Juridisk

Privatlivspolitik

Version 2.0 — gælder ved abonnement-launch.

Privatlivsoversigt — det vigtigste på ét øjeblik

  • Vi (Xoens ApS) er dataansvarlig for JobIQ — se § 1 for fuld juridisk kontaktoplysning.
  • Vi bruger dine oplysninger til at parse dit CV med kunstig intelligens, matche det mod rigtige danske jobopslag og forklare hver match.
  • Dit CV behandles på grundlag af dit samtykke. Et CV kan indeholde følsomme oplysninger (helbred, fagforening, religion m.v.), som kun behandles med dit udtrykkelige samtykke — se § 3 og § 4.
  • Vi sælger aldrig dine oplysninger til tredjeparter.
  • Den eneste databehandler uden for EU/EØS er Anthropic (USA), som leverer den sprogmodel der læser dit CV — se § 5 og § 6.
  • Du kan til enhver tid eksportere eller slette alle dine data i indstillingerne.
  • Spørgsmål? Skriv til support@xoens.dk — vi svarer inden for 30 dage.

§ 1. Hvem er den dataansvarlige?

Den dataansvarlige for behandlingen af dine personoplysninger er:

Xoens ApS
CVR-nr.: 46225430
Momsregistreringsnr.: DK46225430
Lønstrupvej 31, 2720 Vanløse
E-mail: support@xoens.dk

Vi har ikke udpeget en databeskyttelsesrådgiver (DPO), da dette ikke er lovpligtigt for vores behandlingsaktiviteter på nuværende tidspunkt. Henvendelser om databeskyttelse besvares af vores interne kontaktpunkt på support@xoens.dk inden for 30 dage.

§ 2. Hvilke personoplysninger behandler vi?

2.1 Oplysninger du giver os direkte

  • Kontooplysninger: e-mail (unik), navn (hvis du angiver det), sprogpræference.
  • Adgangskode: opbevares aldrig i klartekst — håndteres af vores autentificeringsleverandør (Supabase Auth) som en sikker hash.
  • CV: den uploadede fil (opbevaret i et privat lager), den udtrukne tekst, de strukturerede felter vi udleder af CV'et (erfaring, kompetencer, uddannelse) samt CV'ets behandlingsstatus.
  • Adresse og pendling (geolokation): hvis du vælger at angive en adresse, gemmer vi adressen og dens koordinater samt din eventuelle maksimale pendlerafstand, så vi kan vise afstand til jobbene.
  • Frivillige felter og præferencer: ønsket geografi, senioritet, remote/hybrid-præference, gemte roller og søgninger, samt alt øvrigt du selv tilføjer.

2.2 Oplysninger vi genererer

  • Vektor-embeddings: en numerisk repræsentation af dit CV (og af de enkelte kompetence-facetter), som bruges til semantisk søgning og matching.
  • Match-data: match-kørsler (status, tidsforbrug, kandidat-tal, intent/målrolle/bredde) og match-resultater (score, begrundelse, fremhævede krav, afstand, identificerede mangler og match-indsigt).
  • Pr-job AI-handlinger: hvis du anvender funktionerne gap-analyse, CV-tilpasning eller ansøgningsudkast, gemmer vi resultatet heraf knyttet til dig.
  • Teknisk forbrugslog (LLM-kald): for hvert kald til en sprogmodel gemmer vi metadata — formål, model, leverandør, token-antal, omkostning, svartid og et trace-id. Denne log indeholder ikke dit CV-indhold eller anden brugertekst — kun metadata.
  • Brugslog: hvornår du loggede ind, og hvilke sider du har set efter login (ikke på landing-/marketing-sider).
  • Abonnement og betaling: hvis du tegner et betalt abonnement, gemmer vi abonnementsstatus og en reference (kunde-id) hos vores betalingsleverandør Stripe. Vi gemmer aldrig dine fulde kortoplysninger — de håndteres direkte af Stripe.

2.3 Oplysninger vi crawler (jobopslag)

JobIQ er en aggregator- og discovery-tjeneste. Vi crawler offentligt tilgængelige jobopslag fra danske kilder (Jobindex, ATS-systemer, virksomheders egne karrieresider) og bruger dem internt til matching. Vi republicerer ikke jobopslagenes fulde indhold på vores side — vi linker dig altid videre til original-annoncen. Hvis et opslag indeholder personoplysninger om en kontaktperson hos virksomheden, behandles disse på grundlag af legitim interesse (Art. 6(1)(f)) i et tidsbegrænset omfang. Læs mere i vores notits om jobannoncer og datakilder.

2.4 Følsomme oplysninger (særlige kategorier)

Et CV kan af natur indeholde — eller gøre det muligt at udlede — følsomme personoplysninger (særlige kategorier efter GDPR Art. 9): f.eks. helbredsforhold, fagforeningsmedlemskab, religiøs overbevisning eller etnisk oprindelse. Vi efterspørger ikke aktivt disse oplysninger, men da de kan optræde i fri CV-tekst, behandler vi dem kun på grundlag af dit udtrykkelige samtykke (Art. 9(2)(a)), som du giver, når du uploader dit CV. Du kan til enhver tid trække samtykket tilbage og slette dit CV — se § 9.

§ 3. Til hvilke formål og på hvilket retsgrundlag?

Vi behandler dine personoplysninger til følgende formål:

FormålRetsgrundlag
Levering af kontoen og tjenesten (oprettelse, login, lagring af CV, visning af resultater)Art. 6(1)(b) — opfyldelse af aftale
Upload, parsing og embedding af dit CVArt. 6(1)(a) — samtykke (samt Art. 9(2)(a) udtrykkeligt samtykke for evt. følsomme oplysninger, jf. § 2.4)
Match-kørsel og AI-baserede forklaringerArt. 6(1)(a) — samtykke
AI-handlinger pr. job (gap-analyse, CV-tilpasning, ansøgningsudkast)Art. 6(1)(a) — samtykke
Transaktionelle e-mails (e-mail-verifikation, nulstilling af adgangskode)Art. 6(1)(b) — opfyldelse af aftale
Sikkerhed og misbrugsforebyggelse (rate-limiting, fejl-tracking, alarmer)Art. 6(1)(f) — legitim interesse
Produkt-analytics (aggregeret, pseudonymiseret brug efter login og efter samtykke)Art. 6(1)(a) — samtykke (se § 8)
Abonnement og betalingArt. 6(1)(b) — opfyldelse af aftale
Overholdelse af lovkrav (regnskab, moms, GDPR-logs)Art. 6(1)(c) — retlig forpligtelse
Intern brug af crawlede jobopslag til matching (inkl. evt. kontaktperson-PII)Art. 6(1)(f) — legitim interesse (jf. § 2.3)

Du kan til enhver tid trække et samtykke tilbage med virkning for fremtiden. Tilbagetrækning påvirker ikke lovligheden af den behandling, der fandt sted før tilbagetrækningen. Da hele tjenestens kerneværdi hviler på behandlingen af dit CV, vil en tilbagetrækning i praksis betyde, at du ikke længere kan bruge matching-funktionen.

§ 4. Kunstig intelligens og automatiseret matchmaking

JobIQ er et AI-drevet værktøj. Når du bruger tjenesten, interagerer du med et kunstig-intelligens-system. Vi har en særskilt AI-oplysningsside, som forklarer i detaljer, hvilke AI-modeller vi bruger, hvad de gør, og hvordan du forholder dig til AI-genereret output. Den supplerer — og erstatter ikke — denne privatlivspolitik.

4.1 Hvad AI'en konkret gør

  1. Læser og strukturerer dit CV til søgbare felter.
  2. Matcher og rangerer rigtige danske jobopslag efter, hvor godt de passer til dine kompetencer.
  3. Forklarer hvorfor hvert match passer, og hvad du eventuelt mangler.
  4. (Kommende funktion) Hjælper med ansøgningsudkast.

4.2 Hvilke modeller bruges, og hvor de kører

  • Anthropic Claude (USA): læser og strukturerer dit CV (CV-parsing) og driver de CV-baserede AI-funktioner (gap-analyse, CV-tilpasning, ansøgningsudkast).
  • OVHcloud gpt-oss-120b (EU): beriger jobopslagene med struktur og genererer den synlige match-score og begrundelse, du ser på dine matches. (I visse fald falder denne behandling tilbage til Anthropic Claude, hvis OVHcloud-modellen ikke kan levere et gyldigt svar.)
  • OVHcloud BGE-M3 (EU): beregner de vektor-embeddings, der bruges til den semantiske søgning.

Det betyder, at den synlige match-score og forklaring i praksis genereres af gpt-oss-120b på OVHcloud (EU), mens CV-parsingen og de CV-baserede funktioner kører hos Anthropic (USA). Se § 6 om overførsler til USA.

4.3 Det er rådgivning — ikke en afgørelse

JobIQ's scorer og rangeringer er anbefalinger til dig. De har ingen retsvirkning for dig, sendes ikke til arbejdsgivere, og udgør ikke en afgørelse om dig:

  • Du beslutter selv, hvilke jobs du vil ansøge. Tjenesten filtrerer dig ikke ud af jobs.
  • Behandlingen anses derfor ikke for en automatiseret afgørelse med retsvirkning eller tilsvarende væsentlig virkning efter GDPR Art. 22.
  • Skulle du alligevel ønske en menneskelig vurdering — f.eks. hvis du mener, algoritmen har overset relevante jobs — kan du skrive til support@xoens.dk og bede om manuel gennemgang.

AI-genererede matches og forklaringer kan indeholde fejl. Du bør altid selv vurdere et jobopslag, før du handler på det. Vi bruger ikke demografiske faktorer (alder, køn, etnicitet, religion) som bevidst input til matching. Vi gemmer en log af hver match-kørsel, så vi kan reproducere og forklare hvert resultat.

§ 5. Hvem deler vi dine oplysninger med?

Vi bruger nedenstående databehandlere. Vi sælger eller udlejer aldrig dine oplysninger til tredjeparter til reklame- eller markedsføringsformål. Med alle databehandlere har vi (eller indgår vi) en databehandleraftale (DPA) under GDPR Art. 28.

5.1 Databehandlere der modtager CV-/personoplysninger

ModtagerFormål / hvad de modtagerRegion
SupabaseDatabase, autentificering, fil-lagring og realtime — den primære lagring af konto, CV-fil, CV-felter, adresse, match-data og dine samtykke-valg (når samtykke-registrering er aktiveret)EU – Frankfurt
AnthropicSprogmodel (Claude) — modtager CV-tekst ved parsing og CV-baserede funktioner samt jobbeskrivelser ved scoring, når OVHcloud-ruten ikke anvendesUSA
OVHcloud AI EndpointsEmbeddings (BGE-M3) af CV-tekst og jobopslag samt sprogmodel (gpt-oss-120b) til berigelse af jobdata og generering af match-scoreEU (Paris-hostet)
SentryFejl-tracking — modtager stak-spor, browser-/OS-info og et pseudonymiseret bruger-id. CV-tekst og e-mail-indhold fjernes inden afsendelse (PII-scrubbing)EU
StripeBetaling og abonnement — modtager din e-mail og en bruger-reference ved oprettelse af abonnementIrland/EU

5.2 Infrastruktur-leverandører (ser ikke CV-/personindhold)

ModtagerFormål / hvad de modtagerRegion
VercelHosting af web-frontend (session-cookies, IP i adgangslogs)EU
Fly.ioHosting af API og baggrunds-workers (data transiterer i hukommelsen)EU – Frankfurt
UpstashRedis (kø, cache, rate-limiting) — kun match-kørsels-id'er og tællere, ingen CV-tekstEU
PostHogProdukt-analytics (kun efter login og kun efter samtykke) — pseudonymiseret bruger-id, sidestier, klik. Ingen direkte identifikatorerEU Cloud
Cloudflare R2Kort-fliser til kortvisning — ingen personoplysningerEU

5.3 Transaktionel e-mail

Verifikations- og nulstillings-e-mails udsendes i dag via Supabase Auth's indbyggede e-mail-funktion (samme EU-leverandør som vores database). Vi anvender p.t. ikke en separat tredjeparts e-mail-leverandør. Hvis vi senere tilføjer en, opdaterer vi denne liste, før den tages i brug.

§ 6. Overførsler til lande uden for EU/EØS

Den eneste databehandler uden for EU/EØS er Anthropic (USA), som leverer den sprogmodel, der parser dit CV og driver de CV-baserede AI-funktioner.

Overførslen sker på grundlag af EU-Kommissionens standardkontraktbestemmelser (SCC, 2021/914). Vi sender kun det CV-indhold, der er nødvendigt for, at modellen kan udføre opgaven — ikke nødvendigvis hele CV-filen, og ikke flere direkte identifikatorer end CV-teksten selv måtte indeholde.

Alle øvrige databehandlere er hostet i EU/EØS, herunder embeddings og berigelse/match-scoring (OVHcloud, Paris).

§ 7. Hvor længe opbevarer vi dine oplysninger?

DataOpbevaring
Konto + CVSå længe du har en aktiv konto. Slettes inden for 30 dage efter konto-sletning jf. GDPR Art. 17.
Match-historikOpbevares, så længe du har en aktiv konto, så du kan se tidligere resultater. Slettes sammen med din konto (jf. § 9) — eller, når automatisk udløb er aktiveret, efter den frist vi da angiver her.
Crawlede jobopslagAktive opslag opbevares, så længe de er aktuelle. Udløbne opslag slettes 60 dage efter udløb. Et opslag, der genobserveres inden for de 60 dage, genaktiveres.
Regnskabsbilag5 år jf. bogføringsloven.
Sikkerhedslogs12 måneder.
Fejlrapporter (Sentry)90 dage.
Produkt-analytics (PostHog)12 måneder.
Database-backup (Supabase)7 dages rullende backup.

§ 8. Cookies og sporingsteknologier

Vi bruger kun strengt nødvendige cookies: login-session, sprogpræference og CSRF-beskyttelse. Disse kræver ikke samtykke og kan ikke fravælges — uden dem fungerer tjenesten ikke.

Vi bruger ikke marketing-cookies, tredjeparts-tracking, pixel-tags eller sociale medie-knapper med indlejret sporing.

Vores produkt-analytics (PostHog) er bevidst opsat til kun at køre efter login, kun anonymt (vi knytter aldrig direkte identifikatorer som navn eller e-mail til analytics), og kun efter dit aktive samtykke. Det aktiveres aldrig på vores landing- eller marketing-sider, og det indlæses ikke, før du har sagt ja. Du styrer dit valg via vores cookiepolitik og samtykke-banneret, og du kan til enhver tid ændre eller tilbagekalde det under «Cookie-indstillinger» i sidefoden.

§ 9. Dine rettigheder

Du har følgende rettigheder under GDPR:

  • Indsigt (Art. 15): se hvilke oplysninger vi har om dig. Du kan til enhver tid bestille en samlet eksport af dine data i tjenestens indstillinger — du modtager et sikkert, tidsbegrænset download-link.
  • Berigtigelse (Art. 16): rette unøjagtige oplysninger.
  • Sletning (Art. 17): slet din konto og alle tilknyttede data. Funktionen findes i indstillingerne; sletningen gennemføres af en baggrundsproces i korrekt rækkefølge, inkl. selve login-kontoen, inden for 30 dage.
  • Begrænsning (Art. 18): bede os om midlertidigt at standse behandlingen.
  • Dataportabilitet (Art. 20): få dine data udleveret i et maskinlæsbart format. Dette dækkes af samme eksport-funktion som indsigt ovenfor.
  • Indsigelse (Art. 21): protestere mod behandling baseret på legitim interesse.
  • Tilbagetrækning af samtykke (Art. 7(3)): trække et tidligere givet samtykke tilbage, herunder samtykket til behandling af dit CV og eventuelle følsomme oplysninger.
  • Menneskelig vurdering af algoritmiske resultater: se § 4.3.

Både eksport og sletning er indbygget som selvbetjening i tjenestens indstillinger. Du kan også udøve enhver rettighed ved at skrive til support@xoens.dk. Vi svarer inden for 30 dage.

§ 10. Sikkerhed og databrud

Vi bruger industri-standard sikkerhedsforanstaltninger: TLS i transit, kryptering at-rest, Row Level Security på databasen, mindste-privilegium på interne adgange, secrets management, rate-limiting på autentificering og automatiske afhængigheds-scans.

Hvis vi opdager et databrud, der udgør en risiko for dine rettigheder og friheder, anmelder vi det til Datatilsynet inden for 72 timer og giver dig direkte besked, hvis brudet udgør en høj risiko for dig.

§ 11. Børn under 18 år

JobIQ er rettet mod voksne, der er aktive på arbejdsmarkedet eller forbereder sig på at blive det. Vi tilbyder bevidst ikke tjenesten til personer under 18 år. Hvis vi opdager, at en bruger er under 18, sletter vi kontoen.

§ 12. Ændringer til denne politik

Vi kan opdatere denne politik. Ved væsentlige ændringer giver vi besked på e-mail eller i tjenesten mindst 30 dage før ændringen træder i kraft. Tidligere versioner kan rekvireres ved at skrive til support@xoens.dk.

§ 13. Kontakt og klager

Du kan altid kontakte os på support@xoens.dk.

Hvis du mener, vi ikke håndterer dine personoplysninger korrekt, har du ret til at klage til Datatilsynet:

Datatilsynet
Carl Jacobsens Vej 35
2500 Valby
E-mail: dt@datatilsynet.dk
Web: www.datatilsynet.dk