1. Data Controller

The controller of your personal data is the operator of the MyCoach service ("we", "us"). For all privacy matters contact: support@mycoach.fitness.

Given the nature and scale of our data processing, we are not required to appoint a Data Protection Officer (DPO) under GDPR Art. 37. However, you may direct all data protection inquiries to the email address above.

2. Data We Collect

2.1 Account Data

• Email address, display name, optional profile photo
• Account type (coach or athlete)
• Password stored as a cryptographic hash — never in plain text

2.2 Fitness and Health Data

Workout metrics such as distance, duration, pace, heart rate, cadence, elevation, lap splits, and body measurements may constitute special category (health) data under GDPR Art. 9. We process this data exclusively on the basis of your explicit consent (Art. 9(2)(a)) granted when you create an account and log activities. You may withdraw consent and delete all health data at any time from within the app.

• Workout sessions: type, date, distance, duration, pace/speed, heart rate, cadence, elevation
• Training plan data and progress tracking
• Body measurements (weight, height, and other metrics you choose to enter)
• AI coaching suggestions derived from your activity history

2.3 Communication Data

• Coach–athlete real-time chat messages
• Push notification tokens (Firebase device tokens for delivering reminders and messages)

2.4 Device and Technical Data

• Device type, operating system, app version
• IP address, time zone
• App interaction logs for error diagnostics and performance monitoring
• Language preference stored in device local storage

2.5 Third-Party Integration Data

If you connect Strava or Polar, we import activity data (GPS tracks, heart rate, performance metrics) via their official APIs, exclusively based on your explicit OAuth authorisation. We do not access data beyond the scope you authorise.

2.6 Payment Data

We do not store or process payment card details. All billing is handled by Paddle.com Market Ltd as Merchant of Record under Paddle's own privacy policy at paddle.com/legal/privacy.

3. Legal Basis for Processing

Processing activity	Legal basis (GDPR Art. 6)
Providing the app, managing your account, delivering the purchased subscription	Art. 6(1)(b) — performance of contract
Processing fitness and health data	Art. 9(2)(a) — explicit consent; Art. 6(1)(b) — contract
Push notifications	Art. 6(1)(a) — consent
Security and fraud prevention	Art. 6(1)(f) — legitimate interest
Legal obligations (tax records via Paddle)	Art. 6(1)(c) — legal obligation
Product analytics and improvement	Art. 6(1)(f) — legitimate interest

4. How We Use Your Data

• To create and maintain your account
• To operate the coaching platform (calendar, workout tracking, analytics, chat)
• To generate AI coaching insights from your training history
• To sync activities from Strava and Polar
• To deliver push notifications (reminders, coach/athlete messages)
• To manage your subscription via Paddle
• To diagnose errors and improve app performance
• To respond to support requests
• To comply with applicable legal obligations

We do not sell your personal data. We do not use your data for third-party advertising or marketing profiling.

5. Third-Party Processors

Processor	Purpose	Location
Paddle.com Market Ltd	Payment processing, subscription billing, tax compliance	UK / EEA
Google Firebase (Alphabet Inc.)	Push notifications, crash analytics, authentication infrastructure	EEA / USA (SCCs)
Strava, Inc.	Activity import (only on your explicit OAuth authorisation)	USA (SCCs)
Polar Electro Oy	Device data import (only on your explicit OAuth authorisation)	Finland / EEA

All processors are bound by data processing agreements. Transfers to the USA rely on Standard Contractual Clauses (SCCs) under GDPR Art. 46. Transfers to the UK are covered by the European Commission's adequacy decision for the United Kingdom. We will notify you of any material changes to our sub-processors via email or in-app notification at least 14 days in advance.

6. Data Retention

• Account and fitness data: retained while your account is active. Upon deletion, all personal data is permanently erased within 30 days, unless retention is legally required.
• Chat messages: retained for the duration of the coach–athlete relationship; deleted upon account deletion.
• Technical logs: maximum 12 months for security and diagnostic purposes.
• Billing records: retained by Paddle for the period required by applicable tax law (typically 5–7 years).

7. Your Rights Under GDPR

You may exercise any of the following rights by contacting support@mycoach.fitness. We respond within 30 days (extendable to 90 days for complex requests with prior notice).

• Access (Art. 15): request a copy of all personal data we hold about you.
• Rectification (Art. 16): request correction of inaccurate data.
• Erasure (Art. 17): request deletion of your data. You can also delete your account directly in the app.
• Portability (Art. 20): receive your data in a structured, machine-readable format.
• Restriction (Art. 18): request that we limit processing in certain circumstances.
• Objection (Art. 21): object to processing based on legitimate interest.
• Withdraw consent: where processing is consent-based, you may withdraw at any time without affecting the lawfulness of prior processing.
• Supervisory authority complaint: you have the right to lodge a complaint with the Polish Data Protection Authority (UODO), ul. Stawki 2, 00-193 Warsaw, or with the supervisory authority in your country of residence.

8. Cookies and Local Storage

The MyCoach website uses no tracking or advertising cookies. We use browser localStorage solely for:

• Language preference (EN/PL)
• Session authentication tokens required for app functionality

9. Children

MyCoach is not intended for individuals under 16. We do not knowingly collect data from children. Contact support@mycoach.fitness immediately if you believe a child has provided us with personal data.

10. Security

We apply appropriate technical and organisational measures including TLS/SSL encryption in transit, encrypted storage at rest, industry-standard password hashing, and access controls limiting data access to authorised personnel. In the event of a breach likely to affect your rights and freedoms, we will notify the supervisory authority within 72 hours and inform affected users without undue delay (GDPR Art. 33–34).

11. Artificial Intelligence and Machine Learning

MyCoach uses AI and machine learning to generate personalised training suggestions, performance predictions, and coaching insights. These features process your workout history, fitness metrics, and training patterns to provide recommendations. AI-generated content is provided for informational and motivational purposes only and does not constitute medical or professional advice.

We do not use your personal data to train general-purpose AI models. AI processing is limited to generating recommendations specific to your individual training within the Service.

12. Automated Decision-Making (Art. 22)

MyCoach does not make decisions based solely on automated processing that produce legal effects or similarly significantly affect you. AI coaching suggestions are recommendations only and do not restrict your access to the Service or affect your contractual rights. You always retain full control over your training decisions.

13. Geolocation Data

If imported from Strava or Polar, activity data may include GPS tracks and location information. This data is stored within your account and is only visible to you and your connected coach. We do not publish, aggregate, or share geolocation data with third parties. If you work in a sensitive profession or environment, consider using Strava's or Polar's privacy zones before syncing activities.

14. Do Not Track

Some browsers transmit a "Do Not Track" (DNT) signal. There is no industry-wide standard for honouring DNT. Since MyCoach does not use tracking or advertising cookies (see Section 8), this is functionally equivalent to honouring DNT.

15. Marketing Communications

We may send you service-related emails (subscription confirmations, password resets, security alerts). These are transactional and do not require consent. We will only send promotional emails with your explicit opt-in consent. You can unsubscribe from promotional communications at any time via the unsubscribe link in any email or by contacting us.

16. Changes

We will notify you of material changes by email or in-app notification at least 14 days before the changes take effect. Continued use after the effective date constitutes acceptance.

17. Contact

support@mycoach.fitness

1. Administrator danych

Administratorem Twoich danych osobowych jest operator usługi MyCoach ("my", "nas"). We wszystkich sprawach prywatności skontaktuj się z nami: support@mycoach.fitness.

Ze względu na charakter i skalę przetwarzania danych nie jesteśmy zobowiązani do powołania Inspektora Ochrony Danych (IOD) zgodnie z art. 37 RODO. Wszelkie zapytania dotyczące ochrony danych można kierować na powyższy adres e-mail.

2. Dane, które zbieramy

2.1 Dane konta

• Adres e-mail, nazwa wyświetlana, opcjonalne zdjęcie profilowe
• Typ konta (trener lub zawodnik)
• Hasło przechowywane jako skrót kryptograficzny — nigdy w postaci jawnej

2.2 Dane sportowe i zdrowotne

Dane treningowe takie jak dystans, czas trwania, tempo, tętno, kadencja, przewyższenie, podziały okrążeń i pomiary ciała mogą stanowić dane szczególnej kategorii (dane zdrowotne) w rozumieniu art. 9 RODO. Przetwarzamy te dane wyłącznie na podstawie Twojej wyraźnej zgody (art. 9 ust. 2 lit. a) udzielanej przy zakładaniu konta i rejestrowaniu aktywności. Zgodę możesz wycofać i usunąć wszystkie dane zdrowotne w dowolnym momencie bezpośrednio z aplikacji.

• Sesje treningowe: typ, data, dystans, czas, tempo/prędkość, tętno, kadencja, przewyższenie
• Dane planu treningowego i śledzenie postępów
• Pomiary ciała (waga, wzrost i inne mierniki według Twojego wyboru)
• Sugestie coachingu AI generowane na podstawie historii aktywności

2.3 Dane komunikacyjne

• Wiadomości na czacie trener–zawodnik w czasie rzeczywistym
• Tokeny powiadomień push (tokeny urządzenia Firebase do dostarczania przypomnień i wiadomości)

2.4 Dane urządzenia i dane techniczne

• Typ urządzenia, system operacyjny, wersja aplikacji
• Adres IP, strefa czasowa
• Logi interakcji z aplikacją — diagnostyka błędów i monitorowanie wydajności
• Preferencja językowa przechowywana w pamięci lokalnej urządzenia

2.5 Dane z integracji zewnętrznych

Po połączeniu ze Stravą lub Polarem importujemy dane aktywności (ślady GPS, tętno, parametry wydajności) za pośrednictwem ich oficjalnych API, wyłącznie na podstawie Twojej wyraźnej autoryzacji w procesie OAuth. Nie pobieramy danych wykraczających poza zakres Twojej autoryzacji.

2.6 Dane płatnicze

Nie przechowujemy ani nie przetwarzamy danych kart płatniczych. Cała obsługa płatności realizowana jest wyłącznie przez Paddle.com Market Ltd jako Merchant of Record na podstawie własnej polityki prywatności Paddle dostępnej pod adresem paddle.com/legal/privacy.

3. Podstawa prawna przetwarzania

Czynność przetwarzania	Podstawa prawna (art. 6 RODO)
Świadczenie aplikacji, zarządzanie kontem, realizacja subskrypcji	Art. 6 ust. 1 lit. b — wykonanie umowy
Przetwarzanie danych sportowych i zdrowotnych	Art. 9 ust. 2 lit. a — wyraźna zgoda; art. 6 ust. 1 lit. b — umowa
Powiadomienia push	Art. 6 ust. 1 lit. a — zgoda
Bezpieczeństwo i zapobieganie oszustwom	Art. 6 ust. 1 lit. f — uzasadniony interes
Obowiązki prawne (ewidencja podatkowa przez Paddle)	Art. 6 ust. 1 lit. c — obowiązek prawny
Analityka produktowa i ulepszanie aplikacji	Art. 6 ust. 1 lit. f — uzasadniony interes

4. Sposób wykorzystania danych

• Tworzenie i utrzymanie konta
• Świadczenie platformy coachingowej (kalendarz, śledzenie treningu, analityka, czat)
• Generowanie sugestii AI na podstawie historii treningowej
• Synchronizacja aktywności ze Stravą i Polarem
• Dostarczanie powiadomień push (przypomnienia, wiadomości od trenera/zawodników)
• Zarządzanie subskrypcją przez Paddle
• Diagnostyka błędów i poprawa wydajności aplikacji
• Odpowiadanie na zgłoszenia wsparcia
• Wypełnianie obowiązków prawnych

Nie sprzedajemy Twoich danych osobowych. Nie wykorzystujemy danych do reklam ani profilowania marketingowego przez podmioty trzecie.

5. Podmioty przetwarzające

Podmiot	Cel	Lokalizacja
Paddle.com Market Ltd	Obsługa płatności, subskrypcje, zgodność podatkowa	Wielka Brytania / EOG
Google Firebase (Alphabet Inc.)	Powiadomienia push, analityka awarii, infrastruktura uwierzytelniania	EOG / USA (SCC)
Strava, Inc.	Import aktywności (wyłącznie za Twoją autoryzacją OAuth)	USA (SCC)
Polar Electro Oy	Import danych z urządzenia (wyłącznie za Twoją autoryzacją OAuth)	Finlandia / EOG

Wszystkie podmioty przetwarzające są związane umowami powierzenia. Przekazania do USA objęte są Standardowymi Klauzulami Umownymi (SCC) na podstawie art. 46 RODO. Przekazania do Wielkiej Brytanii objęte są decyzją Komisji Europejskiej o adekwatności. O istotnych zmianach w liście podmiotów przetwarzających poinformujemy Cię e-mailem lub w aplikacji z co najmniej 14-dniowym wyprzedzeniem.

6. Okres przechowywania danych

• Dane konta i treningowe: przez cały czas aktywności konta. Po usunięciu konta dane są trwale kasowane w ciągu 30 dni, o ile przepisy prawa nie wymagają dłuższego przechowywania.
• Wiadomości czatu: przez czas trwania relacji trener–zawodnik; usuwane po usunięciu konta.
• Logi techniczne: maksymalnie 12 miesięcy do celów bezpieczeństwa i diagnostyki.
• Dokumentacja rozliczeniowa: przechowywana przez Paddle przez okres wymagany przepisami podatkowymi (zazwyczaj 5–7 lat).

7. Twoje prawa z RODO

Aby skorzystać z poniższych praw, skontaktuj się z nami: support@mycoach.fitness. Odpowiadamy w ciągu 30 dni (możliwe przedłużenie do 90 dni w złożonych przypadkach za uprzednim poinformowaniem).

• Dostęp (art. 15): żądanie kopii wszystkich przetwarzanych danych.
• Sprostowanie (art. 16): poprawienie nieprawidłowych danych.
• Usunięcie (art. 17): usunięcie danych. Możesz także usunąć konto bezpośrednio w aplikacji.
• Przenośność (art. 20): otrzymanie danych w ustrukturyzowanym formacie nadającym się do odczytu maszynowego.
• Ograniczenie przetwarzania (art. 18): ograniczenie przetwarzania w określonych okolicznościach.
• Sprzeciw (art. 21): sprzeciw wobec przetwarzania opartego na uzasadnionym interesie.
• Wycofanie zgody: możesz wycofać zgodę w dowolnym momencie bez wpływu na zgodność z prawem wcześniejszego przetwarzania.
• Skarga do organu nadzorczego: masz prawo złożyć skargę do Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, lub do organu nadzorczego w kraju zamieszkania.

8. Pliki cookie i pamięć lokalna

Strona MyCoach nie używa cookies śledzenia ani reklamowych. localStorage stosujemy wyłącznie do przechowywania preferencji językowych (EN/PL) oraz tokenów sesji niezbędnych do działania aplikacji.

9. Ochrona danych dzieci

MyCoach nie jest przeznaczony dla osób poniżej 16. roku życia. Jeśli uważasz, że dziecko przesłało nam dane osobowe, skontaktuj się niezwłocznie: support@mycoach.fitness.

10. Bezpieczeństwo danych

Stosujemy szyfrowanie TLS/SSL dla danych w tranzycie, zaszyfrowane przechowywanie danych wrażliwych, haszowanie haseł algorytmami branżowymi oraz kontrolę dostępu. W przypadku naruszenia ochrony danych mogącego negatywnie wpłynąć na Twoje prawa powiadomimy organ nadzorczy w ciągu 72 godzin i poinformujemy dotkniętych użytkowników bez zbędnej zwłoki (art. 33–34 RODO).

11. Sztuczna inteligencja i uczenie maszynowe

MyCoach wykorzystuje AI i uczenie maszynowe do generowania spersonalizowanych sugestii treningowych, przewidywania wydajności i wskazówek coachingowych. Funkcje te przetwarzają historię treningów, metryki fitness i wzorce treningowe w celu dostarczenia rekomendacji. Treści generowane przez AI służą wyłącznie celom informacyjnym i motywacyjnym i nie stanowią porady medycznej ani profesjonalnej.

Nie wykorzystujemy Twoich danych osobowych do trenowania modeli AI ogólnego przeznaczenia. Przetwarzanie AI ogranicza się do generowania rekomendacji dotyczących Twojego indywidualnego treningu w ramach Usługi.

12. Zautomatyzowane podejmowanie decyzji (art. 22)

MyCoach nie podejmuje decyzji opartych wyłącznie na zautomatyzowanym przetwarzaniu, które wywołują skutki prawne lub w podobny sposób istotnie na Ciebie wpływają. Sugestie AI są wyłącznie rekomendacjami i nie ograniczają dostępu do Usługi ani nie wpływają na Twoje prawa umowne. Zawsze zachowujesz pełną kontrolę nad decyzjami treningowymi.

13. Dane geolokalizacyjne

Jeśli importowane ze Stravy lub Polara, dane aktywności mogą zawierać ślady GPS i informacje o lokalizacji. Dane te są przechowywane na Twoim koncie i widoczne wyłącznie dla Ciebie i Twojego połączonego trenera. Nie publikujemy, nie agregujemy ani nie udostępniamy danych geolokalizacyjnych podmiotom trzecim. Jeśli pracujesz w środowisku wrażliwym, rozważ użycie stref prywatności w Stravie lub Polarze przed synchronizacją aktywności.

14. Sygnał Do Not Track

Niektóre przeglądarki wysyłają sygnał „Do Not Track” (DNT). Brak jednolitego standardu branżowego odpowiedzi na DNT. Ponieważ MyCoach nie używa cookies śledzenia ani reklamowych (patrz sekcja 8), jest to funkcjonalnie równoważne z honorowaniem DNT.

15. Komunikacja marketingowa

Możemy wysyłać e-maile związane z usługą (potwierdzenia subskrypcji, resetowanie haseł, alerty bezpieczeństwa). Są to wiadomości transakcyjne i nie wymagają zgody. Wiadomości promocyjne wysyłamy wyłącznie za Twoją wyraźną zgodą. Możesz zrezygnować z komunikacji promocyjnej w dowolnym momencie klikając link rezygnacji w e-mailu lub kontaktując się z nami.

16. Zmiany w polityce

O istotnych zmianach poinformujemy Cię e-mailem lub w aplikacji co najmniej 14 dni przed ich wejściem w życie. Dalsze korzystanie z usługi oznacza akceptację zaktualizowanej polityki.

17. Kontakt

support@mycoach.fitness