1. Zaštita osobnih podataka
2A CONSULTING se obvezuje štititi osobne podatke svojih korisnika u skladu s Općom uredbom o zaštiti podataka (GDPR — Uredba EU 2016/679) i Zakonom br. 78-17 od 6. siječnja 1978. s izmjenama (Zakon o informatici i slobodama).
Voditelj obrade:
2A CONSULTING
Email: contact@athleteside.com
Službenik za zaštitu podataka (DPO):
Dostupan putem emaila na contact@athleteside.com
Za sva pitanja vezana uz zaštitu vaših osobnih podataka, možete nas kontaktirati na gore navedenu adresu.
2. Prikupljeni podaci
Prikupljamo različite kategorije podataka ovisno o vašem korištenju platforme:
Identifikacijski podaci: ime, prezime, email adresa, lozinka (hashirana), profilna fotografija, datum rođenja.
Podaci o povezivanju: IP adresa, vrsta preglednika, operativni sustav, pregledane stranice, datum i vrijeme povezivanja, URL izvor.
Podaci o plaćanju: informacije o bankovnoj kartici obrađuje isključivo naš pružatelj platnih usluga Stripe. Nikada ne pohranjujemo brojeve vaših bankovnih kartica na našim poslužiteljima. Čuvamo reference transakcija, iznose i datume fakturiranja.
Sportski podaci: povijest aktivnosti (putem Strave, Garmin Connecta ili ručnog unosa), performanse, srčani ritam, GPS podaci staza, sportski ciljevi, razina forme.
Coaching podaci: poruke razmijenjene između trenera i sportaša, dodijeljeni planovi treninga, recenzije i ocjene.
Podaci o interakciji s AI-jem: povijest razgovora s AI Trenerom, postavljena pitanja, sportski profil proslijeđen AI-ju.
Podaci o geolokaciji: geolocirana IP adresa (MaxMind GeoIP), lokacija događaja i klubova.
Podaci o navigaciji: kolačići, identifikatori sesije, preferencije prikaza, podaci o posjećenosti (vidi odjeljak Kolačići).
Komunikacijski podaci: email adresa za newsletter, preferencije obavijesti.
3. Pravne osnove obrade
Svaka obrada osobnih podataka temelji se na pravnoj osnovi u skladu s člankom 6. GDPR-a:
Izvršenje ugovora (čl. 6.1.b):
- Kreiranje i upravljanje vašim korisničkim računom
- Obrada vaših narudžbi i plaćanja (Prime pretplate, planovi treninga, coaching)
- Pružanje coaching usluge (poruke, planovi, praćenje)
- Povezivanje putem marketplacea
- Pristup AI Treneru (za Prime pretplatnike)
- Izvoz sesija na Stravu / Garmin Connect
- Slanje newslettera i komercijalnih komunikacija
- Povezivanje vašeg Strava ili Garmin računa (pristup vašim podacima sportskih aktivnosti)
- Povezivanje putem usluge treće strane (Google, Facebook, Apple)
- Postavljanje nebitnih kolačića (analitički, oglašivački)
- Poboljšanje platforme i analiza posjećenosti
- Prevencija prijevare i sigurnost stranice (reCAPTCHA, ograničavanje zahtjeva)
- Praćenje konverzija i performansi značajki
- Čuvanje faktura i podataka o transakcijama (porezne i računovodstvene obveze)
- Odgovor na sudske zahtjeve
4. Svrhe obrade
Vaši osobni podaci obrađuju se u sljedeće svrhe:
- Upravljanje računima: registracija, autentifikacija, upravljanje korisničkim profilom.
- Plaćene usluge: obrada plaćanja, upravljanje pretplatama (Prime, coaching), izdavanje faktura, isplata provizija trenerima.
- Coaching: povezivanje trenera i sportaša, poruke, praćenje sesija, ocjene.
- Umjetna inteligencija: pružanje AI Trenera, personalizacija preporuka treninga.
- Sportski podaci: sinkronizacija sa Stravom i Garminom, izvoz sesija, izračuni performansi.
- Marketplace: objava i upravljanje oglasima, poruke između prodavatelja i kupca.
- Komunikacija: slanje newslettera, transakcijske obavijesti (potvrda narudžbe, podsjetnik na plaćanje, istek kartice), servisni emailovi.
- Preporuke: praćenje preporuka, dodjela nagrada.
- Analiza i poboljšanje: mjerenje posjećenosti, analiza korisničkih putanja, optimizacija stranice.
- Sigurnost: detekcija prijevara, zaštita od zlouporaba (reCAPTCHA), evidentiranje pristupa.
5. Umjetna inteligencija
AthleteSide koristi usluge umjetne inteligencije koje pruža OpenAI (OpenAI, L.L.C., San Francisco, Sjedinjene Američke Države) za sljedeće funkcionalnosti:
- AI Trener: Konverzacijski asistent za trening, prehranu i strategiju utrke. Poruke koje šaljete AI Treneru prosljeđuju se OpenAI API-ju za generiranje odgovora.
- Generiranje sadržaja: Određeni članci i opisi mogu biti generirani ili obogaćeni putem AI-ja.
- Prijevod: Pomoć pri prijevodu sadržaja na različite jezike stranice.
Odsutnost automatizirane odluke: AI pruža preporuke u informativne svrhe. Nijedna odluka koja proizvodi pravne učinke ili značajno utječe na korisnika ne donosi se automatiziranim putem isključivo na temelju algoritamske obrade.
Podaci proslijeđeni OpenAI-ju predmet su prijenosa izvan EU (vidi odjeljak „Prijenosi izvan EU").
6. Podaci o plaćanju
Plaćanja na AthleteSide obrađuje Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irska).
Podaci koje obrađuje Stripe: broj bankovne kartice, datum isteka, sigurnosni kod, ime nositelja. Ti se podaci prikupljaju i obrađuju izravno od strane Stripea u okruženju certificiranom PCI-DSS razine 1. AthleteSide nikada ne pohranjuje vaše podatke o bankovnoj kartici.
Podaci koje čuva AthleteSide: Stripe identifikator klijenta, posljednje 4 znamenke kartice, vrsta kartice, datum isteka, povijest transakcija (iznosi, datumi, statusi), fakture.
Za trenere: isplate provizija vrše se putem Stripe Connect. Trener pruža svoje bankovne podatke (IBAN, BIC) izravno Stripeu.
Politika privatnosti Stripea: https://stripe.com/fr/privacy
7. Povezivanje putem usluga trećih strana
AthleteSide omogućuje povezivanje i registraciju putem sljedećih usluga trećih strana:
Google (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irska) — Prikupljeni podaci: ime, prezime, email adresa, profilna fotografija.
Facebook (Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irska) — Prikupljeni podaci: ime, prezime, email adresa, profilna fotografija.
Apple (Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irska) — Prikupljeni podaci: ime, email adresa (moguće proslijeđena putem usluge „Hide My Email").
Strava (Strava, Inc., San Francisco, Sjedinjene Američke Države) — Prikupljeni podaci: ime, prezime, profilna fotografija, podaci o sportskim aktivnostima (vidi odjeljak „Sportski podaci").
Korištenje ovih usluga povezivanja je neobvezno i podložno vašoj privoli. U bilo kojem trenutku možete odspojiti uslugu treće strane iz postavki svog računa. Prikupljaju se samo podaci potrebni za kreiranje ili povezivanje vašeg računa.
8. Sportski podaci i podaci o zdravlju
Određene funkcionalnosti AthleteSide uključuju obradu podataka vezanih uz zdravlje u smislu članka 9. GDPR-a, posebno:
- Srčani ritam (podaci uvezeni sa Strave ili Garmin Connecta)
- Podaci o fizičkoj aktivnosti: udaljenost, trajanje, tempo, visinska razlika, snaga, kadenca
- GPS podaci: tragovi staza
- Sportski ciljevi i razina forme
Strava (Strava, Inc., San Francisco, Sjedinjene Američke Države) — Pristupamo vašim sportskim aktivnostima putem Strava API-ja. Ovaj pristup možete opozvati u bilo kojem trenutku iz postavki svog Strava računa.
Garmin Connect (Garmin Ltd., Schaffhausen, Švicarska / Garmin International, Inc., Olathe, Kansas, Sjedinjene Američke Države) — Izvozimo sesije na vaš Garmin račun. Povezivanje se može opozvati iz Garmin postavki.
U bilo kojem trenutku možete izbrisati svoje sportske podatke iz postavki svog AthleteSide računa.
9. Podizvođači i primatelji podataka
Vaši osobni podaci mogu se proslijediti sljedećim podizvođačima, koji djeluju po uputama 2A CONSULTING:
| Podizvođač | Usluga | Dotični podaci | Lokacija |
|---|---|---|---|
| Amazon Web Services (AWS) | Hosting | Svi podaci | EU (Irska / Francuska) |
| Stripe | Plaćanja | Podaci o plaćanju, identitet | Irska / Sjedinjene Američke Države |
| SendGrid (Twilio) | Slanje emailova | Email adresa, sadržaj emailova | Sjedinjene Američke Države |
| OpenAI | Umjetna inteligencija | AI razgovori, sportski profil | Sjedinjene Američke Države |
| reCAPTCHA, Analytics, OAuth | IP adresa, podaci o navigaciji | Irska / Sjedinjene Američke Države | |
| Plausible Analytics | Analiza posjećenosti | Anonimizirani podaci o navigaciji | EU |
| MaxMind (GeoIP2) | IP geolokacija | IP adresa | Sjedinjene Američke Države |
| Meta (Facebook) | OAuth, dijeljenje na društvenim mrežama | Identitet (ako je socijalno povezivanje) | Irska / Sjedinjene Američke Države |
| Apple | OAuth (Sign In with Apple) | Identitet (ako je socijalno povezivanje) | Irska |
| Strava | Sinkronizacija sportskih aktivnosti | Podaci o fizičkoj aktivnosti | Sjedinjene Američke Države |
| Garmin | Izvoz sesija | Trening sesije | Švicarska / Sjedinjene Američke Države |
| Effiliation | Komercijalna afilijacija | Podaci o navigaciji (kolačići) | Francuska |
Nikakvi osobni podaci ne prodaju se trećim stranama.
10. Prijenosi podataka izvan EU
Neki od naših podizvođača nalaze se izvan Europske unije, posebno u Sjedinjenim Američkim Državama. Ti su prijenosi uokvireni sljedećim jamstvima, u skladu s poglavljem V GDPR-a:
EU-US Data Privacy Framework: Stripe, Google, Meta i drugi američki podizvođači certificirani su u okviru Data Privacy Frameworka, kojeg je Europska komisija priznala kao okvir koji pruža odgovarajuću razinu zaštite (odluka o primjerenosti od 10. srpnja 2023.).
Standardne ugovorne klauzule (SCC-ovi): Za podizvođače koji nisu obuhvaćeni Data Privacy Frameworkom, uspostavljene su Standardne ugovorne klauzule koje je odobrila Europska komisija.
Podizvođači obuhvaćeni prijenosom izvan EU:
- Stripe (Sjedinjene Američke Države) — Data Privacy Framework
- SendGrid / Twilio (Sjedinjene Američke Države) — SCC-ovi
- OpenAI (Sjedinjene Američke Države) — SCC-ovi + Data Processing Agreement
- Google (Sjedinjene Američke Države) — Data Privacy Framework
- MaxMind (Sjedinjene Američke Države) — SCC-ovi
- Strava (Sjedinjene Američke Države) — SCC-ovi
11. Kolačići i praćenja
Stranica https://www.athleteside.com koristi kolačiće i praćenja. Za detaljne informacije, pogledajte našu stranicu posvećenu kolačićima.
Sažetak kategorija korištenih kolačića:
- Strogo nužni kolačići: Korisnička sesija, autentifikacija, košarica, CSRF, jezična preferencija. Ovi kolačići ne zahtijevaju vašu privolu.
- Analitički kolačići: Google Analytics, Plausible Analytics — mjerenje posjećenosti i poboljšanje stranice.
- Funkcionalni kolačići: Pamćenje vaših preferencija (uspoređivač proizvoda, filtri).
- Kolačići trećih strana: reCAPTCHA (Google), gumbi za dijeljenje na društvenim mrežama, ugrađeni sadržaji (videozapisi).
12. Trajanje čuvanja
Vaši se podaci čuvaju tijekom sljedećih razdoblja:
| Vrsta podataka | Trajanje čuvanja |
|---|---|
| Korisnički račun | Trajanje računa + 3 godine nakon brisanja |
| Podaci o plaćanju i fakture | 10 godina (računovodstvena obveza — čl. L123-22 Trgovačkog zakona) |
| Coaching podaci (poruke, planovi) | Trajanje pretplate + 1 godina |
| Razgovori s AI Trenerom | Trajanje računa (može izbrisati korisnik) |
| Podaci o sportskim aktivnostima | Trajanje računa (može izbrisati korisnik) |
| Newsletter | Do odjave |
| Evidencije povezivanja | 12 mjeseci (zakonska obveza — LCEN) |
| Podaci o posjećenosti (analytics) | Najviše 26 mjeseci |
| Kolačići | Najviše 13 mjeseci (preporuka CNIL) |
| Oglasi na marketplaceu | Trajanje objave + 6 mjeseci |
| Podaci o preporukama | Trajanje računa preporučitelja |
Po isteku ovih razdoblja, podaci se brišu ili nepovratno anonimiziraju.
13. Vaša prava
U skladu s GDPR-om i Zakonom o informatici i slobodama, imate sljedeća prava nad svojim osobnim podacima:
- Pravo pristupa (čl. 15 GDPR): Dobiti potvrdu da se vaši podaci obrađuju i dobiti njihovu kopiju.
- Pravo na ispravak (čl. 16 GDPR): Ispraviti netočne ili nepotpune podatke.
- Pravo na brisanje (čl. 17 GDPR): Zatražiti brisanje vaših podataka, uz zakonske obveze čuvanja.
- Pravo na prenosivost (čl. 20 GDPR): Primiti vaše podatke u strukturiranom, uobičajeno korištenom i strojno čitljivom formatu.
- Pravo na prigovor (čl. 21 GDPR): Usprotiviti se obradi vaših podataka iz legitimnih razloga ili se usprotiviti komercijalnom kontaktiranju.
- Pravo na ograničenje (čl. 18 GDPR): Zatražiti obustavu obrade vaših podataka u određenim slučajevima.
- Pravo na povlačenje privole: Povući svoju privolu u bilo kojem trenutku (newsletter, kolačići, socijalno povezivanje, sportski podaci), bez utjecaja na zakonitost prethodne obrade.
- Post-mortem upute (čl. 85 Zakona o informatici i slobodama): Definirati upute o sudbini vaših podataka nakon vaše smrti.
14. Ostvarivanje vaših prava
Za ostvarivanje vaših prava, možete:
- Poslati email na contact@athleteside.com navodeći svoj zahtjev i priložiti dokaz identiteta.
- Koristiti funkcionalnosti svog računa: izmijeniti svoje podatke, izbrisati svoj račun, upravljati pretplatama, odspojiti usluge trećih strana (Strava, Google itd.).
U slučaju poteškoća u ostvarivanju vaših prava, možete podnijeti pritužbu Nacionalnom povjerenstvu za informatiku i slobode (CNIL):
CNIL — 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Web stranica: www.cnil.fr
15. Sigurnost podataka
2A CONSULTING provodi odgovarajuće tehničke i organizacijske mjere za zaštitu vaših osobnih podataka:
- Enkripcija u prijenosu: Sve komunikacije zaštićene su putem HTTPS/TLS.
- Enkripcija u mirovanju: Osjetljivi podaci šifrirani su u bazi podataka.
- Hashiranje lozinki: Lozinke se hashiraju sigurnim algoritmom (bcrypt) i nikada se ne pohranjuju u čistom tekstu.
- Kontrola pristupa: Ograničeni pristup podacima po ulogama (RBAC), pojačana autentifikacija za administratore.
- Sigurna plaćanja: PCI-DSS obrada putem Stripea — nikakvi podaci o bankovnoj kartici ne prolaze kroz naše poslužitelje.
- Zaštita od zlouporaba: Ograničavanje zahtjeva, reCAPTCHA, CSRF zaštita, detekcija upada.
- Sigurnosne kopije: Redovite i šifrirane sigurnosne kopije podataka.
- Ažuriranja: Redovita primjena sigurnosnih zakrpa.
16. Maloljetnici
Stranica AthleteSide nije namijenjena djeci mlađoj od 15 godina (dob digitalne privole u Francuskoj, u skladu s člankom 7-1 Zakona o informatici i slobodama).
Korisnici u dobi od 15 do 18 godina moraju dobiti odobrenje svog zakonskog zastupnika za kreiranje računa i korištenje usluga, posebno plaćenih usluga.
Ako saznamo da su podaci prikupljeni o djetetu mlađem od 15 godina bez privole nositelja roditeljske odgovornosti, poduzet ćemo potrebne mjere za brisanje tih podataka u najkraćem mogućem roku.