Polityka Prywatności

1. Kim jesteśmy

Velog ("Velog", "my", "nasz") to serwis do śledzenia aktywności kolarskich i zarządzania sprzętem, dostępny pod adresem velog.cc. Niniejsza Polityka Prywatności wyjaśnia, jak przetwarzamy dane osobowe podczas korzystania z Velog, w tym dane pozyskiwane z API stron trzecich, takich jak Strava oraz (w przyszłości) Garmin.

Administrator danych: Tarpes, Polska.

Kontakt w sprawach prywatności: robert@velog.cc

Organ nadzorczy (UE): Prezes Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00‑193 Warszawa, Polska,https://uodo.gov.pl.

2. Jakie dane zbieramy

2.1. Dane konta

  • Adres e‑mail
  • Hasło (przechowywane w formie zaszyfrowanej)
  • Nazwa wyświetlana i dane profilu (opcjonalnie)

2.2. Dane z integracji (Strava; Garmin po włączeniu)

  • Identyfikatory i tokeny OAuth (token dostępu/odświeżania)
  • Identyfikator konta strony trzeciej (np. Strava Athlete ID)
  • Dane aktywności pobierane po Twojej wyraźnej zgodzie (np. ID aktywności, typ, data/godzina, dystans, czas trwania, tempo/prędkość, przewyższenia, metadane dotyczące roweru/sprzętu). Nie żądamy szerszego zakresu uprawnień niż konieczny do działania funkcji Velog i nie przetwarzamy surowych śladów lokalizacji, o ile nie są one niezbędne do konkretnej funkcji, którą samodzielnie włączysz.

2.3. Dane wprowadzane przez użytkownika

  • Rowery i komponenty (nazwy, typy, parametry, limity wymiany)
  • Notatki i inne treści, które sam wprowadzasz

2.4. Dane techniczne i eksploatacyjne

  • Adres IP, informacje o urządzeniu i przeglądarce
  • Logi serwera i aplikacji; logi kolejek/workerów
  • Dzienniki błędów i metryki wydajności (z minimalizacją danych osobowych)

Kategorie szczególne: Dane o aktywności/zdrowiu mogą stanowić szczególną kategorię danych osobowych w rozumieniu RODO. Takie dane przetwarzamy wyłącznie na podstawie Twojej wyraźnej zgody, którą możesz w każdej chwili wycofać (zob. pkt 7 i 8).

3. Cele i podstawy prawne przetwarzania

  • Świadczenie i obsługa usługi (logowanie, synchronizacja aktywności, zarządzanie rowerami/komponentami, powiadomienia) — podstawa: art. 6 ust. 1 lit. b RODO (niezbędne do wykonania umowy).
  • Integracje ze Strava (i Garmin po włączeniu): pobieranie i przetwarzanie danych aktywności wyłącznie w celu realizacji funkcji, o które prosisz — podstawa: art. 6 ust. 1 lit. a (zgoda); dla danych szczególnych art. 9 ust. 2 lit. a (wyraźna zgoda).
  • Bezpieczeństwo, zapobieganie nadużyciom, niezawodność (rate limiting, logowanie, kopie zapasowe) — art. 6 ust. 1 lit. f (uzasadniony interes).
  • Monitorowanie błędów i debugowanie (np. Sentry) — art. 6 ust. 1 lit. f (uzasadniony interes) z minimalizacją i maskowaniem danych.
  • Wypełnianie obowiązków prawnych — art. 6 ust. 1 lit. c.

Gdy podstawą jest zgoda, możesz ją wycofać w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem.

4. Skąd mamy dane

  • Bezpośrednio od Ciebie (zakładanie konta, korzystanie z serwisu).
  • Z API stron trzecich (np. Strava, Garmin) wyłącznie po autoryzacji (OAuth).
  • Automatycznie z Twojego urządzenia (dane techniczne) podczas korzystania z serwisu.

5. Odbiorcy i podmioty przetwarzające

Przetwarzają dane na nasze zlecenie na podstawie umów powierzenia i przy zachowaniu odpowiednich zabezpieczeń:

  • Hosting i baza danych: ovh, w tym przechowywanie PostgreSQL i kopie zapasowe.

Nie sprzedajemy danych osobowych ani nie udostępniamy ich reklamodawcom.

Transfery międzynarodowe: Jeżeli przekazujemy dane poza EOG/UK, stosujemy odpowiednie zabezpieczenia (np. standardowe klauzule umowne, decyzje stwierdzające odpowiedni poziom ochrony). Szczegóły dostępne na żądanie.

6. Okresy przechowywania

  • Dane konta: przez czas aktywności konta oraz do 30 dni po jego usunięciu (cele operacyjne), o ile przepisy nie wymagają dłużej.
  • Tokeny OAuth: usuwane niezwłocznie po odłączeniu integracji lub usunięciu konta.
  • Dane aktywności i dane o sprzęcie/komponentach: do czasu ich usunięcia przez Ciebie, odłączenia integracji lub usunięcia konta.
  • Logi serwera/aplikacji: zwykle do 90 dni.
  • Kopie zapasowe: zwykle do 30 dni w trybie rotacyjnym.

Możemy przechowywać minimalne informacje w celu wykazania zgodności lub obsługi roszczeń, jeśli wymagają tego przepisy.

7. Twoje prawa (RODO)

Masz prawo: dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia danych oraz sprzeciwu (tam, gdzie ma zastosowanie). Jeśli podstawą jest zgoda, możesz ją wycofać w dowolnym momencie.

Aby skorzystać z praw, napisz do nas: robert@velog.cc. Odpowiemy nie później niż w ciągu miesiąca i możemy poprosić o potwierdzenie tożsamości. Masz też prawo złożyć skargę do UODO.

8. Zgoda i odwołanie (Strava/Garmin)

  • Dostęp do danych Strava/Garmin przyznajesz przez ekrany OAuth z przedstawionym zakresem uprawnień.
  • Odwołanie dostępu:
    • W Velog: odłącz integrację (usuwa tokeny i zatrzymuje synchronizację) — możesz też usunąć zaimportowane aktywności.
    • W koncie Strava/Garmin: cofnij dostęp aplikacji Velog.
  • Po odwołaniu zgody nie przetwarzamy nowych danych. Usunięcia danych historycznych możesz żądać w aplikacji lub przez e‑mail.

9. Bezpieczeństwo

Stosujemy adekwatne środki techniczne i organizacyjne: HTTPS/TLS w transmisji, hasła haszowane, zasada najmniejszych uprawnień, bezpieczne zarządzanie sekretami, kontrola dostępu, izolacja kolejek, regularne aktualizacje i kopie zapasowe, monitoring i alerty, a także procedury reagowania na incydenty. W razie naruszenia, które może powodować ryzyko dla Twoich praw, powiadomimy Cię i organ nadzorczy, gdy wymagają tego przepisy.

10. Dzieci

Serwis nie jest kierowany do dzieci poniżej 16. roku życia i nie przetwarzamy świadomie ich danych. Jeśli uważasz, że dziecko przekazało nam dane, skontaktuj się z nami w celu ich usunięcia.

11. Zmiany Polityki

Możemy aktualizować Politykę. Nową wersję opublikujemy z aktualną datą wejścia w życie; o istotnych zmianach poinformujemy w aplikacji lub e‑mailem.

12. Kontakt

13. Pliki cookies i podobne technologie

W Velog używamy plików cookies oraz podobnych technologii (np. localStorage), aby zapewnić działanie niezbędnych funkcji serwisu (logowanie, bezpieczeństwo, podstawowe ustawienia). Dodatkowo — wyłącznie za Twoją zgodą — korzystamy z narzędzi analitycznych Google Analytics 4 w celu lepszego zrozumienia sposobu korzystania z serwisu i ulepszania produktu.

13.1. Kategorie

  • Niezbędne — wymagane do prawidłowego działania serwisu (uwierzytelnianie, utrzymanie sesji, bezpieczeństwo). Te pliki są aktywne zawsze i nie wymagają zgody.
  • Analityczne (opcjonalne) — Google Analytics 4. Włączane tylko, jeśli wyrazisz na nie zgodę w banerze cookies.

13.2. Zgoda, personalizacja i jej wycofanie

Przy pierwszej wizycie wyświetlamy baner cookies z przyciskami: Akceptuję, Spersonalizuj oraz Odmowa. W opcji Spersonalizuj możesz włączyć lub wyłączyć wyłącznie kategorię Analityczne. Kategoria Niezbędne jest zawsze aktywna i nie podlega zmianie. Swoją decyzję możesz w każdej chwili zmienić, klikając link „Ustawienia cookies” w stopce serwisu — otworzy się panel personalizacji i będziesz mógł/mogła Zaakceptować zmianę.

13.3. Consent Mode

Stosujemy Google Consent Mode v2. Domyślnie ustawiamy tryb denied dla analityki — zanim wyrazisz zgodę, żadne analityczne dane nie są zapisywane w sposób umożliwiający identyfikację w ciasteczkach. Po akceptacji przełączamy ustawienie na granted, a GA4 rejestruje wizyty i zdarzenia. Zmiana decyzji w „Ustawieniach cookies” jest natychmiast respektowana.

13.4. Informacje dodatkowe

  • Możesz również zarządzać cookies w ustawieniach swojej przeglądarki (blokowanie, usuwanie).
  • Więcej o GA4 i prywatności znajdziesz w polityce prywatności Google oraz dokumentacji Google Analytics.