Information om behandling av personuppgifter i rollen som personuppgiftsbiträde

1. Inledning

Dataskydd är viktigt för oss, och vi lägger stor vikt vid att hantera personuppgifter på ett ansvarsfullt sätt. I denna dataskyddspolicy beskriver vi hur Time Care (hädanefter “Time Care”, “vi”, “oss” eller “vår”) behandlar personuppgifter i rollen som personuppgiftsbiträde och IT-leverantör till personuppgiftsansvariga kunder (hädanefter “kunden”, “kunder”, “du”, “dig” eller “din”) inom privat och offentlig sektor som upphandlar och använder våra tjänster och produkter. I policyn beskriver vi särskilt de organisatoriska och tekniska skyddsåtgärder som Time Care har infört för att skydda personuppgifter, i enlighet med EU’s allmänna dataskyddsförordning (GDPR) och nationella lagar om dataskydd.

Nästan all information som vi hanterar på uppdrag av våra kunder härrör från anställningsförhållanden avseende kunders personal. Den information som följer av ett sådant förhållande kan vara känslig och bör därför hanteras med särskild omsorg. Vi har åtagit oss att reglera integriteten i enlighet därmed. Vi följer och respekterar den personliga integriteten i tjänster och produkter och arbetar kontinuerligt med att förbättra system för integritetshantering och processer för att hantera framtida utmaningar kring integritet.

Utöver denna policy, anger avtal inklusive personuppgiftsbiträdesavtal, vilken typ av behandling som ska utföras för kunden samt personuppgiftsbiträdets (Time Cares) och personuppgiftsansvariges (kundens) skyldigheter. Time Cares standardversion av personuppgiftsbiträdesavtal bygger på Sveriges Kommuner och Regioners (“SKR”) mall för personuppgiftsbiträdesavtal.

2. Ändamål med personuppgiftsbehandlingen

Ändamålet med Time Cares behandling av personuppgifter är att för kundens räkning kunna tillhandahålla en komplett driftplattform för Time Cares produkter inklusive integration mot andra leverantörers system i form av en molntjänst. De personuppgifter som lagras och behandlas framgår beskrivningen för respektive applikation samt i specifikation till personuppgiftsbiträdesavtalet. Molntjänsten ger kunden tillgång till ett system för administrering av sin personals schema och vakanshantering. Personalregister underhålls i kundens personaladministrativa system och kan exporteras till schemasystemet. Ändamålet är vidare att bistå kunden med support vilket innebär att personuppgiftsbehandlingen är relaterad till supportärenden.

3. Ansvar och styrning av dataskyddsarbetet inom Time Care

Ett dataskyddsombud har utsetts inom den koncern som Time Care tillhör. Dataskyddsombudet ska agera som huvudkontakt för alla dataskyddsrelaterade frågeställningar samt för rapportering av incidenter till personuppgiftsansvariga och/eller dataskyddsmyndigheter. Utöver detta övervakar dataskyddsombudet efterlevnaden av GDPR, bland annat medverkar dataskyddsombudet vid konsekvensbedömningar avseende dataskydd samt ger intern vägledning och utbildning.

4. Behörighet och sekretess

Åtkomst till personuppgifter tillhörande kunden ges endast för sådana personer som arbetar under Time Care’s ledning och som behöver åtkomsten för att utföra sina arbetsuppgifter.

Time Care säkerställer att personal med behörighet att behandla personuppgifterna har åtagit sig att iaktta konfidentialitet.

5. Tekniska och organisatoriska säkerhetsåtgärder

Time Care åtar sig att vid behandling av personuppgifter för kunds räkning vidta alla tekniska och organisatoriska säkerhetsåtgärder i enlighet med kraven på informationssäkerhet som beskrivs i dataskyddsförordningens artikel 32 i GDPR. Time Care säkerställer fortlöpande att den tekniska och organisatoriska säkerheten i samband med personuppgiftsbehandlingen medför en lämplig nivå av konfidentialitet, integritet, tillgänglighet och motståndskraft.

Time Care omfattas av det certifikat för ledningssystemet ISO27001 (certificate no: 143704-2013-AIS-GBR-UKAS) avseende informationssäkerhet som innehas av moderbolaget Allocate Software Ltd. Certifieringen innebär att Time Care uppfyller krav på att bedriva ett systematiskt informationssäkerhetsarbete, bland annat vad gäller informationsklassning, och att det finns säkerhetsrutiner för informationsutveckling, drift, personal m.m. Time Care har också upprättat en policy för användning av krypteringslösningar.

Tekniska och organisatoriska säkerhetsåtgärder framgår även, utöver kraven i ISO-certifieringen och i krypteringspolicyn samt i de instruktioner som lämnas av kunden, av Time Cares IT-säkerhetspolicy, bland annat vad gäller konfidentialitet, behörighet och informationsklassning. Denna IT-säkerhetspolicy kan göras tillgänglig för dig som kund, tillsammans med beskrivningar av införda säkerhetskontroller för det system som Time Care tillhandahåller samt annan information som du som kund skäligen begär angående Time Cares säkerhetsrutiner.

Här nedan följer några konkreta exempel på säkerhetsåtgärder som Time Care vidtar:

• Time Care åtar sig att, utöver de krav som har uppställts internt genom ISO-certifiering och i IT-säkerhetspolicy, att uppfylla de krav som kunden ställer på informationsklassning samt redovisa status för dessa på begäran.
• Kryptering och pseudonymisering.
  • Support. Time Care tillhandahåller support via koncernens ärendehanteringssystem. När kund registrerar ett ärende i detta system är det Time Cares rekommendation att inga personuppgifter offentliggörs via ex. skärmklipp i klartext. Vissa typer av ärenden kräver dock att Time Care kan behöva ta del av kunddata. Uppladdning av filer till det system som Time Care tillhandahåller görs över krypterat protokoll på SFTP, där varje kund skapar sin egen unika krypteringsnyckel. Endast den publika delen av denna unika krypteringsnyckel kommuniceras av kunden till Time Care. Time Care tillämpar kraven för den senaste tekniska nivån. Härmed stöds vid skrivande 2048 bitars RSA nycklar varför denna nivå av säkerhet rekommenderas av Time Care för skapande av den unika krypteringsnyckeln. Enbart anställd personal hos Time Care tar del av den publika delen av nyckeln.

Alla kunddatabaser som laddas upp på SFTP bör vara pseudonymiserade av kund, vilket rekommenderas av Time Care till kunden i separata instruktioner. I de fall kunden har laddat upp data i klartext så pseudonymiserar Time Care databasen för att sedan tillgängliggöra den för behörig anställd personal för vidare bearbetning. Åtkomst för Time Cares personal till pseudonymiserat kunddata sker på en server inom Sverige och sådan åtkomst ges enbart till av koncernen utpekade arbetsstationer via koncernens krypterade nätverk. I de särskilda fall då opseudonymiserad data erfordras inhämtas separat medgivande ifrån kunden.

• Cloud. För de kunder som har valt Time Care som driftsleverantör så krypteras samtliga uppgifter i Time Cares kunddatabaser. Krypteringen är en säkerhetsåtgärd i förhållande till underleverantörer och utländska myndigheter. För supporthantering gällande Cloud-lösningar gäller vad som ovan nämnts om pseudonymisering och kryptering avseende support.

• All inloggning till Time Care’s system sker genom användning av lösenord med hög säkerhet.
• Behörighet. Endast behörig personal hos Time Care har åtkomst till system och personuppgifter som tillhör den Personuppgiftsansvarige.
• IT-infrastruktur. Den molntjänst som Time Care tillhandahåller vilar på infrastruktur inom ramen för “Allocate Cloud”. De omfattande tekniska och organisatoriska åtgärder som vidtas i förhållande till kunddata finns dokumenterade i en policy för “Tekniska och organisatoriska åtgärder”. Policyn finns publicerad på Time Care’s Kundportal eller kan begäras ut separat av dig som kund.
• Time Care utför systemövervakning, händelseloggning och relaterade granskningsprocesser för att proaktivt dokumentera användaråtkomst och systemaktivitet. Vidtagna förändringar avseende support sker i Time Care’s kundportal. I loggarna framgår (i) vilka åtgärder som har vidtagits med uppgifter om en registrerad person, (ii) vid vilken tidpunkt som åtgärderna har vidtagits, samt (iii) användarens och den registrerades identitet.
• Time Care har tydliga instruktioner för behandling av personuppgifter i fritextfält och tillhandahåller även en teknisk lösning (script) för att identifiera eventuellt förekommande personuppgifter i fritextfält. Kunden uppmanas uttryckligen av Time Care i separat lämnade instruktioner att inte skriva in personuppgifter i fritextfält. Gallring av personuppgifter som förekommer i fritextfält ansvarar kunden själv för.
• Radering av uppgifter tillhörande kunden sker enligt vad som framgår av Personuppgiftsbiträdesavtalet samt enligt de instruktioner som lämnas av kunden i specifikation till Personuppgiftsbiträdesavtalet. Kunden har vidare möjlighet att inom ramen för systemet själv radera personuppgifter. Eventuella kopior av kundens uppgifter som behandlas i samband med felsökning av Time Care på uppdrag av kunden raderas senast 3 månader efter avslutat ärende. 

6. Revision och tillsyn

Time Care utför kontinuerligt granskningar av säkerheten för IT-miljön och de fysiska datacenter som används för att behandla personuppgifter som tillhör dig som kund.

Time Care åtar sig att i enlighet med kraven i GDPR bereda kunden och/eller tillsynsmyndighet, eller annan myndighet som har laglig rätt till det, möjlighet att göra tillsyn enligt myndighetens begäran i enlighet med vid var tid gällande dataskyddslagstiftning.

7. Anlitande av underbiträden

För att fullgöra avtalet med dig som kund anlitar Time Care andra IT-leverantörer, s k underbiträden. Utöver företag som ingår i den koncern som Time Care tillhör kan även underbiträden utanför koncernen anlitas. Då ett underbiträde anlitas för behandling av personuppgifter för Time Care’s kunders räkning, blir underbiträdet även personuppgiftsbiträde. Avtalet mellan Time Care och dess kunder inkluderar en generell skriftlig auktorisation för Time Care att anlita underbiträden. Vilka underbiträden som anlitas anges i en bilaga till personuppgiftsbiträdesavtalet samt att kunden får information via Time Cares webbplats https://www.allocatesoftware.se/personuppgiftsbitraden/ vid eventuellt anlitande av nytt underbiträde under avtalsperioden. Vid eventuella uppdateringar på Time Cares webbplats så meddelas kunden detta via Time Cares Kundportal.

Time Care anlitar bara sådana underbiträden som kan ge erforderliga garantier för att genomföra lämpliga tekniska och organisatoriska åtgärder enligt de krav som anges i GDPR. Time Care ansvarar fullt ut för underbiträdets behandling gentemot kunden. Vid anlitande av underbiträden ska Time Care säkerställa genom skriftligt avtal att underbiträdet endast får åtkomst till personuppgifter för att leverera de tjänster som Time Care har anlitat underbiträdet för.

8. Överföring av personuppgifter till tredje land

Time Care har som utgångspunkt att endast behandla personuppgifter inom EU/EES. I vissa fall kan, som en del av Time Cares fullgörande av tjänster som levereras enligt avtal med kund, personuppgifter relaterade till användning av molntjänster samt supportärenden komma att föras över till Time Cares underbiträden inom och utanför EU/EES. Sådan överföring sker dock i mycket begränsad omfattning.

• Exempel på begränsade situationer som personuppgifter kan överföras till länder utanför EU/EES

Vid följande situationer kan överföring av personuppgifter till länder utanför EU/EES ske:

• För felsökningssyfte i molntjänster och för supportärenden kan avidentifierat data skickas till av koncernen anställd supportpersonal i tredje land
• Leverans av molntjänster hanteras huvudsakligen av personal etablerade i Sverige. För att säkra kontinuerlig drift och tillgänglighet för den Personuppgiftsansvarige kan, för det fall svensk personal är otillgänglig, t ex under extraordinära omständigheter, anställda hos underbiträden med behörighet och relevant kompetens anlitas i länder etablerade utanför EU/EES.
• För vissa supportärenden i Time Cares molnbaserade supportsystem (“Kundportalen”) kan Time Care och dess underbiträden inom koncernen, i sällsynta fall, behöva anlita underbiträde utanför EU/EES.
  • Laglig grund för överföring till länder utanför EU/EES

EU-domstolen meddelade den 16 juli 2020 dom i det uppmärksammade Schrems II-målet (C-311/18), vilket innebär att Privacy Shield inte längre är laglig grund för överföring av personuppgifter till USA. EU standardavtalsklausuler är dock fortsatt giltiga men ytterligare säkerhetsåtgärder kan komma att behöva vidtas för att säkerställa en tillräcklig skyddsnivå. Time Care har med anledning av denna dom granskat de överföringar som sker och säkerställt att tillräckliga och lämpliga säkerhetsåtgärder finns på plats.

All överföring av personuppgifter till s.k. tredje land, dvs till länder utanför EU/EES, regleras av EU’s standardavtalsklausuler i enlighet med artikel 46.2(c) eller bindande företagsbestämmelser i enlighet med artikel 47. Samtliga överföringar underkastas härmed tillämpliga säkerhetsåtgärder enligt beskrivningen i Artikel 46 i GDPR. De tillämpliga säkerhetsåtgärder som bland annat beskrivs under punkten 5 samt 8.1 och som är aktuella att tillämpas är kryptering, pseudonymisering samt begränsning av uppgifter som överförs till länder utanför EU/EES. Time Care gör bedömningen att dessa skyddsåtgärder innebär ett tillhandahållande av en skyddsnivå som är väsentligen likvärdig med den som garanteras inom EU genom GDPR.

• Laglig grund för överföring av personuppgifter till Storbritannien med anledning av Brexit

Sedan den 1 februari 2020 är Storbritannien inte längre medlem i EU. Under en övergångsperiod som pågick fram till 31 december 2020 gällde GDPR i Storbritannien. EU och Storbritannien ingick den 24 december 2020 ett avtal som föreskriver att alla överföringar av personuppgifter aktörer som omfattas av den allmänna dataskyddsförordningen och enheter i Storbritannien inte ska betraktas som överföringar till tredjeland i enlighet med bestämmelserna i kapitel V i GDPR. Överenskommelsen härom gäller till och med den 30 juni 2021. Om inget avtal mellan Storbritannien och EU avseende dataskyddsarbete har upprättats innan den 30 juni 2021 kommer Storbritannien att betraktas som ett tredje land. Om så inträffar kommer Time Care att tillämpa EU’s standardavtalsklausuler i enlighet med kapitel V i GDPR för att säkra laglig grund för överföring. Storbritannien, som tidigare medlem av EU, har en lång tradition av att tillämpa rådande europeisk dataskyddslagstiftning, och i Storbritannien pågår därför nu ett arbete med att upprätta en brittisk upplaga av GDPR (“UK GDPR”) tillsammans med en uppdaterad nationell brittisk dataskyddslagstiftning (“UK Data Protection Act”). Den brittiske dataskyddsmyndigheten (“ICO”) har publicerat gedigen information om sitt arbete med att anpassa sin dataskyddslagstiftning till GDPR:

https://ico.org.uk/media/for-organisations/documents/brexit/2617110/information-rights-and-brexit-faqs-v2_3.pdf

• Har du frågor angående Time Cares dataskydd?

Har du några frågor om Time Cares behandling av personuppgifter, vänligen kontakta Frederick Lind på Time Care AB på e-postadress: [email protected]. Du kan också skriva till oss på postadress: Time Care AB, Att: GDPR, Box 30077, 104 25 Stockholm.