Wersja 1.0·Obowiązuje od 1 czerwca 2026

Polityka prywatności

Jak Grasperly postępuje z danymi osobowymi odwiedzających stronę, prospektów, kandydatów do pracy i osób kontaktowych klientów. Dane klienta przekazane Platformie podlegają odrębnej regulacji DPA.

Wiążąca jest wersja angielska · polska jest tłumaczeniem dla wygody

Niniejsza Polityka prywatności wyjaśnia, jak Grasperly Sp. z o.o. („Grasperly”, „my”), z siedzibą przy ul. Tczewskiej 4a/78, 01-674 Warszawa (KRS 0001238012, NIP 7152366483), zbiera, wykorzystuje i udostępnia dane osobowe występując jako administrator tych danych. Podlegamy rozporządzeniu (UE) 2016/679 („RODO”) oraz ustawie z dnia 10 maja 2018 r. o ochronie danych osobowych.

Zakres. Polityka obejmuje dane osobowe przetwarzane przez nas w odniesieniu do (i) odwiedzających grasperly.com i nasze inne publiczne strony internetowe; (ii) potencjalnych klientów i osób kontaktowych po stronie naszych klientów; (iii) kandydatów aplikujących o pracę w Grasperly; (iv) uczestników wydarzeń, które organizujemy lub sponsorujemy; oraz (v) Upoważnionych użytkowników naszej Platformy w zakresie ich danych zarządczych konta.

Poza zakresem. Polityka nie obejmuje Danych klienta przesłanych do Platformy Grasperly. W odniesieniu do tych danych administratorem jest nasz klient, a my działamy jako procesor na podstawie Umowy Powierzenia Przetwarzania Danych. Pytania dotyczące Danych klienta należy w pierwszej kolejności kierować do klienta, który nimi administruje; pomożemy klientom w odpowiadaniu na żądania osób, których dane dotyczą, zgodnie z DPA.

W skrócie. Robimy minimum niezbędne do prowadzenia działalności. Brak trackerów reklamowych na grasperly.com, brak budowania profili, brak sprzedaży danych osobowych, brak transferów poza EOG bez zabezpieczeń. Przysługuje Państwu prawo dostępu, sprostowania, usunięcia, przenoszenia, ograniczenia i sprzeciwu wobec przetwarzania danych osobowych — oraz prawo wniesienia skargi do polskiego organu nadzorczego w dowolnym czasie.

1.Administrator i kontakt

Administrator: Grasperly Sp. z o.o., ul. Tczewska 4a/78, 01-674 Warszawa, Polska. KRS 0001238012. NIP 7152366483.

Kontakt ds. prywatności: privacy@grasperly.com. Nie wyznaczyliśmy inspektora ochrony danych (IOD) — nie spełniamy przesłanek z art. 37 RODO — jednak skrzynka prywatności jest monitorowana przez nasz zespół bezpieczeństwa i prawny. Staramy się odpowiadać w terminie pięciu (5) dni roboczych, a w każdym razie w ustawowym terminie jednego miesiąca określonym w art. 12 ust. 3 RODO (z możliwością przedłużenia o kolejne dwa miesiące w przypadku spraw skomplikowanych lub licznych, na podstawie tego samego przepisu).

Organ nadzorczy: Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa, www.uodo.gov.pl. Przysługuje Państwu prawo wniesienia skargi do tego organu w dowolnym czasie w związku z przetwarzaniem danych osobowych, w szczególności jeżeli uznają Państwo, że przetwarzanie narusza RODO.

2.Jakie dane osobowe zbieramy

Zbieramy tylko to, co potrzebne do celu, dla którego przetwarzamy.

Odwiedzający stronę (grasperly.com). Liczba wyświetleń stron, preferencja językowa, URL strony odsyłającej, kraj na poziomie kraju, rodzina przeglądarki. Zbierane przez analitykę Plausible bez cookies. Nie zapisujemy adresów IP. Nie tworzymy trwałego identyfikatora użytkownika. Brak śledzenia międzywitrynowego.

Prospekci i osoby kontaktowe klientów. Imię i nazwisko, służbowy e-mail, służbowy telefon, nazwa pracodawcy, stanowisko, treść zapytań i wniosków o demo oraz notatki spotkań sporządzone przez nasz zespół sprzedaży po rozmowie. Źródło (art. 14 ust. 2 lit. f RODO): dane pozyskujemy bezpośrednio od Państwa — gdy wypełnią Państwo formularz, napiszą do nas lub rozmawiają z nami na wydarzeniu. Nie wzbogacamy rekordów prospektów z brokerów danych ani nie scrapujemy publicznych profili w celu ich budowy.

Upoważnieni użytkownicy Platformy (wyłącznie dane zarządcze konta). Imię i nazwisko, e-mail, stanowisko u klienta, czynniki uwierzytelniania, godziny logowań, adres IP ostatniego logowania (do celów bezpieczeństwa) oraz rejestr zmian uprawnień. Treść tego, co Upoważniony użytkownik robi na Platformie, stanowi Dane klienta i nie jest objęta niniejszą polityką.

Kandydaci. To, co przekazują Państwo w aplikacji (CV, list motywacyjny, dane przebiegu zawodowego, licencje zawodowe), nasze notatki z rozmów, referencje uzyskane za Państwa zgodą oraz wynik procesu rekrutacyjnego.

Uczestnicy wydarzeń. Imię i nazwisko, służbowy e-mail, pracodawca oraz wszelkie informacje o diecie lub dostępności podane w związku z wydarzeniem.

Telemetria bezpieczeństwa. W celach bezpieczeństwa logujemy zdarzenia dostępowe i adresy IP, z których pochodzą. W koniecznym zakresie możemy zbierać ograniczony odcisk przeglądarki w celu wykrycia prób przejęcia konta. Żadne z tych danych nie służą reklamie ani nie są nikomu sprzedawane.

3.Cele i podstawy prawne

Przetwarzamy dane osobowe wyłącznie na podstawie prawnej zgodnej z art. 6 RODO. Poniżej zestawienie celów i podstaw. Tam, gdzie powołujemy się na prawnie uzasadniony interes z art. 6 ust. 1 lit. f, wskazujemy konkretny interes.

Prowadzenie grasperly.com i zliczanie wyświetleń stron. Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) — *konkretny interes: rozumienie, jak odwiedzający korzystają z naszej strony, abyśmy mogli ją prowadzić, zabezpieczać i ulepszać.* Przetwarzanie jest projektowo prywatnościowe — brak cookies, brak przechowywania adresów IP, brak profili.

Odpowiadanie na zapytania i wnioski o demo. Czynności poprzedzające zawarcie umowy na żądanie osoby, której dane dotyczą (art. 6 ust. 1 lit. b) oraz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) — *konkretny interes: prowadzenie pipeline'u sprzedażowego B2B i udzielanie profesjonalnej odpowiedzi na zapytania handlowe.*

Administrowanie kontami Upoważnionych użytkowników. Wykonanie umowy z naszym klientem, do którego Państwo należą (art. 6 ust. 1 lit. b) i spełnianie ciążących na nas obowiązków prawnych w zakresie rejestrowania dostępu (art. 6 ust. 1 lit. c).

Rekrutacja. Czynności poprzedzające nawiązanie stosunku pracy na żądanie osoby, której dane dotyczą (art. 6 ust. 1 lit. b) oraz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) — *konkretny interes: identyfikacja odpowiednich kandydatów na otwarte stanowiska.* Przechowywanie danych kandydata poza bieżącym procesem rekrutacyjnym w celu rozważenia przyszłych ofert opiera się na wyraźnej zgodzie kandydata (art. 6 ust. 1 lit. a) — zgodnie z art. 22¹ Kodeksu pracy — która jest pozyskiwana odrębnie i może być w każdej chwili cofnięta.

Organizacja wydarzeń. Wykonanie umowy o udział w wydarzeniu (art. 6 ust. 1 lit. b) oraz prawnie uzasadniony interes (art. 6 ust. 1 lit. f) — *konkretny interes: zapewnienie bezpieczeństwa, dostępności i jakości wydarzenia.*

Bezpieczeństwo i przeciwdziałanie nadużyciom. Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) — *konkretny interes: ochrona Platformy, klientów i Grasperly przed nieuprawnionym dostępem, przejęciem konta, nadużyciami i innymi incydentami bezpieczeństwa.*

Zgodność z prawem. Obowiązki podatkowe, księgowe, AML, sankcyjne i inne nałożone na nas przez prawo polskie, unijne lub właściwe prawo obce (art. 6 ust. 1 lit. c).

Obrona roszczeń prawnych. Prawnie uzasadniony interes (art. 6 ust. 1 lit. f) — *konkretny interes: ustanawianie, wykonywanie i obrona roszczeń prawnych przez lub przeciwko Grasperly.*

4.Okresy retencji

Nie przechowujemy danych osobowych dłużej, niż to konieczne. Konkretne okresy retencji to:

  • Analityka Plausible: wyłącznie zliczenia zagregowane; brak zapisu na poziomie pojedynczego odwiedzającego.
  • Dane z zapytań i wniosków o demo: dwadzieścia cztery (24) miesiące od ostatniego istotnego kontaktu, następnie usuwane z systemów operacyjnych i przechowywane wyłącznie w logach audytowych przez dalszy rok.
  • Dane osób kontaktowych klientów aktywnych: przez okres trwania relacji z klientem oraz sześć (6) lat do celów podatkowych i przedawnienia.
  • Dane zarządcze kont Upoważnionych użytkowników: przez okres dostępu Upoważnionego użytkownika oraz trzydzieści (30) dni dla odtwarzania z kopii zapasowych i dwanaście (12) miesięcy dla logów audytowych bezpieczeństwa.
  • Dane kandydatów (kandydaci niewybrani): dwanaście (12) miesięcy od dnia decyzji, chyba że wyrażą Państwo zgodę na dłuższy okres na potrzeby przyszłych rekrutacji.
  • Dane kandydatów (kandydaci wybrani): przenoszone do akt pracowniczych z chwilą zatrudnienia; to przetwarzanie objęte jest naszym wewnętrznym obowiązkiem informacyjnym HR.
  • Telemetria bezpieczeństwa: dwanaście (12) miesięcy, z wyjątkiem incydentów objętych dochodzeniem, dla których logi są przechowywane do zamknięcia dochodzenia oraz trzy (3) lata po nim w celach dowodowych.
  • Dokumentacja wymagana przez prawo: przez okres wymagany właściwymi przepisami (np. pięć lat dla dokumentacji VAT na gruncie polskiego prawa podatkowego).

5.Odbiorcy i pod-procesorzy

Udostępniamy dane osobowe wyłącznie w niezbędnym zakresie i wyłącznie odbiorcom związanym odpowiednimi zobowiązaniami poufności i ochrony danych.

Dostawcy usług. Naszymi procesorami są dostawcy wymienieni na stronie grasperly.com/sub-processors, w szczególności AWS (hosting we Frankfurcie i Warszawie), Resend (transakcyjny e-mail z Warszawy) i Plausible (analityka bez cookies z Tallina). Wszyscy są związani umowami powierzenia spełniającymi wymogi art. 28 RODO.

Doradcy zawodowi. Nasi prawnicy, audytorzy, doradcy podatkowi i ubezpieczyciele, jeżeli mają zasadną potrzebę poznania w ramach swojej działalności zawodowej i sami są związani poufnością.

Organy władzy publicznej. Organy, którym jesteśmy zobowiązani ujawniać informacje na podstawie prawa (np. organy podatkowe, organ nadzorczy, sądy, prokuratura). Ujawniamy niezbędne minimum i wymagamy od organu wykazania podstawy prawnej.

Transakcje. W przypadku fuzji, przejęcia, reorganizacji lub sprzedaży całości lub zasadniczo całości naszych aktywów dane osobowe mogą zostać przekazane z zachowaniem standardowych zabezpieczeń poufności w dokumentach transakcyjnych oraz kontynuacją niniejszej polityki lub polityki nie mniej ochronnej.

Nie sprzedajemy danych osobowych. Nie udostępniamy danych osobowych sieciom reklamowym, brokerom danych ani żadnej stronie w celu niezależnego marketingu wobec Państwa.

6.Transfery międzynarodowe

Nasz hosting i podstawowe przetwarzanie odbywają się w Unii Europejskiej (Frankfurt i Warszawa). W toku zwykłej działalności serwisu nie przekazujemy danych osobowych poza Europejski Obszar Gospodarczy.

Jeżeli przekazanie poza EOG faktycznie nastąpi — np. gdy doradca zawodowy spoza EOG analizuje sprawę lub gdy pod-procesor będący dostawcą modelu w wyjątkowych przypadkach korzysta z regionu spoza UE na podstawie Formularza Zamówienia, który to dopuszcza — następuje wyłącznie z zastosowaniem jednego z zabezpieczeń wskazanych w art. 45–49 RODO: decyzji o adekwatności, standardowych klauzul umownych Komisji Europejskiej z odpowiednimi środkami uzupełniającymi lub — w razie bezwzględnej konieczności — jednego z odstępstw z art. 49.

Na żądanie skierowane na privacy@grasperly.com przekażemy kopię zabezpieczenia obowiązującego dla konkretnego przekazania.

7.Państwa prawa

Przysługują Państwu prawa wskazane w art. 15–22 RODO. W szczególności:

  • Dostęp (art. 15) — uzyskanie potwierdzenia, czy przetwarzamy Państwa dane osobowe, a jeśli tak — kopii tych danych oraz informacji wskazanych w art. 15 ust. 1–2.
  • Sprostowanie (art. 16) — sprostowanie nieprawidłowych lub uzupełnienie niekompletnych danych.
  • Usunięcie (art. 17) — żądanie usunięcia w okolicznościach wskazanych w art. 17 ust. 1, z uwzględnieniem wyjątków z art. 17 ust. 3.
  • Ograniczenie przetwarzania (art. 18) — ograniczenie przetwarzania w okolicznościach wskazanych w art. 18 ust. 1.
  • Przenoszenie danych (art. 20) — otrzymanie danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, jeżeli przetwarzanie odbywa się na podstawie zgody lub umowy i w sposób zautomatyzowany.
  • Sprzeciw (art. 21) — sprzeciw w dowolnym czasie, z przyczyn związanych z Państwa szczególną sytuacją, wobec przetwarzania opartego na uzasadnionym interesie. W takim wypadku zaprzestaniemy przetwarzania, chyba że wykażemy istnienie ważnych prawnie uzasadnionych podstaw nadrzędnych wobec Państwa interesów, praw i wolności, lub podstaw do ustalenia, dochodzenia lub obrony roszczeń. Wobec marketingu bezpośredniego sprzeciw przysługuje bezwarunkowo.
  • Decyzje zautomatyzowane (art. 22) — niepodleganie decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu, która wywołuje skutki prawne lub w podobny sposób istotnie wpływa na Państwa, z zastrzeżeniem wyjątków z art. 22 ust. 2. Aktualnie nie podejmujemy takich decyzji wobec odwiedzających stronę, prospektów, kandydatów ani Upoważnionych użytkowników.
  • Cofnięcie zgody (art. 7 ust. 3) — w odniesieniu do przetwarzania opartego na zgodzie — cofnięcie jej w każdej chwili, bez wpływu na zgodność z prawem przetwarzania dokonanego przed cofnięciem.

Aby skorzystać z któregokolwiek z tych praw, prosimy o e-mail na privacy@grasperly.com. Odpowiemy bez zbędnej zwłoki, najpóźniej w terminie jednego (1) miesiąca od otrzymania żądania, zgodnie z art. 12 ust. 3. Jeżeli żądanie jest skomplikowane lub jest ich wiele, termin możemy przedłużyć o kolejne dwa miesiące, informując o przedłużeniu w pierwszym miesiącu.

Za rozpatrzenie żądań nie pobieramy opłaty, chyba że są ewidentnie nieuzasadnione lub nadmierne — w szczególności ze względu na powtarzalny charakter — w którym to przypadku możemy pobrać rozsądną opłatę lub odmówić, zgodnie z art. 12 ust. 5.

8.Pliki cookies

Na grasperly.com nie używamy plików cookies innych niż niezbędne. Platforma używa wyłącznie ściśle niezbędnych plików cookies. Szczegóły znajdują się w naszej Polityce cookies.

9.Dzieci

Grasperly to produkt B2B dla zawodów prawniczych. Platforma i grasperly.com nie są adresowane do dzieci. Świadomie nie zbieramy danych osobowych od osób poniżej szesnastego (16) roku życia. Jeżeli uważają Państwo, że to nastąpiło, prosimy o kontakt z privacy@grasperly.com; usuniemy dane bez zbędnej zwłoki.

10.Bezpieczeństwo

Wdrażamy środki techniczne i organizacyjne odpowiednie do ryzyka, zgodnie z art. 32 RODO. Działamy zgodnie z frameworkiem kontrolnym ISO/IEC 27001:2022; certyfikacja znajduje się na mapie drogowej Trust Center. Podsumowanie środków, w tym szyfrowania, zarządzania dostępem, segmentacji sieci, zarządzania podatnościami, bezpiecznego wytwarzania, szkoleń, reagowania na incydenty i ciągłości działania, opublikowane jest na naszej stronie bezpieczeństwa i objęte umownym zobowiązaniem w Załączniku 3 do DPA.

Jeżeli stwierdzimy naruszenie ochrony danych osobowych, powiadomimy polski organ nadzorczy i osoby, których dane dotyczą, zgodnie z art. 33 i 34 RODO, a naszych klientów — zgodnie z DPA.

11.Zmiany niniejszej polityki

Możemy okresowo aktualizować niniejszą politykę w celu odzwierciedlenia zmian w naszych praktykach, usłudze lub prawie. Istotne zmiany będą podsumowywane na górze tej strony przez co najmniej trzydzieści (30) dni, a osobom, których dane dotyczą, prześlemy e-mail, jeżeli mają zasadne oczekiwanie powiadomienia. Dalsze korzystanie z grasperly.com lub Platformy po dacie wejścia aktualizacji w życie stanowi potwierdzenie zapoznania się z polityką.

12.Język

Polityka opublikowana jest w językach angielskim i polskim. Wersją wiążącą jest wersja angielska; wersja polska stanowi tłumaczenie zapewnione dla wygody. Jeżeli bezwzględnie obowiązujące przepisy stosowane wobec osoby, której dane dotyczą, wymagają, by inny język miał pierwszeństwo, postanowienia bezwzględnie obowiązujące tej regulacji mają pierwszeństwo.

Poproś o egzemplarz podpisany

Grasperly Sp. z o.o. · KRS 0001238012 · NIP 7152366483 · privacy@grasperly.com