Zásady ochrany osobných údajov

SmartGym

Verzia dokumentu: 1.0

Dátum účinnosti: 17. 4. 2026

1. Kto spracúva vaše osobné údaje

Prevádzkovateľom aplikácie SmartGym a súvisiacich služieb je KRAVKY, s.r.o., Plánky 2632/38, 840 02 Bratislava, Slovensko, IČO: 54389488, zapísaná v OR MS Bratislava III, oddiel Sro, vložka č. 159264/B. Ak máte otázky týkajúce sa ochrany osobných údajov alebo si chcete uplatniť svoje práva, môžete nás kontaktovať na e-mailovej adrese info@smartgym.sk.

2. Na čo sa tieto zásady vzťahujú

Tieto zásady sa vzťahujú na mobilnú aplikáciu SmartGym, webové rozhranie SmartGym a súvisiace backendové služby, prostredníctvom ktorých spravujeme používateľské účty, členstvá, platby, prístupy do fitness centier, notifikácie, profilové údaje, tréningové funkcie a ďalšie funkcie dostupné podľa typu používateľa. Tieto zásady sa vzťahujú aj na spracúvanie údajov v súvislosti s profilovou fotografiou, QR vstupmi, digitálnymi členskými kartami, partner kartami, tréningovými a administrátorskými funkciami a zdravotnými údajmi, ak používateľ príslušnú funkciu využije.

3. Aké osobné údaje spracúvame

• Identifikačné a účtové údaje: meno, priezvisko, členské ID, e-mail, heslo v hashovanej podobe, rola používateľa, údaje o overení e-mailu a technické identifikátory účtu.
• Kontaktné a adresné údaje: telefónne číslo, ulica a číslo, PSČ, mesto, štát.
• Profilové údaje: dátum narodenia, pohlavie, profilová fotografia, história žiadostí o zmenu profilových údajov alebo fotografie.
• Údaje o členstve a nákupoch: typ členstva, platnosť, počet vstupov, objednávky, fakturačné údaje, čísla faktúr, stav platieb, transakčné identifikátory a referencie na GoPay platby.
• Údaje o prístupe do prevádzok: QR tokeny a QR payloady, záznamy o vstupe, zariadenie skenera, prevádzka, stav vstupu, dôvod zamietnutia alebo úspechu a súvisiace notifikácie.
• Údaje o partner kartách a digitálnych kartách: údaje o prepojení s partner kartou, Apple Wallet a Google Wallet údajoch, identifikátory partnerov a technické údaje potrebné na vydanie alebo aktualizáciu digitálnej karty.
• Komunikačné a bezpečnostné údaje: prihlasovacie a bezpečnostné záznamy, IP adresa, user-agent pri udelení súhlasu, tokenová a autentifikačná história, interné auditné udalosti, notifikácie v aplikácii.
• Údaje súvisiace s trénerom alebo administráciou: údaje o pridelenom trénerovi, klientoch trénera, tréningových sedeniach, rozvrhoch, interných schvaľovacích a prevádzkových procesoch, ak sa na vás príslušná funkcionalita vzťahuje.
• Zdravotné údaje a údaje osobitnej kategórie: zranenia, obmedzenia, poznámky, telesné merania, InBody súbory a súvisiace zdravotné záznamy, ak ich dobrovoľne poskytnete alebo využijete príslušnú funkcionalitu.

4. Z akých zdrojov údaje získavame

• priamo od vás pri registrácii, úprave profilu, nákupe, nahraní fotografie alebo používaní aplikácie,
• z vášho zariadenia a operačného systému pri používaní mobilných funkcií,
• z vašej aktivity pri vstupe do prevádzky alebo používaní QR a wallet funkcií,
• od poskytovateľov platieb, ak vykonáte platbu alebo je potrebné zosúladiť stav transakcie,
• od partnerov, ak si prepojíte partner kartu alebo využijete partnerský vstup,
• od trénerov alebo administrátorov, ak s vami pracujú v rámci funkcií aplikácie,
• z našich interných logov a zabezpečovacích mechanizmov.

5. Na aké účely a na akom právnom základe údaje spracúvame

5.1 Vytvorenie a správa používateľského účtu

Spracúvame údaje potrebné na registráciu, prihlásenie, správu profilu, správu rolí a správu používateľského účtu.

Právny základ: plnenie zmluvy alebo vykonanie krokov pred uzatvorením zmluvy.

5.2 Poskytovanie členstva, objednávok a platieb

Spracúvame údaje potrebné na predaj členstiev, evidenciu objednávok, párovanie platieb, vystavenie dokladov, správu platobného stavu a vybavenie súvisiacich požiadaviek.

Právny základ: plnenie zmluvy a splnenie zákonných povinností, najmä účtovných, daňových a reklamačných povinností.

5.3 Vstup do prevádzok a overenie oprávneného používania členstva

Spracúvame QR údaje, údaje o vstupe, údaje o skeneroch a záznamy o tom, či bol vstup povolený alebo zamietnutý. Tieto údaje používame na zabezpečenie oprávneného vstupu, evidenciu návštev a riešenie incidentov. Právny základ: plnenie zmluvy a náš oprávnený záujem na ochrane prevádzky, prevencii zneužitia a zabezpečení služieb.

5.4 Profilová fotografia a identifikácia člena

Spracúvame profilovú fotografiu, žiadosti o jej zmenu a súvisiace schvaľovanie, aby bolo možné identifikovať člena a bezpečne poskytovať služby.

Právny základ: plnenie zmluvy a náš oprávnený záujem na ochrane prevádzky a prevencii zneužitia členského účtu.

5.5 Notifikácie, oznámenia a prevádzková komunikácia

Spracúvame notifikácie v aplikácii a prípadne e-mailovú komunikáciu, napríklad pri resetovaní hesla, overovaní e-mailu, vybavení žiadosti alebo prevádzkových oznámeniach.

Právny základ: plnenie zmluvy, splnenie zákonných povinností a náš oprávnený záujem na bezpečnej a riadnej prevádzke služby.

5.6 Wallet funkcie a partner integrácie

Ak využijete Apple Wallet, Google Wallet, partner kartu alebo partnerský vstup, spracúvame technické a identifikačné údaje potrebné na vydanie, prepojenie, aktualizáciu a používanie digitálnej alebo partnerskej karty.

Právny základ: plnenie zmluvy a váš pokyn použiť konkrétnu funkciu.

5.7 Tréningové, tréner a administrátorské funkcie

Ak používate funkcie súvisiace s trénerom, klientmi trénera, tréningovým kalendárom alebo administráciou členstiev a prevádzky, spracúvame údaje potrebné na zabezpečenie týchto funkcionalít.

Právny základ: plnenie zmluvy, náš oprávnený záujem na riadení služieb a v nevyhnutných prípadoch splnenie zákonných povinností.

5.8 Zdravotné údaje

Ak dobrovoľne zadáte alebo nahráte zdravotné údaje, napríklad merania, zranenia, obmedzenia alebo InBody súbory, spracúvame ich výlučne na sprístupnenie zvolenej funkcionality a vedenie príslušných zdravotných záznamov v rámci aplikácie.

Právny základ: váš výslovný súhlas a vaše aktívne poskytnutie týchto údajov. Ak súhlas odvoláte, nebude to mať vplyv na zákonnosť spracúvania pred odvolaním.

5.9 Bezpečnosť, audit a ochrana pred zneužitím

Spracúvame bezpečnostné logy, IP adresy, údaje o tokenoch, auditné udalosti a technické údaje potrebné na ochranu účtov, prevádzky, infraštruktúry a na preukázanie súladu. Právny základ: náš oprávnený záujem na bezpečnosti, prevencii podvodov, ochrane práv a v nevyhnutných prípadoch splnenie zákonných povinností.

6. Je poskytnutie údajov povinné

Niektoré údaje sú povinné, pretože bez nich nemôžeme vytvoriť účet, poskytovať členstvo, spracovať platbu, vydať digitálnu kartu alebo umožniť vstup do prevádzky. Neposkytnutie povinných údajov môže znamenať, že vám nebudeme môcť službu alebo jej časť poskytnúť.

Zdravotné údaje poskytujete dobrovoľne. Ak ich neposkytnete, funkcie závislé od týchto údajov nemusia byť dostupné alebo úplné.

7. Komu údaje sprístupňujeme

Osobné údaje sprístupňujeme iba v rozsahu potrebnom na poskytovanie služby, plnenie zákonných povinností alebo ochranu našich práv.

• Poskytovateľom platobných služieb, najmä GoPay, ak vykonávate alebo overujete platbu.
• Poskytovateľom e-mailových alebo komunikačných služieb, ak je potrebné doručiť prevádzkovú komunikáciu.
• Spoločnostiam Apple a Google, ak používate Apple Wallet, Google Wallet alebo súvisiace mobilné služby.
• Partnerom ako Multisport alebo UpBalansea, ak prepojíte partner kartu alebo využijete partnerský vstup.
• Poskytovateľom IT, hostingu, infraštruktúry, bezpečnostných a podporných služieb, ktorí nám pomáhajú prevádzkovať aplikáciu.
• Našim účtovným, právnym alebo audítorským poradcom, ak je to potrebné.
• Orgánom verejnej moci, súdom alebo iným oprávneným subjektom, ak nám to ukladá zákon alebo ak je to potrebné na ochranu našich práv.

8. Prenos do tretích krajín

Primárne sa snažíme spracúvať osobné údaje v Európskom hospodárskom priestore. Ak však použijete funkcie alebo služby poskytované medzinárodnými partnermi, napríklad Apple, Google alebo inými technologickými dodávateľmi, môže dôjsť k prenosu údajov mimo EHP.

V takom prípade zabezpečíme, aby bol prenos založený na primeranom rozhodnutí, štandardných zmluvných doložkách alebo inom vhodnom mechanizme vyžadovanom právnymi predpismi.

9. Ako dlho údaje uchovávame

• Údaje o účte a profile uchovávame počas trvania vášho účtu a primeraný čas po jeho ukončení, spravidla najdlhšie 3 roky, ak neexistuje zákonný dôvod alebo oprávnený nárok na dlhšie uchovanie.
• Fakturačné, účtovné a daňové doklady uchovávame po dobu vyžadovanú právnymi predpismi, spravidla 10 rokov.
• Údaje o platbách a transakciách uchovávame počas trvania zmluvného vzťahu a následne po dobu potrebnú na preukazovanie, účtovníctvo, dane a riešenie nárokov.
• Záznamy o vstupe, bezpečnostné logy, auditné udalosti a technické prevádzkové údaje uchovávame po dobu nevyhnutnú na bezpečnosť, prevádzku a riešenie incidentov, spravidla do 12 mesiacov, alebo dlhšie, ak je to potrebné na preukázanie nárokov alebo vyšetrovanie incidentu.
• Profilové fotografie a súvisiace žiadosti uchovávame počas trvania účtu a primeranú dobu po vybavení žiadosti alebo ukončení účtu.
• Zdravotné údaje uchovávame po dobu, počas ktorej využívate príslušnú funkcionalitu, alebo do odvolania súhlasu, ak neexistuje iný zákonný dôvod na ich obmedzené ďalšie uchovanie.
• Údaje o wallet a partner kartách uchovávame po dobu aktívneho prepojenia a primeranú dobu po jeho ukončení na bezpečnostné a prevádzkové účely.

10. Vaše práva

Máte právo:

• požadovať prístup k svojim osobným údajom,
• požadovať opravu nepresných alebo neúplných údajov,
• požadovať vymazanie údajov, ak sú splnené zákonné podmienky,
• požadovať obmedzenie spracúvania,
• namietať proti spracúvaniu založenému na oprávnenom záujme,
• získať svoje údaje v prenosnom formáte, ak sa uplatňuje právo na prenosnosť,
• odvolať súhlas so spracúvaním, ak je spracúvanie založené na súhlase,
• podať sťažnosť dozornému orgánu.

Svoje práva si môžete uplatniť prostredníctvom e-mailu info@smartgym.sk. Na vybavenie žiadosti môžeme potrebovať overiť vašu totožnosť.

11. Dozorný orgán

Ak sa domnievate, že spracúvanie vašich osobných údajov je v rozpore s právnymi predpismi, môžete podať sťažnosť na Úrad na ochranu osobných údajov Slovenskej republiky, Námestie 1. mája 18, 811 06 Bratislava, Slovenská republika, web: https://dataprotection.gov.sk.

12. Automatizované rozhodovanie

V rámci aplikácie SmartGym nevykonávame automatizované individuálne rozhodovanie vrátane profilovania, ktoré by malo na vás právne účinky alebo vás podobne významne ovplyvňovalo.

13. Bezpečnosť údajov

Používame primerané technické a organizačné opatrenia na ochranu osobných údajov, najmä kontrolu prístupov, autentifikačné mechanizmy, logovanie, obmedzenie prístupu podľa rolí, bezpečnostné monitorovanie a ďalšie opatrenia primerané povahe spracúvania.

Aj napriek tomu nie je žiadny systém úplne bez rizika. Preto vás žiadame, aby ste chránili svoje prihlasovacie údaje, používali bezpečné heslo a bezodkladne nás kontaktovali, ak sa domnievate, že došlo k neoprávnenému prístupu k vášmu účtu.

14. Povolenia zariadenia a mobilné funkcie

Mobilná aplikácia môže pri používaní určitých funkcií vyžadovať povolenia zariadenia, napríklad:

• prístup ku kamere na nahratie profilovej fotografie a skenovanie QR kódov,
• prístup k fotkám na výber alebo uloženie obrázka,
• povolenie notifikácií na doručovanie oznámení,
• Face ID alebo podobnú biometriu pre bezpečné prihlásenie, ak je táto funkcia dostupná a zapnutá,
• polohu, ak používate funkcie súvisiace s vyhľadaním prevádzky alebo navigáciou.

Udelenie týchto povolení spravujete vo svojom zariadení. Odmietnutie povolenia môže obmedziť konkrétnu funkcionalitu, ale neznamená automaticky zrušenie vášho účtu.

15. Zmeny týchto zásad

Tieto zásady môžeme primerane aktualizovať, ak sa zmení aplikácia, právne požiadavky alebo spôsob spracúvania osobných údajov. Aktuálna verzia bude označená dátumom účinnosti a verziou dokumentu.

---

Privacy Policy

SmartGym

Document version: 1.0

Effective date: 17 April 2026

1. Who processes your personal data

The controller of the SmartGym application and related services is KRAVKY, s.r.o., Plánky 2632/38, 840 02 Bratislava, Slovakia, Company ID: 54389488, registered in the Commercial Register of the Municipal Court Bratislava III, Section Sro, File No. 159264/B. If you have questions about privacy or wish to exercise your rights, you can contact us at info@smartgym.sk.

2. What this policy covers

This policy applies to the SmartGym mobile application, the SmartGym web interface and the related backend services through which we manage user accounts, memberships, payments, gym access, notifications, profile data, training features and other role-based functions. This policy also applies to the processing of data connected with profile photos, QR access, digital membership cards, partner cards, trainer and administrative features and health data where the relevant feature is used by the user.

3. What personal data we process

• Identity and account data: first name, last name, member ID, email address, hashed password, user role, email verification data and technical account identifiers.
• Contact and address data: phone number, street and house number, postal code, city and country.
• Profile data: date of birth, gender, profile photo, history of profile change requests or photo change requests.
• Membership and commerce data: membership type, validity, entry counts, orders, invoice data, invoice numbers, payment status, transaction identifiers and GoPay payment references.
• Access and facility-entry data: QR tokens and QR payloads, access-entry records, scanner device data, location, access result and related denial or success reasons, together with related notifications.
• Partner-card and digital-card data: data relating to partner-card linking, Apple Wallet and Google Wallet records and identifiers required to issue or update a digital card.
• Communication and security data: in-app notifications, email communication where applicable, login and security records, IP address, user-agent recorded with consent events, token and authentication history and internal audit events.
• Trainer and administrative data: data connected with assigned trainers, trainer clients, training sessions, schedules and internal approval or operational processes where relevant to your use of the service.
• Health and special-category data: injuries, restrictions, notes, body measurements, InBody files and related health records where you voluntarily submit such data or use the relevant feature.

4. Where we obtain the data from

• directly from you during registration, profile editing, purchasing, uploading a photo or using the app,
• from your device and operating system when you use mobile features,
• from your activity when entering gyms or using QR and wallet features,
• from payment providers when you make a payment or when a transaction status must be reconciled,
• from partners when you link a partner card or use a partner-access flow,
• from trainers or administrators where they work with your account within the app,
• from our internal logs and security controls.

5. Why we process the data and our legal bases

5.1 Account creation and account management

We process data required to register you, authenticate you, manage your profile, assign roles and maintain your user account.

Legal basis: performance of a contract or steps taken prior to entering into a contract.

5.2 Memberships, orders and payments

We process data necessary to sell memberships, record orders, reconcile payments, issue documents, manage payment status and handle related requests.

Legal basis: performance of a contract and compliance with legal obligations, especially accounting, tax and consumer-law obligations.

5.3 Gym access and verification of authorised use

We process QR data, access-entry data, scanner data and records of whether access was granted or denied.

We use this data to ensure authorised access, maintain visit records and resolve incidents.

Legal basis: performance of a contract and our legitimate interest in protecting our facilities, preventing misuse and securing the service.

5.4 Profile photo and member identification

We process profile photos, photo change requests and related approval workflows so that members can be identified and services can be provided securely.

Legal basis: performance of a contract and our legitimate interest in operational security and misuse prevention.

5.5 Notifications, service messages and operational communication

We process in-app notifications and, where applicable, email communication, for example for password reset, email verification, request handling or operational notices.

Legal basis: performance of a contract, compliance with legal obligations and our legitimate interest in running the service safely and properly.

5.6 Wallet features and partner integrations

If you use Apple Wallet, Google Wallet, partner cards or partner-access features, we process the technical and identification data needed to issue, link, update and operate those features.

Legal basis: performance of a contract and your instruction to use the relevant feature.

5.7 Training, trainer and administrative features

If you use features related to trainers, trainer clients, training calendars or administrative operations, we process the data necessary to provide those functions.

Legal basis: performance of a contract, our legitimate interest in managing the service and, where necessary, compliance with legal obligations.

5.8 Health data

If you voluntarily enter or upload health-related data such as measurements, injuries, restrictions or InBody files, we process that data solely to provide the selected health-related feature and maintain the relevant records within the app.

Legal basis: your explicit consent and your active submission of that data. Withdrawal of consent does not affect processing carried out before withdrawal.

5.9 Security, audit and misuse prevention

We process security logs, IP addresses, token data, audit events and technical data necessary to protect accounts, facilities, infrastructure and evidence of compliance.

Legal basis: our legitimate interest in security, fraud prevention and protection of rights and, where necessary, compliance with legal obligations.

6. Whether providing the data is mandatory

Some data is mandatory because without it we cannot create an account, provide a membership, process a payment, issue a digital card or allow gym access. If you do not provide required data, we may be unable to provide the service or a part of it.

Health data is voluntary. If you do not provide it, health-related features may be unavailable or limited.

7. Who we share the data with

We only disclose personal data to the extent necessary to provide the service, comply with legal obligations or protect our rights.

• Payment service providers, especially GoPay, where you make or verify a payment.
• Email or communication service providers where operational communication must be delivered.
• Apple and Google where you use Apple Wallet, Google Wallet or related mobile services.
• Partners such as Multisport or UpBalansea where you link a partner card or use partner-access functionality.
• IT, hosting, infrastructure, security and support providers who help us operate the application.
• Our accounting, legal or audit advisers where necessary.
• Public authorities, courts or other authorised entities where required by law or necessary to protect our rights.

8. Transfers to third countries

We aim to process personal data primarily within the European Economic Area. However, if you use functions or services provided by international partners such as Apple, Google or other technology providers, personal data may be transferred outside the EEA.

In such cases, we will ensure that the transfer is based on an adequacy decision, standard contractual clauses or another appropriate safeguard required by applicable law.

9. How long we keep the data

• Account and profile data is kept for the duration of your account and for a reasonable period afterwards, generally no longer than 3 years, unless a legal obligation or legitimate claim requires longer retention.
• Accounting, tax and invoicing documents are retained for the period required by law, generally 10 years.
• Payment and transaction data is retained for the contractual relationship and afterwards for the period needed for evidence, accounting, taxes and legal claims.
• Access records, security logs, audit events and technical operational data are retained for as long as necessary for security, operations and incident handling, generally up to 12 months, or longer where needed to investigate an incident or defend legal claims.
• Profile photos and related change requests are retained for the duration of the account and for a reasonable period after the request is resolved or the account is closed.
• Health data is retained for as long as you use the relevant feature or until consent is withdrawn, unless another legal basis requires limited continued retention.
• Wallet and partner-card data is retained while the linking remains active and for a reasonable period afterwards for security and operational purposes.

10. Your rights

You have the right to:

• request access to your personal data,
• request correction of inaccurate or incomplete data,
• request erasure where legal conditions are met,
• request restriction of processing,
• object to processing based on legitimate interests,
• receive your data in a portable format where the right to portability applies,
• withdraw consent where processing is based on consent,
• lodge a complaint with a supervisory authority.

You can exercise your rights by contacting us at info@smartgym.sk. We may need to verify your identity before processing your request.

11. Supervisory authority

If you believe that your personal data is processed unlawfully, you may lodge a complaint with the Office for Personal Data Protection of the Slovak Republic, Námestie 1. mája 18, 811 06 Bratislava, Slovak Republic, website: https://dataprotection.gov.sk.

12. Automated decision-making

Within the SmartGym application, we do not carry out solely automated individual decision-making, including profiling, that would produce legal effects concerning you or similarly significantly affect you.

13. Data security

We use appropriate technical and organisational measures to protect personal data, including access controls, authentication mechanisms, logging, role-based access limitation, security monitoring and other safeguards proportionate to the processing involved.

However, no system is entirely risk-free. You should therefore protect your credentials, use a strong password and contact us without delay if you believe that unauthorised access to your account has occurred.

14. Device permissions and mobile features

The mobile app may request device permissions when particular features are used, for example:

• camera access to upload a profile photo and scan QR codes,
• access to photos to select or save an image,
• notification permission to receive alerts,
• Face ID or similar biometrics for secure sign-in where available and enabled,
• location access where you use features related to finding a gym or navigation.

You manage these permissions in your device settings. Refusing a permission may limit a specific feature, but it does not automatically cancel your account.

15. Changes to this policy

We may update this policy where the app, legal requirements or our processing activities change. The current version will always be identified by its effective date and document version.

Späť