Polityka prywatności

Polityka Prywatności — ŁowcaPracy (lowcapracy.pl)

Ostatnia aktualizacja: czerwiec 2026

1. Administrator danych

Administratorem Twoich danych osobowych jest Jakub Tomas — osoba fizyczna prowadząca działalność nierejestrowaną (art. 5 ust. 1 ustawy Prawo przedsiębiorców), prowadząca serwis ŁowcaPracy (lowcapracy.pl).

Adres do korespondencji: dostępny na żądanie przez e-mail kontaktowy. E-mail kontaktowy: [email protected].

Działalność nierejestrowana nie posiada NIP/REGON jako przedsiębiorca; w razie potrzeby identyfikacji podatkowej stosuje się PESEL.

Inspektor Ochrony Danych (IOD) nie został powołany — nie ma takiego obowiązku przy tej skali przetwarzania. W sprawach ochrony danych prosimy o kontakt pod adres: [email protected].

2. Jakie dane przetwarzamy

Zakres wynika z faktycznego działania serwisu:

Dane konta

Przykłady: adres e-mail (login), nazwa, hash hasła, identyfikatory OAuth

(Google).

Źródło: rejestracja / logowanie.

Profil zawodowy

Przykłady: treść CV / profil LinkedIn, stanowiska, technologie,

umiejętności, doświadczenie, preferowane lokalizacje, oczekiwania finansowe, podsumowanie.

Źródło: dane wgrane lub wklejone przez Ciebie.

Ustawienia

Przykłady: słowa kluczowe wyszukiwania, intencja wyszukiwania,

konfiguracja powiadomień.

Sekrety techniczne: hasło SMTP jest szyfrowane (AES-GCM).
Źródło: dane podane przez Ciebie.

Dopasowania i aktywność

Przykłady: dopasowane oferty, zapisane/odrzucone oferty, historia

aplikacji, logi uruchomień aktualizacji, zużycie AI, zagregowane kliknięcia w linki do portali źródłowych (liczba kliknięć per portal, bez zapisu konkretnej oferty).

Źródło: system.

Logi techniczne i bezpieczeństwa

Przykłady: adres IP rejestracji, identyfikator urządzenia (UUID zapisany

w localStorage), identyfikator żądania, zdarzenia audytowe, logi błędów.

Źródło: dane zbierane automatycznie.

Kontakt i live chat

Przykłady: imię, adres e-mail, treść wiadomości z formularza kontaktowego

lub live chatu, temat sprawy, strona, z której rozpoczęto rozmowę, skrót IP używany do ochrony antyspamowej.

Źródło: formularz kontaktowy albo widget live chat. Po zalogowaniu widget

może automatycznie przekazać do rozmowy imię i e-mail z konta, aby nie trzeba było wpisywać ich ponownie.

Nie zbieramy świadomie danych szczególnych kategorii (art. 9 RODO). Prosimy nie umieszczać ich w profilu/CV.

3. Cele i podstawy prawne (art. 6 RODO)

Świadczenie usługi (konto, dopasowywanie ofert, powiadomienia) — art. 6 ust. 1 lit. b (umowa).
Parsowanie CV/LinkedIn i dopasowanie AI — art. 6 ust. 1 lit. b oraz, dla opcjonalnej oceny AI, lit. a (zgoda — funkcję można wyłączyć w ustawieniach).
Bezpieczeństwo, zapobieganie nadużyciom, audyt, rate-limiting, ochrona przed wielokrotnym zakładaniem kont — art. 6 ust. 1 lit. f (uzasadniony interes).
Analityka ruchu wychodzącego do portali źródłowych — art. 6 ust. 1 lit. f

(uzasadniony interes: mierzenie faktycznego zaangażowania użytkowników, raportowanie jakości ruchu i rozmowy o legalnych integracjach/API z portalami).

Rozliczenia/płatności — art. 6 ust. 1 lit. b i c.
Obsługa zgłoszeń i live chatu — art. 6 ust. 1 lit. b lub f (odpowiedź

na pytanie, utrzymanie ciągłości rozmowy, ochrona przed spamem).

Marketing własny (jeśli prowadzony) — art. 6 ust. 1 lit. a/f; w każdej chwili sprzeciw/wycofanie.

4. Dane ofert pracy (model wyszukiwarki)

Indeksujemy publicznie dostępne ogłoszenia z portali pracy i dopasowujemy je do Twojego profilu. Odsyłamy Cię do źródła — aplikujesz na oryginalnym portalu. Przechowujemy wyłącznie skrócone fragmenty opisów i linki, nie republikujemy pełnych treści publicznie. Dane kontaktowe z ogłoszeń lokalnych są redagowane przed zapisem. Lista portali i ich status: zob. Regulamin / dokumentacja.

5. Sztuczna inteligencja (LLM)

Do parsowania CV i opcjonalnej oceny dopasowania korzystamy z dostawcy modelu językowego (OpenAI, L.L.C., USA). Do dostawcy trafia zredagowana, profesjonalna treść profilu/CV (adresy e-mail, numery telefonów i URL-e są usuwane przed wysłaniem) oraz fragmenty ofert. Live chat nie korzysta z API LLM. Nie wysyłamy surowego CV w całości. Szczegóły: pkt 7 (podprocesorzy).

Ocenę AI można wyłączyć w ustawieniach. Zgodnie z warunkami API OpenAI, dane przesyłane do modelu nie są wykorzystywane do trenowania ani ulepszania modelu.

6. Okresy przechowywania

Konto i profil — do czasu usunięcia konta przez Ciebie.
Nieaktywne/niedopasowane oferty — 3 dni; oferty lokalne — 14 dni.
Logi operacyjne (uruchomienia aktualizacji, powiadomienia, digesty) — 400 dni.
Zagregowane kliknięcia do portali źródłowych per użytkownik+portal — do

czasu usunięcia konta; dzienne statystyki bez identyfikatora użytkownika mogą być przechowywane dłużej jako dane zbiorcze.

Ewidencja zużycia AI — 400 dni (po usunięciu konta anonimizowana, nie usuwana — zanonimizowane dane zbiorcze do rozliczeń).
Techniczne dane sesji czatu — zamknięte sesje czatu są usuwane

automatycznie po krótkim, skonfigurowanym czasie (domyślnie ok. 2 godzin).

Zgłoszenia kontaktowe i transkrypty live chatu zapisane w skrzynce wsparcia

— do czasu obsługi zgłoszenia lub wcześniejszego żądania usunięcia, o ile nie musimy zachować danych do obrony roszczeń.

Dziennik audytowy — 1095 dni (~3 lata, na potrzeby roszczeń).

Po upływie okresów dane są usuwane lub anonimizowane przez automatyczne zadania retencyjne.

7. Odbiorcy i podprocesorzy

Korzystamy z następujących podprocesorów:

Mikrus (hosting VPS)

Rola / cel: hosting serwera (VPS), na którym działa aplikacja i baza danych.
Dane: wszystkie dane aplikacji przechowywane w bazie danych (konto, profil,

dopasowane oferty itd.).

Lokalizacja: Polska (EOG).
Transfer poza EOG: nie.

OVH

Rola / cel: serwer SMTP do wysyłki e-maili oraz obsługa domeny.
Dane: treść wysyłanych e-maili (powiadomienia, digesty) i adresy odbiorców.
Lokalizacja: UE (EOG).
Transfer poza EOG: nie.

Cloudflare, Inc.

Rola / cel: edge, ochrona DDoS i reverse proxy.
Dane: metadane ruchu, w tym IP i nagłówki. Cloudflare nie otrzymuje treści

aplikacji, ponieważ połączenie jest zabezpieczone TLS end-to-end.

Lokalizacja: USA (anycast).
Transfer poza EOG: tak — DPA + SCC.

Stripe Payments Europe, Ltd.

Rola / cel: płatności i subskrypcje.
Dane: e-mail, identyfikator klienta, metadane płatności. Pełne dane karty

płatniczej nigdy nie docierają do nas; przetwarzanie odbywa się po stronie Stripe (PCI DSS).

Lokalizacja: Irlandia / USA.
Transfer poza EOG: tak — DPA + SCC.

OpenAI, L.L.C.

Rola / cel: parsowanie CV/LinkedIn i opcjonalna ocena ofert.
Dane: treść CV/profilu po usunięciu danych kontaktowych (e-mail, telefon

i URL-e) oraz opisy ofert.

Lokalizacja: USA.
Transfer poza EOG: tak — DPA + SCC.
Trening modeli: dane przesyłane przez API nie są używane do treningu.

Z każdym podprocesorem zawarta jest umowa powierzenia (art. 28 RODO).

8. Transfer poza EOG

Dostawca LLM (OpenAI) oraz Cloudflare i Stripe przetwarzają dane poza Europejskim Obszarem Gospodarczym (EOG). Transfer odbywa się na podstawie standardowych klauzul umownych (SCC) oraz — w przypadku Stripe — na podstawie decyzji Komisji Europejskiej o adekwatności poziomu ochrony dla podmiotów objętych DPA.

9. Twoje prawa

Masz prawo do: dostępu, sprostowania, usunięcia, ograniczenia, przenoszenia danych, sprzeciwu oraz wycofania zgody. W aplikacji udostępniamy:

Eksport danych (Ustawienia → Konto → eksport JSON),
Usunięcie konta (Ustawienia → Konto; usuwa dane użytkownika, anonimizuje ledger AI).

Masz też prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (uodo.gov.pl).

10. Bezpieczeństwo

Szyfrowanie transmisji (HTTPS), szyfrowanie sekretów w spoczynku (AES-GCM, klucz odrębny od klucza podpisu sesji), rate-limiting, kontrola dostępu administracyjnego, dziennik audytowy, minimalizacja danych przed wysłaniem do AI (usunięcie danych kontaktowych z CV przed przesłaniem do dostawcy LLM).

11. Pliki cookies

Używamy plików niezbędnych do działania serwisu (sesja, bezpieczeństwo). Nie stosujemy plików cookies do celów analitycznych ani marketingowych.

12. Zmiany

O istotnych zmianach poinformujemy w serwisie lub e-mailem z wyprzedzeniem co najmniej 14 dni.