1. Varstvo osebnih podatkov
2A CONSULTING se zavezuje varovati osebne podatke svojih uporabnikov v skladu s Splošno uredbo o varstvu podatkov (GDPR -- Uredba EU 2016/679) in zakonom št. 78-17 z dne 6. januarja 1978, spremenjenim (Zakon o informatiki in svoboščinah).
Upravljavec obdelave:
2A CONSULTING
E-naslov: contact@athleteside.com
Pooblaščena oseba za varstvo podatkov (DPO):
Dosegljiva po e-pošti na contact@athleteside.com
Za vsa vprašanja glede varstva vaših osebnih podatkov nas lahko kontaktirate na zgornjem naslovu.
2. Zbrani podatki
Zbiramo različne kategorije podatkov glede na vašo uporabo platforme:
Identifikacijski podatki: ime, priimek, e-naslov, geslo (zgoščeno), profilna slika, datum rojstva.
Podatki o povezavi: IP naslov, vrsta brskalnika, operacijski sistem, obiskane strani, datum in ura povezave, URL izvora.
Plačilni podatki: podatke o plačilni kartici obdeluje izključno naš ponudnik plačil Stripe. Na naših strežnikih nikoli ne shranjujemo številk vaših plačilnih kartic. Shranjujemo reference transakcij, zneske in datume izdaje računov.
Športni podatki: zgodovina aktivnosti (prek Strava, Garmin Connect ali ročnega vnosa), rezultati, srčna frekvenca, GPS podatki prog, športni cilji, raven pripravljenosti.
Coaching podatki: sporočila, izmenjana med trenerjem in športnikom, dodeljeni vadbeni načrti, ocene in mnenja.
Podatki o interakciji z AI: zgodovina pogovorov z AI trenerjem, zastavljena vprašanja, športni profil, posredovan AI.
Geolokacijski podatki: geolocirani IP naslov (MaxMind GeoIP), lokacija dogodkov in klubov.
Podatki o navigaciji: piškotki, identifikatorji seje, nastavitve prikaza, podatki o obiskovanosti (glej oddelek Piškotki).
Komunikacijski podatki: e-naslov za newsletter, nastavitve obvestil.
3. Pravne podlage obdelav
Vsaka obdelava osebnih podatkov temelji na pravni podlagi v skladu s členom 6 GDPR:
Izvajanje pogodbe (čl. 6.1.b):
- Ustvarjanje in upravljanje vašega uporabniškega računa
- Obdelava vaših naročil in plačil (naročnine Prime, vadbeni načrti, coaching)
- Zagotavljanje coaching storitve (sporočanje, načrti, spremljanje)
- Povezovanje prek tržnice
- Dostop do AI trenerja (za naročnike Prime)
- Izvoz vadbenih enot v Strava / Garmin Connect
- Pošiljanje newsletterja in komercialnih sporočil
- Povezovanje vašega računa Strava ali Garmin (dostop do vaših športnih aktivnosti)
- Prijava prek tretje storitve (Google, Facebook, Apple)
- Namestitev nebistvenih piškotkov (analitični, oglaševalski)
- Izboljšanje platforme in analiza obiskovanosti
- Preprečevanje goljufij in varnost spletne strani (reCAPTCHA, omejevanje hitrosti)
- Spremljanje konverzij in učinkovitosti funkcionalnosti
- Hramba računov in podatkov o transakcijah (davčne in računovodske obveznosti)
- Odgovarjanje na sodne zahtevke
4. Nameni obdelav
Vaši osebni podatki se obdelujejo za naslednje namene:
- Upravljanje računov: registracija, avtentikacija, upravljanje uporabniškega profila.
- Plačljive storitve: obdelava plačil, upravljanje naročnin (Prime, coaching), izdaja računov, nakazilo provizij trenerjem.
- Coaching: povezovanje trener/športnik, sporočanje, spremljanje vadbenih enot, ocene.
- Umetna inteligenca: zagotavljanje AI trenerja, prilagajanje vadbenih priporočil.
- Športni podatki: sinhronizacija s Strava in Garmin, izvoz vadbenih enot, izračuni rezultatov.
- Tržnica: objava in upravljanje oglasov, sporočanje med prodajalcem in kupcem.
- Komunikacija: pošiljanje newsletterja, transakcijska obvestila (potrditev naročila, opomnik plačila, potek kartice), servisna e-pošta.
- Priporočila: spremljanje priporočil, dodeljevanje nagrad.
- Analiza in izboljšanje: merjenje obiskovanosti, analiza uporabniških poti, optimizacija spletne strani.
- Varnost: zaznavanje goljufij, zaščita pred zlorabami (reCAPTCHA), beleženje dostopov.
5. Umetna inteligenca
AthleteSide uporablja storitve umetne inteligence, ki jih zagotavlja OpenAI (OpenAI, L.L.C., San Francisco, Združene države Amerike) za naslednje funkcionalnosti:
- AI trener: Pogovorni pomočnik za trening, prehrano in strategijo dirke. Sporočila, ki jih pošljete AI trenerju, se posredujejo API OpenAI za generiranje odgovorov.
- Generiranje vsebin: Nekateri članki in opisi so lahko generirani ali obogateni z AI.
- Prevajanje: Pomoč pri prevajanju vsebin v različne jezike spletne strani.
Odsotnost avtomatiziranega odločanja: AI zagotavlja priporočila informativnega značaja. Nobena odločitev, ki bi imela pravne učinke ali bistveno vplivala na uporabnika, ni sprejeta avtomatizirano zgolj na podlagi algoritmične obdelave.
Podatki, posredovani OpenAI, so predmet prenosa izven EU (glej oddelek »Prenosi izven EU«).
6. Plačilni podatki
Plačila na AthleteSide obdeluje Stripe (Stripe Payments Europe, Ltd., 1 Grand Canal Street Lower, Dublin, Irska).
Podatki, ki jih obdeluje Stripe: številka plačilne kartice, datum poteka, varnostna koda, ime imetnika. Te podatke zbira in obdeluje neposredno Stripe v okolju, certificiranem po PCI-DSS stopnji 1. AthleteSide nikoli ne shranjuje podatkov vaše plačilne kartice.
Podatki, ki jih hrani AthleteSide: identifikator stranke Stripe, zadnje 4 številke kartice, vrsta kartice, datum poteka, zgodovina transakcij (zneski, datumi, statusi), računi.
Za trenerje: nakazila provizij se izvedejo prek Stripe Connect. Trener posreduje svoje bančne podatke (IBAN, BIC) neposredno Stripe.
Politika zasebnosti Stripe: https://stripe.com/fr/privacy
7. Prijava prek tretjih storitev
AthleteSide omogoča prijavo in registracijo prek naslednjih tretjih storitev:
Google (Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irska) -- Pridobljeni podatki: ime, priimek, e-naslov, profilna slika.
Facebook (Meta Platforms Ireland Limited, 4 Grand Canal Square, Dublin 2, Irska) -- Pridobljeni podatki: ime, priimek, e-naslov, profilna slika.
Apple (Apple Distribution International Ltd., Hollyhill Industrial Estate, Cork, Irska) -- Pridobljeni podatki: ime, e-naslov (morebitno posredovan prek storitve »Hide My Email«).
Strava (Strava, Inc., San Francisco, Združene države Amerike) -- Pridobljeni podatki: ime, priimek, profilna slika, podatki o športnih aktivnostih (glej oddelek »Športni podatki«).
Uporaba teh storitev prijave je neobvezna in pogojena z vašim soglasjem. Tretjo storitev lahko kadarkoli odklopite iz nastavitev svojega računa. Pridobljeni so le podatki, potrebni za ustvarjanje ali prijavo vašega računa.
8. Športni in zdravstveni podatki
Nekatere funkcionalnosti AthleteSide vključujejo obdelavo podatkov, povezanih z zdravjem v smislu člena 9 GDPR, zlasti:
- Srčna frekvenca (podatki, uvoženi iz Strava ali Garmin Connect)
- Podatki o telesni aktivnosti: razdalja, trajanje, tempo, naklon, moč, kadenca
- GPS podatki: sledovi prog
- Športni cilji in raven pripravljenosti
Strava (Strava, Inc., San Francisco, Združene države Amerike) -- Do vaših športnih aktivnosti dostopamo prek API Strava. Ta dostop lahko kadarkoli prekličete iz nastavitev svojega računa Strava.
Garmin Connect (Garmin Ltd., Schaffhausen, Švica / Garmin International, Inc., Olathe, Kansas, Združene države Amerike) -- Vadbene enote izvažamo v vaš račun Garmin. Povezavo lahko prekličete iz nastavitev Garmin.
Svoje športne podatke lahko kadarkoli izbrišete iz nastavitev svojega računa AthleteSide.
9. Podizvajalci in prejemniki podatkov
Vaši osebni podatki se lahko posredujejo naslednjim podizvajalcem, ki delujejo po navodilih 2A CONSULTING:
| Podizvajalec | Storitev | Zadevni podatki | Lokacija |
|---|---|---|---|
| Amazon Web Services (AWS) | Gostovanje | Vsi podatki | EU (Irska / Francija) |
| Stripe | Plačila | Plačilni podatki, identiteta | Irska / Združene države Amerike |
| SendGrid (Twilio) | Pošiljanje e-pošte | E-naslov, vsebina e-pošte | Združene države Amerike |
| OpenAI | Umetna inteligenca | Pogovori AI, športni profil | Združene države Amerike |
| reCAPTCHA, Analytics, OAuth | IP naslov, podatki o navigaciji | Irska / Združene države Amerike | |
| Plausible Analytics | Analiza obiskovanosti | Anonimizirani podatki o navigaciji | EU |
| MaxMind (GeoIP2) | Geolokacija IP | IP naslov | Združene države Amerike |
| Meta (Facebook) | OAuth, družbena deljenja | Identiteta (ob družbeni prijavi) | Irska / Združene države Amerike |
| Apple | OAuth (Sign In with Apple) | Identiteta (ob družbeni prijavi) | Irska |
| Strava | Sinhronizacija športnih aktivnosti | Podatki o telesni aktivnosti | Združene države Amerike |
| Garmin | Izvoz vadbenih enot | Vadbene enote | Švica / Združene države Amerike |
| Effiliation | Komercialna afiliacija | Podatki o navigaciji (piškotki) | Francija |
Nobeni osebni podatki niso prodani tretjim osebam.
10. Prenosi podatkov izven EU
Nekateri naši podizvajalci se nahajajo izven Evropske unije, zlasti v Združenih državah Amerike. Ti prenosi so urejeni z naslednjimi jamstvi v skladu s poglavjem V GDPR:
EU-US Data Privacy Framework: Stripe, Google, Meta in drugi ameriški podizvajalci so certificirani v okviru Data Privacy Framework, ki ga je Evropska komisija priznala kot zagotavljajočega ustrezno raven varstva (sklep o ustreznosti z dne 10. julija 2023).
Standardne pogodbene klavzule (SCC): Za podizvajalce, ki niso pokriti z Data Privacy Framework, so vzpostavljene standardne pogodbene klavzule, odobrene s strani Evropske komisije.
Podizvajalci, ki jih zadeva prenos izven EU:
- Stripe (Združene države Amerike) -- Data Privacy Framework
- SendGrid / Twilio (Združene države Amerike) -- SCC
- OpenAI (Združene države Amerike) -- SCC + Data Processing Agreement
- Google (Združene države Amerike) -- Data Privacy Framework
- MaxMind (Združene države Amerike) -- SCC
- Strava (Združene države Amerike) -- SCC
11. Piškotki in sledilci
Spletna stran https://www.athleteside.com uporablja piškotke in sledilce. Za podrobne informacije si oglejte našo stran, namenjeno piškotkom.
Povzetek kategorij uporabljenih piškotkov:
- Nujno potrebni piškotki: Seja uporabnika, avtentikacija, košarica, CSRF, jezikovna nastavitev. Ti piškotki ne zahtevajo vašega soglasja.
- Analitični piškotki: Google Analytics, Plausible Analytics -- merjenje obiskovanosti in izboljšanje spletne strani.
- Funkcionalni piškotki: Zapomnitev vaših nastavitev (primerjava izdelkov, filtri).
- Piškotki tretjih oseb: reCAPTCHA (Google), gumbi za družbeno deljenje, vdelane vsebine (videoposnetki).
12. Obdobja hrambe
Vaši podatki se hranijo za naslednja obdobja:
| Vrsta podatkov | Obdobje hrambe |
|---|---|
| Uporabniški račun | Trajanje računa + 3 leta po izbrisu |
| Plačilni podatki in računi | 10 let (računovodska obveznost -- čl. L123-22 trgovinskega zakonika) |
| Coaching podatki (sporočila, načrti) | Trajanje naročnine + 1 leto |
| Pogovori z AI trenerjem | Trajanje računa (izbrisljivi s strani uporabnika) |
| Podatki o športnih aktivnostih | Trajanje računa (izbrisljivi s strani uporabnika) |
| Newsletter | Do odjave |
| Dnevniki povezav | 12 mesecev (zakonska obveznost -- LCEN) |
| Podatki o obiskovanosti (analytics) | Največ 26 mesecev |
| Piškotki | Največ 13 mesecev (priporočilo CNIL) |
| Oglasi na tržnici | Obdobje objave + 6 mesecev |
| Podatki o priporočilih | Trajanje računa priporočitelja |
Po poteku teh obdobij se podatki izbrišejo ali nepovratno anonimizirajo.
13. Vaše pravice
V skladu z GDPR in zakonom o informatiki in svoboščinah imate naslednje pravice glede vaših osebnih podatkov:
- Pravica dostopa (čl. 15 GDPR): Pridobiti potrditev, da se vaši podatki obdelujejo, in pridobiti njihovo kopijo.
- Pravica do popravka (čl. 16 GDPR): Zahtevati popravek nenatančnih ali nepopolnih podatkov.
- Pravica do izbrisa (čl. 17 GDPR): Zahtevati izbris vaših podatkov, ob upoštevanju zakonskih obveznosti hrambe.
- Pravica do prenosljivosti (čl. 20 GDPR): Prejeti svoje podatke v strukturiranem, splošno uporabljanem in strojno berljivem formatu.
- Pravica do ugovora (čl. 21 GDPR): Ugovarjati obdelavi vaših podatkov iz zakonitih razlogov ali ugovarjati komercialnemu trženju.
- Pravica do omejitve (čl. 18 GDPR): Zahtevati začasno prekinitev obdelave vaših podatkov v nekaterih primerih.
- Pravica do preklica soglasja: Kadarkoli preklicati svoje soglasje (newsletter, piškotki, družbena prijava, športni podatki), ne da bi to vplivalo na zakonitost predhodne obdelave.
- Postmortalne direktive (čl. 85 zakona o informatiki in svoboščinah): Opredeliti direktive glede usode vaših podatkov po vaši smrti.
14. Uveljavljanje vaših pravic
Za uveljavljanje svojih pravic lahko:
- Pošljete e-pošto na contact@athleteside.com, v kateri natančno navedete svojo zahtevo in priložite dokazilo o identiteti.
- Uporabite funkcionalnosti svojega računa: spremenite svoje podatke, izbrišete svoj račun, upravljajte svoje naročnine, odklopite tretje storitve (Strava, Google itd.).
V primeru težav pri uveljavljanju vaših pravic lahko vložite pritožbo pri Nacionalni komisiji za informatiko in svoboščine (CNIL):
CNIL -- 3 Place de Fontenoy, TSA 80715, 75334 Paris Cedex 07
Spletna stran: www.cnil.fr
15. Varnost podatkov
2A CONSULTING izvaja ustrezne tehnične in organizacijske ukrepe za varstvo vaših osebnih podatkov:
- Šifriranje med prenosom: Vse komunikacije so zavarovane prek HTTPS/TLS.
- Šifriranje v mirovanju: Občutljivi podatki so šifrirani v bazi podatkov.
- Zgoščevanje gesel: Gesla so zgoščena z varnim algoritmom (bcrypt) in nikoli niso shranjena v čistem besedilu.
- Nadzor dostopa: Omejen dostop do podatkov po vlogah (RBAC), okrepljena avtentikacija za administratorje.
- Varna plačila: PCI-DSS obdelava prek Stripe -- nobeni podatki o plačilni kartici ne prehajajo prek naših strežnikov.
- Zaščita pred zlorabami: Omejevanje hitrosti, reCAPTCHA, zaščita CSRF, zaznavanje vdorov.
- Varnostne kopije: Redne in šifrirane varnostne kopije podatkov.
- Posodobitve: Redna uporaba varnostnih popravkov.
16. Mladoletniki
Spletna stran AthleteSide ni namenjena otrokom, mlajšim od 15 let (starost digitalnega soglasja v Franciji v skladu s členom 7-1 zakona o informatiki in svoboščinah).
Uporabniki, stari od 15 do 18 let, morajo pridobiti dovoljenje svojega zakonitega zastopnika za ustvarjanje računa in uporabo storitev, zlasti plačljivih storitev.
Če izvemo, da so bili podatki zbrani o otroku, mlajšem od 15 let, brez soglasja imetnika starševske avtoritete, bomo sprejeli potrebne ukrepe za izbris teh podatkov v najkrajšem možnem času.