2018-05-24

GDPR och FeroxTid/TimeLOG

Att registrera tider innebär också att man har register med personliga uppgifter och detta regleras av GDPR.

Våra system är oftast, men inte alltid, installerade lokalt hos kund. Detta innebär att ingen utomstående har tillgång till personliga uppgifter, men systemet skall tas upp i företagets inventering. Ni äger registret och är enligt definition personuppgiftsansvarig, och Feroxkonsult är i den mån vi ser registret ett personuppgiftsbiträde.

Beroende på hur mycket ni väljer att registrera i systemet kan TimeLOG/FeroxTid innehålla namn, personnummer, email, telefonnummer, anhöriga och deras telefonnummer. Även nummer på kort eller pinkod som används i systemet finns lagrat.
Vissa uppgifter kan anses känsliga, t ex hur mycket sjukfrånvaro en person haft. Även fingeravtryck kan anses vara känslig information.
Behovet av register är t ex för lönegrundande data, utrymmningslista, personalliggare, projektredovisning/fakturaunderlag samt kostndsställehantering.
Myndigheter ställer dessutom krav i form av underlag för tjänstgöringsintyg och möjlighet att ta ut personalliggare i efterhand. Ni kanske även vill kunna ta ut fakturaunderlag i efterhand eller redovisa vad som låg till grund för en viss lön.
Möjlighet finns också att ta ut hur mycket sjukfrånvaro som funnits på företaget och jämföra om situationen har förbättrats eller försämrats mellan olika perioder.
Allt detta gör att dataregister är berättigat.

Om en anställd slutar är det ett par saker man bör tänka på och som kan hanteras på tre olika sätt:
  1. Radera den anställde permanent
    I både FeroxTid och TimeLOG går det att radera en anställd permanent. Den anställde, samt alla stämplingar som denna person gjort, försvinner då ur systemet. Inga underlag går att återskapa. Detta påverkar då statistik, företagets underlag av total semester, total sjukdom, samt hur mycket tid som nedlagts på projekt. Om det inte finns behov av denna data så är detta en lämplig åtgärd.
    Vi rekommenderar dock att behålla data ett tag och använda alternativet under punkt 2 eller 3 nedan istället.
  2. Behålla den anställde i systemet och göra personen inaktiv
    Behöver man data för projektunderlag, sjukstatistik, tjänstgöringsintyg, personalliggare eller någon annan anledning så är det lämpligt att behålla den anställde i inaktiv status. Så länge det är relevant så är det inga problem. En personalliggare skall man kunna ta fram tre år bakåt i tiden.
    Men efter ett tag är data ej längre relevant och det kan vara svårt att hävda att det är relevant. Då bör man antingen radera den anställde permanent eller anonymisera den anställde istället.
  3. Anonymisera en tidigare anställd
    Om man behöver data kavar i systemet för att se statistik över företaget, men det inte går att hävda att det är relevant att ha kvar personuppgifter rekommendera vi att ni anonymiserar. Ta bort email, telefonnummer, alla kort och pinkoder som använts, löneidnummer och byt namn på den anställde till t ex Anonym. Alla data finns kvar, projektunderlag påverkas inte,  men det går ej längre att knyta till en person direkt eller indirekt till den data som finns i systemet.

Terminalen BioPad
Data utväxlas mellan FeroxTid och terminalen via en linux server som tillhandahålls av Ferox Konsult AB. I denna server sparas data i form av stämplingar, bankvärden och uträknade värden för innevarande kalendermånad och föregående kalendermånad. Databasen innehåller inga fingeravtryck utan endast den anställdes namn. Det går inte att knyta namnet till ett företag men ett ovanligt namn medför att det indirekt går att ta reda på vem den anställda är.
För de kunder som använder vår molntjänst och har supportavtal med oss har vi skickat ut ett personbiträdesavtal som ett tilläggsavtal/bilaga till supportavtalet.

Biometri
Information för er som använder terminalerna SY745, SY785 eller BioPad med fingerläsare:
  • BioPad och fingeravtryck
    Fingeravtryck lagras endast lokalt i terminalen. När ni raderar en anställd, gör en anställd inaktiv eller tar bort fingeravtrycksnumret raderas också fingeravtryck i terminalen automatiskt.
  • SY745 och SY785
    I dessa terminaler lagras fingeravtrycken lokalt. Det finns dock en möjlighet att flytta fingeravtryck från en terminal till en annan och då lagras fingeravtrycket i systemets register. Dessa raderas inte i systemet fastän en person slutar. Fingeravtrycket i terminalen raderas inte heller när en person slutar. För att radera lagrade fingeravtryck följ instruktionerna nedan beroende på vilket system ni har:
    • FeroxTid
      Gå till menyn "Terminaler" och välj terminal ni önskar radera fingeravtryck i. Stäng av automatiken under fliken "Automatiska rutiner". Gå till fliken "Terminalkontroll" och välj "Hämta fingeravtryck". Markera alla fingeravtryck ni vill radera och tryck "Radera". Nu har ni raderat fingeravtrycken i denna terminal. Gör likadant för alla terminaler ni har.
      För att radera eventuella fingeravtryck i systemet så gör alla steg som beskrivs ovan men välj istället "Skicka fingeravtryck".            Markera alla fingeravtryck ni vill radera och tryck "Ta bort". Nu är fingeravtrycken i systemet raderat.

      Glöm inte slå på automatiken igen under fliken  "Automatiska rutiner".
    • TimeLOG
      Fingeravtryck i systemet ligger krypterade som en fil. Radera filerna i TimeLOG-katalogens underkatalog som heter "Template".
      För att radera fingeravtryck i terminalen gå till Underhåll->Kommunicera med terminal. Välj "Ta bort fingeravtryck" och välj anställds fingeravtryck som skall raderas.

Backuper
Vissa kunder väljer att spara sina backuper endast lokalt. Om man istället väljer att använda vår backuptjänst så innebär det att backupen skickas även till oss. Vi sparar då backuper som är yngre än en månad i krypterad form. Backuper äldre en månad raderas automatiskt. Vi har skickat ut ett personbiträdesavtal som ett tilläggsavtal till supportavtalet för er som använder denna tjänst.

Support
Vid support via teamviewer eller annat verktyg där vi kan se personuppgifter