Polityka Prywatności

Ostatnia aktualizacja: 7 maja 2026 r.

1. Administrator danych

Administratorem Twoich danych osobowych w zakresie korzystania z platformy Gym Report jest Adrian Wiśniewski kodujeto, z siedzibą pod adresem ul. Migdałowa 30A/1, 62-090 Rokietnica, NIP: 7773008674 (dalej: „Administrator", „Operator" lub „my").

Kontakt w sprawie danych osobowych: kontakt@gymreport.pl

Inspektor Ochrony Danych (IOD): Administrator nie wyznaczył Inspektora Ochrony Danych, ponieważ — w ocenie Administratora — nie zachodzą przesłanki obowiązkowego wyznaczenia IOD określone w art. 37 ust. 1 RODO (główna działalność nie polega na regularnym i systematycznym monitorowaniu osób na dużą skalę ani na przetwarzaniu danych szczególnej kategorii na dużą skalę). We wszystkich sprawach dotyczących danych osobowych prosimy kontaktować się pod adresem kontakt@gymreport.pl.

2. Dwóch administratorów: Operator i Trener

Korzystając z platformy Gym Report, Twoje dane są przetwarzane przez dwóch odrębnych administratorów, działających niezależnie:

2.1. Operator (my) — administrator danych w zakresie świadczenia usługi platformy

Operator jest administratorem Twoich danych w zakresie niezbędnym do:

  • prowadzenia konta użytkownika i uwierzytelniania (logowanie, sesje, bezpieczeństwo),
  • udostępniania funkcjonalności platformy (formularze raportów, kalendarz, plany, wykresy, katalog trenerów),
  • przechowywania danych w infrastrukturze technicznej (baza danych i Storage),
  • obsługi zgłoszeń, reklamacji i kontaktu z Tobą,
  • wypełniania obowiązków prawnych Operatora (np. rozliczenia podatkowe).

2.2. Trener — niezależny administrator danych Klienta w zakresie świadczenia usług treningowych

Trener, który zaprosił Cię do platformy lub którego usługi rozpoczynasz przez katalog (Directory), prowadzi własną działalność i samodzielnie decyduje o celach i środkach przetwarzania Twoich danych w zakresie świadczenia usług treningowych (np. jakie pomiary zlecać, jak prowadzić plan, jakie notatki sporządzać). Zgodnie z art. 4 pkt 7 RODO Trener jest odrębnym (niezależnym) administratorem Twoich danych w zakresie świadczonych przez niego usług treningowych — nie jest podmiotem przetwarzającym po stronie Operatora.

Co to oznacza w praktyce:

  • Operator i Trener mają niezależne obowiązki informacyjne wynikające z art. 13/14 RODO. Trener powinien przekazać Ci własną klauzulę informacyjną opisującą zakres i cele swojego przetwarzania.
  • W sprawach związanych z funkcjonowaniem platformy (konto, hasło, błąd techniczny, eksport danych z platformy) — kontaktuj się z Operatorem: kontakt@gymreport.pl.
  • W sprawach związanych z prowadzeniem treningu (cel zbierania konkretnego pomiaru, sposób wykorzystania zdjęcia, plan dietetyczny itp.) — kontaktuj się bezpośrednio ze swoim Trenerem. Imię, nazwisko oraz adres e-mail Trenera są widoczne dla Klienta w profilu Trenera w panelu Klienta — możesz wykorzystywać te dane do kontaktu z Trenerem oraz do realizacji praw wynikających z RODO wobec niego jako odrębnego administratora.
  • Operator nie ponosi odpowiedzialności za decyzje Trenera dotyczące celów i sposobów przetwarzania Twoich danych w ramach świadczonych przez niego usług treningowych.

3. Jakie dane zbieramy

3.1. Dane konta (Trener i Klient)

  • imię i nazwisko,
  • adres e-mail,
  • numer telefonu (opcjonalnie),
  • hasło (przechowywane w formie zaszyfrowanej / haszowanej),
  • rola w systemie (trener / klient).

3.2. Dane treningowe (Klient)

  • pomiary ciała: waga, obwód talii, klatki piersiowej, bicepsów, ud,
  • zdjęcia postępu (zdjęcia ciała) — dane szczególnej kategorii (zob. § 5),
  • logi treningowe: wykonane ćwiczenia, serie, powtórzenia, ciężary,
  • notatki do raportów i treningów,
  • data urodzenia i płeć (opcjonalnie).

3.3. Dane profilu trenera (Trener)

  • bio / opis,
  • specjalizacje,
  • adresy prowadzenia działalności (miasto, ulica, kod pocztowy, nazwa siłowni),
  • zdjęcie profilowe,
  • tryb treningu (online / stacjonarnie / hybrydowo),
  • flaga publicznej widoczności profilu w katalogu.

3.4. Dane techniczne

  • adres IP (do rate limiting i bezpieczeństwa),
  • typ przeglądarki i urządzenia,
  • data i godzina dostępu,
  • preferencja języka.

3.5. Dane komunikacyjne (Directory)

  • treść wiadomości wysłanej przez Klienta do Trenera w katalogu (Directory) — w tym intencja kontaktu i ewentualny powód odrzucenia,
  • log rejestracji nowych Trenerów (e-mail, imię i nazwisko, czas rejestracji) — przetwarzany na podstawie uzasadnionego interesu Operatora w celu obsługi nowych rejestracji.

4. Cele przetwarzania i podstawy prawne

Cel Podstawa prawna (RODO)
Świadczenie usługi platformy (konto, plany, raporty, katalog)Art. 6 ust. 1 lit. b — wykonanie umowy
Przetwarzanie pomiarów ciała w raportachArt. 6 ust. 1 lit. b — wykonanie umowy (zob. § 4.2)
Przetwarzanie zdjęć postępuArt. 9 ust. 2 lit. a — wyraźna zgoda
Udostępnienie danych Klienta przypisanemu Trenerowi (i odwrotnie)Art. 6 ust. 1 lit. b + Art. 9 ust. 2 lit. a — zgoda na dane wrażliwe
Przetwarzanie treści wiadomości wysłanej do Trenera w katalogu (Directory)Art. 6 ust. 1 lit. b — podjęcie działań na żądanie osoby, której dane dotyczą, przed zawarciem umowy
Bezpieczeństwo platformy (zob. § 4.1)Art. 6 ust. 1 lit. f — uzasadniony interes
Komunikacja e-mail (powiadomienia, zaproszenia)Art. 6 ust. 1 lit. b — wykonanie umowy
Obsługa rejestracji nowych TrenerówArt. 6 ust. 1 lit. f — uzasadniony interes Operatora
Newsletter i marketing (jeśli wyrazisz zgodę)Art. 6 ust. 1 lit. a — zgoda
Rozliczenia i fakturyArt. 6 ust. 1 lit. c — obowiązek prawny
Ustalenie, dochodzenie i obrona roszczeńArt. 6 ust. 1 lit. f — uzasadniony interes

4.1. Uzasadniony interes Administratora — uszczegółowienie

Powołując się na art. 6 ust. 1 lit. f RODO, Administrator przetwarza dane w następujących, konkretnych celach:

  • Bezpieczeństwo platformy — przetwarzanie adresu IP, typu przeglądarki i czasu dostępu w celu wykrywania prób nieautoryzowanego logowania, ataków automatycznych oraz nadużyć (rate limiting). Interes: ochrona kont Użytkowników, integralności danych i dostępności usługi.
  • Zarządzanie nowymi rejestracjami — odnotowanie faktu rejestracji nowego konta Trenera, aby Operator mógł przeprowadzić wewnętrzny proces obsługi (np. weryfikacja, kontakt powitalny). Interes: sprawne uruchomienie usługi dla nowego użytkownika.
  • Dochodzenie i obrona roszczeń — przetwarzanie danych konta i logów dostępu w okresie przedawnienia roszczeń wynikających z umowy o świadczenie usługi.

W każdym przypadku przeprowadzamy test równowagi (LIA — Legitimate Interests Assessment) i ograniczamy zakres danych do niezbędnego minimum.

4.2. Pomiary ciała a dane dotyczące zdrowia

Pojedynczy pomiar ciała (waga, obwód talii, bicepsa, uda) — sam w sobie i w izolacji — nie stanowi danych dotyczących zdrowia w rozumieniu art. 4 pkt 15 RODO. Z tego względu jako podstawową przesłankę przetwarzania pomiarów stosujemy art. 6 ust. 1 lit. b RODO (wykonanie umowy o świadczenie usługi raportów postępu).

Jednocześnie zgodnie z orzecznictwem Trybunału Sprawiedliwości UE i wytycznymi Europejskiej Rady Ochrony Danych (EROD), systematyczne gromadzenie pomiarów ciała w kontekście obserwacji postępów treningowych może — w określonych okolicznościach — pozwalać na wyciąganie wniosków o stanie zdrowia osoby. W zakresie, w jakim pomiary ciała przetwarzane łącznie z innymi danymi raportu pozwalają wyciągać wnioski o stanie zdrowia Klienta, traktujemy je dodatkowo jako dane szczególnej kategorii i stosujemy podstawę z art. 9 ust. 2 lit. a RODO (wyraźna zgoda).

Z ostrożności i dla jednoznaczności prawnej, korzystanie z funkcji raportów postępu (przesyłanie pomiarów) wymaga aktywnego potwierdzenia przez Klienta zgody na przetwarzanie tych danych w celu monitorowania postępów treningowych. Klient może w każdej chwili zaprzestać przesyłania pomiarów — pozostałe funkcje platformy (plan, kalendarz, ćwiczenia) działają niezależnie.

5. Zdjęcia postępu — dane szczególnej kategorii

Zdjęcia postępu (zdjęcia ciała) stanowią dane szczególnej kategorii w rozumieniu art. 9 RODO. Przetwarzamy je wyłącznie na podstawie Twojej wyraźnej zgody (art. 9 ust. 2 lit. a RODO).

5.1. Mechanizm udzielenia zgody

  • Zgoda zbierana jest przez odrębny, dobrowolny checkbox w aplikacji, przed pierwszym przesłaniem zdjęcia postępu. Checkbox nie jest zaznaczony domyślnie.
  • Zgoda jest granularna — jest oddzielna od ogólnej akceptacji Regulaminu i Polityki Prywatności, nie jest też częścią ogólnej rejestracji konta.
  • Brak zgody na przetwarzanie zdjęć nie uniemożliwia korzystania z platformy. Możesz nadal wysyłać raporty pomiarowe (waga, obwody, cardio), prowadzić plan treningowy, logować ćwiczenia i komunikować się z Trenerem — bez przesyłania zdjęć.
  • Cofnięcie zgody: w każdej chwili możesz cofnąć zgodę, usuwając swoje zdjęcia w aplikacji lub wysyłając żądanie na kontakt@gymreport.pl. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed cofnięciem.

5.2. Zabezpieczenia zdjęć

  • przechowywane w prywatnym bucket Supabase Storage (nie są publicznie dostępne),
  • dostęp wyłącznie przez tymczasowe podpisane URL (ważne 15 minut),
  • dostęp ma tylko Klient (właściciel) i jego przypisany aktywny Trener,
  • po rezygnacji z Trenera — Trener traci dostęp do zdjęć,
  • zdjęcia są automatycznie oznaczane do usunięcia po 180 dniach od ich przesłania,
  • możesz usunąć zdjęcia w dowolnym momencie.

6. Udostępnianie danych

6.1. Twój Trener (niezależny administrator)

Trener, do którego jesteś przypisany lub którego usługi rozpoczynasz przez katalog, ma dostęp do Twoich danych w zakresie niezbędnym do świadczenia usług treningowych:

  • imię, nazwisko, e-mail, telefon,
  • raporty postępu (pomiary, zdjęcia — pod warunkiem wyrażenia zgody na zdjęcia),
  • plany treningowe i logi ćwiczeń.

Jak wskazano w § 2.2, Trener jest niezależnym administratorem Twoich danych w zakresie usług treningowych, a nie podmiotem przetwarzającym po stronie Operatora. Operator zobowiązuje Trenera Regulaminem do przestrzegania powszechnie obowiązujących przepisów o ochronie danych osobowych. Możesz w każdej chwili zrezygnować z Trenera, co natychmiast odbiera mu dostęp do Twoich danych w platformie.

6.2. Procesorzy Operatora (podmioty przetwarzające)

Twoje dane są przetwarzane przez następujących dostawców infrastruktury, działających na rzecz Operatora na podstawie umów powierzenia przetwarzania (art. 28 RODO):

  • Supabase — baza danych, autentykacja i Storage; serwery zlokalizowane w Unii Europejskiej.
  • Dostawca hostingu aplikacji — serwery zlokalizowane w Unii Europejskiej.
  • Dostawca usług e-mail — wysyłka zaproszeń i powiadomień transakcyjnych.

6.3. Inne źródła danych (tylko odczyt, bez transferu danych osobowych)

Aplikacja korzysta z publicznego API serwisu wger.de wyłącznie do importu metadanych ćwiczeń (nazwy, opisy, grupy mięśniowe). Żadne dane osobowe Użytkowników nie są wysyłane do wger.de.

Nie sprzedajemy, nie wypożyczamy ani nie udostępniamy Twoich danych w celach marketingowych podmiotom trzecim.

7. Przechowywanie danych

  • Dane konta — przechowywane do momentu usunięcia konta.
  • Raporty pomiarowe — przechowywane do momentu usunięcia przez użytkownika lub do momentu usunięcia konta.
  • Zdjęcia postępu — automatycznie oznaczane do usunięcia po 180 dniach od ich przesłania; mogą zostać usunięte wcześniej przez Klienta.
  • Logi techniczne (IP, dostępy) — przechowywane do 90 dni.
  • Dane rozliczeniowe — przechowywane przez 5 lat (obowiązek podatkowy).
  • Dane do dochodzenia/obrony roszczeń — przechowywane przez okres przedawnienia roszczeń wynikających z umowy.

Po usunięciu konta dane są usuwane w ciągu 30 dni. Kopie zapasowe mogą być przechowywane do 90 dni po usunięciu (zgodnie z polityką retencji backupów dostawcy infrastruktury); po tym okresie dane są nieodwracalnie usuwane.

8. Twoje prawa (RODO)

  • Prawo dostępu — możesz zażądać kopii swoich danych (art. 15 RODO).
  • Prawo do sprostowania — możesz poprawić nieprawidłowe dane (art. 16 RODO).
  • Prawo do usunięcia („prawo do bycia zapomnianym") — możesz zażądać usunięcia danych (art. 17 RODO).
  • Prawo do ograniczenia przetwarzania (art. 18 RODO).
  • Prawo do przenoszenia danych — możesz otrzymać dane w formacie maszynowym (art. 20 RODO).
  • Prawo do cofnięcia zgody — w każdej chwili, bez wpływu na zgodność z prawem przetwarzania sprzed cofnięcia (art. 7 ust. 3 RODO). Dotyczy to w szczególności zgody na przetwarzanie zdjęć postępu.
  • Prawo do sprzeciwu — wobec przetwarzania opartego na uzasadnionym interesie (art. 21 RODO).
  • Prawo do złożenia skargi — do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Aby skorzystać z powyższych praw, skontaktuj się z nami: kontakt@gymreport.pl. W zakresie usług świadczonych przez Trenera — kontakt z Trenerem (zob. § 2.2).

9. Dobrowolność podania danych

Podanie danych osobowych jest dobrowolne, jednak konsekwencje niepodania zależą od kategorii danych:

Kategoria danych Charakter podania Konsekwencja niepodania
Imię i nazwisko, e-mail, hasłoWymagane do zawarcia i wykonania umowy o świadczenie usługiBrak możliwości założenia konta i korzystania z platformy
Numer telefonuDobrowolneBrak — usługa działa bez telefonu
Pomiary ciała w raportachDobrowolne (jeśli chcesz korzystać z funkcji raportów)Brak możliwości korzystania z funkcji raportów postępu; pozostałe funkcje (plan, kalendarz, ćwiczenia) działają
Zdjęcia postępuW pełni dobrowolne, wymaga odrębnej zgody (zob. § 5)Brak możliwości przesyłania zdjęć; pozostałe funkcje, w tym raporty pomiarowe, działają
Data urodzenia, płećDobrowolneBrak — pola opcjonalne
Dane do fakturyWymagane przy płatnym planieBrak możliwości wykupienia płatnego planu

10. Brak zautomatyzowanego podejmowania decyzji i profilowania

Operator nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu, które wywoływałyby skutki prawne lub w podobny sposób istotnie wpływały na Użytkownika (art. 22 RODO).

Wszelkie decyzje merytoryczne dotyczące Twojego treningu (oceny postępu, modyfikacje planu, feedback do raportu) podejmuje Twój Trener jako człowiek. Wykresy i statystyki widoczne w panelu Trenera służą jedynie wizualizacji danych — nie generują automatycznych decyzji ani rekomendacji wpływających na Klienta.

11. Bezpieczeństwo danych

Stosujemy następujące środki ochrony:

  • szyfrowanie transmisji (HTTPS/TLS),
  • hasła przechowywane w formie haszowanej (mechanizm dostawcy autentykacji Supabase Auth),
  • tokeny sesji w httpOnly cookies (niedostępne z JavaScript),
  • ograniczenie liczby prób logowania (rate limiting),
  • kontrola dostępu oparta na rolach (RBAC) — klient, trener, administrator,
  • Row Level Security (RLS) na bazie danych — każdy użytkownik widzi tylko swoje dane,
  • zdjęcia w prywatnym storage z tymczasowymi podpisanymi URL (15 minut),
  • security headers: X-Frame-Options, X-Content-Type-Options, Referrer-Policy, HSTS.

12. Pliki cookies

Serwis wykorzystuje następujące cookies:

Nazwa Cel Czas Typ
sb-access-tokenSesja użytkownika1 godzinaNiezbędne
sb-refresh-tokenOdnawianie sesji7 dniNiezbędne
localePreferencja języka (pl / en / da / no)SesjaFunkcjonalne

Dodatkowo w pamięci lokalnej przeglądarki (localStorage) przechowywany jest klucz cookie-consent — informacja o zaakceptowaniu bannera cookies. Nie jest to plik cookie i nie podlega tym samym wymaganiom prawnym.

Serwis nie wykorzystuje cookies marketingowych ani analitycznych. Cookies niezbędne do działania serwisu nie wymagają zgody (art. 173 ust. 3 Prawa telekomunikacyjnego).

12.1. Jak zarządzać cookies

W każdej chwili możesz zarządzać plikami cookies w ustawieniach swojej przeglądarki — w szczególności możesz:

  • przeglądać listę zapisanych cookies,
  • usuwać poszczególne cookies lub wszystkie naraz,
  • blokować zapis cookies dla konkretnej witryny lub w ogóle.

Instrukcje dla popularnych przeglądarek znajdziesz w ich dokumentacji (Chrome, Firefox, Safari, Edge — sekcja „Prywatność / Cookies"). Pamiętaj, że zablokowanie cookies niezbędnych do działania serwisu (sesyjnych) uniemożliwi korzystanie z platformy po zalogowaniu.

13. Transfer danych poza EOG

Dane podstawowe są przechowywane na serwerach naszych dostawców infrastruktury zlokalizowanych w Unii Europejskiej. Nie zamierzamy aktywnie przekazywać danych poza Europejski Obszar Gospodarczy (EOG).

W praktyce dostawcy infrastruktury (w szczególności Supabase) korzystają z podwykonawców (m.in. dostawców chmury), których własna infrastruktura może obejmować ośrodki przetwarzania poza EOG. W każdym takim przypadku zapewniamy odpowiednie zabezpieczenia zgodnie z art. 46 RODO, w szczególności:

  • Standardowe Klauzule Umowne (Standard Contractual Clauses / SCC) zatwierdzone przez Komisję Europejską,
  • decyzje stwierdzające odpowiedni stopień ochrony (decyzje o adekwatności) — jeśli mają zastosowanie,
  • dodatkowe środki techniczne i organizacyjne (szyfrowanie, kontrola dostępu).

Aktualne informacje o lokalizacji i podwykonawcach Supabase znajdują się w jego polityce ochrony danych: supabase.com/privacy. Polityka ta może podlegać zmianom — Operator weryfikuje zgodność infrastruktury Supabase oraz pozostałych dostawców z wymogami RODO co najmniej raz w roku i dostosowuje treść niniejszej Polityki do aktualnego stanu. Na żądanie udostępnimy listę aktualnych procesorów i podprocesorów: kontakt@gymreport.pl.

14. Newsletter i komunikacja marketingowa

Jeśli wyrazisz zgodę, możemy wysyłać Ci informacje o nowych funkcjach, aktualizacjach i ofertach specjalnych. Zgodę możesz cofnąć w każdej chwili:

  • klikając link „Wypisz się" w każdym e-mailu,
  • w ustawieniach konta,
  • kontaktując się z nami: kontakt@gymreport.pl.

15. Zmiany Polityki Prywatności

Zastrzegamy sobie prawo do zmiany niniejszej Polityki Prywatności. O istotnych zmianach poinformujemy drogą e-mailową z 14-dniowym wyprzedzeniem.

16. Kontakt

W razie pytań dotyczących przetwarzania danych osobowych przez Operatora:

  • e-mail: kontakt@gymreport.pl,
  • adres: Adrian Wiśniewski kodujeto, ul. Migdałowa 30A/1, 62-090 Rokietnica.

W sprawach przetwarzania danych przez Twojego Trenera (zob. § 2.2) — kontakt bezpośrednio z Trenerem.

Masz również prawo złożyć skargę do organu nadzorczego:
Prezes Urzędu Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa — uodo.gov.pl

Kontakt: kontakt@gymreport.pl | Adrian Wiśniewski kodujeto, ul. Migdałowa 30A/1, 62-090 Rokietnica