1. Personuppgiftsansvarig & dataskyddsombud

Personuppgiftsansvarig: Qling.ai AB, Alstaviksvägen 7, 117 33 Stockholm, Sweden
EU-företrädare: Qling.ai AB, Alstaviksvägen 7, 117 33 Stockholm, Sweden
Kontakt – dataskyddsombud: info@qling.ai

2. Ändamål & rättslig grund

• Automatiserad jobbsökning & ansökningar: Fullgörande av avtal.
• Upptäckt av intervjustatus via AI-kategorisering av e-post: Ditt uttryckliga samtycke (opt-in).
• Identitets-/e-postverifiering: Berättigade intressen (bedrägeriförebyggande) & fullgörande av avtal.
• Tjänsteförbättring, analys & support: Berättigade intressen (tjänstekvalitet).
• Marknadskommunikation: Ditt samtycke (kan återkallas när som helst).

3. Kategorier av insamlade personuppgifter

• Konto & profil: Namn, e-post, telefon, organisation, CV, arbetslivserfarenhet, utbildning, LinkedIn-URL.
• Verifieringsdata: Engångskoder, tidsstämplar.
• Metadata för e-postintegration: Avsändare, mottagare, tidsstämpel, ämnesrad (ingen brödtext eller bilagor).
• AI-klassificeringsloggar: Icke-identifierande flaggor (t.ex. ”InterviewInvite”: true/false) och tidsstämpel.
• Användning & beteende: IP-adress, enhetsinformation, webbläsardata, klick, sidvisningar, funktionsloggar.
• Supportkommunikation: Chattloggar, supportärenden, feedback.
• Cookies & spårning: Nödvändiga, preferenser, analys med anonymiserad IP.

4. Mottagare & underbiträden

• Google & Microsoft (endast OAuth & metadatahämtning).
• AWS/GCP (krypterad lagring & beräkning).
• Mixpanel, Sentry (pseudonymiserad analys & felspårning).
• Myndigheter (när lag kräver det).

Vi publicerar en uppdaterad lista över underbiträden och deras GDPR-kompatibla personuppgiftsbiträdesavtal på vår webbplats.

5. Dataminimering & lagringstid

Vi samlar endast in nödvändiga uppgifter för varje ändamål. Lagringstiden baseras på följande kriterier:

• Konto- & profiluppgifter: Tills kontot raderas + 2 år (för efterlevnad).
• E-postmetadata & AI-etiketter: Upp till 24 månader eller tills du återkallar samtycke.
• Verifieringsregister: 6 månader efter verifiering.
• Loggar & analys: Aggregerade data 36 månader; råloggar 12 månader.

6. Överföringar utanför EU

Data kan behandlas i EU, Storbritannien och USA enligt standardavtalsklausuler, EU–US Data Privacy Framework eller adekvansbeslut.

7. Teknisk & organisatorisk säkerhet

• Kryptering vid överföring (TLS ≥1.2) och i vila (AES-256).
• Rollbaserad åtkomstkontroll; kvartalsvisa åtkomstgranskningar.
• Månatliga sårbarhetsskanningar; årliga penetrationstester av tredje part.
• Incidenthanteringsplan med 72-timmars underrättelse till myndigheter vid personuppgiftsincident.

8. Integritet genom design & som standard

Vi integrerar dataskydd i hela produktutvecklingen: dataminimering, pseudonymisering, säkra standardinställningar och kontinuerlig granskning.

9. Konsekvensbedömningar för dataskydd (DPIA)

För behandling med hög risk (t.ex. AI-profilering av e-postmetadata) genomför vi DPIA enligt artikel 35 i GDPR och dokumenterar risker, åtgärder och resultat.

10. Register över behandlingsaktiviteter

Vi upprätthåller ett artikel-30-register över alla behandlingar, tillgängligt för tillsynsmyndigheter på begäran.

11. Automatiserat beslutsfattande & AI-filtrering

Med ditt uttryckliga samtycke analyserar vår maskininlärningsmodell endast metadata från e-post (avsändare, mottagare, ämnesrad, tidsstämpel) i din anslutna inkorg och klassificerar varje meddelande som en av följande:

• Intervjuinbjudan
• Test-/bedömningsförfrågan
• Avslag på ansökan
• Annat meddelande

Dessa etiketter används endast för statusar och aviseringar i din instrumentpanel. Vi har inte tillgång till e-postens innehåll eller bilagor. Du har rätt att när som helst begära manuell granskning av en automatisk klassificering och korrigera eller bestrida den genom att kontakta vårt supportteam.

12. Användning av data från Google API:er

När du ansluter ditt Google-konto hämtar vi endast nödvändig metadata — avsändare, mottagare, tidsstämpel och ämnesrad — via Google Workspace- och/eller Gmail-API:er för att möjliggöra vår AI-baserade e-postklassificering. Vi använder eller sparar inte Google-data för träning eller utvärdering av AI/ML-modeller utanför din personliga kontomiljö, och vi delar den inte med tredje part förutom våra listade underbiträden enligt GDPR. All behandling av Google-data sker enbart för att tillhandahålla och förbättra tjänsterna enligt avsnitt 11.

13. Rutiner vid personuppgiftsincident

• Vi har en incidenthanteringsplan med intern eskalering och forensisk utredning.
• Underrätta relevant tillsynsmyndighet inom 72 timmar efter kännedom.
• Informera berörda registrerade utan onödigt dröjsmål om det finns hög risk för deras rättigheter.

14. Cookies & spårningstekniker

Vi använder cookies, lokal lagring och liknande tekniker. För fullständig cookiedeklaration – kategorier, ändamål, varaktighet och instruktioner för hur du väljer bort – se vår cookiepolicy.

15. Registrerades rättigheter

• Rätt till tillgång & rättelse: Visa/redigera via instrumentpanelen eller kontakta supporten.
• Radering (”rätten att bli glömd”): Begär radering; genomförs inom 90 dagar.
• Begränsning: Tillfälligt begränsa behandlingen.
• Dataportabilitet: Exportera data i maskinläsbart format.
• Återkalla samtycke: Återkalla när som helst för e-postintegration eller marknadsföring.
• Invända mot behandling: Särskilt vid direktmarknadsföring och berättigade intressen.
• Lämna in klagomål: Till din tillsynsmyndighet (se nedan).

16. Samtycke & dokumentation

Vi loggar allt samtycke (t.ex. e-postintegration, marknadsföring) med tidsstämplar och versionshantering för att kunna visa vem som samtyckt till vad och när.

17. Behandling av barns personuppgifter

Våra tjänster är inte avsedda för personer under 16 år. Vi verifierar ålder genom självdeklaration vid registrering; vårdnadshavares samtycke tillämpas där det krävs enligt lokal lag. Upptäckt data om minderåriga raderas omedelbart.

18. Tillsynsmyndigheter

Du kan lämna in ett klagomål till din lokala dataskyddsmyndighet:

• Sverige (IMY): imy.se
• Belgien (APD): dataprotectionauthority.be
• Frankrike (CNIL): cnil.fr
• …eller någon annan tillsynsmyndighet inom EU.

19. Ändringar av denna policy

Väsentliga ändringar: meddelas via e-post och i appen ≥30 dagar före ikraftträdande. Icke-väsentliga uppdateringar gäller omedelbart. Se ”Ikraftträdandedatum” och ”Version” ovan.

20. Kontakta oss

Support: info@qling.ai