Polityka prywatności aplikacji Barbell

Data ostatniej aktualizacji: 2026-04-27 Wersja dokumentu: 1.0

⚠️ Uwaga: Niniejszy dokument jest draftem przygotowanym jako punkt wyjścia. Przed publikacją powinien zostać przejrzany przez prawnika specjalizującego się w ochronie danych osobowych. Treść opisuje stan przetwarzania danych aktualny na dzień ostatniej aktualizacji — przy każdej istotnej zmianie infrastruktury, dostawców, lub funkcji aplikacji dokument musi zostać zaktualizowany.

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest:

Cezary Ciosek prowadzący działalność gospodarczą ul. Jana Kazimierza 66/122 01-248 Warszawa NIP: 573 281 54 19

Kontakt w sprawach ochrony danych: e-mail: cezary.ciosek@gmail.com

Administrator nie wyznaczył Inspektora Ochrony Danych — wszelkie sprawy związane z przetwarzaniem danych osobowych prosimy kierować bezpośrednio na adres e-mail podany powyżej.

2. Zakres dokumentu

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych użytkowników mobilnej aplikacji Barbell (dalej: „Aplikacja"), serwisu internetowego dostępnego pod adresem barbell.cloud (dalej: „Serwis") oraz panelu administracyjnego dostępnego dla administratora.

Aplikacja umożliwia użytkownikom rejestrowanie wyników treningowych, prowadzenie dziennika ćwiczeń, śledzenie pomiarów ciała oraz korzystanie z funkcji społecznościowych powiązanych z aktywnością sportową.

3. Jakie dane osobowe przetwarzamy

W zależności od sposobu, w jaki korzystasz z Aplikacji, przetwarzamy następujące kategorie danych osobowych:

3.1. Dane podawane przy rejestracji

adres e-mail,
nazwa użytkownika,
hasło (przechowywane w postaci zhashowanej, nigdy w postaci jawnej),
preferowany język interfejsu.

3.2. Dane uwierzytelniania zewnętrznego (OAuth)

W przypadku rejestracji lub logowania przez konta zewnętrzne, otrzymujemy od dostawców tożsamości:

identyfikator konta Google (google_id) — przy logowaniu przez Google,
identyfikator konta Apple (apple_id) — przy logowaniu przez Apple ID,
imię i nazwisko (jeśli dostawca je udostępnia),
adres e-mail powiązany z kontem zewnętrznym.

3.3. Dane profilu

imię i nazwisko,
płeć,
data urodzenia,
adres (jeżeli zostanie podany),
zdjęcie profilowe.

3.4. Dane zdrowotne (kategoria szczególna — Art. 9 RODO)

W ramach funkcjonalności pomiarów ciała przetwarzamy:

masę ciała,
wzrost,
obwody ciała (klatka, talia, biodra, ramię, udo, łydka),
procentowy udział tkanki tłuszczowej,
inne wskaźniki kompozycji ciała wprowadzane samodzielnie przez użytkownika.

Dane te zaliczają się do szczególnej kategorii danych osobowych w rozumieniu art. 9 ust. 1 RODO i przetwarzamy je wyłącznie na podstawie Twojej wyraźnej, odrębnej zgody (Art. 9 ust. 2 lit. a RODO), wyrażanej osobno przy aktywacji funkcji pomiarów ciała.

Możesz w każdej chwili wycofać tę zgodę, co skutkuje natychmiastowym zaprzestaniem przetwarzania pomiarów oraz ich usunięciem.

3.5. Dane treningowe

wyniki ćwiczeń (liczba serii, powtórzeń, ciężar, czas, intensywność),
wyniki Workout-of-the-Day (WOD) — czas, liczba powtórzeń, status ukończenia, typ Rx,
notatki tekstowe dotyczące treningu (do 1000 znaków na wpis),
daty i godziny treningów.

Dane treningowe nie są kategorią szczególną w rozumieniu RODO, ale przetwarzamy je z zachowaniem tych samych standardów bezpieczeństwa.

3.6. Dane techniczne

token urządzenia (device_token) używany do wysyłania powiadomień push,
identyfikator urządzenia (device_id),
typ platformy (iOS / Android),
adres IP w logach serwera (przechowywany przez okres niezbędny do zapewnienia bezpieczeństwa),
informacje o awariach aplikacji (crash reports z Firebase Crashlytics).

3.7. Dane subskrypcji i płatności

W ramach obsługi subskrypcji premium przetwarzamy:

termin ważności subskrypcji (subscription_validity),
identyfikator transakcji w sklepie (App Store / RevenueCat),
status subskrypcji (aktywna, anulowana, w trial).

Nie przetwarzamy danych karty płatniczej ani innych danych finansowych — płatności obsługiwane są wyłącznie przez Apple App Store oraz RevenueCat zgodnie z ich własnymi politykami prywatności.

3.8. Dane weryfikacji konta

Przy rejestracji generujemy 6-cyfrowy kod weryfikacyjny i przechowujemy w bazie jego hash (nigdy w postaci jawnej) wraz z czasem ważności (15 minut). Dane te są usuwane po pomyślnej weryfikacji adresu e-mail.

4. Cele i podstawy prawne przetwarzania

Cel przetwarzania	Podstawa prawna	Kategorie danych
Założenie i prowadzenie konta użytkownika	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)	dane rejestracyjne, profil, OAuth
Świadczenie funkcjonalności aplikacji (zapis treningów, WOD, postępów)	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)	dane treningowe, profil
Przetwarzanie pomiarów ciała	Art. 9 ust. 2 lit. a RODO (wyraźna zgoda)	dane zdrowotne
Wysyłka kodu weryfikacyjnego e-mailem	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)	adres e-mail, nazwa użytkownika
Wysyłka powiadomień push o charakterze operacyjnym	Art. 6 ust. 1 lit. f RODO (uzasadniony interes — informowanie użytkownika o zmianach w jego koncie)	token urządzenia
Obsługa subskrypcji premium	Art. 6 ust. 1 lit. b RODO (wykonanie umowy)	dane subskrypcji
Zapewnienie bezpieczeństwa konta i przeciwdziałanie nadużyciom	Art. 6 ust. 1 lit. f RODO (uzasadniony interes — bezpieczeństwo)	logi, IP, dane uwierzytelniania
Diagnostyka błędów aplikacji (Crashlytics)	Art. 6 ust. 1 lit. f RODO (uzasadniony interes — utrzymanie jakości usługi)	dane techniczne, crash reports
Realizacja obowiązków prawnych (księgowość, odpowiedzi na żądania organów)	Art. 6 ust. 1 lit. c RODO	dane subskrypcji, dane kontaktowe

5. Okres przechowywania danych

Dane konta użytkownika — przez okres aktywności konta. Po skasowaniu konta przez użytkownika (funkcja „Usuń konto" w Aplikacji) dane są anonimizowane — pola identyfikujące (imię, nazwisko, adres e-mail, nazwa użytkownika, identyfikatory OAuth) są zastępowane wartościami losowymi w formacie deleted_USERID_RANDOM@barbell.com. Konto jest oznaczane jako nieaktywne, a wszystkie sesje są usuwane.
Dane treningowe i pomiary ciała — anonimizowane łącznie z kontem. Po anonimizacji dane nie są przypisane do żadnej osoby fizycznej i nie podlegają już RODO.
Logi serwera (IP, requesty) — maksymalnie 90 dni, po czym są nadpisywane.
Crash reports (Firebase Crashlytics) — zgodnie z domyślną polityką Firebase, do 90 dni.
Dane subskrypcji — przez okres wymagany przepisami podatkowymi (5 lat od końca roku obrotowego, w którym dokonano transakcji).
Kody weryfikacyjne — usuwane po użyciu lub po upływie 15 minut, w zależności co nastąpi pierwsze.

6. Komu udostępniamy dane

W ramach świadczenia usług korzystamy z następujących podmiotów przetwarzających (procesorów) w rozumieniu art. 28 RODO:

6.1. Hosting i infrastruktura

OVH SAS (siedziba: 2 rue Kellermann, 59100 Roubaix, Francja) — hosting serwerów aplikacji oraz baza danych. Dane przetwarzane są na terenie Unii Europejskiej.

6.2. Wysyłka wiadomości e-mail

Resend, Inc. (siedziba: 2261 Market Street #5039, San Francisco, CA 94114, USA) — wysyłka transakcyjnych wiadomości e-mail (kody weryfikacyjne, ważne powiadomienia konta). Transfer danych poza Europejski Obszar Gospodarczy — patrz pkt 7.

6.3. Uwierzytelnianie zewnętrzne (OAuth)

Google LLC (siedziba: 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) — logowanie przez konto Google. Transfer poza EOG — patrz pkt 7.
Apple Inc. (siedziba: One Apple Park Way, Cupertino, CA 95014, USA) — logowanie przez Apple ID. Transfer poza EOG — patrz pkt 7.

6.4. Powiadomienia push i diagnostyka

Google LLC (Firebase Cloud Messaging, Firebase Crashlytics) — wysyłka powiadomień push oraz rejestracja błędów aplikacji. Transfer poza EOG.

6.5. Subskrypcje i płatności

Apple Inc. (App Store) — obsługa płatności za subskrypcje premium na urządzeniach iOS. Dane karty płatniczej oraz danych rozliczeniowych są przetwarzane wyłącznie przez Apple zgodnie z ich polityką prywatności.
RevenueCat, Inc. (siedziba: 575 Market Street, Suite 1675, San Francisco, CA 94105, USA) — agregacja statusu subskrypcji. Transfer poza EOG.

6.6. Inne podmioty

Dane mogą być również udostępniane:

organom państwowym i sądom — w zakresie i na zasadach określonych w powszechnie obowiązujących przepisach prawa,
profesjonalnym doradcom (prawnik, księgowy) Administratora w zakresie niezbędnym do świadczenia ich usług, na podstawie umów powierzenia przetwarzania.

Nie sprzedajemy Twoich danych osobowych podmiotom trzecim. Nie przekazujemy Twoich danych w celach marketingowych podmiotom trzecim.

7. Transfer danych poza Europejski Obszar Gospodarczy

Część podmiotów przetwarzających, z których korzystamy (Resend, Google, Apple, RevenueCat — pkt 6), ma siedzibę w Stanach Zjednoczonych Ameryki. Oznacza to, że Twoje dane mogą być przetwarzane poza Europejskim Obszarem Gospodarczym (EOG).

Transfery te odbywają się na podstawie:

decyzji Komisji Europejskiej o adekwatności w odniesieniu do EU-US Data Privacy Framework (DPF) — w zakresie podmiotów certyfikowanych w ramach DPF (m.in. Google, Apple),
standardowych klauzul umownych (Standard Contractual Clauses, SCC) zgodnie z decyzją wykonawczą Komisji 2021/914 — w przypadku podmiotów niecertyfikowanych w DPF,
innych odpowiednich zabezpieczeń wymaganych art. 46 RODO.

Możesz uzyskać kopię stosowanych zabezpieczeń, kontaktując się z nami pod adresem: cezary.ciosek@gmail.com.

8. Twoje prawa

W związku z przetwarzaniem Twoich danych osobowych przysługują Ci następujące prawa:

Prawo dostępu (art. 15 RODO) — możesz uzyskać informację, jakie dane na Twój temat przetwarzamy, oraz otrzymać ich kopię.
Prawo do sprostowania (art. 16 RODO) — możesz żądać poprawienia danych nieprawidłowych lub uzupełnienia niekompletnych.
Prawo do usunięcia (art. 17 RODO, „prawo do bycia zapomnianym") — możesz żądać usunięcia danych. W Aplikacji realizujemy to przez funkcję „Usuń konto", która anonimizuje Twoje dane.
Prawo do ograniczenia przetwarzania (art. 18 RODO).
Prawo do przenoszenia danych (art. 20 RODO) — możesz otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego.
Prawo do sprzeciwu (art. 21 RODO) — wobec przetwarzania opartego na uzasadnionym interesie.
Prawo do wycofania zgody (art. 7 ust. 3 RODO) — w odniesieniu do danych zdrowotnych (pomiarów ciała), bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody.
Prawo do złożenia skargi do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, https://uodo.gov.pl

Aby skorzystać ze swoich praw, skontaktuj się z nami pod adresem: cezary.ciosek@gmail.com. Odpowiedź na żądanie udzielimy w terminie 30 dni od jego otrzymania.

9. Bezpieczeństwo danych

Stosujemy techniczne i organizacyjne środki bezpieczeństwa adekwatne do ryzyka związanego z przetwarzaniem, w tym:

transmisja danych zabezpieczona protokołem TLS (HTTPS),
hasła użytkowników przechowywane wyłącznie w postaci zhashowanej (HMAC-SHA512 z indywidualną solą),
kody weryfikacyjne przechowywane w postaci zhashowanej (SHA-256 z solą),
ograniczony dostęp do bazy danych — tylko procesy aplikacyjne,
regularne kopie zapasowe bazy danych,
automatyczna inwalidacja kodu weryfikacyjnego po 5 nieudanych próbach,
wymóg weryfikacji adresu e-mail przed pierwszym zalogowaniem.

Mimo zastosowanych środków, żadna metoda transmisji ani przechowywania danych nie jest w 100% bezpieczna. W przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych, niezwłocznie poinformujemy o tym fakcie organ nadzorczy oraz osoby, których dane dotyczą — zgodnie z art. 33 i 34 RODO.

10. Pliki cookies i lokalne przechowywanie danych

10.1. Aplikacja mobilna

W aplikacji mobilnej przechowujemy lokalnie na Twoim urządzeniu:

token uwierzytelniający (token) i token odświeżający (refreshToken) — niezbędne do utrzymania sesji,
adres e-mail oczekujący na weryfikację (pendingVerificationEmail) — w celu wznowienia procesu weryfikacji po ponownym uruchomieniu aplikacji.

Dane te są przechowywane w bezpiecznym storage'u urządzenia (Keychain na iOS, EncryptedSharedPreferences na Androidzie) i są usuwane przy wylogowaniu lub odinstalowaniu aplikacji.

10.2. Strona internetowa i panel administracyjny

W panelu administracyjnym używamy wyłącznie cookies sesyjnych niezbędnych do zalogowania się i utrzymania sesji administratora. Nie używamy cookies analitycznych ani marketingowych.

11. Wiek użytkowników

Z aplikacji mogą korzystać wyłącznie osoby, które ukończyły 16 lat.

W przypadku osób w wieku 13–16 lat, korzystanie z Aplikacji wymaga zgody osoby sprawującej władzę rodzicielską lub opiekę prawną nad dzieckiem (art. 8 RODO).

Jeżeli dowiemy się, że konto zostało założone przez osobę poniżej 13 lat lub przez osobę 13–16 lat bez zgody opiekuna, niezwłocznie usuniemy takie konto wraz ze wszystkimi powiązanymi danymi.

Kontakt w sprawie zgłoszenia takiego konta: cezary.ciosek@gmail.com.

12. Zautomatyzowane podejmowanie decyzji i profilowanie

Twoje dane osobowe nie są wykorzystywane do zautomatyzowanego podejmowania decyzji wywołujących wobec Ciebie skutki prawne ani w istotny sposób na Ciebie wpływających, w tym do profilowania w rozumieniu art. 22 RODO.

13. Marketing

Na chwilę obecną nie prowadzimy działań marketingowych drogą elektroniczną i nie wysyłamy newsletterów. Jeżeli w przyszłości wprowadzimy taką funkcjonalność, wymagać będziemy uprzedniej, dobrowolnej zgody — udzielonej w sposób odrębny od zgody na przetwarzanie danych w innych celach.

14. Zmiany Polityki Prywatności

Zastrzegamy prawo do okresowej aktualizacji niniejszej Polityki Prywatności. O istotnych zmianach poinformujemy Cię poprzez:

powiadomienie w Aplikacji przy najbliższym uruchomieniu po wprowadzeniu zmian,
wiadomość e-mail wysłaną na adres przypisany do konta — w przypadku zmian istotnych z punktu widzenia Twoich praw.

Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem barbell.cloud/privacy oraz w Aplikacji w zakładce „Ustawienia → Polityka prywatności".

15. Kontakt

Wszelkie pytania, żądania i uwagi dotyczące niniejszej Polityki Prywatności oraz przetwarzania Twoich danych osobowych prosimy kierować na adres:

Cezary Ciosek ul. Jana Kazimierza 66/122 01-248 Warszawa e-mail: cezary.ciosek@gmail.com

Niniejsza Polityka Prywatności obowiązuje od dnia 2026-04-27.