Integritetspolicy

1. Personuppgiftsansvarig

Fidoco AB ("vi", "oss") är personuppgiftsansvarig för behandlingen av dina personuppgifter i samband med tjänsten Fidoco Align. Kontakta oss på privacy@fidoco.se vid frågor.

2. Vilka uppgifter vi samlar in

2a. Individuella användare (B2C)

• Kontouppgifter: E-postadress, krypterat lösenord
• CV-data: Text extraherad från uppladdade CV-filer (PDF, DOCX, TXT)
• Sparade CV:n: CV-text lagras för återanvändning (SHA256-hash förhindrar dubbletter)
• Jobbeskrivningar: Text du klistrar in för matchning
• Analysresultat: AI-genererad feedback lagrad i JSON-format
• Betalningsdata: Hanteras av Stripe — vi lagrar bara Stripe-kund-ID och prenumerationsstatus
• Teknisk data: IP-adress (för hastighetsbegränsning), tidsstämplar

2b. Organisationer (B2B)

• Organisationsdata: Organisationsnamn, medlemsroller (Admin/Recruiter/Viewer)
• Kandidatdata: Namn, CV-text och analysresultat för kandidater uppladdade av rekryterare
• Jobblistningar: Titel och beskrivning av tjänster som kandidater matchas mot
• Organisationsbetalning: Stripe-kund-ID per organisation, prenumerationsstatus, bonuspoäng

3. Rättslig grund (GDPR Art. 6)

• Samtycke (Art. 6.1a): Du godkänner denna policy vid registrering
• Avtal (Art. 6.1b): Nödvändigt för att leverera tjänsten
• Berättigat intresse (Art. 6.1f): Säkerhet och missbruksskydd

B2B-kandidatdata: När en organisation laddar upp kandidaters CV:n agerar organisationen som personuppgiftsansvarig och Fidoco AB som personuppgiftsbiträde (GDPR Art. 28). Organisationen ansvarar för att ha rättslig grund (t.ex. berättigat intresse i rekryteringsprocessen eller samtycke från kandidaten) för behandlingen. Ett personuppgiftsbiträdesavtal (PBA) finns tillgängligt för B2B-organisationer — se PBA-dokument.

4. Hur vi använder dina uppgifter

• Utföra CV-analys mot jobbeskrivningar med lokal AI
• Hantera ditt konto och prenumeration
• Förbättra tjänsten (anonymiserad statistik)
• Skydda mot missbruk (hastighetsbegränsning)

5. AI-behandling

Din CV-text och jobbeskrivning behandlas av en lokal AI-modell som körs på våra egna europeiska servrar med GPU-acceleration. Ingen data skickas till tredjepartsmoln-AI-tjänster (t.ex. OpenAI, Google). Analysresultat lagras i vår databas.

AI-modellen ger poängbedömningar och förbättringsförslag baserat på matchning mellan CV-text och jobbeskrivning. Resultaten är beslutsstöd — inte automatiserade beslut. Inga anställningsbeslut fattas av AI:n.

5b. EU AI-förordningen (EU AI Act)

AI-system som används för rekryteringsstöd klassificeras som högrisk enligt EU AI-förordningen (Bilaga III, punkt 4). Fidoco Align uppfyller följande krav:

• Transparens (Art. 13): Alla analysresultat är tydligt märkta som AI-genererade. Användare informeras om att AI används för bedömning
• Mänsklig tillsyn (Art. 14): AI-resultat är rekommendationer och beslutsstöd — inte automatiserade beslut. Rekryteraren fattar alltid det slutgiltiga beslutet
• Icke-diskriminering: AI-modellen utvärderar enbart textmatchning mot jobbeskrivningar. Inga personliga egenskaper (kön, ålder, etnicitet) analyseras eller påverkar poängsättningen
• Datakvalitet: Analysresultat baseras uteslutande på det textinnehåll som användaren laddar upp. AI:n fabricerar aldrig information som inte finns i CV:t

Organisationers ansvar (Art. 26): Organisationer som använder Fidoco Align för kandidatscreening är "deployers" enligt EU AI-förordningen och har egna skyldigheter, bland annat att informera kandidater om att AI-verktyg används i rekryteringsprocessen.

6. Datalagring och säkerhet

• All data lagras på europeiska servrar (GDPR-kompatibelt)
• Lösenord krypteras med bcrypt/PBKDF2 via ASP.NET Core Identity
• All kommunikation sker via HTTPS
• JWT-tokens har 2 timmars livslängd med revokering via Redis

7. Tredjeparter

• Stripe: Betalningshantering — se Stripes integritetspolicy
• Resend: E-postleverans (kontoverifiering, lösenordsåterställning, kandidatnotifieringar) — se Resends integritetspolicy
• Cloudflare: Webbhosting av frontend — se Cloudflares integritetspolicy

8. Dina rättigheter (GDPR Art. 15-22)

• Rätt till tillgång: Se din data via "Historik" i appen
• Rätt till radering (Art. 17): Radera ditt konto och personlig B2C-data via kontoinställningar
• Rätt till dataportabilitet: Kontakta oss för export
• Rätt att invända: Kontakta oss på privacy@fidoco.se
• Rätt till rättelse: Uppdatera ditt CV eller kontoinformation när som helst

Kandidater i B2B: Organisationsadministratörer och rekryterare kan radera enskilda kandidatuppgifter direkt i tjänsten (GDPR Art. 17). Om du som kandidat vill begära radering av din data, kontakta den organisation som laddade upp ditt CV eller oss på privacy@fidoco.se.

9. Lagringstid

CV-data och analysresultat lagras så länge du har ett aktivt konto. Vid kontoradering raderas kontoinformation, sparade CV:n och individuella analyser permanent (inom 30 dagar). B2B-kandidatposter som tillhör en kvarvarande organisation behålls med användarreferenser anonymiserade och kan raderas av organisationens administratörer eller rekryterare. Betalningshistorik behålls i 7 år enligt bokföringslagen.

10. Kontakt & klagomål

Kontakta oss: privacy@fidoco.se
Du har rätt att klaga till Integritetsskyddsmyndigheten (IMY).

1. Data Controller

Fidoco AB ("we", "us") is the data controller for the processing of your personal data in connection with the Fidoco Align service. Contact us at privacy@fidoco.se with any questions.

2. What Data We Collect

2a. Individual Users (B2C)

• Account data: Email address, encrypted password
• Resume data: Text extracted from uploaded resume files (PDF, DOCX, TXT)
• Saved resumes: Resume text stored for reuse (SHA256 hash prevents duplicates)
• Job descriptions: Text you paste for matching
• Analysis results: AI-generated feedback stored in JSON format
• Payment data: Handled by Stripe — we only store Stripe customer ID and subscription status
• Technical data: IP address (for rate limiting), timestamps

2b. Organizations (B2B)

• Organization data: Organization name, member roles (Admin/Recruiter/Viewer)
• Candidate data: Names, resume text and analysis results for candidates uploaded by recruiters
• Job listings: Title and description of positions that candidates are matched against
• Organization payment: Stripe customer ID per organization, subscription status, bonus credits

3. Legal Basis (GDPR Art. 6)

• Consent (Art. 6.1a): You accept this policy upon registration
• Contract (Art. 6.1b): Necessary to deliver the service
• Legitimate interest (Art. 6.1f): Security and abuse prevention

B2B candidate data: When an organization uploads candidates' resumes, the organization acts as data controller and Fidoco AB as data processor (GDPR Art. 28). The organization is responsible for having a legal basis (e.g., legitimate interest in the recruitment process or candidate consent) for the processing. A Data Processing Agreement (DPA) is available for B2B organizations — see DPA document.

4. How We Use Your Data

• Perform resume analysis against job descriptions using local AI
• Manage your account and subscription
• Improve the service (anonymized statistics)
• Protect against abuse (rate limiting)

5. AI Processing

Your resume text and job description are processed by a local AI model running on our own European servers with GPU acceleration. No data is sent to third-party cloud AI services (e.g., OpenAI, Google). Analysis results are stored in our database.

The AI model provides score assessments and improvement suggestions based on matching between resume text and job description. The results are decision support — not automated decisions. No hiring decisions are made by the AI.

5b. EU AI Act

AI systems used for recruitment support are classified as high-risk under the EU AI Act (Annex III, point 4). Fidoco Align meets the following requirements:

• Transparency (Art. 13): All analysis results are clearly marked as AI-generated. Users are informed that AI is used for assessment
• Human oversight (Art. 14): AI results are recommendations and decision support — not automated decisions. The recruiter always makes the final decision
• Non-discrimination: The AI model evaluates only text matching against job descriptions. No personal characteristics (gender, age, ethnicity) are analyzed or affect scoring
• Data quality: Analysis results are based exclusively on the text content uploaded by the user. The AI never fabricates information not found in the resume

Organization responsibilities (Art. 26): Organizations using Fidoco Align for candidate screening are "deployers" under the EU AI Act and have their own obligations, including informing candidates that AI tools are used in the recruitment process.

6. Data Storage and Security

• All data is stored on European servers (GDPR-compliant)
• Passwords are encrypted with bcrypt/PBKDF2 via ASP.NET Core Identity
• All communication occurs over HTTPS
• JWT tokens have a 2-hour lifetime with revocation via Redis

7. Third Parties

• Stripe: Payment processing — see Stripe's Privacy Policy
• Resend: Email delivery (account verification, password reset, candidate notifications) — see Resend's Privacy Policy
• Cloudflare: Frontend web hosting — see Cloudflare's Privacy Policy

8. Your Rights (GDPR Art. 15-22)

• Right of access: View your data via "History" in the app
• Right to erasure (Art. 17): Delete your account and personal B2C data via account settings
• Right to data portability: Export your data in JSON format via Settings → Export my data, or contact us
• Right to object: Contact us at privacy@fidoco.se
• Right to rectification: Update your resume or account information at any time

B2B candidates: Organization administrators and recruiters can delete individual candidate data directly in the service (GDPR Art. 17). If you as a candidate wish to request deletion of your data, contact the organization that uploaded your resume or us at privacy@fidoco.se.

9. Retention Period

Resume data and analysis results are stored as long as you have an active account. Upon account deletion, account information, saved resumes, and individual analyses are permanently deleted (within 30 days). B2B candidate records owned by a surviving organization are retained with user references anonymized and can be deleted by organization administrators or recruiters. Payment history is retained for 7 years in accordance with the Swedish Bookkeeping Act.

10. Contact & Complaints

Contact us: privacy@fidoco.se
You have the right to file a complaint with the Swedish Authority for Privacy Protection (IMY).