Klubownik.pl
ZalogujZałóż klub gratis

Polityka Prywatności Klubownik

v1.0Gate 2 · pierwsza płatność
Data wejścia w życie
18 kwietnia 2026
Okres karencji re-akceptacji
30 dni
Hash SHA-256 treści
faf02039740c8043f92553dfd4c71b26684b679ae644af21ebb7f9e0174741cf

Hash wyliczany automatycznie przy publikacji z znormalizowanej treści (strip BOM, CRLF→LF, trim trailing whitespace). Ten sam hash jest zapisywany w każdej akceptacji jako dowód integralności wersji.

Zaakceptowałeś ten dokument? Zobacz historię akceptacji w panelu konta.

Polityka Prywatności Klubownik

Administrator danych

Administratorem Twoich danych osobowych w zakresie opisanym w niniejszej Polityce jest Michał Szymanowski prowadzący działalność gospodarczą pod firmą Klubownik (dalej: "Administrator" lub "Klubownik").

Dane rejestrowe Administratora:

  • Imię i nazwisko: Michał Szymanowski
  • Firma (nazwa działalności): Klubownik
  • Forma prawna: jednoosobowa działalność gospodarcza wpisana do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG)
  • Adres prowadzenia działalności: ul. Chodzieska 29, 64-920 Piła
  • NIP: 8942712124
  • REGON: 388795740

Kontakt z Administratorem:

  • E-mail: kontakt@klubownik.pl
  • Telefon: +48 691 409 400
  • Adres korespondencyjny: Klubownik – Michał Szymanowski, ul. Chodzieska 29, 64-920 Piła

Kontakt w sprawach ochrony danych osobowych. Administrator nie wyznaczył formalnie Inspektora Ochrony Danych (IOD) w rozumieniu art. 37 RODO, ponieważ aktualna skala i charakter przetwarzania nie rodzą takiego obowiązku. We wszystkich sprawach dotyczących przetwarzania danych osobowych oraz korzystania z praw związanych z przetwarzaniem możesz kontaktować się z Administratorem pod następującymi danymi:

  • E-mail: iod@klubownik.pl (dedykowany adres do spraw ochrony danych)
  • E-mail ogólny: kontakt@klubownik.pl
  • Adres korespondencyjny: Klubownik – Michał Szymanowski, ul. Chodzieska 29, 64-920 Piła (z dopiskiem „Ochrona danych osobowych")

Podział ról RODO (WAŻNE). Serwis Klubownik obsługuje dwa rodzaje relacji z osobami, których dane dotyczą:

  1. Klubownik jako Administrator (B2B) – w zakresie danych osób korzystających z platformy jako klienci biznesowi (właściciele kont klubów, osoby kontaktowe, dane fakturowe, dane logowania do panelu, dane z formularzy na stronie klubownik.pl).
  2. Klubownik jako Podmiot Przetwarzający (procesor) – w zakresie danych Uczestników, Opiekunów i Kadry poszczególnych Klubów, wprowadzonych do Serwisu przez Administratorów Klubów. W tych przypadkach administratorem jest Klub (klient platformy), a Klubownik działa na jego zlecenie na podstawie art. 28 RODO (Umowa Powierzenia Przetwarzania Danych dostępna pod adresem https://www.klubownik.pl/dpa).

Osoby, których dane zostały wprowadzone do Serwisu przez Klub (Uczestnicy, Opiekunowie, Kadra), w celu realizacji praw z art. 15–22 RODO powinny kontaktować się w pierwszej kolejności z Klubem jako Administratorem. Klubownik wspiera Klub technicznie (funkcja eksportu danych w panelu, funkcja anonimizacji na żądanie).

Jakie dane zbieramy

Zakres przetwarzanych danych zależy od Twojej roli w Serwisie. Zbieramy wyłącznie dane niezbędne do realizacji celu (zasada minimalizacji, art. 5 ust. 1 lit. c RODO).

Dane Użytkowników platformy (klientów B2B, subskrybentów):

  • Dane identyfikacyjne: imię, nazwisko, adres e-mail, numer telefonu
  • Dane do faktury: nazwa firmy, NIP, REGON, adres (KRS – w przypadku spółek prawa handlowego), osoby reprezentujące
  • Dane konta: login, skrót hasła (bcrypt/scrypt), preferencje językowe, role, 2FA
  • Dane techniczne: adres IP, identyfikator urządzenia, typ przeglądarki, system operacyjny, logi logowań, działań w panelu
  • Dane marketingowe (wyłącznie za zgodą): zgody na newsletter, wyniki ankiet, dane z formularzy kontaktowych

Dane powierzane przez Kluby (przetwarzane przez nas jako procesor):

  • Uczestnicy: imię, nazwisko, data urodzenia, adres, numer telefonu, e-mail, status uczestnictwa, historia obecności, składki, zdjęcie profilowe (opcjonalnie)
  • Opiekunowie/Rodzice: imię, nazwisko, e-mail, telefon, powiązanie z Uczestnikiem, oznaczenie kontaktu alarmowego, uprawnienie do odbioru dziecka
  • Kadra Klubu (trenerzy, instruktorzy): imię, nazwisko, e-mail, telefon, dyscypliny, kwalifikacje (jeżeli Klub wprowadzi)
  • Dane zdrowotne (art. 9 RODO) – szczególne kategorie: informacje o alergiach, chorobach przewlekłych, przyjmowanych lekach, ograniczeniach ruchowych, urazach – jeżeli Klub zdecyduje się je zbierać dla celów bezpieczeństwa zajęć. Podstawą przetwarzania tych danych jest wyraźna zgoda osoby, której dane dotyczą / jej Opiekuna (art. 9 ust. 2 lit. a RODO) lub ochrona żywotnych interesów (art. 9 ust. 2 lit. c RODO – sytuacje awaryjne). Administratorem tych danych jest Klub.
  • Wizerunek: zdjęcia z zajęć, zawodów, wydarzeń – przetwarzane na podstawie zgody (art. 81 ustawy o prawie autorskim i prawach pokrewnych; art. 6 ust. 1 lit. a RODO) lub uzasadnionego interesu (np. dokumentacja wydarzeń). Administratorem jest Klub.
  • Dane z płatności: kwota, data, status, metoda, identyfikator transakcji, tokeny płatności (Klubownik nie przechowuje pełnych numerów kart – tokenizacja przez Stripe)
  • Dane z incydentów bezpieczeństwa małoletnich (Ustawa Kamilka): opis zdarzenia, data, osoby zaangażowane – przechowywane w module "minor_protection_incidents"

Dane wynikające z integracji (opcjonalne):

  • Meta Leads (Facebook Lead Ads): dane z formularzy rekrutacyjnych FB przekazywane do Serwisu przez Meta
  • OAuth (logowanie Google/Facebook): e-mail, imię, zdjęcie profilowe – wyłącznie w zakresie autoryzacji
  • Stripe Connect (dla Klubów): dane finansowe, KYC – administrowane niezależnie przez Stripe
  • KSeF (faktury): dane do wystawienia e-faktur w systemie Krajowego Systemu e-Faktur

Źródło danych. Większość danych otrzymujemy bezpośrednio od osoby, której dane dotyczą, lub od upoważnionego Klubu (w przypadku danych Uczestników/Opiekunów – od Klubu, który z kolei zebrał je od samej osoby lub Opiekuna w trakcie zapisu do Klubu). Dane z Meta Leads pochodzą od Meta Platforms, Ltd. na podstawie zgody wyrażonej przez osobę w formularzu FB.

Cele przetwarzania

Przetwarzamy dane osobowe w następujących celach:

  1. Zawarcie i wykonanie Umowy o świadczenie usług – obsługa Konta, dostęp do panelu, realizacja subskrypcji (art. 6 ust. 1 lit. b RODO);
  2. Obsługa płatności i rozliczeń – przyjmowanie płatności, wystawianie faktur, księgowość (art. 6 ust. 1 lit. b i c RODO);
  3. Komunikacja – odpowiadanie na zapytania, wysyłanie powiadomień operacyjnych (potwierdzenia, alerty bezpieczeństwa) (art. 6 ust. 1 lit. b i f RODO);
  4. Bezpieczeństwo Serwisu – ochrona przed nadużyciami, atakami, oszustwami, monitorowanie działań w panelu (art. 6 ust. 1 lit. f RODO – prawnie uzasadniony interes Administratora w zapewnieniu bezpieczeństwa użytkowników i integralności usługi);
  5. Obsługa reklamacji, dochodzenie i obrona przed roszczeniami (art. 6 ust. 1 lit. b, c i f RODO);
  6. Wypełnienie obowiązków prawnych – m.in. obowiązki księgowe, podatkowe, wynikające z RODO, DSA, Ustawy Kamilka (art. 6 ust. 1 lit. c RODO);
  7. Marketing bezpośredni własnych usług – wyłącznie za zgodą wyrażoną przez Użytkownika (art. 6 ust. 1 lit. a RODO; art. 10 u.ś.u.d.e.; art. 172 Prawa telekomunikacyjnego);
  8. Analityka i rozwój produktu – agregowane statystyki użycia, bez identyfikacji konkretnych osób (art. 6 ust. 1 lit. f RODO);
  9. Obsługa procesu rekrutacji do Klubu (jako procesor na zlecenie Klubu) – zbieranie leadów, komunikacja z kandydatami (art. 6 ust. 1 lit. b, f RODO – podstawa po stronie Klubu);
  10. Przetwarzanie danych szczególnych kategorii (art. 9 RODO) – wyłącznie na podstawie wyraźnej zgody osoby/Opiekuna (art. 9 ust. 2 lit. a RODO) lub w celu ochrony żywotnych interesów (art. 9 ust. 2 lit. c RODO);
  11. Ochrona małoletnich – wdrożenie Standardów Ochrony Małoletnich wynikających z Ustawy Kamilka (art. 6 ust. 1 lit. c RODO);
  12. AI Asystent (opcjonalny) – wspieranie Administratorów Klubu w zarządzaniu; dane są przesyłane do Anthropic PBC (Claude) z pseudonimizacją, z zastrzeżeniem zero-retention – szczegóły w sekcji „Sub-procesorzy".

Podstawa prawna (RODO art. 6 i 9)

Podstawy prawne przetwarzania Twoich danych zależą od celu:

Art. 6 ust. 1 lit. a) RODO – Twoja zgoda (np. marketing, cookies analityczne i marketingowe, zgoda na zdjęcia). Zgodę możesz wycofać w każdej chwili bez wpływu na zgodność z prawem przetwarzania dokonanego przed wycofaniem.

Art. 6 ust. 1 lit. b) RODO – niezbędność do wykonania umowy lub do podjęcia działań przed zawarciem umowy (świadczenie Usług, subskrypcja, obsługa Konta, realizacja płatności, zwroty).

Art. 6 ust. 1 lit. c) RODO – obowiązki prawne ciążące na Administratorze, w szczególności:

  • ustawa z dnia 29 sierpnia 1997 r. – Ordynacja podatkowa,
  • ustawa o rachunkowości,
  • ustawa o VAT (przechowywanie faktur przez 5 lat od końca roku, w którym powstał obowiązek podatkowy),
  • RODO i ustawa o ochronie danych osobowych,
  • DSA (sprawozdawczość, współpraca z organami),
  • Ustawa Kamilka (Standardy Ochrony Małoletnich).

Art. 6 ust. 1 lit. f) RODO – prawnie uzasadnione interesy Administratora:

  • zapewnienie bezpieczeństwa Serwisu i ochrona przed nadużyciami,
  • dochodzenie, ustalenie i obrona roszczeń,
  • marketing bezpośredni własnych usług (z zachowaniem prawa sprzeciwu – art. 21 RODO),
  • analiza i ulepszanie usług (dane zagregowane, bez profilowania indywidualnego).

Art. 9 ust. 2 lit. a) RODO – wyraźna zgoda – dla danych szczególnych kategorii (dane zdrowotne uczestników).

Art. 9 ust. 2 lit. c) RODO – ochrona żywotnych interesów osoby fizycznej – w sytuacjach awaryjnych (np. omdlenie, wypadek podczas treningu), gdy osoba nie jest w stanie wyrazić zgody.

Art. 8 RODO (dzieci). W Polsce zgoda osoby, która nie ukończyła 16 lat, jest zgodna z prawem wyłącznie pod warunkiem wyrażenia jej lub zatwierdzenia przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem. Administrator/Klub weryfikuje uzyskanie zgody rodzica/opiekuna.

Dane dzieci (art. 8 RODO + Ustawa Kamilka)

Serwis jest wykorzystywany przez Kluby sportowe, których znaczącą część Uczestników stanowią osoby małoletnie (dzieci i młodzież). Stosujemy wzmożone standardy ochrony danych tej grupy.

Podstawa prawna dla danych dzieci.

  • Poniżej 16 r.ż.: zgodnie z art. 8 ust. 1 RODO oraz brakiem obniżenia wieku w ustawie o ochronie danych osobowych, zgoda na przetwarzanie danych jest zgodna z prawem wyłącznie pod warunkiem wyrażenia jej przez osobę sprawującą władzę rodzicielską lub opiekę nad dzieckiem.
  • 16+ r.ż.: dziecko może wyrazić zgodę samodzielnie; w praktyce Kluby nadal angażują Opiekunów ze względu na umowne aspekty uczestnictwa.

Weryfikacja zgody rodzicielskiej. Klubownik zapewnia Klubom narzędzia do elektronicznego zbierania zgód Opiekunów (system akceptacji dokumentów, tabela document_consent_acceptance). Odpowiedzialność za prawidłową weryfikację tożsamości Opiekuna spoczywa na Klubie jako administratorze danych.

Ustawa Kamilka (Standardy Ochrony Małoletnich). Zgodnie z ustawą z dnia 28 lipca 2023 r. (Dz.U. 2023 poz. 1606), Kluby prowadzące zajęcia z udziałem małoletnich zobowiązane są do wdrożenia Standardów Ochrony Małoletnich. Serwis udostępnia Klubom dedykowany moduł (tabele minor_protection_config, minor_protection_incidents, szablony umów minor_service_contract_template), który pomaga w wypełnieniu tego obowiązku. Incydenty bezpieczeństwa małoletnich są rejestrowane w sposób poufny, z dostępem ograniczonym do osób upoważnionych przez Klub.

Ograniczenia profilowania dzieci. Administrator nie prowadzi automatycznego podejmowania decyzji ani profilowania dotyczącego dzieci (art. 22 RODO) w rozumieniu generowania skutków prawnych lub istotnie wpływających na dziecko.

Prawa dziecka. Dziecko od 13 r.ż. może samodzielnie żądać realizacji swoich praw RODO (dostęp, sprostowanie, usunięcie) w zakresie, w jakim czynność nie wymaga reprezentacji przez Opiekuna na gruncie prawa cywilnego; żądania są w razie wątpliwości konsultowane z Opiekunem.

Okres przechowywania danych

Twoje dane przechowujemy nie dłużej, niż jest to niezbędne do realizacji celów przetwarzania (art. 5 ust. 1 lit. e RODO). Orientacyjne terminy:

| Kategoria danych | Okres przechowywania | |------------------|----------------------| | Dane Konta i profilu Użytkownika (aktywne Konto) | Przez okres posiadania Konta + 30 dni po usunięciu (okno odzyskania) | | Dane dotyczące umów i faktur | 5 lat od końca roku, w którym powstał obowiązek podatkowy (ustawa o rachunkowości) | | Dane do wystawiania faktur w KSeF | 10 lat od końca roku (wymóg KSeF/VAT) | | Logi logowania i audytu (access logs) | 12 miesięcy; logi bezpieczeństwa w przypadku incydentów – do czasu zakończenia postępowania | | Dane do marketingu (newsletter, ankiety) | Do chwili wycofania zgody lub wniesienia sprzeciwu | | Dane z formularzy kontaktowych | 12 miesięcy od ostatniej korespondencji | | Reklamacje i zapytania obsługi | 3 lata od rozstrzygnięcia (przedawnienie roszczeń) | | Roszczenia cywilnoprawne (ogólne) | Do upływu terminu przedawnienia (co do zasady 3 lub 6 lat – art. 118 Kodeksu cywilnego) | | Dane Uczestników w Klubie (jako procesor) | Przez okres uczestnictwa + okres wynikający z decyzji Klubu jako administratora (typowo 3 lata po zakończeniu) | | Zdjęcia/wizerunek | Do wycofania zgody, nie dłużej niż cele, dla których zgoda została udzielona | | Dane zdrowotne (art. 9 RODO) | Przez okres uczestnictwa + maksymalnie 12 miesięcy po zakończeniu, chyba że Klub ustali inaczej | | Dane z incydentów bezpieczeństwa małoletnich | Zgodnie ze Standardami Ochrony Małoletnich Klubu; co najmniej 5 lat (celami dowodowymi) | | Kopie zapasowe (backups) | 30 dni rotacji | | Dane z płatności (Stripe) | Zgodnie z politykami Stripe; identyfikatory i statusy – przez okres ustawowego przechowywania dokumentów księgowych |

Po upływie okresu przechowywania dane są usuwane lub anonimizowane (agregacja do statystyk, które nie pozwalają na identyfikację osoby).

Cookies i technologie podobne

Szczegółowe zasady korzystania z plików cookies opisane są w odrębnej Polityce Cookies (https://www.klubownik.pl/cookies). Podstawą prawną wykorzystania cookies innych niż niezbędne jest Twoja zgoda (art. 6 ust. 1 lit. a RODO oraz art. 173 Prawa telekomunikacyjnego).

Kategorie cookies:

  • Niezbędne – utrzymanie sesji, bezpieczeństwo (CSRF), preferencje językowe (nie wymagają zgody – art. 173 ust. 3 Prawa telekomunikacyjnego).
  • Funkcjonalne – preferencje UI, motyw (jasny/ciemny).
  • Analityczne – Vercel Analytics (zbieranie metryk wydajności, liczba wizyt – z pseudonimizacją IP).
  • Marketingowe – wyłącznie za wyraźną zgodą.

Zgoda na cookies. Przy pierwszej wizycie wyświetlamy baner informacyjny, w którym możesz:

  • zaakceptować wszystkie cookies,
  • odrzucić wszystkie cookies poza niezbędnymi,
  • zarządzać wyborem szczegółowo.

Zgoda może być w każdej chwili wycofana w ustawieniach cookies w stopce Serwisu.

Zarządzanie cookies w przeglądarce. Cookies możesz też blokować na poziomie przeglądarki. Wyłączenie cookies niezbędnych może uniemożliwić korzystanie z części funkcji Serwisu.

Twoje prawa (RODO art. 15-22)

Przysługują Ci następujące prawa:

Prawo dostępu (art. 15 RODO) – możesz uzyskać potwierdzenie, czy przetwarzamy Twoje dane, oraz informacje o celach, kategoriach danych, odbiorcach, okresie przechowywania, Twoich prawach i źródle danych. Masz prawo otrzymać bezpłatną kopię swoich danych.

Prawo do sprostowania (art. 16 RODO) – możesz żądać poprawienia nieprawidłowych danych lub uzupełnienia niekompletnych danych.

Prawo do usunięcia (art. 17 RODO, "prawo do bycia zapomnianym") – możesz żądać usunięcia danych, jeżeli:

  • dane nie są już niezbędne do celów, w których zostały zebrane,
  • wycofałeś zgodę (i nie ma innej podstawy przetwarzania),
  • wniosłeś skuteczny sprzeciw wobec przetwarzania,
  • dane były przetwarzane niezgodnie z prawem.

Prawo do usunięcia nie znajduje zastosowania m.in. wtedy, gdy przetwarzanie jest niezbędne do wywiązania się z prawnego obowiązku (np. zachowanie faktur przez okres podatkowy) lub do dochodzenia, ustalenia lub obrony roszczeń.

Prawo do ograniczenia przetwarzania (art. 18 RODO) – w określonych przypadkach, np. kwestionując prawidłowość danych lub po wniesieniu sprzeciwu.

Prawo do przenoszenia danych (art. 20 RODO) – możesz otrzymać swoje dane w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego (CSV, JSON) oraz żądać ich przesłania bezpośrednio innemu administratorowi.

Prawo do sprzeciwu (art. 21 RODO) – możesz sprzeciwić się przetwarzaniu opartemu na prawnie uzasadnionym interesie. W przypadku marketingu bezpośredniego sprzeciw jest skuteczny bezwarunkowo.

Prawo do niepodlegania decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu (art. 22 RODO) – Klubownik nie stosuje zautomatyzowanego podejmowania decyzji wywołujących skutki prawne lub podobnie istotnie wpływających na osobę.

Prawo do cofnięcia zgody (art. 7 ust. 3 RODO) – w każdej chwili, bez wpływu na zgodność z prawem przetwarzania przed cofnięciem.

Prawo do złożenia skargi. Masz prawo wnieść skargę do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (PUODO):

  • Adres: ul. Stawki 2, 00-193 Warszawa
  • E-mail: kancelaria@uodo.gov.pl
  • Strona WWW: https://www.uodo.gov.pl
  • Infolinia: 606-950-000

Jak zrealizować prawa?

  • E-mail: iod@klubownik.pl lub kontakt@klubownik.pl
  • Funkcje w aplikacji: w ustawieniach konta (Ustawienia → Dane i prywatność) dostępne są opcje pobrania kopii danych, żądania usunięcia oraz wycofania zgód.
  • Forma pisemna na adres korespondencyjny.

Na żądanie odpowiadamy bez zbędnej zwłoki, nie później niż w ciągu miesiąca od otrzymania. W skomplikowanych przypadkach termin może zostać przedłużony o kolejne 2 miesiące (z informacją o przyczynach przedłużenia). Realizacja praw jest bezpłatna; w przypadku żądań ewidentnie nieuzasadnionych lub nadmiernych (np. powtarzających się) możemy pobrać rozsądną opłatę albo odmówić realizacji (art. 12 ust. 5 RODO).

Przed realizacją żądania możemy zweryfikować Twoją tożsamość (dodatkowe pytania kontrolne) w celu zabezpieczenia przed nieuprawnionym dostępem.

Obowiązek podania danych

Podanie danych osobowych jest dobrowolne, jednak w zakresie niezbędnym do:

  • zawarcia Umowy i świadczenia Usługi (imię, nazwisko, e-mail) – brak danych uniemożliwi założenie Konta;
  • realizacji rozliczeń (dane fakturowe) – brak danych uniemożliwi wystawienie faktury i uruchomienie płatnej subskrypcji;
  • wypełnienia obowiązków prawnych (księgowość, ochrona małoletnich) – podanie jest wymogiem ustawowym.

Podanie danych marketingowych (zgoda na newsletter) jest w pełni dobrowolne, a brak zgody nie wpływa na możliwość korzystania z Serwisu.

Podanie danych zdrowotnych (szczególne kategorie) jest zawsze dobrowolne – ich przetwarzanie odbywa się wyłącznie na podstawie wyraźnej zgody. Odmowa nie może skutkować pozbawieniem Uczestnika zajęć; w uzasadnionych przypadkach Klub może jednak wymagać oświadczenia o braku przeciwwskazań do uczestnictwa.

Profilowanie i zautomatyzowane decyzje

Klubownik nie podejmuje decyzji wywołujących skutki prawne wobec osób fizycznych w sposób oparty wyłącznie na zautomatyzowanym przetwarzaniu (w rozumieniu art. 22 ust. 1 RODO), w tym nie stosuje profilowania, które mogłoby w istotny sposób wpływać na osobę (np. scoring).

Funkcje analityczne w panelu (np. statystyki frekwencji, raporty płatności) służą wyłącznie Administratorom Klubu do celów operacyjnych i nie podejmują samodzielnie decyzji dotyczących konkretnych osób.

AI Asystent (opcjonalny). Moduł AI dostępny w panelu administratora Klubu wspiera adminów w zarządzaniu (wyszukiwanie informacji, generowanie opisów, sugestie). Nie podejmuje decyzji wiążących ani skutkujących zmianą statusu Uczestnika. Dane przekazywane do modeli AI są pseudonimizowane (usunięcie ID i pełnych imion/nazwisk) i objęte polityką zero-retention u dostawcy AI (Anthropic PBC) – patrz sekcja „Sub-procesorzy".

Odbiorcy danych i sub-procesorzy

Twoje dane mogą być udostępniane następującym kategoriom odbiorców:

Podmioty przetwarzające na zlecenie Klubownika (sub-procesorzy). Pełna, aktualna lista z lokalizacją i podstawą transferu dostępna jest pod adresem https://www.klubownik.pl/sub-processors. Aktualnie są to w szczególności:

| Podmiot | Funkcja | Lokalizacja | Transfer poza EOG | Podstawa | |---------|---------|-------------|-------------------|----------| | Supabase Inc. | Baza danych, Auth, Storage | UE (Frankfurt) | Nie | DPA Supabase | | Vercel Inc. | Hosting Next.js, CDN, Analytics | UE (Paris, Frankfurt) | Sporadycznie (support) | SCC 2021/914 + DPA | | Stripe Payments Europe, Ltd. | Płatności, Stripe Connect | IE Dublin | Sporadycznie (Stripe Inc. US) | SCC + DPA + PCI-DSS L1 | | Resend, Inc. | Transactional email | USA (AWS) | Tak | SCC 2021/914 + DPA | | Anthropic PBC | AI Asystent (Claude) | USA | Tak (z pseudonimizacją) | SCC + DPA + zero-retention | | Meta Platforms, Inc. | Meta Leads (Facebook Lead Ads) – opcjonalne | USA | Tak | SCC + Meta Business Tools | | Google LLC | OAuth (logowanie) – opcjonalne | USA | Tak | SCC | | AWS (Amazon Web Services) | Backup storage (pośrednio przez Supabase/Resend) | UE + USA (dla Resend) | Sporadycznie | SCC |

Niezależni administratorzy (nie są sub-procesorami Klubownika):

  • Stripe – w zakresie transakcji płatniczych i obsługi KYC (Know-Your-Customer) dla Stripe Connect (administrator danych transakcyjnych).
  • Kluby sportowe – jako niezależni administratorzy danych swoich Uczestników, Opiekunów i Kadry (Klubownik jest procesorem działającym w imieniu Klubu).
  • Dostawcy usług kurierskich (w przypadku dostawy towarów ze sklepu Klubu).
  • Dostawcy usług księgowych i biura rachunkowe (na podstawie umów powierzenia z odpowiednim Administratorem).

Inni odbiorcy:

  • Organy państwowe i wymiar sprawiedliwości – wyłącznie na podstawie przepisów prawa (sądy, prokuratura, organy podatkowe, UODO, Policja, ZUS, KAS).
  • Firmy audytorskie i kancelarie prawne – w zakresie obsługi prawnej i księgowej (na podstawie umów zachowania poufności / umów powierzenia).

Transfer poza EOG. Część sub-procesorów (Resend, Anthropic, Meta, Google, okazjonalnie Stripe/Vercel – support) ma siedziby w USA. Transfer danych do tych podmiotów odbywa się na podstawie:

  • Standardowych Klauzul Umownych (SCC) przyjętych przez Komisję Europejską decyzją 2021/914,
  • w odpowiednich przypadkach – EU-US Data Privacy Framework (dla podmiotów certyfikowanych),
  • wewnętrznych DPA z każdym sub-procesorem.

Na żądanie (iod@klubownik.pl) udostępniamy kopie stosownych zabezpieczeń.

Mechanizm powiadamiania o zmianach sub-procesorów. Nowy sub-procesor jest zgłaszany właścicielom kont klubów z 30-dniowym wyprzedzeniem (e-mail + notyfikacja w panelu). Klub ma prawo sprzeciwu i wypowiedzenia Umowy, jeżeli nie akceptuje nowego podmiotu. Brak sprzeciwu = akceptacja (art. 28 ust. 2 RODO – zezwolenie ogólne).

Bezpieczeństwo danych

Wdrożyliśmy środki techniczne i organizacyjne odpowiednie do ryzyk związanych z przetwarzaniem (art. 32 RODO):

Środki techniczne:

  • Szyfrowanie w tranzycie (TLS 1.3), szyfrowanie „at rest" po stronie Supabase (AES-256)
  • Haszowanie haseł (bcrypt/scrypt)
  • Tokenizacja danych kart płatniczych (Stripe – PCI-DSS Level 1)
  • Uwierzytelnianie dwuskładnikowe (2FA) dostępne dla Użytkowników
  • Izolacja danych per-Klub na poziomie bazy (RLS – Row Level Security)
  • Monitoring 24/7 infrastruktury, automatyczne wykrywanie anomalii
  • Regularne kopie zapasowe (retencja 30 dni, rotacja)
  • Segregacja środowisk (production / staging / development)

Środki organizacyjne:

  • Polityka kontroli dostępu (zasada najmniejszych uprawnień, przegląd uprawnień co kwartał)
  • Szkolenia pracowników z ochrony danych
  • Umowy powierzenia (DPA) z każdym sub-procesorem
  • Rejestr czynności przetwarzania (art. 30 RODO)
  • Procedura reagowania na naruszenia (incident response)
  • Regularne audyty bezpieczeństwa i testy penetracyjne

Procedura reagowania na naruszenia. W przypadku stwierdzenia naruszenia ochrony danych:

  • w ciągu 72 godzin – zgłoszenie do Prezesa UODO (art. 33 RODO), jeżeli Klubownik jest administratorem;
  • bez zbędnej zwłoki – powiadomienie Klubów (jako administratorów) w przypadku naruszeń dotyczących danych powierzonych (art. 33 ust. 2 RODO);
  • bez zbędnej zwłoki – powiadomienie osób, których dane dotyczą, jeżeli naruszenie może powodować wysokie ryzyko dla ich praw lub wolności (art. 34 RODO).

Jak zgłosić podejrzenie naruszenia? E-mail: iod@klubownik.pl (lub kontakt@klubownik.pl z dopiskiem „NARUSZENIE").

Zmiany Polityki

Niniejsza Polityka Prywatności może być aktualizowana w celu uwzględnienia zmian przepisów prawa, nowych funkcji Serwisu lub zmian organizacyjnych. O istotnych zmianach informujemy z co najmniej 14-dniowym wyprzedzeniem drogą e-mail oraz poprzez powiadomienie w panelu. Aktualna wersja Polityki jest zawsze dostępna pod adresem https://www.klubownik.pl/privacy z podaną datą ostatniej aktualizacji. Wcześniejsze wersje są archiwizowane w systemie wersjonowania dokumentów platformowych (dostępne na żądanie: iod@klubownik.pl).

Kontakt

W sprawach związanych z ochroną danych osobowych możesz kontaktować się z nami:

E-mail: kontakt@klubownik.pl

Kontakt ds. ochrony danych: iod@klubownik.pl

Adres korespondencyjny: Klubownik – Michał Szymanowski ul. Chodzieska 29 64-920 Piła (z dopiskiem "Ochrona danych osobowych")

Organ nadzorczy: Prezes Urzędu Ochrony Danych Osobowych ul. Stawki 2, 00-193 Warszawa E-mail: kancelaria@uodo.gov.pl WWW: https://www.uodo.gov.pl

Odpowiadamy na zapytania bez zbędnej zwłoki, nie później niż w ciągu 30 dni (art. 12 ust. 3 RODO).

Powiązane dokumenty:

  • Regulamin: https://www.klubownik.pl/regulamin
  • Polityka Cookies: https://www.klubownik.pl/cookies
  • Informacja o RODO: https://www.klubownik.pl/rodo
  • Umowa Powierzenia Przetwarzania Danych (DPA): https://www.klubownik.pl/dpa
  • Lista sub-procesorów: https://www.klubownik.pl/sub-processors