GDPR – Dataskyddsförordningen

Senast uppdaterad: 18 november 2025

1. Personuppgiftsansvarig och dataskyddsombud

Personuppgiftsansvarig för behandlingen av dina personuppgifter är:

Dataflow Solutions

E-post: info@dataflowsolutions.se

LinkedIn: linkedin.com/company/dataflowsweden

Dataskyddsombud (DPO): Samma kontaktuppgifter som ovan. För alla GDPR-relaterade frågor, använd ämnesraden "GDPR" eller "Dataskydd".

2. Dina rättigheter enligt GDPR

Enligt dataskyddsförordningen (EU 2016/679) har du följande rättigheter gällande dina personuppgifter:

2.1 Rätt till tillgång (Art. 15)

Du har rätt att få bekräftelse på om vi behandlar dina personuppgifter och få tillgång till dessa uppgifter.

Vad du får:

  • Kopia av alla personuppgifter vi har om dig
  • Information om ändamål, kategorier av data, mottagare
  • Lagringstid eller kriterier för att fastställa den
  • Rättslig grund för behandlingen
  • Information om dataöverföringar till tredje land (USA)
  • Information om automatiserat beslutsfattande (AI-matchning)
  • Prestationsdata (totalt antal ansökningar, upplåsta milstolpar, tidsstämplar)

Hur du begär: Skicka e-post till info@dataflowsolutions.se med ämnesraden "GDPR Tillgång - Begäran om personuppgifter". Inkludera din e-postadress kopplad till kontot.

Svarstid: 1 månad (kan förlängas till 3 månader om komplex begäran)

2.2 Rätt till rättelse (Art. 16)

Du har rätt att få felaktiga personuppgifter rättade och ofullständiga uppgifter kompletterade.

Vad du kan rätta:

  • Namn, e-postadress (via Inställningar-sidan)
  • Företagsuppgifter (organisationsnummer, telefon)
  • CV och personliga brev (ladda upp nya versioner)
  • Användarinställningar och preferenser

Hur du rättar:

  • Logga in → Inställningar → Redigera profil
  • För CV/brev: Ladda upp nya dokument (automatisk ersättning)
  • För komplexa ändringar: Kontakta info@dataflowsolutions.se

Svarstid: Omedelbart (via plattform) eller 1 månad (via e-post)

2.3 Rätt till radering – "Rätten att bli glömd" (Art. 17)

Du har rätt att få dina personuppgifter raderade under vissa omständigheter.

Vad som raderas:

  • Konto och autentiseringsuppgifter
  • CV, personliga brev och uppladdade filer
  • AI-genererade embeddings
  • CV-snapshots och versionshistorik
  • Sökhistorik och användarengagemang (favoriter, ansökningar)
  • Ansökningshistorik (efter 30 dagar)
  • Chatkonversationer
  • Användarinställningar och preferenser
  • Prestationsdata (upplåsta milstolpar, totalt antal ansökningar, certifikatinformation)

Undantag (vi MÅSTE behålla):

  • Fakturor och betalningsdata (7 år enligt bokföringslagen)
  • Data som krävs för att fullgöra rättsliga förpliktelser
  • Data som behövs för att fastställa, utöva eller försvara rättsliga anspråk

Hur du raderar:

  • Logga in → Inställningar → Radera konto → Bekräfta
  • Eller skicka e-post till info@dataflowsolutions.se med ämnesraden "GDPR Radering - Radera mitt konto"

Svarstid: Radering påbörjas omedelbart, slutförs inom 30 dagar

2.4 Rätt till begränsning av behandling (Art. 18)

Du har rätt att begära att vi tillfälligt begränsar behandlingen av dina personuppgifter om:

  • Du bestrider riktigheten av personuppgifterna (under verifieringstid)
  • Behandlingen är olaglig men du motsätter dig radering
  • Vi inte längre behöver uppgifterna men du behöver dem för rättsliga anspråk
  • Du har invänt mot behandling (under utredning av berättigat intresse)

Vad begränsning innebär: Vi lagrar data men behandlar den inte aktivt (ingen AI-matchning, inga rekommendationer) tills situationen är löst.

Hur du begär: E-post till info@dataflowsolutions.se med ämne "GDPR Begränsning" + motivering

Svarstid: 1 månad

2.5 Rätt till dataportabilitet (Art. 20)

Du har rätt att få dina personuppgifter i ett strukturerat, allmänt använt och maskinläsbart format och överföra dessa till en annan personuppgiftsansvarig.

Vad du får: En JSON- eller CSV-fil med alla dina personuppgifter, inklusive:

  • Kontouppgifter
  • Råtext från CV och personliga brev
  • Ansökningshistorik
  • Användarinställningar
  • Favoritjobb
  • Prestationsdata (totalt antal ansökningar, upplåsta milstolpar med tidsstämplar)

Hur du begär: E-post till info@dataflowsolutions.se med ämne "GDPR Dataportabilitet - Export av mina data"

Svarstid: 1 månad. Du får en säker nedladdningslänk via e-post.

2.6 Rätt att göra invändningar (Art. 21)

Du har rätt att när som helst invända mot behandling av personuppgifter som baseras på berättigat intresse (Art. 6.1.f), såsom:

  • Google Analytics och användarstatistik
  • Marknadsföring och nyhetsbrev (om framtida)
  • Profilering för icke-väsentliga funktioner

Hur du invänder:

  • Analytics: Avvisa analytics cookies i cookie-bannern
  • Marknadsföring: Klicka "Avsluta prenumeration" i e-postmeddelanden
  • Allmän invändning: E-post till info@dataflowsolutions.se med ämne "GDPR Invändning"

Effekt: Vi slutar behandla uppgifterna för det specifika ändamålet om vi inte kan visa tvingande berättigade skäl.

Svarstid: 1 månad

2.7 Rätt att inte bli föremål för automatiserat beslutsfattande (Art. 22)

Du har rätt att inte bli föremål för beslut som enbart baseras på automatiserad behandling (inklusive profilering) som får rättsliga eller betydande effekter.

Vår AI-användning:

  • AI-matchningspoäng är endast vägledande rekommendationer
  • Inga anställningsbeslut fattas automatiskt av AI
  • Arbetsgivare gör alltid manuella bedömningar

Din rätt: Du kan begära mänsklig granskning och förklaring av AI-genererade matchningar.

Hur du begär: E-post till info@dataflowsolutions.se med ämne "GDPR AI-granskning" + jobbannons-ID

Svarstid: 1 månad med detaljerad förklaring av matchningsalgoritmen

3. Rättslig grund för behandling

Vi behandlar dina personuppgifter baserat på följande rättsliga grunder enligt GDPR Artikel 6:

PersonuppgiftskategoriRättslig grundGDPR-artikel
Konto, autentiseringFullgörande av avtalArt. 6.1.b
JobbmatchningFullgörande av avtalArt. 6.1.b
AI-bearbetning (embeddings, GPT)Samtycke (uppladdning = samtycke)Art. 6.1.a
Betalning, faktureringFullgörande av avtal + Rättslig förpliktelseArt. 6.1.b + 6.1.c
Analytics, statistikBerättigat intresse + Samtycke (cookies)Art. 6.1.f + 6.1.a
Prestationssystem (ansökningspoäng, milstolpar)Fullgörande av avtalArt. 6.1.b
Säkerhet, missbruksförebyggandeBerättigat intresseArt. 6.1.f

4. Internationella dataöverföringar

Vi överför personuppgifter till USA genom följande tredjepartsleverantörer:

Supabase Inc. (USA)

Tjänst: Databas, autentisering, fillagring

Skyddsåtgärder:

  • EU-US Data Privacy Framework (DPF) certifierad
  • Standard Contractual Clauses (SCC) enligt GDPR Art. 46.2.c
  • Integritetspolicy: supabase.com/privacy

OpenAI L.L.C. (USA)

Tjänst: AI-embeddings (text-embedding-3-large), GPT-4o textgenerering

Skyddsåtgärder:

  • Standard Contractual Clauses (SCC)
  • GDPR-kompatibla Data Processing Addendum (DPA)
  • Integritetspolicy: openai.com/privacy

Stripe Inc. (USA)

Tjänst: Betalningshantering, prenumerationer, fakturering

Skyddsåtgärder:

  • EU-US Data Privacy Framework (DPF) certifierad
  • PCI DSS Level 1 certifierad (högsta säkerhetsstandard för betalningar)
  • Standard Contractual Clauses (SCC)
  • Integritetspolicy: stripe.com/privacy

Google LLC (USA) – Analytics 4

Tjänst: Webbanalys, användarstatistik

Skyddsåtgärder:

  • EU-US Data Privacy Framework (DPF) certifierad
  • IP-anonymisering aktiverad (sista oktetten borttagen)
  • Consent Mode v2 – respekterar cookie-val
  • Standard Contractual Clauses (SCC)
  • Integritetspolicy: policies.google.com/privacy

EU-US Data Privacy Framework: USA är godkänt av EU-kommissionen som land med adekvat skyddsnivå för företag certifierade under DPF (Europeiska kommissionens adequacy decision 2023).

5. Dataintrång och säkerhetsincidenter

Vid en personuppgiftsincident (dataintrång) följer vi GDPR:s strikta krav:

5.1 Anmälan till tillsynsmyndighet (Art. 33)

Vi anmäler incidenten till Integritetsskyddsmyndigheten (IMY) inom 72 timmar från upptäckt, såvida inte incidenten är osannolik att medföra risk för användares rättigheter och friheter.

5.2 Underrättelse till användare (Art. 34)

Om incidenten innebär hög risk för dina rättigheter och friheter (t.ex. läckage av CV-filer, lösenord, eller känsliga data), underrättar vi dig omedelbart via e-post med information om:

  • Incidentens art och omfattning
  • Vilka personuppgifter som påverkats
  • Sannolik konsekvens och potentiell skada
  • Åtgärder vi vidtagit för att begränsa skadan
  • Rekommenderade åtgärder för dig (t.ex. ändra lösenord)
  • Kontaktuppgifter för mer information

5.3 Förebyggande åtgärder

  • Kontinuerlig säkerhetsövervakning och loggning
  • Regelbundna säkerhetsgranskningar och penetrationstester
  • Incidentresponssplan med tydliga roller och ansvar
  • Kryptering av känslig data (HTTPS, bcrypt-hashning)

6. Rätt att lämna klagomål till tillsynsmyndighet

Om du anser att vi behandlar dina personuppgifter i strid med GDPR har du rätt att lämna klagomål till tillsynsmyndigheten:

Integritetsskyddsmyndigheten (IMY)

Postadress: Box 8114, 104 20 Stockholm

Besöksadress: Fleminggatan 14, Stockholm

Telefon: 08-657 61 00

E-post: imy@imy.se

Webbplats: www.imy.se

Lämna klagomål online: imy.se/lamna-ett-klagomal

Viktigt: Du har alltid rätt att lämna klagomål till IMY, oavsett om du har kontaktat oss först eller inte. Det finns ingen skyldighet att först försöka lösa problemet med oss, men vi uppskattar om du ger oss möjlighet att rätta till eventuella problem.

7. Identitetsverifiering vid begäran

För att skydda dina personuppgifter från obehörig åtkomst måste vi verifiera din identitet när du utövar dina GDPR-rättigheter.

Verifieringsprocess:

  • Begäran måste skickas från e-postadressen kopplad till ditt konto
  • Vi kan begära ytterligare identifiering om vi har tvivel (t.ex. svar på säkerhetsfrågor, inloggning på plattformen)
  • För känsliga begäran (radering, dataexport) kan vi kräva extra verifiering

Om du inte kan bevisa din identitet kan vi neka begäran för att skydda personuppgifterna från obehörig åtkomst.

8. Svarstider och avgifter

Svarstid (Art. 12.3): Vi svarar på din GDPR-begäran inom 1 månad från mottagandet. Om begäran är komplex eller om vi mottar många begäran kan vi förlänga tiden med ytterligare 2 månader (totalt 3 månader). Vi meddelar dig om sådan förlängning inom den första månaden.

Avgifter (Art. 12.5):

  • Första begäran: Kostnadsfri
  • Upprepade/ogrundade begäran: Vi kan ta ut en rimlig avgift baserad på administrativ kostnad, eller vägra att agera om begäran är uppenbart ogrundad eller överdrivet frekventa

9. Kontakta oss angående GDPR

För alla GDPR-relaterade frågor, begäran om att utöva dina rättigheter, eller klagomål:

E-post: info@dataflowsolutions.se

Ämnesrad: "GDPR" eller "Dataskydd" + typ av begäran (t.ex. "GDPR Tillgång", "GDPR Radering")

Postadress:

Dataflow Solutions

Att: Dataskyddsombud

Vad du bör inkludera i din begäran:

  • Tydlig beskrivning av din begäran
  • E-postadress kopplad till ditt konto
  • Typ av rättighet du vill utöva (tillgång, radering, rättelse, etc.)
  • Eventuell ytterligare information som kan hjälpa oss behandla din begäran

Denna GDPR-policy följer EU:s dataskyddsförordning (2016/679) och svensk dataskyddslag (2018:218).