ROI Rekrytering Sverige AB · Org.nr 556742-3248
Innehåll
Vi agerar i två olika roller beroende på sammanhanget. Det påverkar dina rättigheter och vem som ytterst ansvarar för dina uppgifter.
När vi hanterar uppgifter för egna ändamål – exempelvis vår kandidatdatabas, marknadsföring, kundrelationer och fakturering.
När vi rekryterar på uppdrag av en kund behandlar vi kandidatuppgifter på kundens instruktion. Kunden är personuppgiftsansvarig. Vi reglerar detta i ett PUB-avtal – se fliken ovan.
Vi samlar bara in det som behövs för att kunna utföra rekryteringstjänster av hög kvalitet.
Namn, kontaktuppgifter, CV, personligt brev, bild och övrig information du delar vid en ansökan. Personnummer samlas endast in när det krävs för det specifika uppdraget.
Kontaktpersoner, faktureringsuppgifter och information om pågående eller planerade rekryteringsuppdrag.
IP-adress, webbläsartyp, cookies och hur du navigerar på vår webbplats. Används för statistik och säkerhet.
Anteckningar, bedömningar och kommunikation som uppstår under en rekryteringsprocess i våra ATS-system.
Vi behandlar personuppgifter med stöd av en eller flera rättsliga grunder enligt GDPR artikel 6.
För att fullgöra vårt uppdrag gentemot kunder och hantera ansökningar från kandidater.
För att underhålla vår kandidatdatabas, förbättra våra tjänster och förhindra missbruk.
För kontakt via e-post och för att spara uppgifter längre än 24 månader i vår kandidatdatabas.
I de fall vi är skyldiga att spara uppgifter, exempelvis med hänsyn till Diskrimineringslagen och bokföringslagen.
Vi sparar aldrig uppgifter längre än nödvändigt.
| Kategori | Bevarandetid | Motivering |
|---|---|---|
| Kandidatuppgifter (aktiv rekrytering) | 24 månader | Standard för rekryteringsprocesser |
| Kandidatuppgifter (framtida rekrytering) | Tills samtycke återkallas | Kräver aktivt samtycke från kandidaten |
| Kunduppgifter | Löpande relation + 36 månader | Affärsmässiga och bokföringsmässiga skäl |
| Tekniska loggar | 36 månader | Säkerhet och felsökning |
| Backup | 7 dagar rullande | Raderas automatiskt löpande |
| Radering från aktiva servrar | Inom 72 timmar | Efter bekräftad begäran om radering |
Data lagras på servrar hos DigitalOcean, LLC i Amsterdam, Nederländerna (inom EU/EES).
Vi säljer aldrig personuppgifter. Vi kan dela uppgifter i följande situationer:
Kandidatuppgifter delas med den kund som genomför rekryteringen, inom ramen för det aktuella uppdraget.
Teknikleverantörer bundna av PUB-avtal. Se fullständig lista i Bilaga 2 under PUB-avtalsfliken.
Om vi enligt lag är skyldiga att lämna ut uppgifter till exempelvis Skatteverket eller domstol.
Notera: Microsoft Corporation och Anthropic, PBC är verksamma i USA. Vi har säkerställt lämpliga skyddsåtgärder via EU:s standardavtalsklausuler (SCC) per GDPR artikel 46, samt deltagande i EU-U.S. Data Privacy Framework där tillämpligt.
Du har alltid rätt att utöva dina rättigheter enligt GDPR. Kontakta oss på dataskydd@roirekrytering.se så återkommer vi inom 30 dagar.
Vi använder AI-verktyg som stöd i rekryteringsprocessen, i enlighet med EU:s AI-förordning (förordning (EU) 2024/1689) och GDPR. Vår grundprincip: AI hjälper oss att arbeta bättre – men fattar aldrig beslut om människor.
Enligt AI-förordningen klassificeras AI-system som används vid rekrytering eller urval av kandidater som högrisksystem (Bilaga III). Vår grundinställning är dock att vi inte använder AI för urvalsbeslut – AI fungerar uteslutande som assistans till våra rekryterare. Vi säkerställer löpande att de AI-verktyg vi anlitar lever upp till kraven på transparens, robusthet, dokumentation och mänsklig kontroll (AI-förordningen artikel 14).
Om du som kandidat har frågor om hur AI har använts i din rekryteringsprocess, kontakta oss på dataskydd@roirekrytering.se.
Vi skyddar dina uppgifter med tekniska och organisatoriska åtgärder anpassade till behandlingens art och risk.
Vid en personuppgiftsincident som kan medföra risk för registrerades rättigheter anmäler vi detta till Integritetsskyddsmyndigheten (IMY) inom 72 timmar och informerar berörda registrerade utan onödigt dröjsmål.
Har du frågor om hur vi hanterar dina personuppgifter, eller vill du utöva dina rättigheter? Kontakta oss – vi svarar inom 30 dagar.
Företag
ROI Rekrytering Sverige AB
Org.nr
556742-3248
Adress
Drottninggatan 1D, Malmö
Dataskyddsfrågor
Allmänt
Tillsynsmyndighet
Om du inte är nöjd med hur vi hanterat dina uppgifter har du rätt att lämna in ett klagomål till IMY. Vi hoppas dock att du hör av dig till oss först.
Denna policy kan komma att uppdateras. Väsentliga ändringar kommuniceras via e-post och publiceras på denna sida. Gäller för tjänster som tillhandahålls av ROI Rekrytering Sverige AB.
ROI Rekrytering Sverige AB · Org.nr 556742-3248
Personuppgiftsansvarig
Kunden / Uppdragsgivaren
Den organisation som anlitar ROI för rekryteringsuppdrag. Ansvarar för ändamålen med behandlingen och för att kandidaterna informeras.
Personuppgiftsbiträde
ROI Rekrytering Sverige AB
Org.nr 556742-3248 · Drottninggatan 1D, Malmö · dataskydd@roirekrytering.se
1.1 Detta Biträdesavtal reglerar ROI:s behandling av personuppgifter för Kundens räkning i samband med fullföljandet av rekryteringsuppdraget. Kunden är Personuppgiftsansvarig och ROI är Personuppgiftsbiträde.
1.2 Om någon annan part under avtalstiden blir Personuppgiftsansvarig för de aktuella personuppgifterna ska Kunden informera ROI utan onödigt dröjsmål.
1.3 Vid motstridighet mellan bestämmelserna i uppdragsavtalet och detta Biträdesavtal ska Biträdesavtalets bestämmelser äga företräde i frågor om behandling av personuppgifter. Svensk lag tillämpas. Tvister som uppstår med anledning av detta avtal ska avgöras av Malmö tingsrätt som första instans.
| "Avtalet" | Det uppdragsavtal som anges i punkt 1. |
| "Behandling" | Behandling av personuppgifter enligt vid var tid gällande Dataskyddslagar. |
| "Dataskyddslagar" | GDPR (EU 2016/679), AI-förordningen (EU 2024/1689) i tillämpliga delar, samt tillkommande nationell reglering och Tillsynsmyndighetens bindande riktlinjer och beslut. |
| "Kunden" | Den Personuppgiftsansvariga part som anges i ingressen. |
| "Leverantören" | ROI Rekrytering Sverige AB som Personuppgiftsbiträde. |
| "Personuppgifter" | Uppgifter som ROI behandlar för Kundens räkning enligt detta avtal. |
| "Registrerad" | Den fysiska person som en personuppgift avser – typiskt sett kandidaten. |
| "Tillsynsmyndighet" | Integritetsskyddsmyndigheten (IMY) eller annan behörig tillsynsmyndighet. |
| "Tredjeland" | Land utanför EU/EES. |
| "Underbiträde" | Annat personuppgiftsbiträde som behandlar personuppgifter som underleverantör åt ROI. |
3.1 ROI får endast behandla personuppgifter i enlighet med Kundens dokumenterade instruktioner. Kategorier av uppgifter, ändamål, varaktighet och kategorier av registrerade beskrivs i Bilaga 1.
3.2 ROI får inte behandla personuppgifter för andra ändamål än de som uppdraget avser, om inte unionsrätten eller nationell rätt kräver annan behandling. I sådana fall informeras Kunden om det rättsliga kravet, såvida inte information är förbjuden av hänsyn till allmänintresse.
3.3 Samtliga personer som arbetar under ROI:s ledning och som får tillgång till personuppgifter ska behandla dessa enbart i enlighet med Kundens instruktioner.
3.4 Vid personuppgiftsincident som uppmärksammas av ROI underrättas Kunden omgående via e-post, dock senast inom 24 timmar från det att incidenten upptäcks. Vid incident som uppmärksammas av Kunden underrättar Kunden ansvarig kontaktperson på ROI. ROI bistår Kunden vid anmälan av incidenter till IMY enligt GDPR artikel 33.
4.1 ROI vidtar de tekniska och organisatoriska säkerhetsåtgärder som krävs enligt GDPR artikel 32, med beaktande av behandlingens art, omfattning och risken för registrerade. Åtgärderna omfattar bland annat kryptering, åtkomstkontroll, loggning, säkerhetskopiering och rutinerad återställning.
4.2 ROI bistår Kunden med att fullgöra skyldigheterna enligt artiklarna 32–36 i GDPR. Kunden har rätt att, en gång per kalenderår och efter minst trettio (30) dagars skriftligt varsel, genomföra revision eller låta utföra revision av extern oberoende part bunden av sekretess. Revision genomförs på Kundens bekostnad och på sätt som inte oskäligt stör ROI:s verksamhet. ROI kan välja att tillhandahålla aktuell tredjepartsrevision eller certifiering (exempelvis ISO 27001) som alternativ till on-site-revision. Vid misstänkt eller bekräftad personuppgiftsincident gäller ingen begränsning av revisionsrätten.
5.1 ROI säkerställer att samtliga personer med behörighet att behandla personuppgifter har åtagit sig sekretess – antingen avtalsenligt eller genom lagstadgad tystnadsplikt. Personuppgifterna är konfidentiella.
5.2 Åtkomst till personuppgifter begränsas till de medarbetare och underleverantörer som behöver uppgifterna för att utföra sitt arbete. Samtliga är bundna av personuppgiftsbiträdesavtal eller motsvarande konfidentialitetsåtaganden.
5.3 Databasadministratör anmäler (via e-post) när denne loggar in för att utföra underhållsarbete som påverkar Kundens behandling.
6.1 ROI bistår Kunden med tekniska och organisatoriska åtgärder så att Kunden kan fullgöra sin skyldighet att svara på begäranden om utövande av registrerades rättigheter enligt GDPR kapitel III, inklusive:
7.1 ROI får inte överföra personuppgifter till tredjeland utan Kundens dokumenterade instruktion eller utan att lämpliga skyddsåtgärder är på plats. Se Bilaga 2 för information om underleverantörer med verksamhet utanför EU/EES och tillämpliga skyddsåtgärder (Standardavtalsklausuler/SCC per GDPR artikel 46, samt EU-U.S. Data Privacy Framework där tillämpligt).
8.1 ROI ger Kunden tillgång till all information som krävs för att visa att skyldigheterna i GDPR artikel 28 har fullgjorts, samt möjliggör och bidrar till revisioner och inspektioner som genomförs av Kunden eller av Kunden bemyndigad revisor enligt punkt 4.2.
8.2 ROI informerar omedelbart Kunden om ROI bedömer att en instruktion strider mot GDPR eller annan dataskyddslagstiftning.
9.1 ROI informerar Kunden om eventuella planer på att anlita nytt underbiträde eller ersätta befintligt, så att Kunden ges möjlighet att invända. Aktuella underleverantörer förtecknas i Bilaga 2.
9.2 ROI ansvarar för att underbiträden åläggs motsvarande dataskyddsskyldigheter som de som gäller för ROI enligt detta avtal.
10.1 ROI använder AI-baserade verktyg som stöd i rekryteringsarbetet i enlighet med EU:s AI-förordning (EU 2024/1689) och GDPR. AI-verktyg används som assistans till rekryteraren och fattar aldrig självständiga beslut om kandidater.
10.2 ROI använder inte automatiserat beslutsfattande eller profilering med rättslig verkan enligt GDPR artikel 22. Slutligt urval och beslut om kandidater fattas alltid av en mänsklig rekryterare hos ROI eller hos Kunden.
10.3 Personuppgifter som behandlas under detta Biträdesavtal får inte användas för att träna AI-modeller hos ROI eller hos underbiträden. ROI använder enterprise-versioner av AI-tjänster där modellträning på kunddata är utesluten enligt avtal.
10.4 ROI säkerställer att AI-verktyg som anlitas uppfyller AI-förordningens krav på transparens, robusthet och mänsklig kontroll (AI-förordningen artikel 14).
11.1 Om ROI, personal under ROI:s ledning eller anlitat underbiträde behandlar personuppgifter i strid med detta avtal eller Kundens lagenliga instruktioner, ska ROI ersätta Kunden för direkt skada – dock alltid begränsat till ett belopp motsvarande de avgifter Kunden erlagt under de senaste tolv (12) månaderna. Ansvarsbegränsningen gäller inte vid uppsåt eller grov vårdslöshet, eller vid skyldighet enligt tvingande dataskyddslagstiftning.
11.2 Kunden ska utan onödigt dröjsmål skriftligen underrätta ROI om krav som framställts mot Kunden och får inte acceptera ersättningskrav eller uppgörelser utan ROI:s godkännande.
11.3 Kunden ska hålla ROI skadeslös för skada som uppstår till följd av Kundens agerande i strid med detta avtal eller tillämpliga dataskyddslagar.
11.4 Vardera parts ansvar för administrativa sanktionsavgifter som beslutats av tillsynsmyndighet ska fördelas i förhållande till respektive parts faktiska ansvar för överträdelsen.
12.1 Biträdesavtalet gäller från undertecknande av uppdragsavtalet och så länge ROI behandlar personuppgifter för Kundens räkning.
12.2 När uppdraget avslutas ska ROI, enligt Kundens val, radera eller återlämna alla personuppgifter och radera befintliga kopior – såvida inte lagring krävs enligt unionsrätten eller nationell rätt. Radering eller återlämnande ska ske inom trettio (30) dagar från Kundens skriftliga begäran.
13.1 Om Dataskyddslagarna ändras eller om Tillsynsmyndigheten utfärdar riktlinjer som innebär att detta avtal inte längre uppfyller gällande krav, har respektive part rätt att begära nödvändiga ändringar.
| Parameter | Innehåll |
|---|---|
| Kategorier av personuppgifter | Förnamn, efternamn, personnummer (när nödvändigt), telefonnummer, e-postadress, bild, adress samt övrig information som kan utgöra personuppgifter och som kandidaten lämnar i samband med en ansökan. |
| Kategorier av registrerade | Arbetssökande / kandidater |
| Ändamål | ROI tillhandahåller rekryteringsstöd, ATS-system och konsulthjälp. Berörd personal hos ROI ska kunna granska och arbeta med ansökningar för att leverera av Kunden efterfrågad rekryteringssupport i samband med Kundens rekryteringar. |
| Gallringstid | 24 månader per rekrytering (kan förändras på Kundens uppmaning). Backupper tas dagligen och raderas efter 7 dagar. |
| Praktisk hantering | Kunden styr vilka som ges tillgång till kontot i ATS-systemet. Inloggning kräver dubbelautentisering (mobilnummer + e-post + lösenord). All aktivitet som berör personuppgifter loggas och kan begäras ut av Kunden. |
Följande underbiträden anlitas av ROI Rekrytering Sverige AB. ROI ansvarar för att samtliga åläggs adekvata dataskyddsskyldigheter genom separata avtal.
| Företag | Org.nr | Adress | Tjänst | Dataöverföring |
|---|---|---|---|---|
| Midpoint AB (Workspace Recruit) | 556715-1641 | Säterivägen 20, 653 41 Karlstad | ATS-system (Workspace Recruit) | Inom EU/EES |
| Teamtailor AB | 556936-6668 | Östgötagatan 16, 116 25 Stockholm | ATS-system (Teamtailor) | Inom EU/EES |
| Upsales Nordic AB | 556641-2507 | Sveavägen 21, 111 34 Stockholm | CRM-system | Inom EU/EES |
| Assessio Sverige AB | 556047-4255 | Banérgatan 16, 115 23 Stockholm | Arbetspsykologiska tester och assessments | Inom EU/EES |
| DigitalOcean, LLC | US-bolag | 101 6th Ave, New York, NY 10013 | Serverhosting (datalagring sker i datacenter Amsterdam, EU) | Datalagring inom EU/EES. SCC tillämpas för eventuell support-access från USA. |
| Microsoft Corporation | US-bolag | One Microsoft Way, Redmond, WA 98052 | Office 365 & Microsoft Copilot | Tredjeland (USA) – SCC och EU-U.S. Data Privacy Framework tillämpas |
| Anthropic, PBC | US-bolag | 548 Market St, San Francisco, CA 94104 | Claude – AI-stöd för rekrytering och dokumentation | Tredjeland (USA) – SCC tillämpas. Modellträning på kunddata är utesluten enligt enterprise-avtal. |
Vid anlitande av nytt underbiträde informeras Kunden i förväg med möjlighet att invända (punkt 9.1). Aktuell version av denna bilaga publiceras alltid på roirekrytering.se.