Den 25 maj 2018 ersattes den svenska Personuppgiftslagen (PUL) med EU:s General Data Protection Regulation (GDPR). Förordningen gäller alla slags personregister och alla företag som behandlar personuppgifter.
För att efterfölja GDPR åligger det varje företag (Personuppgiftsansvarig) att kartlägga företagets personuppgiftsbehandling, ta reda på vilka uppgifter de samlar in, varför och hur länge de sparas. För er som använder Timeplan (i ert fall är Timeplan Personuppgiftsbiträde) följer nedan en sammanställning över hur personuppgifter hanteras i Timeplan och hur ni kan använda systemet för att möta den nya förordningen. Mer information om Timeplans integritetspolicy och ansvar som Personuppgiftsansvarig hittar du här.
Den anställdes rättigheter
Datainspektion har sammanställt den anställdes rättigheter från GDPR enligt nedan:
- Den anställde har rätt att få tillgång till sina personuppgifter
De personuppgifter som finns sparade i Timeplan om den anställde finns primärt samlat under flikarna ”Personuppgifter” och ”Kompletterande uppgifter”. Bortsett från fälten ”Arbetstillstånd” och ”Arbetserfarenhet” finns all denna information tillgänglig för den anställde i Webbappen, under menyalternativet ”Personuppgifter”.
Utöver det sparas även information i Timeplan om den anställdes anställning. Denna information kan tas ut med rapporten ”Personrapport”. Rapporten hittar du under Personal->Rapporter. - Den anställde har rätt att få felaktiga personuppgifter rättade
Vilka personer som har rätt att se och ändra personuppgifter styrs genom användarens Användarprofil. En ändring som görs i Timeplan slår omedelbart igenom på alla ställen i Timeplan och syns direkt, t ex i Webbappen.
I Timeplan går det även att ställa in att den anställde själv kan uppdatera sina personuppgifter i Webbappen. Önskar ni ändra vilka uppgifter som får ändras i Webbappen, kontakta vår supportavdelning så kan de enkelt justera det. - Den anställde har rätt att få sina personuppgifter raderade, ”bli bortglömd”
Personrelaterad information tas bort från Timeplan på två olika sätt; antingen genom att användaren väljer ”Radera” eller genom automatisk rensning.
Väljer användaren att ”Radera” en person tas personuppgifterna och relaterad information bort direkt. Efter det är personinformationen inte längre tillgänglig för användaren, oavsett behörighetsnivå.
Personrelaterad information rensas även succesivt automatiskt bort i Timeplan. Se stycket ”Hur länge sparas informationen i Timeplan?” nedan för mer information.
- Den anställde har rätt att invända mot att personuppgifterna används för direktmarknadsföring
Det är upp till kunden att inte för egen del missbruka den information som finns samlad i systemet och kan tas ut, t ex med hjälp av rapporter eller exportfunktioner.
Exsens AB (Timeplan) som företag har en mycket strikt konfidentiell hantering av all information som vi ev. skulle kunna få tillgång till i samband med t ex ett supportärende. Exsens AB förvarar aldrig, kopierar aldrig eller lämnar aldrig ut information, vare sig om kunden eller kundens anställda internt på företaget eller till tredje part utan kundens eller den anställdes uttryckliga medgivande.
Timeplan ger inte heller kundens egna användare ändrade behörigheter utan hänvisar alltid till kundens SuperAdministratör för att försäkra sig om att obehöriga inom kundens organisation inte ges tillträde till olovlig information. - Den anställde ska kunna flytta sina personuppgifter
Önskar den anställde få tillgång till sina personuppgifter digitalt hänvisas till pdf-filen ”Personrapport”. Rapporten hittar du under Personal->Rapporter.
Hur länge sparas informationen i Timeplan?
Personrelaterad information i Timeplan tas bort på två olika sätt; antingen genom att administratören väljer ”Radera” eller genom automatisk rensning.
Den automatiska rensningen sker i fyra steg och sker som standard enligt följande:
Steg 1: Efter 6 månader rensas allmänna användarhändelser bort, t ex inloggning i systemet.
Steg 2: Efter 12 månader rensas oanvända arbetspass, oanvända grundschema och anställda som är upplagda, men aldrig anställda, bort. Bankuppgifter och personliga meddelanden tas bort för personer med avslutad anställning.
Steg 3: Efter 48 månader rensas närvarostämplingar, stämplingsmeddelanden, terminalmeddelanden, passagestämplingar, attesteringar, frånvaro och de anställdas arbetspass bort. Även anställda med avslutad anställning tas bort.
Steg 4: Efter 60 månader rensas de anställdas kontosaldon och sparas sedan endast på kostnadsstället.
Önskar ni som kund kortare rensningsintervall, kontakta vår supportavdelning så kan de enkelt justera det.
Säkerhet och dataintrång
Dataintrång kan delas in i två delar; (1) otillåten åtkomst till personinformation genom Timeplans användargränssnitt och (2) otillåten åtkomst till personinformation genom digital avlyssning eller direkt till databasen.
Åtkomst till Timeplans användargränssnitt sker genom inloggning med användarnamn, lösenord och val av anläggning inom företaget.
Lösenordets komplexitet kan konfigureras enligt kundens önskemål med följande parametrar:
- Lösenordets giltighetstid (i dagar)
- Minsta antal versaler i lösenordet
- Minsta antal siffror i lösenord
- Minsta längd av lösenord
En inloggad användare som har varit inaktiv en viss period loggas automatiskt ut. Standard är 15 minuter, men kan anpassas efter varje kunds önskemål.
Timeplan använder en flexibel behörighetsmodell där kunden själv kan skapa Användare och Användarprofiler. Användarprofilen styr vilka sidor och funktioner i systemet som användare rätt till och för varje användare anges vilka kostnadsställen användaren har rätt till. Användaren har endast rätt att se anställda som är kopplade till användarens kostnadsställen.
För vissa kunder sker identifiering vid närvaroregistrering med hjälp av fingeravtryck. Fingeravtrycken sparas aldrig i form av en bild utan i form av en serie av koordinater. Det går inte att återskapa en grafisk bild av fingeravtrycket med hjälp av koordinaterna utan bara jämföra två koordinatserier med varandra för att verifiera ett presenterat fingeravtryck med ett som är sparat i databasen.
Ingen information från Timeplans administratörsgränssnitt skickas i klartext, utan all trafik skickas krypterad över https.
Timeplan använder Microsofts molntjänst, Azure, som hosting av de virtuella driftservrarna. Microsofts serverpark för NordEuropa ligger på Irland. Åtkomsten till driftservrarna är strikt begränsade och endast access från fördefinierade ip-adresser tillåts. Vid serverunderhåll sker all trafik till driftservrarna via krypterad VPN.
Serverunderhåll och uppdatering av operativsystem och virusskydd sker regelbundet och följer ett förutbestämt schema.
Samtycke och konsekvensbedömning
Det åligger arbetsgivaren att informera och aktivt inhämta samtycke från den anställde. Om den anställdes ålder understiger 16 år ska samtycke även inhämtas av förälder.
Det ligger även på registerhållarens ansvar att genomföra konsekvensbedömningar för vissa typer av personuppgiftsbehandlingar som kan innebära en hög integritetsrisk. Ett led i detta kan vara att genomföra en så kallad ”Privacy Impact Assessments” för att på ett tillförlitligt sätt säkerställa att ert företag uppfyller förordningens krav.
Då en svensk utredning, tillsatt av regeringen, arbetar med att anpassa GDPR för den svenska lagstiftningen kommer sannolikt denna sammanställning uppdateras allt eftersom nya uppgifter och lagar tillkommer.
Informera de anställda
Om du som arbetsgivare vill informera dina anställda om era interna GDPR-rutiner rekommenderar vi att ni använder meddelandefunktionen i Timeplan. Fördelen med att använda funktionen är att ni kan se i Timeplan att meddelandet verkligen har lästs av den anställde.
Gör följande för att skicka ett meddelande till alla anställda:
- Klicka på Meddelande-ikonen i vänstermenyn och välj sedan "Ny" i verktygsfältet.
- Fyll i Rubrik och Meddelande.
- Markera alla anställda i listan "Anställda" och välj sedan "Skicka".
- Om du vill se om den anställde har läst meddelandet, gå till Personal\Meddelanden.
Personuppgifter i Timeplan
Exsens AB är programleverantör och personuppgiftsbiträde för behandlingen av personuppgifter i Timeplan. Det är du som kund som är personuppgiftsansvarig och som vet vilka personuppgifter som ni kommer att behandla i Timeplan. Nedanstående uppgifter är möjliga att spara i Timeplan.
Följande information kan sparas om en anställd:
- Allmänt
- Förnamn
- Efternamn
- Anställningsnummer
- Smeknamn
- Personnummer
- Födelsedatum
- Kön
- Adress
- Telefonnummer
- Mobilnummer
- E-post
- Kortnummer
- Nationalitet
- Språkkunskaper
- Arbetstillstånd (t o m datum)
- Arbetsvana
- Anhöriginformation (namn, adress, telefon 1, telefon 2)
- Banknamn
- Bankkontonummer
- Genomförda utbildningar och kompetenser
- Foto
- Fingeravtryck (omvandlat till en serie av koordinater, ej bild)
- Skatteavdrag, skattesats
- Generellt anteckningsfält
- Lönebesked
- Frånvaro, vanliga typer av frånvaro:
- Sjukfrånvaro
- Tjänstledig
- Föräldraledig
- Vård av barn
- Anställningsinformation
- Arbetsgivare
- Befattning
- Anställningsdatum
- Anställningens slutdatum
- Lön
- Veckoarbetstid
- Kollektivavtal
- Arbetsplats
- Semesterrätt
- Semesteravtal
Följande information kan sparas om en Systemanvändare:
- Namn
- Användarnamn
Underbiträden
Exsens arbetar med följande underbiträden:
Företag | Beskrivning av tjänsten | Kontaktinformation | Företagsform | Geografisk plats för behandling av personuppgifterna | |
Hubspot inc | Hantering av säljkontakter och supportärenden | Hubspot.com | Incorporated Company |
Tyskland |
|
Microsoft Ireland Operations Ltd | Drift av virtuella servrar | Azure.microsoft.com | Limited Company |
Irland |
|
Assently AB | Digital signering av dokument i Timeplan |
Assently.com |
Aktiebolag | Sverige (se assently.com/privacy/sub-processors för signering utanför Sverige) | |
GetAccept AB | Signering och hantering av kundkontrakt | Getaccept.com |
Aktiebolag |
Frankfurt, Tyskland |
|