Polityka Prywatności TrainOne
Wersja: 1.0 · Data wejścia w życie: 2026-05-21
Administrator danych: NextLevel Group Sp. z o.o., ul. Głogowska 35A lok. 6/2, 60-736 Poznań, NIP 7812086892, KRS 0001165259
Kontakt: kontakt@trainone.app
1. Informacje ogólne
Niniejsza Polityka Prywatności opisuje zasady przetwarzania danych osobowych przez NextLevel Group Sp. z o.o. (dalej: Usługodawca lub TrainOne) w związku z prowadzeniem platformy TrainOne dostępnej pod adresem trainone.app oraz w aplikacjach mobilnych TrainOne.
Usługodawca przetwarza dane zgodnie z RODO (UE) 2016/679, ustawą o ochronie danych osobowych z 10.05.2018 r. oraz ustawą o świadczeniu usług drogą elektroniczną.
Dwie role Usługodawcy:
- Administrator danych — w odniesieniu do danych osobowych Firm (klientów biznesowych): danych rejestracyjnych i bilingowych.
- Podmiot przetwarzający (Procesor) — w odniesieniu do danych Pracowników i Klientów Firm. Firmą jest administratorem, TrainOne przetwarza dane na podstawie Umowy Powierzenia Przetwarzania Danych (DPA).
2. Dane osobowe Firm — rejestracja i korzystanie z Platformy
2.1 Zakres danych
Przy rejestracji i korzystaniu z Platformy przetwarzamy:
- Dane rejestracyjne: nazwa firmy, imię i nazwisko osoby rejestrującej, adres e-mail
- Dane kontaktowe firmy: adres, numer telefonu, VAT EU
- Dane bilingowe: historia płatności (dane kart przechowuje Stripe)
- Dane logowania: adres IP, timestampy sesji
- Dane komunikacyjne: korespondencja e-mail z TrainOne
2.2 Cel i podstawa prawna
| Cel | Podstawa RODO |
|---|---|
| Zawarcie i wykonanie Umowy | Art. 6(1)(b) — wykonanie umowy |
| Wystawianie faktur i rozliczenia podatkowe | Art. 6(1)(c) — obowiązek prawny |
| Wsparcie techniczne i obsługa klienta | Art. 6(1)(b) — wykonanie umowy |
| Informowanie o zmianach Platformy | Art. 6(1)(b)/(c) |
| Marketing bezpośredni TrainOne | Art. 6(1)(f) — prawnie uzasadniony interes |
| Bezpieczeństwo Platformy | Art. 6(1)(f) — prawnie uzasadniony interes |
2.3 Okres przechowywania
- Dane konta: czas trwania Umowy + 5 lat od rozwiązania
- Dane bilingowe i faktury: 5 lat od końca roku podatkowego
- Logi systemowe: 12 miesięcy
- Korespondencja e-mail: 3 lata od ostatniego kontaktu
3. Dane osobowe Pracowników i Klientów Firm — rola procesora
3.1 Zakres przetwarzanych danych
W imieniu Firm, TrainOne przetwarza:
- Dane podstawowe: imię i nazwisko, e-mail, telefon, data urodzenia, płeć
- Dane zdrowotne (art. 9 RODO): plany treningowe, historia treningów, plany żywieniowe, dzienniki posiłków, wskaźniki anthropometryczne
- Dane finansowe: identyfikatory transakcji Stripe, historia zakupów
- Dane behawioralne: historia rezerwacji, timestampy check-in, historia logowania
3.2 Rola TrainOne
TrainOne jest procesorem — przetwarza dane wyłącznie na podstawie Umowy Powierzenia Przetwarzania Danych zawartej z Firmą. Firma jest administratorem tych danych i odpowiada za posiadanie podstawy prawnej, wypełnienie obowiązków informacyjnych i uzyskanie zgód na dane zdrowotne.
3.3 Realizacja praw osób
Pracownicy i Klienci Firm mogą realizować swoje prawa bezpośrednio w Platformie:
- Eksport danych: ustawienia → „Pobierz moje dane" (JSON)
- Usunięcie konta: ustawienia → „Usuń konto" (w ciągu 30 dni)
- Sprostowanie danych: profil → edycja
4. Formularz kontaktowy / Leady
Administratorem danych z publicznego formularza leadów jest Firma, której formularz dotyczy — TrainOne działa jako procesor. Dane leadów są automatycznie archiwizowane (PII usuwane) po 12 miesiącach od ostatniego kontaktu.
5. Pliki cookies i technologie śledzące
| Nazwa | Typ | Czas | Cel |
|---|---|---|---|
trainone-session | Niezbędny | Sesja / 1 rok | Uwierzytelnienie — niezbędny do działania |
active_company | Preferencyjny | 1 rok | Zapamiętanie aktywnej firmy (multi-firma) |
cookie_consent | Niezbędny | 1 rok | Zapamiętanie wyboru cookie |
TrainOne nie używa cookies reklamowych ani analitycznych stron trzecich. Zgodę na cookies preferencyjne można wycofać w ustawieniach cookies w stopce strony.
6. Podmioty przetwarzające (Procesorzy)
| Podmiot | Cel | Lokalizacja | Podstawa transferu |
|---|---|---|---|
| Appwrite Inc. | Hosting, baza danych, uwierzytelnianie | UE (Frankfurt) | DPA, SCC |
| Stripe, Inc. | Przetwarzanie płatności | USA | DPA, SCC |
| Apple Inc. | Powiadomienia push (APNs) | USA | DPA, SCC |
| Google LLC | Powiadomienia push (FCM) | USA | DPA, SCC |
Transfer danych do USA odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zatwierdzonych przez Komisję Europejską.
7. Prawa osób, których dane dotyczą
Każdej osobie, której dane przetwarza TrainOne jako administrator, przysługują:
- Prawo dostępu (art. 15 RODO) — uzyskanie informacji o przetwarzanych danych
- Prawo do sprostowania (art. 16) — poprawienie nieprawidłowych danych
- Prawo do usunięcia (art. 17) — „prawo do bycia zapomnianym"
- Prawo do ograniczenia przetwarzania (art. 18)
- Prawo do przenoszenia danych (art. 20) — format JSON
- Prawo sprzeciwu (art. 21) — wobec przetwarzania opartego na prawnie uzasadnionym interesie
- Prawo do cofnięcia zgody — bez wpływu na zgodność z prawem przetwarzania przed cofnięciem
Wnioski składać przez ustawienia Platformy lub e-mailem: kontakt@trainone.app. Odpowiedź w ciągu 1 miesiąca.
Prawo do skargi do Prezesa UODO: ul. Stawki 2, 00-193 Warszawa, kancelaria@uodo.gov.pl, uodo.gov.pl.
8. Bezpieczeństwo danych
Techniczne: szyfrowanie HTTPS/TLS 1.3, uwierzytelnianie OTP (brak haseł), izolacja danych Firm (Row Level Security), szyfrowanie danych wrażliwych, regularne kopie zapasowe.
Organizacyjne: dostęp do systemów produkcyjnych tylko dla upoważnionych osób, zasada minimalnych uprawnień, procedura reagowania na naruszenia.
9. Dane zdrowotne — szczególna ochrona (art. 9 RODO)
Platforma może przetwarzać dane zdrowotne Klientów Firm (plany żywieniowe, historia treningów, wskaźniki ciała). Są to dane szczególnej kategorii.
Odpowiedzialność za zgodę: Firma jako administrator jest odpowiedzialna za uzyskanie wyraźnej zgody Klienta (art. 9 ust. 2 lit. a RODO) przed aktywacją modułów treningowych i dietetycznych.
Wycofanie zgody: Klient może wycofać zgodę w ustawieniach Konta. Powoduje to wyłączenie dostępu do danych zdrowotnych — nie usuwa konta ani danych historycznych.
10. Zmiany Polityki Prywatności
O istotnych zmianach informujemy e-mailem z co najmniej 30-dniowym wyprzedzeniem. Aktualna wersja dostępna jest zawsze pod adresem trainone.app/privacy-policy.
11. Kontakt
NextLevel Group Sp. z o.o.
ul. Głogowska 35A lok. 6/2, 60-736 Poznań
e-mail: kontakt@trainone.app
Odpowiedź na zapytania dotyczące danych osobowych: do 30 dni.
Polityka Prywatności wchodzi w życie z dniem 2026-05-21. Poprzednia wersja: nie dotyczy (pierwsza wersja).
