Ostatnia aktualizacja: 28 marca 2026
1. Wprowadzenie i administrator danych
Niniejsza Polityka prywatności opisuje, w jaki sposób Laddro Digital UG (haftungsbeschränkt) („Laddro", „my", „nas" lub „nasz") gromadzi, wykorzystuje, ujawnia, przechowuje i chroni Twoje dane osobowe, gdy uzyskujesz dostęp do naszej strony internetowej pod adresem www.laddro.com („Strona") i korzystasz z naszych usług tworzenia CV, życiorysów i listów motywacyjnych, w tym funkcji wspomaganych sztuczną inteligencją, subskrypcji, programu poleceń, trackera aplikacji o pracę oraz opcjonalnego publicznego API (łącznie „Usługa").
Administrator danych:
Laddro Digital UG (haftungsbeschränkt)
Geschäftsführer: Oussama Bentaib
Belziger Str. 69-71, 10823 Berlin, Germany
E-mail: support@laddro.com
Zobowiązujemy się do ochrony Twojej prywatności zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 („RODO"), niemiecką federalną ustawą o ochronie danych osobowych (Bundesdatenschutzgesetz, „BDSG"), ustawą o ochronie danych w telekomunikacji i telemediach (Telekommunikation-Telemedien-Datenschutz-Gesetz, „TTDSG") oraz wszystkimi innymi obowiązującymi przepisami dotyczącymi ochrony danych.
Korzystając z Usługi lub uzyskując do niej dostęp, potwierdzasz, że zapoznałeś(-aś) się z niniejszą Polityką prywatności i ją rozumiesz. Gdy podstawą prawną przetwarzania jest Twoja zgoda, uzyskamy ją w sposób wyraźny, a Ty możesz ją wycofać w dowolnym momencie.
2. Dane, które gromadzimy
2.1 Dane konta i uwierzytelniania
Gromadzimy następujące dane osobowe podczas tworzenia i zarządzania kontem:
| Dane | Źródło | Cel | Podstawa prawna (RODO) |
|---|---|---|---|
| Imię i nazwisko | Formularz rejestracyjny, ustawienia konta | Tworzenie konta, identyfikacja | Art. 6(1)(b) - Wykonanie umowy |
| Adres e-mail | Rejestracja, logowanie, wsparcie, polecenia | Zarządzanie kontem, uwierzytelnianie, komunikacja | Art. 6(1)(b) - Wykonanie umowy |
| Zdjęcie profilowe | Ustawienia konta (przesyłanie obrazu) | Personalizacja profilu | Art. 6(1)(b) - Wykonanie umowy |
| Język / ustawienia regionalne | Rejestracja, ustawienia | Lokalizacja interfejsu i komunikacji | Art. 6(1)(b) - Wykonanie umowy |
| Kod polecenia | Parametry URL podczas rejestracji/logowania | Atrybucja w programie poleceń | Art. 6(1)(f) - Prawnie uzasadniony interes |
Metody uwierzytelniania:
- Magic link (bez hasła): Nasz główny sposób logowania. Wpisujesz adres e-mail, a my wysyłamy jednorazowy link do logowania. Hasło nie jest wymagane. Link jest jednorazowego użytku i wygasa po krótkim czasie ze względów bezpieczeństwa.
- OAuth (Google, LinkedIn): Możesz uwierzytelnić się za pomocą konta Google lub LinkedIn. Otrzymujemy jedynie dane profilu udostępniane przez tych dostawców (zazwyczaj imię, nazwisko i adres e-mail). Nie otrzymujemy ani nie przechowujemy Twojego hasła do Google lub LinkedIn. Możesz odłączyć połączone konto Google lub LinkedIn w dowolnym momencie w ustawieniach konta, pod warunkiem że zachowasz co najmniej jedną aktywną metodę logowania. Zapoznaj się z Polityką prywatności Google i Polityką prywatności LinkedIn, aby dowiedzieć się, jak przetwarzają Twoje dane.
- Dostęp jako gość: Możesz korzystać z kreatorów CV i listów motywacyjnych bez zakładania konta. W takim przypadku Twoje treści są przechowywane lokalnie w localStorage przeglądarki i nie są przesyłane na nasze serwery, dopóki nie utworzysz konta. Od użytkowników-gości nie zbieramy żadnych danych osobowych poza tym, co jest przechowywane lokalnie w przeglądarce.
- Zarządzanie sesjami: Używamy plików cookie HTTP do przechowywania tokenów uwierzytelniania (zob. Sekcja 5).
Zdjęcie profilowe: Możesz przesłać zdjęcie profilowe w ustawieniach konta. Przesyłane obrazy są przycinane i zmniejszane (do formatu JPEG 400×400) na Twoim urządzeniu przed bezpośrednim przesłaniem do naszego dostawcy przechowywania danych w chmurze za pośrednictwem bezpiecznego podpisanego URL. Gdy przesyłasz nowe zdjęcie, poprzedni obraz jest zastępowany i usuwany z pamięci cloud. Gdy usuwasz konto, Twoje zdjęcie profilowe jest usuwane z pamięci cloud. Nie wykorzystujemy Twojego zdjęcia profilowego w żadnym innym celu niż wyświetlanie go w ramach Twojego konta.
Zarządzanie kontem: Możesz zaktualizować swoje imię i nazwisko oraz adres e-mail w dowolnym momencie w ustawieniach konta. Zmiany adresu e-mail są weryfikowane, aby upewnić się, że nowy adres nie jest już używany. Możesz również odłączyć połączone konta Google lub LinkedIn, pod warunkiem że na koncie pozostanie aktywna co najmniej jedna metoda logowania.
Usunięcie konta: Możesz usunąć swoje konto w dowolnym momencie w ustawieniach konta. Po usunięciu usuwamy lub anonimizujemy Twoje dane osobowe - w tym zdjęcie profilowe z pamięci cloud, CV, listy motywacyjne i dane aplikacji o pracę - zgodnie z Sekcją 8. Niektóre dane mogą być przechowywane przez ograniczone okresy wymagane przez prawo (zob. Sekcja 8).
2.2 Dane CV
Gdy korzystasz z kreatora CV, gromadzimy i przechowujemy:
| Dane | Źródło | Cel |
|---|---|---|
| Dane osobowe | Formularz kreatora (imię i nazwisko, tytuł zawodowy, e-mail, telefon, miasto, kraj) | Tworzenie i wyświetlanie CV |
| Treść zawodowa | Formularz kreatora (podsumowanie, historia zatrudnienia, wykształcenie, umiejętności, certyfikaty, aktywności) | Tworzenie, edycja i eksport CV |
| Metadane CV | Generowane przez system (tytuł, wybrany szablon, data utworzenia) | Organizacja, wyświetlanie, eksport PDF |
| Przesłane pliki PDF | Przepływ dopasowywania CV | Ekstrakcja ustrukturyzowanych danych CV przy użyciu AI |
Podstawa prawna: Art. 6(1)(b) RODO - Przetwarzanie jest niezbędne do wykonania umowy (świadczenie Usługi tworzenia CV).
Dane CV są przechowywane na naszych serwerach i powiązane z Twoim kontem. W przypadku funkcji wspomaganych AI (dopasowywanie, ekstrakcja) treść Twojego CV jest przesyłana do naszego backendu i może być przetwarzana przez zewnętrznych dostawców AI (zob. Sekcja 2.4). Nie wykorzystujemy treści Twojego CV do celów marketingowych, reklamowych ani do sprzedaży stronom trzecim.
2.3 Dane listu motywacyjnego
Gdy korzystasz z kreatora listów motywacyjnych, gromadzimy i przechowujemy:
| Dane | Źródło | Cel |
|---|---|---|
| Treść listu | Formularz kreatora (dane osobowe, dane pracodawcy, treść listu) | Tworzenie, edycja i eksport listu motywacyjnego |
| Tytuł i szablon | Formularz kreatora | Organizacja, wyświetlanie, eksport |
| Opis stanowiska i nazwa stanowiska | Dane wejściowe do generowania/dopasowywania | Generowanie listów motywacyjnych za pomocą AI |
| Powiązane dane CV | Wybrane z Twoich zapisanych CV | Kontekst dla generowania listów przez AI |
Podstawa prawna: Art. 6(1)(b) RODO - Wykonanie umowy.
W celu generowania lub ulepszania listów motywacyjnych Twoje dane CV, opis stanowiska i preferencje mogą być przekazywane dostawcom AI (zob. Sekcja 2.4).
2.4 AI i zautomatyzowane przetwarzanie
Używamy narzędzi AI i zautomatyzowanych, w tym zewnętrznych dostawców takich jak OpenAI, Anthropic (Claude) i Google (Gemini), do obsługi następujących funkcji:
| Funkcja | Przetwarzane dane | Dostawca AI |
|---|---|---|
| Dopasowywanie CV | Treść CV, stanowisko, opis stanowiska | Anthropic (Claude) |
| Ulepszanie treści | Wybrany tekst, typ pola, kontekst CV | Google (Gemini) |
| Sugestie umiejętności | Istniejące umiejętności, kontekst CV, opis stanowiska | Google (Gemini) |
| Generowanie listu motywacyjnego | Dane CV, stanowisko, opis stanowiska, język | Google (Gemini) |
| Ocena CV | Treść CV, aktualny wynik, opis stanowiska | Anthropic (Claude) |
| Ekstrakcja CV z PDF | Zawartość przesłanego pliku PDF | OpenAI |
Podstawa prawna: Art. 6(1)(b) RODO - Wykonanie umowy (korzystasz z tych funkcji w ramach Usługi).
Ważne informacje dotyczące przetwarzania przez AI:
- Treści użytkownika przekazywane dostawcom AI są wykorzystywane wyłącznie w celu świadczenia żądanej funkcji. Nie wykorzystujemy Twoich danych do trenowania modeli AI.
- Nasi dostawcy AI przetwarzają dane na podstawie swoich warunków przetwarzania danych, które obejmują zobowiązania dotyczące bezpieczeństwa danych, poufności oraz ograniczeń w ich wykorzystaniu. Opieramy się na postanowieniach dotyczących przetwarzania danych zawartych w standardowych warunkach korzystania z API każdego dostawcy (Data Processing Addendum OpenAI, warunki korzystania z usług Anthropic oraz Cloud Data Processing Addendum Google) w celu zapewnienia odpowiednich zabezpieczeń Twoich danych zgodnie z Art. 28 RODO.
- Dostawcy AI przetwarzają dane jako podwykonawcy i są umownie zobowiązani do nieużywania Twoich danych do własnych celów, w tym do trenowania modeli, zgodnie z ich warunkami korzystania z API.
- Śledzimy wykorzystanie funkcji AI (typ akcji, użyty model, znacznik czasu) per konto w celu egzekwowania limitów planu i ulepszania usługi. Żadna treść CV ani listu motywacyjnego nie jest zapisywana w logach użytkowania.
- Zapoznaj się z Polityką prywatności OpenAI, Polityką prywatności Anthropic i Polityką prywatności Google, aby uzyskać dodatkowe informacje na temat ich praktyk przetwarzania danych.
Brak zautomatyzowanego podejmowania decyzji: Funkcje AI, które oferujemy, są narzędziami pomagającymi Ci tworzyć i ulepszać treści. Nie podejmujemy żadnych zautomatyzowanych decyzji wywołujących wobec Ciebie skutki prawne lub podobnie istotne skutki na podstawie przetwarzania AI. Zawsze zachowujesz pełną kontrolę nad ostateczną treścią.
2.5 Dane trackera aplikacji o pracę
Gdy dopasowujesz CV do konkretnego stanowiska, automatycznie tworzymy rekord aplikacji. Możesz również ręcznie tworzyć, edytować i zarządzać aplikacjami za pośrednictwem trackera. Gromadzimy i przechowujemy:
| Dane | Źródło | Cel |
|---|---|---|
| Nazwa firmy | Przepływ dopasowywania lub ręczny wpis | Śledzenie firmy, do której aplikowałeś(-aś) |
| Nazwa stanowiska | Przepływ dopasowywania lub ręczny wpis | Śledzenie stanowiska, o które się ubiegałeś(-aś) |
| Opis stanowiska | Przepływ dopasowywania lub ręczny wpis | Odniesienie dla aplikacji |
| Status aplikacji | Ręczny wybór (złożona, rozmowa kwalifikacyjna, oferta, zaakceptowana, odrzucona, brak odpowiedzi) | Śledzenie postępów |
| Notatki | Ręczny wpis | Osobiste notatki dotyczące aplikacji |
| Powiązane identyfikatory CV i listu | Automatycznie powiązane po dopasowaniu | Powiązanie dokumentów z aplikacją |
| Znaczniki czasu | Generowane przez system (data aplikacji, ostatnia aktualizacja) | Chronologiczne śledzenie |
Przechowywanie: Dane aplikacji są przechowywane zarówno na naszych serwerach (synchronizowane z Twoim kontem), jak i lokalnie w localStorage Twojej przeglądarki w celu dostępu offline i poprawy wydajności. Dane serwera mają pierwszeństwo podczas synchronizacji. Dane lokalne są usuwane po wylogowaniu.
Usuwanie: Możesz usunąć poszczególne aplikacje w dowolnym momencie za pośrednictwem trackera. Usunięcie powoduje usunięcie rekordu zarówno z naszych serwerów, jak i z Twojego lokalnego przechowywania. Wszystkie dane aplikacji są również usuwane po usunięciu konta.
Podstawa prawna: Art. 6(1)(b) RODO - Wykonanie umowy.
2.6 Dane dotyczące płatności i subskrypcji
Przetwarzanie płatności jest realizowane przez Stripe, Inc. (procesor płatności certyfikowany PCI DSS poziom 1).
| Dane | Źródło | Cel |
|---|---|---|
| Wybrany plan i ustawienia regionalne | Przepływ płatności | Tworzenie sesji płatności |
| Identyfikator sesji płatności | Wywołanie zwrotne Stripe | Aktywacja zakupionego planu lub tokenów |
| Status subskrypcji | Stripe przez nasz backend | Wyświetlanie bieżącego planu, zarządzanie rozliczeniami |
| Metadane transakcji | Stripe (typ planu, kwota, data) | Rekordy rozliczeniowe, zarządzanie subskrypcją |
Nie przechowujemy pełnego numeru Twojej karty kredytowej lub debetowej, kodu CVV ani daty ważności. Wszystkie dane karty są gromadzone i przetwarzane bezpośrednio przez Stripe. Przechowujemy jedynie minimalne dane niezbędne do administrowania rozliczeniami (takie jak typ planu, identyfikatory transakcji i daty rozliczeniowe).
Podstawa prawna: Art. 6(1)(b) RODO - Wykonanie umowy.
Zapoznaj się z Polityką prywatności Stripe i Warunkami świadczenia usług Stripe, aby uzyskać szczegółowe informacje na temat przetwarzania danych płatniczych przez Stripe.
2.7 Dane wsparcia i komunikacji
Gdy kontaktujesz się z nami za pośrednictwem naszego formularza wsparcia, gromadzimy:
| Dane | Źródło | Cel |
|---|---|---|
| Imię i nazwisko, e-mail, temat, wiadomość | Formularz wsparcia | Odpowiedź na Twoje zapytanie |
| Powiązanie z kontem | Twoja uwierzytelniona sesja | Powiązanie żądania z Twoim kontem |
Podstawa prawna: Art. 6(1)(b) RODO - Wykonanie umowy; Art. 6(1)(f) RODO - Prawnie uzasadniony interes w zakresie świadczenia obsługi klienta.
Przechowujemy rekordy wsparcia przez rozsądny okres w celu obsługi zapytań uzupełniających i poprawy jakości naszej obsługi.
2.8 Dane programu poleceń
| Dane | Źródło | Cel |
|---|---|---|
| Kod polecenia | Generowany dla konta | Identyfikacja i udostępnianie |
| Adresy e-mail zaproszonych | Wprowadzone przez Ciebie | Wysyłanie zaproszeń do programu poleceń |
| Atrybucja polecenia | Parametry URL podczas rejestracji/logowania | Przypisywanie nowych rejestracji do osób polecających |
Podstawa prawna: Art. 6(1)(b) RODO - Wykonanie umowy (uczestnictwo w programie poleceń); Art. 6(1)(f) RODO - Prawnie uzasadniony interes w rozwijaniu Usługi.
Gdy podajesz adresy e-mail do zaproszeń w ramach programu poleceń, oświadczasz, że uzyskałeś(-aś) zgodę odbiorcy na otrzymywanie takich komunikatów lub że masz inną podstawę prawną do udostępnienia jego adresu e-mail. Wysyłamy jedno jednorazowe zaproszenie; nie dodajemy tych adresów e-mail do żadnej listy mailingowej w celach marketingowych.
2.9 Dane kluczy API
Jeśli korzystasz z publicznego API, generujemy i przechowujemy klucze API powiązane z Twoim kontem. Klucze API służą do uwierzytelniania żądań API i egzekwowania limitów użytkowania. Jesteś odpowiedzialny(-a) za zachowanie poufności kluczy API.
Podstawa prawna: Art. 6(1)(b) RODO - Wykonanie umowy.
2.10 Preferencje e-mailowe i komunikacja marketingowa
Możemy wysyłać Ci e-maile nietransakcyjne w następujących kategoriach:
| Kategoria | Opis |
|---|---|
| Aktualizacje produktu | Nowe funkcje, usprawnienia i ogłoszenia dotyczące usługi |
| Prośby o recenzję | Zaproszenia do wystawienia opinii (np. na Trustpilot) po skorzystaniu z Usługi |
| Aktualizacje poleceń | Powiadomienia o aktywności i nagrodach w programie poleceń |
Możesz zarządzać swoimi preferencjami e-mailowymi w dowolnym momencie w ustawieniach konta lub za pomocą linku do wypisania się zawartego w każdym e-mailu nietransakcyjnym. Linki do wypisania się wykorzystują podpisany token, który pozwala zrezygnować bez logowania. Z e-maili transakcyjnych (linki do logowania magic link, potwierdzenia płatności, powiadomienia o usunięciu konta) nie można się wypisać, ponieważ są niezbędne do działania Usługi.
Podstawa prawna: Art. 6(1)(f) RODO - Prawnie uzasadniony interes w przekazywaniu użytkownikom istotnych aktualizacji. Możesz w każdej chwili złożyć sprzeciw, wypisując się z listy.
2.11 Oceny i opinie
Oferujemy publiczne funkcje oceniania szablonów CV, artykułów blogowych oraz przykładów CV/listów motywacyjnych. Gdy wystawiasz ocenę:
- Twoja ocena i identyfikator ocenianego elementu są przechowywane na naszych serwerach.
- Aby zapobiec podwójnemu ocenianiu, możemy wygenerować anonimowy identyfikator oparty na hashu Twojego adresu IP i identyfikatora przeglądarki. Nie przechowujemy surowego adresu IP ani identyfikatora przeglądarki w tym celu.
- Twój wybór oceny jest również zapisywany w localStorage przeglądarki, aby odzwierciedlić Twój wybór w interfejsie.
Możesz również przesłać ogólną opinię o Usłudze za pośrednictwem formularza opinii (imię, e-mail, wiadomość, adres URL bieżącej strony).
Podstawa prawna: Art. 6(1)(f) RODO - Prawnie uzasadniony interes w ulepszaniu Usługi na podstawie opinii użytkowników.
2.12 Identyfikatory urządzeń
W celu ograniczania częstotliwości zapytań przy niektórych publicznych funkcjach (takich jak publiczny parser CV) generujemy losowy identyfikator urządzenia (x-client-id) przechowywany w localStorage Twojej przeglądarki. Ten identyfikator to losowy UUID, nie zawiera danych osobowych i jest przesyłany do naszego backendu wyłącznie w celu egzekwowania limitów na urządzenie. Możesz go usunąć w dowolnym momencie, czyszcząc localStorage przeglądarki.
Podstawa prawna: Art. 6(1)(f) RODO - Prawnie uzasadniony interes w zapobieganiu nadużyciom publicznych funkcji.
3. Analityka i śledzenie
3.1 Google Analytics i Google Tag Manager
Korzystamy z Google Analytics (obsługiwanego przez Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia) i Google Tag Manager w celu analizy sposobu, w jaki użytkownicy korzystają z Usługi. Pomaga nam to zrozumieć wzorce użytkowania, identyfikować problemy i ulepszać Usługę.
Gromadzone dane mogą obejmować:
- Odwiedzane strony i ścieżki nawigacji
- Typ urządzenia, typ przeglądarki, system operacyjny
- Przybliżona lokalizacja geograficzna (określona na podstawie adresu IP)
- Zdarzenia interakcji (takie jak kliknięcia przycisków, przesyłanie formularzy, wybory szablonów, pobierania)
- Czas trwania sesji i źródło odesłania
Anonimizacja IP: Włączyliśmy anonimizację IP (maskowanie danych), aby Google skracał Twój adres IP w obrębie Unii Europejskiej przed przetwarzaniem.
Podstawa prawna: Art. 6(1)(a) RODO - Twoja zgoda, uzyskana za pośrednictwem naszego mechanizmu zgody na pliki cookie.
Rezygnacja: Możesz zrezygnować ze śledzenia przez Google Analytics poprzez:
- Odmowę analitycznych plików cookie za pośrednictwem naszego banera zgody na pliki cookie.
- Zainstalowanie dodatku do przeglądarki dezaktywującego Google Analytics.
- Skonfigurowanie przeglądarki do blokowania plików cookie innych firm.
Więcej informacji znajdziesz w Polityce prywatności Google oraz Warunkach przetwarzania danych Google Analytics.
3.2 PostHog (analityka produktowa)
Korzystamy z PostHog (PostHog, Inc.) do analityki produktowej w celu zrozumienia, jak użytkownicy korzystają z Usługi i jej ulepszania. PostHog gromadzi:
- Wyświetlenia stron i ścieżki nawigacji
- Interakcje użytkowników (kliknięcia, przesyłanie formularzy, wykorzystanie funkcji)
- Typ urządzenia, typ przeglądarki i system operacyjny
- Dane sesji i źródło odesłania
PostHog jest skonfigurowany tak, aby korzystać z trwałości wyłącznie w pamięci (na Twoim urządzeniu nie są przechowywane żadne pliki cookie ani wpisy localStorage PostHog) i przetwarza dane w obrębie Unii Europejskiej. W przypadku zalogowanych użytkowników zdarzenia analityczne mogą być powiązane z Twoim kontem w celu dostarczenia statystyk użytkowania. PostHog przetwarza dane zgodnie ze swoją Polityką prywatności.
Podstawa prawna: Art. 6(1)(f) RODO - Prawnie uzasadniony interes w zrozumieniu, jak użytkownicy korzystają z Usługi w celu jej ulepszania. Ponieważ PostHog nie zapisuje żadnych danych na Twoim urządzeniu, zgoda na podstawie § 25 TTDSG nie jest wymagana.
Rezygnacja: Możesz w każdej chwili złożyć sprzeciw wobec śledzenia przez PostHog, kontaktując się z nami pod adresem support@laddro.com.
3.3 Sentry (monitoring błędów)
Korzystamy z Sentry (Functional Software, Inc.) do monitorowania i diagnozowania błędów oraz problemów z wydajnością Usługi. Sentry jest skonfigurowany tak, aby nie gromadzić danych umożliwiających identyfikację osoby. W przypadku wystąpienia błędu Sentry może gromadzić:
- Komunikaty o błędach i ślady stosu
- Typ przeglądarki, system operacyjny i informacje o urządzeniu
- Adres URL strony, na której wystąpił błąd
Sentry przetwarza dane jako podwykonawca zgodnie z naszymi instrukcjami na podstawie ich Data Processing Addendum. Dane o błędach są przechowywane przez ograniczony czas i wykorzystywane wyłącznie do debugowania i ulepszania Usługi.
Podstawa prawna: Art. 6(1)(f) RODO - Prawnie uzasadniony interes w utrzymaniu stabilności i bezpieczeństwa Usługi.
3.4 Śledzenie zdarzeń niestandardowych
Śledzimy określone interakcje użytkowników jako zdarzenia niestandardowe w ramach naszych platform analitycznych, w tym:
- Zdarzenia uwierzytelniania (logowanie, rejestracja)
- Działania na CV i listach motywacyjnych (tworzenie, edycja, pobieranie, dopasowywanie)
- Interakcje z szablonami i kreatorem
- Zdarzenia zakupu i subskrypcji
- Zdarzenia nawigacji i błędów
Zdarzenia te są gromadzone zbiorczo i nie są wykorzystywane do osobistej identyfikacji Cię w celach marketingowych bez Twojej wyraźnej zgody.
4. Usługi podmiotów trzecich i podmioty przetwarzające
Korzystamy z następujących usług podmiotów trzecich, które mogą przetwarzać Twoje dane osobowe. Tam, gdzie jest to wymagane, zawarliśmy Umowy powierzenia przetwarzania danych zgodnie z Art. 28 RODO.
| Usługa | Cel | Przetwarzane dane | Polityka prywatności |
|---|---|---|---|
| OpenAI | Funkcja AI: ekstrakcja CV z PDF | Zawartość przesłanego pliku PDF | openai.com/privacy |
| Anthropic (Claude) | Funkcje AI: dopasowywanie CV, ocena CV | Treść CV, opisy stanowisk | anthropic.com/privacy |
| Google (Gemini) | Funkcje AI: ulepszanie treści, sugestie umiejętności, generowanie listów motywacyjnych | Treść CV, dane wejściowe listu motywacyjnego, opisy stanowisk | policies.google.com/privacy |
| Stripe | Przetwarzanie płatności | Dane płatności i rozliczeniowe | stripe.com/privacy |
| Google Analytics / GTM | Analityka i śledzenie | Dane o użytkowaniu, IP (zanonimizowane), zdarzenia | policies.google.com/privacy |
| PostHog | Analityka produktowa | Dane o użytkowaniu, interakcje, informacje o urządzeniu | posthog.com/privacy |
| Sentry | Monitoring błędów i wydajności | Dane o błędach, informacje o urządzeniu, adres IP | sentry.io/privacy |
| Google Cloud Storage | Przechowywanie zdjęć profilowych | Przesłane zdjęcia profilowe | cloud.google.com/terms/data-processing-addendum |
| Google OAuth | Uwierzytelnianie | Imię, nazwisko, e-mail (przekazane przez Google) | policies.google.com/privacy |
| LinkedIn OAuth | Uwierzytelnianie | Imię, nazwisko, e-mail (przekazane przez LinkedIn) | linkedin.com/legal/privacy-policy |
| Logo.dev | Wyświetlanie logo firm w trackerze aplikacji | Nazwy domen firm (wyciągnięte z wprowadzonych przez Ciebie nazw firm) | logo.dev/privacy |
| Trustpilot | Platforma recenzji (linkowana z e-maili) | Treść Twojej recenzji (przesyłana na platformie Trustpilot, nie na naszej) | trustpilot.com/legal/privacy-policy |
| Hosting / Infrastruktura | Hosting serwera, baza danych, przechowywanie | Wszystkie dane Usługi | Zgodnie z naszą DPA z dostawcą |
| Dostawca dostarczania e-maili | E-maile transakcyjne i marketingowe | E-mail odbiorcy, treść e-maila | Zgodnie z naszą DPA z dostawcą |
Nie sprzedajemy, nie wynajmujemy ani nie handlujemy Twoimi danymi osobowymi podmiotom trzecim w ich własnych celach marketingowych.
5. Pliki cookie i przechowywanie lokalne
5.1 Pliki cookie
Używamy następujących plików cookie:
| Plik cookie | Typ | Cel | Czas trwania |
|---|---|---|---|
accessToken |
Niezbędny | Uwierzytelnianie sesji | Krótkotrwały (wygasa po ograniczonym czasie) |
refreshToken |
Niezbędny | Odnawianie sesji i trwałe logowanie | Do 365 dni |
W środowisku produkcyjnym pliki cookie są ustawiane z atrybutem Secure (przekazywane wyłącznie przez HTTPS) i atrybutem SameSite=Strict (nie są wysyłane z żądaniami cross-site) ze względów bezpieczeństwa.
Niezbędne pliki cookie nie wymagają zgody na mocy Art. 5(3) dyrektywy ePrivacy (wdrożonej przez § 25 TTDSG), ponieważ są niezbędne do funkcjonowania Usługi.
Analityczne pliki cookie (np. ustawiane przez Google Analytics) są umieszczane dopiero po wyrażeniu przez Ciebie zgody za pośrednictwem naszego mechanizmu zgody na pliki cookie.
5.2 Lokalne przechowywanie
Używamy localStorage przeglądarki do następujących celów:
| Klucz | Cel |
|---|---|
| Preferencja języka | Zapamiętanie Twoich preferencji językowych |
| Ścieżka przekierowania | Przekierowanie Cię na zamierzoną stronę po zalogowaniu |
| Dane robocze (np. wersja robocza dopasowywania CV) | Tymczasowe przechowywanie trwającej pracy podczas sesji |
| Dane aplikacji o pracę | Lokalna pamięć podręczna aplikacji na potrzeby dostępu offline i wydajności (synchronizowana z serwerem) |
| Preferencja zgody na pliki cookie | Zapamiętanie Twojego wyboru dotyczącego zgody na pliki cookie |
| Dane CV i listów motywacyjnych gości | Lokalne przechowywanie treści dla użytkowników, którzy jeszcze nie założyli konta |
| Wybrane oceny | Zapamiętanie, które szablony, artykuły lub przykłady oceniłeś(-aś) |
Identyfikator urządzenia (x-client-id) |
Losowy UUID do ograniczania częstotliwości zapytań przy publicznych funkcjach (zob. Sekcja 2.12) |
| Pamięć podręczna logo firm | Zbuforowane loga firm z trackera aplikacji w celu ograniczenia zapytań zewnętrznych |
| Preferencje interfejsu | Preferencje trybu widoku (lista/siatka) i postęp samouczka kreatora |
Dane w lokalnym przechowywaniu pozostają w Twojej przeglądarce. Dane aplikacji o pracę są synchronizowane z naszymi serwerami, gdy jesteś online (zob. Sekcja 2.5). Możesz wyczyścić lokalne przechowywanie w dowolnym momencie w ustawieniach przeglądarki; może to spowodować zresetowanie preferencji, utratę niezapisanych wersji roboczych i usunięcie lokalnie zapisanych danych aplikacji (dane na serwerze nie są objęte zmianami).
6. Udostępnianie i ujawnianie Twoich danych
Możemy ujawniać Twoje dane osobowe wyłącznie w następujących okolicznościach:
- Usługodawcy i podmioty przetwarzające: Zaufanym podmiotom trzecim, które przetwarzają dane w naszym imieniu w celu świadczenia Usługi (hosting, dostawcy AI, przetwarzanie płatności, dostarczanie e-maili, analityka). Podmioty te są związane Umowami powierzenia przetwarzania danych i mogą przetwarzać Twoje dane wyłącznie w określonych celach, które im wskazujemy.
- Obowiązki prawne: Gdy jest to niezbędne do przestrzegania obowiązującego prawa, przepisów, postępowania prawnego lub wykonalnego wniosku rządowego.
- Ochrona praw: Gdy jest to niezbędne do ochrony praw, mienia lub bezpieczeństwa Laddro, naszych użytkowników lub opinii publicznej, w tym do egzekwowania naszego Regulaminu.
- Transakcje gospodarcze: W związku z fuzją, przejęciem, reorganizacją lub sprzedażą aktywów Twoje dane mogą zostać przeniesione do podmiotu następcy. Poinformujemy Cię o takim przeniesieniu i o Twoich opcjach dotyczących Twoich danych.
- Dane zbiorcze lub zanonimizowane: Możemy udostępniać dane, które zostały zagregowane lub zanonimizowane w sposób uniemożliwiający Twoją identyfikację, w celach badawczych, analitycznych lub doskonalenia produktu.
- Za Twoją zgodą: W każdej innej okoliczności, gdy wyraziłeś(-aś) wyraźną zgodę.
7. Międzynarodowe przekazywanie danych
Laddro ma siedzibę w Berlinie, Niemcy (w obrębie Europejskiego Obszaru Gospodarczego). Niektórzy z naszych zewnętrznych usługodawców (w tym OpenAI, Anthropic, Google, Stripe i Sentry) mogą przetwarzać dane osobowe w krajach spoza EOG, w tym w Stanach Zjednoczonych.
W przypadku przekazywania danych osobowych poza EOG zapewniamy odpowiednie zabezpieczenia zgodnie z Rozdziałem V RODO, w tym:
- Standardowe klauzule umowne (SKU) przyjęte przez Komisję Europejską na mocy Art. 46(2)(c) RODO.
- Decyzje stwierdzające odpowiedni stopień ochrony Komisji Europejskiej na mocy Art. 45 RODO, tam gdzie to ma zastosowanie (np. Ramy ochrony danych UE-USA dla certyfikowanych organizacji).
- Dodatkowe środki w razie potrzeby, oparte na ocenach wpływu przekazywania.
Możesz zażądać informacji na temat konkretnych zabezpieczeń stosowanych przy międzynarodowym przekazywaniu danych, kontaktując się z nami pod adresem support@laddro.com.
8. Przechowywanie danych
Przechowujemy Twoje dane osobowe tylko przez okres niezbędny do realizacji celów opisanych w niniejszej Polityce prywatności lub wymagany przez obowiązujące prawo. Stosują się następujące ogólne okresy przechowywania:
| Kategoria danych | Okres przechowywania |
|---|---|
| Dane konta | Przez czas istnienia konta. Usunięcie lub anonimizacja w ciągu 30 dni od usunięcia konta, chyba że prawo wymaga przechowywania. |
| Zdjęcie profilowe | Przez czas istnienia konta. Usunięcie z pamięci cloud po zastąpieniu lub po usunięciu konta. |
| Dane CV i listów motywacyjnych | Przez czas istnienia konta. Usunięcie wraz z kontem. |
| Dane aplikacji o pracę | Przez czas istnienia konta lub do momentu usunięcia poszczególnych rekordów. Usunięcie wraz z kontem. |
| Rekordy płatności i transakcji | Do 10 lat po transakcji, zgodnie z wymaganiami niemieckiego prawa podatkowego i handlowego (§ 147 AO, § 257 HGB). |
| Korespondencja wsparcia | Do 3 lat po rozwiązaniu sprawy lub dłużej, jeśli wymagają tego postępowania prawne. |
| Dane poleceń | Przez czas uczestnictwa w programie poleceń oraz przez rozsądny czas po nim do celów audytu. |
| Dane analityczne | Przechowywane w formie zbiorczej/zanonimizowanej. Dane na poziomie indywidualnym podlegają ustawieniom przechowywania Google Analytics (aktualnie ustawionym na 14 miesięcy). |
| Logi zapytań publicznego API | Automatycznie usuwane po 7 dniach. |
| Logi serwera | Do 90 dni w celach bezpieczeństwa i debugowania. |
Gdy dane nie są już potrzebne, usuwamy je bezpiecznie lub anonimizujemy, aby nie można ich było już powiązać z Tobą.
9. Bezpieczeństwo danych
Wdrażamy odpowiednie środki techniczne i organizacyjne w celu ochrony Twoich danych osobowych przed nieautoryzowanym dostępem, zmianą, ujawnieniem lub zniszczeniem, zgodnie z Art. 32 RODO. Środki te obejmują:
- Szyfrowanie: Dane przesyłane są szyfrowane przy użyciu TLS/SSL. Treść CV i listów motywacyjnych jest szyfrowana w spoczynku przy użyciu szyfrowania AES-256 z dedykowanymi kluczami szyfrującymi.
- Kontrola dostępu: Dostęp do danych osobowych jest ograniczony do upoważnionego personelu na zasadzie need-to-know.
- Bezpieczeństwo uwierzytelniania: Tokeny uwierzytelniania są ustawiane z bezpiecznymi atrybutami plików cookie (
Secure,SameSite=Strict). Kody magic link są jednorazowego użytku i ograniczone czasowo. - Bezpieczeństwo infrastruktury: Nasza infrastruktura hostingowa stosuje standardowe w branży praktyki bezpieczeństwa, w tym zapory sieciowe, wykrywanie intruzów i regularne aktualizacje zabezpieczeń.
- Reagowanie na incydenty: Utrzymujemy procedury wykrywania, zgłaszania i reagowania na naruszenia danych osobowych zgodnie z Art. 33 i Art. 34 RODO.
Żadna metoda transmisji przez internet ani elektronicznego przechowywania danych nie jest w 100% bezpieczna. Choć staramy się stosować rozsądne pod względem handlowym środki ochrony Twoich danych, nie możemy zagwarantować absolutnego bezpieczeństwa.
10. Twoje prawa na mocy RODO
Jeśli przebywasz na Europejskim Obszarze Gospodarczym, w Zjednoczonym Królestwie lub w innej jurysdykcji przyznającej podobne prawa, masz następujące prawa w odniesieniu do swoich danych osobowych:
| Prawo | Opis |
|---|---|
| Dostęp (Art. 15 RODO) | Żądanie kopii danych osobowych, które przechowujemy na Twój temat. |
| Sprostowanie (Art. 16 RODO) | Żądanie poprawienia niedokładnych lub niekompletnych danych osobowych. |
| Usunięcie (Art. 17 RODO) | Żądanie usunięcia Twoich danych osobowych, gdy nie ma uzasadnionych podstaw do ich dalszego przetwarzania. |
| Ograniczenie przetwarzania (Art. 18 RODO) | Żądanie ograniczenia przetwarzania w określonych okolicznościach (np. podczas weryfikacji dokładności kwestionowanych danych). |
| Przenoszalność danych (Art. 20 RODO) | Otrzymanie Twoich danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego oraz, o ile jest to technicznie możliwe, przesłanie ich do innego administratora. |
| Sprzeciw (Art. 21 RODO) | Sprzeciw wobec przetwarzania opartego na prawnie uzasadnionych interesach lub przetwarzania w celach marketingu bezpośredniego. W przypadku sprzeciwu zaprzestaniemy przetwarzania, chyba że wykażemy nadrzędne prawnie uzasadnione podstawy. |
| Wycofanie zgody (Art. 7(3) RODO) | Gdy przetwarzanie opiera się na zgodzie, wycofanie jej w dowolnym momencie. Wycofanie nie wpływa na zgodność z prawem przetwarzania, którego dokonano przed wycofaniem. |
| Zautomatyzowane podejmowanie decyzji (Art. 22 RODO) | Niepodleganie decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, które wywołują skutki prawne lub podobnie istotne skutki. Uwaga: Laddro nie podejmuje takich zautomatyzowanych decyzji. |
| Złożenie skargi | Złożenie skargi do organu nadzorczego. W Niemczech jest to właściwy organ ochrony danych danego landu (Landesdatenschutzbehörde) lub Federalny Pełnomocnik ds. Ochrony Danych (BfDI). |
Jak korzystać ze swoich praw: Skontaktuj się z nami pod adresem support@laddro.com ze swoją prośbą. Może być konieczne zweryfikowanie Twojej tożsamości przed rozpatrzeniem żądania. Odpowiemy w ciągu jednego miesiąca od otrzymania żądania, zgodnie z wymaganiami Art. 12(3) RODO. Termin ten można przedłużyć o kolejne dwa miesiące w przypadku złożonych lub licznych żądań, o czym Cię poinformujemy wraz z podaniem przyczyn.
Prawo do złożenia skargi: Jeśli uważasz, że przetwarzanie Twoich danych osobowych narusza RODO, masz prawo do złożenia skargi do organu nadzorczego, w szczególności w państwie członkowskim UE Twojego zwykłego miejsca pobytu, miejsca pracy lub miejsca domniemanego naruszenia.
11. Prywatność dzieci
Usługa nie jest skierowana do dzieci poniżej 16 roku życia. Nie gromadzimy świadomie danych osobowych dzieci poniżej 16 roku życia. Jeśli jesteś rodzicem lub opiekunem i uważasz, że Twoje dziecko przekazało nam dane osobowe bez Twojej zgody, skontaktuj się z nami pod adresem support@laddro.com. Jeśli dowiemy się, że zebraliśmy dane osobowe od dziecka poniżej 16 roku życia bez weryfikacji zgody rodzicielskiej, podejmiemy kroki w celu niezwłocznego usunięcia tych informacji.
12. Sygnały Do Not Track
Niektóre przeglądarki przesyłają sygnały „Do Not Track" (DNT). Obecnie nie istnieje branżowy standard dotyczący tego, jak strony internetowe powinny reagować na sygnały DNT. Nasza Usługa aktualnie nie reaguje na sygnały DNT. Możesz jednak kontrolować śledzenie za pośrednictwem naszego mechanizmu zgody na pliki cookie i ustawień przeglądarki, jak opisano w Sekcji 3.
13. Zmiany w niniejszej Polityce prywatności
Możemy okresowo aktualizować niniejszą Politykę prywatności, aby odzwierciedlić zmiany w naszych praktykach, technologii, wymogach prawnych lub innych czynnikach. W takim przypadku:
- Opublikujemy zaktualizowaną Politykę prywatności na naszej Stronie z poprawioną datą „Ostatniej aktualizacji".
- W przypadku istotnych zmian zapewnimy dodatkowe powiadomienie za pośrednictwem poczty e-mail lub powiadomienia w aplikacji co najmniej 30 dni przed wejściem zmian w życie.
Dalsze korzystanie z Usługi po dacie wejścia w życie zmienionej Polityki prywatności stanowi potwierdzenie zapoznania się ze zmianami. Jeśli nie zgadzasz się z zaktualizowaną Polityką prywatności, powinieneś(-aś) zaprzestać korzystania z Usługi i możesz usunąć swoje konto.
14. Kontakt
Jeśli masz pytania, wątpliwości lub żądania dotyczące niniejszej Polityki prywatności, Twoich danych osobowych lub naszych praktyk w zakresie ochrony danych, skontaktuj się z nami:
Laddro Digital UG (haftungsbeschränkt)
Geschäftsführer: Oussama Bentaib
Belziger Str. 69-71
10823 Berlin, Germany
E-mail: support@laddro.com
Zobowiązujemy się do rozwiązywania wszelkich wątpliwości dotyczących Twojej prywatności oraz naszego gromadzenia lub wykorzystywania Twoich danych osobowych. Odpowiemy na wszystkie uzasadnione żądania zgodnie z obowiązującym prawem.