Zaloguj się

Polityka Prywatności OneTap.Work

Data wejścia w życie: 15 sierpnia 2025 r.

  1. Kim jesteśmy (Administrator danych)
  • Nazwa: Sviatoslav Mysiv, prowadzący działalność gospodarczą pod firmą JDG Sviatoslav Mysiv („OneTap.Work”, „my”).
  • Adres: al. Jana Pawła II 3b/137, 80-462 Gdańsk, Polska.
  • Identyfikatory: NIP 5842863282, REGON 540695811.
  • E-mail do spraw prywatności i wniosków osób, których dane dotyczą: support@onetap.work
  • Inspektor Ochrony Danych (IOD): nie wyznaczony. We wszystkich sprawach prosimy korzystać z powyższego e-maila.
  • Język: oficjalne wersje Polityki są dostępne w języku angielskim i polskim. W przypadku rozbieżności dla użytkowników w Polsce, wersja polska ma pierwszeństwo.
  1. Do kogo stosuje się tę Politykę
  • Kandydaci — prywatni użytkownicy, którzy tworzą profil/CV i/lub aplikują na oferty pracy.
  • Pracodawcy/rekruterzy — korzystają z panelu firmy do publikowania i zarządzania ofertami pracy oraz kandydatami.
  • Odwiedzający stronę internetową OneTap.Work i aplikacje webowe.
  1. Role i obowiązki dotyczące danych
  • My jako administrator: przetwarzamy dane osobowe w celu tworzenia i administrowania kontami, świadczenia i ulepszania usługi, zapewnienia bezpieczeństwa/ochrony przed oszustwami, personalizacji w ramach usługi, komunikacji, zarządzania zgodami/plikami cookie oraz spełniania obowiązków prawnych.
  • Pracodawca jako odrębny administrator: przetwarza dane kandydatów otrzymane, gdy (a) kandydat aplikuje na wakat tego pracodawcy; lub (b) kandydat, poprzez wyraźne działanie, czyni swój profil widocznym dla pracodawców („pasywny dostęp”). Od momentu otrzymania danych przez pracodawcę, stosuje się własną politykę prywatności pracodawcy, a pracodawca jest niezależnym administratorem.
  • My jako podmiot przetwarzający dla pracodawcy: gdy pracodawca przechowuje dane kandydatów w „panelu pracodawcy” i zleca nam hosting/techniczne przetwarzanie. Takie przetwarzanie jest regulowane przez Umowę Powierzenia Przetwarzania Danych (UPPD).
  • Współadministrowanie: nie ma zastosowania, chyba że wyraźnie oznaczone dla konkretnej funkcji.
  1. Jakie dane przetwarzamy
    4.1. Dane kandydatów (podajesz je według własnego uznania)

  • Konto: imię, nazwisko, e-mail, hasło (hash), zdjęcie (opcjonalne), numer telefonu (gdzie jest to potrzebne).

  • Profil/CV: doświadczenie, wykształcenie, umiejętności, portfolio/linki, certyfikaty, oczekiwania płacowe, preferencje wizowe/relokacyjne (jeśli zdecydujesz się podać), inne pola wymagane do aplikowania.

  • Aktywność: aplikacje o pracę, zapisane oferty, ustawienia wyszukiwania, reakcje na rekomendacje.

  • Komunikacja: zapytania do wsparcia, odpowiedzi na ankiety, ustawienia subskrypcji.

    4.2. Dane pracodawców/rekruterów

  • Konto: nazwa firmy, pełne imię i nazwisko osoby kontaktowej, służbowy e-mail, rola/stanowisko, numer telefonu (gdzie jest to potrzebne), szczegóły płatności (dla płatnych funkcji), historia rozliczeń/faktur.

    4.3. Dane techniczne i pliki cookie/pliki śledzące

  • Logi techniczne: adres IP, user agent, identyfikatory sesji/urządzenia, zdarzenia bezpieczeństwa.

  • Pliki cookie i podobne technologie: kategorie i dostawcy opisani w Polityce Cookie. Analityka (Google Analytics), menedżer tagów (GTM), monitorowanie diagnostyki/stabilności (Sentry) — aktywowane tylko po uzyskaniu zgody poprzez CMP, z wyjątkiem elementów ściśle niezbędnych.

    4.4. Treść ofert pracy z publicznych źródeł trzecich (art. 14 RODO)

  • Indeksujemy publicznie dostępne oferty pracy (strony karier pracodawców, profesjonalne portale pracy, RSS itp.). Takie oferty mogą czasem zawierać dane osobowe osób kontaktowych (imię i nazwisko, stanowisko, służbowy e-mail/telefon).

  • Źródła — tylko publiczne strony internetowe i otwarte portale pracy; nie kontrolujemy ich treści. Przed indeksowaniem przeprowadzamy ocenę wpływu na ochronę danych (DPIA) dla przetwarzania wysokiego ryzyka, zgodnie z zaleceniami UODO.

    4.5. Zakaz danych specjalnych/karnych

  • Prosimy nie dodawać do profilu/CV szczególnych kategorii danych (art. 9 RODO) ani danych dotyczących wyroków skazujących/przestępstw (art. 10 RODO). Jeśli mimo to podasz takie dane, będziemy je przetwarzać tylko za Twoją odrębną wyraźną zgodą lub na innej podstawie prawnej przewidzianej przez prawo. Pracodawcy mają zakaz żądania danych poza zakresem określonym w art. 221 Kodeksu pracy, w tym „świadectwa niekaralności” bez szczególnej podstawy prawnej.

  1. Cele i podstawy prawne przetwarzania (art. 6, 9, 10 RODO)
  • Świadczenie usługi, tworzenie i administrowanie kontami, obsługa aplikacji o pracę — umowa (art. 6 ust. 1 lit. b RODO).
  • „Pasywny dostęp” pracodawców do profili kandydatów, jeśli kandydat włączył widoczność profilu; personalizacja strumienia/rekomendacji w ramach usługi; zapewnienie bezpieczeństwa IT, zapobieganie nadużyciom; ochrona roszczeń prawnych — nasze prawnie uzasadnione interesy (art. 6 ust. 1 lit. f RODO), ocenione w Załączniku A (LIA). Możesz wnieść sprzeciw wobec takiego przetwarzania w dowolnym momencie.
  • Komunikacja marketingowa e-mail/push; analityka i diagnostyka (GA/Sentry) — tylko za Twoją zgodą (art. 6 ust. 1 lit. a RODO; a także art. 398–399 PKE w zakresie zgód marketingowych i wykorzystania urządzeń).
  • Spełnianie obowiązków prawnych (księgowość/podatki, odpowiedzi na żądania organów) — art. 6 ust. 1 lit. c RODO.
  • Szczególne kategorie (jeśli świadomie je podałeś) — tylko za wyraźną zgodą (art. 9 ust. 2 lit. a RODO) lub inną stosowną podstawą.
  • Dane dotyczące wyroków skazujących/przestępstw — tylko na warunkach art. 10 RODO (z reguły — nie przetwarzamy).
  1. Czy podanie danych jest obowiązkowe? Konsekwencje niepodania (art. 13 ust. 2 lit. e RODO)
  • Wymagane do rejestracji kandydata: imię, e-mail, hasło. Bez tych danych utworzenie konta nie jest możliwe.
  • Wymagane do aplikowania na wakat: dane oznaczone jako „wymagane” w formularzu aplikacyjnym (np. CV, doświadczenie).
  • Dla pracodawców: nazwa firmy, służbowy e-mail, pełne imię i nazwisko osoby kontaktowej; dla płatnych funkcji — szczegóły płatności.
  • Inne pola — opcjonalne; niepodanie ich może zmniejszyć trafność rekomendacji lub ograniczyć niektóre funkcje, ale nie uniemożliwi korzystania z podstawowej usługi.
  • Zgoda na marketing/analitykę — opcjonalna. Odmowa nie wpływa na dostęp do usługi, z wyjątkiem braku otrzymywania komunikatów marketingowych/analityki.
  1. Odbiorcy i kategorie odbiorców (art. 13 ust. 1 lit. e RODO)
  • Dostawcy infrastruktury IT (hosting/PaaS, CDN), analityki, diagnostyki/monitoringu, e-mail/SMS, rozliczeń/płatności, usług wsparcia, narzędzi zarządzania zgodami (CMP), narzędzi bezpieczeństwa.
  • Pracodawcy/rekruterzy — otrzymują dane aplikacyjne lub dostęp do profilu tylko jeśli włączyłeś widoczność.
  • Organy publiczne — w przypadkach przewidzianych prawem.
  • Aktualny „Rejestr Podmiotów Przetwarzających” z nazwami, rolami, krajami przetwarzania, mechanizmami transferu (DPF/SCC) i statusem zgodności z Data Act jest opublikowany na onetap.work/subprocessors (link w stopce).
  1. Pliki cookie/pliki śledzące i Prawo Komunikacji Elektronicznej (PKE)
  • Przechowywanie informacji na urządzeniu lub dostęp do informacji z urządzenia (pliki cookie/pliki śledzące) odbywa się zgodnie z PKE:
    a) zgoda na marketing bezpośredni i wykorzystanie urządzeń końcowych użytkownika do celów marketingowych — na podstawie art. 398 PKE (dotyczy zarówno adresatów B2C, jak i B2B);
    b) przechowywanie/dostęp do informacji na urządzeniu — na podstawie art. 399 PKE.
  • Do czasu udzielenia zgody poprzez CMP, całkowicie blokujemy wszelkie nieściśle niezbędne tagi/pliki śledzące. Dla GA stosujemy Consent Mode v2 w stanie „denied” do czasu zgody, maskowanie IP i ograniczenia zbierania. Sentry jest aktywowany tylko za zgodą; w trybie bez zgody nie ustawiamy ani nie odczytujemy identyfikatorów urządzenia/sesji.
  • Szczegóły (kategorie plików cookie, dostawcy, okresy przechowywania, cele) — w Polityce Cookie dostępnej w stopce.
  1. Transfery międzynarodowe (EOG → kraje trzecie)
  • Staramy się przetwarzać dane w obrębie EOG. Jeśli transfer poza EOG jest konieczny, stosujemy:
    a) EU-US Data Privacy Framework (dla certyfikowanych odbiorców w USA); i/lub
    b) Standardowe Klauzule Umowne (SCC) oraz dodatkowe środki (szyfrowanie, minimalizacja, kontrole dostępu).
  • Przed wdrożeniem każdego dostawcy weryfikujemy jego status w rejestrze DPF lub zapewniamy SCC. Aktualny status dla każdego dostawcy jest opublikowany i aktualizowany w Rejestrze Podmiotów Przetwarzających.
  1. Okresy przechowywania (art. 5 ust. 1 lit. e, art. 13 ust. 2 lit. a RODO)
  • Profile widoczne dla „pasywnego dostępu”: tak długo, jak utrzymujesz włączoną widoczność; możesz wyłączyć widoczność lub usunąć profil w dowolnym momencie.
  • Logi techniczne: 12 miesięcy; logi bezpieczeństwa/ochrony przed oszustwami — do 24 miesięcy.
  • Dane księgowe/podatkowe (faktury, płatności): 5 lat (od końca roku sprawozdawczego podatkowego), chyba że prawo wymaga inaczej.
  • Zgody marketingowe: do czasu wycofania.
  1. Twoje prawa (art. 15–22 RODO)
  • Dostęp, sprostowanie, usunięcie, ograniczenie, przenoszenie, sprzeciw wobec przetwarzania opartego na prawnie uzasadnionych interesach, wycofanie zgody w dowolnym momencie (nie wpływa na zgodność z prawem przetwarzania przed wycofaniem), skarga do UODO.
  • Nie podejmujemy decyzji wywołujących skutki prawne dotyczące Ciebie lub podobnie istotnie na Ciebie wpływających wyłącznie na podstawie zautomatyzowanego przetwarzania (art. 22 RODO). Rekomendacje ofert pracy stanowią profilowanie o ograniczonym wpływie w ramach usługi; możesz zrezygnować z personalizacji w ustawieniach.
  1. Jak korzystać z praw i zarządzać ustawieniami
  • Wnioski o prawa wysyłaj na support@onetap.work. Dla szybszej identyfikacji prosimy używać e-maila z konta.
  • Widoczność profilu („pasywny dostęp”) można włączyć/wyłączyć w ustawieniach.
  • Zarządzaj zgodami na pliki cookie/marketing poprzez CMP/„Ustawienia cookie” w stopce.
  • Odpowiadamy bez zbędnej zwłoki i nie później niż w ciągu 1 miesiąca (może być przedłużone o maksymalnie 2 miesiące w przypadku skomplikowanych wniosków; poinformujemy Cię oddzielnie).
  1. Komunikacja marketingowa (RODO, PKE)
  • Prowadzimy marketing e-mail/push/telefon tylko za Twoją uprzednią zgodą (dotyczy również adresów B2B). Możesz zrezygnować w dowolnym momencie poprzez link „wypisz się”, ustawienia lub kontaktując się z nami.
  • Nie udostępniamy Twoich danych kontaktowych stronom trzecim do ich własnego marketingu bez Twojej odrębnej zgody.
  1. Dane z publicznych ofert pracy: przejrzystość na podstawie art. 14 RODO

  • Jeśli odkryjesz, że Twoje dane osobowe pojawiają się w ofercie pracy opublikowanej w otwartym źródle, z którego zostały pobrane do naszej platformy, proszę pamiętać: nie kontrolujemy, jakie dane są publikowane w takich źródłach. Jednak jeśli chcesz, abyśmy usunęli te dane z naszego systemu, możesz złożyć wniosek o usunięcie (support@onetap.work). Wszystkie wymagane usunięcia są realizowane w ciągu dwóch tygodni od otrzymania wniosku.

  • Mechanizm usunięcia i deindeksacji: Opracowujemy narzędzie, które pozwoli pracodawcom i firmom samodzielnie usuwać wszystkie zindeksowane oferty pracy oraz blokować indeksowanie konkretnych stron lub domen. Dopóki ta funkcja jest w trakcie rozwoju, możesz skontaktować się z nami pod adresem support@onetap.work z wnioskiem o usunięcie lub blokadę indeksowania. Możesz również dodać odpowiednie reguły do pliku robots.txt, aby zabronić indeksowania przez naszego bota. Dla najszybszego efektu zalecamy zrobić obie rzeczy — skontaktować się z nami i skonfigurować robots.txt.

  1. Obowiązki pracodawców na platformie
  • Pracodawcy mają zakaz żądania danych poza art. 221 Kodeksu pracy oraz przetwarzania szczególnych kategorii (art. 9 RODO) i danych karnych (art. 10 RODO) bez odpowiedniej podstawy prawnej. Naruszenia mogą skutkować ograniczeniem dostępu do usługi.
  1. Dzieci
  • Usługa nie jest przeznaczona dla osób poniżej 16 roku życia. Nie weryfikujemy wieku użytkowników za pomocą oficjalnych dokumentów i nie możemy zagwarantować, że każdy użytkownik spełnia ten wymóg. Podejmujemy rozsądne środki, aby zapobiec korzystaniu z usługi przez osoby poniżej 16 lat, ale nie możemy w pełni kontrolować ani weryfikować dokładności podanych informacji.
  1. Odpowiedzialność użytkownika
  • Jesteś odpowiedzialny za treść swojego profilu/CV i inne dane, które publikujesz. Jeśli znajdziesz dane osobowe stron trzecich w ofertach pracy zindeksowanych przez nas z publicznych źródeł, proszę powiadomić support@onetap.work — zareagujemy niezwłocznie.
  1. Bezpieczeństwo
  • Stosujemy środki techniczne i organizacyjne: szyfrowanie danych w transmisji, kontrole dostępu, segmentacja środowiska, logowanie bezpieczeństwa, regularne aktualizacje, minimalizacja danych, szkolenie personelu, weryfikacja podmiotów przetwarzających, testy/audyty. Dostęp do danych jest udzielany na zasadzie najmniejszych uprawnień.
  1. Organ nadzorczy i skargi
  • Masz prawo złożyć skargę do Urzędu Ochrony Danych Osobowych (UODO), ul. Stawki 2, 00-193 Warszawa, Polska, tel.: +48 22 531 03 00, uodo.gov.pl. Uprzejmie prosimy o kontakt z nami w pierwszej kolejności — dołożymy wszelkich starań, aby rozwiązać problem.
  1. Zmiany w niniejszej Polityce
  • Możemy okresowo aktualizować Politykę. Powiadomimy Cię o istotnych zmianach e-mailem lub w aplikacji nie później niż 14 dni przed ich wejściem w życie. Aktualna wersja jest zawsze dostępna na onetap.work.
  1. Kontakt
    JDG Sviatoslav Mysiv
    al. Jana Pawła II 3b/137, 80-462 Gdańsk, Polska
    E-mail: support@onetap.work

Załącznik A. Podsumowanie Oceny Prawnie Uzasadnionych Interesów (LIA)
A1. Bezpieczeństwo, zapobieganie nadużyciom, logowanie

  • Interes: stabilne i bezpieczne działanie usługi; badanie incydentów; ochrona przed oszustwami.
  • Konieczność: bez logów/sygnałów zapewnienie bezpieczeństwa jest niemożliwe lub nieproporcjonalnie trudne.
  • Wpływ i zabezpieczenia: minimalizacja pól logów, ograniczenia dostępu, szyfrowanie, ograniczony okres przechowywania, zakaz wykorzystywania do marketingu.
  • Wniosek: interes jest uzasadniony; mechanizmy sprzeciwu nie ograniczają bezpieczeństwa.

A2. Personalizacja strumienia ofert/rekomendacji

  • Interes: zwiększanie trafności usługi.
  • Konieczność: bez wykorzystania danych profilu/aktywności jakość rekomendacji jest obniżona.
  • Wpływ i zabezpieczenia: wykorzystanie danych w ramach usługi; brak udostępniania na zewnątrz; możliwość wyłączenia/sprzeciwu; przejrzystość w Polityce.
  • Wniosek: interes jest uzasadniony; zapewnione proste mechanizmy rezygnacji.

A3. Monitorowanie stabilności/diagnostyka (Sentry)

  • Interes: terminowe wykrywanie i usuwanie błędów.
  • Konieczność: bez sygnałów diagnostycznych rozwiązywanie krytycznych awarii jest trudniejsze.
  • Wpływ i zabezpieczenia: filtrowanie Danych Osobowych, minimalizacja, kontrole dostępu, szyfrowanie; SDK aktywowany tylko po zgodzie (PKE); w trybie bez zgody nie używamy identyfikatorów urządzenia/sesji.
  • Wniosek: interes jest uzasadniony; ryzyka zminimalizowane środkami technicznymi/organizacyjnymi.

A4. Indeksowanie publicznych ofert pracy (art. 14 RODO)

  • Interes: dostarczanie użytkownikom katalogu wakatów.
  • Konieczność: indeksowanie z publicznych źródeł to standard branżowy.
  • Wpływ i zabezpieczenia: indeksujemy tylko publicznie dostępne treści; (kanał dla sprzeciwów, okresowy przegląd co 30 dni, mechanizm usunięcia/deindeksacji); DPIA dla wysokiego ryzyka; minimalizacja zakresu/przechowywania; usuwanie przestarzałych kontaktów.
  • Wniosek: interes jest uzasadniony pod warunkiem pełnej przejrzystości, przechowywania i kontroli osób, których dane dotyczą.

Załącznik B. Transfery międzynarodowe: zabezpieczenia (przegląd)

  • Google Ireland Limited / Google LLC (GA, GTM): przetwarzanie w UE z potencjalnymi transferami do USA; w przypadku transferów — poleganie na EU-US DPF (dla certyfikowanych odbiorców) i/lub SCC; dodatkowe środki — szyfrowanie w transmisji, minimalizacja, maskowanie IP/Consent Mode v2. Aktywowane tylko po zgodzie poprzez CMP (z wyjątkiem ściśle niezbędnych tagów).
  • Functional Software, Inc. (Sentry): możliwe przetwarzanie w USA; poleganie na SCC; dodatkowe środki — filtry Danych Osobowych, minimalizacja, kontrole dostępu, szyfrowanie; SDK — tylko za zgodą (PKE).
  • Mailgun Technologies, Inc. (e-mail): przetwarzanie w UE i/lub USA w zależności od konfiguracji; dla transferów do USA — DPF (gdzie ma zastosowanie) i/lub SCC; dodatkowe środki — TLS, DMARC/DKIM, ograniczony okres przechowywania logów.
  • Railway (PaaS): przetwarzanie w wybranych regionach; jeśli zaangażowane są podmioty/regiony poza EOG — zapewniamy SCC lub równoważne mechanizmy; dodatkowe środki — szyfrowanie, kontrole dostępu, minimalizacja.
  • Dla każdego dostawcy aktualny mechanizm transferu i status (DPF/SCC) są wymienione w Rejestrze Podmiotów Przetwarzających.

Załącznik C. Polityka dotycząca żądań organów rządowych

  • Weryfikujemy każde żądanie pod kątem podstawy prawnej, minimalizujemy zakres ujawnianych danych i, o ile pozwala na to prawo, informujemy użytkownika. Prowadzimy rejestr takich żądań.

Załącznik D. Wyjaśnienie terminów (krótkie)

  • „CMP” — Consent Management Platform; „DPF” — Data Privacy Framework; „SCCs” — Standardowe Klauzule Umowne; „PKE” — Prawo Komunikacji Elektronicznej (polskie Prawo Komunikacji Elektronicznej).
OneTap.Work

Ułatwiamy i przyspieszamy poszukiwanie pracy.