JobIQ

Juridisk

Privatlivspolitik

Version 1.0 — gælder ved abonnement-launch. Under lukket beta gælder lukket-beta-tillægget (ingen betaling, ingen Stripe-data-flow).

Privatlivsoversigt — det vigtigste på ét øjeblik

  • Vi er dataansvarlig — se § 1 for fuld juridisk kontaktoplysning.
  • Vi bruger dine oplysninger til at matche dit CV med danske jobopslag og levere AI-baserede forklaringer.
  • Vi sælger aldrig dine oplysninger til tredjeparter.
  • Vi bruger kun strengt nødvendige cookies (login, sprog) — derfor intet cookie-banner.
  • Du kan til enhver tid eksportere eller slette alle dine data i indstillingerne.
  • Spørgsmål? Skriv til legal@xoens.dk — vi svarer inden for 30 dage.

Indholdsfortegnelse

  1. Hvem er den dataansvarlige?
  2. Hvilke personoplysninger behandler vi?
  3. Hvorfor og på hvilket grundlag?
  4. Automatiseret matchmaking-algoritme
  5. Hvem deler vi dine oplysninger med?
  6. Overførsler til lande uden for EU/EØS
  7. Hvor længe gemmer vi dine oplysninger?
  8. Cookies og sporingsteknologier
  9. Dine rettigheder
  10. Sikkerhed og databrud
  11. Børn under 18 år
  12. Ændringer til denne politik
  13. Kontakt og klager

§ 1. Hvem er den dataansvarlige?

Den dataansvarlige for behandling af dine personoplysninger er:

Xoens ApS
CVR-nr.: 46225430
Momsregistreringsnr.: DK46225430
Lønstrupvej 31, 2720 Vanløse
E-mail: legal@xoens.dk

Vi har ikke udpeget en databeskyttelsesrådgiver (DPO), da dette ikke er lovpligtigt for vores behandlingsaktiviteter på nuværende tidspunkt. Henvendelser om databeskyttelse besvares af vores interne kontaktpunkt på legal@xoens.dk inden for 30 dage.

§ 2. Hvilke personoplysninger behandler vi?

2.1 Oplysninger du giver os direkte

  • Kontoadgang: e-mail, kodeord (hashet), navn.
  • CV: tekstindhold, struktureret uddrag (erfaring, kompetencer, uddannelse), filen i original-form.
  • Præferencer: ønsket geografi, senioritet, remote/hybrid-præference, gemte søgninger.
  • Frivillige felter: alt du selv tilføjer (telefonnummer, LinkedIn-profil, m.v.).

2.2 Oplysninger vi genererer

  • Vektor-embeddings af dit CV og af jobopslag (numerisk repræsentation til søgning).
  • Match-historik: hvilke jobs blev rangeret hvornår, hvilke scoringer, hvilke begrundelser.
  • Brugslog: hvornår du loggede ind, hvilke sider du har set (efter login, ikke landing).

2.3 Oplysninger vi crawler

JobIQ er en aggregator: vi crawler offentligt tilgængelige jobopslag fra danske kilder (Jobindex, ATS-systemer, virksomheders egne karrieresider) og bruger dem internt til matching. Vi republicerer ikke jobopslagenes indhold på vores side — vi linker dig altid videre til original-annoncen. Hvis et opslag indeholder personoplysninger om en kontaktperson hos virksomheden, behandles disse på grundlag af legitim interesse (Art. 6(1)(f)) i et tidsbegrænset omfang (60 dage efter opslagets udløb).

§ 3. Hvorfor og på hvilket grundlag?

Vi behandler dine personoplysninger til følgende formål:

  • Levering af tjenesten (Art. 6(1)(b), kontrakt): match-kørsel, lagring af CV, visning af resultater.
  • Forbedring af matching-kvalitet (Art. 6(1)(a), samtykke ved tilmelding): aggregerede statistikker over hvilke matches der bliver klikket på.
  • Sikkerhed og misbrug (Art. 6(1)(f), legitim interesse): rate-limiting, fejl-tracking, alarmer.
  • Lovkrav (Art. 6(1)(c)): regnskab, momsregistrering, GDPR-erasure-logs.
  • Aggregator-virksomhed (Art. 6(1)(f)): intern brug af crawlede jobopslag til matching, som beskrevet i § 2.3.

§ 4. Automatiseret matchmaking-algoritme

Når du beder om en match-kørsel, behandler vi dit CV gennem en algoritmisk pipeline der bruger sprogmodeller (Anthropic Claude) og embedding-modeller (OVHcloud BGE-M3) til at finde og rangere relevante jobopslag. Dette er en automatiseret behandling, men:

  • Den har ingen retsvirkning for dig — vi træffer ingen beslutninger på dine vegne. Du beslutter selv hvilke jobs du vil ansøge.
  • Du har ret til menneskelig review (GDPR Art. 22(3)): hvis du mener algoritmen har overset relevante jobs eller fejl-rangeret, kan du skrive til legal@xoens.dk og bede om manuel gennemgang.
  • Du kan indsigelse mod den automatiserede behandling (Art. 21) — i praksis betyder det at du opsiger tjenesten, da hele værdien er den automatiserede matching.

Algoritmen modelleres på dit CV-indhold (færdigheder, erfaring, uddannelse, præferencer) og på jobopslagenes indhold. Vi bruger ikke demografiske faktorer (alder, køn, etnicitet, religion) som input. Vi gemmer en log af hver match-kørsel så vi kan reproducere og forklare hvert resultat.

§ 5. Hvem deler vi dine oplysninger med?

Vi bruger nedenstående databehandlere. Vi sælger eller udlejer aldrig dine oplysninger til tredjeparter til reklame eller markedsføringsformål.

ModtagerFormålRegionRetsgrundlag
SupabaseDatabase (Postgres), autentificering, fil-lagring, realtimeEU – FrankfurtDatabehandleraftale (DPA) under GDPR Art. 28
VercelHosting af web-frontendEUDatabehandleraftale (DPA) under GDPR Art. 28
Fly.ioHosting af API og baggrunds-workersFrankfurt, TysklandDatabehandleraftale (DPA) under GDPR Art. 28
UpstashRedis (kø, cache, rate-limiting)EUDatabehandleraftale (DPA) under GDPR Art. 28
AnthropicSprogmodel (Claude) — matching og CV-parsingUSAEU-Kommissionens standardkontraktbestemmelser (SCC) + Data Privacy Framework
OVHcloudEmbeddings (BGE-M3) og sprogmodel til CV-tekstforståelse (gpt-oss-120b)Paris, Frankrig (EU-suverænt)Databehandleraftale (DPA) under GDPR Art. 28
NordicWayKonfigureresTransaktionel e-mail (verifikation, password-reset, alerts)DK/EUDatabehandleraftale (DPA) under GDPR Art. 28
SentryFejl-tracking (med PII-scrubbing)EUDatabehandleraftale (DPA) under GDPR Art. 28
PostHogProdukt-analytics (kun efter login, ikke landing)EU CloudDatabehandleraftale (DPA) under GDPR Art. 28
StripeAktiveres ved abonnement-launchBetalingsabonnementIrland/EUDatabehandleraftale (DPA) under GDPR Art. 28

§ 6. Overførsler til lande uden for EU/EØS

Den eneste databehandler i USA er Anthropic. Overførslen sker på grundlag af EU-Kommissionens standardkontraktbestemmelser (SCC) suppleret af Data Privacy Framework-certificering. Vi sender kun det CV-uddrag der er nødvendigt for at modellen kan score et match — ikke hele CV-filen, ikke dit navn eller andre direkte identifikatorer ud over hvad CV-teksten selv måtte indeholde.

Alle øvrige databehandlere er hostet i EU/EØS.

§ 7. Hvor længe gemmer vi dine oplysninger?

  • Konto + CV: så længe du har en aktiv konto. Slettes inden for 30 dage efter konto-sletning jf. GDPR Art. 17.
  • Match-historik: 12 måneder, så du kan gå tilbage og se tidligere resultater.
  • Crawlede jobopslag: aktive opslag opbevares så længe de er aktuelle. Udløbne opslag slettes 60 dage efter udløb.
  • Regnskabsbilag: 5 år jf. bogføringsloven.
  • Sikkerhedslogs: 12 måneder.

§ 8. Cookies og sporingsteknologier

Vi bruger kun strengt nødvendige cookies: login-session, sprog-præference, CSRF-beskyttelse. Disse kræver ikke samtykke og kan ikke fravælges — uden dem fungerer tjenesten ikke. Derfor viser vi intet cookie-banner.

Vi bruger ikke marketing-cookies, tredjeparts-tracking, pixel-tags, eller social media-knapper med embedded tracking. PostHog-analytics aktiveres kun efter login, og kun for aggregerede produkt-statistikker — aldrig på vores landing eller marketing-sider.

§ 9. Dine rettigheder

Du har følgende rettigheder under GDPR:

  • Indsigt (Art. 15): se hvilke oplysninger vi har om dig. Tilgængeligt som JSON-eksport i indstillingerne.
  • Berigtigelse (Art. 16): rette unøjagtige oplysninger.
  • Sletning (Art. 17): slet din konto og alle tilknyttede data.
  • Begrænsning (Art. 18): bede os om at standse behandlingen midlertidigt.
  • Dataportabilitet (Art. 20): få dine data udleveret i et maskinlæsbart format (JSON).
  • Indsigelse (Art. 21): protestere mod behandling baseret på legitim interesse.
  • Menneskelig review af automatiserede afgørelser (Art. 22(3)): se § 4.

Du kan udøve dine rettigheder direkte i tjenestens indstillinger eller ved at skrive til legal@xoens.dk. Vi svarer inden for 30 dage.

§ 10. Sikkerhed og databrud

Vi bruger industri-standard sikkerhedsforanstaltninger: TLS i transit, kryptering at-rest, Row Level Security på databasen, mindste-privilegium på alle interne adgange, secrets management, rate-limiting på auth, automatiske afhængigheds-scans.

Hvis vi opdager et databrud der udgør en risiko for dine rettigheder og friheder, anmelder vi det til Datatilsynet inden for 72 timer og giver dig direkte besked.

§ 11. Børn under 18 år

JobIQ er rettet mod voksne, der er aktive på arbejdsmarkedet eller forbereder sig på at blive det. Vi tilbyder bevidst ikke tjenesten til personer under 18 år. Hvis vi opdager at en bruger er under 18, sletter vi kontoen.

§ 12. Ændringer til denne politik

Vi kan opdatere denne politik. Ved væsentlige ændringer giver vi besked på e-mail eller i tjenesten mindst 30 dage før ændringen træder i kraft. Tidligere versioner kan rekvireres ved at skrive til legal@xoens.dk.

§ 13. Kontakt og klager

Du kan altid kontakte os på legal@xoens.dk.

Hvis du mener vi ikke håndterer dine personoplysninger korrekt, har du ret til at klage til Datatilsynet:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby
E-mail: dt@datatilsynet.dk
Web: www.datatilsynet.dk