Polityka prywatności

Administratorem Twoich danych osobowych jest:

CRAFTWEB sp. z o.o.
ul. Osiedle pod Wiatrakami 9, 62-261 Lednogóra
NIP 7842535739, KRS 0001039024, REGON 525423100
kapitał zakładowy 5 000,00 zł (wpłacony w całości)
wpisana do KRS przez Sąd Rejonowy Poznań – Nowe Miasto i Wilda w Poznaniu, IX Wydział Gospodarczy KRS

Kontakt w sprawach dotyczących danych: info@craftweb.pl

Administrator nie powołał Inspektora Ochrony Danych, ponieważ nie prowadzi przetwarzania w skali wymagającej tego obowiązku zgodnie z art. 37 RODO. We wszystkich sprawach związanych z danymi osobowymi prosimy kontaktować się bezpośrednio z Administratorem na adres info@craftweb.pl.

1. Świadczenie usługi i zawarcie umowy (art. 6 ust. 1 lit. b RODO) – rejestracja, logowanie, generowanie CV, dostęp do funkcji Pro.
2. Obowiązki prawne (art. 6 ust. 1 lit. c RODO) – wystawianie faktur i ich przechowywanie przez 5 lat, obsługa reklamacji.
3. Uzasadniony interes administratora (art. 6 ust. 1 lit. f RODO) – logi serwera dla bezpieczeństwa i diagnostyki, zapobieganie nadużyciom, dochodzenie roszczeń.
4. Zgoda (art. 6 ust. 1 lit. a RODO) – jeżeli wyrazisz zgodę na komunikację marketingową lub powiadomienia opcjonalne.

• Dane logowania: adres e-mail, hasło (przechowywane jako jednokierunkowy skrót bcrypt – Administrator nie ma dostępu do hasła w postaci jawnej).
• Dane profilowe: imię i nazwisko (opcjonalne), telefon (opcjonalny), adres e-mail kontaktowy, linki do LinkedIn / GitHub / portfolio, lokalizacja (miasto/kraj), lata doświadczenia, znajomość języków, zdjęcie profilowe.
• Dane CV i historii generacji: treść wklejonych ofert pracy, sparsowane atrybuty oferty, wygenerowane bio i opisy projektów, lista wybranych projektów i doświadczeń.
• Pliki przesłane: opcjonalnie wgrane zdjęcie profilowe lub plik CV (PDF/DOCX) jako źródło onboardingu.
• Dane techniczne: adres IP (logi serwera, retencja 30 dni), wersja przeglądarki w identyfikatorze sesji wtyczki Chrome, identyfikator sesji.
• Dane płatności: historia subskrypcji (data, kwota, status), identyfikator klienta Stripe. Dane karty płatniczej NIE są zbierane ani przechowywane przez Administratora – obsługuje je wyłącznie Stripe.

Aby świadczyć usługę, Administrator powierza przetwarzanie wybranych danych następującym podmiotom (procesorom). Każdy z nich przetwarza dane w określonym celu, na podstawie zawartej umowy powierzenia (DPA / Standard Contractual Clauses):

• Stripe Payments Europe, Ltd. (Irlandia / Stany Zjednoczone) – przetwarzanie płatności i zarządzanie subskrypcjami. Dane: adres e-mail, dane karty (po stronie Stripe), historia płatności. Certyfikacja PCI DSS Level 1. stripe.com/privacy
• Resend (Resend, Inc.) (Stany Zjednoczone) – wysyłka wiadomości transakcyjnych (reset hasła, potwierdzenia). Dane: adres e-mail, treść wiadomości. Standard Contractual Clauses. resend.com/legal/privacy-policy
• Google LLC – Gemini API (Stany Zjednoczone) – analiza treści ofert pracy i generowanie spersonalizowanej treści CV przez sztuczną inteligencję. Dane: treść ofert i fragmenty profilu na czas wykonania zapytania. Google deklaruje, że dane z paid Gemini API nie są używane do treningu modeli. Standard Contractual Clauses. policies.google.com/privacy
• GitHub, Inc. (Stany Zjednoczone) – pobieranie publicznych danych profilu GitHub na życzenie Użytkownika w trakcie onboardingu (skanowanie linku do profilu). Wykorzystywane jest publiczne API GitHub. docs.github.com/site-policy/privacy
• Hetzner Online GmbH (Niemcy) – dostawca infrastruktury serwerowej (VPS, centrum danych w Falkenstein). Dane przechowywane na terenie Europejskiego Obszaru Gospodarczego. hetzner.com/legal/privacy-policy

• Konto i profil: do momentu usunięcia Konta przez Użytkownika lub na jego pisemne żądanie.
• Historia wygenerowanych CV i ofert: do usunięcia Konta lub na żądanie usunięcia (przycisk „Reset all" w onboardingu, manualne usunięcie z poziomu historii).
• Logi serwera (IP, czas żądania): 30 dni od daty wpisu.
• Faktury i dokumenty księgowe: 5 lat od końca roku obrachunkowego (obowiązek z ustawy o rachunkowości i ordynacji podatkowej).
• Dane do dochodzenia roszczeń: przez okres przedawnienia roszczeń (do 6 lat).

Zgodnie z RODO przysługują Ci następujące prawa:

• Prawo dostępu do swoich danych (art. 15 RODO),
• Prawo do sprostowania nieprawidłowych danych (art. 16),
• Prawo do usunięcia („prawo do bycia zapomnianym") (art. 17),
• Prawo do ograniczenia przetwarzania (art. 18),
• Prawo do przenoszenia danych (art. 20),
• Prawo do sprzeciwu wobec przetwarzania na podstawie uzasadnionego interesu (art. 21),
• Prawo do wycofania zgody – jeżeli przetwarzanie odbywa się na podstawie zgody, możesz ją wycofać w każdej chwili,
• Prawo do wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Aby skorzystać z tych praw, wyślij wiadomość na info@craftweb.pl. Odpowiadamy w terminie 30 dni.

Podanie danych osobowych jest dobrowolne, jednak konieczne do:

• Założenia Konta (adres e-mail, hasło – bez tych danych nie ma możliwości rejestracji),
• Generowania CV (dane profilowe – im więcej, tym lepsza jakość CV),
• Zakupu Subskrypcji Pro (dane do płatności przez Stripe).

Serwis wykorzystuje sztuczną inteligencję (Gemini API) do generowania treści CV. Nie podejmujemy automatycznych decyzji wywołujących skutki prawne lub w podobny sposób istotnie wpływających na Użytkownika w rozumieniu art. 22 RODO.

AI proponuje sugestie treści (bio, opisy projektów, dobór persony), które Użytkownik edytuje i akceptuje samodzielnie przed eksportem CV. Ostateczna decyzja należy zawsze do Użytkownika.

Część procesorów (Stripe, Google, GitHub, Resend) ma siedzibę w Stanach Zjednoczonych. Transfer danych odbywa się na podstawie:

• Standardowych klauzul umownych zatwierdzonych przez Komisję Europejską (Standard Contractual Clauses), lub
• Decyzji Komisji Europejskiej o adekwatnym stopniu ochrony (Data Privacy Framework dla certyfikowanych dostawców).

Hetzner przechowuje dane wyłącznie na terenie EOG (Niemcy).

Serwis korzysta z plików cookie niezbędnych do działania (sesja, autoryzacja). Szczegółowe informacje znajdują się w Polityce cookies.

Stosujemy techniczne i organizacyjne środki bezpieczeństwa, m.in.:

• Szyfrowane połączenia HTTPS (Let's Encrypt) dla całego ruchu,
• Hashing haseł algorytmem bcrypt (jednokierunkowy, niedeszyfrowalny),
• Sesje Better Auth z tokenami HttpOnly + Secure + SameSite=Lax,
• Codzienne kopie zapasowe bazy danych (SQLite WAL),
• Ograniczony dostęp do infrastruktury (klucze SSH, MFA),
• Minimalizacja danych w logach (brak adresów e-mail i treści CV w logach diagnostycznych).

Możemy aktualizować niniejszą Politykę. Każda zmiana zostanie ogłoszona w Serwisie z 14-dniowym wyprzedzeniem oraz przesłana mailowo do zarejestrowanych Użytkowników. Aktualna wersja jest zawsze dostępna pod tym adresem.