General Data Protection Regulation (GDPR)

Version 1.1 – Senast uppdaterad 2025-11-18

GDPR och personuppgifter i Timeplan

Den 25 maj 2018 ersattes den svenska Personuppgiftslagen (PUL) med EU:s dataskyddsförordning, GDPR. Förordningen gäller alla verksamheter som behandlar personuppgifter.

Varje företag (personuppgiftsansvarig) måste kartlägga sin personuppgiftsbehandling, fastställa laglig grund, dokumentera ändamål och ange hur länge uppgifterna sparas.

För företag som använder Timeplan fungerar Exsens AB som personuppgiftsbiträde. Nedan följer en sammanställning över hur personuppgifter behandlas i Timeplan och hur systemet stödjer er efterlevnad av GDPR.

Denna information är en del av bilagan till det Personuppgiftsbiträdesavtal som ingås mellan kunden och Exsens AB. Vid motstridigheter gäller det undertecknade avtalet.

Den anställdes rättigheter

Integritetsskyddsmyndigheten (IMY) har sammanställt de registrerades rättigheter enligt GDPR. Nedan förklaras hur dessa hanteras i Timeplan.

Rätt att få tillgång till sina personuppgifter

De personuppgifter som sparas i Timeplan återfinns primärt under ”Personuppgifter” och ”Kompletterande uppgifter”.

Mer information, inklusive anställningsdata, kan tas ut via rapporten Personrapport under Personal → Rapporter.

De flesta personuppgifter är tillgängliga för den anställde direkt i Webbappen under ”Personuppgifter”.

Rätt att få felaktiga personuppgifter rättade

Behörigheter i Timeplan styr vilka användare som får se och ändra uppgifter. Alla ändringar uppdateras omedelbart i hela systemet.

Kunden kan också låta anställda ändra vissa uppgifter själva i Webbappen. Detta kan enkelt justeras via Timeplans support.

Rätt att få sina uppgifter raderade ("bli bortglömd")

Personrelaterad information i Timeplan raderas antingen:

1. Manuellt av kundens administratör

Funktionen ”Radera” tar bort uppgifterna permanent och direkt.

2. Automatiskt genom systemets gallringsrutiner

(se avsnitt längre ned)

Rätt att invända mot direktmarknadsföring

Det är kundens ansvar att inte använda systemets information för otillåtna syften.

Exsens AB behandlar all kunddata strikt konfidentiellt. Vi kopierar, lagrar eller lämnar aldrig ut personuppgifter till tredje part utan uttryckligt medgivande och endast när det krävs för att ge support enligt avtal.

Timeplans support ändrar aldrig behörigheter åt kunden – endast kundens Superadministratör kan godkänna sådana ändringar.

Rätt till dataportabilitet

Den anställde kan få sina personuppgifter i strukturerat format genom Personrapporten.

Hur länge sparas informationen i Timeplan?

Information raderas både manuellt och automatiskt.

Automatisk rensning – standardintervaller

Steg 1 (efter 6 månader)

• Allmänna användarhändelser (t.ex. inloggningar)

Steg 2 (efter 12 månader)

• Oanvända arbetspass

• Oanvända grundscheman

• Personer skapade men aldrig anställda

• Bankuppgifter och personliga meddelanden för personer med avslutad anställning

Steg 3 (efter 48 månader)

• Närvarostämplingar

• Stämplingsmeddelanden

• Terminalmeddelanden

• Passagestämplingar

• Attesteringar

• Frånvaro

• Arbetspass

• Personer med avslutad anställning

Steg 4 (efter 60 månader)

• Kontosaldon (enbart kvar på kostnadsställe)

Kunden kan begära egna rensningsintervall via supporten.

Lagring enligt lag

Om annan lag kräver fortsatt lagring (exempelvis bokföringslagen) sparas uppgifterna endast så länge som krävs enligt lag.

Säkerhet och dataintrång

Dataintrång delas i huvudsak in i två kategorier:

1. Obehörig åtkomst genom Timeplans gränssnitt

2. Obehörig åtkomst till databasen eller avlyssning av trafik

Åtkomstskydd

• Inloggning sker med användarnamn och lösenord

• Lösenordspolicy kan anpassas av kunden (komplexitet, giltighetstid, minsta längd osv.)

• Inaktiva användare loggas ut automatiskt (standard 15 min)

• Behörighetsmodellen styr exakt vilken data varje användare får se

Biometrisk identifiering

Fingeravtryck lagras aldrig som bild utan omvandlas till koordinatdata som inte kan återskapas.

Kryptering och drift

• All trafik är krypterad (HTTPS/TLS)

• Timeplan driftas på Microsoft Azure

• Data lagras i Microsofts datacenter för Norra Europa (Irland)

• Serveråtkomst är IP-begränsad

• Underhåll sker via krypterad VPN

• Regelbundna säkerhetsuppdateringar och virusskydd

Samtycke och konsekvensbedömning

Kunden ansvarar för att:

• informera de anställda,

• inhämta samtycken när detta krävs,

• genomföra konsekvensbedömningar (DPIA) vid behandlingar med hög risk.

Informera de anställda

Timeplans meddelandefunktion kan användas för att informera anställda och dokumentera att informationen lästs.

 

Personuppgifter i Timeplan

Exsens AB är personuppgiftsbiträde. Kunden är personuppgiftsansvarig. Nedan listas vilka uppgifter som kan sparas i Timeplan.

• Allmänt
  • Förnamn
  • Efternamn
  • Anställningsnummer
  • Smeknamn
  • Personnummer
  • Födelsedatum
  • Kön
  • Adress
  • Telefonnummer
  • Mobilnummer
  • E-post
  • Kortnummer
  • Nationalitet
  • Språkkunskaper
  • Arbetstillstånd (t o m datum)
  • Arbetsvana
  • Anhöriginformation (namn, adress, telefon 1, telefon 2)
  • Banknamn
  • Bankkontonummer
  • Genomförda utbildningar och kompetenser
  • Foto
  • Fingeravtryck (omvandlat till en serie av koordinater, ej bild) 
  • Skatteavdrag, skattesats
  • Generellt anteckningsfält
  • Lönebesked
  • Frånvaro, vanliga typer av frånvaro:
    • Sjukfrånvaro
    • Tjänstledig
    • Föräldraledig
    • Vård av barn
      
      
• Anställningsinformation
  • Arbetsgivare
  • Befattning
  • Anställningsdatum
  • Anställningens slutdatum
  • Lön
  • Veckoarbetstid
  • Kollektivavtal
  • Arbetsplats
  • Semesterrätt
  • Semesteravtal

Underbiträden

Exsens AB använder följande underbiträden:

Exsens AB är fullt ansvarigt för att underbiträden uppfyller samma krav som vi enligt vårt personuppgiftsbiträdesavtal.
Kunden informeras innan nya underbiträden tas i bruk och har rätt att invända.

Överföringar till USA sker med stöd av EU-kommissionens standardavtalsklausuler (SCC) och kompletterande skyddsåtgärder.