TimeLogs FAQ om persondataforordningen

Vores FAQ om GDPR

På denne side kan du få svar på spørgsmålene som vores kunder ofte stiller til persondataforordningen. Hvis du har yderligere spørgsmål, er du velkommen til at kontakte vores support

Q: Hvor kan jeg finde TimeLogs databehandleraftale? 

A: 
Vi har offenliggjort vores databehandleraftale på vores website, som du kan hente en kopi af lige her. I TimeLog finder du den underskrevne databehandleraftale under Min Konto -> Kontooverblik -> Kontraktoverblik. Du kan også se i handlingsloggen under Min konto, hvornår og hvem der har underskrevet.

Q: Er kundedata adskilt i TimeLog?

A: 
Ja. Hver kunde har sin egen database, og kunderne har ikke adgang til hinandens data.  


Q: Har TimeLog en udviklingsafdeling uden for EU?

A: Ja, vi har en udviklingsafdeling i Malaysia. 

Q: Har TimeLogs malaysiske udviklere adgang til vores personlige data?    

A: Nej, vores malaysiske udviklere har ikke direkte adgang til jeres personlige data. 

Dog vil der opstå situationer, hvor de skal løse supportsager, og her kræver det, at de har adgang til jeres database, for at kunne løse problemet. I disse tilfælde tager vi en kopi af jeres database på en testserver, hvor al jeres data er anonymiseret. Det betyder, at der ikke vil fremgå personspecifik data. I stedet vil den oprindelige personspecifikke data fremgå som medarbejder 1, medarbejder 2 osv. Telefonnumre og adresse vil heller ikke fremgå. 

Når du sender et skærmbillede til en supportsag, som vores malaysiske udviklere skal bruge til løse udfordringen, så sender vi teknisk set personlig data udenfor EU. Derfor har vi en særskilt databehandleraftale med vores udviklingspartner, så vi lever op til vores forpligtelser som databehandler og stadig kan levere den bedste service til vores kunder.  

Q: Hvem er den dataansvarlige og hvem er databehandleren? 

A:
Den dataansvarlige er den, som indsamler data, dvs. jer. Den valgte ansvarlige person er bindeleddet mellem TimeLog og dig som kunde omkring alt, der vedrører databeskyttelse og EU'-s persondataforordning (GDPR). 

Den ansvarlige kontaktperson vil også være den, der modtager nyheder omkring tiltag og forandringer i forbindelse med databeskyttelse, fx ved udskiftning af underdatabehandlere.

Vi er databehandleren, og vores rolle er at håndtere data på jeres vegne. 

Q: Vil TimeLog have, at vores medarbejdere underskriver en kontrakt? Vi er kun interesseret i en databehandleraftale mellem vores virksomhed og TimeLog. 

A:
 Nej, TimeLog vil ikke have, at jeres medarbejdere underskriver en kontrakt. Eftersom I indsamler data om jeres medarbejdere, anbefaler vi, at I oplyser jeres medarbejdere om, at I indsamler data om dem, og om hvorfor I gør det. I bør få samtykke til at indsamle data om jeres medarbejdere.

Persondataforordningen er altså udelukkende en process mellem jer og jeres medarbejdere.

Når det er sagt, så er vi, som databehandler, forpligtet til at guide jer i, hvordan I skal forholde jer til persondataforordningen. Disse anbefalinger vil indgå i vores databehandleraftale, så vi lever op til vores ansvar som databehandler.

Ovenstående informationer er udarbejdet i henhold til Dansk IndustriIT Branchen samt Datatilsynets hjemmesider. 

Q: Hvordan gælder databehandleraftalen for vores datterselskaber, som også er på samme TimeLog-site? 

A: Vi underskriver kun en databehandleraftale med hovedkontraktejeren. Det betyder, at det er hovedkontraktejerens ansvar at administrere jeres interne håndtering af, hvilke data I indtaster i TimeLog, fordi I er den dataansvarlige. 


Q: Hvordan kan den dataansvarlige bede om yderligere indsigt i data i TimeLog? 

A: Hos TimeLog er det kun den dataansvarlige, der kan bede om indsigt i data i TimeLog-systemet. Indsigten kan fx vedrøre sletning af data, import, eksport og scriptning af data. Du kan få yderligere indsigt her: Systemadministrationen --> Generelle indstillinger --> Beskyttelse af personoplysninger. 

Hvis en anden medarbejder, end den dataansvarlige, hos jer beder om indsigt, så underretter vi først den dataansvarlige og beder om vedkommendes samtykke. 

Du skal som dataansvarlig altid henvende dig skriftligt via e-mail til support@timelog.dk. Du kan forvente op til fire ugers behandlingstid.
  

Q: Hvilke personfølsomme oplysninger kan registreres i TimeLog? 

A: Oplysninger om helbredsforhold indgår i betegnelsen personfølsomme oplysninger. TimeLog kan bruges til at registrere sygdom og fravær, hvilket kan anses for at være følsomme oplysninger af to grunde.

For det første, er det op til den enkelte registrant, hvorvidt vedkommende ønsker at skrive uddybende kommentarer til sin sygdomsregistrering.

For det andet, er det muligt at trække rapporter på den enkelte medarbejders registreringer i henhold til sygdom, hvilket gør det muligt at udlede tendenser og konkludere om der er tale om fx ”mandagssyge” eller et længere sygdomsforløb.

Vær derfor også opmærksom på, hvilke roller som har adgang til at se de samlede sygdomsanalyser i jeres virksomhed.

Q: Hvad er processen for dataflow, fra opsamling til sletning af data? Beskriv følgende processer: indsamling, opbevaring, adgang, brugsformål, deling, overførsel og sletning. 

A: Eksempel på et dataflow.

Indsamling: Medarbejdere registrerer tid, enten via browseren, TimeLog Mobile eller TimeLog for Desktop. Brugerlogin kan kontrolleres via AD to-

Opbevaring: Data bliver opbevaret på Microsoft SQL-servere i et virtuelt servermiljø, som opereres af TimeLogs hosting . Vores kunder har deres egne databaser.

Adgang: Hos TimeLog er det kun den dataansvarlige, der kan bede om indsigt i data i TimeLog-systemet. Indsigten kan fx vedrøre sletning af data, import, eksport og scriptning af data. Du kan få yderligere indsigt her: 

Hvis en anden medarbejder end den dataansvarlige hos jer beder om indsigt, så underretter vi først den dataansvarlige og beder om vedkommendes samtykke.

Brugsformål: Ledelse, projektledere og HR-personale bruger data til lønhåndtering. Brugere kan være over hele verden og få adgang til data via en browser. TimeLog er et fuldt ud rollebaseret system, så kun brugere med rettigheder til at se data kan se dem.

Deling: TimeLog har en udviklingsafdeling i Malaysia. Der kan forekomme situationer, hvor vores malaysiske udviklere skal løse supportsager. Her kræver det, at de har adgang til jeres database for at løse problemet. I disse tilfælde tager vi en kopi af jeres database på en testserver, hvor al jeres data er anonymiseret. Det betyder, at der ikke vil fremgå personspecifik data. I stedet vil den oprindelige personspecifikke data fremgå som medarbejder 1, medarbejder 2 osv. Telefonnumre og adresser vil heller ikke fremgå. 

Overførsel: Data bliver overført via HTTPS til databaseserverne, som er fysisk lokaliseret to steder i København, Danmark.

Sletning: TimeLog har en automatisk indbygget anonymiserings- og sletningsproces, som anonymiserer og sletter data defineret af jeres DPO (Data Protection Officer).

Når en kunde opsiger sin kontrakt med os, beholder vi deres data inaktivt i seks måneder, hvorefter dataene slettes automatisk. I den første måned vil data også ligge på produktionssitet. har mulighed for at bede om at få slettet deres data før.

 

Q: Hvilke systemer bruger I til at indsamle og opbevare personlige data?

A: Data bliver opbevaret på en SQL-server, som er lokaliseret på et VMware-miljø. Serveren opereres af vores danske hosting partner GlobalConnect (privat Cloud). GlobalConnect opererer fra flere forskellige fysiske lokationer i København, Danmark.

Medarbejderes tidsregistrering kan foretages via iOS app, Android app, Desktop app (electron), Outlook app (valgfri) og forskellige web browsers. Login kan kontrolleres via SSO.

Q: Hvor kan man læse om, hvad I gør med ens personfølsomme data?

A: Det kan du læse mere om i vores databehandleraftale og vores privatlivspolitik.

Sidst opdateret

Denne side er sidst opdateret d. 7. februar 2020. 

Vores politkker

I TimeLog er det vigtigt for os, at vi opretholder vores virksomhedspolitikker. Du kan læse mere om vores politikker her, og se hvad de betyder for dig som TimeLog kunde.   

Cookiepolitik
Sikkerhedspolitik
Privatlivspolitik