Ostatnia aktualizacja: 17 maja 2026

Polityka Prywatności serwisu StwórzCV

Niniejsza Polityka Prywatności opisuje, jakie dane osobowe zbiera serwis StwórzCV, w jakim celu i na jakiej podstawie prawnej je przetwarza, jak długo je przechowuje oraz jakie prawa przysługują użytkownikom w związku z przetwarzaniem ich danych. Dokument ten przygotowano zgodnie z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. („RODO”) oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.

Najważniejsze informacje

  • Administrator. Operatorem serwisu i administratorem danych jest Hubert Frątczak (dane kontaktowe w sekcji 16).
  • Cel. Dane przetwarzamy wyłącznie w celu świadczenia usług serwisu — tworzenia konta, generowania CV, obsługi płatności i zapewnienia bezpieczeństwa.
  • Podstawa prawna. Przetwarzanie danych opiera się na wykonaniu umowy, obowiązku prawnym, uzasadnionym interesie administratora lub zgodzie użytkownika — w zależności od celu.
  • Podmioty zewnętrzne. Korzystamy z usług Supabase (baza danych), Stripe (płatności) i Google (logowanie). Każdy z tych podmiotów przetwarza dane na podstawie własnych polityk prywatności.
  • Prawa. Masz prawo do dostępu, sprostowania, usunięcia, ograniczenia przetwarzania, przenoszenia danych i wniesienia skargi do Prezesa UODO.
  • Pliki cookie. Szczegóły dotyczące plików cookie znajdują się w Polityce cookies.
  • Kontakt. kontakt@stworzcv.com

1. Definicje

  • RODO — Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych.
  • Administrator — podmiot decydujący o celach i sposobach przetwarzania danych osobowych, tj. Hubert Frątczak, operator serwisu StwórzCV.
  • Użytkownik — każda osoba fizyczna korzystająca z serwisu StwórzCV, której dane osobowe są przetwarzane.
  • Dane osobowe — wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej.
  • Przetwarzanie — każda operacja wykonywana na danych osobowych, taka jak zbieranie, przechowywanie, przeglądanie, modyfikowanie, udostępnianie czy usuwanie.
  • Podmiot przetwarzający — podmiot zewnętrzny przetwarzający dane w imieniu i na rzecz Administratora na podstawie umowy powierzenia (np. Supabase).
  • Zgoda — dobrowolne, konkretne, świadome i jednoznaczne wskazanie, że użytkownik wyraża zgodę na przetwarzanie swoich danych osobowych.
  • Serwis — platforma internetowa StwórzCV dostępna pod adresem stworzcv.com.

2. Zakres zbieranych danych

W zależności od sposobu korzystania z serwisu Administrator może przetwarzać następujące kategorie danych osobowych:

(a) Dane rejestracyjne i konta

  • adres e-mail podany przy rejestracji lub logowaniu,
  • hasło (przechowywane wyłącznie w formie zaszyfrowanej przez Supabase Auth),
  • identyfikator konta Google oraz adres e-mail Google — w przypadku logowania przez Google,
  • data i godzina rejestracji oraz ostatniego logowania.

(b) Dane CV i treści użytkownika

  • imię i nazwisko, adres zamieszkania, numer telefonu, adres e-mail — jeżeli użytkownik wprowadził je do kreatora CV,
  • informacje zawodowe: historia zatrudnienia, wykształcenie, umiejętności, osiągnięcia, języki, zainteresowania,
  • zdjęcie profilowe do CV — jeżeli użytkownik je dodał,
  • wszelkie inne treści wprowadzone przez użytkownika do kreatora CV.

(c) Dane techniczne i eksploatacyjne

  • adres IP urządzenia,
  • typ i wersja przeglądarki internetowej,
  • system operacyjny,
  • data i czas odwiedzin poszczególnych podstron,
  • dane z plików cookie i podobnych technologii śledzenia — zgodnie z Polityką cookies,
  • logi systemowe serwisu.

(d) Dane płatnicze

  • dane transakcji (kwota, waluta, data, identyfikator płatności) — przechowywane po stronie Administratora wyłącznie w zakresie niezbędnym do obsługi reklamacji i obowiązków podatkowych,
  • pełne dane kart płatniczych, numery rachunków bankowych — przetwarzane wyłącznie przez Stripe; Administrator nie ma do nich dostępu.

Administrator nie zbiera ani nie przetwarza danych sensytywnych w rozumieniu art. 9 RODO (takich jak dane dotyczące zdrowia, przekonań politycznych czy przynależności etnicznej), chyba że użytkownik samodzielnie umieści takie dane w treści swojego CV.

3. Cele i podstawy prawne przetwarzania

Poniższa tabela przedstawia cele przetwarzania danych oraz odpowiadające im podstawy prawne z art. 6 RODO.

Cel przetwarzaniaPodstawa prawna
Rejestracja i obsługa konta użytkownikaart. 6 ust. 1 lit. b RODO (wykonanie umowy)
Tworzenie, edycja i przechowywanie CVart. 6 ust. 1 lit. b RODO (wykonanie umowy)
Obsługa płatności za pobranie PDFart. 6 ust. 1 lit. b RODO (wykonanie umowy)
Wystawianie dokumentów sprzedaży i realizacja obowiązków podatkowychart. 6 ust. 1 lit. c RODO (obowiązek prawny)
Obsługa reklamacji i zgłoszeń użytkownikówart. 6 ust. 1 lit. b i c RODO
Zapewnienie bezpieczeństwa serwisu, wykrywanie nadużyć i oszustwart. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes)
Analiza statystyczna ruchu i optymalizacja serwisu (Google Analytics)art. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes) lub zgoda
Logowanie przez Google (OAuth)art. 6 ust. 1 lit. a RODO (zgoda) i lit. b RODO
Dochodzenie lub obrona przed roszczeniamiart. 6 ust. 1 lit. f RODO (prawnie uzasadniony interes)
Wysyłka wiadomości e-mail dotyczących konta i serwisuart. 6 ust. 1 lit. b lub f RODO

Dane nie są wykorzystywane do zautomatyzowanego profilowania wywołującego skutki prawne lub w podobny sposób istotnie wpływającego na sytuację użytkownika w rozumieniu art. 22 RODO.

4. Okres przechowywania danych

Administrator przechowuje dane osobowe przez okres niezbędny do realizacji celów, dla których zostały zebrane, z uwzględnieniem obowiązujących przepisów prawa. W szczególności:

  • Dane konta i CV — do czasu usunięcia konta przez użytkownika lub zgłoszenia żądania usunięcia danych, a następnie przez dodatkowy krótki okres niezbędny do obsługi ewentualnych reklamacji.
  • Dane transakcji płatniczych — przez okres 5 lat od zakończenia roku podatkowego, w którym dokonano transakcji, zgodnie z przepisami prawa podatkowego.
  • Dane techniczne i logi systemowe — przez okres niezbędny do zapewnienia bezpieczeństwa serwisu i wykrywania nadużyć, nie dłużej niż przez 12 miesięcy od ich wygenerowania, chyba że przepisy prawa lub toczące się postępowanie wymagają dłuższego przechowywania.
  • Korespondencja i zgłoszenia reklamacyjne — przez okres 3 lat od daty zamknięcia sprawy, w związku z możliwym dochodzeniem roszczeń.
  • Dane marketingowe — do czasu wycofania zgody przez użytkownika lub wniesienia skutecznego sprzeciwu.

Po upływie okresu przechowywania dane są trwale usuwane lub anonimizowane w sposób uniemożliwiający identyfikację osoby.

5. Odbiorcy danych — podmioty zewnętrzne

W celu prawidłowego funkcjonowania serwisu Administrator korzysta z usług podmiotów zewnętrznych, którym powierza lub udostępnia dane użytkowników w niezbędnym zakresie. Dane nie są sprzedawane ani przekazywane podmiotom w celach marketingowych.

(a) Supabase

Supabase Inc. pełni rolę podmiotu przetwarzającego dane w zakresie infrastruktury technicznej serwisu — w tym bazy danych kont i CV (Supabase Database), przechowywania plików i zdjęć (Supabase Storage) oraz obsługi uwierzytelniania (Supabase Auth). Dane mogą być przechowywane na serwerach w regionach Unii Europejskiej lub poza nią, z zastosowaniem standardowych klauzul umownych lub innych mechanizmów zgodnych z RODO. Więcej informacji: supabase.com/privacy.

(b) Stripe

Stripe Inc. lub Stripe Payments Europe Limited obsługuje płatności realizowane w serwisie. Stripe przetwarza dane transakcyjne, informacje o metodach płatności oraz dane identyfikacyjne użytkownika w zakresie niezbędnym do autoryzacji i rozliczenia płatności. Administrator nie ma dostępu do pełnych danych kart płatniczych. Stripe działa jako niezależny administrator danych w zakresie przetwarzania danych do celów wykrywania oszustw i wypełniania obowiązków regulacyjnych. Więcej informacji: stripe.com/pl/privacy.

(c) Google

Google LLC przetwarza dane w dwóch kontekstach. Po pierwsze, w związku z logowaniem przez konto Google (Google OAuth) — Google udostępnia Administratorowi adres e-mail i identyfikator konta w zakresie wybranym przez użytkownika podczas wyrażania zgody. Po drugie, w związku z usługą Google Analytics — Google przetwarza dane techniczne w celu generowania anonimowych statystyk ruchu w serwisie. Dane Analytics mogą być przekazywane do serwerów Google poza EOG, z zastosowaniem standardowych klauzul umownych. Więcej informacji: policies.google.com/privacy.

(d) Organy państwowe

Administrator może być zobowiązany do udostępnienia danych organom ścigania lub innym organom publicznym na podstawie bezwzględnie obowiązujących przepisów prawa. W takich przypadkach dane są udostępniane wyłącznie w zakresie wymaganym przez odpowiednie przepisy i po weryfikacji podstawy prawnej żądania.

6. Przekazywanie danych poza Europejski Obszar Gospodarczy

Część podmiotów zewnętrznych, z których korzysta Administrator (Supabase, Stripe, Google), może przetwarzać dane na serwerach zlokalizowanych poza Europejskim Obszarem Gospodarczym (EOG), w szczególności w Stanach Zjednoczonych. Transfer danych do tych krajów odbywa się z zastosowaniem jednego z następujących mechanizmów legalności:

  • standardowych klauzul umownych przyjętych przez Komisję Europejską (art. 46 ust. 2 lit. c RODO);
  • decyzji stwierdzającej odpowiedni stopień ochrony (np. w ramach Ram Ochrony Danych UE–USA);
  • innych mechanizmów prawnych zgodnych z rozdziałem V RODO.

Użytkownik może uzyskać kopię zastosowanych zabezpieczeń, kontaktując się z Administratorem pod adresem e-mail wskazanym w sekcji 16.

7. Prawa użytkownika w zakresie ochrony danych

Na podstawie RODO użytkownikowi przysługują następujące prawa w odniesieniu do swoich danych osobowych przetwarzanych przez Administratora:

Prawo dostępu (art. 15 RODO)

Użytkownik ma prawo uzyskać od Administratora potwierdzenie, czy przetwarza jego dane osobowe, a jeżeli tak — uzyskać do nich dostęp oraz informacje o celach, kategoriach, odbiorcach i okresie przechowywania.

Prawo do sprostowania (art. 16 RODO)

Użytkownik ma prawo żądać niezwłocznego sprostowania danych nieprawidłowych lub uzupełnienia danych niekompletnych.

Prawo do usunięcia („prawo do bycia zapomnianym”, art. 17 RODO)

Użytkownik ma prawo żądać usunięcia swoich danych, jeżeli nie są już niezbędne do celów, w których zostały zebrane, zostaje cofnięta zgoda lub dane były przetwarzane niezgodnie z prawem. Prawo to nie ma zastosowania, gdy przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego lub dochodzenia roszczeń.

Prawo do ograniczenia przetwarzania (art. 18 RODO)

Użytkownik może żądać ograniczenia przetwarzania w przypadkach wskazanych w art. 18 RODO — np. gdy kwestionuje prawidłowość danych lub wniósł sprzeciw wobec przetwarzania.

Prawo do przenoszenia danych (art. 20 RODO)

Użytkownik ma prawo otrzymać swoje dane osobowe, które dostarczył Administratorowi, w ustrukturyzowanym, powszechnie stosowanym i możliwym do odczytu maszynowego formacie, a także przesłać je innemu administratorowi — o ile przetwarzanie odbywa się na podstawie zgody lub umowy i w sposób zautomatyzowany.

Prawo do sprzeciwu (art. 21 RODO)

Użytkownik ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania jego danych opartego na prawnie uzasadnionym interesie Administratora — w szczególności wobec profilowania i przetwarzania w celach marketingu bezpośredniego.

Prawo do wycofania zgody

W przypadku, gdy przetwarzanie danych odbywa się na podstawie zgody użytkownika (art. 6 ust. 1 lit. a RODO), użytkownik może wycofać tę zgodę w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, które miało miejsce przed jej wycofaniem.

Prawo do skargi do organu nadzorczego

Jeżeli użytkownik uważa, że przetwarzanie jego danych osobowych narusza przepisy RODO, ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl.

Aby skorzystać z powyższych praw, należy skontaktować się z Administratorem pod adresem e-mail podanym w sekcji 16. Administrator udzieli odpowiedzi bez zbędnej zwłoki, nie później niż w terminie jednego miesiąca od daty otrzymania żądania. W razie konieczności termin ten może zostać przedłużony o kolejne dwa miesiące z uwagi na złożoność lub liczbę żądań — o czym Administrator poinformuje użytkownika.

8. Pliki cookie i technologie śledzenia

Serwis korzysta z plików cookie i podobnych technologii w celu zapewnienia prawidłowego funkcjonowania, analizy ruchu i optymalizacji treści. Szczegółowe informacje o stosowanych plikach cookie, ich typach, czasie przechowywania oraz o sposobach zarządzania ustawieniami cookie zostały opisane w odrębnym dokumencie: Polityce cookies.

W zakresie plików cookie analitycznych (Google Analytics) podstawę przetwarzania stanowi uzasadniony interes Administratora polegający na poprawie jakości i funkcjonalności serwisu, ewentualnie zgoda użytkownika — zależnie od konfiguracji serwisu i obowiązujących przepisów. Użytkownik może w każdym czasie zarządzać swoimi preferencjami dotyczącymi plików cookie z poziomu ustawień przeglądarki lub klikając odpowiedni link w stopce serwisu.

9. Logowanie przez Google (OAuth)

Serwis umożliwia logowanie za pośrednictwem konta Google. Skorzystanie z tej opcji powoduje, że Google udostępnia Administratorowi wyłącznie dane, na których dostęp użytkownik wyraził zgodę w oknie autoryzacji Google — zazwyczaj adres e-mail i identyfikator konta. Administrator nie uzyskuje dostępu do hasła konta Google użytkownika.

Relacje użytkownika z Google w związku z posiadanym kontem Google podlegają wyłącznie warunkom użytkowania i polityce prywatności Google, za które Administrator nie ponosi odpowiedzialności. Użytkownik może w dowolnym momencie odwołać udzielone Administratorowi uprawnienia w ustawieniach swojego konta Google.

10. Podpowiedzi dynamiczne (funkcje AI)

Serwis udostępnia funkcję podpowiedzi dynamicznych — automatycznie generowanych sugestii treści CV (opisów stanowisk, umiejętności, osiągnięć itp.) opartych na danych wpisanych przez użytkownika w kreatorze. Dane wprowadzone przez użytkownika mogą być przetwarzane w celu generowania tych sugestii.

Sugestie mają wyłącznie charakter pomocniczy. Administrator nie gwarantuje ich dokładności ani przydatności w konkretnym procesie rekrutacyjnym. Sugestie nie stanowią zautomatyzowanego podejmowania decyzji wywołującego skutki prawne w rozumieniu art. 22 RODO.

11. Bezpieczeństwo danych

Administrator wdraża odpowiednie środki techniczne i organizacyjne w celu zapewnienia poziomu bezpieczeństwa danych odpowiadającego ryzyku, w szczególności:

  • szyfrowanie transmisji danych z użyciem protokołu HTTPS (TLS),
  • hashowanie haseł — hasła przechowywane są wyłącznie w formie jednokierunkowego skrótu kryptograficznego przez Supabase Auth,
  • kontrolę dostępu do danych na poziomie bazy danych (Row Level Security),
  • regularne aktualizacje oprogramowania i bibliotek serwisu,
  • monitoring aktywności podejrzanych w serwisie.

Mimo stosowania powyższych środków Administrator nie może zagwarantować pełnego bezpieczeństwa transmisji danych przez Internet. Użytkownik zobowiązany jest do zachowania poufności danych logowania i niezwłocznego poinformowania Administratora o każdym przypadku podejrzenia nieuprawnionego dostępu do konta.

12. Dane dzieci

Serwis jest przeznaczony dla osób pełnoletnich. Administrator nie zbiera świadomie danych osobowych osób poniżej 16. roku życia bez zgody ich rodziców lub opiekunów prawnych. Jeżeli Administrator dowie się, że zebrał dane dziecka poniżej tego wieku bez wymaganej zgody, niezwłocznie podejmie kroki w celu ich usunięcia.

13. Linki do zewnętrznych serwisów

Serwis może zawierać odnośniki do stron internetowych podmiotów trzecich. Niniejsza Polityka Prywatności dotyczy wyłącznie serwisu StwórzCV. Administrator nie odpowiada za praktyki w zakresie prywatności stosowane przez zewnętrzne serwisy i zachęca użytkowników do zapoznania się z politykami prywatności tych serwisów przed przekazaniem im jakichkolwiek danych osobowych.

14. Zmiany Polityki Prywatności

Administrator zastrzega sobie prawo do zmiany niniejszej Polityki Prywatności w przypadku zmian przepisów prawa, zmian w funkcjonowaniu serwisu, zmian w usługach podmiotów zewnętrznych lub z innych uzasadnionych przyczyn. O każdej istotnej zmianie Administrator poinformuje użytkowników z odpowiednim wyprzedzeniem — poprzez komunikat w serwisie lub wiadomość e-mail na adres przypisany do konta.

Data ostatniej aktualizacji dokumentu wskazana jest na początku strony. Dalsze korzystanie z serwisu po opublikowaniu zmienionej wersji Polityki Prywatności oznacza jej akceptację. Jeżeli użytkownik nie akceptuje zmian, powinien zaprzestać korzystania z serwisu i może żądać usunięcia konta.

15. Postanowienia końcowe

Niniejsza Polityka Prywatności podlega prawu Rzeczypospolitej Polskiej i winna być interpretowana zgodnie z przepisami RODO oraz krajowymi przepisami o ochronie danych osobowych. W sprawach nieuregulowanych niniejszą Polityką zastosowanie mają odpowiednie przepisy prawa polskiego.

Jeżeli którekolwiek z postanowień niniejszej Polityki Prywatności okaże się nieważne lub nieskuteczne, nie wpływa to na ważność pozostałych postanowień.

16. Administrator danych — dane kontaktowe

Administratorem danych osobowych przetwarzanych w serwisie StwórzCV jest:

Hubert Frątczak
działalność nierejestrowana (art. 5 ustawy z dnia 6 marca 2018 r. – Prawo przedsiębiorców)
ul. Robocza 21a/13, 61-517 Poznań
e-mail: kontakt@stworzcv.com

W sprawach dotyczących przetwarzania danych osobowych, realizacji praw podmiotów danych lub wszelkich pytań związanych z niniejszą Polityką Prywatności należy kontaktować się pod powyższym adresem e-mail. Administrator udziela odpowiedzi bez zbędnej zwłoki, co do zasady w terminie nieprzekraczającym 30 dni od daty otrzymania wiadomości.