Polityka Prywatności

Obowiązuje od dnia 2 lutego 2026 r.
Ostatnia aktualizacja: 7 maja 2026 r.

1. Wprowadzenie

Niniejsza Polityka Prywatności określa zasady przetwarzania danych osobowych użytkowników serwisu internetowego HiddenJobs.pl („Serwis”).

Administratorem danych osobowych jest:

SOLID SOFTWARE Piotr Czerwiński
Szkolna 4, 55-114 Kryniczno
NIP: PL9151812835

Kontakt: kontakt@hiddenjobs.pl

Administrator przetwarza dane osobowe zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. („RODO”) oraz obowiązującymi przepisami prawa polskiego.

Serwis znajduje się na etapie rozwoju (MVP). Dane osobowe mogą być wykorzystywane zarówno w celu dopasowania ofert, jak i w celu budowy, testowania oraz ulepszania mechanizmów działania Serwisu.

2. Sposób pozyskiwania danych

Dane osobowe mogą być pozyskiwane:

  • poprzez zapis na listę oczekujących (newsletter),
  • poprzez formularz rejestracji specjalisty,
  • poprzez logowanie za pośrednictwem zewnętrznego dostawcy tożsamości (np. Google),
  • poprzez kontakt mailowy,
  • w związku z korzystaniem z Serwisu.

Podanie danych jest dobrowolne, jednak w określonych przypadkach może być niezbędne do realizacji danego celu (np. brak podania wymaganych danych uniemożliwia rejestrację jako specjalista).

Serwis wykorzystuje pliki cookies oraz mechanizm localStorage wyłącznie w celach technicznych (zapewnienie prawidłowego działania strony, utrzymanie sesji oraz zapamiętanie preferencji użytkownika). Cookies ani localStorage nie są wykorzystywane do celów marketingowych ani profilowania reklamowego. Użytkownik może w każdej chwili zmienić ustawienia dotyczące cookies w swojej przeglądarce.

Serwis wykorzystuje narzędzie analityczne PostHog (infrastruktura w Unii Europejskiej) w trybie anonimowym, w oparciu o uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO). Zbieranie danych nie wymaga uprzedniej zgody — odbywa się bez plików cookies i bez przetwarzania danych identyfikujących użytkownika. Na stronie wyświetlany jest baner informacyjny z możliwością wyłączenia analityki w każdej chwili (opt-out). Szczegółowy zakres oraz cele przetwarzania opisano w pkt 3.7.

3. Cele, podstawa prawna i okres przetwarzania danych

3.1. Lista oczekujących (newsletter)

Podstawa prawna: zgoda (art. 6 ust. 1 lit. a RODO)

Cel: informowanie o rozwoju Serwisu, nowych funkcjonalnościach oraz ofertach pracy.

Okres przetwarzania: do czasu cofnięcia zgody.

3.2. Rejestracja jako specjalista

Zakres danych może obejmować:

  • imię i nazwisko,
  • adres e-mail,
  • informacje zawodowe (specjalizacja, doświadczenie, technologie),
  • informacje o oczekiwaniach finansowych (jeśli podane),
  • linki do profili zawodowych (jeśli podane),
  • preferowane formy współpracy z zagraniczną firmą (np. kontrakt B2B / JDG, zatrudnienie przez Employer of Record, umowa zlecenie, umowa o dzieło, własna spółka zagraniczna),
  • plik CV.

W przypadku logowania za pośrednictwem konta Google, Serwis automatycznie pobiera podstawowe dane z konta użytkownika, w szczególności adres e-mail oraz imię i nazwisko.

Podstawa prawna: zgoda (art. 6 ust. 1 lit. a RODO)

Cele przetwarzania:

  • budowa bazy specjalistów zainteresowanych współpracą z podmiotami zagranicznymi,
  • dopasowanie ofert pracy / współpracy do profilu zawodowego,
  • analiza preferencji zawodowych, w tym oczekiwań finansowych,
  • kontakt w przypadku dopasowania do konkretnej oferty,
  • przekazanie danych podmiotowi zagranicznemu wyłącznie w przypadku dopasowania do konkretnej oferty,
  • tworzenie ustrukturyzowanych profili zawodowych,
  • budowa, testowanie i rozwój mechanizmów dopasowania,
  • analiza danych z wykorzystaniem narzędzi opartych na sztucznej inteligencji (AI),
  • przechowywanie informacji o przekazaniu profilu do firmy oraz wyniku procesu rekrutacyjnego (np. zatrudnienie), w zakresie niezbędnym do realizacji usługi i ewentualnych rozliczeń.

Dane mogą być przetwarzane wielokrotnie w ramach ulepszania funkcjonalności Serwisu.

Dane mogą być przetwarzane również w środowiskach deweloperskich Administratora w celu rozwoju i testowania Serwisu, z zachowaniem odpowiednich środków bezpieczeństwa.

W miarę możliwości stosowana jest zasada minimalizacji danych przed ich przekazaniem do narzędzi analitycznych.

Zabezpieczenia przed przekazaniem CV do zewnętrznego dostawcy AI:

  • Przed przekazaniem treści CV do zewnętrznego dostawcy AI (OpenAI Inc.) dane osobowe takie jak adres e-mail, numer telefonu, adres zamieszkania, numer PESEL, data urodzenia, imię i nazwisko, nazwy miast, kodów pocztowych, narodowości i stanu cywilnego są automatycznie usuwane z tekstu i zastępowane markerami (np. [EMAIL], [PHONE], [LOCATION]).
  • Dodatkowo przed każdym wywołaniem do AI uruchamiany jest walidator kontrolny. Jeżeli wykryje on dane osobowe, które nie zostały usunięte, wywołanie do AI zostaje zablokowane, a zdarzenie odnotowane w wewnętrznym dzienniku zgodności.
  • Każde wywołanie do dostawcy AI jest dodatkowo rejestrowane w dzienniku audytowym (liczniki typów danych, skrót SHA-256 tekstu po redakcji, status walidacji) — bez przechowywania surowych danych osobowych — w celu wykazania rozliczalności przetwarzania zgodnie z art. 5 ust. 2 RODO.
  • Dostawca AI (OpenAI Inc.) zgodnie z dokumentem Data Processing Addendum oraz oficjalną polityką platformową (stan na 2026-04-22) nie wykorzystuje danych przesyłanych przez API do trenowania swoich modeli językowych.

Okres przetwarzania: do czasu cofnięcia zgody lub złożenia skutecznego wniosku o usunięcie danych. W przypadku udziału w procesie rekrutacyjnym dane dotyczące jego przebiegu i wyniku mogą być przechowywane przez okres niezbędny do realizacji rozliczeń oraz do czasu upływu terminów przedawnienia roszczeń.

3.3. Zapewnienie prawidłowego funkcjonowania Serwisu

Podstawa prawna: uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO)

Cel: zapewnienie bezpieczeństwa, obsługa techniczna oraz analiza działania Serwisu.

W tym celu wykorzystywane są narzędzia analityczne działające w trybie bezcookie’owym — nie zapisują żadnych informacji w pamięci przeglądarki użytkownika (brak plików cookies, brak localStorage) i służą wyłącznie do pomiaru zagregowanego ruchu oraz wskaźników wydajności strony (Core Web Vitals). Identyfikator odwiedzającego jest generowany jako skrót kryptograficzny oparty na adresie IP, kliencie oraz dziennej „soli” (zmienianej co 24 godziny), co uniemożliwia powiązanie odwiedzin pomiędzy różnymi dniami. Korzystanie z tych narzędzi nie wymaga odrębnej zgody użytkownika, ponieważ odbywa się w ramach uzasadnionego interesu Administratora i nie obejmuje przechowywania informacji na urządzeniu końcowym w rozumieniu art. 173 ustawy Prawo telekomunikacyjne oraz art. 5 ust. 3 dyrektywy 2002/58/WE.

Okres przetwarzania: do czasu wniesienia skutecznego sprzeciwu lub osiągnięcia celu.

3.4. Kontakt mailowy i zapytania

Podstawa prawna: uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO)

Okres przetwarzania: do czasu upływu terminów przedawnienia roszczeń.

3.5. Ustalenie, dochodzenie i obrona roszczeń

Podstawa prawna: uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO)

Okres przetwarzania: do czasu upływu terminów przedawnienia roszczeń.

3.6. Dane przedstawicieli firm

HiddenJobs może przetwarzać dane osobowe osób reprezentujących firmy zainteresowane współpracą lub publikacją ofert pracy w serwisie.

Zakres danych może obejmować w szczególności:

  • imię i nazwisko,
  • służbowy adres e-mail,
  • nazwę firmy,
  • stanowisko,
  • inne informacje przekazane dobrowolnie w korespondencji.

Cele przetwarzania:

  • nawiązanie kontaktu biznesowego,
  • przedstawienie informacji o możliwościach współpracy z HiddenJobs,
  • prowadzenie korespondencji dotyczącej publikacji ofert pracy lub współpracy rekrutacyjnej.

Podstawa prawna: uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na prowadzeniu komunikacji biznesowej oraz rozwijaniu współpracy z firmami zainteresowanymi zatrudnianiem specjalistów.

Dane mogą pochodzić:

  • bezpośrednio od osoby, której dane dotyczą (np. poprzez formularz lub wiadomość e-mail),
  • z publicznie dostępnych źródeł, takich jak strony internetowe firm lub profile zawodowe.

Okres przetwarzania: przez okres niezbędny do prowadzenia korespondencji lub do czasu zgłoszenia sprzeciwu wobec przetwarzania danych.

3.7. Analityka odwiedzin (PostHog)

Serwis korzysta z narzędzia PostHog w celu analizy zagregowanego ruchu oraz zrozumienia, w jaki sposób użytkownicy korzystają z Serwisu. Zbieranie danych odbywa się w trybie anonimowym, na podstawie uzasadnionego interesu Administratora — bez plików cookies, bez gromadzenia danych identyfikujących użytkownika. Na stronie wyświetlany jest baner informacyjny z możliwością wyłączenia analityki w każdej chwili (opt-out).

Zakres zbieranych danych może obejmować:

  • adres URL odwiedzanej strony oraz źródło wejścia (np. wyszukiwarka, strona odsyłająca),
  • przybliżoną lokalizację geograficzną na poziomie kraju (ustalaną na podstawie adresu IP, który nie jest przechowywany w formie umożliwiającej identyfikację),
  • informacje techniczne o urządzeniu i przeglądarce (typ przeglądarki, rozdzielczość ekranu, system operacyjny),
  • anonimowy identyfikator odwiedzającego zapisywany w pamięci przeglądarki (localStorage),
  • w przypadku użytkowników zalogowanych — pseudonimowy identyfikator wewnętrzny (UUID), niepozwalający na bezpośrednią identyfikację bez dostępu do bazy danych Serwisu,
  • zdarzenia związane z korzystaniem z Serwisu (np. kliknięcie przycisku „Aplikuj” wraz z oznaczeniem źródła — lista ogólna, widok dopasowań).

Dostawcą narzędzia jest PostHog Inc. Serwis korzysta z infrastruktury zlokalizowanej na terenie Unii Europejskiej (eu.posthog.com), co oznacza, że w ramach standardowej obsługi dane nie są przekazywane poza Europejski Obszar Gospodarczy.

Serwis nie wykorzystuje nagrywania sesji (session replay), nie stosuje automatycznego rejestrowania wszystkich interakcji (autocapture) i nie śledzi aktywności użytkownika między różnymi witrynami. Rejestrowane są wyłącznie zdefiniowane zdarzenia związane z funkcjonalnością Serwisu.

Podstawa prawna: uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na analizie zagregowanego ruchu w celu rozwoju Serwisu. Przetwarzanie odbywa się w sposób anonimowy — bez plików cookies, bez danych identyfikujących użytkownika, bez profilowania marketingowego ani śledzenia między różnymi witrynami. Użytkownik może wyrazić sprzeciw wobec przetwarzania (opt-out) w dowolnym momencie poprzez kliknięcie „Wyłącz” w banerze informacyjnym wyświetlanym na stronie lub poprzez wyczyszczenie pamięci lokalnej przeglądarki (localStorage). Sprzeciw skutkuje natychmiastowym zaprzestaniem zbierania danych.

Cel: analiza zagregowanego ruchu i interakcji z Serwisem w celu jego rozwoju, lepszego zrozumienia, które oferty są wartościowe dla użytkowników, oraz optymalizacji mechanizmów dopasowań.

Okres przetwarzania: nie dłużej niż 12 miesięcy od daty zdarzenia, zgodnie z konfiguracją dostawcy.

4. Odbiorcy danych osobowych

W zakresie niezbędnym do realizacji celów przetwarzania dane mogą być przekazywane:

  • dostawcom usług mailingowych,
  • dostawcom infrastruktury hostingowej i bazodanowej,
  • dostawcom usług przechowywania plików,
  • dostawcom narzędzi analitycznych (w szczególności PostHog Inc., z wykorzystaniem infrastruktury zlokalizowanej w Unii Europejskiej),
  • dostawcom narzędzi przetwarzania danych opartych na sztucznej inteligencji,
  • podmiotom zagranicznym wyłącznie w przypadku dopasowania do konkretnej oferty,
  • uprawnionym organom państwowym, jeżeli wymagają tego przepisy prawa.

Aktualny wykaz głównych podmiotów przetwarzających (na 2026-04-22):

  • OpenAI Inc. (USA) — analiza treści CV oraz ofert pracy z wykorzystaniem modeli językowych. Przetwarzanie odbywa się na podstawie podpisanego dokumentu Data Processing Addendum oraz standardowych klauzul umownych (SCC). Dostawca nie wykorzystuje danych przesłanych przez API do trenowania modeli.
  • Dostawca infrastruktury bazy danych oraz przechowywania plików (w tym CV) — infrastruktura w regionie Unii Europejskiej, szyfrowanie danych „at rest” oraz połączenia TLS.
  • Dostawca transakcyjnych wiadomości e-mail (potwierdzenia, powiadomienia dopasowań) — infrastruktura w Unii Europejskiej.
  • PostHog Inc. — narzędzie analityczne wykorzystywane w trybie anonimowym (bez plików cookies, bez danych identyfikujących użytkownika), na podstawie uzasadnionego interesu Administratora; infrastruktura w Unii Europejskiej (eu.posthog.com).
  • Dostawca hostingu warstwy aplikacyjnej (globalna sieć edge) oraz narzędzi analitycznych bezcookie’owych (szczegóły w pkt 3.3).

Dane osobowe nie są sprzedawane ani udostępniane publicznie. Przekazanie danych podmiotom trzecim następuje wyłącznie w zakresie niezbędnym do realizacji celu, na który osoba wyraziła zgodę.

5. Przekazywanie danych poza EOG

W związku z korzystaniem z usług podmiotów zewnętrznych dane mogą być przetwarzane poza Europejskim Obszarem Gospodarczym (EOG).

W takich przypadkach Administrator zapewnia stosowanie odpowiednich zabezpieczeń wymaganych przez RODO, w szczególności standardowych klauzul umownych lub innych mechanizmów prawnych zapewniających odpowiedni poziom ochrony danych.

6. Profilowanie i analiza danych

Dane specjalistów mogą być analizowane z wykorzystaniem narzędzi opartych na sztucznej inteligencji w celu dopasowania ofert oraz rozwoju mechanizmów Serwisu.

Analiza ma charakter wspomagający i nie prowadzi do podejmowania zautomatyzowanych decyzji wywołujących skutki prawne wobec osoby ani wpływających na nią w podobnie istotny sposób.

7. Ochrona danych

Administrator stosuje odpowiednie środki techniczne i organizacyjne zapewniające ochronę danych osobowych, w szczególności:

  • zabezpieczenie połączeń (TLS/SSL),
  • szyfrowanie danych „at rest” w bazie danych oraz warstwie przechowywania plików,
  • ograniczenie dostępu do danych wyłącznie do osób upoważnionych (mechanizmy kontroli dostępu na poziomie wiersza),
  • zabezpieczenia chroniące przed nieuprawnionym dostępem,
  • przechowywanie plików w sposób uniemożliwiający publiczny dostęp,
  • automatyczne usuwanie danych osobowych z treści CV przed przekazaniem do dostawcy AI (patrz pkt 3.2),
  • walidator kontrolny blokujący wywołanie AI w przypadku wykrycia danych osobowych,
  • wewnętrzny dziennik audytowy każdego przetwarzania CV przy użyciu AI (bez przechowywania surowych danych osobowych — wyłącznie liczniki i skróty kryptograficzne).

Administrator może uzyskać dostęp do danych użytkownika w celu wsparcia technicznego, diagnozowania problemów lub utrzymania bezpieczeństwa systemu. Dostęp administracyjny może obejmować możliwość zalogowania się do konta w imieniu użytkownika (tryb wsparcia). Każde takie zdarzenie jest rejestrowane w logach systemu. Funkcja ta nie jest używana w celach marketingowych ani analitycznych.

8. Prawa osób, których dane dotyczą

Osobie, której dane dotyczą, przysługuje prawo do:

  • dostępu do danych,
  • sprostowania danych,
  • usunięcia danych,
  • ograniczenia przetwarzania,
  • wniesienia sprzeciwu,
  • przenoszenia danych,
  • cofnięcia zgody w dowolnym momencie.

Kanały realizacji praw:

  • prawo dostępu do danych — dane profilu są widoczne po zalogowaniu w zakładce „Ustawienia” (/settings),
  • prawo sprostowania — edycja imienia i nazwiska dostępna jest bezpośrednio w zakładce „Ustawienia”; zmiana adresu e-mail lub innych danych wymaga kontaktu mailowego,
  • prawo usunięcia danych — w zakładce „Ustawienia” dostępna jest funkcja trwałego usunięcia konta,
  • pozostałe prawa (ograniczenie, sprzeciw, przenoszenie, cofnięcie zgody) — realizowane na wniosek wysłany na adres [email protected].

W przypadku skutecznego żądania usunięcia danych Administrator usuwa dane osobowe, w tym przesłane pliki (np. CV). Użytkownik może samodzielnie usunąć konto z poziomu ustawień w Serwisie ("Ustawienia" → "Usuń konto"). Usunięcie konta powoduje **trwałe usunięcie**: pliku CV, profilu zawodowego, danych identyfikacyjnych (imię i nazwisko, adres e-mail, linki do profili zawodowych, oczekiwania finansowe, kraj zamieszkania, preferowane formy współpracy), zaproszeń wysłanych na adres e-mail, wewnętrznego dziennika audytowego oraz konta uwierzytelniającego. **Trwale zachowane w postaci zanonimizowanej** (bez powiązania z osobą, której dane dotyczą — pole identyfikujące użytkownika zostaje wyzerowane) pozostają natomiast: anonimowe metryki dopasowań ofert do profilu, reakcje użytkownika na dopasowania (np. zainteresowany / aplikował / nie pasuje), kliknięcia w oferty oraz treść zgłoszeń produktowych — wyłącznie dla celów rozwoju i ulepszania mechanizmu dopasowywania, statystyk produktowych oraz analizy zaangażowania, bez możliwości ponownego powiązania z konkretnym użytkownikiem (zgodnie z motywem 26 RODO). Dalsze przechowywanie danych osobowych jest możliwe wyłącznie wtedy, gdy jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń albo wynika z obowiązujących przepisów prawa.

Żądania realizowane są bez zbędnej zwłoki, nie później niż w terminie 30 dni od ich otrzymania.

Osobie przysługuje również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

9. Logi techniczne

W ramach infrastruktury technicznej mogą być automatycznie zapisywane logi (m.in. data i czas żądania) w celu zapewnienia bezpieczeństwa i prawidłowego działania. Logi przechowywane są przez okres nie dłuższy niż 7 dni, chyba że wymagane jest ich dłuższe przechowywanie z przyczyn bezpieczeństwa. Serwis rejestruje informacje o interakcjach użytkownika z prezentowanymi ofertami w celu poprawy jakości działania systemu.

10. Zmiany Polityki Prywatności

Polityka Prywatności może być aktualizowana w związku z rozwojem Serwisu lub zmianą przepisów prawa. O istotnych zmianach użytkownicy zostaną poinformowani poprzez Serwis lub drogą elektroniczną.