Niniejszy dokument jest polityką ochrony danych osobowych w rozumieniu rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1), zwanego dalej: RODO.

2.1 Definicja

Niniejsza Polityka ochrony danych osobowych (zwana dalej: Polityką) ma za zadanie stanowić mapę wymogów, zasad i regulacji ochrony danych osobowych w Gymme Sp. z o.o. z siedzibą we Wrocławiu, zwany dalej: Administratorem.

Polityka składa się z:

• opisu zasad ochrony danych osobowych, obowiązujących u Administratora;
• załączników uszczegóławiających i uzupełniających niniejszą Politykę.

2.2 Cele

Celem Polityki Bezpieczeństwa Informacji jest wskazanie działań, jakie należy wykonać oraz ustanowienie zasad i reguł postępowania, które należy stosować, aby właściwie wykonywać obowiązki Administratora w zakresie bezpieczeństwa danych osobowych.

W szczególności do celów Polityki należy:

• zabezpieczenie zasobów systemów, infrastruktury technicznej, sprzętu i osprzętu przed kradzieżą, zniszczeniem lub uszkodzeniem,
• uniemożliwienie instalowania i posługiwania się oprogramowaniem nielegalnym lub niebezpiecznym,
• uniemożliwienie dostępu do informacji zawartych w systemach informatycznych osobom do tego nie upoważnionym,
• uniemożliwienie zniszczenia lub nieuprawnionej zmiany danych osobowych,
• zabezpieczenie dokumentacji papierowej zawierające dane osobowe przed ich kradzieżą lub kopiowaniem.

2.3 Założenia

Ochrona danych osobowych u Administratora opiera się na następujących filarach:

• Zgodności z prawem − Administrator dba o ochronę prywatności i przetwarza dane zgodnie z prawem.
• Bezpieczeństwa – Administrator dokłada wszelkich starań, aby zapewnić odpowiedni poziom bezpieczeństwa danych.
• Praw osób, których dane dotyczą – Administrator umożliwia osobom, których dane przetwarza, wykonywanie swoich praw i prawa te realizuje.
• Rozliczalności – Administrator dokumentuje to, w jaki sposób wywiązuje się z ciążących na nim obowiązków ochrony danych osobowych, aby w każdej chwili móc wykazać zgodność przetwarzania danych osobowych z RODO.

2.4 Zasady

Administrator przetwarza dane osobowe z poszanowaniem następujących zasad:

• Zgodności z prawem – dane osobowe przetwarzane są w oparciu o konkretną podstawę prawną i zgodnie z prawem;
• Rzetelności – dane osobowe przetwarzane są rzetelnie i uczciwie;
• Przejrzystości – dane osobowe przetwarzane są w sposób przejrzysty dla osoby, której dane dotyczą;
• Minimalizacji – dane osobowe przetwarzane są wyłącznie w zakresie niezbędnym do celów;
• Adekwatności – przetwarzanie danych osobowych jest proporcjonalne do potrzeb Administratora;
• Ograniczoności przechowywania – dane są przechowywane przez Administratora przez okres nie dłuższy niż niezbędne jest to do celów,  w których dane te są przetwarzane;
• Prawidłowości – przetwarzanie danych osobowych odbywa się z dbałością o prawidłowość danych osobowych;
• Czasowości – przetwarzanie danych osobowych odbywa się w koniecznym czasie;
• Integralności i poufności – Administrator zapewnia odpowiednie bezpieczeństwo przetwarzania danych osobowych.

2.5 Zakres stosowania Polityki

Zasady określone przez Politykę mają zastosowanie do wszystkich zbiorów danych osobowych administrowanych przez Administratora, w szczególności do:

• wszystkich istniejących, wdrażanych obecnie lub w przyszłości systemów informatycznych oraz papierowych, w których przetwarzane są lub będą dane osobowe podlegające ochronie;
• danych osobowych przetwarzanych przez Administratora zarówno w przypadku, gdy jest on administratorem danych, jak i w sytuacji, gdy przetwarza dane powierzone mu na podstawie umów powierzenia przetwarzania danych osobowych, w rozumieniu art. 28 RODO;
• wszystkich nośników informacji, np. papierowych, magnetycznych, optycznych itp., na których są lub będą znajdować się dane osobowe podlegające ochronie;
• wszystkich lokalizacji – budynków i pomieszczeń, w których są lub będą przetwarzane dane osobowe podlegające ochronie;
• wszystkich pracowników w rozumieniu przepisów Kodeksu Pracy, konsultantów, stażystów i innych osób mających dostęp do danych osobowych podlegających ochronie.
• Do stosowania zasad określonych przez Politykę zobowiązani są wszyscy pracownicy w rozumieniu przepisów Kodeksu Pracy, konsultanci, stażyści i inne osoby mające dostęp do informacji podlegających ochronie.

Administrator Danych Osobowych (Administrator) – GymMe Sp. z o.o.  (dalej „Spółka”) z siedzibą we Wrocławiu (ul. Mieczysława Wolfkego 38, 54-701 Wrocław), wpisaną do Krajowego Rejestru Sądowego pod numerem KRS: 0000808599, posiadająca NIP 8943146997; Dane kontaktowe: info@gymme.today, kapitał zakładowy w wysokości 5000,00 zł;

Dane osobowe – oznaczają informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej; możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej;

Zbiór danych osobowych – oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie;

Przetwarzanie danych osobowych – oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zestawach danych osobowych w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie;

Użytkownik – osoba mająca dostęp do zasobów systemu informatycznego posiadająca upoważnienie do przetwarzania danych osobowych w tym systemie;

System informatyczny – zespół urządzeń, sprzętu komputerowego, oprogramowania oraz baz danych przetwarzających dane osobowe;

Nośniki danych – wszelkie nośniki, na których informacje zapisane są w postaci elektronicznej, w szczególności dyski, dyski CD-ROM, karty magnetyczne lub pamięci przenośne;

Sieć informatyczna – fizyczna warstwa systemu informatycznego obejmująca okablowanie, węzły i urządzenia aktywne organizujące ruch w sieci;

Podmiot przetwarzający – oznacza osobę fizyczną lub prawną, który przetwarza dane osobowe w imieniu administratora na mocy umowy powierzenia przetwarzania danych osobowych, zgodnie z art. 28 RODO.

4.1  System ochrony danych osobowych u Administratora

Inwentaryzacja danych osobowych

• Administrator dokonuje identyfikacji zasobów danych osobowych, klas danych, zależności między zasobami danych, identyfikacji sposobów wykorzystania danych, w szczególności: przypadków przetwarzania danych wrażliwych, przypadków przetwarzania danych niezidentyfikowanych, przypadków przetwarzania danych dzieci; profilowania.
• Administrator weryfikuje czy dochodzi do przypadków współadministrowania danymi osobowymi.

4.2 Rejestr Czynności Przetwarzania Danych Osobowych

Administrator prowadzi Rejestr Czynności Przetwarzania Danych Osobowych, zwany dalej: Rejestrem.

W Rejestrze, dla każdej czynności przetwarzania danych, którą Administrator uznał za odrębną dla potrzeb Rejestru, odnotowuje co najmniej: (i) nazwę czynności, (ii) cel przetwarzania, (iii) opis kategorii osób, (iv) opis kategorii danych, (v) podstawę prawną przetwarzania, wraz z wyszczególnieniem kategorii uzasadnionego interesu Administratora, jeśli podstawą jest uzasadniony interes, (vi) sposób zbierania danych, (vii) opis kategorii odbiorców danych (w tym przetwarzających), (viii) informację o przekazaniu poza EU/EOG; (ix) ogólny opis technicznych i organizacyjnych środków ochrony danych.

4.3  Podstawy prawne przetwarzania danych osobowych

Administrator identyfikuje i weryfikuje podstawy prawne przetwarzania danych osobowych, a w szczególności:

• utrzymuje system zarządzania zgodami na przetwarzanie danych osobowych;
• inwentaryzuje i przygotowuje uzasadnienia przypadków, gdy dochodzi do przetwarzania danych osobowych na podstawie prawnie uzasadnionych interesów Administratora.

Administrator rejestruje podstawy prawne przetwarzania danych osobowych w Rejestrze.

4.4  Prawa osoby, której dane dotyczą

Administrator wywiązuje się z obowiązków informacyjnych względem osób, których dane dotyczą. W szczególności Administrator:

• przekazuje osobom, których dane dotyczą wszelkie wymagane prawem informacje w czasie pozyskiwania danych osobowych, jak również w innych sytuacjach, gdy prawo wymaga przekazania dodatkowych informacji osobom, których dane dotyczą;
• zapewnia dokumentację realizacji obowiązków, o których mowa w tej polityce.

Administrator zapewnia osobom, których dotyczą realizację praw przysługujących im na podstawie RODO. W szczególności Administrator dokłada starań, aby żądania osób, których dane dotyczą były realizowane w terminach wyznaczonych przez RODO oraz rzetelnie dokumentowane.

Administrator stosuje procedury działania w przypadku naruszenia ochrony danych osobowych, pozwalające na identyfikację i weryfikację naruszenia, a w razie potrzeby jego niezwłoczne zgłoszenie Urzędowi Ochrony Danych Osobowych oraz zawiadomienie osoby, której dane dotyczą.  

4.5  Minimalizacja

Administrator stosuje metodykę zarządzania minimalizacją (privacy by default), która ustala zasady: zarządzania adekwatnością danych, reglamentacji i zarządzania dostępem do danych, zarządzania okresem przechowywania danych i weryfikacji dalszej przydatności.

4.6  Bezpieczeństwo danych osobowych

Administrator ustala możliwe do zastosowania organizacyjne i techniczne środki bezpieczeństwa i ocenia koszt ich wdrażania.

Administrator ustala przydatność oraz stosuje takie środki i podejście jak:

• pseudonimizacja,
• szyfrowanie danych osobowych,
• inne środki cyberbezpieczeństwa składające się na zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
• środki zapewnienia ciągłości działania i zapobiegania skutkom katastrof, czyli zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego.

Administrator zapewnia odpowiedni poziom bezpieczeństwa danych, w tym:

• przeprowadza analizy ryzyka dla czynności przetwarzania danych lub ich kategorii;
• przeprowadza oceny skutków dla ochrony danych tam, gdzie ryzyko naruszenia praw i wolności osób jest wysokie;
• dostosowuje środki ochrony danych do ustalonego ryzyka;
• wdraża system zarządzania bezpieczeństwem informacji;
• zarządza incydentami naruszenia ochrony danych osobowych.

4.7 Zasady powierzania danych osobowych podmiotom

przetwarzającym

Powierzenie przetwarzania danych osobowych podmiotom przetwarzającym następuje w drodze umowy zawartej na piśmie.

4.8  Przekazywanie danych osobowych

Administrator na bieżąco weryfikuje czy dane osobowe nie są przekazywane do państw trzecich (tj. poza Europejski Obszar Gospodarczy) lub do organizacji międzynarodowych.

W przypadku przekazywania danych osobowych do państw trzecich lub do organizacji międzynarodowych Administrator zapewnia zgodność przekazywania danych z RODO.

Administrator na bieżąco weryfikuje, czy zachodzą przypadki transgranicznego przetwarzania danych osobowych.

4.9  Privacy by design

Administrator uwzględnia ochronę danych osobowych w fazie projektowania.

4.10   Wykaz budynków oraz pomieszczeń, w których przetwarzane są dane osobowe

Dane są przechowywane w siedzibie Administratora lub w ramach sieci informatycznej (a w szczególności serwery obsługujące Stronę lub Aplikację, sklepy internetowe Apple i Google – w odniesieniu do obsługi subskrypcji)

Procedury nadawania uprawnień, metody i środki uwierzytelnienia oraz procedury tworzenia kopii zapasowych reguluje Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. 17.12.2019

Aktualizacji niniejszej Polityki dokonuje Administrator, który wszelkie propozycje zmian przedstawia podmiotowi odpowiedzialnemu za jej wdrożenie.

Niniejsza Polityka wchodzi w życie z dniem 05.04.2020.

Podobnie jak większość usługodawców, używamy plików cookie i innych technologii służących analizie danych. Pliki cookie to małe pliki danych przechowywane w przeglądarce internetowej lub urządzeniu. Pliki cookie pozwalają zapewnić prawidłowe funkcjonowanie naszych usług, doskonalić je, a także zamieszczać i mierzyć reklamy. Cele, dla których my i nasi partnerzy używamy plików cookie oraz podobnych technologii można podzielić generalnie na następujące kategorie:

• niezbędne: są to ciasteczka, które są wymagane do obsługi naszych serwisów. Są to na przykład pliki które pozwalają Ci na zalogowanie się do serwisu czy korzystanie ze sklepu. 
• wydajności: Na przykład są to pliki, które zbierają informacje o tym, w jaki sposób komunikujesz się z naszymi usługami i personalizują treści.
• funkcjonalne: pliki, które pomagają zapewnić prawidłowe działanie naszych usług, zapamiętywać Twoje ustawienia i preferencje. Pomagają one w identyfikacji zagrożeń dla bezpieczeństwa i zapobieganiu im lub pomagają nam zrozumieć i udoskonalać jakość naszych usług.
• reklamowe i społecznościowe: są to  pliki, które sprawiają, że reklamy stają się bardziej dopasowane i sensowne dla użytkowników naszych usług lub do udostępniania innym na portalach społecznościowych, takich jak Facebook czy Instagram.

Google Analytics
(kategoria: funkcjonalne)

Pliki cookies Google Analytics są to pliki wykorzystywane przez spółkę Google w celu analizy sposobu korzystania ze strony przez użytkownika, do tworzenia statystyk i raportów dotyczących funkcjonowania strony. Google nie wykorzystuje zebranych danych do identyfikacji użytkownika ani nie łączy tych informacji w celu umożliwienia identyfikacji. Więcej możesz poczytać tutaj.

Google AdWords
(kategoria: reklamowe/społecznościowe/biznesowe)

Google AdWords to narzędzie, które umożliwia mierzenie skuteczności kampanii reklamowych realizowanych przez Administratora. Pozwala na analizę takich danych. Platforma Google Adwords pozwala też na wyświetlanie reklam osobom, które w przeszłości odwiedziły stronę. Więcej możesz poczytać tutaj.

Facebook Pixel
(kategoria: reklamowe/społecznościowe/biznesowe)

Piksele Facebooka to narzędzie umożliwiające mierzenie efektywności kampanii reklamowych prowadzonych przez Administratora na portalu Facebook. Usługa ta pozwala na śledzenie zachowania użytkownika, po tym jak zobaczył albo kliknął w reklamę pochodzącą z Facebooka. Narzędzie pozwala na zaawansowaną analitykę danych w celu optymalizacji działań również z wykorzystaniem innych narzędzi oferowanych przez Facebook. Więcej można znaleźć tutaj.

Większość przeglądarek i urządzeń domyślnie akceptuje pliki cookie, ich ustawienia zwykle pozwalają na ich usunięcie lub odrzucenie. W każdej chwili możesz wyłączyć pliki cookie, ale wtedy niektóre z funkcji naszej strony internetowej mogą nie działać poprawnie.

Możesz też uniemożliwić wykorzystywanie danych przez Google Analytics. W tym celu zainstaluj dodatek do przeglądarki blokujący Google Analytics.

W każdej chwili możesz uzyskać dostęp do swoich ustawień w Google Adds. Możesz tam zadecydować, jakich danych używa Google do wyświetlania dedykowanych Tobie reklam.

Możesz również kontrolować sposób wykorzystania danych na komórkach.  W urządzeniach z systemem iOS możesz włączyć ustawienie „Limit Ad Tracking” (Ogranicz śledzenie reklamowe), a na urządzeniu z systemem Android możesz włączyć ustawienie „Opt Out of Ads Personalization” (Odmów zgody na personalizację reklamową) lub „Opt Out of Interest-Based Ads” (Odmów zgody na reklamy oparte na zainteresowaniach).

Umowa o świadczenie usług oraz Umowa licencji zawierana jest pomiędzy GymMe Sp. z o.o. a Użytkownikiem z momentem złożenia zamówienia na subskrypcję Aplikacji w sklepie Google Play lub App Store.

Abonament (opłata za subskrypcję Aplikacji) pobierany jest przez operatora sklepu Google Play lub App Store, z wykorzystaniem konta Użytkownika zarejestrowanego w tych sklepach.

Warunki korzystania ze sklepu Google Play lub App Store, warunki techniczne, zasady pobierania opłat, metody płatności, zasady zwrotu środków i anulowania subskrypcji, jak również przetwarzania danych osobowych podawanych w związku z wykupieniem dostępu do Aplikacji, określone zostały przez operatorów tychże sklepów

W każdym rodzaju pakietu dostępny jest bezpłatny 14 dniowy okres próbny. Subskrypcja jest aktywowana wraz z okresem próbnym, natomiast płatność następuje po upływie 14 dni. Od tego momentu liczy się jeden okres rozliczeniowy (1 miesiąc)

Okres próbny może być wykorzystany tylko jeden raz na dany numer telefonu. 

Po upłynięciu 14 dni, funcje aplikacji zostają ograniczone. Jeśli użytkownik skasuje konto, wszystkie dane wprowadzone w okresie testowania zostaną utracone.

GymMe Sp. z o.o.  zastrzega sobie prawo do uruchamiania okresowych promocji na zasadach ustalonych w tych promocjach. Promocje będą dostepne po podaniu kodu używanego przy dokonywaniu płatności.

Po zakończeniu wybranego przez Użytkownika Okresu Rozliczeniowego, Umowa o świadczenie usług oraz Umowa licencji (subskrypcja Aplikacji) automatycznie przedłuża się na kolejny Okres Rozliczeniowy w ramach wybranego Pakietu (chyba że Użytkownik dokona zmiany subskrypcji poprzez zmianą rodzaju Pakietu w sposób przewidziany w sklepie Google Play lub App Store), co będzie równoznaczne z pobraniem od Użytkownika opłaty za kolejny Okres Rozliczeniowy.

Opłata nie zostanie pobrana jeżeli Użytkownik anuluje subskrypcję na zasadach obowiązujących w sklepach Google Play lub App Store, tj. nie później niż 24 godziny przed rozpoczęciem kolejnego Okresu Rozliczeniowego.

Szczegółowa informacja w tym zakresie aktualna na dzień wejścia w życie Regulaminu dostępna jest pod adresem: Google Play i  Apple Store . Anulowanie subskrypcji w tym terminie będzie miało skutek począwszy od kolejnego Okresu Rozliczeniowego.

Anulowanie subskrypcji w powyższym trybie jest równoznaczne z wypowiedzeniem Umowy o świadczenie usług oraz Umowy licencji.

Anulowanie subskrypcji skutkuje rozwiązaniem Umowy o świadczenie usług oraz Umowy licencji z ostatnim dniem obowiązywania subskrypcji, a co za tym idzie utratą przez Użytkownika dostępu do funkcjonalności Aplikacji. Anlulowanie subskrypcji nie kasuje danych zapisanych w czasie użytkowania aplikacji. Ponowne wykupienie dostępu do Aplikacji umożliwia kontynuację pracy bez utraty danych.

Aby skasować dane z naszych serwerów musisz usunąć użytkownika (z poziomu Profilu)

Odinstalowanie Aplikacji z urządzenia nie jest równoznaczne z rezygnacją z subskrypcji, która będzie naliczana do czasu anulowania w GooglePlay lub Apple Store