Gymiti

Training Studio Management

Polityka Prywatności Gymiti.com

Ostatnia aktualizacja: 21.05.2026

§1. Administrator danych osobowych

1.1. Administratorem danych osobowych Użytkowników systemu rezerwacji Gymiti.com (zwanego dalej "Systemem") jest:

SEBASTIAN TEKIELI WEBSITEINIT

Adres: ul. Komuny Paryskiej 6B/11, 30-389 Kraków

NIP: 6792831204

REGON: 121337220

Email: [email protected]

1.2. Administrator nie wyznaczył Inspektora Ochrony Danych. W sprawach związanych z ochroną danych osobowych można kontaktować się bezpośrednio z Administratorem pod adresem email: [email protected]

1.3. Punkt kontaktowy zgodnie z Aktem o Usługach Cyfrowych (DSA):

Punkt kontaktowy dla organów państw członkowskich UE, Komisji Europejskiej oraz dla Użytkowników w sprawach związanych z Aktem o Usługach Cyfrowych:

Email: [email protected]

Języki komunikacji: polski, angielski

1.4. Niniejsza Polityka Prywatności stanowi integralną część Regulaminu Systemu Gymiti.com. Definicje użyte w niniejszym dokumencie mają znaczenie nadane im w Regulaminie.

§2. Zakres zbieranych danych osobowych

2.1. Dane zbierane bezpośrednio od Użytkownika:

  • Imię i nazwisko
  • Adres e-mail
  • Numer telefonu
  • Data urodzenia (opcjonalnie)
  • Dane firmy (NIP, nazwa) – dla Przedsiębiorców

2.2. Dane generowane w trakcie korzystania z Systemu:

  • Historia rezerwacji i uczestnictwa w treningach
  • Dane dotyczące rozliczeń (liczba klientów, kwoty do zapłaty)
  • Aktywność w Systemie (logi dostępu, zmiany w danych)

2.3. Dane zbierane automatycznie:

  • Adres IP
  • Identyfikatory sesji i pliki cookies
  • Informacje o przeglądarce i urządzeniu (User-Agent)
  • Data i czas dostępu do Systemu
  • Dane z integracji Google Calendar (jeśli włączona przez Użytkownika)

2.4. Dane Klientów Trenerów:

Administrator przetwarza również dane osobowe Klientów Trenerów (imię, nazwisko, telefon, email), które są wprowadzane do Systemu przez Trenerów w celu realizacji rezerwacji i rozliczeń. Trener, wprowadzając te dane, oświadcza, że posiada zgodę swoich Klientów na ich przetwarzanie w Systemie lub inną podstawę prawną przetwarzania.

§3. Cele i podstawy prawne przetwarzania danych

Dane osobowe przetwarzane są w następujących celach i na następujących podstawach prawnych:

Cel przetwarzania Podstawa prawna (RODO) Okres przechowywania
Realizacja Umowy (świadczenie Usługi, zarządzanie rezerwacjami) Art. 6 ust. 1 lit. b) – wykonanie umowy Do czasu rozwiązania Umowy + okres przedawnienia roszczeń
Rozliczenia finansowe i fakturowanie Art. 6 ust. 1 lit. b) i c) – wykonanie umowy i obowiązek prawny 5 lat od końca roku podatkowego
Powiadomienia SMS/email o rezerwacjach Art. 6 ust. 1 lit. a) – zgoda Do czasu wycofania zgody
Integracja z Google Calendar Art. 6 ust. 1 lit. a) – zgoda Do czasu wycofania zgody lub rozłączenia integracji
Bezpieczeństwo Systemu i zapobieganie nadużyciom Art. 6 ust. 1 lit. f) – prawnie uzasadniony interes Do 12 miesięcy (logi bezpieczeństwa)
Analityka i optymalizacja Systemu Art. 6 ust. 1 lit. f) – prawnie uzasadniony interes 26 miesięcy (Google Analytics)
Dochodzenie i obrona przed roszczeniami Art. 6 ust. 1 lit. f) – prawnie uzasadniony interes Do upływu terminu przedawnienia roszczeń
Obsługa reklamacji i zapytań Art. 6 ust. 1 lit. b) i f) – wykonanie umowy i uzasadniony interes Do czasu rozpatrzenia + okres archiwizacji

3.1. Prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO):

W przypadku przetwarzania opartego na prawnie uzasadnionym interesie, Administrator dokonał testu równowagi interesów. Uzasadniony interes polega na:

  • Zapewnieniu bezpieczeństwa i ciągłości działania Systemu
  • Obronie przed nadużyciami i oszustwami
  • Analizie wykorzystania Systemu w celu jego doskonalenia
  • Dochodzeniu roszczeń i obronie przed roszczeniami

Użytkownik ma prawo wnieść sprzeciw wobec przetwarzania opartego na prawnie uzasadnionym interesie, kontaktując się z Administratorem.

§4. Okres przechowywania danych

Dane osobowe przechowywane są przez okres niezbędny do realizacji celów, dla których zostały zebrane, z uwzględnieniem wymogów prawnych:

  • Dane Konta Użytkownika – do czasu usunięcia Konta lub rozwiązania Umowy, a następnie przez okres niezbędny do obrony przed roszczeniami (standardowo 3 lata)
  • Historia rezerwacji i dokumentacja księgowa – przez okres 5 lat od końca roku kalendarzowego, w którym upłynął termin płatności podatku (zgodnie z Ordynacją podatkową)
  • Dane przetwarzane na podstawie zgody – do czasu wycofania zgody
  • Sesje użytkownika i cookies sesyjne – do 2 tygodni od ostatniej aktywności
  • Cookies analityczne (Google Analytics) – 26 miesięcy
  • Logi bezpieczeństwa – do 12 miesięcy

Po upływie okresu przechowywania dane są nieodwracalnie usuwane lub anonimizowane.

§5. Prawa Użytkownika związane z danymi osobowymi

Zgodnie z RODO, Użytkownikowi przysługują następujące prawa:

5.1. Prawo dostępu do danych (art. 15 RODO)

Użytkownik ma prawo uzyskać od Administratora potwierdzenie, czy przetwarzane są jego dane osobowe, a jeżeli tak – uzyskać dostęp do tych danych oraz informacje o przetwarzaniu.

5.2. Prawo do sprostowania danych (art. 16 RODO)

Użytkownik ma prawo żądać niezwłocznego sprostowania nieprawidłowych danych lub uzupełnienia danych niekompletnych.

5.3. Prawo do usunięcia danych – "prawo do bycia zapomnianym" (art. 17 RODO)

Użytkownik ma prawo żądać usunięcia swoich danych osobowych, gdy: dane nie są już niezbędne do celów przetwarzania, wycofano zgodę, wniesiono sprzeciw, dane były przetwarzane niezgodnie z prawem lub istnieje obowiązek usunięcia danych wynikający z przepisów prawa.

5.4. Prawo do ograniczenia przetwarzania (art. 18 RODO)

Użytkownik może żądać ograniczenia przetwarzania danych, gdy: kwestionuje prawidłowość danych, przetwarzanie jest niezgodne z prawem, Administrator nie potrzebuje już danych lub Użytkownik wniósł sprzeciw wobec przetwarzania.

5.5. Prawo do przenoszenia danych (art. 20 RODO)

Użytkownik ma prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (np. JSON, CSV) oraz przesłać te dane innemu administratorowi. Dotyczy to danych przetwarzanych na podstawie zgody lub umowy w sposób zautomatyzowany.

5.6. Prawo do sprzeciwu (art. 21 RODO)

Użytkownik może w dowolnym momencie wnieść sprzeciw wobec przetwarzania danych opartego na prawnie uzasadnionym interesie Administratora (art. 6 ust. 1 lit. f RODO). Administrator zaprzestanie przetwarzania, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów Użytkownika.

5.7. Prawo do wycofania zgody (art. 7 ust. 3 RODO)

W przypadku przetwarzania opartego na zgodzie, Użytkownik może w każdej chwili wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem.

Jak skorzystać ze swoich praw?

Aby skorzystać z powyższych praw, należy skontaktować się z Administratorem:

Administrator udzieli odpowiedzi bez zbędnej zwłoki, nie później niż w terminie miesiąca od otrzymania żądania. W przypadku skomplikowanych żądań termin może zostać przedłużony o kolejne dwa miesiące, o czym Użytkownik zostanie poinformowany.

§6. Odbiorcy danych osobowych

Dane osobowe mogą być udostępniane następującym kategoriom odbiorców:

6.1. Administratorzy Studiów

Właściciele studiów korzystających z Systemu Gymiti.com otrzymują dane Trenerów w zakresie niezbędnym do zarządzania rezerwacjami i rozliczeń.

6.2. Dostawcy usług IT (podprocesorzy)

Na podstawie umów powierzenia przetwarzania danych (art. 28 RODO):

  • Dostawcy hostingu i infrastruktury serwerowej
  • Dostawcy usług backupu i archiwizacji
  • Dostawcy wsparcia technicznego

6.3. Doradcy prawni i biura rachunkowe

W zakresie niezbędnym do świadczenia usług doradczych i księgowych, na podstawie odpowiednich umów zapewniających poufność.

6.4. Google LLC (USA)

Jeśli Użytkownik włączy integrację Google Calendar lub Administrator korzysta z Google Analytics:

  • Dane mogą być przekazywane do USA na podstawie Decyzji wykonawczej Komisji Europejskiej w sprawie odpowiedniej ochrony danych osobowych w ramach EU-US Data Privacy Framework
  • Google stosuje odpowiednie zabezpieczenia techniczne i organizacyjne
  • Więcej informacji: Polityka prywatności Google

6.5. Operatorzy usług komunikacyjnych

Jeśli Użytkownik włączy powiadomienia SMS – operator bramki SMS (na podstawie umowy powierzenia).

Oświadczenie Administratora:

Administrator nie sprzedaje danych osobowych Użytkowników podmiotom trzecim w celach marketingowych ani żadnych innych celach komercyjnych.

§7. Przekazywanie danych poza Europejski Obszar Gospodarczy

W przypadku korzystania z usług Google (Analytics, Calendar) dane osobowe mogą być przekazywane do Stanów Zjednoczonych.

Podstawy prawne przekazywania:

  • EU-US Data Privacy Framework – Google LLC jest certyfikowany w ramach programu Data Privacy Framework, co zostało uznane przez Komisję Europejską za zapewniające odpowiedni poziom ochrony danych
  • Standardowe Klauzule Umowne – jako dodatkowe zabezpieczenie

Administrator regularnie weryfikuje aktualność decyzji o adekwatności i stosuje odpowiednie środki zabezpieczające wymagane przez RODO.

§8. Bezpieczeństwo danych osobowych

Administrator wdrożył odpowiednie środki techniczne i organizacyjne zapewniające bezpieczeństwo przetwarzania danych osobowych:

8.1. Środki techniczne:

  • Szyfrowanie haseł algorytmem bcrypt
  • Szyfrowane połączenia HTTPS (SSL/TLS)
  • Secure cookies z flagami httponly i secure
  • Ochrona przed atakami CSRF (Cross-Site Request Forgery)
  • Regularne aktualizacje bezpieczeństwa oprogramowania
  • Systematyczne tworzenie kopii zapasowych (backup)
  • System kontroli dostępu oparty na rolach (RBAC)

8.2. Środki organizacyjne:

  • Ograniczenie dostępu do danych tylko do osób upoważnionych
  • Umowy o zachowaniu poufności z osobami mającymi dostęp do danych
  • Regularne przeglądy uprawnień dostępowych
  • Procedury reagowania na incydenty bezpieczeństwa

§9. Pliki cookies

System wykorzystuje pliki cookies do zarządzania sesjami użytkowników i zapamiętywania preferencji. Szczegółowe informacje o wykorzystywanych plikach cookies znajdują się w Polityce Cookies.

§10. Profilowanie i zautomatyzowane podejmowanie decyzji

System nie stosuje zautomatyzowanego podejmowania decyzji, w tym profilowania, o którym mowa w art. 22 ust. 1 i 4 RODO, które wywoływałoby wobec Użytkownika skutki prawne lub w podobny sposób istotnie wpływało na jego sytuację.

Wykorzystujemy narzędzia analityczne (Google Analytics) wyłącznie do zbiorczych statystyk wykorzystania Systemu. Analityka ta nie służy podejmowaniu zindywidualizowanych decyzji wobec konkretnych Użytkowników.

§11. Zmiany w Polityce Prywatności

11.1. Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności z ważnych przyczyn, takich jak:

  • zmiany przepisów prawa dotyczących ochrony danych osobowych
  • zmiany zakresu lub sposobu przetwarzania danych
  • zmiany wykorzystywanych technologii lub narzędzi
  • zalecenia organów nadzorczych

11.2. O istotnych zmianach w Polityce Prywatności Użytkownicy zostaną poinformowani poprzez komunikat w Systemie oraz wiadomość e-mail na adres podany przy rejestracji, z co najmniej 14-dniowym wyprzedzeniem przed wejściem zmian w życie.

11.3. Aktualna wersja Polityki Prywatności jest zawsze dostępna pod adresem https://gymiti.com/privacy_policy.

§12. Prawo wniesienia skargi do organu nadzorczego

Jeśli Użytkownik uważa, że przetwarzanie jego danych osobowych narusza przepisy RODO, ma prawo wnieść skargę do organu nadzorczego właściwego dla ochrony danych osobowych.

Organ nadzorczy w Polsce:

Prezes Urzędu Ochrony Danych Osobowych (PUODO)

ul. Stawki 2, 00-193 Warszawa

Tel.: +48 22 531 03 00

Strona: https://uodo.gov.pl

§13. Kontakt w sprawach ochrony danych

W razie pytań dotyczących przetwarzania danych osobowych lub w celu skorzystania ze swoich praw, prosimy o kontakt:

SEBASTIAN TEKIELI WEBSITEINIT

  • Adres: ul. Komuny Paryskiej 6B/11, 30-389 Kraków
  • NIP: 6792831204
  • REGON: 121337220
  • Email: [email protected]
  • Forma kontaktu: pisemnie na adres siedziby lub e-mailem