Polityka prywatności Feel it
Wersja 1.0 · Obowiązuje od: 20 maja 2026
§ 1. Administrator
- Administratorem danych jest Feel it Małgorzata Świderska, ul. Olbrachta 118B/2, 01-373 Warszawa, NIP: 522-292-47-99.
- Kontakt: biuro@feel-it.pl, tel. 22-299-51-52. W tytule wpisz „RODO”.
- Nie powołano Inspektora Ochrony Danych (nie zachodzą przesłanki art. 37 ust. 1 RODO).
- Współadministrowanie z Firmą-klientem (art. 26 RODO): w zakresie zarządzania pakietem masaży pracodawca Pacjenta działa jako współadministrator. Pacjent może wykonywać prawa wobec dowolnego ze współadministratorów.
- Minimalny wiek użytkownika: 16 lat (art. 8 RODO).
§ 2. Zakres przetwarzanych danych
- Identyfikacyjne i kontaktowe: imię, nazwisko, e-mail, telefon (opc.), hasło (bcrypt 12 rund)
- Dane szczególnej kategorii (art. 9 RODO): dobrowolne preferencje masażu i notatki zdrowotne — szyfrowane AES-256-GCM
- Operacyjne: historia rezerwacji, oceny, logi logowań, treść wysłanych e-maili
- B2B: powiązanie z Firmą-klientem, adres biura wizyt
- Płatnicze: dane do faktury (Feel it nie przechowuje danych kart)
- Terapeuci: lokalizacja GPS i zdjęcia z meldunków przy lokalu Firmy-klienta
- Techniczne: dane diagnostyczne ze zgłoszeń błędów (user-agent, viewport, błędy konsoli, URL)
- Audit log: dziennik operacji administracyjnych na koncie
§ 3. Cele i podstawy prawne
| Cel | Podstawa prawna |
|---|---|
| Świadczenie usługi rezerwacji masażu | Art. 6 ust. 1 lit. b RODO (wykonanie umowy) |
| Notatki zdrowotne i preferencje masażu | Art. 9 ust. 2 lit. a RODO (wyraźna zgoda) |
| E-maile transakcyjne (potwierdzenia, przypomnienia) | Art. 6 ust. 1 lit. b RODO |
| Faktury i rozliczenia | Art. 6 ust. 1 lit. c RODO (przepisy podatkowe) |
| Bezpieczeństwo, logi, wykrywanie nadużyć | Art. 6 ust. 1 lit. f RODO (uzasadniony interes) |
| Marketing własny i analityka | Art. 6 ust. 1 lit. a RODO (zgoda — banner cookie) |
§ 4. Odbiorcy danych (procesory)
| Podmiot | Cel | Lokalizacja |
|---|---|---|
| Supabase Inc. | Baza danych, autentykacja | Irlandia (EOG) |
| Vercel Inc. | Hosting aplikacji | EOG / USA (DPF + SCC) |
| Cloudflare Inc. | Storage plików (R2) + backup | EOG |
| Resend Inc. | Wysyłka e-maili transakcyjnych | USA (DPF) |
| X.AI Corp. | Asystent AI w czacie supportu (treść wiadomości; bez e-maila, imienia) | USA (DPF + SCC) |
| PayU S.A. / PayPro S.A. (Przelewy24) | Procesowanie płatności | Polska (EOG) |
| Fakturowo | Generowanie faktur VAT | Polska (EOG) |
| Google Ireland Ltd. | Synchronizacja Google Calendar Terapeutów; opc. Google Analytics (zgoda) | EOG + USA (DPF) |
| GUS | Weryfikacja NIP firm | Polska |
Klient Manager (KM) z Firmy-klienta widzi dane identyfikacyjne, statystyki uczestnictwa, status konta i limity Pacjenta — nie ma dostępu do notatek zdrowotnych, treści e-maili, logów ani ocen.
§ 5. Transfer poza EOG
Niektórzy procesorzy mają centra danych w USA (Vercel, Resend, X.AI, Google, Meta). Transfer odbywa się na podstawie EU-US Data Privacy Framework oraz Standardowych Klauzul Umownych (SCC). Pełna lista dostępna na żądanie pod biuro@feel-it.pl.
§ 6. Twoje prawa
- Dostęp i sprostowanie — panel /konto
- Usunięcie konta („prawo do bycia zapomnianym”) — /konto/ustawienia. Dane są anonimizowane; historia rezerwacji pozostaje w formie zanonimizowanej dla rozliczeń.
- Ograniczenie, przenoszenie, sprzeciw — na żądanie e-mailowe
- Cofnięcie zgody i granularne preferencje email-i (5 kategorii + transakcyjne niewyłączalne) — /konto/preferencje lub link „Wypisz się” w stopce każdego maila (One-Click Unsubscribe — RFC 8058)
- Skarga do PUODO — ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl
Odpowiadamy w terminie do 30 dni od otrzymania żądania.
§ 7. Cookies
Używamy cookies niezbędnych (sesja, bez zgody), funkcjonalnych (preferencje UI), analitycznych (po zgodzie — Google Analytics) i marketingowych (po zgodzie — Meta Pixel). Zgodę zarządzasz w banerze przy pierwszej wizycie lub w ustawieniach przeglądarki.
§ 8. Profilowanie i automatyczne decyzje
Feel it nie podejmuje zautomatyzowanych decyzji w rozumieniu art. 22 ust. 1 RODO. Stosowane reguły operacyjne (np. czasowa blokada rezerwacji po nieusprawiedliwionych nieobecnościach) są deterministyczne, konfigurowane przez człowieka (KM lub Admin) i znane Pacjentowi z góry (Regulamin § 7). W każdej chwili możesz zażądać interwencji człowieka i przeglądu decyzji pisząc na biuro@feel-it.pl (art. 22 ust. 3 RODO).
§ 9. Bezpieczeństwo danych
- HTTPS (TLS 1.2+), Row-Level Security w bazie, dzienny backup z szyfrowaniem at-rest, hasła w bcrypt (12 rund)
- Dane szczególnej kategorii (art. 9 RODO): szyfrowanie at-rest AES-256-GCM; klucz poza bazą — operator DB nie ma dostępu do treści
- W przypadku naruszenia powiadomimy PUODO w terminie 72 godzin (art. 33 RODO)
§ 10. Okres przechowywania
- Konto Pacjenta: czas umowy z Firmą-klientem + 30 dni
- Notatki zdrowotne / preferencje: 24 mc od ostatniej aktywności
- Historia rezerwacji: czas umowy + 5 lat (przepisy podatkowe)
- E-maile (metadane / treść): 12 mc / 90 dni
- Logi techniczne i bezpieczeństwa: 12 mc
- Audit log + log zgód: 24 mc / 5 lat (rozliczalność RODO)
- Pliki z meldunków Terapeutów: 36 mc
§ 11. Kontakt i zmiany polityki
W sprawach ochrony danych pisz na biuro@feel-it.pl z tematem „RODO”. O istotnych zmianach polityki poinformujemy e-mailem i komunikatem w aplikacji z 14-dniowym wyprzedzeniem.
Zobacz też: Regulamin
