Politică de Confidențialitate

1. Operatorul de date. Date de contact

Operatorul datelor cu caracter personal colectate prin intermediul platformei ResetYourBody este:

RESETYOURBODYGYM S.R.L., CUI 54298489, Reg. Com. J2026018551004 (EUID: ROONRC.J2026018551004), cu sediul în Timișoara, B-dul Sudului Nr. 38, Scara G, Ap. 20, Jud. Timiș, email oncea92bogdan@gmail.com, telefon +40 723 587 225. Administrator și asociat unic: ONCEA BOGDAN-ANDREI.

Responsabil cu protecția datelor (DPO): oncea92bogdan@gmail.com. Orice solicitare privind drepturile dumneavoastră sau prelucrarea datelor poate fi transmisă la adresa de email a DPO sau în scris la sediul Operatorului.

2. Temeiul legal. Principii generale

Prelucrăm datele dumneavoastră cu caracter personal în conformitate cu Regulamentul (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 (GDPR) și cu legislația română de punere în aplicare. Respectăm principiile prevăzute la art. 5 GDPR: legalitate, echitate și transparență; limitarea scopului; minimizarea datelor; exactitate; limitarea stocării; integritate și confidențialitate.

3. Date speciale de sănătate — Articolul 9 GDPR

Platforma ResetYourBody colectează, în mod intenționat și necesar pentru furnizarea serviciului, categorii speciale de date cu caracter personal în sensul art. 9 GDPR, și anume date privind sănătatea și starea fizică a persoanei. Această secțiune descrie exhaustiv ce date colectăm, în ce scop și pe ce temei.

3.1. Categorii de date de sănătate colectate

• Greutatea corporală (exprimată în kilograme), înregistrată periodic de Client în cadrul funcționalității de urmărire a progresului;
• Procentul de grăsime corporală (body fat percentage — BF%) și masa musculară estimată;
• Măsurători antropometrice: circumferința pieptului, taliei, șoldurilor, brațelor și coapselor, exprimate în centimetri;
• Fotografii de progres corporal: imagini ale corpului Clientului (față, profil, spate) încărcate voluntar în platforma ResetYourBody prin funcționalitatea dedicată;
• Istoricul antrenamentelor: exerciții efectuate, seturi, repetări, greutăți utilizate, durata antrenamentelor și rata de aderență la program;
• Aportul caloric și macronutrienții: calorii, proteine, carbohidrați și lipide raportate opțional de Client în cadrul planului nutrițional;
• Note personale: orice observații legate de starea de sănătate, nivelul de energie, dureri sau disconfort, consemnate de Client în câmpul de notițe al înregistrărilor de progres.

3.2. Baza legală: consimțământul explicit (art. 9 alin. (2) lit. (a) GDPR)

Prelucrarea datelor speciale enumerate la pct. 3.1 se bazează exclusiv pe consimțământul explicit al Clientului, exprimat în mod separat și specific la momentul înregistrării pe platformă, prin bifarea casetei dedicate datelor de sănătate.

Consimțământul general pentru termeni și condiții nu este suficient pentru prelucrarea datelor de sănătate. Clientul acordă un consimțământ distinct, specific, informat și liber exprimat, care acoperă exclusiv scopul personalizării programului de antrenament și nutriție.

Baza legală pentru datele obișnuite de cont (email, nume, istoric plăți) este executarea contractului (art. 6 alin. (1) lit. (b) GDPR) sau, după caz, consimțământul (art. 6 alin. (1) lit. (a) GDPR).

3.3. Scopul prelucrării datelor de sănătate

Datele de sănătate sunt prelucrate exclusiv în scopul:

• personalizării programului de antrenament în funcție de compoziția corporală actuală și de obiectivele Clientului;
• ajustării periodice a planului nutrițional în funcție de evoluția greutății și a măsurătorilor;
• generării rapoartelor de progres disponibile Clientului în platformă;
• comunicării între Prestator (trainer) și Client cu privire la evoluția programului.

Nu prelucrăm datele de sănătate în niciun alt scop și nu le utilizăm pentru profilare automată cu efecte juridice sau similare.

3.4. Accesul la datele de sănătate. Vizibilitate

Datele de sănătate ale Clientului sunt accesibile exclusiv Prestatorului (Bogdan, trainer personal). Nicio altă persoană, entitate sau sistem automat terț nu are acces la datele de sănătate individuale ale Clientului.

Datele de sănătate nu sunt vândute, închiriate, cedate sau transmise în nicio formă către terți în scopuri comerciale sau de marketing. Singurele situații în care datele pot ajunge la terți sunt:

• furnizori de infrastructură tehnică (hosting, stocare cloud) care acționează exclusiv ca persoane împuternicite (procesatori) în temeiul unui acord de prelucrare a datelor (DPA) și care nu au dreptul să prelucreze datele în scopuri proprii;
• autorități publice, în cazul unei obligații legale exprese.

3.5. Fotografiile de progres — regim special

Fotografiile de progres corporal sunt stocate în formă criptată în infrastructura de stocare securizată (Supabase Storage). Accesul la fotografii este restricționat la Client și Prestator.

Fotografiile nu sunt utilizate pentru scopuri de marketing, publicitate sau comunicare publică fără consimțământul separat, expres și specific al Clientului acordat în formă scrisă sau electronică. Acordul pentru utilizarea fotografiilor în materiale de marketing constituie un scop distinct și nu decurge din consimțământul acordat la înregistrare.

Clientul poate șterge individual sau în bloc fotografiile de progres în orice moment, direct din secțiunea „Progres” a dashboard-ului platformei, fără a fi necesară nicio solicitare adresată Prestatorului.

3.6. Retragerea consimțământului pentru datele de sănătate

Clientul poate retrage consimțământul pentru prelucrarea datelor speciale de sănătate în orice moment, fără ca aceasta să afecteze legalitatea prelucrărilor efectuate anterior retragerii. Retragerea consimțământului se face prin:

• ștergerea manuală a datelor din platformă (fotografii, înregistrări de progres);
• solicitarea scrisă transmisă la oncea92bogdan@gmail.com sau oncea92bogdan@gmail.com.

Retragerea consimțământului pentru datele de sănătate poate afecta posibilitatea Prestatorului de a furniza servicii personalizate, deoarece acestea sunt necesare pentru adaptarea programului.

4. Alte categorii de date colectate

4.1. Date de cont: numele și prenumele, adresa de email, parola (stocată exclusiv sub formă de hash criptografic), data înregistrării.

4.2. Date de facturare: adresa de facturare, codul numeric personal (dacă este solicitat de legislația fiscală), istoricul tranzacțiilor.

4.3. Date de utilizare a platformei: adresa IP, tipul de browser, sesiunile de autentificare, paginile vizitate, timpul petrecut pe platformă. Aceste date sunt colectate în scopul securizării platformei și îmbunătățirii experienței utilizatorului.

4.4. Date de comunicare: conținutul mesajelor schimbate prin funcționalitatea de mesagerie a platformei între Client și Prestator.

5. Cookies

Informații detaliate privind utilizarea cookie-urilor sunt disponibile în Politica Cookies accesibilă la /cookies.

6. Drepturile dumneavoastră conform GDPR (Art. 15–22)

În temeiul GDPR, beneficiați de următoarele drepturi:

• Dreptul de acces (art. 15): puteți solicita o copie a datelor cu caracter personal pe care le prelucrăm despre dumneavoastră.
• Dreptul la rectificare (art. 16): puteți solicita corectarea datelor inexacte sau completarea datelor incomplete.
• Dreptul la ștergere („dreptul de a fi uitat”) (art. 17): puteți solicita ștergerea datelor atunci când acestea nu mai sunt necesare scopului pentru care au fost colectate, când vă retrageți consimțământul sau când prelucrarea este nelegală.
• Dreptul la restricționarea prelucrării (art. 18): puteți solicita limitarea prelucrării datelor în cazurile prevăzute de art. 18 GDPR.
• Dreptul la portabilitatea datelor (art. 20): puteți solicita primirea datelor furnizate de dumneavoastră într-un format structurat, utilizat în mod curent, lizibil automat.
• Dreptul la opoziție (art. 21): vă puteți opune prelucrării bazate pe interes legitim sau în scopuri de marketing direct.
• Dreptul de a nu face obiectul unei decizii individuale automatizate (art. 22): nu utilizăm sisteme de decizie automată (profilare) cu efecte semnificative asupra Clienților.
• Dreptul de a depune plângere la autoritatea de supraveghere (art. 77): puteți depune plângere la ANSPDCP, Bulevardul Gheorghe Magheru nr. 28-30, sector 1, București.

Solicitările privind drepturile se adresează la oncea92bogdan@gmail.com sau oncea92bogdan@gmail.com. Răspundem în termen de maximum 30 de zile calendaristice de la primirea solicitării (termen ce poate fi prelungit cu 60 de zile în cazuri complexe, cu notificarea prealabilă a Clientului).

7. Durata stocării datelor

• Datele de cont și datele de sănătate asociate: pe durata menținerii contului activ și timp de 3 ani de la ultima interacțiune sau de la ultima ședință de antrenament, după care sunt șterse definitiv sau anonimizate.
• Fotografiile de progres: până la ștergerea de către Client sau până la 3 ani de la ultima activitate a contului.
• Documentele de facturare: 10 ani de la data emiterii, în conformitate cu obligațiile fiscale prevăzute de Legea contabilității nr. 82/1991 și Codul fiscal.
• Datele din mesageria internă: 2 ani de la data expirării contractului.

8. Minori

Platforma nu este destinată persoanelor sub 16 ani. Pentru persoanele cu vârsta cuprinsă între 16 și 18 ani, prelucrarea datelor cu caracter personal, inclusiv a datelor de sănătate, este condiționată de consimțământul expres al părintelui sau reprezentantului legal, exprimat în formă scrisă și transmis Prestatorului înainte de înregistrare.

9. Transferuri internaționale de date

Datele sunt stocate pe servere localizate în Uniunea Europeană sau în țări care oferă un nivel adecvat de protecție conform deciziilor Comisiei Europene. În cazul utilizării unor furnizori de servicii cu sediul în afara SEE, transferul se efectuează pe baza clauzelor contractuale standard aprobate de Comisia Europeană (art. 46 GDPR).

10. Securitatea datelor

Aplicăm măsuri tehnice și organizatorice adecvate pentru a proteja datele cu caracter personal împotriva accesului neautorizat, pierderii, distrugerii sau divulgării, inclusiv: criptarea datelor în tranzit (TLS/HTTPS), criptarea fotografiilor stocate, controlul strict al accesului la baza de date și proceduri de notificare a incidentelor de securitate conform art. 33–34 GDPR.