Persondata

Fra den 25. maj 2018 gælder den ny EU persondataforordning. Forordningen skærper på en række områder kravene til håndtering af persondata både hos de dataansvarlige (ProLøns kunder) og hos databehandleren (ProLøn). Ifølge forordningen skal forholdet mellem en dataansvarlig og en databehandler reguleres af en skriftlig databehandleraftale. Overordnet set er det databehandleraftalen, der skal danne grundlag for, at ProLøn kan behandle kundens løndata på vegne af kunden. ProLøn har i samarbejde med vores advokater udarbejdet en databehandleraftale, der lever op til kravene i den nye forordning. Eksisterende kunder vil modtage databehandleraftalen til godkendelse via digital signatur med NemId. Nye kunder vil fremover skulle godkende aftalen som en del af tilmeldingsprocessen. Det er vigtigt at understrege, at alle kunder skal underskrive aftalen. Du kan se abonnementsvilkår og databehandleraftale her.

Underskriv vores databehandleraftale: Hvis du ikke allerede har underskrevet den nye databehandleraftale, så klik på knappen herunder.



English version

Sign the Data Processing Terms Agreement: If you still haven't signed the Data Processing Terms Agreement, please click the button below.



Svar på ofte stillede spørgsmål vedr. persondata

Svar ang. underskrivning af den nye databehandleraftale med ProLøn

Vi er på ferie. Kan vi vente med at underskrive?

Ja, I kan godt vente med at skrive under til I er tilbage fra ferie.

 

Hvem har sendt databehandleraftalen?

ProLøn sender via samarbejdspartneren Penneo, som: Susanne Lauritzen <[email protected]>

 

Har jeg underskrevet med forkert NemID?

Både virksomhedens NemID og privat NemID kan bruges. Hvis ikke det virker med privat NemID, se dette link: https://penneo.zendesk.com/hc/da/articles/115000595086-Fejlkode-400-Udl%C3%B8bet-eller-ugyldig-signatur

 

Jeg er ikke længere ansat i virksomheden og kan/skal ikke underskrive.

Vi har sendt mail til den kontaktperson vi har stående, som ansat i virksomheden… oplys venligst ProLøn hvem mailen skal sendes til.

 

Jeg er revisor, og kører ikke løn for kunden.

Oplys os venligst hvem mailen skal sendes til.

 

Jeg har printet databehandleraftalen ud, og har underskrevet i hånden, men jeg får stadig emails med påmindelse om, at jeg skal underskrive.

Hvis du allerede har underskrevet manuelt i hånden, så skal du klikke på det link i påmindelses-emailen, der omtaler afvisning af underskrift. Hvis ikke, så bliver man ved med at modtage påmindelser.

 

Lukkes kontoen hos ProLøn, hvis ikke vi får skrevet under med det samme?

Nej det gør den ikke, alting fortsætter som hidtil. ProLøn gør dog opmærksom på, at det er den dataansvarliges ansvar at indgå databehandleraftaler med leverandører, der behandler data.

 

Kan I sende mig en kopi af aftalen?

Du modtager automatisk en kopi, når du har underskrevet aftalen. I øjeblikket kan der dog gå op til 6 timer, før du modtager denne email, grundet stor travlhed i systemet.

 

Vi har ikke NemID, hvad gør vi?

Klik på linket i mailen, klik på download til pdf, udskriv, underskriv, scan og mail tilbage til ProLøn.

 

Jeg vil skrive under i hånden. Skal I have hele dokumentet retur?

Vi kan godt nøjes med den underskrevne side.

 

Vores virksomhed har skiftet navn.

Hvis virksomheden har skiftet navn, men stadig har samme CVR nr behøver man ikke lave en ny aftale. (Det er CVR nr. der bestemmer)

 

Vores firma har flere aftaler med ProLøn. Hvor finder jeg de andre aftaler?

Disse er sendt separat. Kontakt evt. ProLøn på mail med alle firmanumrene.

 

Jeg ønsker ikke at underskrive, da jeg har opsagt min aftale med ProLøn

Hvis du stadig har adgang til ProArkiv opbevarer vi dine data og der skal derfor underskrives en aftale.

 

Ang. data til tredje part, deriblandt SKAT, ATP, NETS, Feriekonto og banker

I databehandleraftalen er der et afsnit om ”Brug af underdatabehandlere”. Her henviser vi til en menu på vores hjemmeside, hvor der er en liste over underdatabehandlere, som ProLøn anvender.

ProLøn er databehandler, fordi vi behandler dine data efter din instruks. Instruksen er databehandleraftalen.

SKAT, ATP, NETS, Feriekonto, banker mv. arbejder ikke under en instruks fra ProLøn. De er undergivet lovgivning og er derfor i juridisk forstand dataansvarlige og ikke databehandlere. Og derfor skal de ikke fremgå af denne databehandleraftale.

 

Hvordan får vi en databehandleraftale med ProLøn

Nye kunder accepterer og tiltræder ProLøns abonnementsbetingelser og databehandleraftale som en del af tilmeldingsprocessen på vores hjemmeside. Eksisterende kunder modtager de nye abonnementsbetingelser og databehandleraftale via en mail fra Penneo, og man accepterer og tiltræder ved at underskrive med NemId.

Anvender ProLøn underdatabehandlere?

Ja, ProLøn anvender og har indgået databehandleraftaler med følgende underdatabehandlere:

  • KMD A/S, cvr 26911745, leverer services relateret til e-Boks og EDI
  • Morning Train Technologies ApS, cvr 33362749, leverer hosting-, drifts- og udviklingsservices relateret til ProLøns hjemmeside
  • Penneo, cvr 35633766, leverer underskriftsservices relateret til tilmelding til ProLøn
  • ProHolding, cvr 31874629, leverer receptions- og bogholderiservices
  • ProInfo A/S, cvr 26056446, leverer hosting-, drifts, og udviklingsservices relateret til ProLøns lønsystem samt interne it-systemer
  • ProInfo IT-drift ApS, cvr 36392762, leverer hosting- og driftsservices relateret til ProLøns lønsystem
Hvem er ansvarlig for at data er korrekte og opdaterede?

Det er kunden, der er dataansvarlig. ProLøn er databehandler. Deraf følger, at det er kunden selv, der er ansvarlig for, at de oplysninger, der findes i vores lønsystem er korrekte og opdaterede.

Hvordan bliver personoplysningerne vedligeholdt?

Jævnfør svaret ovenfor er det kunden, der ansvarlig for data, og det er dermed også kunden, der skal udarbejde procedurer for, hvem der opdaterer, og hvordan der opdateres.

Udleveres personoplysningerne til tredjeparter?

Ja, personoplysningerne udleveres til tredjepart i det omfang kunden er forpligtet til (ifølge dansk lovgivning) eller har indgået aftaler med tredjeparter, som forpligter kunden til at udlevere personoplysningerne.  Eksempler: På kundens vegne indberetter vi lønoplysningerne til SKAT. Vi sørger også for at udbetaling af løn sker ved at sende løntransaktioner til Nets. Er virksomheden pålagt at indberette til Danmarks Statistik, sørger vi for, at det sker automatisk, hvis kunden vælger at benytte vores lønsystem til dette formål. Har kunden indgået aftale om udbetaling af pension til medarbejderne, sørger vi for overførsel og indberetning til relevante pensionsselskaber.

Sendes oplysningerne ud af landet?

Nej

Risikovurdering knyttet til håndtering/brug af personoplysningerne?

Som databehandler vurderer vi løbende risici i forbindelse med behandlingen af data, og vi sørger for at opretholde et højt sikkerhedsniveau med henblik på at sikre data bedst muligt. Heri indgår fx logning af hvem der retter data samt dokumenterede backup procedurer. Det er kundens ansvar at foretage risikovurdering af kundens håndtering og brug af data.

Hvordan sikres efterlevelse af Persondataforordningen?

ProLøn har deltaget i kurser og workshops vedr. persondataforordningen. På den baggrund har vi udarbejdet en analyse og en plan for hvorledes vi fremadrettet sikrer, at vi lever op til forordningens krav. Denne plan er under implementering. Eksempler på tiltag: vi er i gang med at udarbejde en ny databehandleraftale. Vi er ved at udarbejde en datapolitik vedr. opbevaring og sletning af data. Vi er ved at programmere funktioner, der sikrer at vi kan slette data efter kundens anmodning. Vi arbejder desuden med en risikoanalyse

Hvordan håndteres afvigelser i forbindelse med misbrug?

ProLøn har i dag en proces, der tilsiger, at en medarbejder straks kontakter virksomhedens øverste ledelse, hvis der konstateres et problem vedr. persondata. Herefter  besluttes tiltag til at korrigere problemet. Kunden skal være opmærksom på at misbrug også kan forekomme hos kunden, og at kunden selv skal have rutiner på plads til at håndtere dette.

Hvor længe lagres oplysninger i systemet?

Efter Kundens valg sletter eller tilbageleverer ProLøn alle personoplysninger til Kunden, når en kunde stopper hos ProLøn. ProLøn sletter kundens data, medmindre ProLøn er underlagt en retlig forpligtelse, fx indberetning til SKAT, som foreskriver at ProLøn skal foretage opbevaring af personoplysningerne. Sletning eller udlevering sker i overensstemmelse med Databeskyttelsesforordningens regulering og så hurtigt, som det er praktisk muligt. Hvor Kunden ikke giver anden instruks om sletning, opbevares Kundens data i ProLøn indtil to år efter udløb af året, hvor Abonnementsaftalen ophører. I forhold til backup gælder følgende: kundens data indgår i en backup procedure med daglig backup, 14-dages backup, månedlig backup samt årlig backup, hvorfra data slettes, når backuppen i overensstemmelse med ProLøns backupprocedure destrueres

Hvem bestemmer, hvornår data slettes?

Som udgangspunkt slettes data på baggrund af ovenstående regler. Derudover vil data kunne slettes på anmodning fra kunden under forudsætning af, at anmodningen ikke strider mod gældende krav om dokumentation og indberetning. Eksempel: hvis en medarbejder forlader en ProLøn kunde og forlanger at få slettet sine data under henvisning til ”right to be forgotten”, så vil ProLøn først kunne efterkomme anmodningen efter årsafslutning, idet der skal indberettes til SKAT.

Hvad er kriterierne for at slette oplysninger?

Spørgsmålet er besvaret ovenpå. Det kan ske efter anmodning, eller ifølge ProLøns datapolitik, som angiver, hvor lang tid, vi gemmer kundernes data.

Foretages der kontrol af at der gennemføres sletning?

Sletteproceduren vil blive udviklet således, at der skabes dokumentation for sletning.

Hvor bliver data til systemet lagret?

ProLøn har outsourcet it-driften til en ekstern leverandør. Leverandøren får hvert år sine drifts- og hostingydelser gennemgået af en uafhængig it-revisor, som efterfølgende udarbejder en erklæring om kvaliteten af procedurer og kontroller. ProLøn modtager denne erklæring og kan på anmodning udlevere den til kunder.

Bliver der kørt backup?

Ja.

Hvor ofte bliver der kørt backup?

Dagligt.

Rutiner til håndtering af henvendelser om krav om indsigt?

Ja. En medarbejder, der vil have indsigt, skal henvende sig til sin arbejdsgiver, som herefter kan henvende sig til ProLøn. ProLøn vil herefter levere den ønskede dokumentation.

Kan systemet håndtere henvendelser om krav om indsigt?

ProLøn har en historik database, hvor alle løntransaktioner gemmes. Ved en henvendelse vedr. indsigt, vil vi lave et udtræk, der giver den ønskede indsigt. Ved ønske om sletning vil vi gennemføre sletningen, såfremt den ikke strider mod vores forpligtelser overfor arbejdsgiver og myndigheder, og vi vil dokumentere, at sletningen er gennemført.

Kan systemet håndtere dataportabilitet?

Ja. ProLøn kan levere stamdata på en fil, således at data kan læses ind i et andet system.

Anvender ProLøn kryptering af data?

ProLøn opbevarer ikke data i pseudonymiseret eller krypteret form. Kundens login-kodeord er dog hachet, som det hedder i it-sprog. Det er en form for kryptering, som gør, at kodeordet ikke kan læses, og det kan heller ikke genskabes. Hvis kunden glemmer sit kodeord, skal man derfor have et nyt. ProLøn opbevarer ikke personfølsomme oplysninger. Det vurderes derfor, at tab af fortrolighed, integritet og tilgængelighed vil have en minimal indflydelse på de registreredes rettigheder og frihedsrettigheder. Personoplysningerne, der behandles, vil ofte være offentligt tilgængelige – med undtagelse af de detaljerede løndata.

Når ProLøn sender data fra lønsystemet er de krypteret (SSL).

copyright by proløn © 2018