Polityka prywatności Feel it
Wersja 1.0 · Obowiązuje od: [DO WERYFIKACJI: data publikacji]
§ 1. Administrator danych osobowych
- Administratorem Twoich danych osobowych jest Feel it Małgorzata Świderska, prowadząca działalność gospodarczą pod nazwą handlową Feel it, z siedzibą przy ul. Olbrachta 118B/2, 01-373 Warszawa, NIP: 522-292-47-99 — dalej „Feel it” lub „Administrator”.
- Kontakt w sprawach ochrony danych: biuro@feel-it.pl, tel. 22-299-51-52. W tytule wiadomości prosimy wpisać „RODO”.
- Administrator nie powołał Inspektora Ochrony Danych. Wszelkie pytania dotyczące przetwarzania danych należy kierować bezpośrednio na adres wskazany w pkt. 2.
§ 2. Kategorie przetwarzanych danych
W ramach świadczenia usług przetwarzamy następujące kategorie danych Pacjenta:
a) Dane identyfikacyjne i kontaktowe
- Imię i nazwisko
- Służbowy adres e-mail (z domeny zatwierdzonej przez Firmę-klienta)
- Numer telefonu (opcjonalnie — do powiadomień SMS)
- Hasło do konta — przechowywane wyłącznie w postaci niemożliwej do odczytania (bcrypt, 12 rund)
b) Dane preferencyjne i zdrowotne (kategorie szczególne — art. 9 RODO)
- Preferencje masażu: intensywność, atmosfera (muzyka), rozmowa, strefy priorytetowe / do unikania
- Notatki Pacjenta dla Terapeuty (np. informacje o kontuzjach, przeciwwskazaniach, przebytych zabiegach) — fakultatywne
c) Dane operacyjne
- Historia rezerwacji (data, godzina, Terapeuta, lokalizacja, status)
- Oceny i komentarze pozostawione przez Pacjenta po wizytach
- Logi techniczne logowań (data, godzina, adres IP) — do zapewnienia bezpieczeństwa
- Treść e-maili wysłanych do Pacjenta (potwierdzenia, przypomnienia, prośby o ocenę)
d) Dane firmowe (kontekst B2B)
- Powiązanie Pacjenta z Firmą-klientem (przynależność do pakietu)
- Lokalizacja, w której odbywają się wizyty (adres biura Firmy-klienta)
e) Dane płatnicze (dotyczy Pacjentów płacących samodzielnie)
- Dane do faktury (imię, nazwisko lub nazwa firmy, adres) — przekazywane operatorowi płatności
- Feel it nie przechowuje danych kart płatniczych — przetwarzane są wyłącznie przez operatorów płatności (§ 4)
§ 3. Cele i podstawy prawne przetwarzania
| Cel | Podstawa prawna | Okres |
|---|---|---|
| Świadczenie usług rezerwacji masażu (B2B — pakiet firmowy) | Art. 6 ust. 1 lit. b RODO (umowa z Firmą-klientem, której Pacjent jest beneficjentem) | Czas trwania umowy z Firmą-klientem |
| Świadczenie usług rezerwacji masażu (B2C — płatność własna Pacjenta) | Art. 6 ust. 1 lit. b RODO (umowa bezpośrednio z Pacjentem) | Czas realizacji usługi + okres przedawnienia roszczeń |
| Przetwarzanie preferencji i notatek zdrowotnych | Art. 9 ust. 2 lit. a RODO (wyraźna zgoda przy zapisie preferencji) | Maks. 24 miesiące od ostatniej aktywności |
| Wysyłka e-maili transakcyjnych (potwierdzenie, przypomnienie, ocena) | Art. 6 ust. 1 lit. b RODO + zgoda na powiadomienia | Do czasu cofnięcia zgody |
| Wystawianie faktur i rozliczenia | Art. 6 ust. 1 lit. c RODO (obowiązek prawny — przepisy podatkowe) | 5 lat od końca roku podatkowego |
| Statystyki i poprawa jakości usługi | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes — zanonimizowane dane) | Bez ograniczeń (po anonimizacji) |
| Bezpieczeństwo aplikacji (logi, wykrywanie nadużyć) | Art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) | 12 miesięcy |
| Marketing własny i analityka (GA, Meta Pixel) | Art. 6 ust. 1 lit. a RODO (zgoda — przez banner cookie) | Do czasu cofnięcia zgody |
§ 4. Odbiorcy danych (procesory)
W celu świadczenia usług korzystamy z następujących podmiotów przetwarzających dane na nasze zlecenie:
| Podmiot | Cel | Lokalizacja |
|---|---|---|
| Supabase (Supabase Inc.) | Hosting bazy danych i autentykacja | Irlandia (eu-west-1, EOG) |
| Vercel (Vercel Inc.) | Hosting aplikacji webowej | [DO WERYFIKACJI: panel Vercel → Settings → General → Region; fra1 = Frankfurt/EOG, iad1 = USA/SCC] |
| Cloudflare (Cloudflare Inc.) | Backup bazy danych (R2) | [DO WERYFIKACJI: panel CF → R2 → bucket → Location hint; wybrać „EU” dla EOG] |
| Resend (Resend Inc.) | Wysyłka e-maili transakcyjnych | USA (infrastruktura EU dostępna; transfer na podstawie DPF) |
| Google Analytics (Google Ireland Ltd.) | Analityka ruchu — tylko za zgodą użytkownika (banner cookie) | Irlandia (EOG) z transferem do USA na podstawie DPF/SCC |
| Meta Pixel (Meta Platforms Ireland Ltd.) | Marketing i remarketing — tylko za zgodą użytkownika (banner cookie) | Irlandia (EOG) z transferem do USA na podstawie DPF/SCC |
| PayU (PayU S.A.) | Procesowanie płatności | Polska (EOG) |
| Fakturowo | Generowanie faktur VAT | Polska (EOG) |
| Google (Google Ireland Ltd.) | Synchronizacja Google Calendar Terapeutów | Irlandia (EOG) z transferem do USA na podstawie DPF/SCC |
| GUS | Weryfikacja NIP Firmy-klienta | Polska — wyłącznie odczyt danych firm |
§ 5. Transfer danych poza EOG
- Niektórzy dostawcy mają centrale lub centra danych poza Europejskim Obszarem Gospodarczym (Vercel, Resend, Google, Meta — USA).
- Transfery realizowane są na podstawie:
- Decyzji Komisji Europejskiej — EU-US Data Privacy Framework (dla podmiotów certyfikowanych)
- Standardowych Klauzul Umownych (SCC) — gdy DPF nie ma zastosowania
- Pełna lista mechanizmów transferu dostępna na żądanie pod adresem biuro@feel-it.pl.
§ 6. Prawa osoby, której dane dotyczą
Zgodnie z RODO masz prawo do:
- Dostępu do swoich danych — w panelu /konto lub na żądanie e-mailowe
- Sprostowania nieprawidłowych danych — w panelu /konto/preferencje
- Usunięcia danych („prawo do bycia zapomnianym”, art. 17 RODO) — przycisk „Usuń konto” w /konto/ustawienia. Po potwierdzeniu dane są niezwłocznie anonimizowane. Historia rezerwacji pozostaje w formie zanonimizowanej na potrzeby rozliczeń z Firmą-klientem.
- Ograniczenia przetwarzania — na żądanie e-mailowe
- Przenoszenia danych (art. 20 RODO) — eksport w formacie JSON na żądanie
- Sprzeciwu wobec przetwarzania na podstawie prawnie uzasadnionego interesu (np. statystyki)
- Cofnięcia zgody w dowolnym momencie — bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem
- Wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) — ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl
§ 7. Cookies i podobne technologie
- Aplikacja używa plików cookies w następujących celach:
- Niezbędne (techniczne) — sesja logowania (
employee-session,sb-auth-token). Nie wymagają zgody. - Funkcjonalne — zapamiętanie preferencji UI. Nie wymagają zgody.
- Analityczne — Google Analytics (pomiar ruchu, zachowania użytkowników). Wymagają zgody — ładowane dopiero po jej udzieleniu przez banner.
- Marketingowe — Meta Pixel (remarketing, efektywność reklam). Wymagają zgody — ładowane dopiero po jej udzieleniu przez banner.
- Niezbędne (techniczne) — sesja logowania (
- Przy pierwszej wizycie w aplikacji wyświetlamy baner z prośbą o zgodę na cookies analityczne i marketingowe. Możesz zmienić swój wybór w każdej chwili w ustawieniach przeglądarki lub w panelu preferencji cookies.
- Wyłączenie cookies niezbędnych uniemożliwi zalogowanie się do aplikacji.
§ 8. Profilowanie i automatyczne decyzje
- Feel it nie podejmuje automatycznych decyzji wywołujących skutki prawne wobec Pacjenta (art. 22 RODO).
- Aplikacja stosuje reguły operacyjne (np. blokada rezerwacji po nieusprawiedliwionych nieobecnościach) znane Pacjentowi z góry i konfigurowane przez Firmę-klienta — nie stanowią profilowania w rozumieniu RODO.
§ 9. Bezpieczeństwo danych
- Aplikacja stosuje szyfrowanie połączenia HTTPS (TLS 1.2+) we wszystkich endpointach.
- Hasła przechowywane są w postaci niemożliwej do odczytania (bcrypt, 12 rund) — Feel it nigdy nie zna hasła Pacjenta w postaci jawnej.
- Dostęp do bazy danych ograniczony jest przez Row-Level Security (RLS) — Pacjent widzi wyłącznie swoje dane.
- Codziennie wykonywany jest backup bazy danych z szyfrowaniem at-rest.
- W przypadku naruszenia ochrony danych Feel it powiadomi PUODO w terminie 72 godzin oraz poinformuje osoby, których dane dotyczą, jeśli naruszenie może powodować wysokie ryzyko.
§ 10. Okres przechowywania danych
- Konto Pacjenta — przez czas trwania umowy między Firmą-klientem a Feel it. Po jej zakończeniu anonimizowane w terminie 30 dni, chyba że Pacjent wyraził zgodę na zachowanie konta.
- Notatki zdrowotne i preferencje wizyty — maksymalnie 24 miesiące od ostatniej aktywności, następnie automatycznie kasowane.
- Historia rezerwacji — czas trwania umowy + 5 lat od końca roku podatkowego (obowiązek archiwizacji).
- E-maile transakcyjne — historia nagłówków przez 90 dni.
- Logi techniczne — 12 miesięcy.
- Oceny i komentarze — przez okres aktywności konta; po usunięciu konta anonimizowane.
§ 11. Kontakt w sprawach ochrony danych
- Pytania dotyczące przetwarzania danych: biuro@feel-it.pl, tel. 22-299-51-52.
- W tytule wiadomości prosimy wpisać „RODO” lub „Dane osobowe”.
- Odpowiadamy w terminie do 30 dni od otrzymania żądania.
§ 12. Zmiany polityki prywatności
- Polityka może być aktualizowana w przypadku zmian funkcjonalności aplikacji, nowych procesorów lub zmian przepisów prawa.
- O istotnych zmianach poinformujemy e-mailem oraz komunikatem w aplikacji z wyprzedzeniem co najmniej 14 dni.
- Aktualna wersja zawsze dostępna pod /polityka-prywatnosci.
Zobacz też: Regulamin