Ostatnia aktualizacja: 2026-05-08
Administratorem Twoich danych osobowych w rozumieniu RODO (rozporządzenie (UE) 2016/679) jest YesWas | Paweł Orzech (jednoosobowa działalność gospodarcza), NIP PL8741734171, wpisany do CEIDG, Rzeczpospolita Polska. Kontakt w sprawach ochrony danych: [email protected]. Nie wyznaczyliśmy Inspektora Ochrony Danych — skala przetwarzania i ograniczony zakres szczególnych kategorii danych (dobrowolne, opt-in, ograniczone do tego, co użytkownik sam wprowadza lub synchronizuje) nie spełniają kryteriów art. 37 RODO.
/weight lub auto-synchronizowana z Withings, jeśli go podłączysz), poziom aktywności, cel wagowy (schudnij / utrzymaj / przybierz) oraz pochodny dzienny cel kaloryczny. Wykorzystywane do obliczenia TDEE metodą Mifflin-St Jeor, adaptacyjnego TDEE (Pro) i widoków dziennego budżetu. Nie zbieramy diagnoz medycznych, schorzeń, leków, alergii ani danych genetycznych.bn_visitor): losowy token 16 bajtów zapisywany w pierwszym (first-party) ciasteczku i/lub localStorage na bitenote.eu, z TTL 30 dni, służący do utrzymania stałego wariantu strony lądowania między wizytami. Sam token nie zawiera danych osobowych i nie jest łączony z Twoim kontem Telegram ani danymi płatności.| Cel | Podstawa prawna |
|---|---|
| Świadczenie estymacji posiłków, obsługa płatności, wsparcie | RODO art. 6 ust. 1 lit. b — wykonanie umowy |
| Dane zdrowotne i profilowe (waga, wzrost, cele, sync z Withings) — obliczenie celu kalorycznego, adaptive TDEE, widoki trendu wagi | RODO art. 9 ust. 2 lit. a — wyraźna zgoda, pobierana na osobnym ekranie podczas onboardingu; w połączeniu z art. 6 ust. 1 lit. b dla wykonania umowy |
| Wystawianie faktur VAT, księgowość, ewidencja podatkowa | art. 6 ust. 1 lit. c — obowiązek prawny (Ordynacja podatkowa art. 86; Ustawa o VAT) |
| Logi bezpieczeństwa, prewencja nadużyć, przypisanie wariantu A/B | art. 6 ust. 1 lit. f — uzasadniony interes (prowadzenie i ulepszanie usługi) |
| Zagregowana analityka strony (self-hosted Umami, bez cookies) | art. 6 ust. 1 lit. f — uzasadniony interes; dane anonimowe |
Zgoda z art. 9 ust. 2 lit. a jest dobrowolna i może być wycofana w każdej chwili przez /account → Usuń moje dane lub e-mail na [email protected]. Wycofanie nie wpływa na zgodność z prawem przetwarzania sprzed wycofania.
/account → usuń lub 24 miesiące od ostatniej aktywnej sesji — w zależności co nastąpi wcześniej./account → usuń, wycofania zgody z art. 9 lub 24 miesiące od ostatniej aktywnej sesji — w zależności co nastąpi wcześniej.Dane osobowe powierzamy wyłącznie poniższym podmiotom przetwarzającym, na podstawie umów powierzenia lub równoważnych zabezpieczeń. Postanowienia umowne ograniczają wykorzystanie danych do świadczenia umówionej usługi.
| Procesor | Rola | Jurysdykcja | Mechanizm transferu / podstawa |
|---|---|---|---|
| Google LLC (Gemini API) | Estymacja AI — przetwarzanie zdjęć i nagrań głosowych | USA | EU-U.S. Data Privacy Framework + Standard Contractual Clauses |
| Telegram FZ-LLC | Komunikacja botem + płatności Telegram Stars | UAE / global | Umowa Telegrama; użytkownik samodzielnie korzysta z Telegrama |
| Stripe Payments Europe Ltd (EEA) / Stripe Inc. (USA) | Płatności kartą i obsługa subskrypcji | Ireland (EU) / USA | Podmiot EU dla przetwarzania; transfer do USA na podstawie DPF + SCC |
| infakt sp. z o.o. | Wystawianie faktur VAT | Kraków, Poland | Procesor w UE, prawo polskie |
| Contabo GmbH | Hosting VPS (aplikacja + PostgreSQL) | Munich, Germany | Hosting w UE |
| BunnyWay d.o.o. (Bunny.net) | DNS i CDN domeny bitenote.eu | Ljubljana, Slovenia | Procesor w UE |
| Self-hosted Umami (operated by the controller) | Zagregowana analityka strony, bez cookies | Hetzner, Germany | Ten sam administrator; brak strony trzeciej |
| Withings SAS | Synchronizacja pomiarów wagi przez OAuth2 (funkcja Pro, opt-in) | Issy-les-Moulineaux, France (EU) | Procesor w UE; użytkownik autoryzuje połączenie przez OAuth i może je odwołać na withings.com |
Część przetwarzania wiąże się z transferem poza EOG: Google LLC (USA) — Gemini API; Groq, Inc. (USA) — gdy używany do transkrypcji głosu (fallback); Stripe Inc. (USA) — jako podwykonawca w przetwarzaniu płatności kartą. Transfery odbywają się na podstawie decyzji o adekwatności EU-U.S. Data Privacy Framework oraz Standardowych Klauzul Umownych (decyzja Komisji 2021/914) jako dodatkowego zabezpieczenia. Telegram FZ-LLC obsługuje globalną infrastrukturę; do danych na poziomie platformy zastosowanie ma polityka prywatności Telegrama.
Brak reklamowych sieci stron trzecich (third-party ad networks). Nie osadzamy Google Analytics, Meta / Facebook Pixel, TikTok Pixel ani żadnego porównywalnego taga ad-tech stron trzecich na stronie lądowania ani w przepływie bota. Analityka strony to self-hosted Umami w trybie bezcookie (zliczenia zagregowane). Bot nie ładuje żadnego SDK trzeciego.
Masz prawo do: dostępu do swoich danych (art. 15), sprostowania nieprawidłowych danych (art. 16), usunięcia (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20), sprzeciwu wobec przetwarzania opartego na uzasadnionym interesie (art. 21) oraz tego, by nie podlegać decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu wywołującym skutki prawne (art. 22 — nie podejmujemy takich decyzji). Tam, gdzie podstawą jest zgoda, możesz ją wycofać w każdej chwili — nie wpływa to na zgodność z prawem przetwarzania sprzed wycofania.
Jak skorzystać: w bocie @bitenotebot — /account umożliwia eksport danych i usunięcie konta; albo napisz na [email protected]. Odpowiadamy w 30 dni (z możliwością przedłużenia o 2 miesiące dla wniosków złożonych — z zawiadomieniem, art. 12 ust. 3 RODO).
Prawo do skargi: do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl; albo do organu nadzorczego w państwie UE Twojego zwykłego pobytu.
Publiczna strona lądowania używa jednego pierwszego (first-party) identyfikatora — opisanego wyżej cookie / wpisu localStorage bn_visitor — do testów A/B strony. Nie służy on reklamie ani śledzeniu między witrynami. Nie używamy reklamowych cookies stron trzecich. Analityka realizowana jest przez self-hosted Umami w trybie bezcookie (zliczanie zagregowane). Jeśli sprzeciwiasz się wykorzystaniu bn_visitor, napisz na [email protected] — wyłączymy Cię z przypisywania wariantów.
BiteNote przeznaczony jest dla osób pełnoletnich (18+). Nie zbieramy świadomie danych osób małoletnich. Jeśli sądzisz, że osoba małoletnia korzystała z usługi, napisz na [email protected], a niezwłocznie usuniemy odpowiednie rekordy.
Liczenie kalorii może szkodzić osobom z zaburzeniami odżywiania lub w grupie ryzyka. Bot wyświetla ostrzeżenie i wymaga jednoznacznego potwierdzenia przed pierwszym użyciem, a osobnej wyraźnej zgody — przed pobraniem jakichkolwiek danych zdrowotnych. Jeżeli korzystanie z usługi negatywnie wpływa na Twoje samopoczucie — skonsultuj się z wykwalifikowanym specjalistą.
BiteNote przetwarza ograniczony zakres danych zdrowotnych — Twoją wagę, wzrost, płeć biologiczną, rok urodzenia, poziom aktywności i cel wagowy — do obliczenia dziennego celu kalorycznego. Zgodnie z art. 9 ust. 1 RODO są to szczególne kategorie danych osobowych; podstawą przetwarzania jest wyraźna zgoda z art. 9 ust. 2 lit. a, pobierana na dedykowanym ekranie podczas onboardingu (oddzielnie od ostrzeżenia 18+/ED i od akceptacji Regulaminu). Nie przetwarzamy diagnoz medycznych, schorzeń, leków, alergii, danych genetycznych ani biometrycznych identyfikatorów. Możesz wycofać zgodę i usunąć dane zdrowotne w dowolnej chwili przez /account → Usuń moje dane; wycofanie zatrzymuje dalsze przetwarzanie natychmiast i nie wpływa na zgodność z prawem przetwarzania sprzed wycofania.
BiteNote nie podejmuje wobec Ciebie zautomatyzowanych decyzji wywołujących skutki prawne lub równie istotne. Testy A/B operują na zagregowanych statystykach i nie profilują pojedynczych użytkowników. Limity dzienne stosujemy jednolicie według statusu konta, bez profilowania indywidualnego.
Cały ruch szyfrowany HTTPS/TLS. Dostęp do bazy danych ograniczony do uprawnień aplikacji. Hostingodawca stosuje szyfrowanie dysku. Nie przechowujemy numerów kart ani danych uwierzytelniających. Praktyki bezpieczeństwa są okresowo przeglądane.
Lokalizacja hostingu. Aplikacja oraz baza PostgreSQL działają na serwerze EU zarządzanym przez Coolify (Contabo, Niemcy). Szyfrowane kopie zapasowe trafiają do regionu EU Backblaze B2. Poza procesorami z państw trzecich wymienionymi w §5–6 (Gemini, Stripe, opcjonalnie Groq) Twój dziennik posiłków, log wagi i dane profilowe pozostają w obrębie Unii Europejskiej.
O istotnych zmianach informujemy w wiadomości @bitenotebot z 30-dniowym wyprzedzeniem oraz aktualizujemy datę powyżej. Dalsze korzystanie po dniu wejścia w życie oznacza akceptację.