Hopp til hovedinnhold
Søknadsbasen

Databehandleravtale

Gjelder arbeidsgivere som bruker Søknadsbasen til rekruttering. Aksepteres ved oppstart av arbeidsgiver-konto.

Dette er en foreløpig versjon under juridisk gjennomgang. Endelig avtale publiseres før tjenesten åpnes for produksjonsbruk.

1. Partene

Databehandler: Søknadsbasen. Behandlingsansvarlig: arbeidsgiveren (Kunden) som oppretter konto og bruker arbeidsgiver-tjenestene.

2. Roller

For kandidatenes konto- og profildata på plattformen er Søknadsbasen behandlingsansvarlig (se personvernerklæringen). For Kundens rekrutteringsbehandling (kandidater Kunden søker opp, kontakter, låser opp, vurderer og kommuniserer med) er Kunden behandlingsansvarlig og Søknadsbasen databehandler. Denne avtalen regulerer det siste.

3. Formål

Søknadsbasen behandler personopplysninger på vegne av Kunden kun for å levere arbeidsgiver-tjenestene: stillingsannonser, søknadshåndtering, anonymisert kandidatsøk, kontaktforespørsler, opplåsing etter samtykke, ATS, AI-screening og meldinger.

4. Kategorier

Registrerte: jobbsøkere/kandidater og søkere, samt Kundens egne teammedlemmer. Opplysninger: navn, kontaktinfo, CV-innhold, søknadsbrev, notater/vurderinger og meldinger. Plattformen etterspør ikke sensitive personopplysninger, og Kunden skal ikke legge slike inn i fritekst.

5. Instruksjoner

Søknadsbasen behandler personopplysninger kun etter Kundens instruksjoner slik de følger av avtalen og bruken av tjenesten.

6. Underdatabehandlere

  • Supabase (database/lagring/innlogging), EU (Stockholm)
  • Hetzner Online GmbH (hosting), EU
  • Stripe (betaling), ikke kandidat-CV
  • Resend (transaksjonelle e-poster), EU
  • Anthropic (AI), USA, se punkt 9

7. Sikkerhet

Lagring i EU, kryptering i transit, rollebasert tilgang, anonymisering som standard i kandidatbasen, og innsyns-/handlingslogg over hvem som har sett, kontaktet og låst opp hvilken kandidat.

8. Kandidatenes rettigheter

Søknadsbasen bistår med innsyn, retting, sletting, dataportabilitet og innsigelse. Kandidaten styrer selv synlighet og kan slette profilen sin når som helst.

9. Overføring til tredjeland

AI-funksjonene behandler data hos Anthropic i USA. Dette er den eneste behandlingen utenfor EU/EØS, alt annet (database, lagring, hosting) ligger i EU. Overføringen skjer under EUs standardavtaleklausuler (SCC). Vi er åpne om dette og påstår ikke at all AI skjer i EU.

10. Avvik

Søknadsbasen varsler Kunden uten ugrunnet opphold ved brudd på personopplysningssikkerheten.

11. Sletting

Ved opphør slettes eller tilbakeleveres personopplysninger behandlet på vegne av Kunden, med mindre lagring kreves av lov.

12. Lovvalg

Norsk rett.