Persondata

Fra den 25. maj 2018 gælder den ny EU persondataforordning. Forordningen skærper på en række områder kravene til håndtering af persondata både hos de dataansvarlige (ProLøns kunder) og hos databehandleren (ProLøn). Ifølge forordningen skal forholdet mellem en dataansvarlig og en databehandler reguleres af en skriftlig databehandleraftale. Overordnet set er det databehandleraftalen, der skal danne grundlag for, at ProLøn kan behandle kundens løndata på vegne af kunden. ProLøn har i samarbejde med vores advokater udarbejdet en databehandleraftale, der lever op til kravene i den nye forordning. Eksisterende kunder vil modtage databehandleraftalen til godkendelse via digital signatur med NemId. Nye kunder vil fremover skulle godkende aftalen som en del af tilmeldingsprocessen. Det er vigtigt at understrege, at alle kunder skal underskrive aftalen. Du kan se abonnementsvilkår og databehandleraftale her.

OBS!  Selve godkendelsen af aftalen sker ved, at du får tilsendt aftalen via en mail, hvor du skal godkende med NemId. Det sker en af de nærmeste dage. Det er kun til orientering, at vi giver dig adgang til at læse aftalen nu.  


Svar på ofte stillede spørgsmål vedr. persondata

Opbevarer ProLøn personfølsomme oplysninger?

I forbindelse med ovennævnte er det i øvrigt vigtigt at slå fast, at forordningen skelner mellem persondata og personfølsomme data, og det er vores og eksterne rådgiveres vurdering, at ProLøn slet ikke har personfølsomme data i lønsystemet og derfor ikke er omfattet af de skærpede krav til personfølsomme oplysninger. Et CPR-nr. er således persondata, men ikke personfølsomt. Personfølsomme oplysninger om religion, seksuel orientering, politisk overbevisning, helbredsoplysninger mv. har vi ikke i vores system.

Hvornår får vi en databehandleraftale med ProLøn

Alle ProLøns kunder har allerede i dag en databehandleraftale, som er inkluderet i de forretningsvilkår, som man accepterer, når man tiltræder som ny kunde. Man kan læse de nuværende handelsbetingelser på vores hjemmeside. Databehandleraftalen er beskrevet i paragraf 6. Du finder betingelserne her. Men de eksisterende formuleringer er ikke tilstrækkelige, når den nye persondataforordning træder i kraft den 25. maj 2018. ProLøn vil derfor inden da udarbejde en ny databehandleraftale, som alle kunder vil blive bedt om at tiltræde. Det vil være en forudsætning for at være kunde i ProLøn, at man accepterer den nye databehandleraftale.

Aktuel status er, at vores databehandleraftale lige nu ligger til endelig godkendelse hos vores advokat. Så snart den er klar, bliver den udsendt til alle vores 11.000 kunder. Udsendelsen kommer til at ske via Penneo og deres løsning, hvor man skriver under med NemId.

Hvem er ansvarlig for at data er korrekte og opdaterede?

Det er kunden, der er dataansvarlig. ProLøn er databehandler. Deraf følger, at det er kunden selv, der er ansvarlig for, at de oplysninger, der findes i vores lønsystem er korrekte og opdaterede.

Hvordan bliver personoplysningerne vedligeholdt?

Jævnfør svaret ovenfor er det kunden, der ansvarlig for data, og det er dermed også kunden, der skal udarbejde procedurer for, hvem der opdaterer, og hvordan der opdateres.

Udleveres personoplysningerne til tredjeparter?

Ja, personoplysningerne udleveres til tredjepart i det omfang kunden er forpligtet til (ifølge dansk lovgivning) eller har indgået aftaler med tredjeparter, som forpligter kunden til at udlevere personoplysningerne.  Eksempler: På kundens vegne indberetter vi lønoplysningerne til SKAT. Vi sørger også for at udbetaling af løn sker ved at sende løntransaktioner til Nets. Er virksomheden pålagt at indberette til Danmarks Statistik, sørger vi for, at det sker automatisk, hvis kunden vælger at benytte vores lønsystem til dette formål. Har kunden indgået aftale om udbetaling af pension til medarbejderne, sørger vi for overførsel og indberetning til relevante pensionsselskaber.

Sendes oplysningerne ud af landet?

Nej

Risikovurdering knyttet til håndtering/brug af personoplysningerne?

Som databehandler vurderer vi løbende risici i forbindelse med behandlingen af data, og vi sørger for at opretholde et højt sikkerhedsniveau med henblik på at sikre data bedst muligt. Heri indgår fx logning af hvem der retter data samt dokumenterede backup procedurer. Det er kundens ansvar at foretage risikovurdering af kundens håndtering og brug af data.

Hvordan sikres efterlevelse af Persondataforordningen?

ProLøn har deltaget i kurser og workshops vedr. persondataforordningen. På den baggrund har vi udarbejdet en analyse og en plan for hvorledes vi fremadrettet sikrer, at vi lever op til forordningens krav. Denne plan er under implementering. Eksempler på tiltag: vi er i gang med at udarbejde en ny databehandleraftale. Vi er ved at udarbejde en datapolitik vedr. opbevaring og sletning af data. Vi er ved at programmere funktioner, der sikrer at vi kan slette data efter kundens anmodning. Vi arbejder desuden med en risikoanalyse

Hvordan håndteres afvigelser i forbindelse med misbrug?

ProLøn har i dag en proces, der tilsiger, at en medarbejder straks kontakter virksomhedens øverste ledelse, hvis der konstateres et problem vedr. persondata. Herefter  besluttes tiltag til at korrigere problemet. Kunden skal være opmærksom på at misbrug også kan forekomme hos kunden, og at kunden selv skal have rutiner på plads til at håndtere dette.

Hvor længe lagres oplysninger i systemet?

Når en virksomhed stopper med at være kunde opbevarer vi data på kunden to hele år efter opsigelsen. Herefter slettes alle data.  For aktive kunder forventer vi at beslutte en politik, der siger, at vi opbevarer data i 5 hele år. Data ældre end det vil blive slettet.

Hvem bestemmer, hvornår data slettes?

Som udgangspunkt slettes data på baggrund af ovenstående regler. Derudover vil data kunne slettes på anmodning fra kunden under forudsætning af, at anmodningen ikke strider mod gældende krav om dokumentation og indberetning. Eksempel: hvis en medarbejder forlader en ProLøn kunde og forlanger at få slettet sine data under henvisning til ”right to be forgotten”, så vil ProLøn først kunne efterkomme anmodningen efter årsafslutning, idet der skal indberettes til SKAT.

Hvad er kriterierne for at slette oplysninger?

Spørgsmålet er besvaret ovenpå. Det kan ske efter anmodning, eller ifølge ProLøns datapolitik, som angiver, hvor lang tid, vi gemmer kundernes data.

Foretages der kontrol af at der gennemføres sletning?

Sletteproceduren vil blive udviklet således, at der skabes dokumentation for sletning.

Hvor bliver data til systemet lagret?

ProLøn har outsourcet it-driften til en ekstern leverandør. Leverandøren får hvert år sine drifts- og hostingydelser gennemgået af en uafhængig it-revisor, som efterfølgende udarbejder en erklæring om kvaliteten af procedurer og kontroller. ProLøn modtager denne erklæring og kan på anmodning udlevere den til kunder.

Bliver der kørt backup?

Ja.

Hvor ofte bliver der kørt backup?

Dagligt.

Rutiner til håndtering af henvendelser om krav om indsigt?

Ja. En medarbejder, der vil have indsigt, skal henvende sig til sin arbejdsgiver, som herefter kan henvende sig til ProLøn. ProLøn vil herefter levere den ønskede dokumentation.

Kan systemet håndtere henvendelser om krav om indsigt?

ProLøn har en historik database, hvor alle løntransaktioner gemmes. Ved en henvendelse vedr. indsigt, vil vi lave et udtræk, der giver den ønskede indsigt. Ved ønske om sletning vil vi gennemføre sletningen, såfremt den ikke strider mod vores forpligtelser overfor arbejdsgiver og myndigheder, og vi vil dokumentere, at sletningen er gennemført.

Kan systemet håndtere dataportabilitet?

Ja. ProLøn kan levere stamdata på en fil, således at data kan læses ind i et andet system.

Anvender ProLøn kryptering af data?

ProLøn opbevarer ikke data i pseudonymiseret eller krypteret form. Kundens login-kodeord er dog hachet, som det hedder i it-sprog. Det er en form for kryptering, som gør, at kodeordet ikke kan læses, og det kan heller ikke genskabes. Hvis kunden glemmer sit kodeord, skal man derfor have et nyt. ProLøn opbevarer ikke personfølsomme oplysninger. Det vurderes derfor, at tab af fortrolighed, integritet og tilgængelighed vil have en minimal indflydelse på de registreredes rettigheder og frihedsrettigheder. Personoplysningerne, der behandles, vil ofte være offentligt tilgængelige – med undtagelse af de detaljerede løndata.

Når ProLøn sender data fra lønsystemet er de krypteret (SSL).

copyright by proløn © 2018