NastepnyEtap.pl

Polityka Prywatności Serwisu NastepnyEtap.pl

Ostatnia aktualizacja: 4 maja 2026 r.

1. Wprowadzenie i wymóg wieku

NastepnyEtap.pl („my”, „nas”, „nasz”) prowadzi platformę wykorzystującą systemy sztucznej inteligencji (AI) do edukacyjnej analizy lingwistyczno-technicznej tekstów. Serwis umożliwia zautomatyzowane porównanie treści życiorysów (CV) z opisami stanowisk pracy w celu wsparcia autokorekty dokumentów aplikacyjnych oraz podnoszenia kompetencji autoprezentacyjnych użytkownika.

Ważne: Narzędzie ma charakter doradczo-edukacyjny. Nie jest systemem rekrutacyjnym ani narzędziem do selekcji kandydatów przez pracodawców.

Limit wieku: Serwis przeznaczony jest dla użytkowników powyżej 16 roku życia.

Administrator: Przemysław Dudek, prowadzący serwis NastepnyEtap.pl w ramach działalności nierejestrowanej. Kontakt: prywatnosc@nastepnyetap.pl

2. Dane, które zbieramy i okres przechowywania

Dane są przechowywane wyłącznie przez okres niezbędny do realizacji celów, dla których zostały zebrane.

A. Dane konta

  • Zakres: Imię, e-mail, zahaszowane hasło lub ID dostawcy OAuth (Google/Facebook).
  • Przechowywanie: Do czasu usunięcia konta przez użytkownika.

B. Treść CV i opisów stanowisk

  • Zakres: Pliki PDF, tekst dokumentów, dane poddane pseudonimizacji.
  • Przechowywanie: Pliki źródłowe oraz teksty przekazane do analizy są przechowywane przez 30 dni od momentu przesłania, po czym są trwale usuwane (w tym z logów podprocesora AI).

Art. 9 RODO (Dane wrażliwe): CV mogą zawierać zdjęcia lub informacje o zdrowiu.

  • Zgoda: Przetwarzanie odbywa się na podstawie Twojej wyraźnej, uprzedniej zgody (checkbox).
  • Rozliczalność: Rejestrujemy znacznik czasu zgody (cv_processing_consent_at).

C. Wyniki analiz

  • Zakres: Wygenerowane przez AI opinie, oceny i sugestie.
  • Przechowywanie: Do czasu usunięcia konta przez użytkownika (umożliwia to dostęp do historii ocen).

3. Cele i zasady przetwarzania (AI)

  1. Realizacja usługi ($Art. 6$ ust. 1 lit. b RODO): Analiza lingwistyczno-techniczna przy użyciu modeli językowych (LLM). Wyniki mają charakter probabilistyczny i mogą zawierać nieścisłości.
  2. Bezpieczeństwo ($Art. 6$ ust. 1 lit. f RODO): Prawnie uzasadniony interes. Wykorzystujemy zautomatyzowane monitorowanie wzorców (profilowanie) w celu wykrywania nadużyć (np. masowe skanowanie przez podmioty trzecie). Flagowanie konta prowadzi do ręcznej weryfikacji przez człowieka.

4. Transfery międzynarodowe i podprocesorzy

Wszystkie transfery poza EOG odbywają się z zachowaniem najwyższych standardów ochrony danych. Administrator zawarł z dostawcami usług umowy powierzenia przetwarzania danych (DPA), które regulują standardy bezpieczeństwa.

4.A OpenAI (Infrastruktura AI)

Usługi świadczone przez OpenAI Ireland Ltd. (z wykorzystaniem infrastruktury OpenAI LLC w USA).

  • Podstawa prawna: Główną podstawą są Standardowe Klauzule Umowne (SCC), stanowiące integralną część zawartej z podprocesorem umowy powierzenia (DPA). Ze względu na fakt, że dane są przetwarzane w państwie trzecim (USA), dodatkową podstawą jest Twoja wyraźna zgoda na taki transfer (Art. 49 ust. 1 lit. a RODO).
  • Zabezpieczenia: Automatyczna pseudonimizacja techniczna (Regex/NER) przed wysyłką tekstu. Administrator korzysta z trybu API Opt-out, co gwarantuje, że dane nie są używane do trenowania modeli OpenAI.
  • Ryzyko: Przyjmujesz do wiadomości, że mimo stosowania SCC i technicznych zabezpieczeń, transfer danych do USA wiąże się z ryzykiem wynikającym ze specyfiki tamtejszego systemu prawnego (możliwość dostępu służb do danych). Wyrażenie zgody na transfer jest dobrowolne, ale niezbędne do przeprowadzenia analizy przez model AI.

4.B Pozostali dostawcy

Z poniższymi podmiotami transfery oparte są na decyzji Komisji Europejskiej o adekwatności ochrony (EU-U.S. Data Privacy Framework - DPF):

  • Stripe Payments (USA/Irlandia): Procesowanie płatności.
  • Google / Meta (USA/Irlandia): Usługi uwierzytelniania (OAuth 2.0).
  • AWS EC2 (Region: eu-north-1, Sztokholm): Główna infrastruktura chmurowa (dane przechowywane w EOG).

5. Twoje prawa

Masz prawo do: dostępu do danych, ich przenoszenia (format JSON), sprostowania, usunięcia ("prawo do bycia zapomnianym") oraz sprzeciwu wobec profilowania. Skargi można wnosić do Prezesa UODO (ul. Stawki 2, Warszawa).

6. Bezpieczeństwo i odpowiedzialność

  • DPIA: Przeprowadziliśmy ocenę skutków dla ochrony danych ($Art. 35$ RODO).
  • Technologia: Szyfrowanie spoczynkowe AES-256, transmisja TLS 1.3, hashowanie haseł argon2/bcrypt.
  • Nadzór: Każda decyzja o blokadzie konta poddawana jest weryfikacji przez administratora.

7. Kontakt

Administrator: Przemysław Dudek, ul. Radwańska 40/42 m. 316, 93-574 Łódź.
E-mail: prywatnosc@nastepnyetap.pl