QLANKR Certify
Logga in

Integritetspolicy

Gäller från 17 juni 2026

Denna policy beskriver hur QLANKR AB ("QLANKR") behandlar personuppgifter inom tjänsten QLANKR Certify. All behandling sker inom EU/EES. Vi använder inga externa AI-modeller för att bedöma medarbetares provsvar — bedömningen är deterministisk och sker i vår egen databas.

Vilka uppgifter vi behandlar

Kontouppgifter för administratörer: namn, e-post, hashat lösenord (hanteras av vår autentiseringsleverantör — vi ser aldrig klartextlösenordet), organisation och roll. Medarbetaruppgifter: namn, e-post, befattningsnivå, organisationstillhörighet och status. Utbildningsbevis: vilka moduler som genomförts, datum, version av innehållet, provresultat per dimension och godkänt/underkänt. Intyg: innehavarens namn, befattningsnivå, utfärdandedatum, giltighetstid och en unik verifieringstoken. Operationella loggar: e-postutskick, inbjudningsförsök, signerade webhook-händelser och en granskningslogg över systemhändelser. Faktureringsuppgifter (administratörens namn och e-post) hanteras av vår betalleverantör — vi tar aldrig emot kortuppgifter.

Ändamål

Att tillhandahålla tjänsten: inloggning, åtkomst till utbildning, rättning av prov, utfärdande och verifiering av intyg samt ett spårbart utbildningsregister som er organisation kan visa upp vid en granskning enligt EU AI Act Artikel 4. Operationella loggar används för säkerhet, felsökning och bedrägeribekämpning.

Rättslig grund

Medarbetaruppgifter och utbildningsbevis: avtal med er organisation (art. 6.1 b) samt er organisations berättigade intresse av att kunna styrka genomförd utbildning (art. 6.1 f). Administratörskonto och fakturering: fullgörande av avtal. Operationella loggar: berättigat intresse av att driva tjänsten säkert.

Personuppgiftsansvarig och -biträde

För era medarbetares uppgifter är er organisation personuppgiftsansvarig och QLANKR personuppgiftsbiträde. Behandlingen regleras av vårt personuppgiftsbiträdesavtal som finns på /dpa. För administratörskontot, faktureringen och våra egna operationella loggar är QLANKR personuppgiftsansvarig. Kontakt: certify@qlankr.com.

Underbiträden

Vi anlitar leverantörer för hosting, autentisering, e-post och betalningar. Samtliga är placerade inom EU/EES. En aktuell förteckning publiceras på /subprocessors och uppdateras inför varje ändring. Inga personuppgifter överförs utanför EU/EES, och vi använder inga externa AI-modeller (Gemini, OpenAI, Anthropic eller liknande) för att behandla medarbetares svar eller utbildningsbevis.

Lagringstid

Konto- och organisationsdata lagras så länge avtalet är aktivt. Utbildningsbevis och intyg lagras i upp till fem år efter att en medarbetare avaktiverats eller avtalet sagts upp — perioden motsvarar den granskningshorisont som följer av EU AI Act Artikel 4. När en medarbetare begär radering pseudonymiseras posten: namn och e-post tas bort medan beviskedjan (vilken roll och vilken modul som genomförts) bevaras utan personidentifiering. Operationella loggar roteras efter tolv månader. Säkerhetskopior i databasen behålls i högst 30 dagar.

Internationella överföringar

All behandling sker inom EU/EES. Vår databas hostas i EU-region, e-postutskick sker via en leverantör med EU-sändning och betalningar hanteras av en leverantör som agerar Merchant of Record inom EU. Inga standardavtalsklausuler (SCC) behövs eftersom inga personuppgifter lämnar EU/EES.

Säkerhetsåtgärder

Kryptering i transit (TLS) och i vila (AES-256). Radnivåsäkerhet (RLS) på samtliga publika tabeller, så att varje organisations data är logiskt isolerad. Rollbaserad åtkomstkontroll med separata roller för administratörer och plattformsägare. Bevistabeller är skrivskyddade — historiska poster kan inte ändras eller raderas, bara kompletteras. Signerade webhooks med separata nycklar för sandbox och produktion. Servicenycklar når aldrig webbläsaren. En ingående beskrivning finns på /security.

Dina rättigheter

Tillgång, rättelse, radering (genom pseudonymisering av era bevisposter), begränsning, dataportabilitet (CSV-export av era egna uppgifter), invändning och rätten att lämna klagomål till Integritetsskyddsmyndigheten (IMY). Begär en rättighet via certify@qlankr.com så svarar vi inom 30 dagar.

Personuppgiftsincidenter

Vid en incident som rör era medarbetares uppgifter underrättar vi er organisation utan onödigt dröjsmål, senast inom 72 timmar från det att vi fått kännedom om incidenten. Er organisation som personuppgiftsansvarig avgör om incidenten ska anmälas till IMY och om de registrerade ska underrättas.

Kontakt

Frågor om denna policy ställs till certify@qlankr.com. Postadress: QLANKR AB, Stockholm, Sverige.