FAQ: GDPR och dataskydd i TimeLog PSA
På denna sida har vi sammanställt de vanligaste frågorna som våra kunder ställer om dataskyddsförordningen. Om du har ytterligare frågor, är du välkommen att kontakta vår support
-
Where can I find TimeLog's data processing agreement?
Vårt databehandlingsavtal finns på hemsidan och i TimeLog PSA.
I TimeLog PSA finns det undertecknade personuppgiftsbiträdesavtalet under Mitt konto -> Kontoöversikt -> Avtalsöversikt.
Du kan också se när och vem som har loggat in i åtgärdsloggen under Mitt konto. -
Är kunddata åtskilda i TimeLog?
Ja. Varje kund har en egen databas och kunder har inte tillgång till varandras data.
-
Har TimeLog någon utvecklingsavdelning utanför EU?
Ja, vi har en avdelning i Malaysia.
-
Har TimeLogs utvecklare i Malaysia tillgång till våra personuppgifter?
Nej, våra utvecklare i Malaysia har inte direkt tillgång till våra kunders registrerade data.
Ibland har vi dock supportärenden där vårt team i Malaysia assisterar och då kan det krävas tillgång till kundens databas för att kunna lösa problemet.
När detta inträffar säkerhetskopierar vi er databas till en testserver där all er data anonymiseras.
Det medför att personuppgifter inte kan indentifieras. I ställer kommer personuppgifter visas som medarbetare 1, medarbetare 2 och så vidare. Inte heller adresser och telefonnummer visas.
När du skickar en skärmdump i ett supportärende och våra utvecklare i Malaysia behöver denna för att lösa problemet så skickar vi tekniskt sett personuppgifter ut ur EU.
Därför har vi tecknat ett separat personuppgiftsbiträdesavtal med vår utvecklingspartner så att vi lever upp till kraven för personuppgiftsbiträde - samtidigt som vi ger våra kunder bästa möjliga service.
-
Vem är personuppgiftsansvarig och vem är personuppgiftsbiträde?
Personuppgiftsansvarig är den som registrerar data, dvs. jer. Den person som utsetts till personuppgiftsombud är länken mellan TimeLog och dig som kund omkring allt som rör dataskydd och EU:s dataskyddsförordning (GDPR).
Ansvarigt ombud kommer även vara den som mottar information om nya tilltag och förändringar i dataskyddet, t.ex. om en underleverantör (som är personuppgiftsbiträde) byts ut.
TimeLog är personuppgiftsbiträde och vår roll är att hantera data åt er.
-
Kommer TimeLog kräva att våra medarbetare skriver på ett avtal?
Nej, TimeLog kommer inte kräva att era medarbetare skriver på något avtal. Eftersom ni registrerar uppgifter om era medarbetare rekommenderar vi att ni informerar dem om att ni sparar deras personuppgifter och varför ni gör det. Ni bör inhämta samtycke till att registrera uppgifter om era medarbetare.
Dataskyddsförordningen är en process mellan er och era medarbetare.
Med det sagt så är vi som personuppgiftsbiträde skyldig att guida er i hur ni ska förhålla er till dataskyddsforordningen.Dessa rekommendationer kommer ingå i vårt personuppgiftsbiträdesavtal så att vi lever upp till vårt ansvar som personuppgiftsbiträde.
-
Hur gäller personuppgiftsbiträdesavtalet för våra dotterbolag som också använder samma TimeLog-site?
Vi tecknar endast ett personuppgiftsbiträdesavtal med ägaren av huvudavtalet.
Eftersom ansvaret att administrera er interna hantering av den data ni lägger in i TimeLog vilar på ägaren till huvudavtalet är ni personuppgiftsansvarig.
-
Hur kan personuppgiftsombudet få ytterligare inblick i data som ligger i TimeLog?
Hos TimeLog är det endast personuppgiftsombudet som kan be om insyn i den data som lagras i TimeLogs system. Insyn kan t.ex. innebära borttagning av data, import, export och rättelser. Mer information om detta hittar du här: Systemadministration-> Allmänna inställningar> Säker hantering av personuppgifter.
Om någon annan medarbetare än den personuppgiftsombudet ber om inblick, kommer vi kontakta personuppgiftsombudet och be om hens samtycke innan vi lämnar ut uppgifter.
Vi debiterar per timma och du som personuppgiftsansvarig kan kontakta oss skriftligen via e-post på support@timelog.com.
-
Hur ser processen för dataflöde ut, från insamling till radering av data?
Följande processer ska beskrivas: insamling, lagring, åtkomst, användningssyfte, delning, överföring och radering.
Exempel på ett dataflöde:
Insamling: Medarbetare registrerar tid, antingen via webbläsaren, TimeLog Mobile eller TimeLog for Desktop. Användarens inloggningsuppgifter kan kontrolleras via AD tvåstegsverifiering (SSO).
Lagring: Data lagras på Microsoft SQL-servrar i en virtuell servermiljö som drivs av TimeLogs värdpartner GlobalConnect. Våra kunder har egna databaser.
Åtkomst: Hos TimeLog är det bara den dataansvariga som kan be om åtkomst till data i TimeLog-systemet. Åtkomsten kan t.ex. handla om radering av data, import, export och scriptning av data. Du kan få ytterligare åtkomst här: Systemadministrationen --> Allmänna inställningar --> Skydd av personuppgifter.
Om en annan medarbetare än den dataansvariga hos er ber om åtkomst så meddelar vi först den dataansvariga och ber om vederbörandes samtycke.
Användningssyfte: Ledningen, projektledarna och HR-personalen använder sig av data för lönehantering. Användarna kan befinna sig över hela världen och få tillgång till data via en webbläsare. TimeLog är ett fullt ut rollbaserat system så endast användare med behörighet att visa data kan se dem.
Delning: TimeLog har en utvecklingsavdelning i Malaysia. Det kan förekomma situationer då våra malaysiska utvecklare måste lösa supportärenden. Då krävs det att de har tillgång till er databas för att kunna lösa problemet. När detta inträffar säkerhetskopierar vi er databas till en testserver där alla era data anonymiseras. Det medför att personuppgifter inte kan identifieras. Istället kommer de ursprungliga personuppgifterna visas som medarbetare 1, medarbetare 2 och så vidare. Inte heller telefonnummer och adresser visas.
Överföring: Data överförs via HTTPS till databasservarna som är fysiskt placerade på två platser i Köpenhamn.
Radering: TimeLog har en automatiskt integrerad anonymiserings- och raderingsprocess som anonymiserar och raderar de data som definierats av er DPO (Data Protection Officer).
När en kund säger upp sitt avtal med oss behåller vi deras data i inaktiv form i sex månader. Därefter raderas data automatiskt. Under den första månaden ligger data även på produktionssajten. Den GDPR-ansvariga hos kunden kan be att deras data raderas innan dess.
-
Vilka system använder ni för att samla in och lagra personuppgifter?
Data lagras på en SQL-server som är placerad i en VMware-miljö. Servern drivs av vår danska värdpartner GlobalConnect (privat Cloud). GlobalConnect arbetar från flera olika fysiska platser i Köpenhamn.
Medarbetarnas tidrapportering kan hanteras via iOS-appen, Android-appen, Desktop-appen (electron), Outlook-appen (valfri) och olika webbläsare. Inloggningen kan kontrolleras via SSO.
-
Var kan man läsa om vad ni gör med mina personuppgifter?
Det kan du läsa mer om i vårt databehandlingsavtal och vår sekretesspolicy.
IT-säkerhet och dataskydd
Läs om TimeLogs policy och vad den innebär för dig som kund.
Allmänna villkor
Avtal om behandling av personuppgifter
Ditt ansvar som personuppgiftsansvarig