Gift.Fit logo
GiftFit

Polityka Prywatności

Niniejsza Polityka wyjaśnia, jakie dane przetwarzamy, w jakich celach, komu je powierzamy, przez jaki okres oraz z jakich praw możesz korzystać. Projektujemy usługę zgodnie z zasadą privacy-by-design, tak aby to Ty miał(a) pełną kontrolę nad udostępnianiem swoich rozmiarów.

Wersja
1.0
Data wejścia w życie
[dd.mm.rrrr]
Administrator danych
[nazwa spółki], [adres], [NIP/KRS], e-mail: [privacy@…], tel.: […]
Inspektor Ochrony Danych
[imię i nazwisko], e-mail: [iod@…]
Dbamy o prywatność projektując produkt w myśl zasady privacy-by-design. Udostępniamy narzędzia, które dają Ci pełną kontrolę nad tym, jakie dane rozmiarowe widzą inne osoby i w jakim czasie.

1. Zakres działania i definicje

  • Aplikacja / Usługa – mobilna/PWA aplikacja GiftFit do tworzenia Zunifikowanego Profilu Rozmiarowego (ZPR), dzielenia się wybranymi danymi z Zaufanym Kręgiem, korzystania z funkcji Secret Giver oraz linków prezentowych.
  • Użytkownik – osoba fizyczna korzystająca z Aplikacji.
  • ZPR – uporządkowany profil rozmiarów, wymiarów i preferencji dopasowania (odzież, obuwie, biżuteria, akcesoria; także konwersje EU/US/UK i marki).
  • Zaufany Krąg – prywatna lista osób, którym można granularnie udostępniać wybrane kategorie danych.
  • Secret Giver – bezpieczna, czasowa zgoda na wgląd w pojedynczy rozmiar dla osoby obdarowującej (np. na 48h).
  • Wersje planów – Free / Premium / Premium+ (różny zakres funkcji udostępniania i kontroli).

2. Kategorie przetwarzanych danych

Konto i subskrypcja

  • e-mail, hasło (haszowane), imię/nazwa profilu, status weryfikacji, plan i ważność subskrypcji, identyfikatory techniczne.

ZPR (treść profilu)

  • kategorie i podkategorie (tops/bottoms/outerwear/underwear, buty, akcesoria, biżuteria), etykiety rozmiarów, wymiary, preferencje dopasowania, marki, notatki, profile konwersji rozmiarów (EU/US/UK).

Udostępnianie

  • reguły i uprawnienia (kto co widzi i na jaki czas), członkowie Zaufanego Kręgu, generowane linki prezentowe (zakres, TTL, limit odsłon).

Secret Giver

  • żądania dostępu do pojedynczych kategorii, statusy (oczekujące/zaakceptowane/odrzucone/wygasłe), czas ważności (np. 48h), log zgód.

Płatności i rozliczenia

  • metadane transakcji (Stripe/RevenueCat), typ planu, status płatności; szczegóły karty przetwarza wyłącznie operator płatności.

Telemetria i logi

  • dane techniczne urządzenia/przeglądarki, adres IP, identyfikatory sesji, logi błędów i bezpieczeństwo, statystyki użycia.

B2B/Pro (opcjonalnie)

  • dane firmowe administratorów i użytkowników, zagregowane zapotrzebowanie na rozmiary, raporty; pracownik zawsze kontroluje zakres udostępnienia.
Przechowywane rozmiary/wymiary nie należą do szczególnych kategorii danych (art. 9 RODO), chyba że samodzielnie wpiszesz treści je ujawniające – wtedy przetwarzamy je wyłącznie za Twoją wyraźną zgodą.

3. Cele i podstawy prawne

  1. 1Świadczenie Usługi (konto, ZPR, udostępnianie, Secret Giver, linki) – art. 6 ust. 1 lit. b RODO (umowa).
  2. 2Bezpieczeństwo, zapobieganie nadużyciom, rozliczalność (logi, audyty, ograniczenia czasowe SG) – art. 6 ust. 1 lit. f RODO (uzasadniony interes).
  3. 3Płatności, fakturowanie, księgowość – art. 6 ust. 1 lit. b/c RODO (umowa/obowiązek prawny).
  4. 4Komunikacja produktowa, wsparcie, badania satysfakcji – art. 6 ust. 1 lit. f RODO.
  5. 5Marketing bezpośredni (opcjonalnie), newsletter, powiadomienia – art. 6 ust. 1 lit. a RODO (zgoda, możliwa do cofnięcia).
  6. 6Anonimizowane statystyki i trendy rozmiarów – dane zanonimizowane nie są danymi osobowymi; gdy stosujemy dane osobowe, robimy to na podstawie art. 6 ust. 1 lit. f RODO przy zachowaniu minimalizacji i pseudonimizacji.

4. Dobrowolność i kontrola udostępniania

  • Decydujesz, co i komu udostępniasz – reguły można ustawiać per kategoria i per osoba/grupa, z możliwością natychmiastowego cofnięcia.
  • Secret Giver dotyczy jednego rozmiaru i jest ograniczony czasowo (np. 48h). Możesz odmówić, zaakceptować lub zablokować zaproszenia (w planach płatnych).
  • Linki prezentowe pozwalają określić zakres, TTL, limit odsłon, opcjonalne hasło; link można unieważnić w dowolnym momencie.

5. Odbiorcy danych i podmioty przetwarzające

Dane przekazujemy wyłącznie, gdy jest to konieczne do działania Usługi lub wynika z obowiązku prawnego:

  • Hosting i infrastruktura chmurowa – np. Google Cloud Platform (serwery, bazy danych, kopie zapasowe).
  • Płatności i abonamenty – Stripe/RevenueCat (rozliczenia; dane kart przetwarza operator).
  • Komunikacja e-mail/push i obsługa – wybrani dostawcy, którym powierzamy tylko niezbędne metadane.
  • Analityka i logi – narzędzia monitorujące działanie oraz bezpieczeństwo.
  • B2B/Pro – gdy dołączasz do organizacji, określone dane udostępniasz pracodawcy wyłącznie za swoją zgodą i w ustalonym zakresie.

Z każdym podmiotem przetwarzającym zawieramy umowę powierzenia zgodną z art. 28 RODO.

6. Przekazywanie poza EOG

Jeśli dostawca przetwarza dane poza Europejskim Obszarem Gospodarczym, stosujemy mechanizmy przewidziane przez RODO (np. Standardowe Klauzule Umowne) oraz dodatkowe środki techniczne. Informujemy o istotnych zmianach listy podmiotów i lokalizacji.

7. Okres przechowywania

  • Konto i ZPR – do czasu usunięcia konta lub maksymalnie 36 miesięcy braku aktywności (z wcześniejszym powiadomieniem).
  • Reguły udostępniania / Zaufany Krąg – do czasu odwołania lub wygaśnięcia.
  • Secret Giver – metadane żądań i logi zgód przechowujemy do celów rozliczalności (zwykle 24 miesiące); dostęp do rozmiaru wygasa automatycznie po TTL.
  • Linki prezentowe – według ustawionego TTL/limitów; po unieważnieniu pozostają jedynie metadane audytowe.
  • Fakturowanie i rozliczenia – zgodnie z przepisami podatkowymi/księgowymi (zwykle 5 lat).
  • Logi bezpieczeństwa – standardowo 12–24 miesiące, chyba że przepisy lub interes prawny wymagają dłuższego okresu.

8. Twoje prawa

Masz prawo do dostępu, sprostowania, usunięcia („bycia zapomnianym”), ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania oraz wycofania zgody (bez wpływu na zgodność z prawem przetwarzania przed jej cofnięciem). Skontaktuj się: [privacy@…]. Masz także prawo złożyć skargę do Prezesa UODO.

Udostępniamy w Aplikacji panel prywatności, w którym sprawdzisz aktywne udostępnienia, linki, ustawienia SG i możesz szybko odwołać uprawnienia.

9. Zautomatyzowane decyzje i profilowanie

Nie prowadzimy zautomatyzowanego podejmowania decyzji wywołującego skutki prawne. W wyższych planach możemy proponować rekomendacje prezentów na podstawie danych i preferencji – zawsze możesz wyłączyć tę funkcję w ustawieniach.

10. Bezpieczeństwo informacji

Stosujemy szyfrowanie w tranzycie i spoczynku, kontrolę dostępu (RBAC), hasła haszowane (bcrypt), tokeny JWT, segmentację uprawnień, kopie zapasowe, rejestrowanie zdarzeń, testy bezpieczeństwa oraz zasadę minimalizacji. Funkcje SG oraz udostępniania posiadają twarde ograniczenia czasu i zakresu oraz jasne ekrany zgody.

11. Pliki cookie i technologie podobne

Korzystamy z niezbędnych plików cookie (utrzymanie sesji, bezpieczeństwo) oraz – za Twoją zgodą – z analitycznych i marketingowych. W każdej chwili możesz zmienić ustawienia w przeglądarce i zrezygnować z plików nie-niezbędnych.

12. Dzieci

Usługa nie jest kierowana do dzieci poniżej 16. roku życia. Jeżeli stwierdzimy, że przetwarzamy dane dziecka bez podstawy, niezwłocznie je usuniemy.

13. Relacje B2B: Administrator vs. podmiot przetwarzający

  • W planie B2C jesteśmy Administratorem Twoich danych.
  • W ofercie B2B/Pro – jeżeli organizacja uzyskuje dostęp do Twoich danych rozmiarowych – robi to wyłącznie na podstawie Twojej świadomej zgody i w określonym zakresie; w tym zakresie możemy działać jako podmiot przetwarzający na mocy umowy powierzenia.

14. Zmiany Polityki

Politykę możemy aktualizować (np. przy zmianie funkcji lub dostawców). O istotnych zmianach poinformujemy z wyprzedzeniem w Aplikacji i/lub e-mailem. Nowa wersja obowiązuje od daty wskazanej na górze dokumentu.

15. Kontakt

Pytania, wnioski i żądania dotyczące danych osobowych prześlij na adres **[privacy@…]** lub pocztą na adres Administratora. Jeśli powołano Inspektora Ochrony Danych – **[iod@…]**.