EPC Portal

Polityka Prywatności

Wersja 1.0 — ostatnia aktualizacja: 7 kwietnia 2026 r.

English version

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest Damian Mazurek, prowadzący działalność gospodarczą pod firmą Damian Mazurek IoTdev, NIP: 7352656720, REGON: 120916513, adres: Handzlówka 58, 37-123 Handzlówka (dalej: „Administrator” lub „my”).

Kontakt w sprawach ochrony danych: privacy@eliteperformancecollective.com

Administrator nie wyznaczył Inspektora Ochrony Danych (IOD), ponieważ nie zachodzi taka konieczność w rozumieniu art. 37 RODO. We wszystkich sprawach dotyczących ochrony danych osobowych możesz kontaktować się bezpośrednio z Administratorem pod powyższym adresem.

2. Definicje

  • Platforma — serwis internetowy EPC Portal dostępny pod adresem portal.eliteperformancecollective.com.
  • Użytkownik — osoba fizyczna posiadająca konto na Platformie, która ukończyła 18. rok życia.
  • Dane zdrowotne — dane dotyczące zdrowia fizycznego lub psychicznego Użytkownika, w tym dane z urządzeń WHOOP i Oura Ring, stanowiące szczególną kategorię danych osobowych w rozumieniu art. 9 RODO.
  • Asystent AI (Stefan) — zautomatyzowany system oparty na modelach językowych (LLM), wspomagający Użytkowników Platformy.
  • Podmiot przetwarzający (procesor) — podmiot, który przetwarza dane osobowe w imieniu Administratora na podstawie umowy powierzenia przetwarzania (art. 28 RODO).
  • RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (ogólne rozporządzenie o ochronie danych).

3. Jakie dane zbieramy i czy ich podanie jest obowiązkowe

3.1. Dane identyfikacyjne i kontaktowe

Podczas rejestracji i korzystania z Platformy zbieramy:

  • imię i nazwisko, adres e-mail, hasło (przechowywane w formie zahashowanej),
  • nazwę wyświetlaną, awatar (zdjęcie profilowe), biografię,
  • nazwę firmy, stanowisko, lokalizację, branżę, lata doświadczenia,
  • adres URL profilu LinkedIn i strony internetowej.

Obowiązkowość: Podanie imienia, nazwiska i adresu e-mail jest wymagane do utworzenia konta (wymóg umowny). Pozostałe dane profilowe są opcjonalne — ich niepodanie nie wpływa na możliwość korzystania z podstawowych funkcji Platformy, ale może ograniczyć personalizację doświadczenia.

3.2. Dane z procesu onboardingu (Moja Misja)

Podczas onboardingu zbieramy odpowiedzi na pytania dotyczące Twojej misji, celów, wyzwań, sojuszników, wizji przemiany i dziedzictwa. Dane te służą personalizacji doświadczenia na Platformie, w tym przez Asystenta AI.

Obowiązkowość: Opcjonalne. Możesz pominąć odpowiedzi podczas onboardingu.

3.3. Dane zdrowotne (szczególna kategoria — art. 9 RODO)

Jeśli dobrowolnie podłączysz urządzenie monitorujące (WHOOP, Oura Ring, Garmin lub Ultrahuman Ring), zbieramy następujące dane:

  • Sen: czas trwania, fazy snu (REM, głęboki, lekki), efektywność snu, częstotliwość oddechów, regularność snu.
  • Regeneracja: wskaźnik regeneracji, zmienność rytmu serca (HRV), tętno spoczynkowe, saturacja krwi (SpO2), temperatura skóry.
  • Aktywność fizyczna: rodzaj treningu, czas trwania, obciążenie (strain), średnie i maksymalne tętno, spalone kalorie.
  • Cykl fizjologiczny: dzienny strain, zużycie energii.
  • Dodatkowe metryki (zależnie od urządzenia): Body Battery (Garmin), poziom stresu (Garmin), wynik metaboliczny (Ultrahuman).

Obowiązkowość: Całkowicie dobrowolne. Platforma działa w pełni bez podłączenia urządzenia. Podłączenie wymaga Twojej wyraźnej, odrębnej zgody na przetwarzanie danych zdrowotnych (art. 9 ust. 2 lit. a RODO).

Wycofanie zgody: Możesz wycofać zgodę w każdym momencie odłączając urządzenie w Ustawieniach → Integracje wearable. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.

3.4. Dane przetwarzane przez Asystenta AI (Stefan)

Asystent AI ma dostęp do następujących danych w celu personalizacji odpowiedzi:

  • Twój profil (imię, firma, stanowisko, branża, doświadczenie),
  • odpowiedzi z onboardingu (Moja Misja),
  • aktywne nawyki i serie (streaki),
  • dane zdrowotne z WHOOP/Oura (jeśli podłączone),
  • historia rozmów z Asystentem AI,
  • odpowiedzi z workbooków (zeszytów ćwiczeń),
  • informacje o Twojej grupie (Trójce),
  • dokumenty przesłane przez Ciebie do Asystenta AI.

Dane te są przekazywane do Google Gemini API w celu generowania odpowiedzi. Google przetwarza te dane wyłącznie w celu realizacji zapytania i nie wykorzystuje ich do trenowania swoich modeli AI (zgodnie z warunkami Google Cloud Data Processing Terms).

Proaktywne wiadomości AI (Stefan Sojusznik): Po wyrażeniu odrębnej zgody, Asystent AI może automatycznie wysyłać Ci wiadomości prywatne (do 2 razy w tygodniu) na podstawie analizy Twoich danych. Stanowi to zautomatyzowane profilowanie w rozumieniu art. 4 pkt 4 RODO. Możesz włączyć lub wyłączyć tę funkcję w Ustawieniach → Stefan Sojusznik (AI). Domyślnie funkcja ta jest wyłączona.

3.5. Dane społecznościowe

  • posty, komentarze, polubienia, zapisane treści,
  • wiadomości prywatne (DM) i rozmowy grupowe,
  • członkostwo w grupach (Trójkach),
  • głosy w ankietach,
  • przesłane obrazy, GIF-y i załączniki,
  • pozycja w rankingu i punkty XP (widoczne dla innych Użytkowników).

3.6. Dane edukacyjne

  • postępy w kursach i modułach,
  • odpowiedzi na quizy i wyniki,
  • odpowiedzi w workbookach (zeszytach ćwiczeń),
  • odblokowane osiągnięcia i poziom doświadczenia (XP).

3.7. Dane techniczne i logowania

  • adres IP (w celach bezpieczeństwa i ograniczania liczby zapytań),
  • data i godzina logowania,
  • informacje o przeglądarce i urządzeniu (user-agent).

3.8. Dane płatnicze

Płatności są realizowane przez zewnętrznego operatora (EasyCart). Nie przechowujemy danych kart płatniczych. Otrzymujemy jedynie: identyfikator subskrypcji, status płatności, plan subskrypcyjny i datę zakończenia okresu rozliczeniowego.

4. Cele i podstawy prawne przetwarzania

Cel przetwarzaniaPodstawa prawnaOkres przechowywania
Utworzenie i obsługa kontaArt. 6 ust. 1 lit. b RODO (wykonanie umowy)Do momentu usunięcia konta + 30 dni
Świadczenie usługi Platformy (feed, nawyki, gamifikacja, rankingi)Art. 6 ust. 1 lit. b RODO (wykonanie umowy)Przez okres obowiązywania umowy
Przetwarzanie danych zdrowotnych (WHOOP, Oura)Art. 9 ust. 2 lit. a RODO (wyraźna zgoda)Do wycofania zgody lub odłączenia urządzenia + 30 dni
Personalizacja Asystenta AI (Stefan) — rozmowyArt. 6 ust. 1 lit. b RODO (wykonanie umowy — funkcja AI jest częścią usługi)Do usunięcia rozmowy lub konta
Proaktywne wiadomości AI (Stefan Sojusznik)Art. 6 ust. 1 lit. a RODO (zgoda)Do wycofania zgody
Wektoryzacja dokumentów (RAG)Art. 6 ust. 1 lit. a RODO (zgoda — przez przesłanie dokumentu)Do usunięcia dokumentu przez Użytkownika
Rozliczenia i subskrypcjeArt. 6 ust. 1 lit. b (umowa) i lit. c (obowiązek prawny)5 lat od zakończenia roku obrotowego (przepisy podatkowe)
Bezpieczeństwo i przeciwdziałanie nadużyciom (logowanie adresów IP, rate limiting)Art. 6 ust. 1 lit. f RODO — uzasadniony interes Administratora polegający na ochronie Platformy i jej Użytkowników przed nadużyciami. Przetwarzanie jest proporcjonalne: ograniczone do adresów IP i metadanych zapytań, dane są automatycznie usuwane po 12 miesiącach, a interes bezpieczeństwa przeważa nad minimalną ingerencją w prywatność Użytkownika.Maks. 12 miesięcy
Dochodzenie roszczeńArt. 6 ust. 1 lit. f RODO — uzasadniony interes Administratora polegający na ochronie jego praw w przypadku sporów. Przetwarzanie jest ograniczone do danych niezbędnych do identyfikacji strony i okoliczności sporu, a okres przechowywania jest wyznaczony przez przepisy o przedawnieniu roszczeń (nie dłużej niż konieczne).Do upływu terminu przedawnienia roszczeń

5. Odbiorcy danych — podmioty przetwarzające

Twoje dane mogą być przekazywane następującym kategoriom odbiorców. Z każdym podmiotem przetwarzającym zawarliśmy umowę powierzenia przetwarzania danych (DPA) zgodnie z art. 28 RODO. Twoje dane nie są sprzedawane ani udostępniane podmiotom trzecim w celach marketingowych.

5.1. Dostawcy usług AI (podmiot przetwarzający)

Google LLC (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA) — dostawca modeli językowych Google Gemini, wykorzystywanych przez Asystenta AI (Stefan). Dane przekazywane do Google obejmują: treść rozmów, kontekst użytkownika (profil, nawyki, dane zdrowotne jeśli podłączone), przesłane dokumenty. Google przetwarza dane wyłącznie na nasze polecenie i nie wykorzystuje ich do trenowania własnych modeli.

Transfer danych do USA odbywa się na podstawie Standardowych Klauzul Umownych (SCC) zgodnie z art. 46 ust. 2 lit. c RODO oraz dodatkowych środków technicznych (szyfrowanie w trakcie transmisji TLS 1.3, szyfrowanie w spoczynku).

5.2. Dostawcy usług chmurowych (podmioty przetwarzające)

  • Google Cloud Platform (hosting aplikacji — Cloud Run, region europe-west1; Firebase Storage — przechowywanie pamięci AI, region US).
  • MongoDB, Inc. — baza danych MongoDB Atlas (region EU, Frankfurt).

5.3. Dostawcy integracji zdrowotnych

  • WHOOP, Inc. (Boston, MA, USA) — niezależny administrator danych w zakresie danych gromadzonych na urządzeniu WHOOP. Dane są pobierane przez nas na podstawie autoryzacji OAuth 2.0 udzielonej przez Użytkownika. WHOOP również wysyła dane zdrowotne w czasie rzeczywistym na nasz serwer za pomocą webhooków (zabezpieczonych weryfikacją HMAC-SHA256). Po odłączeniu urządzenia webhooki przestają działać, a tokeny dostępu są natychmiast unieważniane.
  • Oura Health Oy (Oulu, Finlandia, UE) — niezależny administrator danych w zakresie danych gromadzonych na urządzeniu Oura Ring. Dane pobierane na podstawie autoryzacji OAuth 2.0.
  • Garmin Ltd. (Schaffhausen, Szwajcaria / Olathe, KS, USA) — niezależny administrator danych w zakresie danych gromadzonych na urządzeniach Garmin. Dane pobierane na podstawie autoryzacji OAuth 2.0 przez Garmin Connect API.
  • Ultrahuman Healthcare Pvt. Ltd. (Bengaluru, Indie) — niezależny administrator danych w zakresie danych gromadzonych na urządzeniu Ultrahuman Ring AIR. Dane pobierane na podstawie autoryzacji OAuth 2.0 przez Ultrahuman Partner API.

Jako niezależni administratorzy, powyżsi dostawcy przetwarzają dane na urządzeniach zgodnie z własnymi politykami prywatności. Zachęcamy do zapoznania się z nimi: Polityka Prywatności WHOOP, Polityka Prywatności Oura, Polityka Prywatności Garmin Connect, Polityka Prywatności Ultrahuman.

5.4. Dostawcy usług płatniczych (podmiot przetwarzający)

  • EasyCart — operator płatności. Przekazujemy jedynie dane niezbędne do realizacji transakcji. EasyCart jest niezależnym administratorem danych kart płatniczych.

5.5. Organy publiczne

Dane mogą być udostępniane organom publicznym, jeśli wymagają tego przepisy prawa (np. organy podatkowe, sądy, organy ścigania).

6. Transfer danych do państw trzecich

W związku z korzystaniem z usług Google (Gemini API, Firebase), WHOOP, Garmin oraz Ultrahuman, Twoje dane mogą być transferowane do państw trzecich (Stany Zjednoczone, Indie). Transfery te są zabezpieczone poprzez:

  • Standardowe Klauzule Umowne (SCC) zatwierdzone decyzją wykonawczą Komisji Europejskiej 2021/914,
  • dodatkowe środki techniczne: szyfrowanie danych w trakcie transmisji (TLS 1.3) i w spoczynku (AES-256),
  • dodatkowe środki organizacyjne: umowy DPA z dostawcami, ograniczenie zakresu przekazywanych danych do minimum niezbędnego do świadczenia usługi.

Możesz uzyskać kopię Standardowych Klauzul Umownych kontaktując się z nami pod adresem privacy@eliteperformancecollective.com.

7. Zautomatyzowane podejmowanie decyzji i profilowanie

Platforma stosuje następujące formy zautomatyzowanego przetwarzania:

7.1. Profilowanie przez Asystenta AI

Asystent AI (Stefan) analizuje Twoje dane (profil, nawyki, dane zdrowotne, historię rozmów) w celu tworzenia spersonalizowanego kontekstu rozmowy i „pamięci” (wyodrębnionych celów, faktów, profilu komunikacji). Przetwarzanie to nie prowadzi do podejmowania decyzji wywołujących skutki prawne ani istotnie na Ciebie wpływających w rozumieniu art. 22 ust. 1 RODO.

7.2. Automatyczne logowanie nawyków

Na podstawie danych z WHOOP/Oura system automatycznie zalicza nawyki (np. sen ≥ 7h, trening ≥ 30 min) i przyznaje punkty XP. Możesz to wyłączyć odłączając urządzenie w Ustawieniach → Integracje wearable.

7.3. Proaktywne wiadomości (Stefan Sojusznik)

Po wyrażeniu zgody, system automatycznie generuje i wysyła Ci wiadomości prywatne na podstawie analizy Twoich danych. Jest to profilowanie w rozumieniu art. 4 pkt 4 RODO, oparte na Twojej zgodzie (art. 6 ust. 1 lit. a RODO).

Twoje prawa w zakresie zautomatyzowanego przetwarzania:

  • Prawo do wyrażenia sprzeciwu wobec profilowania (art. 21 RODO).
  • Prawo do uzyskania interwencji ludzkiej — możesz skontaktować się z nami pod adresem privacy@eliteperformancecollective.com, aby poprosić o ręczną weryfikację działania AI.
  • Prawo do wyrażenia własnego stanowiska i zakwestionowania decyzji (art. 22 ust. 3 RODO).
  • Prawo do wyłączenia proaktywnych wiadomości w dowolnym momencie (Ustawienia → Stefan Sojusznik).

8. Twoje prawa

Na podstawie RODO przysługują Ci następujące prawa:

  • Prawo dostępu (art. 15) — możesz uzyskać informacje o przetwarzanych danych oraz ich kopię.
  • Prawo do sprostowania (art. 16) — możesz poprawić nieprawidłowe dane w Ustawieniach → Edytuj profil lub kontaktując się z nami.
  • Prawo do usunięcia (art. 17) — możesz żądać usunięcia danych („prawo do bycia zapomnianym”). Usuwamy dane w ciągu 30 dni od zgłoszenia, z zastrzeżeniem obowiązku przechowywania danych rozliczeniowych przez 5 lat.
  • Prawo do ograniczenia przetwarzania (art. 18) — możesz żądać ograniczenia przetwarzania w określonych przypadkach.
  • Prawo do przenoszenia danych (art. 20) — możesz otrzymać dane w ustrukturyzowanym formacie (JSON) poprzez funkcję „Eksportuj moje dane” w Ustawieniach.
  • Prawo do sprzeciwu (art. 21) — możesz zgłosić sprzeciw wobec przetwarzania opartego na uzasadnionym interesie, w tym profilowania. Po zgłoszeniu sprzeciwu zaprzestaniemy przetwarzania, chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw.
  • Prawo do wycofania zgody (art. 7 ust. 3) — możesz w każdym momencie wycofać zgodę na:
    • przetwarzanie danych zdrowotnych — Ustawienia → Integracje wearable → Odłącz,
    • proaktywne wiadomości AI — Ustawienia → Stefan Sojusznik → wyłącz toggle.
    Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej wycofaniem.
  • Prawo do wniesienia skargi — do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

Aby skorzystać ze swoich praw, skontaktuj się z nami: privacy@eliteperformancecollective.com. Odpowiemy w ciągu 30 dni od otrzymania zgłoszenia. W przypadku skomplikowanych żądań lub dużej liczby wniosków termin może zostać przedłużony o kolejne 60 dni, o czym zostaniesz poinformowany.

9. Bezpieczeństwo danych i ochrona prywatności w fazie projektowania

Zgodnie z zasadą ochrony prywatności w fazie projektowania i domyślnej ochrony danych (art. 25 RODO), Platforma została zaprojektowana z uwzględnieniem ochrony danych osobowych na każdym etapie — od architektury systemu, przez domyślne ustawienia prywatności, po mechanizmy usuwania danych. Domyślnie zbieramy jedynie dane niezbędne do świadczenia usługi, a funkcje wymagające dodatkowego przetwarzania (integracje zdrowotne, proaktywne wiadomości AI) są domyślnie wyłączone i wymagają wyraźnej zgody.

Stosujemy następujące środki ochrony danych (art. 32 RODO):

  • szyfrowanie transmisji (HTTPS/TLS 1.3),
  • hashowanie haseł (bcrypt),
  • sesje oparte na plikach cookie httpOnly (BFF pattern),
  • weryfikacja HMAC-SHA256 dla webhooków WHOOP,
  • ograniczanie szybkości zapytań (rate limiting) na endpointach uwierzytelniania,
  • tokeny dostępu do integracji (WHOOP, Oura) nigdy nie są eksponowane w odpowiedziach API,
  • kontrola dostępu oparta na rolach (RBAC),
  • regularne przeglądanie konfiguracji bezpieczeństwa infrastruktury chmurowej.

9.1. Powiadamianie o naruszeniach danych

W przypadku naruszenia ochrony danych osobowych, które może powodować ryzyko naruszenia praw lub wolności osób fizycznych, powiadomimy Prezesa UODO w ciągu 72 godzin od wykrycia naruszenia (art. 33 RODO). Jeśli naruszenie może powodować wysokie ryzyko, powiadomimy również Ciebie bez zbędnej zwłoki (art. 34 RODO).

10. Pliki cookies i localStorage

Platforma wykorzystuje następujące technologie przechowywania danych w przeglądarce:

  • epc-session — sesyjny plik cookie (httpOnly, secure) niezbędny do uwierzytelnienia. Podstawa: art. 6 ust. 1 lit. b RODO (niezbędne do świadczenia usługi). Wygasa po zakończeniu sesji.
  • epc-theme — preferencja motywu (jasny/ciemny), przechowywana w localStorage. Podstawa: art. 173 ust. 3 ustawy Prawo telekomunikacyjne (niezbędne do prawidłowego wyświetlania interfejsu).

Nie stosujemy cookies reklamowych, śledzących ani analitycznych.

11. Okres przechowywania danych

  • Dane konta: do momentu usunięcia konta + 30 dni na wykonanie operacji.
  • Dane zdrowotne: do wycofania zgody (odłączenia urządzenia) + 30 dni. Po odłączeniu urządzenia tokeny dostępu są natychmiast unieważniane.
  • Rozmowy z AI: do momentu ich ręcznego usunięcia przez Użytkownika lub usunięcia konta.
  • Pamięć AI (profil): aktualizowana na bieżąco; usuwana przy usunięciu konta.
  • Dokumenty przesłane do AI: do ręcznego usunięcia przez Użytkownika.
  • Posty i komentarze: do ręcznego usunięcia lub usunięcia konta.
  • Wiadomości prywatne: do usunięcia konta.
  • Dane rozliczeniowe: 5 lat od zakończenia roku obrotowego (obowiązek wynikający z art. 74 ustawy o rachunkowości).
  • Logi bezpieczeństwa (IP): maksymalnie 12 miesięcy.
  • Zgody (consent log): przez cały okres obowiązywania umowy + 3 lata (w celu wykazania zgodności z RODO).

12. Zmiany Polityki Prywatności

Zastrzegamy sobie prawo do zmian niniejszej Polityki Prywatności. O istotnych zmianach poinformujemy Cię drogą mailową lub poprzez powiadomienie na Platformie z 14-dniowym wyprzedzeniem. W przypadku zmian wymagających ponownej zgody (np. nowe kategorie danych, nowi odbiorcy) poprosimy Cię o wyraźną akceptację zaktualizowanej Polityki.

13. Kontakt

W razie pytań dotyczących ochrony danych osobowych skontaktuj się z nami:

  • E-mail: privacy@eliteperformancecollective.com
  • Adres korespondencyjny: Damian Mazurek IoTdev, Handzlówka 58, 37-123 Handzlówka
  • NIP: 7352656720, REGON: 120916513