Persónuverndarstefna

Síðast uppfært: 28. mars 2026

1. Inngangur og ábyrgðaraðili gagna

Þessi persónuverndarstefna lýsir því hvernig Laddro Digital UG (haftungsbeschränkt) („Laddro," „við," „okkur" eða „okkar") safnar, notar, birtir, geymir og verndar persónuupplýsingar þínar þegar þú ferð á vefsíðuna okkar á www.laddro.com („vefsíðan") og notar þjónustu okkar, þar á meðal CV- og kynningarbréfssmíð, gervigreindaraðstoð, áskriftir, tilvísanaforrit, umsóknarvaktina og valfrjálst opinbert API (sameiginlega, „þjónustan").

Ábyrgðaraðili gagna:
Laddro Digital UG (haftungsbeschränkt)
Geschäftsführer: Oussama Bentaib
Belziger Str. 69-71, 10823 Berlín, Þýskaland
Tölvupóstur: [email protected]

Við erum skuldbundin til að vernda persónuvernd þína í samræmi við Almenna persónuverndarreglugerð ESB (EU) 2016/679 („GDPR"), þýska sambandslagann um persónuvernd (Bundesdatenschutzgesetz, „BDSG") og öll önnur gildandi persónuverndarlög.

Með því að fá aðgang að eða nota þjónustuna staðfestir þú að þú hafir lesið og skilið þessa persónuverndarstefnu.

2. Gögn sem við söfnum

2.1 Reiknings- og auðkenningargögn

Við söfnum eftirfarandi persónuupplýsingum þegar þú stofnar og stjórnar reikningnum þínum:

Gögn	Uppruni	Tilgangur	Lagalegur grundvöllur (GDPR)
Fullt nafn	Skráningarform, reikningsstillingar	Stofnun reiknings, auðkenning	Gr. 6(1)(b) – Framkvæmd samnings
Netfang	Skráning, innskráning, þjónustuver, tilvísanir	Reikningsstjórnun, auðkenning, samskipti	Gr. 6(1)(b) – Framkvæmd samnings
Prófílmynd	Reikningsstillingar (myndaupphleðsla)	Sérstilling prófíls	Gr. 6(1)(b) – Framkvæmd samnings
Tungumál / staðhætti	Skráning, stillingar	Staðfærsla viðmóts og samskipta	Gr. 6(1)(b) – Framkvæmd samnings
Tilvísunarkóði	URL-breytur við skráningu/innskráningu	Úthlutun í tilvísanaforritinu	Gr. 6(1)(f) – Lögmætur hagsmunir

Auðkenningaraðferðir:

Tölvupósttengjill (lykilorðslaus): Aðalaðferð okkar við innskráningu. Þú slærð inn netfangið þitt og við sendum einnota innskráningartengil. Tengillinn er einnota og rennur út á skömmum tíma af öryggisástæðum.
OAuth (Google, LinkedIn): Þú getur auðkennt þig með Google- eða LinkedIn-reikningnum þínum. Við fáum einungis þær prófílupplýsingar sem þessir veitendur deila (yfirleitt nafn og netfang). Þú getur aftengt tengdan Google eða LinkedIn reikning hvenær sem er í reikningsstillingum þínum, að því tilskildu að þú haldirð í a.m.k. einni virkri innskráningaraðferð.
Gestaaðgangur: Þú getur notað CV- og kynningarbréfssmiðinn án þess að stofna reikning. Í því tilviki er efni þitt geymt staðbundið í localStorage vafrann og er ekki sent á netþjóna okkar. Engar persónuupplýsingar eru safnaðar frá gestum að öðru leyti en því sem er geymt staðbundið í vafranum.

Prófílmynd: Þú getur hlaðið upp prófílmynd í reikningsstillingum þínum. Upploadaðar myndir eru klipptar og stærðar (400×400 JPEG) á tækinu þínu áður en þær eru hlaðið upp beint á skýgeymsluþjónustu okkar með öruggum forskoðunarslóð. Þegar þú hleður upp nýrri mynd er eldri myndin eytt. Við notum prófílmyndina þína eingöngu til að birta hana innan reikningsins þíns.

2.2 CV-gögn

Þegar þú notar CV-smiðinn söfnum við og geymum:

Gögn	Uppruni	Tilgangur
Persónulegar upplýsingar	Smíðaform (nafn, titill, netfang, sími, borg, land)	Smíð og birting CV
Faglegir innihald	Smíðaform (samantekt, starfsreynsla, menntun, hæfni, vottorð)	Smíð, breytingar og útflutningur CV
CV-lýsigögn	Kerfismynduð (titill, sniðmátval, stofndagur)	Skipulag, birting, PDF-útflutningur
Upploadaðar PDF-skrár	Sérsniðsflæði	Gervigreindarþáttur til að draga út uppbyggð CV-gögn

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

2.3 Kynningarbréfsgögn

Þegar þú notar kynningarbréfssmiðinn söfnum við og geymum:

Gögn	Uppruni	Tilgangur
Innihald kynningarbréfs	Smíðaform (persónulegar upplýsingar, upplýsingar um vinnuveitanda, texti bréfs)	Smíð, breytingar og útflutningur kynningarbréfs
Titill og sniðmát	Smíðaform	Skipulag, birting, útflutningur
Starfslýsing og stöðugildi	Innsláttargögn við gerð/sérsniðning	Gervigreindarstudd kynningarbréfsgerð
Tengd CV-gögn	Valin úr geymdri CV	Samhengi við kynningarbréfsgerð

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

2.4 Gervigreind og sjálfvirk vinnsla

Við notum gervigreind og sjálfvirk verkfæri, þar á meðal þriðja aðila veitendur eins og OpenAI, Anthropic (Claude) og Google (Gemini), til að veita eftirfarandi eiginleika:

Eiginleiki	Gögn unnin	Gervigreindarveitandi
CV-sérsniðning	CV-efni, starfsheiti, starfslýsing	Anthropic (Claude)
Efnisúrbætur	Valinn texti, reitategund, CV-samhengi	Google (Gemini)
Hæfnitillögur	Núverandi hæfni, CV-samhengi, starfslýsing	Google (Gemini)
Kynningarbréfsgerð	CV-gögn, starfsheiti, starfslýsing, tungumál	Google (Gemini)
CV-endurgjöf	CV-efni, núverandi stig, starfslýsing	Anthropic (Claude)
PDF CV-þáttur	Upploadað PDF-innihald	OpenAI

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

Mikilvægar upplýsingar um gervigreindarvinnslu:

Notandaefni sent til gervigreindarveitenda er notað eingöngu til að veita umbeðinn eiginleika. Við notum ekki gögn þín til að þjálfa gervigreindarlíkön.
Gervigreindarveitendur okkar vinna gögn sem undirvinnsluaðilar og eru samningsbundið takmarkaðir við að nota gögn þín í eigin tilgangi.
Við rekum gervigreindarnotkun (tegundaraðgerð, líkan notað, tímasetning) á hvern reikning til að framfylgja plönum og bæta þjónustuna. Ekkert CV- eða kynningarbréfsefni er geymt í notkunarskrám.

Engin sjálfvirk ákvarðanataka: Gervigreindarlegar eiginleikar okkar eru verkfæri til aðstoðar þig. Við tökum engar sjálfvirkar ákvarðanir með löglegum eða sambærilegum verulegum áhrifum á þig.

2.5 Umsóknarvaktargögn

Þegar þú sérsníðir CV fyrir tiltekið starf búum við sjálfkrafa til umsóknarfærslu. Við söfnum og geymum:

Gögn	Uppruni	Tilgangur
Nafn fyrirtækis	Sérsniðsflæði eða handvirk skráning	Fylgjast með hvaða fyrirtæki þú sóttir til
Starfsheiti	Sérsniðsflæði eða handvirk skráning	Fylgjast með hlutverki sem þú sóttir í
Starfslýsing	Sérsniðsflæði eða handvirk skráning	Tilvísun fyrir umsóknina
Staða umsóknar	Handval (sótt, viðtal, tilboð, samþykkt, hafnað)	Fylgjast með framgangi
Athugasemdir	Handvirk skráning	Persónulegar athugasemdir um umsóknina
Tímasetningar	Kerfismyndaðar	Tímaröðun

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

2.6 Greiðslu- og áskriftargögn

Greiðsluvinnsla er meðhöndluð af Stripe, Inc. (PCI DSS Level 1 vottaður greiðsluvinnsluveitandi). Við geymum ekki fulla kort- eða debetkortanúmer þín, CVV eða kortarnúmer.

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

2.7 Þjónustuver og samskiptagögn

Þegar þú hefur samband við okkur söfnum við: nafni, netfangi, efni og skilaboðum frá þjónustuveri.

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings; Gr. 6(1)(f) GDPR – Lögmætur hagsmunir við að veita þjónustuver.

2.8 Tilvísanaforritsgögn

Gögn	Uppruni	Tilgangur
Tilvísunarkóði	Myndaður á hvern reikning	Auðkenning og deling
Netföng boðsgesta	Slegin inn af þér	Senda tilvísanaboð
Tilvísunartilvísun	URL-breytur við skráningu/innskráningu	Tengja nýja skráningar við tilvísendur

Þegar þú leggur fram netföng fyrir tilvísanaboð tryggir þú að þú hafir fengið samþykki viðtakanda til að taka á móti slíkum samskiptum. Við sendum eitt tilvísanaboð; við bætum þessum netföngum ekki á markaðspóstlista.

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings; Gr. 6(1)(f) GDPR – Lögmætur hagsmunir.

2.9 API-lykilgögn

Ef þú notar opinbera API, búum við til og geymum API-lykla tengda reikningnum þínum til auðkenningar og takmörkunar á beiðnum. Þú ert ábyrgur fyrir trúnaði API-lykla þinna.

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

2.10 Tölvupóstsstillingar og markaðssamskipti

Við kunnum að senda þér óbundna tölvupósta í eftirfarandi flokkum: uppfærslur á þjónustu, beiðnir um umsagnir og tilkynningar um tilvísanaforrit. Þú getur stjórnað tölvupóstsstillingum þínum hvenær sem er í reikningsstillingum þínum eða með afskránningartengil í hverjum óbundnum tölvupósti.

Lagalegur grundvöllur: Gr. 6(1)(f) GDPR – Lögmætur hagsmunir við að kynna viðeigandi uppfærslur fyrir notendum okkar.

2.11 Einkunnir og endurgjöf

Við bjóðum upp á einkunnagjafar fyrir CV-sniðmát, bloggfærslur og CV/kynningarbréfsdæmi. Þegar þú gefur einkunn er einkunnin og auðkenni hlutar geymdar á netþjónum okkar. Til að koma í veg fyrir tvíteknar einkunnir kunnum við að búa til nafnlaust auðkenni byggt á hashi IP-tölu þinnar og notandamiðils. Við geymum ekki hráa IP-tölu þína eða notandamiðil í þessum tilgangi.

Lagalegur grundvöllur: Gr. 6(1)(f) GDPR – Lögmætur hagsmunir við að bæta þjónustuna.

2.12 Tækjaauðkenni

Til að takmarka beiðnir á tilteknum almennum eiginleikum (svo sem almennur CV-þáttur) búum við til handahófskennt tækjaauðkenni (x-client-id) geymt í localStorage vafrann. Þetta auðkenni er handahófskenndur UUID, inniheldur engar persónuupplýsingar og er eingöngu sent til bakgrunnskerfis okkar til að framfylgja takmörkunum á hvert tæki.

Lagalegur grundvöllur: Gr. 6(1)(f) GDPR – Lögmætur hagsmunir við að koma í veg fyrir misnotkun.

3. Greining og eftirfylgni

3.1 Google Analytics og Google Tag Manager

Við notum Google Analytics (rekinn af Google Ireland Limited) og Google Tag Manager til að greina hvernig notendur hafa samskipti við þjónustuna. Gögn sem eru safnað geta falið í sér: heimsóttar síður, tegund tækis og vafra, staðsetning (dregin af IP-tölu), samskiptaviðburðir og lengd lotu.

IP-nafnleysi: Við höfum virkjað IP-nafnleysi svo Google styttur IP-tölu þína innan Evrópusambandsins.

Lagalegur grundvöllur: Gr. 6(1)(a) GDPR – Samþykki þitt, fengið í gegnum kökusamþykki okkar.

Afþakka: Þú getur afþakkað Google Analytics eftirfylgni með því að: hafna greiningarkökum í gegnum kökusamþykki okkar; setja upp Google Analytics opt-out viðbót; eða stilla vafrann þinn til að loka á þriðja aðila kökur.

3.2 PostHog (Vörugreining)

Við notum PostHog (PostHog, Inc.) til vörugreiningar. PostHog safnar: síðuskoðunum, notendaviðvörun, tegund tækis og vafra og lötugögnum. PostHog er stillt til að nota eingöngu minnisgeymslur (engar PostHog-kökur eða localStorage-færslur eru geymdar á tækinu þínu) og vinnur gögn innan Evrópusambandsins.

Lagalegur grundvöllur: Gr. 6(1)(f) GDPR – Lögmætur hagsmunir við að skilja hvernig notendur hafa samskipti við þjónustuna. Þar sem PostHog geymir engin gögn á tækinu þínu þarf ekkert samþykki samkvæmt § 25 TTDSG.

3.3 Sentry (Villuvöktun)

Við notum Sentry (Functional Software, Inc.) til að fylgjast með og greina villur. Sentry er stillt til að safna ekki auðkennanlegum persónuupplýsingum. Þegar villa kemur upp getur Sentry safnað: villuboðum og staflarakningu, tegund vafra og stýrikerfis og URL þar sem villan kom upp.

Lagalegur grundvöllur: Gr. 6(1)(f) GDPR – Lögmætur hagsmunir við að viðhalda stöðugleika og öryggi þjónustunnar.

4. Þriðja aðilar og undirvinnsluaðilar

Við notum eftirfarandi þriðja aðila þjónustu sem geta unnið persónuupplýsingar þínar:

Þjónusta	Tilgangur	Gögn unnin	Persónuverndarstefna
OpenAI	Gervigreindar eiginleiki: PDF CV-þáttur	Upploadað PDF-efni	openai.com/privacy
Anthropic (Claude)	Gervigreindar eiginleikar: CV-sérsniðning, endurgjöf	CV-efni, starfslýsingar	anthropic.com/privacy
Google (Gemini)	Gervigreindar eiginleikar: efnisúrbætur, hæfnitillögur, kynningarbréfsgerð	CV-efni, kynningarbréfsinntök	policies.google.com/privacy
Stripe	Greiðsluvinnsla	Greiðslu- og reikningsgögn	stripe.com/privacy
Google Analytics / GTM	Greining og eftirfylgni	Notkunargögn, IP (nafnlægt), viðburðir	policies.google.com/privacy
PostHog	Vörugreining	Notkunargögn, samskipti, tækjaupplýsingar	posthog.com/privacy
Sentry	Villuvöktun og afköst	Villagögn, tækjaupplýsingar	sentry.io/privacy
Google Cloud Storage	Geymsla prófílmynda	Upploadaðar prófílmyndir	cloud.google.com
Google OAuth	Auðkenning	Nafn, netfang (eins og Google lætur í té)	policies.google.com/privacy
LinkedIn OAuth	Auðkenning	Nafn, netfang (eins og LinkedIn lætur í té)	linkedin.com/legal/privacy-policy
Logo.dev	Birting lógós fyrirtækja í umsóknarvakt	Lén fyrirtækja (dregin af nöfnum sem þú slærð inn)	logo.dev/privacy
Hýsing / innviðir	Netþjónahýsing, gagnagrunnur, geymsla	Öll þjónustugögn	Í samræmi við gagnvinnslusamning okkar

Við selja ekki, leigum ekki eða versla ekki með persónuupplýsingar þínar til þriðja aðila í eigin markaðsstarfi þeirra.

5. Kökur og staðbundin geymsla

5.1 Kökur

Við notum eftirfarandi kökur:

Kaka	Tegund	Tilgangur	Gildistími
`accessToken`	Nauðsynleg	Lotuauðkenning	Skammtíma
`refreshToken`	Nauðsynleg	Lotuendurnýjun og þrálátur innskráning	Allt að 365 dagar

Nauðsynlegar kökur þurfa ekki samþykki samkvæmt gr. 5(3) rafrænu friðlægingarregugerðarinnar þar sem þær eru nauðsynlegar fyrir rekstur þjónustunnar.

Greiningarkökur (t.d. þær sem Google Analytics setur) eru einungis settar eftir að þú gefur samþykki.

5.2 Staðbundin geymsla

Við notum localStorage vafrann í eftirfarandi tilgangi:

Lykill	Tilgangur
Tungumálastilling	Muna tungumálastillingu þína
Framsendingarleiðir	Senda þig á rétta síðu eftir innskráningu
Uppkastsgögn	Geyma vinnu sem er í gangi meðan á lotu stendur
Umsóknarvaktargögn	Staðbundin skyndiminni umsókna (samstillt við netþjón)
Samþykki kökur	Muna val þitt vegna kökusamþykkis
Gestagögn	Geyma CV og kynningarbréfsefni fyrir notendur sem ekki hafa stofnað reikning
Einkunnirnar þínar	Muna hvaða sniðmát, bloggfærslur eða dæmi þú hefur gefið einkunn
Tækjaauðkenni (`x-client-id`)	Handahófskenndur UUID fyrir takmörkun á almennum eiginleikum
Lógóskyndiminni	Geymd lógó fyrirtækja til að draga úr ytri beiðnum
UI-stillingar	Skoðunarhamur og leiðsögnafframfarir

6. Deling og birting gagna

Við kunnum einungis að birta persónuupplýsingar þínar í eftirfarandi aðstæðum:

Þjónustuveitendur og undirvinnsluaðilar: Til traustlegra þriðja aðila sem vinna gögn fyrir okkur til að reka þjónustuna.
Lagalegar skyldur: Þegar krafist er til að hlíta gildandi lögum, reglugerðum eða framfylgjanlegar stjórnvaldsbeiðni.
Vernd réttinda: Þegar nauðsynlegt er til að vernda réttindi, eignir eða öryggi Laddro, notenda okkar eða almennings.
Viðskiptayfirfærslur: Við samruna, yfirtöku eða sölu eigna gætu gögn þín verið flutt yfir til arftaka. Við munum tilkynna þér um slíka yfirfærslu.
Samanteknar eða nafnlægar gögn: Við kunnum að deila gögnum sem hafa verið samanteknar eða nafnlæg svo þau geti ekki lengur auðkennt þig.
Með samþykki þínu: Í hvaða öðrum aðstæðum sem þú hefur gefið skýrt samþykki.

7. Alþjóðlegar gagnafærslur

Laddro hefur aðsetur í Berlín, Þýskalandi (innan Evrópska efnahagssvæðisins). Sumir þriðja aðila þjónustuveitendur okkar (þar á meðal OpenAI, Anthropic, Google, Stripe og Sentry) kunna að vinna persónuupplýsingar í löndum utan EES, þar á meðal Bandaríkjunum.

Þar sem persónuupplýsingar eru fluttar utan EES tryggjum við viðeigandi verndarráðstafanir í samræmi við V. kafla GDPR, þar á meðal staðlaðar samningsskilmálar (SCCs) og fullnægjingarákvörðunar Evrópusambandsins.

8. Varðveislutími gagna

Við geymum persónuupplýsingar þínar einungis eins lengi og nauðsynlegt er til að uppfylla þann tilgang sem lýst er í þessari stefnu:

Flokkur gagna	Varðveislutími
Reikningsgögn	Á meðan reikningurinn þinn er virkur. Eytt eða nafnlæg innan 30 daga eftir eyðingu reiknings.
Prófílmynd	Á meðan reikningurinn þinn er virkur. Eytt úr skýgeymslu þegar skipt er um mynd eða reikningur er eytt.
CV og kynningarbréfsgögn	Á meðan reikningurinn þinn er virkur. Eytt með reikningnum þínum.
Umsóknarvaktargögn	Á meðan reikningurinn þinn er virkur eða þar til þú eyðir einstaka færslum.
Greiðslu- og færslufærslur	Allt að 10 ár eftir viðskipti, eins og þýsk skattalög og viðskiptaréttur krefjast.
Þjónustuvera samskipti	Allt að 3 ár eftir lausn.
Greiningargögn	Geymd á samanteknu/nafnlægu formi. Einstaklingsleg gögn eru háð varðveislustillingum Google Analytics.
Skrár API-þjóns	Eytt sjálfkrafa eftir 7 daga.
Netþjónaskrár	Allt að 90 dagar í öryggis- og villuleitartilgangi.

9. Öryggi gagna

Við innleiðum viðeigandi tæknilegar og skipulagslegs ráðstafanir til að vernda persónuupplýsingar þínar gegn óheimiluðum aðgangi, breytingum, birtingu eða eyðingu, í samræmi við gr. 32 GDPR. Þessar ráðstafanir fela í sér:

Dulkóðun: Gögn í flutningi eru dulkóðuð með TLS/SSL. CV og kynningarbréfsefni er dulkóðað í hvíld með AES-256 dulkóðun.
Aðgangsstýringar: Aðgangur að persónuupplýsingum er takmarkaður við viðurkenndar starfspersónur.
Auðkenningaröryggi: Auðkenningarlyklar eru settir með öruggum kökustillingum. Tölvupósttengjilskóðar eru einnota og tímabundnir.
Innviðaöryggi: Hýsingarinnviðir okkar nota iðnaðarstaðlaðar öryggisráðstafanir.
Viðbrögð við atvikum: Við viðhöldum verklagsreglum til að greina, tilkynna og bregðast við persónuupplýsingabrotum í samræmi við gr. 33 og 34 GDPR.

10. Réttindi þín samkvæmt GDPR

Ef þú ert staðsettur/staðsett á Evrópska efnahagssvæðinu eða í öðru lögsagnarumdæmi sem veitir sambærileg réttindi, hefur þú eftirfarandi réttindi varðandi persónuupplýsingar þínar:

Réttur	Lýsing
Aðgangur (gr. 15 GDPR)	Biðja um eintak af persónuupplýsingum sem við höfum um þig.
Leiðrétting (gr. 16 GDPR)	Biðja um leiðréttingu á ónákvæmum eða ófullnægjandi persónuupplýsingum.
Eyðing (gr. 17 GDPR)	Biðja um eyðingu persónuupplýsinga þinna þar sem engar sannfærandi ástæður eru fyrir áframhaldandi vinnslu.
Takmörkun (gr. 18 GDPR)	Biðja um takmörkun á vinnslu við tilteknar aðstæður.
Gagnaflutningur (gr. 20 GDPR)	Fá persónuupplýsingar þínar á skipulögðu, almennt notað, vélalesanlegu formi.
Mótmæli (gr. 21 GDPR)	Mótmæla vinnslu sem byggir á lögmætum hagsmunum eða beinum markaðsstarfi.
Afturköllun samþykkis (gr. 7(3) GDPR)	Þar sem vinnsla byggir á samþykki, afturkalla það hvenær sem er.
Kvörtun	Leggja kvörtun fram hjá eftirlitsyfirvaldi. Fyrir Þýskaland er þetta viðkomandi ríkislög um persónuvernd (Landesdatenschutzbehörde) eða BfDI.

Hvernig á að nýta réttindi þín: Hafðu samband við okkur á [email protected] með beiðni þinni. Við munum svara innan eins mánaðar eins og krafist er af gr. 12(3) GDPR.

11. Persónuvernd barna

Þjónustan er ekki ætluð börnum undir 16 ára aldri. Við söfnum ekki meðvitandi persónuupplýsingum frá börnum undir 16 ára aldri. Ef þú ert foreldri eða forsjáraðili og telur að barn þitt hafi veitt okkur persónuupplýsingar, vinsamlegast hafðu samband við okkur á [email protected].

12. „Do Not Track" merki

Sumir vafrar senda „Do Not Track" (DNT) merki. Við svörum sem stendur ekki DNT-merkjum. Þú getur þó stjórnað eftirfylgni í gegnum kökusamþykki okkar og vafranarstillingar eins og lýst er í grein 3.

13. Breytingar á þessari persónuverndarstefnu

Við kunnum að uppfæra þessa persónuverndarstefnu reglulega. Við munum:

Birta uppfærða persónuverndarstefnu á vefsíðu okkar með endurskoðuðum „Síðast uppfært" dagsetningu.
Við verulegar breytingar veita viðbótartilkynningu með tölvupósti eða tilkynningu í forriti að minnsta kosti 30 dögum áður en breytingarnar taka gildi.

Áframhaldandi notkun þín á þjónustunni eftir gildistöku endurskoðaðrar persónuverndarstefnu felur í sér viðurkenningu þína á breytingunum.

14. Hafðu samband

Ef þú hefur einhverjar spurningar, áhyggjur eða beiðnir varðandi þessa persónuverndarstefnu, persónuupplýsingar þínar eða gagnaverundaraðferðir okkar, vinsamlegast hafðu samband við okkur:

Laddro Digital UG (haftungsbeschränkt)
Geschäftsführer: Oussama Bentaib
Belziger Str. 69-71
10823 Berlín, Þýskaland
Tölvupóstur: [email protected]

Við erum skuldbundin til að leysa hverjar sem er áhyggjur um persónuvernd þína og munum svara öllum lögmætum beiðnum í samræmi við gildandi lög.

Persónuverndarstefna

Síðast uppfært: 28. mars 2026

1. Inngangur og ábyrgðaraðili gagna

Ábyrgðaraðili gagna:
Laddro Digital UG (haftungsbeschränkt)
Geschäftsführer: Oussama Bentaib
Belziger Str. 69-71, 10823 Berlín, Þýskaland
Tölvupóstur: [email protected]

Með því að fá aðgang að eða nota þjónustuna staðfestir þú að þú hafir lesið og skilið þessa persónuverndarstefnu.

2. Gögn sem við söfnum

2.1 Reiknings- og auðkenningargögn

Við söfnum eftirfarandi persónuupplýsingum þegar þú stofnar og stjórnar reikningnum þínum:

Gögn	Uppruni	Tilgangur	Lagalegur grundvöllur (GDPR)
Fullt nafn	Skráningarform, reikningsstillingar	Stofnun reiknings, auðkenning	Gr. 6(1)(b) – Framkvæmd samnings
Netfang	Skráning, innskráning, þjónustuver, tilvísanir	Reikningsstjórnun, auðkenning, samskipti	Gr. 6(1)(b) – Framkvæmd samnings
Prófílmynd	Reikningsstillingar (myndaupphleðsla)	Sérstilling prófíls	Gr. 6(1)(b) – Framkvæmd samnings
Tungumál / staðhætti	Skráning, stillingar	Staðfærsla viðmóts og samskipta	Gr. 6(1)(b) – Framkvæmd samnings
Tilvísunarkóði	URL-breytur við skráningu/innskráningu	Úthlutun í tilvísanaforritinu	Gr. 6(1)(f) – Lögmætur hagsmunir

Auðkenningaraðferðir:

Tölvupósttengjill (lykilorðslaus): Aðalaðferð okkar við innskráningu. Þú slærð inn netfangið þitt og við sendum einnota innskráningartengil. Tengillinn er einnota og rennur út á skömmum tíma af öryggisástæðum.
OAuth (Google, LinkedIn): Þú getur auðkennt þig með Google- eða LinkedIn-reikningnum þínum. Við fáum einungis þær prófílupplýsingar sem þessir veitendur deila (yfirleitt nafn og netfang). Þú getur aftengt tengdan Google eða LinkedIn reikning hvenær sem er í reikningsstillingum þínum, að því tilskildu að þú haldirð í a.m.k. einni virkri innskráningaraðferð.
Gestaaðgangur: Þú getur notað CV- og kynningarbréfssmiðinn án þess að stofna reikning. Í því tilviki er efni þitt geymt staðbundið í localStorage vafrann og er ekki sent á netþjóna okkar. Engar persónuupplýsingar eru safnaðar frá gestum að öðru leyti en því sem er geymt staðbundið í vafranum.

2.2 CV-gögn

Þegar þú notar CV-smiðinn söfnum við og geymum:

Gögn	Uppruni	Tilgangur
Persónulegar upplýsingar	Smíðaform (nafn, titill, netfang, sími, borg, land)	Smíð og birting CV
Faglegir innihald	Smíðaform (samantekt, starfsreynsla, menntun, hæfni, vottorð)	Smíð, breytingar og útflutningur CV
CV-lýsigögn	Kerfismynduð (titill, sniðmátval, stofndagur)	Skipulag, birting, PDF-útflutningur
Upploadaðar PDF-skrár	Sérsniðsflæði	Gervigreindarþáttur til að draga út uppbyggð CV-gögn

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

2.3 Kynningarbréfsgögn

Þegar þú notar kynningarbréfssmiðinn söfnum við og geymum:

Gögn	Uppruni	Tilgangur
Innihald kynningarbréfs	Smíðaform (persónulegar upplýsingar, upplýsingar um vinnuveitanda, texti bréfs)	Smíð, breytingar og útflutningur kynningarbréfs
Titill og sniðmát	Smíðaform	Skipulag, birting, útflutningur
Starfslýsing og stöðugildi	Innsláttargögn við gerð/sérsniðning	Gervigreindarstudd kynningarbréfsgerð
Tengd CV-gögn	Valin úr geymdri CV	Samhengi við kynningarbréfsgerð

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

2.4 Gervigreind og sjálfvirk vinnsla

Við notum gervigreind og sjálfvirk verkfæri, þar á meðal þriðja aðila veitendur eins og OpenAI, Anthropic (Claude) og Google (Gemini), til að veita eftirfarandi eiginleika:

Eiginleiki	Gögn unnin	Gervigreindarveitandi
CV-sérsniðning	CV-efni, starfsheiti, starfslýsing	Anthropic (Claude)
Efnisúrbætur	Valinn texti, reitategund, CV-samhengi	Google (Gemini)
Hæfnitillögur	Núverandi hæfni, CV-samhengi, starfslýsing	Google (Gemini)
Kynningarbréfsgerð	CV-gögn, starfsheiti, starfslýsing, tungumál	Google (Gemini)
CV-endurgjöf	CV-efni, núverandi stig, starfslýsing	Anthropic (Claude)
PDF CV-þáttur	Upploadað PDF-innihald	OpenAI

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

Mikilvægar upplýsingar um gervigreindarvinnslu:

Notandaefni sent til gervigreindarveitenda er notað eingöngu til að veita umbeðinn eiginleika. Við notum ekki gögn þín til að þjálfa gervigreindarlíkön.
Gervigreindarveitendur okkar vinna gögn sem undirvinnsluaðilar og eru samningsbundið takmarkaðir við að nota gögn þín í eigin tilgangi.
Við rekum gervigreindarnotkun (tegundaraðgerð, líkan notað, tímasetning) á hvern reikning til að framfylgja plönum og bæta þjónustuna. Ekkert CV- eða kynningarbréfsefni er geymt í notkunarskrám.

2.5 Umsóknarvaktargögn

Þegar þú sérsníðir CV fyrir tiltekið starf búum við sjálfkrafa til umsóknarfærslu. Við söfnum og geymum:

Gögn	Uppruni	Tilgangur
Nafn fyrirtækis	Sérsniðsflæði eða handvirk skráning	Fylgjast með hvaða fyrirtæki þú sóttir til
Starfsheiti	Sérsniðsflæði eða handvirk skráning	Fylgjast með hlutverki sem þú sóttir í
Starfslýsing	Sérsniðsflæði eða handvirk skráning	Tilvísun fyrir umsóknina
Staða umsóknar	Handval (sótt, viðtal, tilboð, samþykkt, hafnað)	Fylgjast með framgangi
Athugasemdir	Handvirk skráning	Persónulegar athugasemdir um umsóknina
Tímasetningar	Kerfismyndaðar	Tímaröðun

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

2.6 Greiðslu- og áskriftargögn

Greiðsluvinnsla er meðhöndluð af Stripe, Inc. (PCI DSS Level 1 vottaður greiðsluvinnsluveitandi). Við geymum ekki fulla kort- eða debetkortanúmer þín, CVV eða kortarnúmer.

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

2.7 Þjónustuver og samskiptagögn

Þegar þú hefur samband við okkur söfnum við: nafni, netfangi, efni og skilaboðum frá þjónustuveri.

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings; Gr. 6(1)(f) GDPR – Lögmætur hagsmunir við að veita þjónustuver.

2.8 Tilvísanaforritsgögn

Gögn	Uppruni	Tilgangur
Tilvísunarkóði	Myndaður á hvern reikning	Auðkenning og deling
Netföng boðsgesta	Slegin inn af þér	Senda tilvísanaboð
Tilvísunartilvísun	URL-breytur við skráningu/innskráningu	Tengja nýja skráningar við tilvísendur

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings; Gr. 6(1)(f) GDPR – Lögmætur hagsmunir.

2.9 API-lykilgögn

Ef þú notar opinbera API, búum við til og geymum API-lykla tengda reikningnum þínum til auðkenningar og takmörkunar á beiðnum. Þú ert ábyrgur fyrir trúnaði API-lykla þinna.

Lagalegur grundvöllur: Gr. 6(1)(b) GDPR – Framkvæmd samnings.

2.10 Tölvupóstsstillingar og markaðssamskipti

Lagalegur grundvöllur: Gr. 6(1)(f) GDPR – Lögmætur hagsmunir við að kynna viðeigandi uppfærslur fyrir notendum okkar.

2.11 Einkunnir og endurgjöf

Lagalegur grundvöllur: Gr. 6(1)(f) GDPR – Lögmætur hagsmunir við að bæta þjónustuna.

2.12 Tækjaauðkenni

Lagalegur grundvöllur: Gr. 6(1)(f) GDPR – Lögmætur hagsmunir við að koma í veg fyrir misnotkun.

3. Greining og eftirfylgni

3.1 Google Analytics og Google Tag Manager

IP-nafnleysi: Við höfum virkjað IP-nafnleysi svo Google styttur IP-tölu þína innan Evrópusambandsins.

Lagalegur grundvöllur: Gr. 6(1)(a) GDPR – Samþykki þitt, fengið í gegnum kökusamþykki okkar.

3.2 PostHog (Vörugreining)

3.3 Sentry (Villuvöktun)

Lagalegur grundvöllur: Gr. 6(1)(f) GDPR – Lögmætur hagsmunir við að viðhalda stöðugleika og öryggi þjónustunnar.

4. Þriðja aðilar og undirvinnsluaðilar

Við notum eftirfarandi þriðja aðila þjónustu sem geta unnið persónuupplýsingar þínar:

Þjónusta	Tilgangur	Gögn unnin	Persónuverndarstefna
OpenAI	Gervigreindar eiginleiki: PDF CV-þáttur	Upploadað PDF-efni	openai.com/privacy
Anthropic (Claude)	Gervigreindar eiginleikar: CV-sérsniðning, endurgjöf	CV-efni, starfslýsingar	anthropic.com/privacy
Google (Gemini)	Gervigreindar eiginleikar: efnisúrbætur, hæfnitillögur, kynningarbréfsgerð	CV-efni, kynningarbréfsinntök	policies.google.com/privacy
Stripe	Greiðsluvinnsla	Greiðslu- og reikningsgögn	stripe.com/privacy
Google Analytics / GTM	Greining og eftirfylgni	Notkunargögn, IP (nafnlægt), viðburðir	policies.google.com/privacy
PostHog	Vörugreining	Notkunargögn, samskipti, tækjaupplýsingar	posthog.com/privacy
Sentry	Villuvöktun og afköst	Villagögn, tækjaupplýsingar	sentry.io/privacy
Google Cloud Storage	Geymsla prófílmynda	Upploadaðar prófílmyndir	cloud.google.com
Google OAuth	Auðkenning	Nafn, netfang (eins og Google lætur í té)	policies.google.com/privacy
LinkedIn OAuth	Auðkenning	Nafn, netfang (eins og LinkedIn lætur í té)	linkedin.com/legal/privacy-policy
Logo.dev	Birting lógós fyrirtækja í umsóknarvakt	Lén fyrirtækja (dregin af nöfnum sem þú slærð inn)	logo.dev/privacy
Hýsing / innviðir	Netþjónahýsing, gagnagrunnur, geymsla	Öll þjónustugögn	Í samræmi við gagnvinnslusamning okkar

Við selja ekki, leigum ekki eða versla ekki með persónuupplýsingar þínar til þriðja aðila í eigin markaðsstarfi þeirra.

5. Kökur og staðbundin geymsla

5.1 Kökur

Við notum eftirfarandi kökur:

Kaka	Tegund	Tilgangur	Gildistími
`accessToken`	Nauðsynleg	Lotuauðkenning	Skammtíma
`refreshToken`	Nauðsynleg	Lotuendurnýjun og þrálátur innskráning	Allt að 365 dagar

Nauðsynlegar kökur þurfa ekki samþykki samkvæmt gr. 5(3) rafrænu friðlægingarregugerðarinnar þar sem þær eru nauðsynlegar fyrir rekstur þjónustunnar.

Greiningarkökur (t.d. þær sem Google Analytics setur) eru einungis settar eftir að þú gefur samþykki.

5.2 Staðbundin geymsla

Við notum localStorage vafrann í eftirfarandi tilgangi:

Lykill	Tilgangur
Tungumálastilling	Muna tungumálastillingu þína
Framsendingarleiðir	Senda þig á rétta síðu eftir innskráningu
Uppkastsgögn	Geyma vinnu sem er í gangi meðan á lotu stendur
Umsóknarvaktargögn	Staðbundin skyndiminni umsókna (samstillt við netþjón)
Samþykki kökur	Muna val þitt vegna kökusamþykkis
Gestagögn	Geyma CV og kynningarbréfsefni fyrir notendur sem ekki hafa stofnað reikning
Einkunnirnar þínar	Muna hvaða sniðmát, bloggfærslur eða dæmi þú hefur gefið einkunn
Tækjaauðkenni (`x-client-id`)	Handahófskenndur UUID fyrir takmörkun á almennum eiginleikum
Lógóskyndiminni	Geymd lógó fyrirtækja til að draga úr ytri beiðnum
UI-stillingar	Skoðunarhamur og leiðsögnafframfarir

6. Deling og birting gagna

Við kunnum einungis að birta persónuupplýsingar þínar í eftirfarandi aðstæðum:

Þjónustuveitendur og undirvinnsluaðilar: Til traustlegra þriðja aðila sem vinna gögn fyrir okkur til að reka þjónustuna.
Lagalegar skyldur: Þegar krafist er til að hlíta gildandi lögum, reglugerðum eða framfylgjanlegar stjórnvaldsbeiðni.
Vernd réttinda: Þegar nauðsynlegt er til að vernda réttindi, eignir eða öryggi Laddro, notenda okkar eða almennings.
Viðskiptayfirfærslur: Við samruna, yfirtöku eða sölu eigna gætu gögn þín verið flutt yfir til arftaka. Við munum tilkynna þér um slíka yfirfærslu.
Samanteknar eða nafnlægar gögn: Við kunnum að deila gögnum sem hafa verið samanteknar eða nafnlæg svo þau geti ekki lengur auðkennt þig.
Með samþykki þínu: Í hvaða öðrum aðstæðum sem þú hefur gefið skýrt samþykki.

7. Alþjóðlegar gagnafærslur

8. Varðveislutími gagna

Við geymum persónuupplýsingar þínar einungis eins lengi og nauðsynlegt er til að uppfylla þann tilgang sem lýst er í þessari stefnu:

Flokkur gagna	Varðveislutími
Reikningsgögn	Á meðan reikningurinn þinn er virkur. Eytt eða nafnlæg innan 30 daga eftir eyðingu reiknings.
Prófílmynd	Á meðan reikningurinn þinn er virkur. Eytt úr skýgeymslu þegar skipt er um mynd eða reikningur er eytt.
CV og kynningarbréfsgögn	Á meðan reikningurinn þinn er virkur. Eytt með reikningnum þínum.
Umsóknarvaktargögn	Á meðan reikningurinn þinn er virkur eða þar til þú eyðir einstaka færslum.
Greiðslu- og færslufærslur	Allt að 10 ár eftir viðskipti, eins og þýsk skattalög og viðskiptaréttur krefjast.
Þjónustuvera samskipti	Allt að 3 ár eftir lausn.
Greiningargögn	Geymd á samanteknu/nafnlægu formi. Einstaklingsleg gögn eru háð varðveislustillingum Google Analytics.
Skrár API-þjóns	Eytt sjálfkrafa eftir 7 daga.
Netþjónaskrár	Allt að 90 dagar í öryggis- og villuleitartilgangi.

9. Öryggi gagna

Dulkóðun: Gögn í flutningi eru dulkóðuð með TLS/SSL. CV og kynningarbréfsefni er dulkóðað í hvíld með AES-256 dulkóðun.
Aðgangsstýringar: Aðgangur að persónuupplýsingum er takmarkaður við viðurkenndar starfspersónur.
Auðkenningaröryggi: Auðkenningarlyklar eru settir með öruggum kökustillingum. Tölvupósttengjilskóðar eru einnota og tímabundnir.
Innviðaöryggi: Hýsingarinnviðir okkar nota iðnaðarstaðlaðar öryggisráðstafanir.
Viðbrögð við atvikum: Við viðhöldum verklagsreglum til að greina, tilkynna og bregðast við persónuupplýsingabrotum í samræmi við gr. 33 og 34 GDPR.

10. Réttindi þín samkvæmt GDPR

Réttur	Lýsing
Aðgangur (gr. 15 GDPR)	Biðja um eintak af persónuupplýsingum sem við höfum um þig.
Leiðrétting (gr. 16 GDPR)	Biðja um leiðréttingu á ónákvæmum eða ófullnægjandi persónuupplýsingum.
Eyðing (gr. 17 GDPR)	Biðja um eyðingu persónuupplýsinga þinna þar sem engar sannfærandi ástæður eru fyrir áframhaldandi vinnslu.
Takmörkun (gr. 18 GDPR)	Biðja um takmörkun á vinnslu við tilteknar aðstæður.
Gagnaflutningur (gr. 20 GDPR)	Fá persónuupplýsingar þínar á skipulögðu, almennt notað, vélalesanlegu formi.
Mótmæli (gr. 21 GDPR)	Mótmæla vinnslu sem byggir á lögmætum hagsmunum eða beinum markaðsstarfi.
Afturköllun samþykkis (gr. 7(3) GDPR)	Þar sem vinnsla byggir á samþykki, afturkalla það hvenær sem er.
Kvörtun	Leggja kvörtun fram hjá eftirlitsyfirvaldi. Fyrir Þýskaland er þetta viðkomandi ríkislög um persónuvernd (Landesdatenschutzbehörde) eða BfDI.

Hvernig á að nýta réttindi þín: Hafðu samband við okkur á [email protected] með beiðni þinni. Við munum svara innan eins mánaðar eins og krafist er af gr. 12(3) GDPR.

11. Persónuvernd barna

12. „Do Not Track" merki

13. Breytingar á þessari persónuverndarstefnu

Við kunnum að uppfæra þessa persónuverndarstefnu reglulega. Við munum:

Birta uppfærða persónuverndarstefnu á vefsíðu okkar með endurskoðuðum „Síðast uppfært" dagsetningu.
Við verulegar breytingar veita viðbótartilkynningu með tölvupósti eða tilkynningu í forriti að minnsta kosti 30 dögum áður en breytingarnar taka gildi.

Áframhaldandi notkun þín á þjónustunni eftir gildistöku endurskoðaðrar persónuverndarstefnu felur í sér viðurkenningu þína á breytingunum.

14. Hafðu samband

Laddro Digital UG (haftungsbeschränkt)
Geschäftsführer: Oussama Bentaib
Belziger Str. 69-71
10823 Berlín, Þýskaland
Tölvupóstur: [email protected]

Við erum skuldbundin til að leysa hverjar sem er áhyggjur um persónuvernd þína og munum svara öllum lögmætum beiðnum í samræmi við gildandi lög.