Polityka prywatności serwisu cvtest.pl
- Wersja
- 1.8
- Obowiązuje od
- 14 czerwca 2026 r.
- Język
- PL
- Forma
- elektroniczna
§ 1. Informacje ogólne
Niniejsza Polityka Prywatności (dalej: „Polityka") określa zasady przetwarzania danych osobowych osób korzystających z serwisu internetowego dostępnego pod adresem cvtest.pl (dalej: „Serwis").
Administratorem danych osobowych w rozumieniu Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (dalej: „RODO") jest:
Krystian Magiera prowadzący działalność gospodarczą pod firmą Force Majeure Krystian Magiera adres: Wierzchosławice 398, 33-122 Wierzchosławice NIP: 8733262562 REGON: 367470891 wpisany do Centralnej Ewidencji i Informacji o Działalności Gospodarczej (CEIDG) e-mail: kontakt@cvtest.pl
(dalej: „Administrator")
Kontakt z Administratorem w sprawach związanych z ochroną danych osobowych jest możliwy poprzez: a) pocztę elektroniczną: kontakt@cvtest.pl, b) pocztę tradycyjną na adres siedziby Administratora.
Administrator nie wyznaczył Inspektora Ochrony Danych (IODO), ponieważ nie zachodzą przesłanki obowiązkowego wyznaczenia, o których mowa w art. 37 RODO. Wszelkie zapytania dotyczące przetwarzania danych osobowych należy kierować na adres wskazany w ust. 3 powyżej.
Polityka stanowi spełnienie obowiązku informacyjnego wynikającego z art. 13 RODO.
Definicje pojęć pisanych wielką literą (Serwis, Pakiet, Pojedyncza Usługa, Link, Check, Usługa, Raport, Cennik, Kod Promocyjny, Kod Rabatowy, Usługobiorca, Konsument, Operator Płatności, DSA) są zgodne z definicjami przyjętymi w Regulaminie serwisu cvtest.pl dostępnym pod adresem cvtest.pl/regulamin.
Zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2022/2065 (DSA), Administrator wyznaczył punkt kontaktowy w sprawach objętych regulacją DSA — adres oraz szczegóły procedur znajdują się w § 1 ust. 6 oraz § 10 Regulaminu.
§ 2. Charakter usługi
Serwis świadczy usługę analizy dokumentów aplikacyjnych (CV) pod kątem zgodności z konkretnym ogłoszeniem pracy, przy wykorzystaniu technologii sztucznej inteligencji (AI).
Usługobiorca dostarcza Administratorowi treść swojego CV oraz treść ogłoszenia pracy. Treść ogłoszenia pracy Usługobiorca może udostępnić Administratorowi na jeden z następujących sposobów: a) poprzez wklejenie treści ogłoszenia bezpośrednio w formularzu Serwisu (tryb „paste"), albo b) poprzez podanie adresu URL strony zawierającej ogłoszenie (tryb „URL"); w takim przypadku Administrator pobiera publicznie dostępną treść wskazanej strony przy udziale wyspecjalizowanych dostawców zewnętrznych — do dostawcy realizującego pobranie treści strony przekazywany jest wyłącznie adres URL ogłoszenia podany przez Usługobiorcę. W toku pobierania żadne dane osobowe Usługobiorcy (w tym adres e-mail, treść CV, adres IP, identyfikatory sesji) nie są przekazywane podmiotom zewnętrznym. Dostawców uczestniczących w trybie URL opisuje § 5a Polityki, a telemetrię związaną z tym trybem — § 3 ust. 1 lit. h Polityki.
Administrator generuje Raport zawierający analizę dopasowania CV do ogłoszenia oraz sugestie modyfikacji, który zostaje przesłany Usługobiorcy na podany adres e-mail w formacie PDF.
Serwis nie wymaga zakładania konta. Dostęp do Usługi realizowany jest poprzez jednorazowy Link aktywacyjny przesyłany na adres e-mail po opłaceniu Pakietu lub wykorzystaniu Kodu Promocyjnego.
Z Usługi mogą korzystać wyłącznie osoby pełnoletnie (osoby fizyczne posiadające pełną zdolność do czynności prawnych w rozumieniu art. 11 Kodeksu cywilnego), zgodnie z § 2 ust. 3 Regulaminu. Serwis nie jest skierowany do osób, które nie ukończyły 18 lat, a Administrator nie przetwarza świadomie ich danych osobowych. W razie powzięcia informacji, że dane osobowe zostały przekazane przez osobę, która nie ukończyła 18 lat, Administrator niezwłocznie je usunie.
§ 3. Cele i podstawy prawne przetwarzania danych
Administrator przetwarza dane osobowe Usługobiorców w następujących celach:
a) Realizacja Usługi analizy CV
- podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy),
- kategorie danych: treść CV, treść ogłoszenia pracy, adres e-mail.
b) Przetwarzanie danych szczególnych kategorii zawartych w CV (zob. § 4 Polityki)
- podstawa prawna: art. 9 ust. 2 lit. a RODO (wyraźna zgoda Usługobiorcy wyrażona przez świadome wgranie CV),
- kategorie danych: w zakresie w jakim CV je zawiera — dane o stanie zdrowia, pochodzeniu rasowym lub etnicznym, poglądach politycznych, przekonaniach religijnych lub światopoglądowych, przynależności do związków zawodowych, danych dotyczących seksualności lub orientacji seksualnej.
c) Wystawienie i przechowywanie faktur
- podstawa prawna: art. 6 ust. 1 lit. c RODO (obowiązek prawny — przepisy podatkowe i o rachunkowości),
- kategorie danych: imię, nazwisko (lub nazwa firmy), adres, NIP (dla nabywców będących przedsiębiorcami), dane do faktury.
d) Obsługa płatności
- podstawa prawna: art. 6 ust. 1 lit. b RODO (wykonanie umowy),
- kategorie danych: dane przekazywane Operatorowi Płatności (Stripe Payments Europe, Limited).
- źródło i sposób pozyskania adresu e-mail: w procesie zakupu Pakietu adres e-mail Usługobiorcy jest zbierany na stronie płatności Operatora Płatności (Stripe), a następnie przekazywany Administratorowi w celu dostarczenia Linków oraz faktury. Administrator nie zbiera adresu e-mail w odrębnym formularzu w Serwisie przed przejściem do strony płatności. W przypadku skorzystania z Kodu Promocyjnego (§ 6 Regulaminu) adres e-mail Usługobiorca podaje bezpośrednio w Serwisie.
e) Obsługa reklamacji, zapytań i procedury DSA
- podstawa prawna: art. 6 ust. 1 lit. c RODO (obowiązek prawny) oraz art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora w obsłudze korespondencji),
- kategorie danych: adres e-mail, treść korespondencji.
f) Analityka Serwisu
- podstawa prawna: art. 6 ust. 1 lit. a RODO (zgoda wyrażona w bannerze cookies),
- kategorie danych: dane techniczne (adres IP w postaci zanonimizowanej, przeglądarka, system operacyjny), dane behawioralne (zachowanie na stronie), identyfikatory cookies.
g) Dochodzenie lub obrona roszczeń
- podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora),
- kategorie danych: dane Usługobiorcy oraz dane dotyczące transakcji.
h) Telemetria źródła ogłoszenia (tryb URL)
- podstawa prawna: art. 6 ust. 1 lit. f RODO (uzasadniony interes Administratora polegający na: monitorowaniu jakości pobierania treści ogłoszeń z różnych portali pracy, wykrywaniu nadużyć oraz analizie produktowej z poszanowaniem zasady minimalizacji danych),
- kategorie danych: domena strony źródłowej (np. „pracuj.pl") oraz skrót kryptograficzny (SHA-256) kanonicznej postaci adresu URL ogłoszenia. Administrator nie przechowuje pełnego adresu URL ani treści ogłoszenia.
§ 4. Dane szczególnych kategorii w CV (art. 9 RODO)
Usługobiorca przyjmuje do wiadomości, że dokument CV przesyłany w ramach Usługi może zawierać dane osobowe szczególnych kategorii w rozumieniu art. 9 ust. 1 RODO, w szczególności: a) dane o stanie zdrowia (np. informacje o niepełnosprawności, statusie kombatanta), b) dane o pochodzeniu rasowym lub etnicznym (np. fotografia, imię, nazwisko, narodowość), c) dane o poglądach religijnych lub światopoglądowych (np. praca w organizacjach wyznaniowych), d) dane o przynależności do związków zawodowych, e) inne dane szczególnych kategorii.
Podstawą prawną przetwarzania danych szczególnych kategorii zawartych w CV jest wyraźna zgoda Usługobiorcy w rozumieniu art. 9 ust. 2 lit. a RODO, wyrażona przez świadome wgranie CV w ramach Usługi po zapoznaniu się z niniejszą Polityką.
Administrator zaleca, aby Usługobiorca nie umieszczał w CV danych szczególnych kategorii, jeżeli nie są one niezbędne do procesu rekrutacyjnego. Administrator nie wymaga tych danych do świadczenia Usługi.
Dane szczególnych kategorii zawarte w CV są przetwarzane wyłącznie w celu realizacji Usługi (analiza dopasowania do ogłoszenia) i nie są przechowywane po wygenerowaniu Raportu.
Usługobiorca może w każdej chwili cofnąć zgodę na przetwarzanie danych szczególnych kategorii, jednak cofnięcie zgody przed zakończeniem realizacji Usługi może uniemożliwić jej wykonanie. Cofnięcie zgody nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.
§ 5. Wykorzystanie sztucznej inteligencji (AI)
Serwis wykorzystuje technologie sztucznej inteligencji do analizy dokumentów aplikacyjnych Usługobiorcy. Dla zwiększenia jakości i obiektywizmu analizy Serwis wykorzystuje równolegle modele AI od czterech niezależnych dostawców, za pośrednictwem agregatora API.
Usługobiorca przyjmuje do wiadomości, że wykonanie analizy CV nie jest możliwe bez przekazania treści jego CV poza infrastrukturę Administratora. W celu wykonania Usługi treść CV oraz treść ogłoszenia pracy dostarczone przez Usługobiorcę są przesyłane do zewnętrznych dostawców modeli AI, którzy hostują te modele i dokonują analizy CV na własnej infrastrukturze. Są to następujące podmioty:
a) OpenRouter Inc. (USA) — pośrednik (agregator) zapewniający dostęp do modeli AI; procesor danych osobowych w rozumieniu art. 28 RODO, b) Anthropic PBC (USA) — dostawca modelu Claude; sub-procesor, c) OpenAI L.L.C. (USA) — dostawca modelu GPT; sub-procesor, d) Google LLC (USA) — dostawca modelu Gemini; sub-procesor, e) xAI Corp. (USA) — dostawca modelu Grok; sub-procesor.
Wszyscy dostawcy modeli AI wymienieni w ust. 2 mają siedzibę w Stanach Zjednoczonych Ameryki. Oznacza to, że przekazanie treści CV oraz treści ogłoszenia pracy do tych podmiotów stanowi transfer danych osobowych poza Europejski Obszar Gospodarczy (EOG). Zasady i podstawy prawne tego transferu, w tym stosowane zabezpieczenia, opisuje § 8 Polityki. Korzystanie z Usługi wiąże się z takim transferem — jest on niezbędny do jej wykonania.
Administrator zawarł z OpenRouter Inc. umowę powierzenia przetwarzania danych osobowych w rozumieniu art. 28 RODO, zawierającą Standardowe Klauzule Umowne (Standard Contractual Clauses) zatwierdzone decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r. Korzystanie z sub-procesorów (dostawców modeli AI) odbywa się na podstawie zgody ogólnej w rozumieniu art. 28 ust. 2 RODO, z możliwością wniesienia sprzeciwu wobec dodania nowych sub-procesorów.
Dane przekazane do dostawców AI nie są wykorzystywane do trenowania ani ulepszania modeli AI. Administrator korzysta z odpowiednich ustawień API u każdego z dostawców oraz, tam gdzie jest to dostępne, z opcji zerowej retencji danych (Zero Data Retention, dalej: „ZDR"). Szczegółowe zasady przetwarzania danych po stronie poszczególnych dostawców AI wymienionych w ust. 2 są następujące:
a) OpenRouter Inc. — agregator API, za pośrednictwem którego Administrator komunikuje się z dostawcami modeli wskazanymi w lit. b–e. OpenRouter wymusza wobec wszystkich pośredniczonych dostawców politykę zakazu wykorzystywania przekazanych danych do trenowania modeli (parametr „no prompt training"). OpenRouter nie zachowuje treści zapytań Administratora po ich przekazaniu do docelowego dostawcy modelu. b) Anthropic PBC (model Claude) — dane przekazywane są w trybie z włączoną opcją zerowej retencji danych (ZDR). Dane nie są wykorzystywane do trenowania modeli. c) OpenAI L.L.C. (model GPT) — dane przekazywane są w trybie z włączoną opcją zerowej retencji danych (ZDR). Dane nie są wykorzystywane do trenowania modeli. d) Google LLC (model Gemini) — dane przekazywane są w trybie z włączoną opcją zerowej retencji danych (ZDR). Dane nie są wykorzystywane do trenowania modeli. e) xAI Corp. (model Grok) — dane nie są wykorzystywane do trenowania modeli (polityka „no prompt training" wymuszana przez OpenRouter). W przypadku tego dostawcy Administrator nie ma technicznej możliwości włączenia trybu zerowej retencji danych (ZDR); xAI Corp. może przechowywać treść przekazanych zapytań przez okres do 30 dni, po którym dane są usuwane.
Administrator zastrzega sobie prawo do zmiany dostawców modeli AI zgodnie z § 7 ust. 3 Regulaminu. Aktualna lista dostawców AI publikowana jest w niniejszej Polityce.
Po wygenerowaniu Raportu treść CV oraz wynik analizy nie są przechowywane przez Administratora. Raport w formacie PDF jest wysyłany Usługobiorcy na podany adres e-mail i nie jest zachowywany w bazach Administratora (model „fire-and-forget").
§ 5a. Pobieranie treści ogłoszenia w trybie URL
Jeżeli Usługobiorca udostępnia treść ogłoszenia pracy poprzez podanie adresu URL (tryb „URL", § 2 ust. 2 lit. b Polityki), Administrator pobiera publicznie dostępną treść wskazanej strony przy udziale następujących podmiotów:
a) Jina AI GmbH (Niemcy) — dostawca usługi Jina Reader, służącej do pobrania publicznie dostępnej treści strony wskazanej pod adresem URL; procesor danych w rozumieniu art. 28 RODO, b) Google LLC (USA) — dostawca modelu Gemini, wykorzystywanego do wyodrębnienia (ekstrakcji) treści ogłoszenia pracy z pobranej zawartości strony; procesor / sub-procesor w rozumieniu art. 28 RODO.
Do dostawcy Jina AI GmbH przekazywany jest wyłącznie adres URL ogłoszenia podany przez Usługobiorcę. W toku pobierania nie są przekazywane żadne dane osobowe Usługobiorcy — w szczególności adres e-mail, treść CV, adres IP Usługobiorcy ani identyfikatory sesji.
Do dostawcy Google LLC (model Gemini) przekazywana jest pobrana treść strony ogłoszenia w celu wyodrębnienia z niej treści ogłoszenia pracy. Dane te nie są wykorzystywane do trenowania modeli AI — zastosowanie ma § 5 ust. 5 Polityki.
Po wygenerowaniu Raportu Administrator nie przechowuje pełnego adresu URL ani treści ogłoszenia. Zakres telemetrii zachowywanej w trybie URL (domena źródłowa oraz skrót SHA-256 kanonicznej postaci adresu URL) opisuje § 3 ust. 1 lit. h oraz § 9 ust. 1 lit. c1 Polityki.
Tryb URL jest dla Usługobiorcy dobrowolny — alternatywnie Usługobiorca może wkleić treść ogłoszenia bezpośrednio w formularzu Serwisu (tryb „paste"), w którym dostawcy wskazani w ust. 1 nie biorą udziału.
§ 6. Zautomatyzowane podejmowanie decyzji i profilowanie (art. 22 RODO)
Świadczenie Usługi polega na zautomatyzowanym przetwarzaniu danych Usługobiorcy (profilowaniu) w rozumieniu art. 22 RODO.
Logika przetwarzania. Treść CV oraz treść ogłoszenia pracy dostarczone przez Usługobiorcę są analizowane równolegle przez cztery modele AI wymienione w § 5 ust. 2 Polityki. Każdy z modeli ocenia stopień dopasowania CV do wymagań ogłoszenia oraz generuje sugestie modyfikacji według własnej, niezależnej metodologii. Wyniki analiz z czterech modeli są agregowane przez Administratora w jeden Raport końcowy, zawierający zsumowane oceny, mocne i słabe strony oraz rekomendacje.
Konsekwencje przetwarzania. Raport stanowi opinię informacyjną wygenerowaną przez algorytmy sztucznej inteligencji. Raport: a) NIE stanowi porady eksperta kariery, doradcy zawodowego ani rekrutera, b) NIE stanowi gwarancji uzyskania zatrudnienia, c) NIE stanowi prognozy wyników procesu rekrutacyjnego, d) NIE wywołuje skutków prawnych wobec Usługobiorcy, e) NIE wpływa na żadne wiążące zobowiązania prawne osób trzecich.
Decyzje dotyczące modyfikacji CV oraz aplikowania na stanowiska podejmuje Usługobiorca samodzielnie. Raport stanowi wyłącznie materiał pomocniczy do samodzielnej oceny CV przez Usługobiorcę.
Ograniczenia AI. Modele sztucznej inteligencji mogą popełniać błędy, generować niepełne lub niedokładne informacje (zjawisko tzw. halucynacji AI). Usługobiorca powinien zweryfikować zawartość Raportu we własnym zakresie przed jego wykorzystaniem.
Prawa Usługobiorcy w związku z profilowaniem. W związku z zautomatyzowanym przetwarzaniem danych Usługobiorca ma prawo do: a) otrzymania informacji o logice przetwarzania, b) wyrażenia własnego stanowiska wobec wyniku analizy, c) zakwestionowania wyniku analizy, d) uzyskania interwencji człowieka w procesie analizy poprzez kontakt z Administratorem na adres e-mail wskazany w § 1 ust. 3 Polityki.
§ 7. Odbiorcy danych
Administrator korzysta z usług następujących podmiotów, którym powierza przetwarzanie danych osobowych Usługobiorców (procesorów w rozumieniu art. 28 RODO):
a) Dostawcy usług hostingu i infrastruktury technicznej:
- Vercel Inc. (USA) — hosting aplikacji,
- Prisma Data Inc. (USA) — usługa bazy danych Prisma Postgres, z hostingiem infrastruktury w regionie Unii Europejskiej (Paryż, Francja),
- Jina AI GmbH (Niemcy) — usługa pobierania publicznie dostępnej treści stron internetowych (Jina Reader), wykorzystywana wyłącznie w trybie URL na potrzeby pobrania treści ogłoszenia pracy wskazanego przez Usługobiorcę; do dostawcy przekazywany jest wyłącznie adres URL ogłoszenia podany przez Usługobiorcę — patrz § 5a Polityki.
b) Dostawcy usług AI (zgodnie z § 5 Polityki):
- OpenRouter Inc. (USA) — procesor (agregator),
- Anthropic PBC (USA) — sub-procesor,
- OpenAI L.L.C. (USA) — sub-procesor,
- Google LLC (USA) — sub-procesor,
- xAI Corp. (USA) — sub-procesor.
c) Dostawca usług e-mail:
- Resend Inc. (USA) — wysyłka e-maili transakcyjnych.
d) Operator Płatności:
- Stripe Payments Europe, Limited (One Wilton Park, Wilton Place, Dublin 2, D02 FX04, Irlandia) — przetwarzanie płatności odbywa się w ramach Europejskiego Obszaru Gospodarczego. Zasady przetwarzania danych przez Stripe opisuje polityka prywatności dostępna pod adresem stripe.com/privacy.
e) Dostawcy usług analitycznych:
- Google Ireland Limited (Irlandia) — Google Analytics 4 (analiza ruchu w Serwisie); narzędzie uruchamiane wyłącznie po uzyskaniu zgody Usługobiorcy w bannerze cookies.
Każdy z wymienionych podmiotów przetwarza dane osobowe wyłącznie na podstawie umowy powierzenia przetwarzania zawartej z Administratorem oraz wyłącznie w celu, w jakim dane zostały mu przekazane.
Administrator może udostępnić dane osobowe organom publicznym, jeżeli wynika to z obowiązku prawnego (np. na żądanie sądu, prokuratury, organów ścigania).
§ 8. Transfer danych poza Europejski Obszar Gospodarczy (EOG)
Część dostawców usług, z których korzysta Administrator, ma siedzibę poza Europejskim Obszarem Gospodarczym, w szczególności w Stanach Zjednoczonych Ameryki. Poniżej wskazano, jakie dane są przekazywane poszczególnym kategoriom dostawców:
- Dostawcy modeli AI oceniających CV — OpenRouter Inc. (USA), Anthropic PBC (USA), OpenAI L.L.C. (USA), Google LLC (USA), xAI Corp. (USA). Do tych podmiotów przekazywana jest treść CV oraz treść ogłoszenia pracy, ponieważ to one hostują modele AI dokonujące analizy CV (§ 5 Polityki). Korzystanie z Usługi nie jest możliwe bez tego transferu.
- Dostawca hostingu aplikacji — Vercel Inc. (USA); przekazywane są dane techniczne związane z obsługą Serwisu.
- Dostawca usług e-mail — Resend Inc. (USA); przekazywany jest adres e-mail Usługobiorcy oraz Raport PDF na potrzeby jego dostarczenia.
- Dostawca bazy danych — Prisma Data Inc. (USA) — siedziba w USA, jednak infrastruktura przetwarzania danych zlokalizowana jest w regionie UE (Paryż, Francja).
Transfer danych osobowych do USA odbywa się na podstawie Standardowych Klauzul Umownych (Standard Contractual Clauses) zatwierdzonych decyzją wykonawczą Komisji Europejskiej (UE) 2021/914 z dnia 4 czerwca 2021 r. Standardowe Klauzule Umowne stanowią zabezpieczenie odpowiednie w rozumieniu art. 46 ust. 2 lit. c RODO.
Dodatkowo część wymienionych dostawców jest certyfikowana w ramach EU–U.S. Data Privacy Framework, co stanowi dodatkowe zabezpieczenie zgodności transferu z wymogami RODO (art. 45 RODO — decyzja Komisji Europejskiej o adekwatności z dnia 10 lipca 2023 r.).
Usługobiorca ma prawo otrzymać kopię stosowanych zabezpieczeń poprzez kontakt z Administratorem na adres wskazany w § 1 ust. 3 Polityki.
§ 9. Okresy przechowywania danych
Administrator przechowuje dane osobowe przez okresy niezbędne do realizacji celów określonych w § 3:
a) Treść CV oraz treść ogłoszenia pracy — nie są przechowywane po wygenerowaniu Raportu i jego przesłaniu Usługobiorcy (usuwane natychmiast po realizacji Usługi). Zasady retencji danych po stronie zewnętrznych dostawców modeli AI, którym treść CV oraz treść ogłoszenia jest przekazywana w celu wykonania Usługi, opisuje § 5 ust. 5 Polityki.
b) Wygenerowany Raport PDF — nie jest przechowywany przez Administratora po wysłaniu na adres e-mail Usługobiorcy.
c) Adres e-mail Usługobiorcy — przechowywany przez okres ważności Linków (6 miesięcy od zakupu Pakietu albo Pojedynczej Usługi) oraz przez okres przedawnienia roszczeń wynikających z Umowy (do 3 lat od zakończenia świadczenia Usługi).
c1) Telemetria źródła ogłoszenia w trybie URL (domena oraz skrót SHA-256 kanonicznej postaci adresu URL — § 3 ust. 1 lit. h Polityki) — przechowywane przez okres przedawnienia roszczeń wynikających z Umowy (do 3 lat od zakończenia świadczenia Usługi); dane te nie pozwalają na odtworzenie pełnego adresu URL ani treści ogłoszenia.
d) Dane do faktury (imię, nazwisko, NIP, adres) — 5 lat od końca roku kalendarzowego, w którym wystawiono fakturę (zgodnie z art. 86 § 1 Ordynacji podatkowej oraz art. 74 ustawy o rachunkowości).
e) Dane techniczne (logi serwera, adresy IP) — do 30 dni od dnia rejestracji w logach systemowych.
f) Dane analityczne i marketingowe (cookies, identyfikatory) — zgodnie z polityką poszczególnych dostawców (typowo 12–26 miesięcy); szczegóły w Polityce Cookies dostępnej pod adresem cvtest.pl/cookies.
g) Dane dotyczące korespondencji i reklamacji — 3 lata od ostatniego kontaktu.
h) Dane dotyczące zgłoszeń i odwołań DSA — przez okres niezbędny do realizacji procedury, nie dłużej niż 3 lata od zakończenia postępowania.
§ 10. Prawa Usługobiorcy
W związku z przetwarzaniem danych osobowych Usługobiorcy przysługują następujące prawa: a) prawo dostępu do treści swoich danych (art. 15 RODO), b) prawo do sprostowania danych (art. 16 RODO), c) prawo do usunięcia danych (art. 17 RODO), z zastrzeżeniem ograniczeń wynikających z obowiązków prawnych Administratora (np. obowiązków podatkowych), d) prawo do ograniczenia przetwarzania (art. 18 RODO), e) prawo do przenoszenia danych (art. 20 RODO) — z uwagi na model fire-and-forget, Raport PDF stanowi formę przeniesienia danych, f) prawo do wniesienia sprzeciwu wobec przetwarzania (art. 21 RODO), w szczególności wobec przetwarzania na podstawie uzasadnionego interesu Administratora (np. marketing), g) prawo do cofnięcia zgody w dowolnym momencie, jeżeli przetwarzanie odbywa się na podstawie zgody (art. 7 ust. 3 RODO), bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem zgody, h) prawo do uzyskania interwencji człowieka w procesie zautomatyzowanego przetwarzania (art. 22 RODO), i) prawo do wniesienia skargi do organu nadzorczego — Prezesa Urzędu Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl).
W celu wykonania powyższych praw należy skontaktować się z Administratorem na adres e-mail wskazany w § 1 ust. 3 Polityki.
Administrator udzieli odpowiedzi na żądanie Usługobiorcy bez zbędnej zwłoki, nie później niż w terminie 30 dni od otrzymania żądania. W szczególnie skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne 60 dni, o czym Administrator poinformuje Usługobiorcę.
§ 11. Cookies i podobne technologie
Serwis wykorzystuje pliki cookies (tzw. ciasteczka) oraz podobne technologie w celu: a) zapewnienia prawidłowego działania Serwisu (cookies niezbędne), b) prowadzenia analityki i optymalizacji Serwisu (cookies analityczne).
Szczegółowe informacje o stosowanych cookies, w tym lista dostawców, okresy ważności i sposób zarządzania zgodami, znajdują się w Polityce Cookies dostępnej pod adresem cvtest.pl/cookies.
Cookies inne niż niezbędne są instalowane wyłącznie po uzyskaniu zgody Usługobiorcy wyrażonej w bannerze cookies. Usługobiorca może w każdej chwili wycofać zgodę poprzez panel ustawień cookies dostępny w Serwisie.
§ 12. Działania analityczne
Administrator korzysta z narzędzia analitycznego Google Analytics 4 (dostawca: Google Ireland Limited) w celu analizy ruchu w Serwisie, mierzenia efektywności źródeł ruchu oraz optymalizacji produktu.
Google Analytics 4 jest uruchamiany wyłącznie po uzyskaniu zgody Usługobiorcy wyrażonej w bannerze cookies (kategoria „analityczne"). Przed udzieleniem zgody żadne dane nie są przekazywane do infrastruktury Google. Adresy IP Usługobiorców są anonimizowane natywnie przez Google Analytics 4.
Narzędzie wykorzystuje cookies oraz identyfikatory urządzeń do analizy aktywności Usługobiorcy w Serwisie. Szczegóły, w tym okresy przechowywania, znajdują się w Polityce Cookies dostępnej pod adresem cvtest.pl/cookies.
Usługobiorca może w każdej chwili wycofać zgodę na działania analityczne poprzez: a) panel ustawień cookies dostępny w Serwisie, b) ustawienia konta Google: https://myaccount.google.com/data-and-privacy, c) bezpośredni kontakt z Administratorem.
Administrator nie prowadzi obecnie działań marketingowych ani remarketingowych z wykorzystaniem cookies (nie korzysta z narzędzi reklamowych, takich jak Google Ads czy Meta Pixel) ani nie prowadzi nagrywania sesji użytkowników. W przypadku wdrożenia takich narzędzi w przyszłości Administrator zaktualizuje niniejszą Politykę oraz Politykę Cookies, a narzędzia te będą uruchamiane wyłącznie po uprzednim uzyskaniu zgody Usługobiorcy.
§ 13. Bezpieczeństwo danych
Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych, w szczególności: a) szyfrowanie transmisji danych protokołem SSL/TLS, b) szyfrowanie danych w bazie danych (encryption at rest), c) regularne kopie zapasowe, d) uwierzytelnianie dwuskładnikowe (2FA) dla dostępu administracyjnego do systemów Administratora oraz kont w usługach dostawców (Vercel, Prisma, OpenRouter, Stripe, Resend itd.), e) regularną aktualizację oprogramowania i komponentów systemowych, f) stosowanie silnych haseł oraz menedżerów haseł dla kont administracyjnych, g) logowanie zdarzeń systemowych do celów audytowych, h) minimalizację danych — Serwis nie przechowuje treści CV ani Raportów po realizacji Usługi (model fire-and-forget).
Administrator nie wymaga od Usługobiorców tworzenia kont z hasłami. Dostęp do funkcji Serwisu po dokonaniu płatności realizowany jest poprzez jednorazowy Link aktywacyjny przesłany na adres e-mail.
§ 14. Charakter Usługi i ograniczenie odpowiedzialności
Raport generowany przez Serwis stanowi opinię informacyjną wygenerowaną przez algorytmy sztucznej inteligencji.
Raport NIE stanowi: a) porady eksperta kariery, doradcy zawodowego ani rekrutera, b) gwarancji uzyskania zatrudnienia ani odpowiedzi na aplikację, c) prognozy wyników procesu rekrutacyjnego, d) decyzji prawnie wiążącej.
Decyzje dotyczące modyfikacji CV oraz aplikowania na stanowiska podejmuje Usługobiorca samodzielnie. Szczegółowe zasady odpowiedzialności określa Regulamin (§ 11 Regulaminu).
§ 15. Postanowienia końcowe
Polityka może być zmieniana przez Administratora w przypadku: a) zmiany przepisów prawa, b) zmian w działalności Administratora, c) zmian w stosowanych technologiach lub dostawcach usług (w szczególności dostawców AI — zgodnie z § 7 ust. 3 Regulaminu), d) zmian w zakresie zbieranych danych.
O zmianach Polityki Administrator informuje poprzez publikację zaktualizowanej wersji w Serwisie. Aktualna wersja Polityki obowiązuje od daty wskazanej na początku dokumentu. Poprzednie wersje Polityki Administrator przechowuje do wglądu na żądanie Usługobiorcy.
W sprawach nieuregulowanych w niniejszej Polityce mają zastosowanie powszechnie obowiązujące przepisy prawa, w szczególności: a) RODO, b) ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych, c) ustawa z dnia 18 lipca 2002 r. o świadczeniu usług drogą elektroniczną, d) Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2065 (DSA).
Polityka podlega prawu polskiemu.