Juridik
Integritetspolicy
Senast uppdaterad: 2026-07-05
1. Inledning
Candidata är en SaaS-plattform som hjälper arbetsgivare att screena jobbansökningar med hjälp av AI. Denna policy beskriver hur vi behandlar personuppgifter i tjänsten, i enlighet med dataskyddsförordningen (GDPR).
2. Personuppgiftsansvarig och personuppgiftsbiträde
Den arbetsgivare (kund) som laddar upp ansökningar är personuppgiftsansvarig för kandidaternas personuppgifter.
Candidata AB (org.nr 559251-6313) agerar som personuppgiftsbiträde och behandlar uppgifterna för kundens räkning enligt personuppgiftsbiträdesavtal (DPA) som ingås mellan parterna.
Kunder som vill teckna ett personuppgiftsbiträdesavtal kontaktar oss på dataskydd@getcandidata.com så skickar vi vår aktuella DPA-mall för underskrift.
3. Vilka uppgifter vi behandlar
- Kontouppgifter för arbetsgivare: namn, e-post, företag, roll, lösenord (hashat).
- Uppladdade ansökningar: CV, personligt brev, kontaktuppgifter och annat innehåll som kandidaten själv tillhandahållit. Kan innehålla särskilda kategorier av personuppgifter om kandidaten själv inkluderar dem.
- AI-genererad matchningsdata: matchningspoäng, rangordning och AI-genererad motivering kopplad till varje ansökan.
- Teknisk loggdata: IP-adress, tidsstämplar, åtgärder i tjänsten — för säkerhet och felsökning.
4. Rättslig grund
För kontoinnehavare behandlar vi uppgifter med stöd av avtal (art. 6.1.b GDPR).
Behandling av kandidaternas uppgifter sker på arbetsgivarens uppdrag. Arbetsgivaren ansvarar för att det finns en giltig rättslig grund — typiskt sett berättigat intresse (art. 6.1.f) eller samtycke (art. 6.1.a) — samt för att informera kandidaten om behandlingen.
5. Lagring och plats
All data lagras inom EU/EES hos Supabase med region Stockholm, Sverige. Inga personuppgifter överförs till tredje land utan adekvat skyddsnivå.
6. Lagringstid
- Kandidatdata raderas 12 månader efter att rollen stängts, eller tidigare på arbetsgivarens begäran.
- Kontodata sparas så länge avtalet löper och därefter 24 månader för bokföringsändamål.
- Loggdata sparas i högst 12 månader.
7. Underbiträden
Vi anlitar följande underbiträden:
- Supabase — databas, fillagring och autentisering. Region: Stockholm, EU.
- OpenAI — AI-bearbetning av ansökningstexter. Dataretention är avstängd för API-anrop; data används ej för modellträning.
- Stripe — betalningshantering (kortuppgifter och faktureringsinformation). Stripe är PCI-DSS-certifierad och behandlar betalningsdata under sina egna certifieringar och dataskyddsvillkor.
- Inngest — bakgrundsjobb för AI-screening. Hanterar processtatus och roll-id, inte kandidaternas filinnehåll direkt.
En aktuell lista över underbiträden hålls tillgänglig på begäran. Vi meddelar kunder innan nya underbiträden tas i bruk.
8. Den registrerades rättigheter
Kandidater och kontoinnehavare har rätt att:
- få tillgång till sina uppgifter,
- begära rättelse eller radering,
- begära begränsning av behandlingen,
- invända mot behandling,
- få ut sina uppgifter i ett strukturerat format (dataportabilitet).
Förfrågningar från kandidater riktas i första hand till arbetsgivaren (personuppgiftsansvarig). Candidata bistår arbetsgivaren med att verkställa dessa rättigheter.
9. Automatiserat beslutsfattande
Tjänsten genererar automatiskt matchningspoäng och rangordning av kandidater med hjälp av AI. Detta utgör beslutsstöd för arbetsgivaren, som alltid fattar det slutgiltiga anställningsbeslutet manuellt — ingen kandidat blir föremål för ett beslut som enbart baseras på automatiserad behandling. Kandidater som vill ha information om logiken bakom poängsättningen, eller som vill invända mot den, kan vända sig till den arbetsgivare som ansvarar för rekryteringen.
10. Säkerhet
Vi tillämpar branschstandardiserade tekniska och organisatoriska åtgärder, inklusive kryptering i vila och under transport, radnivå-säkerhet (RLS) i databasen, åtkomstkontroll med roller samt loggning av administrativa åtgärder.
11. Kontakt i dataskyddsfrågor
Frågor om denna policy eller om behandlingen av dina personuppgifter: dataskydd@getcandidata.com
12. Klagomål
Du har rätt att lämna in klagomål till tillsynsmyndigheten: Integritetsskyddsmyndigheten (IMY), imy.se.
13. Ändringar
Vi kan komma att uppdatera denna policy. Större ändringar kommuniceras till kontoinnehavare via e-post minst 30 dagar i förväg.