Polityka prywatności

Polityka Prywatności

Wersja 1.0Obowiązuje od 21.04.2026

1. Administrator danych

Administratorem Twoich danych osobowych jest:

Grzegorz Walencik
Adres do korespondencji: Tuwima 2/5, 82-300 Elbląg, Polska
E-mail: kontakt@ultrasoul.pl
Strona: https://ultrasoul.pl

Projekt UltraSoulAI prowadzony jest w formie indywidualnej. Nie wyznaczyliśmy formalnego Inspektora Ochrony Danych (IOD), ponieważ skala przetwarzania nie wymaga tego zgodnie z art. 37 RODO. Wszelkie sprawy dotyczące ochrony danych kieruj bezpośrednio na kontakt@ultrasoul.pl — odpowiadamy w terminie do 30 dni.

2. Jakie dane zbieramy

2.1 Dane podane bezpośrednio przez użytkownika

KategoriaPrzykładyPodstawa prawna
Dane z formularzy analizyTyp wyścigu, dystans, czas, objawy fizyczne, plan żywieniowy, waga, płeć, wiekArt. 6 ust. 1 lit. b RODO (wykonanie umowy) + art. 9 ust. 2 lit. a RODO (wyraźna zgoda dla danych zdrowotnych)
Adres e-mailPodany przy zapisie na follow-up lub newsletterArt. 6 ust. 1 lit. a RODO (zgoda)
Kontekst żywieniowyCo jadłeś przed treningiem, ilość żeli, elektrolity, suplementyArt. 6 ust. 1 lit. b RODO + art. 9 ust. 2 lit. a RODO

2.2 Dane z integracji sportowych

ŹródłoRodzaj danychCzego NIE przechowujemy
StravaTętno (HR), tempo, wysokość, kadencja, czas trwania, dystans, temperatura (jeśli dostępna)Współrzędne GPS nie są zapisywane
Garmin Connect (integracja w fazie wdrożenia)Po uruchomieniu: tętno, tempo, wysokość, kadencja, HRV, Body Battery, stress score, podsumowania dzienneWspółrzędne GPS nie będą zapisywane

Uwaga dotycząca GPS:
Współrzędne GPS są odbierane od Stravy (i w przyszłości Garmin Connect) w trakcie pobierania danych aktywności, ale nie są zapisywane w naszej bazie danych. Przechowujemy wyłącznie zagregowane strumienie numeryczne (tętno, tempo, wysokość, kadencja, dystans) w formacie JSONB. Nie przechowujemy również surowych plików FIT/GPX.

2.3 Dane dotyczące zdrowia (art. 9 RODO)

Niektóre dane mogą być uznane za „dane dotyczące zdrowia” w rozumieniu art. 9 ust. 1 RODO:

  • Tętno (HR), zmienność rytmu serca (HRV), Body Battery
  • Objawy fizyczne zgłaszane w formularzu (mdłości, skurcze, wymioty, zawroty głowy)
  • Dane biometryczne: waga, płeć, wiek

Dane te są przetwarzane wyłącznie na podstawie Twojej wyraźnej zgody (art. 9 ust. 2 lit. a RODO), udzielanej przez aktywne zaznaczenie checkboxa przed rozpoczęciem analizy. Dane te są używane wyłącznie w celu generowania analizy i nie są udostępniane stronom trzecim poza podmiotami z sekcji 5.

2.4 Dane zbierane automatycznie

DaneCelPodstawa prawna
Adres IPOchrona przed nadużyciami (rate limiting)Art. 6 ust. 1 lit. f (uzasadniony interes)
Typ urządzenia i przeglądarkiZapewnienie poprawnego działania aplikacjiArt. 6 ust. 1 lit. f (uzasadniony interes)

Nie używamy plików cookie śledzących, pikseli reklamowych ani narzędzi analitycznych firm trzecich.

3. Cel i podstawa przetwarzania danych

CelPodstawa prawnaOkres przechowywania
Analiza AI żywienia sportowegoArt. 6 ust. 1 lit. b (wykonanie umowy) + art. 9 ust. 2 lit. a (wyraźna zgoda)Do usunięcia konta lub cofnięcia zgody
Personalizacja rekomendacji suplementówArt. 6 ust. 1 lit. b (wykonanie umowy)Do usunięcia konta
Wysyłka e-maili follow-upArt. 6 ust. 1 lit. a (zgoda)Do wypisania się (link w każdym mailu)
Integracja Strava / Garmin ConnectArt. 6 ust. 1 lit. b (wykonanie umowy)Do odłączenia integracji
Ochrona przed nadużyciamiArt. 6 ust. 1 lit. f (uzasadniony interes)30 dni

4. Przetwarzanie przez AI (sztuczną inteligencję)

Dane z formularzy i integracji sportowych są przetwarzane przez model AI Claude (dostawca: Anthropic, PBC) w celu wygenerowania analizy żywieniowej.

Jak to działa:

  • Twoje dane są przesyłane do API Anthropic jako kontekst zapytania dla modelu AI
  • Model generuje analizę, która jest zwracana do aplikacji i zapisywana w bazie danych UltraSoulAI
  • Używamy komercyjnego Claude API — zgodnie z polityką Anthropic obowiązującą od 14 września 2025 r., dane z API są przechowywane przez Anthropic maksymalnie 7 dni, a następnie automatycznie usuwane
  • Dane przesyłane do Claude API nie są używane do trenowania modeli AI — jest to odrębny reżim od konsumenckich produktów Anthropic (Claude.ai), które mają inną politykę

Podstawa prawna: Art. 6 ust. 1 lit. b RODO (wykonanie umowy — analiza jest istotą usługi) + art. 9 ust. 2 lit. a RODO (wyraźna zgoda dla danych zdrowotnych).

5. Odbiorcy danych (podmioty przetwarzające)

OdbiorcaRolaLokalizacjaGwarancje prawne
Anthropic, PBCPrzetwarzanie AI (Claude API)USACommercial API Terms + SCC. Retencja 7 dni, brak użycia do trenowania modeli.
Supabase, Inc.Hosting bazy danych (PostgreSQL)Frankfurt, Niemcy (eu-central-1)RODO-compliant, dane w UE
Vercel, Inc.Hosting aplikacji webowejGlobal CDN, dane w UESOC 2 Type II, DPA + SCC
Railway Corp.Hosting backendu APIUSA / UEStandard Contractual Clauses
Resend, Inc.Wysyłka e-maili transakcyjnychUSAEU-US Data Privacy Framework + SCC
Strava, Inc.Dostawca danych sportowychUSAAutoryzacja OAuth2, dane pobierane na żądanie użytkownika
Garmin Ltd.Dostawca danych sportowych (Garmin Connect)USA / globalnieOAuth2 zgodnie z Garmin Connect Developer Program
Google Ireland Ltd.Obsługa poczty firmowejUERODO-compliant, dane w UE

Nie udostępniamy danych: agencjom reklamowym, brokerom danych, platformom social media ani żadnym podmiotom trzecim w celach komercyjnych.

5.1 Twoje dane a Garmin Connect

Jeśli łączysz konto Garmin Connect z UltraSoulAI (po uruchomieniu integracji):

  • Autoryzacja przez OAuth2 oznacza przekazanie wybranych danych z Twojego konta Garmin do UltraSoulAI
  • Po przekazaniu danych ich przetwarzanie podlega wyłącznie niniejszej Polityce Prywatności UltraSoulAI — nie polityce Garmin
  • Garmin nie ponosi odpowiedzialności za przetwarzanie danych przez UltraSoulAI po ich przekazaniu
  • W każdej chwili możesz odłączyć integrację w aplikacji lub pisząc na kontakt@ultrasoul.pl
  • Odłączenie skutkuje natychmiastowym usunięciem tokenów autoryzacyjnych i zsynchronizowanych danych z Garmin Connect

6. Transfer danych poza EOG

Niektóre dane mogą być transferowane do USA (Anthropic, Resend, Railway, Vercel) na podstawie:

  • Decyzji adekwatności Komisji Europejskiej w ramach EU-US Data Privacy Framework
  • Standardowych Klauzul Umownych (SCC) zgodnych z decyzją 2021/914
  • Środków technicznych: szyfrowanie AES-256 w spoczynku, TLS 1.3 w transmisji

7. Bezpieczeństwo danych

ŚrodekOpis
Szyfrowanie tokenówTokeny OAuth (Strava, Garmin) szyfrowane AES-256
Szyfrowanie transmisjiHTTPS / TLS 1.3
Autoryzacja użytkownikaJWT Bearer tokens (HS256)
Rate limitingLimity zapytań globalnie + na endpointach AI
Izolacja danychKażdy użytkownik ma dostęp wyłącznie do swoich danych (JWT user_id)
Brak GPSWspółrzędne geograficzne nie są zapisywane w bazie danych
Brak surowych plikówPliki FIT/GPX parsowane w RAM, usuwane po przetworzeniu

8. Twoje prawa (art. 15–22 RODO)

Przysługuje Ci prawo do:

  1. Dostępu do swoich danych (art. 15)
  2. Sprostowania danych (art. 16)
  3. Usunięcia danych (art. 17, „prawo do bycia zapomnianym”)
  4. Ograniczenia przetwarzania (art. 18)
  5. Przenoszenia danych w formacie JSON (art. 20)
  6. Sprzeciwu wobec przetwarzania (art. 21)
  7. Cofnięcia zgody w dowolnym momencie (art. 7 ust. 3)

Jak skorzystać z praw

  • E-mail: kontakt@ultrasoul.pl
  • W aplikacji: odłączenie integracji Strava/Garmin natychmiast usuwa tokeny + zsynchronizowane dane
  • Wypisanie z e-maili: link „Wypisz się” w stopce każdego maila

Odpowiadamy na żądania w ciągu 30 dni (art. 12 ust. 3 RODO).

9. Prawo do wniesienia skargi

Skarga do organu nadzorczego: Prezes Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

10. Pliki cookie

Aplikacja mobilna UltraSoulAI nie używa plików cookie.

Wersja webowa (ultrasoul.pl) używa wyłącznie plików cookie niezbędnych do działania serwisu:

CookieTypCelCzas życia
SesyjneNiezbędneUtrzymanie sesji użytkownikaDo zamknięcia przeglądarki
usai_cookie_consentNiezbędneZapamiętanie wyboru dotyczącego cookies12 miesięcy (localStorage)

Nie używamy: cookie analitycznych, reklamowych, śledzących, pikseli remarketingowych ani narzędzi firm trzecich (Google Analytics, Meta Pixel itp.).

11. Dane osób niepełnoletnich

UltraSoulAI jest kierowane do osób pełnoletnich (18+). Powód: analiza żywieniowa może sugerować strategie suplementacji, kaloryczność i intensywność wysiłku, które wymagają dojrzałej oceny zdrowotnej i pełnej zdolności do czynności prawnych.

Nie zbieramy świadomie danych osób poniżej 18 r.ż. Jeśli dowiesz się, że osoba niepełnoletnia podała nam dane, prosimy o kontakt — usuniemy je niezwłocznie.

12. Zmiany w polityce prywatności

O istotnych zmianach poinformujemy:

  • Komunikatem w aplikacji
  • E-mailem (jeśli podałeś adres)

Zmiana treści polityki nie zmienia jej adresu URL (ultrasoul.pl/polityka-prywatnosci) — w razie technicznej potrzeby zmiany adresu zastosujemy przekierowanie 301.

13. Kontakt

E-mail: kontakt@ultrasoul.pl
Strona: ultrasoul.pl

Niniejsza polityka obowiązuje od dnia 21.04.2026 i jest dostępna pod stabilnym adresem ultrasoul.pl/polityka-prywatnosci.

© 2026 UltraSoul · Polityka prywatności · Regulamin