Polityka prywatności

Data wejścia w życie: 1 czerwca 2026

Niniejsza Polityka prywatności opisuje zasady przetwarzania danych osobowych Użytkowników serwisu i aplikacji Koronit (dalej: „Serwis"), dostępnych pod adresem koronit.pl.

§ 1. Administrator danych

  1. Administratorem danych osobowych jest Arkadiusz Bykowski, prowadzący działalność nierejestrowaną w rozumieniu art. 5 ust. 1 ustawy z dnia 6 marca 2018 r. — Prawo przedsiębiorców, adres e-mail: kontakt@koronit.pl (dalej: „Administrator").
  2. Kontakt w sprawach danych osobowych oraz realizacji praw: kontakt@koronit.pl.

§ 2. Jakie dane zbieramy i w jakim celu

2.1. Konto użytkownika

Dane: adres e-mail, nazwa użytkownika (publiczny pseudonim), zaszyfrowane hasło, identyfikatory logowania zewnętrznego (Google, Facebook, Apple — jeśli wybierzesz taki sposób logowania), dane uwierzytelniania dwuskładnikowego (2FA).

Cel: założenie i prowadzenie konta, logowanie, zabezpieczenie dostępu.

Podstawa prawna: wykonanie umowy o świadczenie usługi konta (art. 6 ust. 1 lit. b RODO) oraz prawnie uzasadniony interes Administratora — bezpieczeństwo (art. 6 ust. 1 lit. f RODO).

2.2. Weryfikacja zdobyć (ślad GPS + selfie)

Dane: ślad GPS trasy (z połączonego konta Strava lub z wgranego pliku GPX), zdjęcie (selfie) ze szczytu wraz z metadanymi (w tym dane lokalizacji EXIF, jeśli zdjęcie je zawiera), data i godzina zdobycia.

Cel: weryfikacja zdobycia szczytu. Każde zdobycie wymaga łącznie śladu GPS, selfie oraz akceptacji administratora.

Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO).

System automatycznie analizuje dane lokalizacji w zdjęciu (porównanie z położeniem szczytu) wyłącznie po to, by ułatwić administratorowi ocenę zgłoszenia. Ostateczną decyzję o przyjęciu lub odrzuceniu zdobycia podejmuje człowiek — nie jest ona wynikiem wyłącznie zautomatyzowanego przetwarzania (zob. § 8).

2.3. Dane ze Strava

Jeśli połączysz konto Strava, pobieramy dane aktywności potrzebne do weryfikacji zdobycia. Surowe dane aktywności (przebieg trasy, prędkości, dane z czujników — np. tętno, jeśli były) przetwarzamy wyłącznie przez czas weryfikacji i kasujemy natychmiast po zapisaniu danych pochodnych. Trwale zachowujemy jedynie dane pochodne: dystans, czas trwania i moment dotarcia na szczyt.

Połączenie ze Strava możesz w każdej chwili rozłączyć w ustawieniach konta. Przetwarzanie odbywa się zgodnie z regulaminem i wytycznymi Strava.

Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO); samo połączenie konta następuje na podstawie Twojej zgody wyrażonej w panelu Strava.

2.4. Profil publiczny

Dane: nazwa użytkownika, zdobyte tytuły i odznaki oraz — jeśli zdecydujesz — lista zdobyć i zdjęcia.

Cel: prezentacja Twojego profilu i osiągnięć w Serwisie (ranking, profil publiczny).

Podstawa prawna: wykonanie umowy oraz Twoja zgoda wyrażona przez ustawienia widoczności (art. 6 ust. 1 lit. a i b RODO). Zakres tego, co publiczne, kontrolujesz w ustawieniach konta.

2.5. Sklep i zamówienia

Dane: imię i nazwisko, adres dostawy, adres e-mail, dane niezbędne do realizacji wysyłki, dane zamówienia.

Cel: realizacja zamówienia, dostawa, rozpatrywanie reklamacji i zwrotów oraz obowiązki rachunkowe.

Podstawa prawna: wykonanie umowy (art. 6 ust. 1 lit. b RODO) oraz obowiązki prawne ciążące na Administratorze (art. 6 ust. 1 lit. c RODO). Dane płatności (karta, dane transakcji) przetwarza wyłącznie operator płatności Stripe — Administrator nie ma dostępu do pełnych danych kart.

2.6. Komunikacja e-mail

Dane: adres e-mail, treść wiadomości.

Cel: powiadomienia dotyczące konta, zdobyć i zamówień (transakcyjne) oraz — za odrębną zgodą — przypomnienia i informacje o nowościach.

Podstawa prawna: wykonanie umowy dla wiadomości transakcyjnych (art. 6 ust. 1 lit. b RODO); zgoda dla komunikacji marketingowej (art. 6 ust. 1 lit. a RODO), którą możesz wycofać w każdej chwili.

2.7. Dane zbierane automatycznie

Dane: adres IP, informacje o urządzeniu i przeglądarce, logi techniczne, dane z plików cookies.

Cel: zapewnienie działania i bezpieczeństwa Serwisu, analiza ruchu i poprawa działania (szczegóły w § 5).

Podstawa prawna: prawnie uzasadniony interes Administratora — bezpieczeństwo i prawidłowe działanie (art. 6 ust. 1 lit. f RODO); zgoda dla cookies analitycznych (art. 6 ust. 1 lit. a RODO).

§ 3. Odbiorcy danych — usługi zewnętrzne

Administrator korzysta z zaufanych dostawców, którym powierza przetwarzanie danych wyłącznie w zakresie niezbędnym do świadczenia usług:

  • Stripe (Stripe Payments Europe, Ltd., Irlandia) — obsługa płatności online.
  • Resend — wysyłka wiadomości e-mail (transakcyjnych i powiadomień).
  • Strava — źródło śladu aktywności, jeśli połączysz konto.
  • InPost (Polska) oraz DPD (rynek czeski) — realizacja i doręczenie przesyłek.
  • MapTiler — wyświetlanie map (pobranie kafelków mapy wiąże się z przekazaniem adresu IP).
  • Microsoft Clarity — analityka i nagrania sesji (po wyrażeniu zgody).
  • Cloudflare R2 — przechowywanie plików, w tym zdjęć przesłanych przez Użytkownika.
  • Backblaze B2 — kopie zapasowe.
  • Open-Meteo — dane pogodowe prezentowane na stronach szczytów.
  • Google, Facebook (Meta), Apple — logowanie zewnętrzne, tylko jeśli wybierzesz taki sposób logowania.
  • Dostawca infrastruktury serwerowej (hosting, UE) — utrzymanie Serwisu.

Przekazywanie danych poza EOG: w przypadku dostawców, których operatorzy działają poza Europejskim Obszarem Gospodarczym (m.in. niektóre usługi z USA), transfer danych odbywa się na podstawie decyzji o adekwatności, EU-U.S. Data Privacy Framework lub standardowych klauzul umownych (SCC) zgodnie z art. 46 RODO.

§ 4. Okres przechowywania danych

  • Dane konta i aktywności w aplikacji — przez czas posiadania konta. Po usunięciu konta dane aktywności oraz przesłane pliki (zdjęcia, ślady) są usuwane, a konto jest anonimizowane.
  • Surowe dane ze Strava — usuwane natychmiast po zapisaniu danych pochodnych (zob. § 2.3).
  • Dane zamówień — przez czas niezbędny do realizacji oraz przez okres wymagany przepisami rachunkowymi i podatkowymi (do 5 lat).
  • Zgody i dane potrzebne do obrony przed roszczeniami — do czasu przedawnienia roszczeń (zwykle do 6 lat).
  • Dane z plików cookies — zgodnie z okresem ważności poszczególnych cookies (§ 5).

§ 5. Pliki cookies i technologie śledzące

5.1. Rodzaje cookies

a) Cookies niezbędne (techniczne) — zapewniają logowanie, sesję, bezpieczeństwo (np. ochronę przed CSRF) i zapamiętanie ustawień. Nie wymagają zgody.

b) Cookies analityczne — Microsoft Clarity (analiza zachowań, nagrania sesji). Aktywowane wyłącznie po wyrażeniu zgody.

Serwis nie korzysta z cookies marketingowych ani z narzędzi reklamowych takich jak Google Analytics czy Facebook Pixel.

5.2. Zgoda na cookies

Przy pierwszej wizycie informujemy o stosowaniu cookies i umożliwiamy wyrażenie lub odmowę zgody na cookies analityczne. Ustawienia możesz w każdej chwili zmienić w przeglądarce lub w Serwisie.

5.3. Microsoft Clarity

Clarity rejestruje anonimowe nagrania sesji (ruchy, kliknięcia, przewijanie) i automatycznie maskuje dane wrażliwe wpisywane w formularze (hasła, dane płatnicze). Nagrywanie możesz zablokować, nie wyrażając zgody na cookies analityczne.

§ 6. Prawa Użytkownika

Na podstawie RODO przysługują Ci prawa: dostępu do danych (art. 15), sprostowania (art. 16), usunięcia — „prawo do bycia zapomnianym" (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20), sprzeciwu (art. 21) oraz cofnięcia zgody w dowolnym momencie (bez wpływu na zgodność z prawem przetwarzania sprzed cofnięcia).

Większość danych konta usuniesz samodzielnie — funkcja „Usuń konto" jest dostępna w ustawieniach. Możesz też napisać na kontakt@koronit.pl. Administrator odpowiada na żądania w terminie do 30 dni.

Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl).

§ 7. Bezpieczeństwo danych

  1. Administrator stosuje odpowiednie środki techniczne i organizacyjne chroniące dane przed nieuprawnionym dostępem, utratą lub zniszczeniem.
  2. Serwis korzysta z szyfrowania SSL/TLS, a połączenia są wymuszane przez HTTPS.
  3. Hasła są przechowywane wyłącznie w postaci zaszyfrowanej (funkcja skrótu). Dostępne jest uwierzytelnianie dwuskładnikowe (2FA), obowiązkowe dla kont administracyjnych.
  4. Dane płatnicze przetwarza wyłącznie certyfikowany operator Stripe (standard PCI DSS). Administrator nie przechowuje danych kart.
  5. Wykonywane są regularne kopie zapasowe.

§ 8. Zautomatyzowane podejmowanie decyzji

Administrator nie podejmuje wobec Użytkownika decyzji wywołujących skutki prawne wyłącznie w sposób zautomatyzowany. Automatyczna analiza danych lokalizacji w zdjęciu (zob. § 2.2) jedynie wspiera administratora — ostateczną decyzję o zdobyciu zawsze podejmuje człowiek.

§ 9. Zmiany Polityki prywatności

  1. Administrator może zmienić Politykę prywatności. Zmiany wchodzą w życie z dniem publikacji w Serwisie.
  2. O istotnych zmianach informujemy w Serwisie, a osoby zapisane na komunikację e-mail — drogą e-mail.

§ 10. Postanowienia końcowe

Niniejsza Polityka prywatności stanowi uzupełnienie Regulaminu dostępnego pod adresem koronit.pl/regulamin.

Wersja 1 z dnia 1.06.2026