Hur hanterar Planday din personalinformation enligt GDPR?

Hur hanterar Planday din personalinformation enligt GDPR?

GDPR är ett ord som slängs med mycket till vardags, men vad är det egentligen? Känner du dig förvirrad, frustrerad eller till och med omedveten om GDPR och varför det är viktigt, så har vi goda nyheter. För att förklara detta och förtydliga konsekvenserna av GDPR, har vi beskrivit exakt vad GDPR är nedan, hur just Planday jobbar med det samt enkla steg du kan ta för att din verksamhet ska bli GDPR-kompatibel.

Vad är GDPR?

General Data Protection Regulation, den allmänna dataskyddsförordningen (GDPR) är en EU-lag från 2018 som i första hand syftar till att låta individer ha kontroll över sina personuppgifter samt att förenkla lagstiftningen. Mer specifik innehåller GDPR obligatoriska regler för hur verksamheter får behandla personuppgifter på ett integritetsvänligt sätt. Med personuppgifter avses all information som direkt eller indirekt kan identifiera en levande person.

Det är varje organisations ansvar, som behandlar personuppgifter, att se till att behandlingen av personuppgifter uppfyller kraven i GDPR. Sammantaget är de viktigaste kraven för GDPR följande:

• Verksamhetens storlek är betydande för vilket straff som tilldelas. 
  
  
• Användning av personuppgifter måste ske i enlighet med integritetsvänliga principer.
  
  
• Hanteringen av personuppgifter måste vara laglig.
  
  
• Hanteringen av personuppgifter måste respektera individens rättigheter.
  
  
• Överträdelser av personuppgifter måste rapporteras inom 72 timmar.
  
  
• Beställare är ansvariga för sina leverantörer.
  
  
• GDPR gäller i alla EU-länder.

Varför behövs GDPR för företag och medarbetare?

Personlig information är värdefull; det råder ingen tvekan om det. Denna typ av data kan användas för att utveckla affärsmodeller, få information om kunder, genomföra effektiva marknadsföringskampanjer och utveckla produkter och tjänster. Men att skydda enskilda individer kräver mycket ansvarsfull datahantering i verksamheten och att den styrs av tydliga spelregler. 

GDPR anger inte bara tydligt att en individs personuppgifter tillhör individen, utan även att företag som inte följer regelverket är föremål för betydande böter. I Europa ses integritet och dataskydd som en viktig del av pusslet om ett hållbart och framgångsrikt samhälle. Förordningen är utformad för att skydda individer och samhället och är, som tidigare nämnts, en uppdatering av EU:s tidigare dataskyddsdirektiv.

Hur arbetar Planday med GDPR?

Våra användares förtroende är grunden för vår produkt och vår verksamhet – utan det, kan vi inte förse våra användare med de lösningar som de behöver för att driva sina verksamheter framåt. Därför är informationssäkerhet och integritet något vi har haft som högsta prioritet sedan grundandet av Planday.

För att säkerställa att hantering av data är i linje med GDPR har Planday länge samarbetat med datasekretess specialister och juridiska rådgivare och Planday har anställt sin egen Director of Privacy & InfoSec. Dessutom arbetar vi aktivt med våra användare för att tillmötesgå deras behov av databehandling och sekretess.

På Planday är vi medvetna om behovet för vägledning och en trygg lösning, hos verksamhetsledare och personalansvariga, med huvudansvar för hantering av medarbetarnas data. Med Planday får du experter inom ämnet, ett säkert personalhanteringssystem och trygg datahantering, vilket vi går in på nedan.

Planday är tryggt och säkert

Planday följer nationella dataskyddslagar på alla våra marknader, och vi är en certifierad CyberEssentials-innehavare, vilket är ett brittiskt regeringsstödsystem för cyberskydd. Vi är även registrerade hos Information Commissioner's Office (ICO).

Du bestämmer om vi kan se känsliga uppgifter

Planday’s medarbetare kan endast få tillgång till den data de behöver veta, och vi följer "principen om minsta privilegium", som innebär att Planday’s anställda har den minimala nivån av tillgång till data som behövs för att kunna utföra sitt jobb.

All åtkomst till kunddata inom Planday sker via samtycke. När en Kundsupport medlem behöver komma åt en användares Planday-konto, måste användaren ge tillstånd.

Obligatorisk dataskyddsutbildning

Det är obligatoriskt för alla medarbetare på Planday att genomgå en dataskydds- och integritetsutbildning. Medarbetare som kan komma åt känsliga kunddata måste gå igenom en mer omfattande utbildning.

• Riskprofil:  Planday behandlar inte känsliga uppgifter i stor skala och vi övervakar inte heller systematiskt individer utifrån personuppgifter eller använder automatiserad profilering.

• Planday systemöverensstämmelse: GDPR är en del av Plandays modell för ständiga förbättringar och riskhantering. Vi strävar kontinuerligt efter att förbättra vårt ramverk för incidenthantering och kontinuerliga förbättringsregister.

• Planday systemöverensstämmelse: GDPR är en del av Plandays modell för ständiga förbättringar och riskhantering. Vi strävar kontinuerligt efter att förbättra vårt ramverk för incidenthantering och kontinuerliga förbättringsregister.

• Åtkomstkontroll: All åtkomst till kunddata skyddas av olika admin rättigheter inom Planday-systemet

• Dataanonymisering och pseudonymisering: GDPR kräver att vissa uppgifter antingen anonymiseras eller pseudonymiseras. Vi använder obfuskering som ett sätt att anonymisera data. Personlig information som bankkontouppgifter och personliga identifieringsnummer kommer att fördunklas – vilket innebär att endast de sista siffrorna kommer att visas (t.ex. **** 1234).

• Datalagring: Plandays policy för datalagring följer regulatoriska krav. Om du vill ha mer information om detta, vänligen kontakta oss på support@planday.com

• Kompatibla tredjepartssystem: Vi använder endast tredjepartssystem som är kompatibla med GDPR.

• Krypterade data: Våra kunders data är krypterad från ände till ände. Det betyder att när du anger information i appen skickas din data till en https-webbprocessor och lagras sedan i en databas. Din information är krypterad under hela resan, så den kan inte läsas när som helst.

• Säkra lösenord och verifiering: Bara du kan se ditt lösenord, så även användare med högsta administratörsbehörighet kan inte se andra användares lösenord. Ditt lösenord kommer alltid att vara krypterat i Planday-systemet och databasen.

• Tar bort slutanvändardata: Slutanvändardata är föremål för vår slutanvändarlicens, såväl som vårt lagringsschema. Borttagning av slutanvändardata från kundportaler sker på begäran, och föremål för granskning av Planday och portalens administratörer. Slutanvändardata som inte längre är relevanta eller nödvändiga kommer att anonymiseras genom att personuppgifter tas bort.

• Planday affärsefterlevnad: GDPR är en del av vår företagsriskhantering, vilket innebär att vi tänker på efterlevnad av GDPR som en del av de metoder och processer vi använder för att hantera risker och uppnå våra mål som företag.

• DPA: Som en del av denna efterlevnad behandlar Planday endast data enligt vårt databearbetningsavtal. All data vi bearbetar skyddas i vår infrastruktur och SaaS-system – vilket innebär att den data vi bearbetar aldrig lämnar ett säkert system. När vi behandlar och får tillgång till data är det alltid med samtycke – oavsett om det är i enlighet med vårt databearbetningsavtal eller med uttryckligt kundsamtycke. Det säkerställer att vi uppfyller vår rättsliga skyldighet gentemot våra kunder att alltid skydda deras data.

• Hantering av dataintrång: GDPR kräver att företag informerar användare om det finns ett dataintrång inom 72 timmar efter att de upptäckt det. Vi har alla processer på plats för att säkerställa att detta är möjligt och enkelt att utföra.

• Samtycke: En av de största förändringarna i GDPR är hur företag får samtycke från kunder för att använda deras personuppgifter. Vi har uppdaterat vår process för att få användarsamtycke och har informerat våra användare om hur deras data kommer att behandlas när de använder Planday. Vi ser även till att endast nödvändiga uppgifter samlas in i första hand.

• Riskhantering: Planday använder ett ramverk som kallas ”modell för ständiga förbättringar”, som gör det möjligt för oss att flytande göra ändringar i policy, process och procedur för att hantera potentiella inkommande risker.

• Fungerar som kontaktpunkt för GDPR-myndigheter: Upprätthålla databearbetningsregister, som måste överlämnas till kunderna om de tillfrågas.

• Ytterligare säkerhetsrutiner: All kunddata krypteras och säkerhetskopieras till en säker anläggning. Vi använder även antivirus- eller malware-skydd på alla maskiner på Planday. Alla maskiner som används för mjukvaruutveckling, eller de som kommer i kontakt med känsliga data, använder krypterade diskar.

Hur påverkas din verksamhet och vad kan du göra?

Planday tillhandahåller inte bara en säker lösning för dig och din verksamhet, den hjälper dig också att bli GDPR-kompatibel genom att se till att din anställds data är helt skyddad. Vi hjälper er också att bli GDPR-kompatibla genom att se till att roller som skapas i systemet inte av misstag äventyrar datasäkerheten.

För att se till att ni följer GDPR rekommenderar vi följande steg:

• Granska alla behörigheter som du har tilldelat dina användare
• Granska alla användare och avaktivera alla användare som inte borde ha tillgång till data
• Ladda inte ner personliga data, inklusive lönedata, från Planday till jobb eller personliga enheter
• Planday ansvarar inte för eventuella data som överförts från Planday till egna system. Se därför över säkerhetsåtkomst och datasekretess för dina egna system.
• Om känsliga uppgifter läggs in i Planday, se till att dessa uppgifter hanteras på ett korrekt sätt. Planday ansvarar inte för dessa känsliga uppgifter
• Granska alla fält som är synliga för dina olika användare och dölj dessa när det är lämpligt eller önskat.

Ingen mer förvirring kring GDPR

Om det skulle dyka upp några frågor kring detta så är du som befintlig kund mer än välkommen att kontakta vårt support-team på mejl till support@planday.com, telefon eller i vår Chat funktion.

Är du intresserad av att testa Planday?

Påbörja en 30-dagar gratis testperiod eller boka en demo idag.