Integritetspolicy
Senast uppdaterad: 2026-04-29
Den här policyn beskriver hur Vikkla("vi", "tjänsten") behandlar dina personuppgifter när du använder tjänsten. Personuppgiftsansvarig är Prouder AB.
1. Vilka uppgifter vi samlar in
- Kontouppgifter: e-postadress (för inloggning via magic link).
- Profiluppgifter: namn, yrkestitel, erfarenhet, kompetenser — enbart det du själv skriver in.
- Sparade jobb och ansökningar: länkar, titlar, arbetsgivare, deadlines, dina anteckningar och status i kanban-boardet.
- Genererade dokument: CV- och brevutkast som AI:n skapar åt dig. Dessa lagras kopplade till ditt konto.
- LinkedIn-import (valfritt): Om du väljer att importera din LinkedIn-profil hämtas uppgifter (namn, sammanfattning, erfarenhet, kompetenser, utbildning, certifieringar, språk, sparade jobb, jobbansökningar, sökpreferenser) via LinkedIns officiella Member Data Portability API (EU:s DMA-reglerade dataportabilitet). Importerade uppgifter behandlas på samma sätt som manuellt inmatad data. Vi lagrar aldrig din LinkedIn-inloggning eller access token — token används för engångsimporten och kastas direkt efteråt.
- AF-rapportdata (valfritt, enbart svenska användare): Om du använder AF-rapportfunktionen lagrar vi uppgifter om dina aktiviteter (datum, typ, beskrivning) — men inte ditt personnummer. När du exporterar rapporten klistrar du själv in personnumret i AF:s formulär. Vi tar aldrig emot eller lagrar personnummer.
- Betaluppgifter: hanteras av Stripe. Vi lagrar aldrig kortnummer — bara ett Stripe-customer-id.
- Pipeline-händelser (card_events):När du flyttar ett sparat jobb mellan kolumner (t.ex. från "Sparad" till "Sökt"), loggar vi händelsen med tidpunkt, kolumnövergång och eventuell svarsmarkering. Dessa händelser pseudonymiseras med en peppered hash (se §9) och används för att ge dig personliga insikter samt, om du samtycker, för anonymiserad aggregering (se §2).
- Tips-interaktioner (profile_tip_events): Om tjänsten visar coachingtips loggar vi om du visade, agerade på eller avfärdade tipset — för att förbättra relevansen av framtida tips.
- Matchningsögonblicksbilder (match_snapshots): Vid vissa händelser (t.ex. när du sparar ett jobb eller loggar en ansökan) sparar vi en ögonblicksbild av din matchningspoäng mot jobbet. Detta gör att vi kan visa hur din profil utvecklas över tid.
- Tekniska loggar: anonymiserad felrapportering för drift och säkerhet. Inga spårningscookies.
2. Ändamål och rättslig grund
Vi behandlar uppgifterna för att:
- Leverera tjänsten enligt avtal med dig (art. 6.1.b GDPR) — konto, sparade jobb, AI-genererade dokument, påminnelser.
- Uppfylla rättsliga skyldigheter som bokföring (art. 6.1.c) — fakturor sparas i 7 år.
- Skicka tjänsterelaterade meddelanden som påminnelser om deadlines och ansökningar utan svar — del av tjänsteavtalet.
- Anonymiserad aggregering och kollektiva insikter — med ditt uttryckliga samtycke (art. 6.1.a) kan vi använda pseudonymiserade pipeline-händelser för att ta fram aggregerade insikter om arbetsmarknaden (t.ex. genomsnittlig tid till svar per bransch). Dina data ingår aldrig i aggregat utan ditt aktiva samtycke, och du kan när som helst återkalla det (se §5). Aggregerade data publiceras aldrig om gruppen understiger en minsta storlek (k-anonymitet).
- Dataprodukter till tredje part — med ditt uttryckliga samtycke (art. 6.1.a) kan anonymiserade och aggregerade insikter delas med tredje part (t.ex. rekryteringsföretag, forskare). Inga individdata lämnar tjänsten — enbart statistiska aggregat med differentiell integritet (differential privacy). Du kan när som helst återkalla detta samtycke separat från ovan.
- Marknadsföring — sker endast med ditt uttryckliga samtycke (art. 6.1.a). Du kan när som helst återkalla samtycket.
Status idag: Datamaskinen Fas 1 samlar in pseudonymiserade pipeline-händelser och samtycke. Aggregerade insikter och dataprodukter produceras ännu inte — k-anonymity-gates (≥10 internt, ≥50 externt) och differential privacy aktiveras när aggregeringen startar. Inga aggregat publiceras eller delas före dess.
3. Var dina data lagras
All data lagras i EU:
- Databas och autentisering: Supabase (Frankfurt, Tyskland).
- Hosting: Vercel (EU-regioner).
- AI-bearbetning: Anthropic (Claude API) enligt deras DPA med EU-standardkontrakt (SCC). Dina dokument skickas aldrig vidare utanför tjänsten.
- Betalning: Stripe (EU-infrastruktur).
- E-post: Resend (transaktionsmejl) med EU-SCC.
Inga personuppgifter överförs till tredje land utan adekvata skyddsåtgärder.
4. Hur länge vi sparar dina data
- Aktiva konton: så länge abonnemanget är aktivt.
- Avslutade konton: 30 dagars grace-period så du kan återaktivera, därefter permanent radering via CASCADE DELETE (alla sparade jobb, CV, brev, AF-data och loggar raderas).
- Pipeline-händelser (card_events): 0–24 månader: fullständig data med pseudonymiserad identifierare (p_hash). 24–36 månader: anonymiserade (användar-id tas bort, p_hash bevaras för longitudinell analys). 36–60 månader: enbart aggregerade ögonblicksbilder. Över 60 månader: raderas permanent. Retentionsperioder kan förkortas men aldrig förlängas.
- Tips-interaktioner och matchningsögonblicksbilder: samma retentionsperioder som pipeline-händelser.
- Bokföringsunderlag (fakturor): 7 år enligt bokföringslagen.
- AF-rapportdata: raderas när kontot avslutas eller när du manuellt tar bort uppgifterna.
Status idag: De fasade retention-stegen för pipeline-händelser (anonymisering vid 24 mån, aggregering vid 36 mån, radering vid 60 mån) aktiveras tekniskt först när Datamaskinen börjar producera aggregat. Tills dess sparas händelserna pseudonymiserade så länge ditt konto är aktivt — och raderas via CASCADE DELETE när kontot avslutas.
5. Samtycke till aggregering och opt-out
Anonymiserad aggregering och dataprodukter kräver ditt aktiva samtycke. Du väljer själv vid registrering eller i Inställningar:
- Kollektiva insikter (intern aggregering): Dina pseudonymiserade pipeline-händelser används för att beräkna aggregerad statistik som visas till andra Vikkla-användare (t.ex. "genomsnittlig svarstid i din bransch"). Grupper med färre än 10 personer visas aldrig.
- Dataprodukter (extern delning): Anonymiserade aggregat kan delas med tredje part. Grupper med färre än 50 personer inkluderas aldrig, och statistisk brusläggning (differential privacy) tillämpas.
Du kan när som helst återkalla endera eller båda samtycken i Inställningar. Återkallelse träder i kraft omedelbart — dina data exkluderas ur framtida aggregeringar. Redan publicerade aggregat (där din data ingick anonymt i en grupp) kan inte återkallas retroaktivt, eftersom individuella bidrag inte kan identifieras i aggregatet.
Alla samtyckesändringar loggas med tidpunkt i en händelselogg (consent_events) som utgör juridisk sanning vid eventuell granskning.
6. Dina rättigheter
Enligt GDPR har du rätt att:
- Tillgång — få en kopia av alla dina data (dataexport via inställningar i appen).
- Rättelse — rätta felaktiga uppgifter. Det mesta kan du göra själv direkt i appen.
- Radering — radera ditt konto. Radering sker med CASCADE så alla sparade jobb, CV, brev, AF-data och loggar försvinner permanent.
- Begränsning — begränsa behandlingen under vissa förutsättningar.
- Invändning — invända mot behandlingen.
- Dataportabilitet — få ut dina data i maskinläsbart format.
- Klagomål — lämna in klagomål till Integritetsskyddsmyndigheten (IMY), imy.se.
Kontakta privacy@vikkla.com för att utöva dina rättigheter. Vi svarar inom 30 dagar.
7. Underbiträden
| Leverantör | Syfte | Plats |
|---|---|---|
| Supabase | Databas, autentisering | EU (Frankfurt) |
| Vercel | Hosting, CDN | EU-regioner |
| Anthropic | AI-bearbetning (Claude) | USA, DPA med EU-SCC |
| Stripe | Betalning | EU |
| Resend | Transaktionsmejl | DPA med EU-SCC |
8. Cookies
Vi använder två kategorier av cookies. Nödvändiga cookies sätts utan samtycke (de behövs för att tjänsten ska fungera). Analyscookiessätts endast om du klickar “Acceptera” i cookie-bannern, och kan när som helst återkallas genom att radera cookien vikkla_consenti din browser.
| Cookie | Kategori | Syfte | TTL |
|---|---|---|---|
sb-* | Nödvändig | Supabase auth-session | Session |
locale | Nödvändig | Språkval (sv/en) | 1 år |
vikkla_consent | Nödvändig | Sparar ditt cookie-val | 1 år |
vikkla_session | Analys | Anonym funnel-mätning (random UUID, ingen PII) | 30 dagar |
vikkla_utm_* | Analys | Marknadsföringsattribution (utm_source, utm_medium, utm_campaign) | 30 dagar |
vikkla_referrer | Analys | Hänvisande domän (för att förstå var trafiken kommer från) | 30 dagar |
vikkla_ref | Analys | Referral-kod (om du kommer via en användares delningslänk) | 30 dagar |
Vi använder inga tredjepartscookies från annonsnätverk, ingen cross-site tracking, ingen profilering. Vår analys är förstaparts och EU-hostad (Supabase).
9. Användning av AI (EU AI Act)
Vikkla använder AI för att hjälpa dig analysera och förbättra din jobbsökning. AI-utdata är förslag, inte beslut — du är alltid den som väljer hur de används.
Vad AI används till:
- ATS-analys av CV-layout och innehåll
- Jobbanalys (krav, fit-bedömning, nyckelord)
- Match-poäng mellan CV och specifik annons
- Genuinitetsanalys (flaggar text som låter generisk)
- Utkast till personliga brev
- Strukturerad extraktion av jobbinfo från URL:er
Leverantör: All AI-bearbetning sker via Anthropic (Claude-modeller) under deras Data Processing Agreement (DPA). Texten skickas till Anthropic för bearbetning men sparas inte hos dem (zero data retention enligt deras enterprise-villkor). Anthropic tränar inte sina modeller på din data.
Klassificering enligt EU AI Act: Vikkla är ett verktyg för dig som jobbsökare, inte för arbetsgivare som screenar kandidater. Vi faller därför inte under Annex III(4)(a) (högrisk-AI för rekrytering). Vi följer transparens-kraven i Article 50: AI-genererat innehåll är tydligt märkt i användargränssnittet, och du har alltid full kontroll över om och hur du använder utdata.
Inget automatiskt beslutsfattande om dig: Vikkla fattar inga juridiskt bindande beslut om dig baserat på AI-utdata (Art. 22 GDPR). Allt är beslutsstöd som du själv granskar och väljer att använda eller förkasta.
10. Säkerhetsåtgärder
- All data krypterad i transit (TLS) och at rest.
- Row-Level Security (RLS) i databasen — din data är isolerad från andra användare.
- Pseudonymisering: Pipeline-händelser märks med en peppered hash (HMAC-SHA-256) som ersätter direkt användaridentifiering i analytiska sammanhang. Hashnyckeln (pepper) lagras separat från databasen och är aldrig tillgänglig för klienten. Så länge hashnyckeln existerar betraktas data som pseudonymiserad (dvs. fortfarande en personuppgift enligt GDPR), inte anonymiserad.
- Regelbundna säkerhetsgransningar.
- Automatisk GDPR-purge via schemalagd process.
- Anonymiseringsprocess: Vid retentionsgränsen (24 månader) tas användar-id bort från pipeline-händelser. Den pseudonymiserade hashen bevaras för longitudinell analys men kan inte kopplas tillbaka till en individ utan tillgång till den separata hashnyckeln. Genuint anonymiserad data uppstår först vid 36-månaderssteget, då individuella rader ersätts av aggregerade ögonblicksbilder som inte kan kopplas till enskilda personer — oavsett tillgång till hashnyckeln.
11. Barn
Tjänsten riktar sig inte till personer under 18 år. Vi samlar inte medvetet in uppgifter från barn.
12. Ändringar
Vi kan uppdatera policyn. Väsentliga ändringar aviseras via e-post minst 14 dagar innan de träder i kraft.
13. Kontakt
Frågor om integritet? Mejla privacy@vikkla.com.