Beskrivning av behandlingsåtgärder

Syftet med behandlingen av personuppgifter

Personuppgifter behandlas och lagras för att producera de tjänster som Personuppgiftsbiträdet tillhandahåller i en avtalsrelation mellan biträdet och kunden. Personuppgifter behandlas och lagras för att fullgöra lagstadgade omständigheter samt skyldigheter i anknytning till myndighetsbehandling,

• för att producera och utveckla tjänster som kunden beställer från Personuppgiftsbiträdet,
• Kundens anställda: löne- och personaladministration
• Kundens privatkunder: uppföljning av fordringar
• Delägare i ett aktiebolag: förvaltning av aktiebolaget
• Medlemmar i en förening: förvaltning av föreningen och fakturering

Vilka personuppgifter behandlar vi?

Kundens anställda: löne- och personaladministration (lönadministration)

Uppföljning av fordringar på kundens privatkunder (bokföring)

Delägare i ett aktiebolag: förvaltning av aktiebolaget (aktiebolag)

Medlemsregister föreningar: förvaltning av förening och fakturering (föreningar och organisationer)

Personuppgifter som behandlas är:

• namn, personnummer (löneadministration, bokföring, aktiebolag, föreningar och organisationer)
• adress, e-fakturaadress, telefonnummer, e-postadress, Online-tjänstens användardata (löneadministration, bokföring, aktiebolag, föreningar och organisationer)
• personnummer, språk (löneadministration, aktiebolag, föreningar och organisationer)
• bankkontouppgifter (löneadministration, bokföring, aktiebolag, föreningar och organisationer)
• uppgifter om utmätning (löneadministration, bokföring, aktiebolag, föreningar och organisationer)
• utdelningar, delägarlån (bokföring, aktiebolag)
• skattebelopp, anställningsavtal (löneadministration, aktiebolag)
• frånvaro, semestrar, läkarintyg (löneadminstration, aktiebolag)
• anställningsuppgifter (löneadministration)
• löneuppgifter och förmåner (löneadministration)
• uppgifter om fackföreningars medlemsavgifter (löneadministration)
• registreringar av arbetstimmar, timlön (löneadministration)

Regelbundna informationskällor

Utöver sina egna uppgifter lägger kunden till personuppgifterna för sin personal och sina kunder i Personuppgiftsbiträdets elektroniska tjänster. Personuppgifter kan läggas till baserat på elektroniskt och/eller fysiskt material som tillhandahålls av kunden.

Dessutom samlas personuppgifter in från offentliga myndigheter, försäkringsbolag, fackföreningars medlemsavgiftsförbund, kreditgivningstjänster samt från andra aktörer vars uppgifter ska behandlas i tjänster som Personuppgiftsbiträdet producerar, såsom löneberäkningen.

Användarnas datauppgifter samlas automatiskt in för att utveckla de tjänster och produkter som Personuppgiftsbiträdet tillhandahåller samt för att utveckla kundservicen, exempelvis genom att använda cookies från webbläsare i Personuppgiftsbiträdets elektroniska produkter och onlinetjänster.

Mottagare av personuppgifter inkl. i tredje land samt internationella organisationer

Personuppgiftsbiträdet kan lämna ut kundens personuppgifter inom ramarna för den gällande lagstiftningen och i enlighet med villkoren mellan Personuppgiftsbiträdet och kunden. Registeruppgifter kan lämnas ut till offentliga myndigheter, försäkringsbolag, fackföreningsförbund, eller a-kassor. 

Personuppgiftsbiträdet har en lagstadgad skyldighet att lämna ut personuppgifter till myndigheter som på en laglig grund lämnar in en skriftlig begäran om det. Personuppgifter kommer inte att överföras utanför Europeiska Unionen (“EU”) eller Europeiska ekonomiska samarbetsområdet (“EES”) om inte kunden har gett sitt skriftliga medgivande i förväg. Dataöverföringar som kunden begär ska göras till områden utanför EU eller EES-området utförs i enlighet med kraven i standardavtalsklausuler gällande dataöverföring i EU:s dataskyddsförordning.

Förfaringssätt vid utlämnande av personuppgifter

Uppgifter lämnas ut till kundens revisor utan separat fullmakt för verkställandet av avtalet mellan kunden och revisorn. När det gäller andra samarbetspartner till kunden, som jurister och konsulter, begärs ett separat skriftligt samtycke från kunden för utlämnande av uppgifter. I samband med utlämnande av skriftligt material upprättas ett intyg över utlämnandet av uppgifterna, av vilket framgår basuppgifter om det material som lämnats ut, till vem det lämnats ut och när.

Intyget sparas i kundmappar för eventuell bevisningsskyldighet senare. I samband med utlämnande av digitalt material skapas personliga användaridentifikationer för kundföretagets samarbetspartner i Personuppgiftsbiträdets datasystem. Kundens samarbetspartner får tillgång till materialet med dessa koder. Kundens begäran att få inloggningsuppgifter till systemet och att ge åtkomst till kundens data innefattar även kundens medgivande till att dela kundens data med respektive partners. 

Till offentliga myndigheter, försäkringsbolag, fackföreningsförbund, eller a-kassor lämnas information ut utan kundens befullmäktigande eller samtycke, om det bestämts i lag om utlämnande av informationen. Behandlingen av digitalt material övervakas med hjälp av transaktionsuppgifter i datasystemen, dvs. loggdata som sparas och övervakas automatiskt eller manuellt. Dessutom kan loggdata vid behov användas för bevis för händelser.

Tekniska och organisatoriska säkerhetsåtgärder

Registeruppgifter som behandlas elektroniskt skyddas med tekniska brandväggar, lösenord, möjligheten till identifiering av kundens medarbetare i två steg vid inloggning till Personuppgiftsbiträdets ekonomiadministrationssystem samt andra allmänt antagna tekniska medel i informationssäkerhetsbranschen. Dataöverföringen mellan kunden och Personuppgiftsbiträdet är krypterat med TLS-teknologi (Transport Layer Security), i den programvara och de applikationer som för närvarande används av Talenom eller tillhandahålls dess kunder. Informationen säkerhetskopieras regelbundet och säkerhetskopiorna förvaras på en annan plats än den ursprungliga informationen.

Personuppgiftsbiträdet skyddar kundens uppgifter mot obehörig åtkomst och spridning. Endast utsedda arbetstagare hos Personuppgiftsbiträdet och arbetstagare hos företag som arbetar på uppdrag av Personuppgiftsbiträdet och för dennes räkning har åtkomst till de uppgifter som finns i registret utifrån separat beviljade användarrättigheter. Användarrättigheterna övervakas och farliga kombinationer av rättigheter har förbjudits i policyn över hanteringen av användarrättigheter. 

Huruvida sådana uppkommer övervakas inom ramen för hanteringen av användarrättigheter. Särskilt användarrättigheterna för de olika systemens huvudanvändare kontrolleras regelbundet och tas bort när användaren inte längre behöver rättigheterna. Användarrättigheterna för arbetstagare som lämnat Personuppgiftsbiträdet tas bort från alla system när anställningen upphör.

Förutsättning för behandling av uppgifter

Kundens uppgifter behandlas endast av Personuppgiftsbiträdets anställda vars arbetsbeskrivning förutsätter behandling av uppgifterna i fråga. Behandling av personuppgifter på andra grunder är förbjudet för Personuppgiftsbiträdets anställda, även om Personuppgiftsbiträdets anställda har teknisk tillgång till kunduppgifter på grund av sina arbetsuppgifter och av affärsmässiga skäl. Personuppgiftsbiträdets hela personal samt utomstående personer som arbetar för Personuppgiftsbiträdets räkning har tystnadsplikt gällande all information och personuppgifter gällande kundens ekonomiförvaltning. Tystnadsplikten är inskriven i anställningsavtalen för Personuppgiftsbiträdets personal, inklusive de sanktioner som orsakas av brott mot tystnadsplikten. Tystnadsplikten inklusive sanktioner som orsakas av brott mot tystnadsplikten, har skrivits in i avtal som ingåtts med tredje part.

Arbetstagare som behandlar kundens uppgifter utbildas regelbundet. De lagliga grunderna för behandlingen av uppgifter i arbetet utgör en väsentlig del av utbildningen. Dataskydds- och informationssäkerhetskunskap hos Personuppgiftsbiträdets personal upprätthålls regelbundet på olika sätt bland annat genom att anordna regelbundna informationsmöten för hela personalen på företaget gällande dataskydd och informationssäkerhet. Dessutom anordnas årligen en för personalen obligatorisk utbildning i dataskydd och informationssäkerhet. Arbetstagarna ska klara ett test i ämnesområdet med godkänt vitsord. Personuppgiftsbiträdet har utformat en dataskyddspolicy som varje ny anställd hos Personuppgiftsbiträdet får bekanta sig med när de inleder sin tjänst. På de regelbundna utbildningarna i informationssäkerhet ges information om informationssäkerhetspolicyn och var den kan läsas. Arbetstagarna påminns om att de är bundna till policyn. Informationssäkerhetspolicyn beskriver de allmänna reglerna om informationssäkerhet och dataskydd som förpliktar arbetstagarna, vare sig de är tekniska regler, informationssäkerhetsprocesser eller förfaringssätt och anvisningar som ska tillämpas i det dagliga arbetet. 

Serverhallar i Finland eller molntjänst

Kundens uppgifter behandlas i datasystem som finns i serverhallar i Finland eller i molntjänster inom EU:s område. I serverhallarna i Finland har de viktigaste produktionssystemen duplicerats i två (2) fysiskt separerade serverhallar för att garantera säkerheten, datalagringen och kontinuiteten i tjänsten under såväl normala som exceptionella förhållanden. I dessa maskinhallar tillämpas säkerhetsprocedurer, åtkomstkontroll och övervakning som certifierats av tjänsteproducenten. 

Material som underhålls manuellt finns i lokaler till vilka obehörigas tillträde har förhindrats med hjälp av passerkontroll. I de viktigaste lokalerna används videoövervakning med tanke på utredning och påvisning av eventuella brott mot den fysiska säkerheten. Personuppgiftsbiträdet utför interna utvärderingar och låter tredje parter utföra utvärderingar som omfattar både den tekniska säkerheten i kritiska datasystem och de processer och anvisningar som gäller den administrativa aspekten på informationssäkerhet och dataskydd.

Kunden ansvarar för sin del för att adekvata tekniska och organisatoriska dataskyddsåtgärder implementeras och upprätthålls.

Planerade tider för radering av uppgifter

Personuppgiftsbiträdet avlägsnar Kundens personuppgifter i den omfattning som lagen erfordrar när Kunden lämnar Personuppgiftsbiträdet. Uppgifterna raderas när det gått fem (5) år från att kundrelationen upphörde. Efter raderingen i de operativa datasystemen raderas uppgifterna automatiskt från säkerhetskopiorna inom sex (6) månader.

De registrerades rättigheter

Den personuppgiftsansvarige beskriver i en separat dokumentation vilka frågor de registrerade ska informeras om. I enlighet med 15–22 § i EU:s dataskyddsförordning har den registrerade rätt att:

1. kontrollera personuppgifter;
2. begära rättelse av uppgifter;
3. begära radering av uppgifter;
4. begränsa behandlingen av;
5. begära överföring av uppgifter från ett system till ett annat;
6. göra invändningar mot behandlingen av sina personuppgifter; och
7. lämna ett klagomål till tillsynsmyndigheten

Få åtkomst till sådana personuppgifter som har registrerats om honom eller henne i Personuppgiftsbiträdets datasystem. Utövande av vissa av den registrerades rättigheter begränsas av någon annan tvingande lagstiftning, enligt vilken Personuppgiftsbiträdet har rättighet och skyldighet att motiverat vägra rätta, radera, begränsa behandlingen av uppgifterna eller överföra dem från ett system till ett annat. Ett exempel på sådan lagstiftning är bokföringslagen, där det föreskrivs att verifikat som knyter an till löneberäkningen ska förvaras, oavsett de rättigheter som den registrerade har enligt dataskyddsförordningen. 

I situationer där den registrerade vill kontrollera eller ändra uppgifter i ett personregister som tillhör Personuppgiftsbiträdets kund, ska den registrerade lämna en begäran om kontroll eller ändring av uppgifterna till den personuppgiftsansvarige. Den personuppgiftsansvarige fullföljer då implementeringen av kontroll- eller ändringsbegäran tillsammans med Personuppgiftsbiträdet för personuppgifterna. Den personuppgiftsansvarige ska i en sådan situation lämna den skriftliga kontrollbegäran till nedan nämnda e-postadress. Av begäran om kontroll och ändring ska det framgå vilken personuppgift man vill kontrollera och namnet på det register som begäran gäller. Begäran ska skickas med e-post till: dataskydd@talenom.se. Den registrerade får utnyttja sin rätt till insyn enligt personuppgiftslagen avgiftsfritt bara en gång per år.

Anvisningar till den personuppgiftsansvarige

Kunden kan i en separat dokumentation ge närmare anvisningar till Personuppgiftsbiträdet om behandlingen av uppgifterna. Personuppgiftsbiträdet förvarar anvisningarna i en kundspecifik filmapp, som en del av kundens anvisningar.

Anmälan om personuppgiftsincidenter

Till den personuppgiftsansvarige

Anmälan ska göras till den personuppgiftsansvarige utan oskäligt dröjsmål efter att en personuppgiftsincident har uppdagats. I anmälan ska redogöras för personuppgiftsincidentens karaktär samt vilka åtgärder som vidtagits på det sätt som förutsätts i lagstiftningen.

Till den registrerade

Den personuppgiftsansvarige gör anmälan till den registrerade, om det är sannolikt att personuppgiftsincidenten medför en hög risk för den registrerades rättigheter och friheter. I anmälan ska redogöras för personuppgiftsincidentens karaktär samt vilka åtgärder som vidtagits på det sätt som förutsätts i lag.

Till tillsynsmyndigheten

Den personuppgiftsansvariges skyldighet är att inom 72 h från upptäckten upprätta en anmälan till relevant offentlig myndighet om det är sannolikt att personuppgiftsincidenten medför en hög risk för en fysisk persons rättigheter och friheter.  Talenom hjälper på separat begäran den Personuppgiftsansvarige att upprätta en anmälan. Anmälan görs i enlighet med vid tillfället gällande anvisningar från dataombudsmannen.

Personuppgiftsbiträde (tjänsteleverantör) och kontaktuppgifter

Personuppgiftsbiträdets namn: Talenom Redovisning AB

Dataskyddsombud: Jimmy Dahmén
Tfn 08 505 736 75
E-post: jimmy.dahmen@talenom.se
Adress: Holländargatan 13, 111 36 Stockholm eller Box 842, 101 36 Stockholm
Tfn 08 505 736 10 (växel)

Underleverantörer

Kunden har gett sitt allmänna samtycke till att underleverantörer anlitas. En lista på underleverantörer ges på begäranF