorytmem Argon2 (odpornym na ataki GPU);
• tokeny sesji przechowywane jako hash SHA-256 w bazie danych;
• automatyczne kopie zapasowe co 6 godzin;
• ograniczenie prób logowania (rate limiting) w celu zapobiegania atakom brute-force;
• przechowywanie danych na serwerach w Unii Europejskiej;
• regularne przeglądy bezpieczeństwa i aktualizacje oprogramowania.

10.1. Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności.

10.2. O istotnych zmianach użytkownicy zostaną poinformowani drogą mailową lub komunikatem w Platformie z wyprzedzeniem minimum 14 dni.

10.3. Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem gymcore.pl/polityka-prywatnosci.

11.1. W sprawach dotyczących przetwarzania danych osobowych prosimy o kontakt:

• Email: kontakt@gymcore.pl

11.2. Administrator: CREOTON TOMASZ PRZESTACKI, NIP: 6172150102.