Integritetspolicy
Senast uppdaterad: 18 november 2025
1. Personuppgiftsansvarig
Dataflow Solutions, Sverige, är personuppgiftsansvarig för behandlingen av dina personuppgifter i enlighet med dataskyddsförordningen (GDPR).
Kontakt: info@dataflowsolutions.se
Dataskyddsombud: Samma kontaktuppgift som ovan.
2. Vilka personuppgifter samlar vi in?
2.1 Autentisering och kontouppgifter
- E-postadress (primär identifierare)
- Användarnamn och namn
- Hashade lösenord (via Supabase Auth, aldrig i klartext)
- Unik användar-ID (UUID)
- Konto skapandedatum och senast inloggad
2.2 Arbetssökandes dokument och profiluppgifter
- CV: Uppladdade filer (PDF/DOCX, max 10MB), extraherad råtext, filnamn, uppladdningsdatum
- Personliga brev: Uppladdade filer, extraherad råtext, filnamn
- AI-genererade embeddings: Vektorer skapade från dina dokument via OpenAI för semantisk matchning
- Användarinställningar: Jobbrelaterade mål, preferenser
- Favoritjobb: Sparade jobbannonser med tidsstämpel
2.3 Ansökningsdata
- Ansökta jobb (jobb-ID, användare-ID, ansökningsdatum)
- Status för varje ansökan (ny, granskad, urvald, avvisad, anställd)
- Statushistorik med tidsstämplar och ändringslogg
- Meddelanden som skickats vid ansökan
- AI-genererade matchningspoäng (CV-likhet, personligt brev-likhet)
- Svar på arbetsgivarens anpassade ansökningsfrågor
- Totalt antal ansökningar: Kumulativ räknare som spårar alla dina ansökningar (minskar aldrig, även om jobb tas bort)
- Upplåsta prestationer: Information om vilka milstolpar du uppnått (1, 25, 50, 100, 250, 500, 1000 ansökningar), tidsstämplar för när prestationer upplåstes
2.4 Kommunikation och meddelanden
- Chatkonversationer mellan dig och arbetsgivare
- Meddelandeinnehåll, avsändar-ID, tidsstämplar
- Läskvitton (när meddelanden lästs)
- Blockeringsinformation (blockerade användare)
- Notifikationer om statusändringar
2.5 Arbetsgivaruppgifter
- Företagsnamn, organisationsnummer, telefon, e-post
- Företagslogotyp (lagrad i Supabase Storage)
- Företagsbeskrivningar (kort och detaljerad)
- Publicerade jobbannonser (titel, beskrivning, krav, plats, anställningstyp)
- Anpassade ansökningsfrågor för varje jobb
- Prenumerationstyp (Starter, Professional, Enterprise)
- Stripe Customer ID och Subscription ID
- Användarstatistik (antal aktiva jobbannonser, mottagna ansökningar)
2.6 Betalnings- och fakturauppgifter
- Stripe Customer ID, Subscription ID, Payment Intent ID
- Belopp, valuta (SEK), moms, faktureringsperiod
- Fakturanummer, fakturadatum
- PDF-fakturor (lagrade som binärdata i databas)
- OBS: Kreditkortsnummer och betalningsuppgifter lagras ALDRIG hos oss – dessa hanteras helt av Stripe enligt PCI DSS-standarder
2.7 Användarbeteendeanalys och spårning
- CV-versionshistorik: Vi sparar snapshot (ögonblicksbilder) av ditt CV vid tidpunkten för favorisering eller ansökan, inklusive filnamn, uppladdningsdatum, filstorlek och textlängd. Detta gör att vi kan analysera vilken CV-version som var mest effektiv, även efter att du uppdaterat eller raderat ditt CV.
- Sökhistorik: Alla jobbsökningar sparas med sök-ID (UUID), sökläge (CV/semantisk/nyckelord), sökfråga, filter (plats, senioritetsnivå, jobbtyp), tidsstämpel och en snapshot av din profil vid söktillfället.
- Användarengagemang: Vi spårar när du favoriserar, avfavoriserar eller ansöker om jobb, inklusive vilket jobb-ID, vilken söksession som ledde till åtgärden, och tidsstämpel. Detta länkar ditt beteende till specifika sökningar.
- Konverteringsanalys: Vi använder denna data för att beräkna konverteringsfrekvenser (sökningar → favoriter → ansökningar) och analysera CV-effektivitet (vilka CV-versioner som leder till intervjuer/anställningar).
2.8 AI-Chattbot (Beta)
- Konversationshistorik: Alla chattkonversationer med vår AI-assistent sparas, inklusive användarmeddelanden, AI-svar, tidsstämplar och konversations-ID.
- Sökfrågor från chatt: När AI-chattboten genererar jobbsökningar sparas den konstruerade sökfrågan (semantisk query, platsfilter, senioritetsnivå, arbetstid) kopplad till konversationen.
- Användningsstatistik: Vi spårar antal meddelanden du skickat per månad, gränser baserade på din prenumerationsnivå, och när din användning återställs.
- Förbättringsändamål: Vi kan använda konversationshistorik för att förbättra AI-chattbotens kvalitet, träna modeller och optimera sökresultat. All analys görs internt och delar inte personuppgifter med externa AI-leverantörer för träningsändamål.
2.9 Tekniska och analysdata
- Cookies och lokal lagring: Autentiseringstoken, sessionscookies, cookie-samtycke preferenser (localStorage)
- Google Analytics 4: Sidvisningar, användarinteraktioner, anonymiserad IP, enhetstyp, webbläsare, geografisk plats (land/stad)
- Google AdSense: Annonscookies (__gads, __gpi, DSID, IDE), annonsvisningar, annonsinteraktioner, anonymiserad användaridentifiering för annonsrelevans
- Serverloggar: IP-adresser (tillfälligt), förfrågnings-URL:er, användaragent, tidsstämplar
- Felsökningsdata: Felloggar, prestandamätningar
3. Varför behandlar vi dina personuppgifter? (Ändamål och rättslig grund)
| Ändamål | Rättslig grund (GDPR Art. 6) |
|---|---|
| Kontohantering, autentisering | Fullgörande av avtal (Art. 6.1.b) |
| Jobbmatchning och rekommendationer | Fullgörande av avtal (Art. 6.1.b) |
| AI-bearbetning av CV/brev (embeddings, generering) | Samtycke (Art. 6.1.a) – genom att ladda upp dokument samtycker du |
| Betalningshantering, fakturering | Fullgörande av avtal (Art. 6.1.b) + Rättslig förpliktelse (bokföring, Art. 6.1.c) |
| AI-chattbot konversationer och sökfrågor | Fullgörande av avtal (Art. 6.1.b) + Berättigat intresse (Art. 6.1.f) – förbättra AI-kvalitet och sökresultat |
| Kommunikation via chat | Fullgörande av avtal (Art. 6.1.b) |
| Användarbeteendeanalys (CV-snapshots, sökhistorik, engagemang) | Berättigat intresse (Art. 6.1.f) – förbättra matchning, analysera konverteringsfrekvenser, optimera tjänsten |
| Prestationssystem (totalt antal ansökningar, upplåsta milstolpar) | Fullgörande av avtal (Art. 6.1.b) – gamifierad användarupplevelse, motivationsfunktion |
| Google Analytics, webbanalys | Berättigat intresse (Art. 6.1.f) – förbättra tjänsten + Samtycke för cookies |
| Google AdSense, annonsvisning | Samtycke (Art. 6.1.a) – via Google-certifierad CMP |
| Säkerhet, missbruksförebyggande | Berättigat intresse (Art. 6.1.f) |
| Rättsliga krav, skatteförpliktelser | Rättslig förpliktelse (Art. 6.1.c) |
4. AI-bearbetning och automatiserat beslutsfattande
4.1 OpenAI API-användning
Vi använder OpenAI API för följande AI-funktioner:
- Textembeddings: Ditt CV och personliga brev konverteras till vektorer för semantisk matchning mot jobbannonser. Råtext skickas till OpenAI API, embeddings returneras och lagras permanent i vår databas.
- Personligt brev-generering (GPT-4o): När du använder "Generera personligt brev"-funktionen skickas ditt CV, befintligt personligt brev (om tillgängligt) och jobbannonsens text till OpenAI GPT-4o för att skapa ett skräddarsytt brev. Genererat innehåll kan innehålla fel – du är ansvarig att granska och redigera.
- Semantisk jobbsökning: Dina dokumentembeddings jämförs med jobbannonsers embeddings för att beräkna matchningspoäng (cosine similarity).
4.2 Automatiserat beslutsfattande och profilering
Vi använder automatiserad profilering för att:
- Rangordna och rekommendera jobbannonser baserat på AI-matchningspoäng
- Visa arbetsgivare AI-genererade matchningspoäng för kandidater (reverse CV search)
Viktigt: AI-matchningspoäng används endast som vägledande rekommendationer. Inga automatiserade beslut som har rättsliga eller betydande effekter fattas enbart baserat på AI. Alla anställningsbeslut fattas av arbetsgivare med mänsklig bedömning. Du har rätt att begära mänsklig granskning av AI-genererade matchningar (kontakta oss).
5. Delning av personuppgifter med tredje part
5.1 Personuppgiftsbiträden (Data Processors)
Vi delar dina personuppgifter med följande betrodda leverantörer som behandlar data på våra vägnar:
| Tjänst | Leverantör | Land | Ändamål | Skyddsåtgärder |
|---|---|---|---|---|
| Databas & Auth | Supabase Inc. | USA | PostgreSQL-databas, autentisering, fillagring | EU-US DPF, SCC |
| AI-bearbetning | OpenAI L.L.C. | USA | Text embeddings, GPT-4o generering | SCC, GDPR-kompatibla DPA |
| Betalningar | Stripe Inc. | USA | Prenumerationer, betalningshantering, fakturering | EU-US DPF, PCI DSS, SCC |
| Analys | Google LLC (Analytics 4) | USA | Webbanalys, användarstatistik | EU-US DPF, IP-anonymisering, Consent Mode v2 |
| Annonsering | Google LLC (AdSense) | USA | Annonsvisning, personaliserade annonser, annonseffektivitet | EU-US DPF, SCC, Google-certifierad CMP med samtycke |
EU-US Data Privacy Framework (DPF): Stripe, Google och Supabase är certifierade under EU-US Data Privacy Framework, vilket säkerställer adekvat skyddsnivå för överföringar till USA.
Standard Contractual Clauses (SCC): Vi har ingått EU:s standardavtalsklausuler med alla leverantörer för ytterligare skydd vid internationella överföringar.
5.2 Delning med arbetsgivare
När du ansöker om ett jobb delar vi följande med arbetsgivaren:
- Ditt namn, e-postadress
- Uppladdade CV och personliga brev (inklusive AI-genererade brev)
- Svar på ansökningsfrågor
- AI-genererade matchningspoäng (visas för arbetsgivaren)
Arbetsgivare blir självständiga personuppgiftsansvariga för dessa data och måste behandla dem enligt GDPR. Vi ansvarar inte för arbetsgivares hantering av dina uppgifter efter delning.
6. Hur länge sparar vi dina uppgifter?
| Datakategori | Lagringstid |
|---|---|
| Kontouppgifter, autentisering | Till kontot raderas + 30 dagar |
| CV och personliga brev (filer + råtext) | Till du raderar dem eller kontot avslutas + 30 dagar |
| AI-embeddings | Till dokument raderas + 30 dagar |
| Ansökningshistorik | 3 år från ansökningsdatum (arbetsrättslig praxis) |
| AI-chattbot konversationer | Till kontot raderas + 30 dagar (eller tills användaren manuellt raderar konversation) |
| Chatmeddelanden | Till konversation raderas eller 2 år |
| Fakturor och betalningsdata | 7 år (bokföringslagen) |
| Serverloggar (IP-adresser) | 90 dagar |
| CV-snapshots (versionshistorik) | Till kontot raderas + 30 dagar (bevaras för historisk analys även efter CV-uppdatering) |
| Sökhistorik och användarengagemang | 3 år från händelse (för långsiktig konverteringsanalys och ML-träning) |
| Prestationsdata (upplåsta milstolpar, totalt antal ansökningar) | Till kontot raderas + 30 dagar |
| Google Analytics-data | 14 månader (GA4-standard) |
7. Säkerhetsåtgärder
- Kryptering: HTTPS/TLS för all datatrafik, hashade lösenord (bcrypt via Supabase Auth)
- Row Level Security (RLS): Databasåtkomst begränsad till användarens egna data via PostgreSQL RLS-policyer
- Signed URLs: Privata dokument (CV/brev) åtkomst via tidsbegränsade signerade URL:er (1 timme)
- Åtkomstkontroll: Autentisering via JWT-tokens, strikt behörighetskontroll
- Rate limiting: Skydd mot brute force-attacker (4 lösenordsåterställningsmail/timme)
- Regelbundna säkerhetsgranskningar: Kontinuerlig övervakning av sårbarheter
8. Cookies och spårningsteknologi
Vi använder cookies och liknande teknologier. För fullständig information, se vår Cookie-policy.
Sammanfattning:
- Nödvändiga cookies: Autentisering (Supabase), sessionhantering – alltid aktiverade
- Analyticookies: Google Analytics 4 – kräver ditt samtycke
- LocalStorage: Cookie-samtyckeinställningar, användarpreferenser
Du kan hantera cookie-inställningar via vår cookie-banner eller webbläsarinställningar.
9. Barn och ålderskrav
Hirena är endast avsedd för personer som är minst 18 år gamla. Vi samlar inte medvetet in personuppgifter från personer under 18 år.
Om vi upptäcker att vi oavsiktligt har samlat in data från en minderårig kommer vi omedelbart radera sådan information. Kontakta oss om du tror att vi har information om en minderårig.
10. Dina rättigheter enligt GDPR
Du har följande rättigheter enligt dataskyddsförordningen (GDPR). För detaljerade instruktioner, se vår GDPR-sida.
- Rätt till tillgång (Art. 15): Begär kopia av alla personuppgifter vi har om dig
- Rätt till rättelse (Art. 16): Korrigera felaktiga eller ofullständiga uppgifter
- Rätt till radering - "Rätten att bli glömd" (Art. 17): Radera ditt konto och alla associerade data (undantag: bokföringsskyldighet för fakturor)
- Rätt till begränsning (Art. 18): Begränsa behandling under tvist
- Rätt till dataportabilitet (Art. 20): Få dina data i maskinläsbart format (JSON)
- Rätt att göra invändningar (Art. 21): Invända mot behandling baserad på berättigat intresse (t.ex. marknadsföring, profilering)
- Rätt att inte bli föremål för automatiserat beslutsfattande (Art. 22): Begär mänsklig granskning av AI-matchningar
Hur utövar du dina rättigheter?
Kontakta oss på info@dataflowsolutions.se med ämnesraden "GDPR-begäran". Vi svarar inom 1 månad (kan förlängas till 3 månader för komplexa begäran).
Rätt att lämna klagomål:
Om du är missnöjd med vår hantering av dina personuppgifter har du rätt att lämna klagomål till:
Integritetsskyddsmyndigheten (IMY)
Box 8114, 104 20 Stockholm
Telefon: 08-657 61 00
E-post: imy@imy.se
Webb: www.imy.se
11. Dataintrång och säkerhetsincidenter
Vid en personuppgiftsincident (dataintrång) följer vi GDPR:s krav:
- Anmälan till IMY: Inom 72 timmar från upptäckt (Art. 33)
- Underrättelse till dig: Omedelbart om incidenten innebär hög risk för dina rättigheter och friheter (Art. 34)
Vi har beredskapsplaner och loggning för att snabbt upptäcka och hantera säkerhetsincidenter.
12. Ändringar av integritetspolicyn
Vi kan uppdatera denna policy vid behov. Vid väsentliga ändringar meddelar vi dig via e-post eller framträdande notis på Plattformen minst 30 dagar före ändringen träder i kraft.
Senaste uppdatering anges överst på denna sida. Fortsatt användning efter ändringar utgör ditt godkännande.
13. Kontakta oss
För frågor om denna integritetspolicy eller vår behandling av personuppgifter:
Denna integritetspolicy är utformad för att uppfylla kraven i dataskyddsförordningen (GDPR) och svensk lag.