Vår FAQ om dataskyddsförordningen

Inne TimeLog har vi publicerat vårt personuppgiftsbiträdesavtal.

Ja. Varje kund har en egen databas och kunder har inte tillgång till varandras data.

Ja, vi har en avdelning i Malaysia.

Nej, våra utvecklare i Malaysia har inte direkt tillgång till våra kunders registrerade data. 

Ibland har vi dock supportärenden där vårt team i Malaysia assisterar och då kan det krävas tillgång till kundens databas för att kunna lösa problemet.

När detta inträffar säkerhetskopierar vi er databas till en testserver där all er data anonymiseras.

Det medför att personuppgifter inte kan indentifieras. I ställer kommer personuppgifter visas som medarbetare 1, medarbetare 2 och så vidare. Inte heller adresser och telefonnummer visas.

När du skickar en skärmdump i ett supportärende och våra utvecklare i Malaysia behöver denna för att lösa problemet så skickar vi tekniskt sett personuppgifter ut ur EU.

Därför har vi tecknat ett separat personuppgiftsbiträdesavtal med vår utvecklingspartner så att vi lever upp till kraven för personuppgiftsbiträde - samtidigt som vi ger våra kunder bästa möjliga service.

Personuppgiftsansvarig är den som registrerar data, dvs. jer. Den person som utsetts till personuppgiftsombud är länken mellan TimeLog och dig som kund omkring allt som rör dataskydd och EU:s dataskyddsförordning (GDPR). 

Ansvarigt ombud kommer även vara den som mottar information om nya tilltag och förändringar i dataskyddet, t.ex. om en underleverantör (som är personuppgiftsbiträde) byts ut.

TimeLog är personuppgiftsbiträde och vår roll är att hantera data åt er.

Nej, TimeLog kommer inte kräva att era medarbetare skriver på något avtal. Eftersom ni registrerar uppgifter om era medarbetare rekommenderar vi att ni informerar dem om att ni sparar deras personuppgifter och varför ni gör det. Ni bör inhämta samtycke till att registrera uppgifter om era medarbetare.

Dataskyddsförordningen är en process mellan er och era medarbetare. 

Med det sagt så är vi som personuppgiftsbiträde skyldig att guida er i hur ni ska förhålla er till dataskyddsforordningen.

Dessa rekommendationer kommer ingå i vårt personuppgiftsbiträdesavtal så att vi lever upp till vårt ansvar som personuppgiftsbiträde.

Vi tecknar endast ett personuppgiftsbiträdesavtal med ägaren av huvudavtalet.

Eftersom ansvaret att administrera er interna hantering av den data ni lägger in i TimeLog vilar på ägaren till huvudavtalet är ni personuppgiftsansvarig.

Hos TimeLog är det endast personuppgiftsombudet som kan be om insyn i den data som lagras i TimeLogs system. Insyn kan t.ex. innebära borttagning av data, import, export och rättelser. Mer information om detta hittar du här: Systemadministration-> Allmänna inställningar> Säker hantering av personuppgifter.

Om någon annan medarbetare än den personuppgiftsombudet ber om inblick, kommer vi kontakta personuppgiftsombudet och be om hens samtycke innan vi lämnar ut uppgifter.

Vi debiterar per timma och du som personuppgiftsansvarig kan kontakta oss skriftligen via e-post på support@timelog.com.

Följande processer ska beskrivas: insamling, lagring, åtkomst, användningssyfte, delning, överföring och radering.

Exempel på ett dataflöde:

Insamling: Medarbetare registrerar tid, antingen via webbläsaren, TimeLog Mobile eller TimeLog for Desktop. Användarens inloggningsuppgifter kan kontrolleras via AD tvåstegsverifiering (SSO).

Lagring: Data lagras på Microsoft SQL-servrar i en virtuell servermiljö som drivs av TimeLogs värdpartner GlobalConnect. Våra kunder har egna databaser.

Åtkomst: Hos TimeLog är det bara den dataansvariga som kan be om åtkomst till data i TimeLog-systemet. Åtkomsten kan t.ex. handla om radering av data, import, export och scriptning av data. Du kan få ytterligare åtkomst här: Systemadministrationen --> Allmänna inställningar --> Skydd av personuppgifter. 

Om en annan medarbetare än den dataansvariga hos er ber om åtkomst så meddelar vi först den dataansvariga och ber om vederbörandes samtycke.

Användningssyfte: Ledningen, projektledarna och HR-personalen använder sig av data för lönehantering. Användarna kan befinna sig över hela världen och få tillgång till data via en webbläsare. TimeLog är ett fullt ut rollbaserat system så endast användare med behörighet att visa data kan se dem.

Delning: TimeLog har en utvecklingsavdelning i Malaysia. Det kan förekomma situationer då våra malaysiska utvecklare måste lösa supportärenden. Då krävs det att de har tillgång till er databas för att kunna lösa problemet. När detta inträffar säkerhetskopierar vi er databas till en testserver där alla era data anonymiseras. Det medför att personuppgifter inte kan identifieras. Istället kommer de ursprungliga personuppgifterna visas som medarbetare 1, medarbetare 2 och så vidare. Inte heller telefonnummer och adresser visas.

Överföring: Data överförs via HTTPS till databasservarna som är fysiskt placerade på två platser i Köpenhamn.

Radering: TimeLog har en automatiskt integrerad anonymiserings- och raderingsprocess som anonymiserar och raderar de data som definierats av er DPO (Data Protection Officer).

När en kund säger upp sitt avtal med oss behåller vi deras data i inaktiv form i sex månader. Därefter raderas data automatiskt. Under den första månaden ligger data även på produktionssajten. Den GDPR-ansvariga hos kunden kan be att deras data raderas innan dess.

Data lagras på en SQL-server som är placerad i en VMware-miljö. Servern drivs av vår danska värdpartner GlobalConnect (privat Cloud). GlobalConnect arbetar från flera olika fysiska platser i Köpenhamn.

Medarbetarnas tidrapportering kan hanteras via iOS-appen, Android-appen, Desktop-appen (electron), Outlook-appen (valfri) och olika webbläsare. Inloggningen kan kontrolleras via SSO.

Det kan du läsa mer om i vårt databehandlingsavtal och vår sekretesspolicy.