Polityka prywatności
Ostatnia aktualizacja: 2026-06-24 Data wejścia w życie: 2026-06-11
Niniejsza Polityka prywatności wyjaśnia, w jaki sposób Velapp ("my", "nas", "nasze") zbiera, wykorzystuje, przechowuje i udostępnia dane osobowe, gdy korzystasz z aplikacji mobilnej Velapp ("Aplikacja"). Zależy nam na przejrzystości oraz na zgodności z unijnym ogólnym rozporządzeniem o ochronie danych (RODO), polskim prawem ochrony danych oraz przepisami o prywatności obowiązującymi w każdej innej jurysdykcji, w której Aplikacja jest dostępna.
Jeśli masz pytania dotyczące tej polityki, napisz do nas na adres velapp.contact@gmail.com.
1. Kim jesteśmy (Administrator danych)
Administratorem danych odpowiedzialnym za Twoje dane osobowe jest:
- Nazwa: Overrly
- NIP: 5080100981
- E-mail: velapp.contact@gmail.com
Nie powołaliśmy dedykowanego inspektora ochrony danych (IOD), ponieważ nie spełniamy progów określonych w art. 37 RODO, ale każde pytanie dotyczące ochrony danych możesz skierować na powyższy adres e-mail.
2. Jakie dane zbieramy
2.1 Dane, które podajesz bezpośrednio
- Dane konta: adres e-mail, hasło (przechowywane w postaci zahaszowanej, nigdy jako zwykły tekst), nazwa wyświetlana.
- Dane profilu: wiek, płeć, waga, wzrost, doświadczenie biegowe, dostępne dni treningowe, docelowe zawody, docelowe czasy ukończenia, notatki o kontuzjach, którymi zdecydujesz się podzielić.
- Historia biegów (wpisy ręczne): dystans, czas trwania, tempo, tętno, kadencja, przewyższenie, postrzegany wysiłek, dowolne notatki.
- Historia rozmów z AI: wiadomości, które wysyłasz do "Veli" (wbudowanego trenera AI), oraz odpowiedzi Veli - niezbędne, aby trener mógł odwoływać się do wcześniejszych rozmów w ramach sesji i pomiędzy nimi.
- Codzienne odprawy: sen, nogi, poziom stresu (oceny 1-5) oraz opcjonalne notatki.
2.2 Dane zbierane automatycznie
- Dane urządzenia: przybliżona lokalizacja (tylko gdy udzielisz uprawnienia, wykorzystywana do pogody), platforma (iOS / Android), wersja aplikacji. NIE zbieramy samodzielnie precyzyjnych śladów GPS z biegów - te pochodzą wyłącznie od dostawców zewnętrznych (zob. §2.3), jeśli ich połączysz.
- Token powiadomień push: identyfikator wygenerowany przez Expo / system operacyjny, dzięki któremu możemy dostarczać przypomnienia o treningach i wskazówki trenerskie.
- Identyfikator reklamowy (tylko wersja darmowa): jeśli korzystasz z darmowej wersji wspieranej reklamami, identyfikator reklamowy może być przetwarzany przez nasz SDK reklamowy (Google AdMob) w celu wyświetlania reklam. Podlega to Twojej zgodzie: na iOS pytamy o nią za pomocą okna App Tracking Transparency (ATT) firmy Apple, a dla użytkowników z EOG/Wielkiej Brytanii korzystamy z formularza zgody User Messaging Platform (UMP) firmy Google. Subskrybenci Pro (płatni) nie widzą reklam i nie jest dla nich przetwarzany żaden identyfikator reklamowy.
- Logi użytkowania: raporty błędów i metryki wydajności, przechowywane do 30 dni na potrzeby debugowania.
2.3 Dane, które otrzymujemy od podmiotów trzecich (tylko po Twojej zgodzie)
- Strava: za Twoją wyraźną zgodą OAuth otrzymujemy Twoje dotychczasowe i przyszłe biegi (data, dystans, czas trwania, tempo, tętno, okrążenia, międzyczasy, nazwa urządzenia, postrzegany wysiłek). Przechowujemy token odświeżający, abyśmy mogli pobierać nowe biegi w tle. Twoje dane ze Stravy są pokazywane wyłącznie Tobie w aplikacji, nigdy nie są ujawniane innym użytkownikom ani sprzedawane. Podobnie jak inne Twoje dane aktywności, podsumowanie Twoich biegów ze Stravy może być przesyłane do naszego dostawcy AI (Anthropic) wyłącznie w celu generowania coachingu dla Ciebie; nie jest wykorzystywane do trenowania modeli AI ani udostępniane żadnemu innemu podmiotowi trzeciemu. Możesz cofnąć tę zgodę w dowolnym momencie na ekranie Profilu lub w strava.com/settings/apps. Gdy odłączysz Stravę lub usuniesz konto, cofamy nasz dostęp w Stravie (deautoryzacja) i usuwamy biegi zaimportowane ze Stravy.
- Apple HealthKit: gdy udzielisz uprawnienia, odczytujemy dane zdrowotne i fitness, takie jak treningi i tętno, z Apple Health, aby wzbogacić Twoją historię treningową. Jest to ściśle dobrowolne i możesz cofnąć dostęp w dowolnym momencie w Ustawieniach iOS. Dane HealthKit nigdy nie są wykorzystywane do reklam i są przetwarzane wyłącznie w celu zapewnienia funkcji trenerskich, o które poprosiłeś.
- Google Health Connect (Android): gdy udzielisz uprawnienia, odczytujemy — wyłącznie w trybie do odczytu — Twoje treningi biegowe i powiązane dane: sesje treningowe, dystans, tętno oraz spalone kalorie, z Health Connect, aby wzbogacić Twoją historię treningową. Nigdy nie zapisujemy danych z powrotem do Health Connect. Jest to ściśle dobrowolne; dostęp możesz cofnąć w dowolnym momencie w ustawieniach Health Connect na urządzeniu. Dane z Health Connect nigdy nie są wykorzystywane do reklam, nie są sprzedawane i są przetwarzane wyłącznie w celu zapewnienia funkcji trenerskich, o które poprosiłeś, zgodnie z polityką uprawnień Google Health Connect, w tym jej wymogami ograniczonego wykorzystania.
- Garmin Connect: gdy ta integracja zostanie uruchomiona, zastosujemy tę samą zasadę dobrowolności, a niniejsza polityka zostanie zaktualizowana.
Nigdy nie otrzymujemy Twojego hasła do Stravy (ani innego dostawcy).
2.4 Subskrypcje i zakupy
Jeśli kupisz subskrypcję Pro, Twój zakup i status subskrypcji (na przykład: czy subskrypcja jest aktywna, data jej odnowienia oraz zakupiony produkt) są przetwarzane za pośrednictwem RevenueCat oraz Apple App Store lub Google Play. Samą płatność obsługuje w całości odpowiedni sklep z aplikacjami - nie otrzymujemy ani nie przechowujemy danych Twojej karty ani danych karty płatniczej. Wykorzystujemy te informacje wyłącznie po to, aby odblokować funkcje Pro i potwierdzić, że Twoje uprawnienie jest aktualne.
3. Podstawa prawna przetwarzania (art. 6 RODO)
| Cel | Podstawa prawna |
|---|---|
| Utworzenie i utrzymanie Twojego konta | Wykonanie umowy (art. 6 ust. 1 lit. b) |
| Generowanie planu treningowego i wskazówek trenerskich | Wykonanie umowy (art. 6 ust. 1 lit. b) |
| Importowanie biegów z połączonych dostawców | Twoja wyraźna zgoda (art. 6 ust. 1 lit. a), odwoływalna w każdej chwili |
| Odczyt danych Apple HealthKit | Twoja wyraźna zgoda (art. 6 ust. 1 lit. a), odwoływalna w każdej chwili |
| Coaching AI przez Claude | Wykonanie umowy + Twoja zgoda na przekazanie danych powiązanych ze zdrowiem podmiotowi przetwarzającemu (art. 6 ust. 1 lit. a/b) |
| Zarządzanie Twoją subskrypcją Pro | Wykonanie umowy (art. 6 ust. 1 lit. b) |
| Wyświetlanie reklam w wersji darmowej | Twoja zgoda na reklamy spersonalizowane (art. 6 ust. 1 lit. a) przez ATT/UMP; w przeciwnym razie reklamy niespersonalizowane na podstawie prawnie uzasadnionego interesu (art. 6 ust. 1 lit. f) w celu finansowania wersji darmowej |
| Diagnostyka awarii | Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) - utrzymanie niezawodności Aplikacji |
| Powiadomienia push | Twoje ustawienia preferencji w aplikacji (art. 6 ust. 1 lit. a) |
| Odpowiadanie na zgłoszenia do pomocy technicznej | Prawnie uzasadniony interes |
4. Jak wykorzystujemy Twoje dane
Przetwarzamy Twoje dane, aby:
- Generować i dostosowywać Twój plan treningowy na podstawie Twojego profilu, celów i ostatnich biegów.
- Zapewniać coaching AI - Veli odczytuje podsumowanie Twojego profilu, ostatnich aktywności oraz bieżącą historię rozmowy, aby jego odpowiedzi były kontekstowe.
- Pokazywać postępy i statystyki w zakładkach Statystyki i Plan.
- Wysyłać powiadomienia, które włączyłeś (poranne powitanie, przypomnienia o treningach, cotygodniowe podsumowanie, gratulacje z okazji kamieni milowych).
- Wykrywać i zapobiegać nadużyciom usługi AI (ograniczanie liczby żądań, wykrywanie anomalii).
- Ulepszać Aplikację - zagregowane, nieidentyfikujące sygnały użytkowania pomagają nam ustalać priorytety funkcji.
Wersja darmowa jest wspierana reklamami wyświetlanymi przez Google AdMob. Za Twoją zgodą (zbieraną poprzez App Tracking Transparency firmy Apple na iOS oraz formularz zgody UMP firmy Google) wyświetlane reklamy mogą być spersonalizowane; jeśli nie wyrazisz zgody, zamiast tego pokazujemy reklamy niespersonalizowane. Możesz zmienić swoją zgodę na reklamy w dowolnym momencie w ustawieniach urządzenia (a na iOS - w systemowych ustawieniach Śledzenia). Subskrybenci Pro (płatni) nie widzą reklam.
Nie sprzedajemy Twoich danych osobowych. Nigdy nie wykorzystujemy Twoich danych zdrowotnych ani fitness (w tym danych Apple HealthKit i danych o tętnie) do celów reklamowych.
5. Zewnętrzne podmioty przetwarzające
Korzystamy z następujących podmiotów podprzetwarzających. Każdy przetwarza Twoje dane wyłącznie na podstawie umów odzwierciedlających obowiązki z art. 28 RODO:
| Podmiot podprzetwarzający | Czym się zajmuje | Lokalizacja | Informacje o prywatności |
|---|---|---|---|
| Supabase (hostowany Postgres + Edge Functions + Auth) | Przechowuje Twoje konto, profil, biegi, rozmowy z AI | UE (eu-west-1) | supabase.com/privacy |
| Anthropic (Claude API) | Zasila trenera AI "Veli" | USA | anthropic.com/legal/privacy |
| Strava | Dostawca historii biegów (tylko po połączeniu) | USA | strava.com/legal/privacy |
| Apple HealthKit | Źródło danych zdrowotnych/fitness na urządzeniu (tylko po Twojej zgodzie); dane pozostają pod uprawnieniami Apple Health | Na urządzeniu (Apple) | apple.com/legal/privacy |
| Google Health Connect | Źródło danych zdrowotnych/fitness na urządzeniu z Androidem (tylko po Twojej zgodzie); wyłącznie do odczytu, pozostają pod uprawnieniami Health Connect | Na urządzeniu (Google) | policies.google.com/privacy |
| Google AdMob | Reklamy - wyświetlanie reklam w wersji darmowej | USA | policies.google.com/privacy |
| RevenueCat | Zarządzanie subskrypcjami i weryfikacja paragonów | USA | revenuecat.com/privacy |
| Resend | Dostarczanie e-maili transakcyjnych (np. reset hasła) | USA / UE | resend.com/legal/privacy-policy |
| OpenWeatherMap | Dostarcza prognozy pogody dla funkcji warunków biegowych | Globalnie | openweather.co.uk/privacy-policy |
| Expo (powiadomienia push) | Dostarcza powiadomienia push systemu na Twoje urządzenie | USA | expo.dev/privacy |
| Apple / Google (dystrybucja aplikacji + powiadomienia push systemu) | Dostarczanie aplikacji i powiadomień na poziomie systemu | Globalnie | Standardowe polityki Apple / Google |
W przypadku transferów poza Europejski Obszar Gospodarczy (EOG) opieramy się na Standardowych klauzulach umownych Komisji Europejskiej lub równoważnym mechanizmie transferu. Przekazujemy każdemu podmiotowi podprzetwarzającemu wyłącznie dane niezbędne do jego konkretnego zadania (minimalizacja danych).
Uwaga dotycząca AI: gdy rozmawiasz z Veli, treść rozmowy - w tym podsumowanie Twoich danych biegowych - jest przesyłana do Anthropic w celu przetworzenia. Zgodnie z warunkami API Anthropic nie trenuje swoich modeli na Twoich danych.
6. Okres przechowywania danych
| Dane | Okres przechowywania |
|---|---|
| Dane konta | Do momentu usunięcia konta |
| Profil + historia biegów | Do momentu usunięcia konta lub poszczególnych wpisów |
| Rozmowy z AI | Do momentu usunięcia ich przez "Zapomnij" w czacie lub do usunięcia konta |
| Codzienne odprawy | Do momentu usunięcia konta |
| Tokeny odświeżające Strava | Usuwane po odłączeniu Stravy lub usunięciu konta; token cofamy także w Stravie |
| Biegi zaimportowane ze Stravy | Usuwane po odłączeniu Stravy lub usunięciu konta |
| Status subskrypcji (przez RevenueCat) | Przez czas trwania subskrypcji oraz tak długo, jak wymagane jest to do weryfikacji paragonów i rozliczeń |
| Logi awarii | 30 dni, następnie usuwane |
| Kopie zapasowe bazy danych | Do 30 dni, następnie nadpisywane |
Gdy usuniesz konto, usuwamy Twoje dane osobowe w ciągu 30 dni, z wyjątkiem przypadków, gdy jesteśmy prawnie zobowiązani do przechowywania dokumentacji (np. księgowość). Zanonimizowane, zagregowane statystyki mogą pozostać.
7. Twoje prawa (art. 12-23 RODO)
Masz prawo do:
- Dostępu do danych osobowych, które o Tobie przechowujemy.
- Sprostowania danych, które są nieprawidłowe lub nieaktualne.
- Usunięcia ("prawo do bycia zapomnianym") swoich danych - zob. §8.
- Ograniczenia przetwarzania, gdy badamy daną sprawę.
- Przenoszenia danych - żądania udostępnienia Twoich danych w formacie nadającym się do odczytu maszynowego.
- Sprzeciwu wobec przetwarzania opartego na prawnie uzasadnionym interesie.
- Wycofania zgody w dowolnym momencie w przypadku przetwarzania opartego na zgodzie (np. odłączenie Stravy, cofnięcie dostępu do HealthKit, wycofanie zgody na reklamy, wyłączenie powiadomień).
- Wniesienia skargi do organu nadzorczego - w Polsce jest to Prezes Urzędu Ochrony Danych Osobowych (UODO, uodo.gov.pl).
Aby skorzystać z któregokolwiek z tych praw, napisz na adres velapp.contact@gmail.com. Odpowiadamy w ciągu 30 dni.
8. Jak usunąć swoje dane
- W aplikacji: Profil → Konto → "Usuń konto". Powoduje to usunięcie Twojego konta, profilu, biegów, rozmów z AI oraz tokenów powiadomień.
- E-mailem: wyślij prośbę na velapp.contact@gmail.com z tematem "Usuń moje konto". Weryfikujemy prośbę i usuwamy dane w ciągu 30 dni.
Możesz również w dowolnym momencie usunąć poszczególne elementy:
- Odłącz Stravę (Profil → Połączone konta) - cofamy nasz dostęp w Stravie (deautoryzacja) i usuwamy biegi zaimportowane ze Stravy.
- Usuń poszczególne biegi z historii aktywności.
- Usuń poszczególne notatki trenerskie ("Veli, zapomnij że…").
9. Dzieci
Aplikacja nie jest skierowana do dzieci poniżej 16 roku życia. Jeśli masz mniej niż 16 lat, prosimy nie rejestrować się. Jeśli dowiemy się, że zebraliśmy dane od osoby poniżej 16 roku życia bez zweryfikowanej zgody rodzica, usuwamy je. W niektórych jurysdykcjach minimalny wiek może wynosić 13 lat; zawsze obowiązuje wyższy lokalny limit wieku.
10. Bezpieczeństwo
Chronimy Twoje dane za pomocą:
- TLS 1.2+ dla każdego połączenia z naszymi serwerami.
- Row-Level Security w Postgresie, dzięki czemu żaden użytkownik nie może odczytać danych innego użytkownika, nawet jeśli w kodzie naszej aplikacji wystąpi błąd.
- Zahaszowanych haseł (bcrypt lub odpowiednik) - nigdy nie przechowujemy haseł w postaci jawnej i nie możemy ich odzyskać; w razie zapomnienia resetujesz je za pośrednictwem e-maila.
- Sekretów po stronie serwera (sekret klienta Strava, klucz API Anthropic, rola serwisowa Supabase) przechowywanych wyłącznie w zmiennych środowiskowych Supabase Edge Functions, nigdy w pliku binarnym aplikacji mobilnej.
- Rejestrowanego dostępu dla naszych działań administracyjnych.
Żaden system nie jest idealnie bezpieczny. Jeśli wykryjemy naruszenie ochrony danych osobowych, które może powodować ryzyko dla Twoich praw, powiadomimy Ciebie i organ nadzorczy w ciągu 72 godzin, zgodnie z wymogami art. 33-34 RODO.
11. Dane związane ze zdrowiem - szczególna kategoria
Część przetwarzanych przez nas danych (tętno, obciążenie treningowe, notatki o regeneracji) jest powiązana ze zdrowiem. Nie uznajemy ich za wrażliwą "kategorię danych osobowych" w rozumieniu art. 9 RODO, ponieważ nie ujawniają one konkretnego stanu medycznego - mimo to traktujemy je z taką samą starannością. Veli wyraźnie odmawia diagnozowania kontuzji lub zalecania leków i zawsze kieruje użytkowników do specjalisty w sprawach medycznych.
12. Pliki cookie i podobne technologie
Aplikacja mobilna nie używa plików cookie HTTP. Korzystamy z lokalnej pamięci na urządzeniu (AsyncStorage na iOS/Android), aby zapamiętać Twoją preferencję językową, Twoją sesję uwierzytelniania oraz Twoją ostatnio znaną lokalizację dla pogody. W wersji darmowej Aplikacja osadza SDK Google AdMob, który może wykorzystywać identyfikator reklamowy do wyświetlania reklam, z zastrzeżeniem Twojej zgody (App Tracking Transparency firmy Apple na iOS oraz formularz zgody UMP firmy Google w EOG/Wielkiej Brytanii). Subskrybenci Pro (płatni) nie widzą reklam i nie jest dla nich wykorzystywany żaden identyfikator SDK reklamowego.
13. Transfery międzynarodowe
Niektóre podmioty podprzetwarzające (Anthropic, Strava, Google AdMob, RevenueCat, Resend, Expo) znajdują się poza EOG. Opieramy się na:
- Standardowych klauzulach umownych (SCC) Komisji Europejskiej lub
- Decyzji stwierdzającej odpowiedni stopień ochrony dla danego dostawcy, gdy ma to zastosowanie, lub
- Twojej wyraźnej zgodzie na każdy transfer nieobjęty powyższymi.
Możesz zażądać kopii odpowiednich SCC, pisząc do nas.
14. Zmiany w niniejszej polityce
Gdy istotnie zmieniamy tę politykę:
- Aktualizujemy datę "Ostatnia aktualizacja" na górze.
- Wyświetlamy powiadomienie w aplikacji przy pierwszym otwarciu Aplikacji po zmianie.
- W przypadku zmian dotyczących podstawy prawnej lub podmiotów podprzetwarzających prosimy o ponowne potwierdzenie zgody.
Dalsze korzystanie z Aplikacji po istotnej zmianie oznacza akceptację nowej polityki. Jeśli jej nie akceptujesz, usuń swoje konto.
15. Kontakt
W sprawie wszelkich pytań dotyczących prywatności, żądań związanych z RODO lub zgłoszeń naruszeń:
E-mail: velapp.contact@gmail.com NIP: 5080100981
Jeśli nie rozwiążemy Twojej sprawy, możesz wnieść skargę do Prezesa UODO (Urząd Ochrony Danych Osobowych), ul. Stawki 2, 00-193 Warszawa, Polska - lub do organu nadzorczego w Twoim państwie członkowskim UE.