FAQ: GDPR og databeskyttelse i TimeLog PSA

Du kan se vores databehandleraftale her. 

I TimeLog PSA finder du den underskrevne databehandleraftale under Min Konto -> Kontooverblik -> Kontraktoverblik.

Du kan også se i handlingsloggen under Min konto, hvornår og hvem der har underskrevet.

Ja. Hver kunde har sin egen database, og kunderne har ikke adgang til hinandens data.  

Ja, vi har en udviklingsafdeling i Malaysia. 

Nej, vores malaysiske udviklere har ikke direkte adgang til jeres personlige data. 

Dog vil der opstå situationer, hvor de skal løse supportsager, og her kræver det, at de har adgang til jeres database, for at kunne løse problemet. I disse tilfælde tager vi en kopi af jeres database på en testserver, hvor al jeres data er anonymiseret. Det betyder, at der ikke vil fremgå personspecifik data. I stedet vil den oprindelige personspecifikke data fremgå som medarbejder 1, medarbejder 2 osv. Telefonnumre og adresse vil heller ikke fremgå. 

Når du sender et skærmbillede til en supportsag, som vores malaysiske udviklere skal bruge til løse udfordringen, sender vi teknisk set personlig data udenfor EU. Derfor har vi en særskilt databehandleraftale med vores udviklingspartner, så vi lever op til vores forpligtelser som databehandler og stadig kan levere den bedste service til vores kunder.

Den dataansvarlige er den, som indsamler data, dvs. jer. Den valgte ansvarlige person er bindeleddet mellem TimeLog og dig som kunde omkring alt, der vedrører databeskyttelse og EU's persondataforordning (GDPR). 

Den ansvarlige kontaktperson vil også være den, der modtager nyheder omkring tiltag og forandringer i forbindelse med databeskyttelse, fx ved udskiftning af underdatabehandlere.

Vi er databehandleren, og vores rolle er at håndtere data på jeres vegne.

Nej, TimeLog vil ikke have, at jeres medarbejdere underskriver en kontrakt. Eftersom I indsamler data om jeres medarbejdere, anbefaler vi, at I oplyser jeres medarbejdere om, at I indsamler data om dem, og om hvorfor I gør det. I bør få samtykke til at indsamle data om jeres medarbejdere.

Persondataforordningen er altså udelukkende en process mellem jer og jeres medarbejdere.

Som databehandler er vi forpligtet til at guide jer i, hvordan I skal forholde jer til persondataforordningen. Disse anbefalinger indgår i vores databehandleraftale, så vi lever op til vores ansvar som databehandler.

Vi underskriver kun en databehandleraftale med hovedkontraktejeren. Det betyder, at det er hovedkontraktejerens ansvar at administrere jeres interne håndtering af, hvilke data I indtaster i TimeLog, eftersom I er dataansvarlig.

Hos TimeLog er det kun den dataansvarlige, der kan bede om indsigt i data i TimeLog-systemet. Indsigten kan fx vedrøre sletning af data, import, eksport og scriptning af data. Du kan få yderligere indsigt her: Systemadministrationen --> Generelle indstillinger --> Beskyttelse af personoplysninger. 

Hvis en anden medarbejder, end den dataansvarlige, beder om indsigt, underretter vi først den dataansvarlige og beder om vedkommendes samtykke. 

Du skal som dataansvarlig altid henvende dig skriftligt via e-mail til support@timelog.dk. 

Oplysninger om helbredsforhold indgår i betegnelsen personfølsomme oplysninger. TimeLog kan bruges til at registrere sygdom og fravær, hvilket kan anses for at være følsomme oplysninger af to grunde.

For det første, er det op til den enkelte registrant, hvorvidt vedkommende ønsker at skrive uddybende kommentarer til sin sygdomsregistrering.

For det andet, er det muligt at trække rapporter på den enkelte medarbejders registreringer i henhold til sygdom. Det gør det muligt at udlede tendenser. Vær derfor også opmærksom på, hvilke roller, der kan se de samlede sygdomsanalyser i jeres virksomhed.

Eksempel på et dataflow fra indsamling til opbevaring, adgang, brugsformål, deling, overførsel og sletning. 

Indsamling: Medarbejdere registrerer tid, enten via browseren, TimeLog Mobile eller TimeLog for Desktop. 

Opbevaring: Data bliver opbevaret på Microsoft SQL-servere i et virtuelt servermiljø, som opereres af TimeLogs hosting. Vores kunder har deres egne databaser.

Adgang: Hos TimeLog er det kun den dataansvarlige, der kan bede om indsigt i data i TimeLog PSA. Indsigten kan fx vedrøre sletning af data, import, eksport og scriptning af data. Hvis en anden medarbejder end den dataansvarlige hos jer beder om indsigt, så underretter vi først den dataansvarlige og beder om vedkommendes samtykke.

Brugsformål: Ledelse, projektledere og HR-personale bruger data til lønhåndtering. Brugere kan være over hele verden og få adgang til data via en browser. TimeLog er et fuldt ud rollebaseret system, så kun brugere med rettigheder til at se data kan se dem.

Deling: TimeLog har en udviklingsafdeling i Malaysia. Der kan forekomme situationer, hvor vores malaysiske udviklere skal løse supportsager. Her kræver det, at de har adgang til jeres database for at løse problemet. I disse tilfælde tager vi en kopi af jeres database på en testserver, hvor al jeres data er anonymiseret.

Det betyder, at der ikke vil fremgå personspecifik data. I stedet vil den oprindelige personspecifikke data fremgå som medarbejder 1, medarbejder 2 osv. Telefonnumre og adresser vil heller ikke fremgå. 

Overførsel: Data bliver overført via HTTPS til databaseserverne, som er fysisk lokaliseret to steder i København, Danmark.

Sletning: TimeLog har en automatisk indbygget anonymiserings- og sletningsproces, som anonymiserer og sletter data defineret af jeres DPO (Data Protection Officer).

Når en kunde opsiger sin kontrakt med os, beholder vi deres data inaktivt i seks måneder, hvorefter data slettes automatisk. I den første måned vil data også ligge på produktionssitet. Som kunde har du har mulighed for at bede om at få slettet data, før de seks måneder er gået.

Data bliver opbevaret på en SQL-server, som er lokaliseret på et VMware-miljø. Serveren opereres af vores danske hosting partner GlobalConnect (privat Cloud).

GlobalConnect opererer fra flere forskellige fysiske lokationer i København, Danmark. GlobalConnect besidder alle nødvendige certificeringer såsom ISO27001, ISO9001, ISO3000, ISAE3402 (+type 2) og kan dokumentere en ISAE 3402-erklæring.

Medarbejderes tidsregistrering kan foretages via iOS app, Android app, Desktop app (electron), Outlook app (valgfri) og forskellige web browsers. Login kan kontrolleres via SSO.

Du kan finde vores databehandleraftale, cookie- og privatlivspolitik med mere via links i boksen nedenfor.