Privacy policy for job applicants
This Privacy policy (the ‘Privacy Policy’) describes how Bokio Group AB, with corporate identification number 556873-7877, (‘Bokio’, ‘we’, ‘our’ och ‘us’), processes your personal data as a job applicant with us.
This Privacy Policy is adopted in Swedish but please find a non official English translation after the Swedish version.
Denna integritetspolicy för arbetssökande (”Integritetspolicyn”) beskriver hur Bokio Group AB, org. nr. 556873-7877, (”Bokio”, ”vi”, ”vår” och ”oss”), behandlar personuppgifter om dig som arbetssökande hos oss.
Tjänsten för hantering av rekryteringar och förenkling av anställningsprocessen ("Tjänsten") drivs av Teamtailor AB på uppdrag av oss. Bakgrundskontroller hanteras av SRS Security (“SRS”). Det är viktigt att du som använder Tjänsten är säker på och informerad om hur vi hanterar dina personuppgifter i rekryteringsprocessen. Vi strävar efter att upprätthålla högsta möjliga standard när det gäller skydd av personuppgifter.
Vi är måna om att du känner dig trygg med hur vi behandlar dina personuppgifter och vi ber dig därför läsa igenom Integritetspolicyn, som vi kan komma att uppdatera från tid till annan. Du kan se när vi senast gjorde uppdateringar högst upp i Integritetspolicyn.
1. Allmänt
Vi ansvarar för den personuppgiftsbehandling som beskrivs i Integritetspolicyn i egenskap av personuppgiftsansvarig. Dina personuppgifter behandlas med syftet att hantera och underlätta rekrytering av anställda till vår verksamhet.
2. Insamling av personuppgifter
Vi behandlar personuppgifter som du lämnat till oss genom att använda Tjänsten eller som vi på andra sätt samlar in i samband med Tjänsten.
Vi samlar in dina personuppgifter från dig när du;
gör en ansökan via Tjänsten eller på annat sätt lägger till personuppgifter om dig själv personligen eller genom att använda en tredje part, t. ex. Facebook eller LinkedIn;
använder Tjänsten för att ansluta till vår personal, genom att lägga till personuppgifter om dig själv personligen eller genom att använda en tredje part, till exempel Facebook eller LinkedIn; och
tillhandahåller identifierbara uppgifter i chatten (som tillhandahålls via den webbplats som använder Tjänsten) och sådana uppgifter som är relevanta för ansökningsförfarandet.
Vi samlar även in data från tredje part, som Facebook, LinkedIn och via andra offentliga källor såsom Skatteverket. Detta kallas "Sourcing" och utförs manuellt av våra anställda eller automatiskt i Tjänsten. Våra anställda samlar även in data från referenspersoner.
I vissa fall kan befintliga anställda göra rekommendationer om potentiella arbetssökande. Sådana anställda kommer att lägga till personuppgifter om potentiella arbetssökande. I de fall detta görs kommer den potentiella arbetssökanden omfattas av Integritetspolicyn och informeras om personuppgiftsbehandlingen.
3. Hur vi behandlar dina personuppgifter
Vi behandlar bara dina personuppgifter om behandlingen är tillåten enligt tillämplig dataskyddslagstiftning. Detta innebär bl.a. att vi måste ha stöd för ändamålen med behandlingen i form av så kallad rättslig grund, vilket för vår del huvudsakligen innebär någon av följande grunder:
Fullgörande av avtal – behandlingen är nödvändig för att fullgöra skyldigheter enligt anställningsavtalet mellan dig och oss, eller för att vidta åtgärder på begäran av dig innan anställningsavtal ingås.
Fullgörande av rättsliga förpliktelser och utövande av rättigheter – behandlingen är nödvändig för att fullgöra rättsliga skyldigheter, t.ex. i den mån vi omfattas av skyldigheter inom arbetsrätten enligt lag, annan författning eller kollektivavtal, eller åläggs viss skyldighet enligt domstols- eller myndighetsbeslut som kräver att vi behandlar uppgifter om dig. Behandling av dina personuppgifter kan också ske om det på motsvarande sätt är nödvändigt för att utöva rättigheter inom arbetsrätten relaterat till din anställning.
Intresseavvägning – behandlingen är nödvändig för ändamål som rör våra eller tredje parts berättigade intressen, dock förutsatt att inte dina intressen eller grundläggande rättigheter eller friheter väger tyngre (i så fall får behandlingen inte ske).
Generellt sett sker behandlingen av dina personuppgifter för personaladministrativa ändamål med hänvisning till att den är nödvändig för att vi ska kunna fullgöra våra skyldigheter i anställningsförhållandet med dig enligt anställningsavtalet oss emellan, eller i anledning av de rättsliga förpliktelser som vi omfattas av i egenskap av din arbetsgivare.
Nedan redogör vi närmare för de kategorier av personuppgifter vi behandlar, för vilka ändamål vi behandlar dem och vilka rättsliga grunder som vår behandling av dina personuppgifter stödjer sig på, inklusive hur länge uppgifterna om dig sparas hos oss.
3.1 Urval och rekrytering
Behandlingens ändamål: Urval och rekrytering av kandidater baserat på inlämnade ansökningshandlingar (såsom CV och personligt brev), intervjuer, referenstagning samt i förekommande fall personlighets- och intelligenstester.
Behandlingar som utförs:
Kategorier av personuppgifter:
För- och efternamn.
Personnummer
Adress.
Kontaktuppgifter såsom e-postadress och telefonnummer.
Ansökningshandlingar såsom CV och personligt brev.
Bild (i tillämpliga fall).
Information som lämnas om dig vid intervjuer och referenstagning, såsom omdömen från tidigare arbetsgivare.
Testresultat från personlighets- och intelligenstester.
Rättslig grund: Intresseavvägning, fullgörande av rättslig förpliktelse.
Behandlingen är nödvändig för att tillgodose vårt berättigade intresse av att kunna utvärdera dina meriter och personliga egenskaper i samband med urval för och beslut om rekrytering.
Behandlingen är även nödvändig för fullgörande av rättslig förpliktelse att dokumentera uppgift om utbildning, yrkeserfarenhet och andra meriter för de personer som anställs för att uppfylla lagkraven i 2 kap. 4 § i diskrimineringslagen (2008:567).
Lagringsperiod: 12 månader efter att dina uppgifter registrerades i Tjänsten kommer du att få ett meddelande från Tjänsten där du måste samtycka till fortsatt lagring av dina uppgifter. Om du inte samtycker till fortsatt lagring kommer dina uppgifter att raderas. Om du ger samtycke, så kommer du därefter att få meddelande om samtycke var tolfte månad tills dess du väljer att inte längre lagra dina uppgifter i Tjänsten. Uppgifter som samlas in om dig i samband med att du söker jobb hos oss raderas som utgångspunkt efter det att rekryteringsprocessen avslutats och som längst upp till två (2) år därefter.
Information från referenstagning hanteras konfidentiellt och separat från Tjänsten och raderas inom ett (1) år efter (a) anställningens startdatum eller (b) referenserna lämnades.
Delning av personuppgifter: Vi kommer att dela dina personuppgifter med vår leverantör av rekryteringssystem.
3.2 Bedömning om förutsättningar för anställning i Sverige
Behandlingens ändamål: Avgöra om förutsättningarna för anställning och arbete i Sverige är uppfyllda och för att fullgöra skyldigheter enligt utlänningslagen (2005:716).
Behandlingar som utförs:
Kontroll av medborgarskap och arbetstillstånd / uppehållstillstånd.
Kontakt med Skatteverket.
Kontakt med Migrationsverket.
Kategorier av personuppgifter:
För- och efternamn.
Adress.
Kontaktuppgifter såsom e-postadress och telefonnummer.
Personnummer (eller motsvarande uppgift).
Kopia av ett beslut från Migrationsverket om uppehålls- och arbetstillstånd.
Uppehållstillståndskort/LMA-kort.
Anställningens startdatum.
Anställningsvillkor.
Rättslig grund: Fullgörande av rättslig förpliktelse.
Fullgörande av rättslig förpliktelse att kontrollera och dokumentera rätten att vara och arbeta i Sverige samt att informera Skatteverket om anställningen i enlighet med tvingande lagstiftning (20 kap. 12 § utlänningslagen (2005:716) samt 6 kap. 13 a § och 7 kap. 1 b § i utlänningsförordningen (2006:97)).
Lagringsperiod: Uppgifterna sparas som utgångspunkt upp till ett (1) år efter att anställningen upphört.
Vid bakgrundskontroller via SRS Security och UL raderas samtlig data 25 dagar efter skapad rapport (oavsett internationell eller lokal (Hire Right / SRS)).
Delning av personuppgifter: Vi kommer att dela dina personuppgifter med Skatteverket och Migrationsverket. Bokio genomför även bakgrundskontroller av arbetssökande, vilket innebär att SRS Security tar del av personuppgifter. SRS Security använder i sin tur UL vid internationella kontroller etc.
3.3 Användning av AI i rekryteringsprocessen
Behandlingens ändamål: Användning av programmet Co-pilot som är en AI-baserad del av Tjänsten i syfte att stödja rekryteringsprocessen genom att med hjälp av AI bearbeta kandidaters ansökningshandlingar, intervjuer och kommunikation för att underlätta urval och beslutsfattande.
Behandlingar som utförs:
Sammanfattning av CV och ansökningshandlingar.
Skapande av frågor för intervjuer.
Generering av meddelanden till kandidater (t.ex. avslag).
Transkribering och sammanfattning av intervjuer (video eller text).
Förslag på lämpliga kandidater baserat på deras data.
Kategorier av personuppgifter:
För- och efternamn.
Information från eventuella intervjuer, t.ex. transkriberingar.
Ansökningshandlingar såsom CV och personligt brev.
Jobbansökningar
Betyg och bedömningar
Kontaktuppgifter såsom e-postadress och telefonnummer
Rättslig grund: Intresseavvägning.
Behandlingen är nödvändig för att tillgodose vårt berättigade intresse att effektivisera rekryteringsprocessen genom AI-bearbetning av din ansökningshandlingar, skapa AI-genererade intervjufrågor och AI-sammanfattningar av CV:n samt för att kunna fatta mer välgrundade beslut.
Lagringsperiod: Tolv (12) månader efter att dina uppgifter registrerades i Tjänsten kommer du att få ett meddelande från Tjänsten där du måste samtycka till fortsatt lagring av dina uppgifter. Om du inte samtycker till fortsatt lagring kommer dina uppgifter att raderas. Om du ger samtycke, så kommer du därefter att få meddelande om samtycke var tolfte månad tills dess du väljer att inte längre lagra dina uppgifter i Tjänsten. Uppgifter som samlas in om dig i samband med användning av Co-pilot lagras i OpenAI i trettio (30) dagar. Filer med eventuella personuppgifter som delas med OpenAI raderas så snart de har behandlats.
Delning av personuppgifter: Vi kommer att dela dina personuppgifter som behandlas inom ramen för Tjänsten och rekryteringsprocessen med OpenAI.
4. Säkerhetsåtgärder
Vi vidtar säkerhetsåtgärder för att tillse att vår hantering av dina personuppgifter sker på ett säkert sätt. Som exempel är de system i vilka personuppgifterna lagras bara tillgängliga för våra anställda och tjänsteleverantörer som behöver uppgifterna för att fullgöra sina uppdrag. Dessa är även informerade om vikten av säkerhet och sekretess i förhållande till de personuppgifter vi behandlar. Vi vidtar lämpliga säkerhetsåtgärder och säkerhetsnormer för att skydda dina personuppgifter mot obehörig åtkomst, obehörigt utlämnande och missbruk. Vi övervakar även våra system för att upptäcka sårbarheter.
5. Med vilka delar vi dina personuppgifter?
Åtkomsten till dina personuppgifter är begränsad till personer som behöver sådan åtkomst för de ändamål som beskrivs i avsnitt 3 och 4 ovan. Dina personuppgifter kommer därmed att delas med följande mottagare:
Bolag inom vår koncern: Vi kommer att dela dina personuppgifter med andra bolag inom vår koncern t.ex. för genomförande av personlighets- och intelligenstester. Om vi delar dina personuppgifter med bolag inom vår koncern kommer vi se till att uppgifterna även fortsättningsvis behandlas i enlighet med denna Integritetspolicy.
Myndigheter: Vi kommer att lämna ut dina personuppgifter till myndigheter (såsom Skatteverket eller Polisen) när det krävs enligt lag, föreskrift eller domstols- eller myndighetsbeslut, i syfte att fullgöra däri angiven rättslig förpliktelse.
Våra leverantörer: Vi använder oss av tredjepartsleverantörer för att hantera delar av vår verksamhet, t.ex. konsulter och leverantörer som bistår i urvals- och rekryteringsprocessen samt våra IT-leverantörer. Vi kommer att dela personuppgifter med dessa leverantörer i samband med att de utför tjänster på uppdrag av oss. När vi använder oss av leverantörer enligt denna punkt upprättar vi personuppgiftsbiträdesavtal och vidtar andra lämpliga åtgärder för att säkerställa att dina personuppgifter behandlas på ett sätt som överensstämmer med denna Integritetspolicy.
6. Var vi behandlar dina personuppgifter
Vi har som mål att alltid behandla dina personuppgifter inom EU/EES. Eftersom en del av våra leverantörer är internationella kommer dina personuppgifter att överföras till länder utanför EU/EES enligt de avtal vi har med leverantörerna. Vi har i sådana fall en skyldighet att se till att överföringen sker enligt tillämplig dataskyddslagstiftning innan uppgifterna överförs, t.ex. genom att försäkra oss om att landet dit uppgifterna överförs uppfyller krav på adekvat skyddsnivå enligt EU-kommissionens beslut, eller genom att säkerställa att överföringen omfattas av lämpliga skyddsåtgärder i form av t.ex. standardavtalsklausuler som EU-kommissionen har beslutat om vilka tillförsäkrar att lämpliga åtgärder vidtas för att tillvarata dina rättigheter och friheter.
Via följande länk hittar du information om de länder utanför EU/EES som EU-kommissionen beslutat uppfyller en adekvat skyddsnivå för tillåten överföring av personuppgifter:
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_sv
Via följande länk hittar du de standardavtalsklausuler som EU-kommissionen har beslutat tillförsäkrar att lämpliga skyddsåtgärder vidtas hos den som mottar personuppgifter efter överföring från EU/EES:
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_sv
För information om huruvida vi överfört dina personuppgifter till ett land utanför EU/EES, vilka länder vi överfört dina personuppgifter till samt vilka säkerhetsåtgärder som vidtagits för överföringen, vänligen kontakta oss genom att använda kontaktuppgifterna i slutet av denna integritetspolicy.
7. Dina Rättigheter
Du har rättigheter i förhållande till oss och vår behandling av dina personuppgifter. Information om dina rättigheter och hur du går till väga för att utöva dem anges nedan.
Vi ber dig observera att dina rättigheter gäller i den omfattning som följer av tillämplig dataskyddslagstiftning och att det i förekommande fall kan föreligga undantag från rättigheterna. Vi ber dig även observera att vi kan komma att behöva mer information från dig i syfte att bl.a. bekräfta din identitet innan vi går vidare med din begäran om att utöva dina rättigheter.
För att utöva dina rättigheter eller begära mer information om dessa ber vi dig att kontakta oss, vilket enklast sker via kontaktuppgifterna som anges vid punkt 12 i denna Integritetspolicy.
7.1 Rätten till tillgång
Du har rätt att få bekräftelse på om vi behandlar personuppgifter som rör dig. Om så är fallet har du också rätt att få tillgång till dessa personuppgifter genom ett s.k. registerutdrag samt ytterligare information om den aktuella behandlingen, såsom för vilket eller vilka ändamål behandlingen sker, berörda kategorier av personuppgifter samt vilka mottagare som personuppgifterna lämnats ut till.
7.2 Rätten till rättelse
Du har rätt att utan dröjsmål få felaktiga uppgifter om dig rättade. Du kan även ha rätt att komplettera ofullständiga uppgifter.
7.3 Rätten till radering
Du kan begära att vi utan dröjsmål raderar dina personuppgifter om:
Personuppgifterna inte längre är nödvändiga för de ändamål de samlats in eller annars behandlats;
Vår personuppgiftsbehandling sker med stöd av ditt samtycke och du återkallar ditt samtycke till behandlingen i fråga (utgångspunkten är dock att vi som arbetsgivare inte behandlar personuppgifter om anställda eller de som sökt jobb hos oss med stöd av samtycke);
Du invänder mot behandling som vi genomför med stöd av intresseavvägning och din invändning väger tyngre än vårt eller annans berättigade intresse av behandlingen;
Personuppgifterna har behandlats på olagligt sätt;
Personuppgifterna måste raderas för att uppfylla en rättslig förpliktelse.
7.4 Rätten till begränsning av behandling
Du har rätt att begära att vi begränsar behandlingen av dina personuppgifter om:
Du bestrider personuppgifternas korrekthet, under en tid som ger oss möjlighet att kontrollera om uppgifterna är korrekta eller inte;
Behandlingen är olaglig och du motsätter dig att vi raderar dina personuppgifter och istället begär att vi begränsar användningen av dem;
Vi inte längre behöver behandla uppgifterna för de ändamål de samlades in för, samtidigt som du behöver uppgifterna för att kunna fastställa, göra gällande eller försvara rättsliga anspråk;
Du invänt mot den behandling som vi genomför med stöd av intresseavvägning och väntar på kontroll av om din invändning väger tyngre än vårt eller annans berättigade intresse av att fortsätta med behandlingen.
7.5 Rätten att göra invändningar
Du har rätt att göra invändningar mot sådan behandling av dina personuppgifter som sker baserat på vårt eller annans berättigade intresse. Om så sker måste vi, för att få fortsätta behandlingen, kunna visa tvingande berättigade skäl som väger tyngre än dina intressen, rättigheter och friheter.
7.6 Rätten till dataportabilitet
Om vi behandlar dina personuppgifter med stöd av ett avtal med dig (eller med stöd av ditt samtycke), har du rätt att få ut de personuppgifter som du lämnat till oss och som rör dig i ett elektroniskt format. Du har rätt att få uppgifterna i fråga överförda från oss direkt till annan personuppgiftsansvarig, när detta är tekniskt möjligt.
Vi ber dig observera att denna rätt till s.k. dataportabilitet inte omfattar sådana uppgifter som behandlas manuellt av oss.
7.7 Rätt att återkalla ditt samtycke
Om vår behandling av dina personuppgifter skulle grunda sig på ditt samtycke har du alltid rätt att när som helst återkalla ditt samtycke. En återkallelse av ditt samtycke påverkar inte lagligheten av den behandling som skett baserat på samtycket innan detta återkallades.
8. Klagomål till tillsynsmyndigheten
I Sverige är Integritetsskyddsmyndigheten den myndighet som är ansvarig för att övervaka tillämpningen av gällande dataskyddslagstiftning. Om du anser att vi behandlar dina personuppgifter på ett felaktigt sätt uppmuntrar vi dig att i första hand kontakta oss så vi får möjlighet att se över dina synpunkter. Du kan dock alltid lämna in ditt klagomål hos Integritetsskyddsmyndigheten.
9. Aggregerad data (icke identifierbara personuppgifter)
Vi kan komma att dela aggregerad information till tredje part. Den aggregerade informationen har i ett sådant fall sammanställts från information som samlats in genom Tjänsten och kan exempelvis bestå av statistik över internettrafik eller det geografiska läget för användandet av Tjänsten. Aggregerad information innehåller inte någon information som kan härledas till viss individ och utgör därmed inte personuppgifter.
10. Cookies
När du använder Tjänsten kommer information om användandet att lagras genom cookies. Cookies är passiva textfiler som lagras av webbläsaren i din enhet, såsom din dator, mobil eller surfplatta, vid uppkoppling mot Tjänsten. Vi använder cookies för att underlätta din användning av Tjänsten samt för att inhämta information såsom exempelvis statistik om din användning av Tjänsten. Detta sker i syfte att säkerställa, underhålla och förbättra Tjänsten. Du kan läsa mer om hur vi använder cookies i vår Cookie Policy.
Informationen som inhämtas från cookies kan även utgöra personuppgifter och i sådant fall omfattas behandlingen av denna Integritetspolicy. Du kan när som helst neka användningen av cookies genom att ändra inställningar i din enhet. Om så sker kan dock din upplevelse av Tjänsten försämras, exempelvis genom att vissa funktioner i Tjänsten inte längre finns tillgängliga.
11. Ändringar
Vi kan komma att uppdatera Integritetspolicyn. Du kan se när vi senast gjorde uppdateringar högst upp i Integritetspolicyn. Den senaste versionen av Integritetspolicyn kommer alltid att finnas tillgänglig via Tjänsten. En ny version anses vara kommunicerad till dig när du antingen har fått ett e-postmeddelande som informerar dig om den nya versionen (med den e-postadress som du anger i samband med användningen av Tjänsten) eller när du annars informeras om den uppdaterade Integritetspolicyn.
12. Kontakt
För frågor, ytterligare information om vår hantering av personuppgifter eller för att kontakta oss i andra frågor, använd följande kontaktuppgifter: oskar.j@bokio.se.
Privacy Policy for job applicants
This Privacy policy (the ‘Privacy Policy’) describes how Bokio Group AB, with corporate identification number 556873-7877, (‘Bokio’, ‘we’, ‘our’ och ‘us’), processes your personal data as a job applicant with us.
The service for managing recruitments and simplifying the recruitment process (the ‘Service’) is operated by Teamtailor AB on behalf of us. Background checks are managed by SRS Security (‘SRS’). It is important that you, as a user of the Service, are assured and informed about how we handle your personal data in the recruitment process. We endeavour to maintain the highest possible standards of personal data protection.
We want you to feel assured about how we process your personal data and we therefore ask you to read the Privacy Policy, which we may update from time to time. You can see when we made the last updates at the top of the Privacy Policy.
1. General
We are responsible for the personal data processing described in the Privacy Policy in our role as a data controller. Your personal data is processed for the purpose of managing and simplifying the recruitment of employees to our organisation.
2. Collection of personal data
We process personal data that you provide to us by using the Service or that we otherwise collect in connection with the Service.
We collect personal data from you when you;
make an application via the Service or otherwise add personal data about yourself personally or by using a third party, such as Facebook or LinkedIn
use the Service to connect with our employees, by adding personal data about yourself personally or by using a third party, such as Facebook or LinkedIn; and
providing identifiable data in the chat (provided via the website using the Service) and such data relevant to the application procedure.
We also collect data from third parties, such as Facebook, LinkedIn and via other public sources such as the Swedish Tax Agency. This is called ‘Sourcing’ and is done manually by our employees or automatically in the Service. Our employees also collect data from references.
In some cases, existing employees may make recommendations about potential job applicants. Such employees will add personal data about potential job applicants. Where this is done, the potential job applicant will be subject to the Privacy Policy and informed of the personal data processing.
3. How we process your personal data
We will only process your personal data if the processing is lawful under applicable data protection law. This means, among other things, that we must have a legal basis for the purposes of the processing, which for us mainly means one of the following legal bases:
Fulfilment of agreement - the processing is necessary for the fulfilment of obligations under the employment agreement between you and us, or to take measures at your request prior to entering into an employment agreement.
Fulfilment of legal obligations and exercise of rights - processing is necessary for the fulfilment of legal obligations, e.g. to the extent that we are subject to obligations under labour law, other legislation or collective agreements, or are subject to certain obligations under court or administrative decisions that require us to process data about you. Processing of your personal data may also take place if it is correspondingly necessary to exercise labour law rights related to your employment.
Legitimate interests - processing is necessary for the purposes of our legitimate interests or those of a third party, but only where such interests are not overridden by your interests or fundamental rights and freedoms (in that event, the processing may not take place).
Generally, the processing of your personal data for HR purposes is carried out on the basis that it is necessary for us to fulfil our obligations in the employment relationship with you under the agreement between us, or in relation to legal obligations to which we are subject as your employer.
In the sections below, we describe in more detail the categories of personal data we process, the purposes for which we process them and the legal bases on which we base our processing of your personal data, including how long your data will be stored by us.
3.1 Candidate selection and recruitment
Purpose of the processing: Selection and recruitment of candidates based on submitted application documents (such as CV and cover letter), interviews, reference checks and, where applicable, personality and intelligence tests.
Processing carried out:
Categories of personal data:
First and last name.
Personal identification number.
Address.
Contact details such as e-mail address and telephone number.
Application documents such as CV and cover letter.
Photo (if applicable).
Information provided about you during interviews and reference checks, such as references from previous employers.
Test results from personality and intelligence tests.
Legal basis: Legitimate interest, fulfilment of a legal obligation.
The processing is necessary for the purposes of our legitimate interest in assessing your qualifications and personal qualities in connection with selection and recruitment decisions.
The processing is also necessary for the fulfilment of a legal obligation to document information about education, professional experience and other qualifications of the persons employed in order to comply with the legal requirements in Chapter 2, Section 4 of the Discrimination Act (2008:567).
Storage period: Twelve (12) months after your data was registered in the Service, you will receive a message from the Service asking you to consent to the continued storage of your data. If you do not consent to the continued storage, your data will be deleted. If you do consent, you will receive a consent notice every 12 months thereafter until you choose to no longer store your data in the Service. Data collected about you in connection with applying for a job with us will be deleted after the recruitment process is completed and for a maximum of two (2) years thereafter.
Information from referencing is handled confidentially and separately from the Service and is deleted within one (1) year after (a) the start date of employment or (b) the references were provided.
Transfer of personal data: We will share your personal data to our recruitment system provider.
3.2 Assessment of conditions for employment in Sweden
Purpose of the processing: Determine whether the conditions for employment and work in Sweden are met and to fulfil obligations under the Aliens Act (2005:716).
Processing carried out:
Verification of nationality and work/residence permit.
Contact with the Swedish Tax Agency.
Contact with the Swedish Migration Agency.
Categories of personal data:
First and last name.
Address.
Contact details such as e-mail address and telephone number.
Personal identity number (or equivalent information).
Copy of a decision from the Swedish Migration Agency on residence and work permits.
Residence permit card/LMA card.
Start date of employment.
Conditions of employment.
Legal basis: Fulfilment of a legal obligation.
Fulfilment of a legal obligation to verify and document the right to be and work in Sweden and to inform the Swedish Tax Agency of the employment in accordance with mandatory legislation (Chapter 20, Section 12 of the Aliens Act (2005:716) and Chapter 6, Section 13a and Chapter 7, Section 1b of the Aliens Ordinance (2006:97)).
Storage period: As a starting point, the data is stored for up to one (1) year after the end of employment.
In the case of background checks via SRS Security and UL, all data is deleted 25 days after the report is created (regardless of international or local (Hire Right / SRS))..
Transfer of personal data: We will share your personal data with the Swedish Tax Agency and the Swedish Migration Agency. Bokio also conducts background checks on job applicants, which means that SRS Security takes part of personal data. SRS Security will, in turn, use UL for international checks etc.
3.3 Use of AI in the recruitment process
Purpose of the processing: Use of the Co-pilot programme, which is an AI-based part of the Service, to support the recruitment process by using AI to process candidates' application documents, interviews and communications to facilitate selection and decision-making.
Processing carried out:
Summary of CVs and application documents.
Creation of questions for interviews.
Generation of messages to candidates (e.g. rejection).
Transcription and summarisation of interviews (video or text).
Proposal of suitable candidates based on their data.
Categories of personal data:
First and last name.
Information from any interviews, e.g. transcripts
Application documents such as CV and cover letter.
Job applications
Grades and assessments
Contact details such as email address and phone number
Legal basis: Legitimate interests.
The processing is necessary to meet our legitimate interest to streamline the recruitment process through AI processing of your application documents, create AI-generated interview questions and AI summaries of CVs and to make more informed decisions.
Storage period: Twelve (12) months after your data was registered in the Service, you will receive a message from the Service asking you to consent to the continued storage of your data. If you do not consent to continued storage, your data will be deleted. If you do consent, you will receive a consent notice every twelve months thereafter until you choose to no longer store your data in the Service. Data collected about you in connection with the use of Co-pilot is stored in OpenAI for thirty (30) days. Files containing any personal data shared with OpenAI will be deleted as soon as they have been processed.
Transfer of personal data: We will share your personal data processed in the context of the Service and the recruitment process with OpenAI.
4. Security measures
We take security measures to ensure that our handling of your personal data is performed in a secure manner. For example, the systems in which personal data are stored are only accessible to our employees and service providers who need the data to fulfil their duties. They are also informed of the importance of security and confidentiality in relation to the personal data we process. We implement appropriate security measures and standards to protect your personal data against unauthorised access, disclosure and misuse. We also monitor our systems to detect vulnerabilities.
5. With whom do we share your personal data?
Access to your personal data is limited to persons who need such access for the purposes described in sections 3 and 4 above. Your personal data will therefore be shared with the following recipients:
Companies within our corporate group: We will share your personal data with other companies within our corporate group, e.g. for the purpose of conducting personality and intelligence tests. If we share your personal data with companies within our corporate group, we will ensure that the data continues to be processed in accordance with this Privacy Policy.
Authorities: We will disclose your personal data to authorities (such as the Swedish Tax Agency or the Police) when required by law, regulation or court or government decision, in order to fulfil the legal obligation stated therein.
Our suppliers: We use third-party suppliers to manage parts of our business, such as consultants and suppliers who assist in the selection and recruitment process and our IT suppliers. We will share personal data with these suppliers when they perform services on our behalf. When we use suppliers under this paragraph, we will establish data processing agreements and take other appropriate measures to ensure that your personal data is processed in a manner consistent with this Privacy Policy.
6. Where we process your personal data
We aim to always process your personal data within the EU/EEA. As some of our suppliers are international, your personal data will be transferred to countries outside the EU/EEA according to the agreements we have with the suppliers. In such cases, we have an obligation to ensure that the transfer takes place in accordance with applicable data protection legislation before the data is transferred, e.g. by ensuring that the country to which the data is transferred fulfils the requirements for an adequate level of protection as decided by the European Commission, or by ensuring that the transfer is covered by appropriate safeguards in the form of, for example, standard contractual clauses decided by the European Commission, which ensure that appropriate measures are taken to safeguard your rights and freedoms.
The following link provides information on the countries outside the EU/EEA that the European Commission has decided fulfil an adequate level of protection for the authorised transfer of personal data:
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_sv
The following link provides the standard contractual clauses decided by the European Commission to ensure that appropriate safeguards are put in place by the recipient of personal data after transfer from the EU/EEA:
https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_sv
For information on whether we have transferred your personal data to a country outside the EU/EEA, the countries to which we have transferred your personal data and the security measures taken for the transfer, please contact us using the contact details at the end of this Privacy Policy.
7. Your rights
You have rights in relation to us and our processing of your personal data. Information about your rights and how to exercise them is set out below.
Please note that your rights apply to the extent required by applicable data protection law and that there may be exceptions to these rights where applicable. Please also note that we may need more information from you in order to, among other things, confirm your identity before we proceed with your request to exercise your rights.
To exercise your rights or request more information about them, please contact us using the contact details provided in section 12 of this Privacy Policy.
7.1 The right of access
You have the right to obtain confirmation as to whether we are processing personal data concerning you. If so, you also have the right to obtain access to this personal data by means of a so-called register extract as well as further information on the processing in question, such as the purpose(s) for which the processing is carried out, the categories of personal data concerned and the recipients to whom the personal data have been disclosed.
7.2 The right to rectification
You have the right to have inaccurate data about you rectified without undue delay. You may also have the right to complete incomplete personal data concerning you.
7.3 The right to erasure
You can request that we delete your personal data without undue delay if:
The personal data is no longer necessary for the purposes for which it was collected or otherwise processed;
Our personal data processing is based on your consent and you withdraw your consent to the processing in question (however, the starting point is that we as an employer do not process personal data about employees or those who have applied for a job with us based on consent);
You object to the processing we carry out on the basis of a balance of interests and your objection overrides our or another party's legitimate interest in the processing;
The personal data has been processed unlawfully;
The personal data must be erased to comply with a legal obligation.
7.4 The right to restriction of processing
You have the right to request that we restrict the processing of your personal data if:
You object to the accuracy of the personal data, for a period of time that allows us to verify whether the data is accurate or not;
The processing is unlawful and you object to us erasing your personal data and instead request that we restrict its use;
We no longer need to process the data for the purposes for which they were collected, while you need the data to establish, exercise or defend legal claims;
You have objected to the processing we are carrying out on the basis of a balancing of interests and are awaiting verification of whether your objection outweighs our or another party's legitimate interest in continuing with the processing.
7.5 The right to object
You have the right to object to the processing of your personal data that is based on our legitimate interests or those of another party. If we do so, we must be able to demonstrate compelling legitimate grounds that override your interests, rights and freedoms in order to continue processing.
7.6 The right to data portability
If we process your personal data on the basis of a contract with you (or on the basis of your consent), you have the right to receive the personal data that you have provided to us and that relates to you in an electronic format. You have the right to have the data in question transferred from us directly to another controller, where this is technically possible.
Please note that this right to ‘data portability’ does not apply to data processed manually by us.
7.7 The right to withdraw your consent
If our processing of your personal data is based on your consent, you have the right to withdraw your consent at any time. Withdrawing your consent does not affect the lawfulness of the processing that took place based on your consent before it was withdrawn.
8. Complaints to the supervisory authority
In Sweden, the Swedish Authority for Privacy Protection is the authority responsible for monitoring the application of applicable data protection legislation. If you believe that we are processing your personal data incorrectly, we encourage you to contact us in the first instance so that we can review your concerns. However, you can always lodge your complaint with the Swedish Authority for Privacy Protection.
9. Aggregated data (non-identifiable personal data)
We may share aggregated information with third parties. In such a case, the aggregated information has been compiled from information collected through the Service and may, for example, consist of statistics on internet traffic or the geographical location of the use of the Service. Aggregated information does not contain any information that can be traced to a specific individual and therefore does not constitute personal data.
10. Cookies
When you use the Service, information about your use will be stored through cookies. Cookies are passive text files that are stored by the browser on your device, such as your computer, mobile phone or tablet, when you connect to the Service. We use cookies to facilitate your use of the Service and to collect information such as statistics about your use of the Service. This is done in order to ensure, maintain and improve the Service. You can read more about how we use cookies in our Cookie Policy.
The information collected from cookies may also constitute personal data and in such case the processing is subject to this Privacy Policy. You can refuse the use of cookies at any time by changing the settings on your device. However, if you do so, your experience of the Service may be impaired, for example by certain features of the Service no longer being available.
11. Amendments
We may update the Privacy Policy from time to time. You can see when we last made updates at the top of the Privacy Policy. The most recent version of the Privacy Policy will always be available via the Service. A new version is deemed to be communicated to you when you have either received an email informing you of the new version (using the email address you provide when using the Service) or when you are otherwise informed of the updated Privacy Policy.
12. Contact
For questions, further information on our processing of personal data or to contact us on other matters, please use the following contact details: oskar.j@bokio.se.
