1. Personuppgiftsansvarig & dataskyddsombud

Personuppgiftsansvarig: Qling.ai AB, Kistagårdsväg 20, 164 55 Stockholm, Sweden
EU-företrädare: Qling.ai AB, Kistagårdsväg 20, 164 55 Stockholm, Sweden
Kontakt – dataskyddsombud: info@qling.ai

2. Ändamål & rättslig grund

• Automatiserad jobbsökning & ansökningar: Fullgörande av avtal.
• Upptäckt av intervjustatus via AI-kategorisering av e-post: Ditt uttryckliga samtycke (opt-in).
• Identitets-/e-postverifiering: Berättigade intressen (bedrägeriförebyggande) & fullgörande av avtal.
• Tjänsteförbättring, analys & support: Berättigade intressen (tjänstekvalitet).
• Marknadskommunikation: Ditt samtycke (återkallas när som helst).

3. Kategorier av insamlade personuppgifter

• Konto & profil: Namn, e-post, telefon, organisation, CV, arbetslivserfarenhet, utbildning, LinkedIn-URL.
• Verifieringsdata: Engångskoder, tidsstämplar.
• Metadata för e-postintegration: Avsändare, mottagare, tidsstämpel, ämnesrad (ingen brödtext eller bilagor).
• AI-klassificeringsloggar: Icke-identifierande flaggor (t.ex. 'InterviewInvite': true/false) och tidsstämpel.
• Användning & beteende: IP-adress, enhetsinformation, webbläsardata, klick, sidvisningar, funktionsloggar.
• Supportkommunikation: Chattloggar, supportärenden, feedback.
• Cookies & spårning: Nödvändiga, preferenser, analys med anonymiserad IP.

4. Mottagare & underbiträden

• Google & Microsoft (endast OAuth & metadatahämtning).
• AWS/GCP (krypterad lagring & bearbetning).
• Mixpanel, Sentry (pseudonymiserad analys & felspårning).
• Myndigheter (när lag kräver det).

Vi publicerar en uppdaterad lista över underbiträden och deras GDPR-kompatibla personuppgiftsbiträdesavtal på vår webbplats.

5. Dataminimering & lagringstid

Vi samlar endast in nödvändiga data för varje ändamål. Lagringstiden baseras på följande kriterier:

• Konto- & profiluppgifter: Tills kontot raderas + 2 år (för efterlevnad).
• E-postmetadata & AI-etiketter: Upp till 24 månader eller tills du återkallar samtycke.
• Verifieringsregister: 6 månader efter verifiering.
• Loggar & analys: Aggregerade data 36 månader; råloggar 12 månader.

6. Överföringar utanför EU

Data kan behandlas i EU, Storbritannien och USA enligt standardavtalsklausuler, EU–US Data Privacy Framework eller adekvansbeslut.

7. Teknisk & organisatorisk säkerhet

• Kryptering vid överföring (TLS ≥1.2) och i vila (AES-256).
• Rollbaserad åtkomstkontroll; kvartalsvisa åtkomstgranskningar.
• Månatliga sårbarhetsskanningar; årliga penetrationstester av tredje part.
• Incidenthanteringsplan med 72-timmars underrättelse till myndigheter vid intrång.

8. Integritet genom design & som standard

Vi integrerar dataskyddsåtgärder i hela produktutvecklingen: dataminimering, pseudonymisering, säkra standardinställningar och kontinuerlig granskning.

9. Konsekvensbedömningar för dataskydd (DPIA)

För hög riskbearbetning (t.ex. AI-profilering av e-postmetadata) genomför vi DPIA enligt artikel 35 i GDPR, där risker, åtgärder och resultat dokumenteras.

10. Register över behandlingsaktiviteter

Vi upprätthåller ett artikel-30-register över alla behandlingsaktiviteter, tillgängligt för tillsynsmyndigheter på begäran.

11. Automatiserat beslutsfattande & AI-filtrering

With your explicit opt-in, our machine-learning model analyzes only email metadata (sender, recipient, subject line, timestamp) for messages in your connected inbox and classifies each as one of:

• Intervju Inbjudan
• Funktionsönskemål
• Rejection Notice
• Other Inquiry

These labels power your dashboard statuses and notifications only. We do not access email bodies or attachments. You have the right at any time to request a human review of any automated classification and to correct or challenge it by contacting our support team.

12. Use of Data from Google APIs

When you connect your Google account, we access only the minimal metadata needed—sender, recipient, timestamp, and subject line—via Google Workspace and/or Gmail APIs to power our job-tracker email classification feature. We do not use or retain Google-sourced data for any AI/ML model training or evaluation beyond your personal account context, nor do we share it with third parties except our listed subprocessors under GDPR-compliant agreements. All Google API data processing is performed solely to provide and improve the Services as described in Section 11.

13. Data Breach Notification Procedures

• Vi har en incidenthanteringsplan med intern eskalering och forensisk utredning.
• Underrätta relevant tillsynsmyndighet inom 72 timmar efter upptäckt.
• Informera berörda registrerade utan onödigt dröjsmål om det finns hög risk för deras rättigheter.

14. Cookies & spårningstekniker

Vi använder cookies, lokal lagring och liknande tekniker. För fullständig cookie-deklaration – kategorier, ändamål, varaktighet och instruktioner för att välja bort – se vår Cookie-policy.

15. Registrerades rättigheter

• Rätt till tillgång & rättelse: Visa/redigera via instrumentpanelen eller supporten.
• Radering (“rätten att bli glömd”): Begär radering; genomförs inom 90 dagar.
• Begränsning: Tillfälligt begränsa behandlingen.
• Portabilitet: Exportera data i maskinläsbart format.
• Återkalla samtycke: Återkalla när som helst för e-postintegration eller marknadsföring.
• Invända mot behandling: Särskilt för direktmarknadsföring och berättigade intressen.
• Lämna in klagomål: Till din tillsynsmyndighet (se nedan).

16. Samtycke & dokumentation

Vi loggar allt samtycke (t.ex. e-postintegration, marknadsföring) med tidsstämplar och versionshantering så att vi kan visa vem som samtyckt och när.

17. Behandling av barns personuppgifter

Våra tjänster är inte till för personer under 16 år. Vi verifierar ålder genom självdeklaration vid registrering; föräldrasamtycke tillämpas där det krävs enligt lokal lag. All data som upptäcks från minderåriga raderas omedelbart.

18. Tillsynsmyndigheter

Du kan lämna in ett klagomål till din lokala dataskyddsmyndighet:

• Sverige (IMY): imy.se
• Belgien (APD): dataprotectionauthority.be
• Frankrike (CNIL): cnil.fr
• …eller någon annan tillsynsmyndighet inom EU.

19. Ändringar av denna policy

Väsentliga ändringar: meddelas via e-post och i appen ≥30 dagar före ikraftträdandedatum. Icke-väsentliga uppdateringar träder i kraft omedelbart. Se “Ikraftträdandedatum” och “Version” ovan.

20. Kontakta oss

Support: info@qling.ai