Przejdź do treści

Polityka prywatności Feel it

Wersja 1.0 · Obowiązuje od: 20 maja 2026

§ 1. Administrator

  1. Administratorem danych jest Feel it Małgorzata Świderska, ul. Olbrachta 118B/2, 01-373 Warszawa, NIP: 522-292-47-99.
  2. Kontakt: biuro@feel-it.pl, tel. 22-299-51-52. W tytule wpisz „RODO”.
  3. Nie powołano Inspektora Ochrony Danych (nie zachodzą przesłanki art. 37 ust. 1 RODO).
  4. Współadministrowanie z Firmą-klientem (art. 26 RODO): w zakresie zarządzania pakietem masaży pracodawca Pacjenta działa jako współadministrator. Pacjent może wykonywać prawa wobec dowolnego ze współadministratorów.
  5. Minimalny wiek użytkownika: 16 lat (art. 8 RODO).

§ 2. Zakres przetwarzanych danych

  • Identyfikacyjne i kontaktowe: imię, nazwisko, e-mail, telefon (opc.), hasło (bcrypt 12 rund)
  • Dane szczególnej kategorii (art. 9 RODO): dobrowolne preferencje masażu i notatki zdrowotne — szyfrowane AES-256-GCM
  • Operacyjne: historia rezerwacji, oceny, logi logowań, treść wysłanych e-maili
  • B2B: powiązanie z Firmą-klientem, adres biura wizyt
  • Płatnicze: dane do faktury (Feel it nie przechowuje danych kart)
  • Terapeuci: lokalizacja GPS i zdjęcia z meldunków przy lokalu Firmy-klienta
  • Techniczne: dane diagnostyczne ze zgłoszeń błędów (user-agent, viewport, błędy konsoli, URL)
  • Audit log: dziennik operacji administracyjnych na koncie

§ 3. Cele i podstawy prawne

CelPodstawa prawna
Świadczenie usługi rezerwacji masażuArt. 6 ust. 1 lit. b RODO (wykonanie umowy)
Notatki zdrowotne i preferencje masażuArt. 9 ust. 2 lit. a RODO (wyraźna zgoda)
E-maile transakcyjne (potwierdzenia, przypomnienia)Art. 6 ust. 1 lit. b RODO
Faktury i rozliczeniaArt. 6 ust. 1 lit. c RODO (przepisy podatkowe)
Bezpieczeństwo, logi, wykrywanie nadużyćArt. 6 ust. 1 lit. f RODO (uzasadniony interes)
Marketing własny i analitykaArt. 6 ust. 1 lit. a RODO (zgoda — banner cookie)

§ 4. Odbiorcy danych (procesory)

PodmiotCelLokalizacja
Supabase Inc.Baza danych, autentykacjaIrlandia (EOG)
Vercel Inc.Hosting aplikacjiEOG / USA (DPF + SCC)
Cloudflare Inc.Storage plików (R2) + backupEOG
Resend Inc.Wysyłka e-maili transakcyjnychUSA (DPF)
X.AI Corp.Asystent AI w czacie supportu (treść wiadomości; bez e-maila, imienia)USA (DPF + SCC)
PayU S.A. / PayPro S.A. (Przelewy24)Procesowanie płatnościPolska (EOG)
FakturowoGenerowanie faktur VATPolska (EOG)
Google Ireland Ltd.Synchronizacja Google Calendar Terapeutów; opc. Google Analytics (zgoda)EOG + USA (DPF)
GUSWeryfikacja NIP firmPolska

Klient Manager (KM) z Firmy-klienta widzi dane identyfikacyjne, statystyki uczestnictwa, status konta i limity Pacjenta — nie ma dostępu do notatek zdrowotnych, treści e-maili, logów ani ocen.

§ 5. Transfer poza EOG

Niektórzy procesorzy mają centra danych w USA (Vercel, Resend, X.AI, Google, Meta). Transfer odbywa się na podstawie EU-US Data Privacy Framework oraz Standardowych Klauzul Umownych (SCC). Pełna lista dostępna na żądanie pod biuro@feel-it.pl.

§ 6. Twoje prawa

  • Dostęp i sprostowanie — panel /konto
  • Usunięcie konta („prawo do bycia zapomnianym”) — /konto/ustawienia. Dane są anonimizowane; historia rezerwacji pozostaje w formie zanonimizowanej dla rozliczeń.
  • Ograniczenie, przenoszenie, sprzeciw — na żądanie e-mailowe
  • Cofnięcie zgody i granularne preferencje email-i (5 kategorii + transakcyjne niewyłączalne) — /konto/preferencje lub link „Wypisz się” w stopce każdego maila (One-Click Unsubscribe — RFC 8058)
  • Skarga do PUODO — ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl

Odpowiadamy w terminie do 30 dni od otrzymania żądania.

§ 7. Cookies

Używamy cookies niezbędnych (sesja, bez zgody), funkcjonalnych (preferencje UI), analitycznych (po zgodzie — Google Analytics) i marketingowych (po zgodzie — Meta Pixel). Zgodę zarządzasz w banerze przy pierwszej wizycie lub w ustawieniach przeglądarki.

§ 8. Profilowanie i automatyczne decyzje

Feel it nie podejmuje zautomatyzowanych decyzji w rozumieniu art. 22 ust. 1 RODO. Stosowane reguły operacyjne (np. czasowa blokada rezerwacji po nieusprawiedliwionych nieobecnościach) są deterministyczne, konfigurowane przez człowieka (KM lub Admin) i znane Pacjentowi z góry (Regulamin § 7). W każdej chwili możesz zażądać interwencji człowieka i przeglądu decyzji pisząc na biuro@feel-it.pl (art. 22 ust. 3 RODO).

§ 9. Bezpieczeństwo danych

  • HTTPS (TLS 1.2+), Row-Level Security w bazie, dzienny backup z szyfrowaniem at-rest, hasła w bcrypt (12 rund)
  • Dane szczególnej kategorii (art. 9 RODO): szyfrowanie at-rest AES-256-GCM; klucz poza bazą — operator DB nie ma dostępu do treści
  • W przypadku naruszenia powiadomimy PUODO w terminie 72 godzin (art. 33 RODO)

§ 10. Okres przechowywania

  • Konto Pacjenta: czas umowy z Firmą-klientem + 30 dni
  • Notatki zdrowotne / preferencje: 24 mc od ostatniej aktywności
  • Historia rezerwacji: czas umowy + 5 lat (przepisy podatkowe)
  • E-maile (metadane / treść): 12 mc / 90 dni
  • Logi techniczne i bezpieczeństwa: 12 mc
  • Audit log + log zgód: 24 mc / 5 lat (rozliczalność RODO)
  • Pliki z meldunków Terapeutów: 36 mc

§ 11. Kontakt i zmiany polityki

W sprawach ochrony danych pisz na biuro@feel-it.pl z tematem „RODO”. O istotnych zmianach polityki poinformujemy e-mailem i komunikatem w aplikacji z 14-dniowym wyprzedzeniem.

Zobacz też: Regulamin