Integritetspolicy

Zettler AB (org.nr 559580-9293), Västra Järnvägsgatan 3, 111 64 Stockholm, är personuppgiftsansvarig för den behandling av personuppgifter som sker via cupa.se — inklusive demoförfrågningar, kontakt via e-post och drift av webbplatsen — samt för marknadsföring av tjänsten Cupa.

När Zettler AB levererar Cupa-plattformen till en kund (en bemanningsbyrå) är Zettler AB personuppgiftsbiträde åt kunden för de uppgifter som hanteras inom kundens instans. De villkoren regleras av personuppgiftsbiträdesavtalet (DPA) som ingås mellan Zettler AB och kunden. I skrivande stund finns inga driftsatta kunder; den biträdesrollen aktiveras först vid första kundavtalet.

Frågor om personuppgifter: dataskydd@cupa.se.

Zettler ABs dataskyddsombud (DPO) är Nathan Allard och nås på dataskydd@cupa.se.

Vi delar in vår behandling i sex kategorier. Idag — innan plattformen är driftsatt hos första kund — är endast (a)–(c) aktiva. Kategori (d) AI-funktioner och (e) cookies beskrivs i § 4 nedan. Kategori (f) aktiveras först när första bemanningsbyrån går live på Cupa-plattformen; vi listar den här eftersom policyn ska vara förutsägbar för dig som registreras post-launch.

a) Kontaktuppgifter via demoformulär

Uppgifter: namn, företag, e-post, telefon (frivilligt), roll, byråstorlek, fritextintressen om vad du vill se i demon, IP-adress och tidpunkt för inlämning. Ändamål: besvara din förfrågan, boka demo och följa upp inom rimlig tid. Rättslig grund: samtycke (art. 6.1 a GDPR) via den obligatoriska samtyckesrutan i formuläret, samt berättigat intresse (art. 6.1 f) för normal B2B-uppföljning av en demoförfrågan. Lagring: 24 månader efter senaste interaktion eller tills du återkallar samtycket — det som inträffar först.

IP-adressen sparas tillfälligt för missbruksskydd (rate-limiting på formuläret).

b) Direktkommunikation via e-post

Uppgifter: e-postadress, namn (om angivet), meddelandeinnehåll och eventuella bilagor. Ändamål: besvara frågor som skickas till hello@cupa.se eller dataskydd@cupa.se. Rättslig grund: berättigat intresse (art. 6.1 f) — att kunna svara på det du frågar om. Lagring: 24 månader om tråden inte är fakturerings- eller bokföringsrelevant. Bokföringsmaterial sparas i 7 år enligt bokföringslagen (1999:1078); för det materialet är grunden istället rättslig förpliktelse (art. 6.1 c).

c) Drift- och säkerhetsloggar för cupa.se

Uppgifter: IP-adress, request-path, tidsstämpel, user-agent och eventuella felmeddelanden. Ändamål: drift, felsökning och missbruksskydd. Rättslig grund: berättigat intresse (art. 6.1 f) — att hålla webbplatsen säker och tillgänglig. Lagring: 90 dagar.

d) Uppgifter som behandlas av AI-funktioner

AI-behandling sker endast inom kundens instans när plattformen är driftsatt. Se § 4 nedan om AI-funktioner — Anthropic Claude och OpenAI används för matchning och CV-tolkning, inga uppgifter används för att träna leverantörens grundmodeller, och EU-residens är aktiverad där leverantören erbjuder det.

e) Cookies

Inga cookies sätts på cupa.se i dagsläget. Vi använder ingen tredjepartsanalys. Se § 4 nedan om cookies på plattformen post-launch.

f) Vid produktanvändning (post-launch)

Aktiveras när en bemanningsbyrå (Cupa-kund) börjar använda plattformen. Cupa är då personuppgiftsbiträde åt kunden och behandlar uppgifterna på kundens dokumenterade instruktioner enligt DPA. Kunden är personuppgiftsansvarig.

Uppgifter (huvudkategorier): namn, e-post, telefonnummer, anställningsdata för konsulter, kandidatansökningar och CV:n, planerings- och tidsrapporter, lönedata samt fakturadata. Ändamål: leverera plattformens funktioner — schemaläggning, tidrapportering, lönekörning, fakturering, rekrytering. Rättslig grund: avtal (art. 6.1 b) mellan kunden och dess arbetstagare, konsulter eller kandidater — Cupa stöder behandlingen som biträde enligt DPA. Lagring: enligt kundens egna policys och kategoribaserade retentionregler i DPA; bokföringsmaterial 7 år (art. 6.1 c).

Vi knyter varje behandling till en bestämd rättslig grund — vi använder inte formuleringen "samtliga grunder vid behov".

• Demoförfrågningar (§ 2 a): samtycke (art. 6.1 a) som primär grund via samtyckesrutan, samt berättigat intresse (art. 6.1 f) för efterföljande B2B-uppföljning. Du kan återkalla samtycket när som helst.
• Direktkommunikation och kundsupport (§ 2 b): berättigat intresse (art. 6.1 f) — att besvara den fråga du själv ställer till oss.
• Drift- och säkerhetsloggar samt missbruksskydd (§ 2 c): berättigat intresse (art. 6.1 f) — att hålla tjänsten säker, tillgänglig och fri från automatiserade angrepp.
• Bokföring och fakturering: rättslig förpliktelse (art. 6.1 c) enligt bokföringslagen (1999:1078).
• Behandling i kunds instans (§ 2 f, post-launch): avtal (art. 6.1 b) mellan kunden och dess arbetstagare, konsulter eller kandidater. Cupa är personuppgiftsbiträde enligt DPA och stöder kundens grund.
• AI-funktioner (§ 4): samma rättsliga grund som den huvudbehandling AI:n understödjer — vi tillför ingen separat AI-specifik grund.
• Vidareförmedling till Platsbanken / Eures (§ 4): berättigat intresse (art. 6.1 f) för publicering av annonsinnehåll. För kontaktpersonens uppgifter krävs ett separat samtycke som Arbetsförmedlingen inhämtar i egenskap av personuppgiftsansvarig.

Återkallande av samtycke: maila dataskydd@cupa.se. Återkallandet påverkar inte lagligheten av behandling som redan utförts före återkallandet.

Underbiträden

En aktuell lista över våra underbiträden finns på cupa.se/legal/underbitraden. Vi meddelar dig minst 30 dagar i förväg innan vi anlitar nya underbiträden.

Internationella överföringar

Personuppgifter behandlas inom EU/EES. När underbiträden överför uppgifter till tredjeland (USA) sker det med stöd av EU-kommissionens standardavtalsklausuler (SCCs) och, där tillämpligt, EU-US Data Privacy Framework.

AI-funktioner

Cupa använder generativ AI (Anthropic Claude och OpenAI) för matchning och CV-tolkning. Inga uppgifter används för att träna leverantörens grundmodeller. EU-residens är aktiverad där leverantören erbjuder det.

Platsannonser

När du publicerar en annons via Cupa kan vi vidareförmedla annonsen till Platsbanken (Arbetsförmedlingen) och Eures. Kontaktpersonens uppgifter — namn, e-post, telefon — behandlas av Arbetsförmedlingen som personuppgiftsansvarig och kräver dennes samtycke.

SMS

Utgående SMS till konsulter och kandidater levereras via Sinch Sweden AB (Stockholm). Telefonnummer och meddelandeinnehåll behandlas av Sinch enligt deras DPA.

Cookies

cupa.se sätter inga cookies — varken egna eller från tredje part — och använder ingen webbanalys. Det finns därför ingen cookie-banderoll. Skulle Cupa i framtiden införa statistik- eller analyscookies inhämtar vi ditt samtycke först och uppdaterar denna policy. På den driftsatta plattformen (post-launch) används endast nödvändiga sessionscookies för inloggning och säkerhet; sådana kräver inte samtycke.

Vi raderar eller anonymiserar uppgifter när de inte längre behövs för det ändamål som anges i § 2. Konkret:

• Demoförfrågningar (§ 2 a): 24 månader efter senaste interaktion eller tills du återkallar samtycket.
• Direktkommunikation (§ 2 b): 24 månader. Bokföringsrelaterad e-post — offerter, fakturor, avtalskorrespondens — sparas i 7 år enligt bokföringslagen (1999:1078) § 7.
• Drift- och säkerhetsloggar (§ 2 c): 90 dagar.
• Fakturor, bokföringsmaterial och avtalskopior: 7 år (bokföringslagen 1999:1078 § 7).
• Kandidatuppgifter (post-launch, § 2 f): standardmässigt 24 månader från senaste interaktion. Justerbart per kund i DPA. Talangpooler hanteras av kunden i sin egen instans — Cupa raderar eller exporterar enligt kundens dokumenterade instruktioner. Rekryteringsuppgifter ska kunna sparas tillräckligt länge för att kunden ska kunna besvara en eventuell DO-anmälan, vilket avgörs i kundens egen rekryteringspolicy.
• Anställdas och konsulters data under pågående uppdrag (post-launch, § 2 f): behålls under uppdragstiden plus de bevarandetider som kunden själv är skyldig att tillämpa enligt arbetsrätt och kollektivavtal.
• Anonymiserad statistik: kan sparas obegränsat — anonymiserade uppgifter är inte längre personuppgifter.

Du har rätt att begära tillgång till, rättelse av, radering av eller begränsning av behandlingen av dina personuppgifter (artiklarna 15–18 GDPR), rätt till dataportabilitet (artikel 20) och rätt att invända mot behandlingen (artikel 21).

Svarstid: vi svarar på en begäran utan onödigt dröjsmål och senast inom en månad från det att vi tagit emot den (artikel 12.3). Om begäran är komplex kan tiden förlängas med ytterligare två månader; i så fall meddelar vi dig orsaken inom den första månaden.

Automatiserat beslutsfattande och profilering (artikel 22): Cupa fattar inga automatiserade beslut som har rättsliga följder eller på liknande sätt i betydande grad påverkar dig. Plattformens AI-funktioner (matchning, CV-tolkning) ger förslag som granskas av en människa innan de leder till beslut — se § 4.

Barns personuppgifter: Cupa riktar sig inte till personer under 16 år och samlar inte medvetet in uppgifter om dem. Om plattformen — på en kunds initiativ — kommer att hantera uppgifter om underåriga (t.ex. sommarjobbande 15-åringar) regleras det i kundens DPA och kundens lagliga grund.

För kontakt om dina rättigheter, se § 7. Hur Cupa skyddar dina uppgifter rent tekniskt beskrivs på cupa.se/sakerhet.

Om du anser att Cupa behandlar dina personuppgifter i strid med GDPR har du rätt att lämna klagomål till Integritetsskyddsmyndigheten (IMY).

dataskydd@cupa.se

Materiella ändringar publiceras minst 30 dagar innan de träder i kraft. Mindre redaktionella ändringar speglas i datumstämpeln ovan.