Polityka Prywatności

01 Administrator danych

Administratorem Twoich danych osobowych jest:

Paweł Kobylak

Adres: Ul. Olkuska 11/1

NIP: PL5862149062

E-mail: support@brace-buddy.com
Sprawy RODO: privacy@brace-buddy.com

02 Jakie dane zbieramy i skąd

Przetwarzamy dane podawane nam bezpośrednio podczas rejestracji i korzystania z Aplikacji:

Kategoria	Przykładowe dane	Źródło
Dane konta	Adres e-mail, hasło (hash), data rejestracji, strefa czasowa, język	Rejestracja
Dane gorsetu	Czas założenia/zdjęcia, łączny czas noszenia, cel dobowy	Aplikacja
Dane ćwiczeń	Typ ćwiczenia, czas trwania, data	Aplikacja
Dane bólu	Poziom bólu (1–10), lokalizacja, opcjonalna notatka	Aplikacja
Dane dziecka	Imię (bez nazwiska), data urodzenia, kąt Cobba, typ gorsetu, kolor profilu	Opiekun – tworzenie profilu
Dane techniczne	Adres IP (rejestracja), user-agent, znaczniki czasowe	Automatycznie
Dane diagnostyczne	Raporty błędów (crash reports), anonimowe statystyki użytkowania	Sentry, Firebase Analytics

Nie zbieramy: nazwisk, numerów PESEL, numerów ubezpieczenia, danych kart płatniczych ani szczegółowych dokumentacji medycznych.

03 Cele i podstawy prawne przetwarzania

Cel	Dane	Podstawa prawna
Rejestracja i uwierzytelnianie	E-mail, hasło-hash	Art. 6(1)(b) – wykonanie umowy
Świadczenie Usługi (gorset, ćwiczenia, ból)	Dane zdrowotne, dane dziecka	Art. 6(1)(a) + Art. 9(2)(a) – wyraźna zgoda
Synchronizacja danych między urządzeniami	Wszystkie dane	Art. 6(1)(b) – wykonanie umowy
Powiadomienia push	Token FCM, ustawienia	Art. 6(1)(b) + Art. 6(1)(a) – zgoda
Obsługa reklamacji i wsparcie	E-mail, treść zgłoszenia	Art. 6(1)(b) + Art. 6(1)(c)
Diagnostyka błędów (Sentry)	Zanonimizowane raporty	Art. 6(1)(f) – uzasadniony interes
Statystyki użytkowania (Firebase Analytics)	Zanonimizowane dane nawigacji	Art. 6(1)(a) – zgoda (opt-in)
Obowiązki prawne	Logi audytowe	Art. 6(1)(c) – obowiązek prawny

04 Dane dotyczące zdrowia (Art. 9 RODO)

Dane o noszeniu gorsetu, ćwiczeniach rehabilitacyjnych, bólu i dyskomforcie to szczególna kategoria danych — dane dotyczące zdrowia w rozumieniu art. 9 RODO.

Podstawą prawną przetwarzania tych danych jest Twoja wyraźna zgoda wyrażona przy rejestracji (art. 9 ust. 2 lit. a RODO). Zgoda jest dobrowolna — możesz ją wycofać w każdej chwili, żądając usunięcia konta.

🔒 Szyfrowanie: Dane zdrowotne są szyfrowane algorytmem AES-256-GCM zarówno w trakcie transmisji (TLS 1.3), jak i w spoczynku na serwerze.

05 Dane dzieci (art. 8 RODO)

Profile Dzieci tworzone są wyłącznie przez Opiekunów (rodziców lub prawnych opiekunów) — Dziecko nie rejestruje się samodzielnie.

Zgodnie z art. 7 polskiej ustawy o ochronie danych osobowych, do przetwarzania danych Dzieci poniżej 13. roku życia wymagana jest wyraźna zgoda rodzica lub opiekuna prawnego. Tworząc Profil Dziecka poniżej 13. roku życia, Opiekun wyraża taką zgodę.

Opiekun ma pełną kontrolę nad danymi Dziecka — prawo do przeglądania, modyfikowania i usunięcia.

06 Przekazywanie danych do państw trzecich

Korzystamy z dostawców mających siedzibę lub serwery poza EOG. Przekazywanie odbywa się z zachowaniem odpowiednich zabezpieczeń:

Dostawca	Lokalizacja	Zabezpieczenie
Firebase (Google Ireland Ltd)	Serwery EU; backup US	EU-U.S. Data Privacy Framework + SCC
Sentry (Functional Software Inc.)	USA	EU-U.S. Data Privacy Framework + SCC

07 Podmioty przetwarzające (procesory)

Powierzamy przetwarzanie danych następującym podmiotom na podstawie umów powierzenia (art. 28 RODO):

Podmiot	Rola	Dane
Google Firebase Google Ireland Ltd	Powiadomienia push (FCM), statystyki (Analytics)	Token urządzenia, zanonimizowane zdarzenia
Sentry Functional Software Inc.	Monitoring błędów (crash reporting)	Raporty błędów (bez PII po konfiguracji)
Hetzner Online GmbH	Hosting infrastruktury serwerowej	Wszystkie dane backendowe

08 Okresy przechowywania danych

Kategoria danych	Okres przechowywania
Dane konta (aktywne)	Do usunięcia konta przez użytkownika
Dane zdrowotne (gorset, ćwiczenia, ból)	Do usunięcia konta + 30 dni karencji
Konto po żądaniu usunięcia	30-dniowy okres karencji (odwracalne), następnie trwałe usunięcie
Logi systemowe i audytowe	90 dni
Raporty błędów (Sentry)	90 dni
Dane statystyczne (Firebase Analytics)	14 miesięcy

09 Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa:

Prawo dostępu (art. 15) — możesz zażądać kopii swoich danych
Prawo do sprostowania (art. 16) — możesz poprawić błędne lub niekompletne dane
Prawo do usunięcia (art. 17) — realizujemy w ciągu 30 dni (+ 30-dniowy okres karencji)
Prawo do ograniczenia przetwarzania (art. 18) — możesz zażądać wstrzymania przetwarzania
Prawo do przenoszenia danych (art. 20) — dane udostępniamy w formacie JSON
Prawo sprzeciwu (art. 21) — wobec przetwarzania opartego na uzasadnionym interesie
Prawo do cofnięcia zgody (art. 7) — w każdej chwili, bez wpływu na legalność wcześniejszego przetwarzania
Prawo do skargi — do Prezesa UODO, ul. Stawki 2, 00-193 Warszawa, kancelaria@uodo.gov.pl

Prawa wykonujesz, pisząc na: privacy@brace-buddy.com. Odpowiadamy w ciągu 30 dni.

10 Bezpieczeństwo danych

Stosujemy następujące środki techniczne i organizacyjne:

Szyfrowanie danych zdrowotnych — AES-256-GCM
Szyfrowanie transmisji — TLS 1.3
Kontrola dostępu oparta na rolach (RBAC)
Rate limiting — ochrona przed atakami brute-force
Monitoring błędów (Sentry) z usuwaniem PII z raportów
Regularne kopie zapasowe danych na serwerach w UE

11 Zmiany Polityki Prywatności

O każdej istotnej zmianie powiadomimy Cię co najmniej 7 dni wcześniej — powiadomieniem w Aplikacji i/lub e-mailem. Poprzednie wersje Polityki są dostępne na żądanie pod adresem privacy@brace-buddy.com.

12 Kontakt

RODO / Prywatność: privacy@brace-buddy.com

Ogólny kontakt: support@brace-buddy.com

Organ nadzorczy:
Urząd Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warszawa
kancelaria@uodo.gov.pl · tel. +48 606 950 000

01 Data Controller

The controller of your personal data is:

Paweł Kobylak

Address: Ul. Olkuska 11/1, 81-501 Gdynia, Poland

Tax ID (NIP): PL586 214 90 62

Email: support@brace-buddy.com
Data protection: privacy@brace-buddy.com

02 Data We Collect and Sources

We process data you provide when registering and using the App:

Category	Examples	Source
Account data	Email, password (hash), registration date, timezone, language	Registration
Brace data	On/off timestamps, total wear duration, daily goal	App
Exercise data	Exercise type, duration, date	App
Pain data	Pain level (1–10), location, optional note	App
Child profile data	First name (no surname), date of birth, Cobb angle, brace type, profile colour	Guardian – profile creation
Technical data	IP address (registration only), user-agent, operation timestamps	Automatically collected
Diagnostic data	Crash reports, anonymous usage statistics	Sentry, Firebase Analytics

We do not collect: last names, national ID numbers, health insurance numbers, payment card numbers, or detailed medical records.

03 Purposes and Legal Bases

Purpose	Data	Legal Basis
Registration and authentication	Email, password hash	Art. 6(1)(b) GDPR – contract performance
Providing the Service (brace, exercise, pain)	Health data, child data	Art. 6(1)(a) + Art. 9(2)(a) GDPR – explicit consent
Cross-device data synchronisation	All user data	Art. 6(1)(b) GDPR – contract performance
Push notifications	FCM token, preferences	Art. 6(1)(a) GDPR – consent
Customer support and complaints	Email, correspondence	Art. 6(1)(b) + (c) GDPR
Crash monitoring (Sentry)	Anonymised error reports	Art. 6(1)(f) GDPR – legitimate interest
Usage analytics (Firebase)	Anonymised navigation data	Art. 6(1)(a) GDPR – consent (opt-in)
Legal compliance	Audit logs	Art. 6(1)(c) GDPR – legal obligation

04 Health Data (Art. 9 GDPR)

Data about brace wear time, rehabilitation exercises, pain and discomfort constitutes a special category of personal data — health data under Art. 9 GDPR.

We process this data on the basis of your explicit consent given at registration (Art. 9(2)(a) GDPR). Consent is voluntary — you may withdraw it at any time by requesting account deletion.

🔒 Encryption: Health data is encrypted with AES-256-GCM both in transit (TLS 1.3) and at rest on the server.

05 Children's Data (Art. 8 GDPR)

Child profiles are created exclusively by Guardians (parents or legal guardians) — a child cannot register independently.

Under Polish law (Art. 7 of the Polish Data Protection Act 2018), processing data of children under 13 requires explicit parental consent. By creating a Child profile for a child under 13, the Guardian grants that consent.

The Guardian has full control over the child's data, including the right to view, edit, and delete it.

06 International Data Transfers

We use service providers located outside the EEA. All transfers include appropriate safeguards:

Provider	Location	Safeguard
Firebase (Google Ireland Ltd)	EU servers; US backup	EU-U.S. Data Privacy Framework + SCCs
Sentry (Functional Software Inc.)	USA	EU-U.S. Data Privacy Framework + SCCs

07 Data Processors

We share data with the following processors under Data Processing Agreements (Art. 28 GDPR):

Processor	Role	Data
Google Firebase Google Ireland Ltd	Push notifications (FCM), analytics (optional)	Device token, anonymised events
Sentry Functional Software Inc.	Error monitoring (crash reporting)	Error reports (no PII after configuration)
Hetzner Online GmbH	Server infrastructure hosting	All backend data

08 Retention Periods

Data Category	Retention Period
Active account data	Until account deletion by the user
Health data (brace, exercises, pain logs)	Until account deletion + 30-day grace period
Account after deletion request	30-day grace period (reversible), then permanent deletion
System and audit logs	90 days
Crash reports (Sentry)	90 days
Analytics data (Firebase)	14 months

09 Your Rights

Under GDPR, you have the following rights:

Right of access (Art. 15) — request a copy of your personal data
Right to rectification (Art. 16) — correct inaccurate or incomplete data
Right to erasure (Art. 17) — request deletion; fulfilled within 30 days (+30-day grace period)
Right to restriction (Art. 18) — request that processing be suspended
Right to data portability (Art. 20) — receive your data in JSON format
Right to object (Art. 21) — object to processing based on legitimate interest
Right to withdraw consent (Art. 7) — withdraw at any time; does not affect prior lawful processing
Right to lodge a complaint — with the Polish DPA (UODO), ul. Stawki 2, 00-193 Warsaw, kancelaria@uodo.gov.pl, or your local supervisory authority

Exercise your rights at: privacy@brace-buddy.com. We respond within 30 days.

10 Data Security

We implement the following technical and organisational measures:

Health data encrypted with AES-256-GCM
All data in transit encrypted with TLS 1.3
Role-based access control (RBAC)
Rate limiting to protect against brute-force attacks
Error monitoring (Sentry) with PII stripped from reports
Regular data backups on EU servers

11 Changes to This Policy

We will notify you of any material changes at least 7 days in advance via in-app notification and/or email. Previous versions are available on request at privacy@brace-buddy.com.

12 Contact

Data protection: privacy@brace-buddy.com

General support: support@brace-buddy.com

Supervisory authority:
Urząd Ochrony Danych Osobowych (UODO)
ul. Stawki 2, 00-193 Warsaw, Poland
kancelaria@uodo.gov.pl · +48 606 950 000