Administrator danych
Administratorem Twoich danych osobowych jest Triathlify z siedzibą we Wrocławiu, Polska (dalej „Triathlify“, „my“). Kontakt w sprawach danych: privacy@triathlify.com.
Jakie dane zbieramy
Dane konta: adres e-mail, imię (opcjonalnie), hasło (przechowywane jako hash).
Dane treningowe: sesje, wyniki testów, strefy, plany treningowe — synchronizowane z Garmin Connect, Strava, Apple Health, Polar, Coros, Suunto, Oura, Whoop lub wprowadzone ręcznie.
Dane onboardingu: odpowiedzi z ankiety wstępnej (cel, dystans, dostępne godziny, poziom).
Dane płatności: obsługiwane przez Stripe i TPay — nie przechowujemy numerów kart. Przechowujemy identyfikator subskrypcji, datę i kwotę transakcji.
Dane techniczne: adres IP, typ przeglądarki, system operacyjny — zbierane automatycznie w logach serwera i przez Google Analytics / Google Tag Manager.
Dane z czatu trenera AI: treść rozmów z trenerem AI, przetwarzana przez zewnętrznych dostawców AI (Anthropic, OpenAI lub Google) wyłącznie w celu wygenerowania odpowiedzi.
Podstawa prawna przetwarzania (RODO)
Art. 6 ust. 1 lit. b — wykonanie umowy: przetwarzanie danych konta, treningowych i onboardingu jest niezbędne do świadczenia usługi (generowanie i adaptacja planu treningowego).
Art. 6 ust. 1 lit. f — prawnie uzasadniony interes: analityka (Google Analytics), ochrona przed nadużyciami, ulepszanie silnika adaptacji na podstawie zagregowanych, zanonimizowanych wzorców.
Art. 6 ust. 1 lit. a — zgoda: powiadomienia push, newsletter tygodniowy. Zgodę możesz wycofać w dowolnym momencie w Ustawieniach.
Art. 6 ust. 1 lit. c — obowiązek prawny: przechowywanie danych rozliczeniowych zgodnie z przepisami podatkowymi.
Cel przetwarzania
Generowanie i adaptacja spersonalizowanego planu treningowego na podstawie Twoich danych i celów.
Obsługa płatności i subskrypcji.
Komunikacja transakcyjna: potwierdzenia, zmiany planu, powiadomienia o sesjach.
Tygodniowy przegląd treningowy — możesz go wyłączyć w Ustawieniach.
Ulepszanie usługi na podstawie zagregowanych, nieidentyfikujących statystyk (wskaźniki realizacji, wzorce adaptacji). Możesz zrezygnować w Ustawieniach.
Odbiorcy i podmioty przetwarzające
Stripe, Inc. (USA) i Krajowy Integrator Płatności S.A. / TPay (Polska) — obsługa płatności.
Google LLC (USA) — Google Analytics i Google Tag Manager (analityka).
Anthropic, PBC / OpenAI, Inc. / Google LLC (USA) — przetwarzanie zapytań do trenera AI. Dostawcy ci nie przechowują danych treningowych poza czasem generowania odpowiedzi.
Dostawcy infrastruktury serwerowej (UE) — hosting aplikacji i bazy danych.
Nie sprzedajemy, nie wynajmujemy ani nie udostępniamy Twoich danych reklamodawcom. Nie mamy reklamodawców.
Transfer danych poza EOG
Serwery aplikacji i bazy danych znajdują się w UE (Frankfurt, Paryż). Niektóre podmioty przetwarzające (Stripe, Google, Anthropic, OpenAI) mają siedzibę w USA — transfer odbywa się na podstawie standardowych klauzul umownych (SCC) lub decyzji o adekwatności Komisji Europejskiej (EU–US Data Privacy Framework).
Okres przechowywania
Dane konta i treningowe: przez czas aktywności konta. Po usunięciu konta dane są trwale kasowane w ciągu 30 dni.
Dane rozliczeniowe: 5 lat od zakończenia roku podatkowego, zgodnie z przepisami prawa polskiego.
Logi serwera: 90 dni.
Dane z czatu AI: 30 dni od ostatniej wiadomości w wątku.
Twoje prawa (RODO art. 15–22)
Prawo dostępu (art. 15) — możesz pobrać swoje dane w Ustawienia → Eksport (JSON lub CSV).
Prawo do sprostowania (art. 16) — edytuj profil w aplikacji lub napisz na privacy@triathlify.com.
Prawo do usunięcia (art. 17) — Ustawienia → Usuń konto. Realizacja w ciągu 30 dni.
Prawo do ograniczenia przetwarzania (art. 18), prawo do przenoszenia danych (art. 20), prawo do sprzeciwu (art. 21) — napisz na privacy@triathlify.com.
Prawo do cofnięcia zgody (art. 7 ust. 3) — w dowolnym momencie, bez wpływu na zgodność z prawem przetwarzania przed cofnięciem.
Prawo do wniesienia skargi do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.
Bezpieczeństwo
Szyfrowanie danych w spoczynku (AES-256) i w tranzycie (TLS 1.3). Hasła przechowywane jako hash (bcrypt). Dostęp do danych produkcyjnych ograniczony do minimum niezbędnego personelu.
Osoby niepełnoletnie
Usługa jest przeznaczona dla osób, które ukończyły 16 lat. Świadomie nie zbieramy danych osobowych osób młodszych. Jeśli dowiesz się, że osoba poniżej 16 roku życia przekazała nam dane, prosimy o kontakt — usuniemy je niezwłocznie.
Zmiany polityki
O istotnych zmianach poinformujemy e-mailem i/lub powiadomieniem w aplikacji co najmniej 14 dni przed ich wejściem w życie. Dalsze korzystanie z usługi po tym terminie oznacza akceptację zmian.