Denne policyen beskriver hvilke personopplysninger Svipp samler inn, formålet med behandlingen, hvem opplysningene deles med, og hvilke rettigheter du har etter personvernforordningen (GDPR) og norsk personopplysningslov.
Behandlingsansvarlig
Behandlingsansvarlig for personopplysninger behandlet i forbindelse med Svipp-appen er:
Hvilke opplysninger samler vi inn
Vi behandler opplysninger du selv oppgir og opplysninger som genereres ved bruk av tjenesten:
- Kontoopplysninger: navn og e-postadresse du oppgir ved registrering, samt fødselsår (påkrevd) som brukes til å matche deg med relevante stillinger og til k-anonym statistikk (alderskategori, minimum 50 brukere per gruppe).
- Fødselsdato (år): fødselsåret ditt samles inn som obligatorisk profilopplysning — formål: AppFunctionality (alderstilpasset jobbsøkertjeneste).
- CV-data: arbeidserfaring, utdanning, kompetanse, språkferdigheter og øvrig informasjon du legger inn i CV-profilen din.
- Søknadsdata: hvilke stillinger du har sveipet på, hvilke søknader du har sendt, innholdet i de genererte søknadsbrevene, og leveringsstatus.
- Jobbresultatdata (valgfritt): hvis du selv velger å rapportere at du fikk jobb, behandler vi rolle, bransje, region, antall dager fra søknad til tilbud, og eventuelt lønn dersom du oppgir det. Se egen seksjon nedenfor.
- Pseudonymiserte hendelsesdata: handlinger i appen (åpning, sveiping, sending, paywall-visning og lignende) lagres med pseudo-ID — en kryptografisk hash av bruker-ID kombinert med et hemmelig salt. Re-identifisering krever serveradgang til saltet, og aggregerte uttrekk håndhever k-anonymitet på minimum 50 brukere per gruppe.
- Tekniske data: app-versjon, plattform (iOS/Android), enhetstype og krasjrapporter.
- Betalingsstatus: abonnementsnivå, gyldighetsperiode og kjøpshistorikk. Selve betalingsopplysningene behandles av Apple og lagres ikke hos Svipp.
- Push-token (hvis du tillater varsler): en anonym identifikator som Apple eller Google bruker for å levere varsler til enheten din. Ingen meldingsinnhold lagres lokalt etter levering.
Formål og rettslig grunnlag
Vi behandler personopplysninger for følgende formål:
- Levering av tjenesten — generere CV og søknader, sende disse til arbeidsgivere og administrere kontoen din. Rettslig grunnlag: oppfyllelse av avtale (GDPR art. 6 nr. 1 b).
- Oppfølgingsmail til arbeidsgiver — dersom du har gitt eksplisitt samtykke under søknadsprosessen. Rettslig grunnlag: samtykke (GDPR art. 6 nr. 1 a).
- Jobbresultat-rapportering — for å levere belønning og forbedre tjenesten. Anonymisert statistikk-bruk er obligatorisk for funksjonen. Bruk i testimonial og markedsføring krever separat samtykke. Rettslig grunnlag: samtykke (GDPR art. 6 nr. 1 a) og berettiget interesse (art. 6 nr. 1 f).
- Sikkerhet og forbedring av tjenesten — feillogging og pseudonymisert hendelsesanalyse. Rettslig grunnlag: berettiget interesse (GDPR art. 6 nr. 1 f).
- Oppfyllelse av rettslige forpliktelser — regnskapsføring etter bokføringsloven. Rettslig grunnlag: rettslig forpliktelse (GDPR art. 6 nr. 1 c).
Automatisert behandling og AI-generering
Svipp bruker kunstig intelligens til å generere CV-tekst og søknadsbrev basert på informasjonen du har lagt inn. Generingen baserer seg på din egen profil og stillingsannonsen — det er ikke en automatisert beslutning om deg.
Du har alltid rett til menneskelig vurdering av generert innhold: alt AI-generert tekst vises til deg for gjennomgang før eventuell sending. Du kan redigere, regenerere eller forkaste innholdet. Svipp sender aldri en søknad uten at du selv aktivt har valgt å sende den.
Selve modellen som brukes til generering er en stor språkmodell levert av Anthropic. Logikken er prompt-basert tekstproduksjon, ikke en beslutningsalgoritme som rangerer eller filtrerer deg som kandidat.
Når du rapporterer at du fikk jobb
Hvis du selv velger å markere en søknad som "fikk jobben" i appen, behandler vi følgende på samtykke-grunnlag:
- Anonymisert statistikk — rolle, bransje, region, antall dager fra søknad til tilbud, alder-bucket (f.eks. 18–22), abonnementsnivå på tidspunktet. Disse lagres for tjeneste-forbedring og aggregert arbeidsmarkedsanalyse. Du kan ikke reservere deg mot dette og samtidig motta belønning, men aggregerte uttrekk håndhever k-anonymitet på minimum 50 brukere.
- Lønn (valgfritt) — kun hvis du selv oppgir det. Brukes utelukkende til aggregert statistikk, aldri publisert individuelt.
- Testimonial-tekst (valgfritt, krever samtykke) — fritekst du selv skriver. Lagres kun hvis du eksplisitt huker av for samtykke. Som takk får du tre måneder gratis Plus-abonnement.
- Bruk i markedsføring (valgfritt, krever separat samtykke) — Svipp kan bruke testimonial-teksten din i markedsføringsmateriell (TikTok, landingside, presse) kun hvis du har samtykket særskilt til dette. Du kan trekke samtykket tilbake når som helst ved å kontakte oss på juridisk@svipp.app.
Databehandlere og tredjeparter
Vi benytter følgende databehandlere for å levere tjenesten. Alle behandlinger er regulert av databehandleravtaler:
- Anthropic (USA) — generering av søknadsbrev og CV-tekst. Overføring til USA på grunnlag av EU-Kommisjonens standardkontraktbestemmelser (SCC).
- Supabase (EU — Frankfurt) — database, autentisering og fillagring. Data lagres innenfor EU/EØS.
- Resend (USA) — utsendelse av søknader og oppfølgingsmail til arbeidsgivere. Overføring til USA på grunnlag av SCC.
- RevenueCat (USA) — administrasjon av abonnement-status og kjøpshistorikk på tvers av betalingsplattformer. Overføring til USA på grunnlag av SCC.
- Sentry (USA) — krasj- og feilrapportering. Vi har konfigurert Sentry slik at personopplysninger som navn, e-postadresse, CV-innhold og søknadstekst skrubbes før hendelsesdata sendes. Overføring til USA på grunnlag av SCC.
- Apple og Google — push-varselleveranse og betalingsbehandling via App Store / Play Store. Behandlingen er regulert av plattformenes egne vilkår.
- Arbeidsgivere — mottakere av søknader du eksplisitt velger å sende. Videre behandling er arbeidsgivers ansvar.
Svipp selger ikke personopplysninger. Vi deler aldri profilen din med rekrutteringsbyråer uten ditt eksplisitte samtykke.
Lagringstid
Personopplysninger lagres så lenge du har aktiv konto. Når kontoen slettes, fjernes alle personopplysninger umiddelbart. Pseudonymiserte hendelsesdata kan beholdes i aggregert form selv etter sletting, ettersom de ikke lenger kan knyttes til deg som identifisert person. Unntak gjelder for opplysninger underlagt lovpålagte oppbevaringskrav: regnskapsdata oppbevares i fem år etter regnskapsårets avslutning, jf. bokføringsloven § 13.
Dine rettigheter
Du har følgende rettigheter etter GDPR, som du kan benytte deg av ved å kontakte oss på juridisk@svipp.app eller direkte i appen under Profil:
- Innsyn (art. 15) — du kan kreve å se hvilke opplysninger vi behandler om deg.
- Retting (art. 16) — du kan kreve at feilaktige eller ufullstendige opplysninger rettes.
- Sletting (art. 17) — du kan kreve at opplysninger slettes, med forbehold om lovpålagte oppbevaringskrav.
- Begrensning (art. 18) — du kan kreve begrenset behandling i visse tilfeller.
- Dataportabilitet (art. 20) — du kan motta opplysningene i et strukturert, maskinlesbart format (JSON).
- Innsigelse (art. 21) — du kan protestere mot behandling basert på berettiget interesse.
- Tilbakekalling av samtykke — samtykke kan trekkes tilbake når som helst, uten at dette påvirker lovligheten av behandling utført før tilbakekallingen.
Vi besvarer henvendelser om rettigheter innen 30 dager.
Informasjonssikkerhet
Vi benytter kryptert kommunikasjon (TLS), tilgangskontroll på databasenivå (row-level security) og kryptering av data ved lagring. Tilgang til personopplysninger er begrenset til det som er nødvendig for å levere tjenesten.
Klagerett
Dersom du mener vi behandler personopplysninger i strid med gjeldende regelverk, kan du klage til Datatilsynet: datatilsynet.no.
Endringer
Vesentlige endringer i denne policyen varsles i appen eller per e-post minst 30 dager før ikrafttredelse.