Juridik

Integritetspolicy

Senast uppdaterad: 2026-07-05

1. Inledning

Candidata är en SaaS-plattform som hjälper arbetsgivare att screena jobbansökningar med hjälp av AI. Denna policy beskriver hur vi behandlar personuppgifter i tjänsten, i enlighet med dataskyddsförordningen (GDPR).

2. Personuppgiftsansvarig och personuppgiftsbiträde

Den arbetsgivare (kund) som laddar upp ansökningar är personuppgiftsansvarig för kandidaternas personuppgifter.

Candidata AB (org.nr 559251-6313) agerar som personuppgiftsbiträde och behandlar uppgifterna för kundens räkning enligt personuppgiftsbiträdesavtal (DPA) som ingås mellan parterna.

Kunder som vill teckna ett personuppgiftsbiträdesavtal kontaktar oss på dataskydd@getcandidata.com så skickar vi vår aktuella DPA-mall för underskrift.

3. Vilka uppgifter vi behandlar

  • Kontouppgifter för arbetsgivare: namn, e-post, företag, roll, lösenord (hashat).
  • Uppladdade ansökningar: CV, personligt brev, kontaktuppgifter och annat innehåll som kandidaten själv tillhandahållit. Kan innehålla särskilda kategorier av personuppgifter om kandidaten själv inkluderar dem.
  • AI-genererad matchningsdata: matchningspoäng, rangordning och AI-genererad motivering kopplad till varje ansökan.
  • Teknisk loggdata: IP-adress, tidsstämplar, åtgärder i tjänsten — för säkerhet och felsökning.

4. Rättslig grund

För kontoinnehavare behandlar vi uppgifter med stöd av avtal (art. 6.1.b GDPR).

Behandling av kandidaternas uppgifter sker på arbetsgivarens uppdrag. Arbetsgivaren ansvarar för att det finns en giltig rättslig grund — typiskt sett berättigat intresse (art. 6.1.f) eller samtycke (art. 6.1.a) — samt för att informera kandidaten om behandlingen.

5. Lagring och plats

All data lagras inom EU/EES hos Supabase med region Stockholm, Sverige. Inga personuppgifter överförs till tredje land utan adekvat skyddsnivå.

6. Lagringstid

  • Kandidatdata raderas 12 månader efter att rollen stängts, eller tidigare på arbetsgivarens begäran.
  • Kontodata sparas så länge avtalet löper och därefter 24 månader för bokföringsändamål.
  • Loggdata sparas i högst 12 månader.

7. Underbiträden

Vi anlitar följande underbiträden:

  • Supabase — databas, fillagring och autentisering. Region: Stockholm, EU.
  • OpenAI — AI-bearbetning av ansökningstexter. Dataretention är avstängd för API-anrop; data används ej för modellträning.
  • Stripe — betalningshantering (kortuppgifter och faktureringsinformation). Stripe är PCI-DSS-certifierad och behandlar betalningsdata under sina egna certifieringar och dataskyddsvillkor.
  • Inngest — bakgrundsjobb för AI-screening. Hanterar processtatus och roll-id, inte kandidaternas filinnehåll direkt.

En aktuell lista över underbiträden hålls tillgänglig på begäran. Vi meddelar kunder innan nya underbiträden tas i bruk.

8. Den registrerades rättigheter

Kandidater och kontoinnehavare har rätt att:

  • få tillgång till sina uppgifter,
  • begära rättelse eller radering,
  • begära begränsning av behandlingen,
  • invända mot behandling,
  • få ut sina uppgifter i ett strukturerat format (dataportabilitet).

Förfrågningar från kandidater riktas i första hand till arbetsgivaren (personuppgiftsansvarig). Candidata bistår arbetsgivaren med att verkställa dessa rättigheter.

9. Automatiserat beslutsfattande

Tjänsten genererar automatiskt matchningspoäng och rangordning av kandidater med hjälp av AI. Detta utgör beslutsstöd för arbetsgivaren, som alltid fattar det slutgiltiga anställningsbeslutet manuellt — ingen kandidat blir föremål för ett beslut som enbart baseras på automatiserad behandling. Kandidater som vill ha information om logiken bakom poängsättningen, eller som vill invända mot den, kan vända sig till den arbetsgivare som ansvarar för rekryteringen.

10. Säkerhet

Vi tillämpar branschstandardiserade tekniska och organisatoriska åtgärder, inklusive kryptering i vila och under transport, radnivå-säkerhet (RLS) i databasen, åtkomstkontroll med roller samt loggning av administrativa åtgärder.

11. Kontakt i dataskyddsfrågor

Frågor om denna policy eller om behandlingen av dina personuppgifter: dataskydd@getcandidata.com

12. Klagomål

Du har rätt att lämna in klagomål till tillsynsmyndigheten: Integritetsskyddsmyndigheten (IMY), imy.se.

13. Ändringar

Vi kan komma att uppdatera denna policy. Större ändringar kommuniceras till kontoinnehavare via e-post minst 30 dagar i förväg.