Gorilla HR
Jak to działaDla firmDla kandydatówFAQBlog
LogowanieZałóż konto firmy

Polityka prywatności

Ostatnia aktualizacja:

Status dokumentu: wersja 1.0, do weryfikacji przez prawnika RODO przed publikacją produkcyjną. Treść poniżej odzwierciedla rzeczywistą funkcjonalność platformy zgodnie z polskim prawem ochrony danych osobowych — ale wymaga finalnej walidacji.

1. Administrator danych osobowych

Administratorem Twoich danych osobowych jest Softgorillas Sp. z o.o. z siedzibą w Warszawie, ul. Przykładowa 1, 00-001 Warszawa, wpisana do Krajowego Rejestru Sądowego pod numerem KRS [TBD], NIP [TBD], REGON [TBD] (dalej: „Gorilla HR” lub „my”).

W sprawach związanych z ochroną danych osobowych można skontaktować się z naszym Inspektorem Ochrony Danych pod adresem: dpo@gorilla-hr.pl.

2. Zakres przetwarzanych danych

Przetwarzamy następujące kategorie danych osobowych:

2.1. Kandydaci (osoby fizyczne szukające pracy)

  • Dane identyfikacyjne: imię, nazwisko, adres e-mail, numer telefonu (opcjonalnie)
  • Dane zawodowe: tytuł zawodowy, opis doświadczenia, umiejętności, lata doświadczenia, języki, historia zatrudnienia, wykształcenie
  • Preferencje: oczekiwania finansowe (stawka), dostępność, tryb pracy, branże preferowane / wykluczone
  • Dokumenty: CV (PDF), opcjonalnie video CV (MP4)
  • Linki zewnętrzne: LinkedIn, GitHub, portfolio (opcjonalnie)
  • Dane techniczne: adres IP (zhashowany), identyfikator sesji, log dostępów (audit trail RODO art. 15)

2.2. Firmy (klienci biznesowi)

  • Dane firmy: nazwa, NIP, adres siedziby
  • Dane kontaktowe administratora: imię, nazwisko, stanowisko, służbowy e-mail, telefon
  • Dane członków zespołu: osoby zaproszone przez administratora firmy (rola: recruiter, viewer)
  • Dane finansowe: faktury, historia płatności (zgodnie z ustawą o rachunkowości — okres przechowywania 7 lat)

3. Cele i podstawy prawne przetwarzania

CelPodstawa prawnaOkres
Świadczenie usługi rekrutacyjnej (matching, zaproszenia, hire'y)Art. 6 ust. 1 lit. b RODO (umowa)Czas trwania konta + 30 dni
Wystawianie faktur i rozliczeńArt. 6 ust. 1 lit. c RODO (obowiązek prawny — ustawa o rachunkowości)7 lat (ustawowo)
Powiadomienia transakcyjne (e-mail o nowych aplikacjach itp.)Art. 6 ust. 1 lit. b RODO (umowa)Czas trwania konta
Newsletter / marketing własnyArt. 6 ust. 1 lit. a RODO (zgoda — opt-in)Do wycofania zgody
Ochrona przed nadużyciami (rate limiting, audyt)Art. 6 ust. 1 lit. f RODO (uzasadniony interes)90 dni (audit log)
Tworzenie kopii zapasowych (disaster recovery)Art. 6 ust. 1 lit. f RODO (uzasadniony interes)30 dni
Profilowanie AI (matching score)Art. 6 ust. 1 lit. b RODO (umowa) + art. 22 (prawo do interwencji ludzkiej)Czas trwania konta

4. Profilowanie i decyzje automatyczne (Art. 22 RODO)

Wykorzystujemy algorytmy AI do dopasowywania kandydatów do briefów. Algorytm analizuje:

  • Twoje umiejętności i lata doświadczenia (waga 40%)
  • Historię stanowisk (waga 30%)
  • Preferowaną stawkę vs. budżet briefa (waga 15%)
  • Dostępność i preferencje branżowe (waga 15%)

Wynik (match score) jest pokazywany firmie wraz z uzasadnieniem („Why this candidate”). Decyzja o zaproszeniu lub zatrudnieniu zawsze należy do człowieka — algorytm jedynie sortuje listę kandydatów.

Masz prawo do:

  • Żądania interwencji ludzkiej w przypadku decyzji opartej wyłącznie na automatycznym przetwarzaniu (np. odrzucenie aplikacji niskim score'em)
  • Wyrażenia własnego stanowiska — kontakt z firmą bezpośrednio przez wiadomość w aplikacji
  • Zakwestionowania decyzji — odwołanie do dpo@gorilla-hr.pl

5. Odbiorcy danych

Dane mogą być udostępniane następującym kategoriom odbiorców:

  • Firmom rekrutującym — TYLKO po Twojej akceptacji zaproszenia. Do tego momentu Twoje dane są zanonimizowane (firma widzi tylko inicjały + dopasowanie).
  • Dostawcom infrastruktury (procesorzy danych):
    • Hetzner Cloud / DigitalOcean (hosting, EU)
    • Postmark (e-maile transakcyjne, US — Privacy Shield)
    • Cloudflare (DNS, ochrona DDoS, EU)
    • Sentry (śledzenie błędów, EU)
    Z każdym dostawcą zawarliśmy umowę powierzenia przetwarzania (DPA).
  • Organom państwowym — wyłącznie na podstawie prawomocnego nakazu sądowego lub wezwania.

Nie sprzedajemy danych osobowych. Nigdy.

6. Przekazywanie danych poza EOG

Niektórzy nasi dostawcy mają siedzibę w USA (Postmark do wysyłki e-maili). Przekazania odbywają się na podstawie:

  • Standardowych klauzul umownych (SCC) zatwierdzonych przez Komisję Europejską
  • Decyzji Komisji o adekwatności (EU-US Data Privacy Framework)

7. Twoje prawa

Zgodnie z RODO przysługują Ci następujące prawa, które możesz zrealizować w panelu ustawień konta lub kontaktując się z nami:

  • Prawo dostępu (Art. 15) — sprawdź log dostępów do Twoich danych w ustawieniach
  • Prawo do sprostowania (Art. 16) — edytuj profil w dowolnym momencie
  • Prawo do usunięcia (Art. 17) — przycisk „Usuń konto” w ustawieniach (30-dniowy okres na zmianę zdania)
  • Prawo do ograniczenia przetwarzania (Art. 18) — kontakt z DPO
  • Prawo do przenoszenia danych (Art. 20) — przycisk „Eksport danych” (JSON, raz na 30 dni)
  • Prawo do sprzeciwu (Art. 21) — szczególnie wobec marketingu i profilowania
  • Prawo wniesienia skargi do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, uodo.gov.pl

8. Zabezpieczenia

  • Szyfrowanie w tranzycie (TLS 1.3) na całej infrastrukturze
  • Szyfrowanie at-rest (AES-256) dla bazy danych i magazynu plików
  • 2FA wymagane dla kont firmowych (rola Owner i Recruiter)
  • Audit log dla wszystkich dostępów do PII (90 dni retention)
  • Regularne kopie zapasowe w lokalizacji geograficznie odrębnej
  • Testy penetracyjne (planowane co 12 miesięcy)

9. Zmiany polityki

O wszelkich istotnych zmianach niniejszej polityki poinformujemy Cię e-mailem co najmniej 30 dni przed wejściem w życie. Wersja archiwalna dostępna na żądanie.

10. Kontakt

Inspektor Ochrony Danych: dpo@gorilla-hr.pl
Adres pocztowy: Softgorillas Sp. z o.o., ul. Przykładowa 1, 00-001 Warszawa

Polityka prywatności · Gorilla HR