Early AccessApplyPerfect v0.9 jest w fazie Beta. Dołącz do pierwszych użytkowników i korzystaj z preferencyjnych cen.
Powrót do strony głównej

POLITYKA PRYWATNOŚCI APLIKACJI APPLYPERFECT

Ostatnia aktualizacja: 24 kwietnia 2026

Wprowadzenie

Niniejsza Polityka prywatności (dalej: „Polityka") zawiera informacje na temat przetwarzania Twoich danych osobowych w związku z korzystaniem z aplikacji „ApplyPerfect", działającej pod adresem internetowym https://applyperfect.pl (dalej: „Aplikacja").

Wszelkie terminy pisane wielką literą, które nie zostały zdefiniowane inaczej w Polityce mają znaczenie nadane im w Regulaminie, dostępnym pod adresem: https://applyperfect.pl/terms.

Najważniejsze informacje (streszczenie)

Poniżej przedstawiamy kluczowe punkty niniejszej Polityki prywatności. Zachęcamy jednak do zapoznania się z pełną treścią dokumentu.

Jakie dane osobowe gromadzimy?

Gromadzimy dane, które podajesz nam dobrowolnie podczas rejestracji konta oraz tworzenia CV/listów motywacyjnych (imię, nazwisko, email, telefon, doświadczenie zawodowe, wykształcenie). Dodatkowo zbieramy dane techniczne (IP, typ przeglądarki, system operacyjny) niezbędne do zapewnienia bezpieczeństwa i prawidłowego działania Aplikacji.

Czy przetwarzamy dane wrażliwe?

Nie przetwarzamy umyślnie danych wrażliwych w rozumieniu art. 9 RODO (dane dotyczące zdrowia, przekonań religijnych, orientacji seksualnej itp.). Jeśli przypadkowo zamieścisz takie dane w swoim CV, zalecamy ich usunięcie.

Czy gromadzimy dane z innych źródeł?

Nie kupujemy ani nie zbieramy danych od podmiotów trzecich (brokerów danych). Jedyne dane z zewnętrznych źródeł to dane z logowania społecznościowego (Google OAuth), jeśli zdecydujesz się z niego skorzystać.

Jak przetwarzamy Twoje dane?

Przetwarzamy dane w celu: (1) świadczenia usług Aplikacji (tworzenie CV, przechowywanie dokumentów), (2) obsługi płatności za plany płatne, (3) komunikacji z Tobą, (4) zapewnienia bezpieczeństwa i zapobiegania oszustwom, (5) zgodności z przepisami prawa. Szczegółowe informacje znajdziesz w sekcji „Informacje o przetwarzanych danych osobowych" poniżej.

W jakich sytuacjach udostępniamy dane osobowe?

Udostępniamy dane wyłącznie zaufanym dostawcom usług (Supabase, Stripe, Resend, PostHog, Anthropic, Microsoft), którzy wspierają nas w świadczeniu usług. Nie sprzedajemy Twoich danych do brokerów danych ani na cele marketingowe podmiotów trzecich.

Jak zabezpieczamy Twoje dane?

Stosujemy szyfrowanie end-to-end danych osobowych (NaCl), TLS 1.3, Row-Level Security w bazie danych oraz automatyczne backupy. Więcej informacji w sekcji „Środki ochrony danych osobowych".

Jakie masz prawa?

Masz prawo do: dostępu do swoich danych, ich poprawienia, usunięcia, ograniczenia przetwarzania, przenoszenia danych, sprzeciwu wobec przetwarzania oraz wniesienia skargi do PUODO. Szczegóły w sekcji „Uprawnienia".

Jak skorzystać z przysługujących Ci praw?

Wyślij wiadomość na adres kontakt@applyperfect.pl lub zaloguj się do swojego konta i skorzystaj z opcji „Ustawienia prywatności".

Administrator danych osobowych

Administratorem Twoich danych osobowych jest SEBASTIAN CIUKSZA, prowadzący działalność gospodarczą pod firmą SEBASTIAN CIUKSZA, wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) prowadzonej przez ministra właściwego ds. gospodarki, posiadający:

  • NIP: 7123069990
  • REGON: 146826385
  • Adres stałego miejsca wykonywania działalności: ul. Juliana Konstantego Ordona 5D/30, 01-237 Warszawa

(dalej: „Administrator").

Kontakt z Administratorem

We wszystkich sprawach związanych z przetwarzaniem danych osobowych możesz kontaktować się z Administratorem za pomocą:

a) poczty elektronicznej – pod adresem: kontakt@applyperfect.pl
b) poczty tradycyjnej – pod adresem: ul. Juliana Konstantego Ordona 5D/30, 01-237 Warszawa
c) telefonu – pod numerem: 665089555

Środki ochrony danych osobowych

Administrator stosuje nowoczesne zabezpieczenia organizacyjne i techniczne, aby zapewnić jak najlepszą ochronę Twoich danych osobowych oraz gwarantuje, że przetwarza je zgodnie z przepisami:

  • Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: „RODO"),
  • Ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz innymi przepisami o ochronie danych osobowych.

Zastosowane środki techniczne:

  1. Szyfrowanie end-to-end danych osobowych:

    • Dane osobowe (imię, nazwisko, email, telefon) zawarte w Treściach Użytkownika są szyfrowane po stronie klienta przed wysłaniem do serwera (szyfrowanie NaCl secretbox, 32-bajtowy klucz),
    • Backend deszyfruje dane wyłącznie w momencie przetwarzania żądania użytkownika,
    • Klucz szyfrowania jest przechowywany oddzielnie od bazy danych.

  2. Szyfrowanie transportu: TLS 1.3 (wszystkie połączenia HTTPS).

  3. Kontrola dostępu: JWT-based authentication (Supabase Auth), session management z automatycznym wygasaniem tokenów.

  4. Ochrona infrastruktury: Row-Level Security (RLS) w bazie danych PostgreSQL, automatyczne backupy z szyfrowaniem.

Informacje o przetwarzanych danych osobowych

Korzystanie z Aplikacji wymaga przetwarzania Twoich danych osobowych. Poniżej znajdziesz szczegółowe informacje o celach i podstawach prawnych przetwarzania, a także o okresie przetwarzania oraz obowiązku lub dobrowolności ich podania.

1. Zawarcie i wykonanie Umowy o dostarczanie Usługi Konta

| Cel przetwarzania | Przetwarzane dane osobowe | Podstawa prawna | |---|---|---| | Zawarcie i wykonanie Umowy o dostarczanie Usługi Konta | • adres poczty elektronicznej

• hasło (hash SHA-256) | Art. 6 ust. 1 lit. b RODO

Przetwarzanie jest niezbędne do wykonania Umowy o dostarczanie Usługi Konta zawartej z osobą, której dotyczą dane, lub podjęcia działań w celu jej zawarcia |

Obowiązek podania: Podanie ww. danych osobowych jest warunkiem zawarcia i wykonania umowy o dostarczanie Usługi Konta (ich podanie jest dobrowolne, lecz konsekwencją ich niepodania będzie niemożność zawarcia i wykonania ww. umowy, w tym utworzenie Konta).

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe do czasu przedawnienia roszczeń wynikających z Umowy o dostarczanie Usługi Konta.

2. Zawarcie i wykonanie Umowy korzystania z Aplikacji (generowanie CV/listów motywacyjnych)

Cel przetwarzania: Zawarcie i wykonanie Umowy korzystania z Aplikacji

Przetwarzane dane osobowe:

  • imię i nazwisko (opcjonalnie, zawarte w CV)
  • adres poczty elektronicznej
  • numer telefonu (opcjonalnie, zawarte w CV)
  • dane zawodowe i edukacyjne zawarte w Treściach Użytkownika

Podstawa prawna: Art. 6 ust. 1 lit. b RODO — Przetwarzanie jest niezbędne do wykonania Umowy korzystania z Aplikacji zawartej z osobą, której dotyczą dane, lub podjęcia działań w celu jej zawarcia.

Obowiązek podania: Podanie ww. danych osobowych jest warunkiem zawarcia i wykonania Umowy korzystania z Aplikacji (ich podanie jest dobrowolne, lecz konsekwencją ich niepodania będzie niemożność zawarcia i wykonania Umowy korzystania z Aplikacji).

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe do czasu przedawnienia roszczeń wynikających z Umowy korzystania z Aplikacji lub do czasu usunięcia Konta przez Użytkownika.

Retencja danych po usunięciu konta:

  • 14 dni powiadomienie o usunięciu → soft delete
  • 30 dni hard delete (trwałe usunięcie z bazy produkcyjnej)
  • 90 dni usunięcie z backupów z pisemnym potwierdzeniem

3. Świadczenie usługi płatnej (plan Standard/Premium)

Cel przetwarzania: Realizacja płatności przez Stripe

Przetwarzane dane osobowe:

  • adres poczty elektronicznej
  • opcjonalnie: firma i NIP (jeżeli Usługobiorca żąda faktury VAT)
  • dane karty płatniczej (przetwarzane przez Stripe, Administrator nie ma dostępu)

Podstawa prawna: Art. 6 ust. 1 lit. b RODO — Przetwarzanie jest niezbędne do wykonania Umowy

Obowiązek podania: Podanie ww. danych osobowych jest warunkiem dokonania płatności i aktywacji planu płatnego (ich podanie jest dobrowolne, lecz konsekwencją ich niepodania będzie niemożność skorzystania z funkcji płatnych).

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe do czasu przedawnienia roszczeń wynikających z Umowy.

4. Spełnianie obowiązków podatkowych (wystawienie faktury VAT)

Cel przetwarzania: Spełnianie obowiązków podatkowych (m.in. wystawienie faktury VAT, przechowywanie dokumentacji księgowej)

Przetwarzane dane osobowe:

  • imię i nazwisko/firma
  • adres zamieszkania/siedziby
  • NIP

Podstawa prawna: Art. 6 ust. 1 lit. c RODO — Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze, w tym przypadku obowiązków wynikających z prawa podatkowego

Obowiązek podania: Podanie ww. danych osobowych jest dobrowolne, ale niezbędne w celu spełnienia przez Administratora ciążących na nim obowiązków podatkowych (konsekwencją ich niepodania będzie niemożność spełnienia przez Administratora ww. obowiązków).

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe przez okres 5 lat od końca roku, w którym upłynął termin zapłaty podatku za rok poprzedni.

5. Przeprowadzenie postępowania reklamacyjnego

Cel przetwarzania: Przeprowadzenie postępowania reklamacyjnego

Przetwarzane dane osobowe:

  • imię i nazwisko
  • adres poczty elektronicznej

Podstawa prawna: Art. 6 ust. 1 lit. c RODO — Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze, w tym przypadku obowiązków:

  • udzielenia odpowiedzi na reklamację (art. 7a ustawy o prawach konsumenta)
  • realizacji uprawnień Klienta wynikających z przepisów o odpowiedzialności Administratora w przypadku niezgodności Przedmiotu świadczenia cyfrowego z dotyczącą go Umową

Obowiązek podania: Podanie ww. danych osobowych jest warunkiem otrzymania odpowiedzi na reklamację lub realizacji uprawnień Usługobiorcy wynikających z przepisów o odpowiedzialności Administratora w przypadku niezgodności Przedmiotu świadczenia cyfrowego z dotyczącą go Umową (ich podanie jest dobrowolne, lecz konsekwencją ich niepodania będzie niemożność otrzymania odpowiedzi na reklamację oraz realizacji ww. uprawnień).

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe przez czas postępowania reklamacyjnego, a w wypadku realizacji ww. uprawnień Klienta – do czasu ich przedawnienia.

6. Przeprowadzenie postępowania weryfikacyjnego (DSA)

Cel przetwarzania: Przeprowadzenie postępowania weryfikacyjnego oraz rozpatrywanie odwołań od decyzji w sprawie postępowania z niedopuszczalnymi treściami

Przetwarzane dane osobowe:

  • imię i nazwisko/nazwa
  • dane kontaktowe, w tym adres poczty elektronicznej

Podstawa prawna: Art. 6 ust. 1 lit. c RODO — Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze, w tym przypadku obowiązków:

  • zapewnienia mechanizmu zgłaszania niedopuszczalnych treści (art. 16 DSA)
  • rozpatrywania skarg (art. 20 DSA)

Obowiązek podania: Podanie ww. danych osobowych jest warunkiem otrzymania odpowiedzi na zgłoszenie lub realizacji uprawnień Użytkownika wynikających z przepisów DSA (ich podanie jest dobrowolne, lecz konsekwencją ich niepodania będzie niemożność otrzymania odpowiedzi na zgłoszenie oraz realizacji ww. uprawnień).

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe przez czas postępowania reklamacyjnego, a w wypadku realizacji ww. uprawnień Użytkownika – do czasu ich przedawnienia.

7. Obsługa zapytań składanych przez Użytkowników

Cel przetwarzania: Obsługa zapytań składanych przez Użytkowników

Przetwarzane dane osobowe:

  • imię
  • adres poczty elektronicznej
  • inne dane zawarte w wiadomości do Administratora

Podstawa prawna: Art. 6 ust. 1 lit. f RODO — Przetwarzanie jest niezbędne w celu realizacji prawnie uzasadnionego interesu Administratora, w tym przypadku udzielenia odpowiedzi na otrzymane zapytanie

Obowiązek podania: Podanie ww. danych osobowych jest dobrowolne, ale niezbędne w celu otrzymania odpowiedzi na zapytanie (konsekwencją ich niepodania będzie niemożność otrzymania odpowiedzi).

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe do czasu skutecznego wniesienia sprzeciwu lub osiągnięcia celu przetwarzania (w zależności od tego, które z wymienionych zdarzeń nastąpi wcześniej).

8. Wypełnienie obowiązków związanych z ochroną danych osobowych

Cel przetwarzania: Wypełnienie obowiązków związanych z ochroną danych osobowych

Przetwarzane dane osobowe:

  • imię i nazwisko
  • podane przez Ciebie dane kontaktowe (adres poczty elektronicznej; adres do korespondencji; numer telefonu)

Podstawa prawna: Art. 6 ust. 1 lit. c RODO — Przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na Administratorze, w tym przypadku obowiązków wynikających z przepisów o ochronie danych osobowych

Obowiązek podania: Podanie ww. danych osobowych jest dobrowolne, ale niezbędne w celu prawidłowego wykonywania przez Administratora obowiązków wynikających z przepisów o ochronie danych osobowych, m.in. realizacji uprawnień przyznanych Ci przez RODO (konsekwencją niepodania ww. danych będzie niemożność prawidłowej realizacji ww. uprawnień).

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe do czasu upływu terminów przedawnienia roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych.

9. Ustalenie, dochodzenie lub obrona przed roszczeniami

Cel przetwarzania: Ustalenie, dochodzenie lub obrona przed roszczeniami

Przetwarzane dane osobowe:

  • imię i nazwisko/firma
  • adres poczty elektronicznej
  • adres zamieszkania/siedziby
  • NIP

Podstawa prawna: Art. 6 ust. 1 lit. f RODO — Przetwarzanie jest niezbędne w celu realizacji prawnie uzasadnionego interesu Administratora, w tym przypadku ustalenia, dochodzenia lub obrony przed roszczeniami mogącymi powstać w związku z wykonywaniem Umów zawartych z Administratorem

Obowiązek podania: Podanie ww. danych osobowych jest dobrowolne, ale niezbędne w celu ustalenia, dochodzenia lub obrony przed roszczeniami mogącymi powstać w związku z wykonywaniem Umów zawartych z Administratorem (konsekwencją niepodania ww. danych będzie niemożność podjęcia przez Administratora ww. działań).

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe do czasu upływu terminów przedawnienia roszczeń mogącymi powstać w związku z wykonywaniem Umów zawartych z Administratorem.

10. Analiza aktywności w Aplikacji (analytics)

Cel przetwarzania: Analiza Twojej aktywności w Aplikacji

Przetwarzane dane osobowe:

  • data i godzina odwiedzin
  • numer IP urządzenia (zanonimizowany)
  • rodzaj systemu operacyjnego urządzenia
  • przybliżona lokalizacja (kraj)
  • rodzaj przeglądarki internetowej
  • czas spędzony w Aplikacji
  • odwiedzone podstrony oraz inne działania podejmowane w ramach Aplikacji

Podstawa prawna: Art. 6 ust. 1 lit. f RODO — Przetwarzanie jest niezbędne w celu realizacji prawnie uzasadnionego interesu Administratora, w tym przypadku uzyskania informacji o Twojej aktywności w Aplikacji

Obowiązek podania: Podanie ww. danych osobowych jest dobrowolne, ale niezbędne w celu uzyskania przez Administratora informacji o Twojej aktywności w Aplikacji (konsekwencją ich niepodania będzie niemożność uzyskania przez Administratora ww. informacji).

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe do czasu skutecznego wniesienia sprzeciwu lub osiągnięcia celu przetwarzania, nie dłużej niż 12 miesięcy (zgodnie z retencją PostHog EU Cloud Free plan).

11. Administrowanie Aplikacją

Cel przetwarzania: Administrowanie Aplikacją

Przetwarzane dane osobowe:

  • adres IP
  • data i czas serwera
  • informacje o przeglądarce internetowej
  • informacje o systemie operacyjnym

Powyższe dane są zapisywane automatycznie w tzw. logach serwera, przy każdorazowym korzystaniu z Aplikacji (administrowanie nim bez użycia logów serwera i automatycznego zapisu nie byłoby możliwe).

Podstawa prawna: Art. 6 ust. 1 lit. f RODO — Przetwarzanie jest niezbędne w celu realizacji prawnie uzasadnionego interesu Administratora, w tym przypadku zapewnienia prawidłowego działania Aplikacji

Obowiązek podania: Podanie ww. danych osobowych jest dobrowolne, ale niezbędne w celu zapewnienia prawidłowego działania Aplikacji (konsekwencją ich niepodania będzie niemożność zapewnienia działania Aplikacji w sposób prawidłowy).

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe do czasu skutecznego wniesienia sprzeciwu lub osiągnięcia celu przetwarzania, nie dłużej niż 90 dni (zgodnie z polityką retencji logów serwera).

12. Email Marketing i Komunikacja Retencyjna

Cel przetwarzania: Wysyłka automatycznych powiadomień dotyczących aktywności w Aplikacji (np. przypomnienie o niedokończonym CV, informacja o limitach planu, wiadomości reaktywacyjne)

Przetwarzane dane osobowe:

  • adres email
  • imię i nazwisko
  • informacje o aktywności w Aplikacji (np. data ostatniego logowania, liczba utworzonych CV, status subskrypcji)
  • plan użytkownika (Free, Standard, Premium)

Podstawa prawna: Art. 6 ust. 1 lit. f RODO — Przetwarzanie jest niezbędne w celu realizacji prawnie uzasadnionego interesu Administratora, w tym przypadku utrzymania zaangażowania użytkowników oraz informowania o funkcjach Aplikacji

Rodzaje wysyłanych wiadomości:

  • cv_not_downloaded — przypomnienie, gdy CV zostało wygenerowane, ale nie zostało pobrane jako PDF
  • no_cv_created — przypomnienie dla nowych użytkowników, którzy zarejestrowali konto, ale nie utworzyli jeszcze pierwszego CV
  • free_limit_soft — powiadomienie, gdy użytkownik zbliża się do limitu dokumentów w planie Free (np. 2/3 lub 3/3)
  • premium_blocked — informacja, gdy użytkownik próbował uzyskać dostęp do funkcji dostępnej wyłącznie w planie Premium
  • reengagement — wiadomość reaktywacyjna wysyłana po 7 dniach braku aktywności

Obowiązek podania: Podanie adresu email jest obowiązkowe w celu założenia konta (art. 6 ust. 1 lit. b RODO). Wysyłka wiadomości retencyjnych opiera się na prawnie uzasadnionym interesie Administratora (art. 6 ust. 1 lit. f RODO).

Prawo do sprzeciwu: Możesz wnieść sprzeciw wobec otrzymywania wiadomości retencyjnych w każdej chwili, klikając link „Wypisz się" w stopce każdej wiadomości email lub wysyłając wiadomość na adres kontakt@applyperfect.pl z tematem „Rezygnacja z newslettera".

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe do czasu skutecznego wniesienia sprzeciwu, usunięcia konta lub osiągnięcia celu przetwarzania.

13. Obsługa Zapytań i Zgłoszeń (Support Tickets)

Cel przetwarzania: Obsługa zapytań i zgłoszeń użytkowników (widget Kaia, email kontakt@applyperfect.pl, AI Guardian)

Przetwarzane dane osobowe:

  • adres email
  • imię i nazwisko (jeśli podane)
  • treść wiadomości/zgłoszenia
  • data i godzina zgłoszenia
  • status zgłoszenia (open, auto_replied, escalated, closed)
  • Message-ID (identyfikator wiadomości email)
  • informacje o koncie użytkownika (jeśli zalogowany): plan, subscription_status

Podstawa prawna: Art. 6 ust. 1 lit. f RODO — Przetwarzanie jest niezbędne w celu realizacji prawnie uzasadnionego interesu Administratora, w tym przypadku udzielania wsparcia technicznego i obsługi klienta

Przetwarzanie zgłoszeń:

  1. Widget Kaia (chatbot):

    • Zgłoszenia wysłane przez widget Kaia na stronie https://applyperfect.pl są zapisywane w tabeli support_tickets w bazie danych Supabase (Frankfurt, UE).
    • Kaia odpowiada automatycznie na podstawie bazy wiedzy (bez wysyłania danych do modeli AI).
    • Zgłoszenia nierozpoznane przez Kaię są eskalowane do zespołu wsparcia.

  2. Guardian AI Email Support:

    • Wiadomości email wysłane na adres kontakt@applyperfect.pl są automatycznie przetwarzane przez system Guardian.
    • Guardian wykorzystuje model Claude 3.5 Haiku (Anthropic PBC, USA) do klasyfikacji i generowania odpowiedzi.
    • Kategorie zgłoszeń:
      • FAQ — pytania ogólne (np. „Jak zmienić szablon CV?") → automatyczna odpowiedź
      • Billing (proste) — pytania o cennik, płatności → automatyczna odpowiedź
      • Technical / Billing (złożone) / Refund — eskalacja do Sebastian Ciuksza z projektem odpowiedzi wygenerowanym przez AI
      • Spam / Bounce — odrzucane bez zapisywania

  3. Deduplication (zapobieganie duplikatom):

    • Każda wiadomość email jest identyfikowana przez unikalny Message-ID (RFC 5322).
    • System sprawdza, czy dana wiadomość została już przetworzona, aby uniknąć wielokrotnych odpowiedzi.

Okres przetwarzania: Administrator będzie przetwarzał ww. dane osobowe przez okres niezbędny do rozwiązania zgłoszenia, a następnie przez 365 dni w celu audytu jakości obsługi klienta. Po tym okresie dane są automatycznie usuwane.

Transfer danych do USA (Guardian AI):

  • Treść wiadomości email wysłanej na kontakt@applyperfect.pl jest przekazywana do Anthropic PBC (USA) w celu klasyfikacji i generowania odpowiedzi.
  • Podstawa przekazania: Standard Contractual Clauses (SCC) zatwierdzone decyzją wykonawczą Komisji (UE) 2021/914.
  • Dodatkowe zabezpieczenia: Treść wiadomości jest skracana do maksymalnie 3000 znaków przed wysłaniem do Anthropic (zapobieganie wysokim kosztom tokenów).

Prawo do sprzeciwu wobec Guardian AI: Jeśli nie chcesz, aby Twoja wiadomość była przetwarzana przez Guardian AI, dodaj do tematu wiadomości frazę „[NO AI]". W takim przypadku zgłoszenie zostanie przekazane bezpośrednio do zespołu wsparcia bez przetwarzania przez Claude.

14. Zabezpieczenia Przed Nadużyciami (Fraud Prevention)

Cel przetwarzania: Ochrona przed nadużyciami, spamem, botami i oszustwami płatniczymi

Przetwarzane dane osobowe:

  • adres email (domena)
  • adres IP
  • User-Agent (przeglądarka)
  • liczba żądań API w jednostce czasu
  • wynik weryfikacji CAPTCHA (Cloudflare Turnstile)

Podstawa prawna: Art. 6 ust. 1 lit. f RODO — Przetwarzanie jest niezbędne w celu realizacji prawnie uzasadnionego interesu Administratora, w tym przypadku zapewnienia bezpieczeństwa systemu i ochrony przed nadużyciami

Mechanizmy zabezpieczeń:

  1. Blocklista Domen Email:

    • Rejestracje z adresów email pochodzących z ~130 znanych dostawców tymczasowych/jednorazowych skrzynek pocztowych (np. 10minutemail.com, guerrillamail.com, tempmail.net) są automatycznie odrzucane.
    • Źródło listy: disposable-email-domains/disposable-email-domains
    • Cache: Wynik weryfikacji domeny jest przechowywany w Redis przez 24 godziny, aby zredukować liczbę zapytań do bazy danych.

  2. IP Rate Limiting:

    • Każdy adres IP może wykonać maksymalnie określoną liczbę żądań do endpointów AI w określonym czasie (limity zależą od planu użytkownika: Free 5/dzień, Standard 30/dzień, Premium nielimitowane).
    • Limity są egzekwowane przez Redis (INCR + EXPIRE, operacja atomiczna).
    • System fails open — jeśli Redis jest niedostępny, użytkownicy nie są blokowani (wysokie SLA ważniejsze niż perfekcyjna ochrona).

  3. CAPTCHA (Cloudflare Turnstile):

    • Formularze rejestracji i logowania są chronione przez Cloudflare Turnstile (alternatywa dla Google reCAPTCHA).
    • Turnstile analizuje zachowanie użytkownika bez wyświetlania tradycyjnego „checkbox CAPTCHA" (invisible mode).
    • Przechowywane dane: User-Agent, informacje o przeglądarce, wynik weryfikacji (token sesyjny).

Obowiązek podania: Podanie adresu IP i User-Agent jest automatyczne (wysyłane przez przeglądarkę przy każdym żądaniu HTTP). Rozwiązanie CAPTCHA jest wymagane do założenia konta.

Okres przetwarzania:

  • Domena email: 24 godziny w cache Redis, następnie wynik jest ponownie weryfikowany przy kolejnej rejestracji.
  • Adres IP: Liczniki rate-limiting są przechowywane przez okres aktywności limitu (np. 24 godziny dla limitu dziennego).
  • CAPTCHA token: Sesyjny (usuwany po zamknięciu przeglądarki).

15. Dane Płatności (Stripe)

Cel przetwarzania: Obsługa płatności kartą kredytową/debetową, subskrypcje planów Standard i Premium

Przetwarzane dane osobowe:

  • stripe_customer_id (identyfikator klienta w Stripe)
  • payment_method (typ karty: Visa, Mastercard, blik; ostatnie 4 cyfry karty)
  • subscription_status (active, canceled, past_due, unpaid)
  • subscription_id (identyfikator subskrypcji w Stripe)
  • adres email
  • adres rozliczeniowy (jeśli podany)

Podstawa prawna: Art. 6 ust. 1 lit. b RODO — Przetwarzanie jest niezbędne do wykonania umowy

Proces płatności:

  1. Użytkownik wybiera plan (Standard 39 PLN/mies. lub Premium 69 PLN/mies.) na stronie /pricing.
  2. Przekierowanie do Stripe Checkout (hosted payment page).
  3. Stripe przetwarza dane karty i tworzy stripe_customer_id.
  4. ApplyPerfect otrzymuje webhook od Stripe z informacją o statusie płatności (checkout.session.completed, invoice.payment_succeeded, customer.subscription.deleted).
  5. Kolumny stripe_customer_id, subscription_status, subscription_id są aktualizowane w tabeli users w bazie Supabase.

Bezpieczeństwo danych karty:

  • ApplyPerfect NIE przechowuje pełnych numerów kart kredytowych.
  • Dane karty są przetwarzane wyłącznie przez Stripe Inc. (certyfikat PCI DSS Level 1).
  • ApplyPerfect przechowuje tylko:
    • stripe_customer_id (np. cus_Abc123Xyz)
    • Ostatnie 4 cyfry karty (np. 4242)
    • Typ karty (np. Visa)

DPA Stripe:

  • Stripe automatycznie zawiera Data Processing Agreement (DPA) zgodnie z RODO Art. 28.
  • Pełna treść DPA Stripe (11 stron) dostępna w docs/DPA/Stripe_DPA.pdf.

Okres przetwarzania:

  • Dane subskrypcji są przechowywane przez okres trwania subskrypcji + 5 lat (zgodnie z przepisami podatkowymi o przechowywaniu dokumentów księgowych).
  • Po usunięciu konta użytkownika, stripe_customer_id jest usuwany z bazy ApplyPerfect, ale pozostaje w systemie Stripe zgodnie z polityką retencji Stripe (zwykle 7 lat).

Profilowanie

W celu poprawy działania Aplikacji oraz kierowania do Ciebie informacji dostosowanych do Twoich preferencji, Administrator może analizować Twoje działania w Aplikacji (np. odwiedzane podstrony, czas spędzony w poszczególnych sekcjach, generowane dokumenty).

Zakres profilowanych danych osobowych odpowiada zakresowi wskazanemu powyżej w odniesieniu do analizy Twojej aktywności w Aplikacji.

Podstawa prawna: art. 6 ust. 1 lit. f RODO, zgodnie z którym Administrator może przetwarzać dane osobowe w celu realizacji swojego prawnie uzasadnionego interesu, w tym przypadku ulepszania funkcjonalności Aplikacji.

Obowiązek podania: Podanie ww. danych osobowych jest dobrowolne, lecz niezbędne do realizacji ww. celu (konsekwencją ich niepodania będzie niemożność ulepszania Aplikacji w oparciu o rzeczywiste zachowania użytkowników).

Okres przetwarzania: Administrator będzie przetwarzał dane osobowe w celu ich profilowania do czasu skutecznego wniesienia sprzeciwu lub osiągnięcia celu przetwarzania.

Brak zautomatyzowanego podejmowania decyzji: Profilowanie nie będzie wywoływać wobec Ciebie żadnych skutków prawnych, ani w podobny sposób istotnie wpływać na Twoją sytuację. Nie stosujemy zautomatyzowanego podejmowania decyzji, w tym profilowania, które mogłoby skutkować odmową świadczenia usługi lub zmianą jej warunków.

Wykorzystanie technologii sztucznej inteligencji (AI)

Aplikacja ApplyPerfect wykorzystuje modele sztucznej inteligencji do optymalizacji treści CV oraz listów motywacyjnych. Poniżej opisujemy, w jaki sposób Twoje dane są przetwarzane przez systemy AI oraz jakie środki ochrony stosujemy.

Dostawcy AI i zakres przetwarzania:

1. Anthropic PBC (Claude AI) – dostawca podstawowy

  • Model: Claude 3.5 Sonnet (do optymalizacji CV), Claude 3.5 Haiku (do szybkich operacji)
  • Region: Stany Zjednoczone Ameryki (USA)
  • Zakres danych: Treść CV (imię, nazwisko, doświadczenie zawodowe, wykształcenie, umiejętności)
  • Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy)
  • Dodatkowe zabezpieczenia:
    • Szyfrowanie end-to-end przed wysłaniem danych do Anthropic
    • Anthropic nie wykorzystuje danych do trenowania modeli publicznych (zgodnie z DPA)
    • Standard Contractual Clauses (SCC) zatwierdzone przez Komisję Europejską (decyzja 2021/914)
    • Pełna treść DPA Anthropic (17 stron) dostępna na żądanie

2. Microsoft Corporation (Azure OpenAI Service) – dostawca zapasowy

  • Model: gpt-4o-production deployment
  • Region: West Europe (Frankfurt)
  • Zakres danych: Treść CV (tylko w przypadku niedostępności Claude)
  • Podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy)
  • Dodatkowe zabezpieczenia:
    • Microsoft DPA (47 stron) z automatycznymi Standard Contractual Clauses
    • Dane przetwarzane wyłącznie w regionie UE (West Europe)
    • Zgodność z AI Act (UE 2024/1689) Art. 52 (obowiązek transparentności)

Transparentność AI (AI Act – Art. 52):

Zgodnie z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2024/1689 w sprawie sztucznej inteligencji (AI Act), informujemy:

  • Treści generowane przez AI: Wszystkie treści optymalizowane przez AI (opisy stanowisk, punkty w CV, listy motywacyjne) są wyraźnie oznaczone w interfejsie użytkownika.
  • Możliwość edycji: Użytkownik ma pełną kontrolę nad wygenerowanymi treściami i może je w każdej chwili edytować lub usunąć.
  • Brak zautomatyzowanych decyzji: System AI nie podejmuje zautomatyzowanych decyzji wpływających na zatrudnienie użytkownika. AI służy wyłącznie jako narzędzie wspomagające tworzenie dokumentów.

Prawo do sprzeciwu wobec przetwarzania przez AI:

Użytkownik ma prawo wnieść sprzeciw wobec przetwarzania swoich danych przez systemy AI. W takim przypadku:

  • Aplikacja będzie działać w trybie ręcznym (bez optymalizacji AI)
  • Użytkownik nadal będzie mógł tworzyć CV/listy motywacyjne korzystając z szablonów
  • Sprzeciw nie wpłynie na inne funkcje Aplikacji

Aby wnieść sprzeciw, wyślij wiadomość na adres: kontakt@applyperfect.pl z tematem „Sprzeciw AI".

Dane zanonimizowane i zagregowane

Administrator może przetwarzać dane w formie zanonimizowanej (uniemożliwiającej identyfikację) oraz zagregowanej (zbiorczej) w celach biznesowych, w tym:

  • Ulepszanie produktów i funkcji Aplikacji
  • Utrzymanie bezpieczeństwa i integralności systemów
  • Analizy statystyczne i badania rynku
  • Inne uzasadnione cele biznesowe

Dane zanonimizowane to informacje, które nie mogą być rozsądnie wykorzystane do wnioskowania o konkretnej osobie lub powiązania z nią. Po zanonimizowaniu dane przestają być „danymi osobowymi" w rozumieniu RODO.

Zobowiązanie Administratora:

  • Dane zanonimizowane będą utrzymywane w formie uniemożliwiającej identyfikację
  • Administrator nie będzie podejmował prób ponownej identyfikacji zanonimizowanych danych
  • Dane zanonimizowane mogą być udostępniane podmiotom trzecim (np. badaczom, partnerom biznesowym) wyłącznie pod warunkiem zobowiązania się przez takie podmioty do utrzymania danych w formie zanonimizowanej

Przykłady danych zanonimizowanych:

  • Liczba użytkowników korzystających z określonego szablonu CV (bez podawania tożsamości)
  • Średni czas spędzony na tworzeniu CV (bez powiązania z konkretnymi użytkownikami)
  • Najpopularniejsze branże wśród użytkowników (dane zagregowane bez identyfikatorów)

Odbiorcy danych osobowych

Odbiorcami danych osobowych będą następujące podmioty zewnętrzne współpracujące z Administratorem:

a) Infrastruktura techniczna i hosting:

  • Supabase Inc. – dostawca bazy danych PostgreSQL, systemu auth oraz storage (region: Frankfurt, UE)
  • Render Services Inc. – dostawca hostingu backend (region: Frankfurt, UE)
  • Vercel Inc. – dostawca hostingu frontend i CDN (region: Frankfurt, UE)

b) Dostawcy systemów płatności online:

  • Stripe, Inc. – obsługa płatności kartą, subskrypcje (DPA automatyczny, region: UE)

c) Dostawca usługi email transakcyjnego:

  • Resend – wysyłka emaili powitalnych, potwierdzeń zakupu, powiadomień (region: UE)

d) Dostawcy modeli AI:

  • Anthropic PBC – Claude AI do optymalizacji CV (region: USA, Standard Contractual Clauses - SCC)
  • Microsoft Corporation – Azure OpenAI Service (deployment: gpt-4o-production, region: West Europe, Microsoft DPA z SCC)

e) Narzędzia analityczne:

  • PostHog Inc. – analityka zachowań użytkowników (PostHog EU Cloud, region: Frankfurt)

f) Firma świadcząca usługi księgowe:

  • Zewnętrzne biuro rachunkowe (wyłącznie w zakresie niezbędnym do realizacji obowiązków podatkowych)

Ponadto, dane osobowe mogą zostać przekazane również podmiotom publicznym lub prywatnym, jeśli taki obowiązek będzie wynikał z powszechnie obowiązujących przepisów prawa, prawomocnego wyroku sądu lub prawomocnej decyzji administracyjnej.

Przekazywanie danych osobowych do państwa trzeciego

Anthropic PBC (Claude AI)

W związku z korzystaniem przez Administratora z usług AI dostarczanych przez Anthropic PBC (USA) Twoje dane osobowe (treść CV, doświadczenie zawodowe, edukacja) mogą być przekazywane do Stanów Zjednoczonych Ameryki.

Podstawa przekazania: Standardowe Klauzule Umowne (Standard Contractual Clauses – SCC) zatwierdzone decyzją wykonawczą Komisji (UE) 2021/914 z dnia 4 czerwca 2021 r. w sprawie standardowych klauzul umownych dotyczących przekazywania danych osobowych do państw trzecich na podstawie rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679.

Dodatkowe zabezpieczenia:

  • Szyfrowanie end-to-end danych przed wysłaniem
  • Anthropic nie wykorzystuje danych do trenowania modeli publicznych
  • Pełna treść DPA Anthropic (17 stron) dostępna w docs/DPA/Anthropic_DPA.pdf

Możesz uzyskać od Administratora kopię danych przekazywanych do państwa trzeciego oraz kopię DPA z Anthropic.

Uprawnienia

W związku z przetwarzaniem danych osobowych, przysługują Ci następujące uprawnienia:

  1. Prawo dostępu – prawo do informacji, jakie dane osobowe Ciebie dotyczące są przetwarzane przez Administratora oraz do otrzymania kopii tych danych. Wydanie pierwszej kopii danych jest darmowe, za kolejne Administrator może naliczyć opłatę.

  2. Prawo do sprostowania – jeżeli przetwarzane dane staną się nieaktualne lub niekompletne (lub w inny sposób niepoprawne) masz prawo zażądać ich sprostowania.

  3. Prawo do usunięcia („prawo do bycia zapomnianym") – w pewnych sytuacjach możesz zwrócić się do Administratora o usunięcie swoich danych osobowych, np. gdy:

    • dane przestaną być potrzebne Administratorowi do celów, o których poinformował;
    • skutecznie cofnąłeś zgodę na przetwarzanie danych – o ile Administrator nie ma prawa przetwarzać danych na innej podstawie prawnej;
    • przetwarzanie jest niezgodne z prawem;
    • konieczność usunięcia danych wynika z ciążącego na Administratorze obowiązku prawnego.

  4. Prawo do przenoszenia danych – w przypadku, gdy dane osobowe są przetwarzane przez Administratora na podstawie udzielonej zgody na przetwarzanie albo w celu wykonania Umowy z nim zawartej, masz prawo przenieść swoje dane do innego administratora (format JSON dostępny w ustawieniach konta).

  5. Prawo do cofnięcia zgody – w przypadku, gdy dane osobowe przetwarzane są przez Administratora na podstawie udzielonej przez Ciebie zgody na przetwarzanie, masz prawo cofnąć tę zgodę w każdym momencie (cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem).

  6. Prawo do ograniczenia przetwarzania – jeśli uznasz, że przetwarzane dane osobowe są nieprawidłowe, ich przetwarzanie jest niezgodne z prawem, lub Administrator nie potrzebuje już określonych danych, możesz zażądać, aby przez określony, potrzebny czas (np. sprawdzenia poprawności danych lub dochodzenia roszczeń) Administrator nie dokonywał na danych żadnych operacji, a jedynie je przechowywał.

  7. Prawo do sprzeciwu – masz prawo do wyrażenia sprzeciwu wobec przetwarzania danych osobowych, których podstawą przetwarzania jest prawnie uzasadniony interes Administratora. W razie skutecznego wniesienia sprzeciwu, Administrator przestanie przetwarzać dane osobowe w ww. celu.

  8. Prawo do skargi – masz prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa), gdy uznasz, że przetwarzanie danych osobowych narusza przepisy RODO.

Jak skorzystać z przysługujących Ci praw

1. Sposoby zgłaszania żądań

Możesz skorzystać z przysługujących Ci praw w jeden z następujących sposobów:

a) Ustawienia konta (dla zalogowanych użytkowników):

  • Zaloguj się do swojego konta na https://applyperfect.pl
  • Przejdź do zakładki „Ustawienia" → „Prywatność"
  • Wybierz odpowiednią opcję (np. „Pobierz moje dane", „Usuń konto")

b) Email: kontakt@applyperfect.pl

  • Podaj swoje imię, nazwisko, adres email powiązany z kontem
  • Opisz, z jakiego prawa chcesz skorzystać (np. prawo dostępu, usunięcia)
  • Dołącz dodatkowe informacje ułatwiające weryfikację tożsamości

c) Poczta tradycyjna:

  • Adres: ul. Juliana Konstantego Ordona 5D/30, 01-237 Warszawa
  • Z dopiskiem: „Żądanie dotyczące danych osobowych – RODO"

d) Telefon: 665089555 (poniedziałek–piątek, 9:00–17:00)

2. Weryfikacja tożsamości

Aby chronić Twoje dane osobowe przed nieuprawnionym dostępem, możemy poprosić Cię o:

  • Potwierdzenie adresu email powiązanego z kontem
  • Podanie daty ostatniego logowania lub szczegółów ostatniej transakcji
  • Przesłanie skanu dowodu osobistego (tylko w przypadkach wymagających wysokiego poziomu bezpieczeństwa)

Zobowiązanie Administratora: Nie będziemy wykorzystywać informacji uzyskanych w celu weryfikacji tożsamości do innych celów niż obsługa Twojego żądania.

3. Terminy odpowiedzi

  • 1 miesiąc od otrzymania żądania – standardowy termin odpowiedzi
  • Do 3 miesięcy – w przypadku szczególnie złożonych żądań (zostaniesz o tym poinformowany w ciągu 1 miesiąca)
  • Odpowiedź zostanie przesłana na adres email powiązany z Twoim kontem lub na adres wskazany w żądaniu

4. Koszty

  • Bezpłatnie – pierwsze żądanie w danym roku kalendarzowym
  • Opłata administracyjna – w przypadku żądań oczywiście nieuzasadnionych, nadmiernych lub powtarzających się (zostaniesz o tym poinformowany przed przetworzeniem żądania)

5. Pełnomocnictwo

Jeśli chcesz, aby ktoś inny (np. prawnik, członek rodziny) złożył żądanie w Twoim imieniu, wyślij nam:

  • Pisemne pełnomocnictwo podpisane przez Ciebie
  • Kopię Twojego dowodu osobistego
  • Kopię dowodu osobistego pełnomocnika

6. Odmowa realizacji żądania

W pewnych sytuacjach możemy odmówić realizacji Twojego żądania, jeśli:

  • Żądanie jest oczywiście nieuzasadnione lub nadmierne
  • Przetwarzanie jest niezbędne do wywiązania się z obowiązku prawnego
  • Dane są niezbędne do ustalenia, dochodzenia lub obrony roszczeń

W przypadku odmowy, zostaniesz poinformowany o przyczynach oraz o możliwości wniesienia skargi do PUODO.

Dane osobowe dzieci

Minimalny wiek użytkowników

Aplikacja ApplyPerfect jest przeznaczona dla osób, które ukończyły 16 lat. Nie zbieramy świadomie danych osobowych od dzieci poniżej 16 roku życia.

Jeśli jesteś rodzicem lub opiekunem prawnym i wiesz, że Twoje dziecko przekazało nam dane osobowe bez Twojej zgody, skontaktuj się z nami na adres kontakt@applyperfect.pl. Niezwłocznie usuniemy takie dane z naszych systemów.

Weryfikacja wieku

W procesie rejestracji wymagamy potwierdzenia, że użytkownik ukończył 16 lat. Nie weryfikujemy jednak wieku w sposób automatyczny (np. poprzez sprawdzanie dowodu osobistego).

Zgoda rodzica/opiekuna (osoby 13-16 lat)

Zgodnie z RODO, dzieci w wieku 13-16 lat mogą korzystać z Aplikacji wyłącznie za zgodą rodzica lub opiekuna prawnego. Rodzic/opiekun może:

  • Utworzyć konto w imieniu dziecka
  • Nadzorować korzystanie z Aplikacji przez dziecko
  • W każdej chwili zażądać usunięcia danych dziecka

Ważne: ApplyPerfect nie oferuje specjalnych funkcji dla dzieci. Nasz serwis jest przeznaczony dla osób aktywnych zawodowo lub poszukujących pracy.

Pliki cookies

1. Informacje ogólne

Administrator informuje, że Aplikacja korzysta z plików „cookies" (ciasteczka), instalowanych w Twoim urządzeniu końcowym. Są to niewielkie pliki tekstowe, które mogą być odczytywane przez system Administratora, a także przez systemy należące do innych podmiotów, z których usług korzysta Administrator.

2. Cele wykorzystania cookies

Administrator wykorzystuje pliki cookies w następujących celach:

a) Zapewnienie prawidłowego działania Aplikacji – dzięki plikom cookies możliwe jest sprawne działanie Aplikacji, korzystanie z jego funkcji oraz wygodne przemieszczanie się między poszczególnymi podstronami;

b) Zwiększenie komfortu korzystania z Aplikacji – dzięki plikom cookies możliwe jest wykrywanie błędów na niektórych podstronach oraz ich stałe ulepszanie;

c) Tworzenie statystyk – pliki cookies są wykorzystywane w celu dokonania analizy sposobu korzystania przez użytkowników Aplikacji. Dzięki temu możliwe jest stałe ulepszanie Aplikacji i dostosowywanie jej działania do preferencji użytkowników;

d) Bezpieczeństwo – Cloudflare Turnstile CAPTCHA do ochrony przed botami i spamem.

3. Rodzaje plików cookies

Administrator może umieszczać w Twoim urządzeniu zarówno pliki trwałe, jak i tymczasowe (sesyjne). Pliki sesyjne są zazwyczaj usuwane z chwilą zamknięcia przeglądarki, natomiast zamknięcie przeglądarki nie powoduje usunięcia plików trwałych.

4. Zarządzanie plikami cookies

Informacja o plikach cookies wykorzystywanych przez Administratora wyświetlana jest w panelu znajdującym się w dolnej części strony internetowej/stopce Aplikacji. W zależności od Twojej decyzji, możesz włączyć lub wyłączyć pliki cookies poszczególnych kategorii (z wyjątkiem niezbędnych plików cookies) oraz zmieniać te ustawienia w każdym czasie.

Dane zbierane za pomocą plików cookies nie pozwalają Administratorowi na Twoją identyfikację.

5. Zestawienie wykorzystywanych narzędzi cookies

| NARZĘDZIE | DOSTAWCA | FUNKCJE I ZAKRES POBIERANYCH DANYCH | OKRES DZIAŁANIA | |---|---|---|---| | Niezbędne pliki cookies | Administrator | Działanie tych plików jest niezbędne do prawidłowego funkcjonowania Aplikacji, dlatego nie możesz ich wyłączyć. Dzięki tym plikom (pobierających m.in. numer IP Twojego urządzenia), możliwe jest m.in. informowanie Cię o plikach cookies działających w Aplikacji oraz zapamiętywanie sesji logowania. | Większość niezbędnych plików cookies ma charakter sesyjny, niektóre jednak pozostają w Twoim urządzeniu końcowym przez okres do 1 roku lub do momentu ich usunięcia | | PostHog | PostHog Inc. (EU Cloud) | Narzędzie to umożliwia zbieranie danych statystycznych o sposobie korzystania z Aplikacji przez Użytkowników, m.in. o liczbie odwiedzin, czasie trwania odwiedzin, odwiedzonych podstronach, lokalizacji (kraj). Zebrane dane pomagają ulepszać Aplikację oraz czynić ją bardziej przyjazną dla Użytkowników. IP jest anonimizowane przed zapisem. | do 12 miesięcy lub do momentu ich usunięcia (w zależności od tego, które z wymienionych zdarzeń nastąpi wcześniej) | | Cloudflare Turnstile | Cloudflare Inc. | Narzędzie to służy do ochrony formularzy rejestracji i logowania przed botami i spamem. Pobiera informacje o przeglądarce i urządzeniu w celu weryfikacji, że użytkownik jest człowiekiem. | Charakter sesyjny (usuwany po zamknięciu przeglądarki) | | Supabase Auth | Supabase Inc. | Pliki cookies służące do zarządzania sesją użytkownika po zalogowaniu (JWT token). | do 7 dni (token dostępu) lub do momentu wylogowania |

6. Wyłączanie plików cookies

Za pośrednictwem większości powszechnie używanych przeglądarek możesz sprawdzić, czy na Twoim urządzeniu końcowym zostały zainstalowane pliki cookies, jak również usunąć zainstalowane pliki cookies oraz zablokować instalowanie ich w przyszłości przez Aplikację.

Wyłączenie lub ograniczenie obsługi plików cookies może jednak spowodować dość poważne trudności w korzystaniu z Aplikacji, np. w postaci:

  • konieczności logowania się na każdej podstronie,
  • dłuższego okresu ładowania się Aplikacji,
  • ograniczeń w korzystaniu z niektórych funkcjonalności.

Naruszenie Ochrony Danych Osobowych (Data Breach)

Administrator stosuje odpowiednie środki techniczne i organizacyjne w celu zapewnienia bezpieczeństwa Twoich danych osobowych, w tym:

  • Szyfrowanie end-to-end — dane PII (imię, nazwisko, email, telefon) są szyfrowane na poziomie przeglądarki przed wysłaniem do serwera (TweetNaCl secretbox, 32-byte key).
  • Row-Level Security (RLS) — PostgreSQL natywne zabezpieczenia zapobiegające dostępowi do danych innych użytkowników.
  • Logowanie i monitoring — wszystkie operacje na danych osobowych są logowane w celu audytu (logi przechowywane przez 90 dni).
  • Backup trójstopniowy — dane są kopiowane codziennie, z retencją 14 dni (soft delete) → 30 dni (hard delete) → 90 dni (backup removal).

Procedura w przypadku naruszenia:

Zgodnie z RODO Art. 33-34, Administrator zobowiązuje się do:

  1. Powiadomienie PUODO (72 godziny):

    • W przypadku naruszenia ochrony danych osobowych, które może skutkować ryzykiem naruszenia praw lub wolności osób fizycznych, Administrator zgłosi naruszenie do Prezesa Urzędu Ochrony Danych Osobowych w ciągu 72 godzin od stwierdzenia naruszenia.

  2. Powiadomienie użytkowników (bez zbędnej zwłoki):

    • Jeśli naruszenie może skutkować wysokim ryzykiem naruszenia praw lub wolności użytkowników (np. wyciek niezaszyfrowanych danych wrażliwych), Administrator powiadomi poszczególnych użytkowników bez zbędnej zwłoki.
    • Powiadomienie będzie zawierać:
      • Opis charakteru naruszenia
      • Dane kontaktowe Inspektora Ochrony Danych (jeśli wyznaczony)
      • Prawdopodobne konsekwencje naruszenia
      • Środki zastosowane lub proponowane przez Administratora w celu zaradzenia naruszeniu

  3. Dokumentacja naruszenia:

    • Administrator prowadzi rejestr wszystkich naruszeń ochrony danych osobowych (zgodnie z RODO Art. 33 ust. 5), zawierający:
      • Okoliczności naruszenia
      • Skutki naruszenia
      • Podjęte środki zaradcze

Kanały komunikacji w przypadku naruszenia:

  • Email: kontakt@applyperfect.pl z tematem „INCIDENT — [data]"
  • Dashboard Aplikacji: baner powiadomienia o incydencie (jeśli dotyczy Twojego konta)

Twoje działania w przypadku podejrzenia naruszenia: Jeśli podejrzewasz, że Twoje konto zostało przejęte lub dane zostały ujawnione osobom trzecim:

  1. Natychmiast zmień hasło (przejdź do Ustawienia → Bezpieczeństwo → Zmień hasło)
  2. Wyloguj wszystkie sesje (przejdź do Ustawienia → Sesje → Wyloguj wszystkie urządzenia)
  3. Skontaktuj się z nami: kontakt@applyperfect.pl z tematem „Podejrzenie włamania"

Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce Prywatności w następujących przypadkach:

  • Zmiana przepisów prawa (np. nowe rozporządzenia UE, wytyczne PUODO)
  • Zmiana dostawców usług (np. migracja z jednego dostawcy AI do innego)
  • Dodanie nowych funkcji Aplikacji wymagających przetwarzania dodatkowych danych osobowych
  • Optymalizacja procesów bezpieczeństwa

Jak zostaniesz powiadomiony o zmianach:

  1. Zmiany istotne (wymagające zgody użytkownika):

    • Email powiadomienie na adres powiązany z kontem (co najmniej 14 dni przed wejściem w życie zmian)
    • Pop-up w panelu użytkownika z prośbą o zapoznanie się z nową Polityką i zaakceptowanie jej przed dalszym korzystaniem z Aplikacji
    • Brak akceptacji nowej Polityki = możliwość usunięcia konta z pełnym eksportem danych

  2. Zmiany nieistotne (techniczne, redakcyjne):

    • Aktualizacja daty obowiązywania Polityki na stronie /privacy
    • Notatka w sekcji „Historia zmian" (poniżej)
    • Powiadomienie w newsletterze (jeśli subskrybowany)

Archiwum poprzednich wersji:

Poprzednie wersje Polityki Prywatności są dostępne na żądanie. Aby uzyskać kopię Polityki obowiązującej w konkretnym dniu, wyślij wiadomość na kontakt@applyperfect.pl z tematem „Archiwum Polityki Prywatności — [data]".

Najczęściej Zadawane Pytania (FAQ Prywatności)

1. Czy ApplyPerfect sprzedaje moje dane osobowe?

Nie. ApplyPerfect nie sprzedaje, nie wynajmuje ani nie udostępnia Twoich danych osobowych do brokerów danych, firm marketingowych ani innych podmiotów trzecich w celach komercyjnych.

Jedyne przypadki, gdy Twoje dane są udostępniane:

  • Dostawcy usług technicznych (Supabase, Stripe, Resend, PostHog, Anthropic, Microsoft) — wyłącznie w zakresie niezbędnym do świadczenia usługi. Wszyscy dostawcy posiadają Data Processing Agreements (DPA) zgodne z RODO.
  • Obowiązki prawne — jeśli wymaga tego prawomocny wyrok sądu, decyzja administracyjna lub przepisy prawa.

2. Jak mogę pobrać kopię moich danych osobowych?

  1. Zaloguj się do swojego konta na https://applyperfect.pl
  2. Przejdź do Ustawienia → Prywatność → Pobierz moje dane
  3. Kliknij „Eksportuj dane (JSON)"
  4. W ciągu 24 godzin otrzymasz email z linkiem do pobrania pliku JSON zawierającego:
    • Dane profilu (imię, nazwisko, email, telefon)
    • Wszystkie utworzone CV i listy motywacyjne (pełne treści)
    • Historia subskrypcji (daty, kwoty, faktury)
    • Historia logowania (daty, adresy IP)

Format: JSON (machine-readable), kompatybilny z innymi platformami CV/resume.

3. Czy mogę usunąć tylko część moich danych?

Tak. Możesz selektywnie usuwać:

  • Pojedyncze CV lub listy motywacyjne: Przejdź do Dashboard → wybierz dokument → kliknij ikonę kosza → Potwierdź usunięcie.
  • Historię logowania: Przejdź do Ustawienia → Sesje → Wyloguj wszystkie urządzenia.
  • Metoda płatności: Przejdź do Ustawienia → Płatności → Usuń kartę (dostępne tylko po anulowaniu subskrypcji).

Uwaga: Usunięcie całego konta (Ustawienia → Usuń konto) spowoduje permanentne usunięcie wszystkich danych zgodnie z polityką trójstopniowej retencji (14d → 30d → 90d).

4. Czy ApplyPerfect używa moich danych do trenowania modeli AI?

Nie. ApplyPerfect korzysta z dwóch zewnętrznych dostawców AI:

  • Anthropic Claude (główny): Zgodnie z DPA Anthropic (17 stron), Twoje dane nie są wykorzystywane do trenowania publicznych modeli Claude. Anthropic przetwarza dane wyłącznie w celu generowania odpowiedzi dla Twojego zapytania.
  • Azure OpenAI (zapasowy): Microsoft DPA (47 stron) gwarantuje, że dane klientów Azure OpenAI nie są wykorzystywane do trenowania modeli OpenAI.

ApplyPerfect nie posiada własnych modeli AI i nie prowadzi trenowania modeli.

5. Czy moje CV są widoczne dla innych użytkowników?

Nie. Wszystkie CV i listy motywacyjne są prywatne i widoczne wyłącznie dla Ciebie. ApplyPerfect stosuje Row-Level Security (RLS) w bazie danych PostgreSQL, co uniemożliwia dostęp do dokumentów innych użytkowników nawet w przypadku błędu aplikacji.

Wyjątki:

  • Zespół wsparcia ApplyPerfect — w celu rozwiązania problemu technicznego, Administrator może uzyskać dostęp do Twojego konta po Twojej wyraźnej zgodzie (np. gdy zgłaszasz błąd w generowaniu CV).
  • Obowiązki prawne — jeśli wymaga tego prawomocny wyrok sądu.

6. Jak długo ApplyPerfect przechowuje moje dane po usunięciu konta?

Polityka trójstopniowej retencji:

  1. Dzień 0 (usunięcie konta): Soft delete — konto jest oznaczone jako deleted=true, dane pozostają w bazie (niewidoczne dla użytkownika).
  2. Dzień 14: Twarde usunięcie — dane są fizycznie usuwane z bazy produkcyjnej.
  3. Dzień 30: Usunięcie z backupów inkrementalnych.
  4. Dzień 90: Usunięcie z backupów pełnych (długoterminowych).

Po 90 dniach Twoje dane są nieodwracalnie usunięte.

Wyjątki (przechowywane dłużej zgodnie z przepisami):

  • Faktury i dokumenty księgowe: 5 lat (wymagane przez przepisy podatkowe).
  • Logi bezpieczeństwa (w przypadku incydentu): 3 lata (wymagane przez RODO Art. 33 ust. 5).

7. Czy ApplyPerfect śledzi mnie poza stroną applyperfect.pl?

Nie. ApplyPerfect nie stosuje cross-site tracking, nie umieszcza pikseli śledzących na stronach trzecich ani nie współpracuje z sieciami reklamowymi.

Narzędzia analityczne (PostHog EU Cloud) działają wyłącznie w obrębie domeny applyperfect.pl. Adresy IP są anonimizowane przed zapisem (usuwane ostatnie 2 oktety, np. 192.168.x.x).

8. Jak mogę wypisać się z emaili marketingowych?

Każda wiadomość retencyjna (np. przypomnienie o niedokończonym CV, informacja o limitach planu) zawiera link „Wypisz się" w stopce.

Alternatywnie:

  1. Wyślij email na kontakt@applyperfect.pl z tematem „Rezygnacja z newslettera"
  2. Lub przejdź do Ustawienia → Powiadomienia → Odznacz „Wiadomości retencyjne"

Uwaga: Wypisanie się z emaili marketingowych nie wpłynie na:

  • Emaile transakcyjne (potwierdzenie zakupu, reset hasła, powiadomienie o naruszeniu danych)
  • Emaile związane z subskrypcją (faktura, wygaśnięcie subskrypcji)

9. Czy mogę zabrać swoje CV do innej platformy?

Tak. ApplyPerfect wspiera prawo do przenoszenia danych (RODO Art. 20). Możesz pobrać wszystkie swoje CV w formacie JSON (machine-readable) i zaimportować je do innej platformy obsługującej ten format.

Kroki:

  1. Ustawienia → Prywatność → Eksportuj dane (JSON)
  2. Pobierz plik applyperfect_export_[data].json
  3. Zaimportuj do innej platformy (np. LinkedIn, CV-Maker, Enhancv) — jeśli obsługuje import JSON

Format PDF: Pliki PDF wygenerowane przez ApplyPerfect są standardowymi plikami PDF (bez DRM) i mogą być swobodnie przesyłane, edytowane (w narzędziach typu Adobe Acrobat) i drukowane.

10. Co się stanie z moimi danymi, jeśli ApplyPerfect zakończy działalność?

W przypadku zakończenia działalności ApplyPerfect (likwidacja, upadłość, przejęcie przez inną firmę):

  1. Powiadomienie z wyprzedzeniem: Użytkownicy zostaną powiadomieni co najmniej 30 dni przed zamknięciem usługi.
  2. Eksport danych: Wszyscy użytkownicy otrzymają automatyczny email z linkiem do pobrania pełnego eksportu danych (JSON + PDF).
  3. Usunięcie danych: Po 90 dniach od zamknięcia usługi, wszystkie dane użytkowników będą nieodwracalnie usunięte z serwerów ApplyPerfect i wszystkich backupów.

Przejęcie przez inną firmę: Jeśli ApplyPerfect zostanie przejęte przez inną firmę, użytkownicy zostaną powiadomieni o zmianie Administratora danych osobowych. Nowy Administrator będzie zobowiązany do przestrzegania RODO i tej Polityki Prywatności przez okres co najmniej 6 miesięcy od przejęcia. Użytkownicy będą mieli prawo do usunięcia konta przed przejęciem.

Postanowienia końcowe

W zakresie nieuregulowanym Polityką, stosuje się powszechnie obowiązujące przepisy o ochronie danych osobowych.

Polityka obowiązuje od dnia 24 kwietnia 2026 r.

Historia zmian

| Data | Wersja | Główne zmiany | |----------|------------|-------------------| | 2026-04-24 | 2.0 | Migracja z OpenAI na Azure OpenAI (West Europe). Dodanie sekcji: AI Act compliance (Art. 52), Email Marketing, Guardian AI Support, Fraud Prevention, Stripe Payment Data, Data Breach Response, Changes to Privacy Policy. Rozbudowa sekcji Uprawnienia, Dane Dzieci, Jak skorzystać z praw. | | 2026-01-15 | 1.0 | Pierwsza wersja Polityki Prywatności (OpenAI gpt-4o-mini, Supabase Frankfurt, Stripe, PostHog EU). |

W sprawach dotyczących prywatności prosimy o kontakt: kontakt@applyperfect.pl