TimeLogs FAQ om dataskyddsförordningen Skip to content

TimeLogs FAQ om dataskyddsförordningen

På denna sida har vi sammanställt de vanligaste frågorna som våra kunder ställer om dataskyddsförordningen. Om du har ytterligare frågor, är du välkommen att kontakta vår support. 

Q: När kommer TimeLogs personuppgiftsbiträdesavtal vara klart?

A:
Inne TimeLog har vi publicerat vårt personuppgiftsbiträdesavtal (engelska) och det visas endast för den som är avtalsansvarig hos er. 

Q: Är kunddata åtskilda i TimeLog?

A: 
Ja. Varje kund har en egen databas och kunder har inte tillgång till varandras data.

Q: Har TimeLog någon utvecklingsavdelning utanför EU?

A: Ja, vi har en avdelning i Malaysia.

Q: Har TimeLogs utvecklare i Malaysia tillgång till våra personuppgifter?

A: Nej, våra utvecklare i Malaysia har inte direkt tillgång till våra kunders registrerade data. 

Ibland har vi dock supportärenden där vårt team i Malaysia assisterar och då kan det krävas tillgång till kundens databas för att kunna lösa problemet. När detta inträffar säkerhetskopierar vi er databas till en testserver där all er data anonymiseras. Det medför att personuppgifter inte kan indentifieras. I ställer kommer personuppgifter visas som medarbetare 1, medarbetare 2 och så vidare. Inte heller adresser och telefonnummer visas.

När du skickar en skärmdump i ett supportärende och våra utvecklare i Malaysia behöver denna för att lösa problemet så skickar vi tekniskt sett personuppgifter ut ur EU. Därför har vi tecknat ett separat personuppgiftsbiträdesavtal med vår utvecklingspartner så att vi lever upp till kraven för personuppgiftsbiträde - samtidigt som vi ger våra kunder bästa möjliga service.

Q: Vem är personuppgiftsansvarig och vem är personuppgiftsbiträde?

A:
Personuppgiftsansvarig är den som registrerar data, dvs. jer. Den person som utsetts till personuppgiftsombud är länken mellan TimeLog och dig som kund omkring allt som rör dataskydd och EU:s dataskyddsförordning (GDPR). 

Ansvarigt ombud kommer även vara den som mottar information om nya tilltag och förändringar i dataskyddet, t.ex. om en underleverantör (som är personuppgiftsbiträde) byts ut.

TimeLog är personuppgiftsbiträde och vår roll är att hantera data åt er.

Q: Kommer TimeLog kräva att våra medarbetare skriver på ett avtal? Vi är bara intresserade av att ha ett personuppgiftsbiträdesavtal mellan vårt företag och TimeLog. 

A: 
Nej, TimeLog kommer inte kräva att era medarbetare skriver på något avtal. Eftersom ni registrerar uppgifter om era medarbetare rekommenderar vi att ni informerar dem om att ni sparar deras personuppgifter och varför ni gör det. Ni bör inhämta samtycke till att registrera uppgifter om era medarbetare.

Dataskyddsförordningen är en process mellan er och era medarbetare. 

Med det sagt så är vi som personuppgiftsbiträde skyldig att guida er i hur ni ska förhålla er till dataskyddsforordningen. Dessa rekommendationer kommer ingå i vårt personuppgiftsbiträdesavtal så att vi lever upp till vårt ansvar som personuppgiftsbiträde.

Q: Hur gäller personuppgiftsbiträdesavtalet för våra dotterbolag som också använder samma TimeLog-site?

A: Vi tecknar endast ett personuppgiftsbiträdesavtal med ägaren av huvudavtalet.  Eftersom ansvaret att administrera er interna hantering av den data ni lägger in i TimeLog vilar på ägaren till huvudavtalet är ni personuppgiftsansvarig.

Q: Hur kan personuppgiftsombudet få ytterligare inblick i data som ligger i TimeLog?

A: Hos TimeLog är det endast personuppgiftsombudet som kan be om insyn i den data som lagras i TimeLogs system. Insyn kan t.ex. innebära borttagning av data, import, export och rättelser. Mer information om detta hittar du här: Systemadministration-> Allmänna inställningar> Säker hantering av personuppgifter.

Om någon annan medarbetare än den personuppgiftsombudet ber om inblick, kommer vi kontakta personuppgiftsombudet och be om hens samtycke innan vi lämnar ut uppgifter.

Vi debiterar per timma och du som personuppgiftsansvarig kan kontakta oss skriftligen via e-post på support@timelog.com. Förvänta upp till fyra veckors behandlingstid.

 

Q: Hur ser processen för dataflöde ut, från insamling till radering av data? Följande processer ska beskrivas: insamling, lagring, åtkomst, användningssyfte, delning, överföring och radering.

A: Exempel på ett dataflöde.

Insamling: Medarbetare registrerar tid, antingen via webbläsaren, TimeLog Mobile eller TimeLog for Desktop. Användarens inloggningsuppgifter kan kontrolleras via AD tvåstegsverifiering (SSO).

Lagring: Data lagras på Microsoft SQL-servrar i en virtuell servermiljö som drivs av TimeLogs värdpartner GlobalConnect. Våra kunder har egna databaser.

Åtkomst: Hos TimeLog är det bara den dataansvariga som kan be om åtkomst till data i TimeLog-systemet. Åtkomsten kan t.ex. handla om radering av data, import, export och scriptning av data. Du kan få ytterligare åtkomst här: Systemadministrationen --> Allmänna inställningar --> Skydd av personuppgifter. 

Om en annan medarbetare än den dataansvariga hos er ber om åtkomst så meddelar vi först den dataansvariga och ber om vederbörandes samtycke.

Användningssyfte: Ledningen, projektledarna och HR-personalen använder sig av data för lönehantering. Användarna kan befinna sig över hela världen och få tillgång till data via en webbläsare. TimeLog är ett fullt ut rollbaserat system så endast användare med behörighet att visa data kan se dem.

Delning: TimeLog har en utvecklingsavdelning i Malaysia. Det kan förekomma situationer då våra malaysiska utvecklare måste lösa supportärenden. Då krävs det att de har tillgång till er databas för att kunna lösa problemet. När detta inträffar säkerhetskopierar vi er databas till en testserver där alla era data anonymiseras. Det medför att personuppgifter inte kan identifieras. Istället kommer de ursprungliga personuppgifterna visas som medarbetare 1, medarbetare 2 och så vidare. Inte heller telefonnummer och adresser visas.

Överföring: Data överförs via HTTPS till databasservarna som är fysiskt placerade på två platser i Köpenhamn.

Radering: TimeLog har en automatiskt integrerad anonymiserings- och raderingsprocess som anonymiserar och raderar de data som definierats av er DPO (Data Protection Officer).

När en kund säger upp sitt avtal med oss behåller vi deras data i inaktiv form i sex månader. Därefter raderas data automatiskt. Under den första månaden ligger data även på produktionssajten. Den GDPR-ansvariga hos kunden kan be att deras data raderas innan dess.

Q: Vilka system använder ni för att samla in och lagra personuppgifter?

Data lagras på en SQL-server som är placerad i en VMware-miljö. Servern drivs av vår danska värdpartner GlobalConnect (privat Cloud). GlobalConnect arbetar från flera olika fysiska platser i Köpenhamn. Läs mer om hur GlobalConnect lever upp till GDPR i den här ISAE 3402-rapporten. Rapporten omfattar perioden fr.o.m. 1 januari t.o.m. 31 december 2020. Rapporten innehåller en beskrivning av säkerhetskontroller, dessas utformning och operationella effektivitet i samband med datacenterlösningar i Danmark och Tyskland.

A: Medarbetarnas tidrapportering kan hanteras via iOS-appen, Android-appen, Desktop-appen (electron), Outlook-appen (valfri) och olika webbläsare. Inloggningen kan kontrolleras via SSO.

Q: Var kan man läsa om vad ni gör med mina personuppgifter?

A: Det kan du läsa mer om i vårt databehandlingsavtal och vår sekretesspolicy.

 

Ovanstående information har sammanställts på bakgrund av information på Dansk Industri, IT Branchen och Datatilsynets webbplatser. 

Senast uppdaterad

Denna sida uppdaterades den  11 juli 2021.

Vår policy

Vi i TimeLog lägger stort fokus på att efterleva våra företagspolicys. Här hittar du våra olika policys och information om vad de betyder för dig som är kund hos TimeLog.

Cookiepolicy
Säkerhet
Privacy policy
TimeLog har erhållit de två oberoende revisoruttalandena ISAE 3000 och ISAE 3402

Läs mer

Vi har samlat ihop vad du behöver veta om TimeLog och dataskyddsförordningen för att ge er kunskap om hur den nya förordningen påverkar er data i TimeLog.

- Ert ansvar som personuppgiftsansvarig

- TimeLogs ansvar som personuppgiftsbiträde

- TimeLogs FAQ om ISAE 3000 och ISAE 3402