Visma Lön 300

Du är här:

GDPR i Visma Lön 300

Dataskyddsförordningen, GDPR (General Data Protection Regulation), kan verka svårt och krångligt. För att underlätta för dig att få en överblick har vi här samlat information om vad du bör tänka på för att följa GDPR när du arbetar i Visma Lön 300.

All information på denna sida gäller för normalanvändandet av Visma Lön 300. Om du har tillägg eller integrationer till andra tjänster, bör du även titta på hur GDPR påverkar dessa.

Vad är GDPR?

Alla företag som hanterar personuppgifter och är verksamma inom EU måste följa dataskyddsförordningen GDPR (General Data Protection Regulation). Det innebär att du som företagare ansvarar för att dina kunders, anställdas och leverantörers personuppgifter hanteras på ett säkert sätt.

Grundprinciper för GDPR:

Du får bara behandla personuppgifter om du uppfyller kraven i lagen.
Du får bara samla in personuppgifter för ett angivet syfte.
Du får bara samla in de uppgifter som är nödvändiga för att uppfylla syftet.
Har du personuppgifter måste du hålla dem korrekta och uppdaterade.
När syftet är uppnått ska uppgifterna tas bort.
Personuppgifter ska förvaras säkert så de inte ändras eller stjäls.
Du ska kunna bevisa att din hantering av personuppgifter uppfyller villkoren enligt GDPR.

På vismaspcs.se hittar du mer allmän information om vad GDPR är.

Arbeta enligt GDPR i Visma Lön 300

Här ser du vad du kan göra i löneprogrammet för att uppfylla GDPR-kraven.

Redovisa registrerade personuppgifter

En anställd har rätt att begära information om sina registrerade personuppgifter i löneprogrammet. Du kan enkelt dela denna information genom att skriva ut personalkortet under Utskrifter och Spårning - Utskrifter - Personal.

Om du använder Visma Lön Anställd kan du skriva ut rapporten Personuppgifter under Statistik - Rapporter. Läs mer i avsnittet Personuppgifter i hjälpen för Visma Lön Anställd.

Radera registrerade personuppgifter

Enligt GDPR får personuppgifter sparas så länge arbetsgivaren behöver uppgiften för att fullgöra rättsliga skyldigheter, lagar och förordningar. Personuppgifter som behandlas i löneprocessen anses som underlag som kan behövas för att styrka utfall i händelse av revision, tvist och kontroll av att rättsliga åtagande är uppfyllda. När personuppgifter finns registrerade och är kopplade till lönetransaktioner i löneprocessen kan den anställde därför inte hävda rätten till att få personuppgifter kopplade till lönehändelser raderade.

När en anställd slutar på företaget ska du dock radera information som inte är nödvändig att spara. Nedan följer vår rekommendation för vilken information som ska raderas.

Radera eller avidentifiera uppgifter

I Visma Lön 300 kan du inte radera uppgifterna för en anställd som du skapat lönebesked för, men du kan avidentifiera uppgifterna. Det innebär att personuppgifter och löneunderlag raderas så att det inte finns någon information i programmet som kan kopplas till den anställde. Läs mer i avsnittet Avidentifiera personuppgifter för en anställd.

Uppgifter att radera direkt när slutlönen är utbetald

Uppgifter i dessa fält under Personal - Anställda bör raderas när slutlönen är utbetald.

Anhörig (fliken Personuppgifter)
Ev. foto på den anställde i fältet Bild (fliken Personuppgifter)
Fackförbund (fliken Anställning)
Utbetalning till ska ändras till Kontant så att inställningar under Clearingnummer och Kontonummer raderas (fliken Lön)
Ev känsliga lönearter som exempelvis utmätning av lön (fliken Lön)
Anteckningar (fliken Anteckningar
Kopplade dokument under Dokument (fliken Anteckningar)

Behörigheten för anställda som är upplagda med rollen Användare i löneprogrammet ska tas bort under Arkiv - Användare - Användare. Läs mer i avsnittet Ta bort/inaktivera användare.

För anställda som använder en tilläggstjänst, avaktivera respektive tjänst och ta sedan bort inloggningen till vismaspcs.se. Läs mer i avsnittet Säg upp och avaktivera digital tjänst för anställd.

Uppgifter att radera ett år efter att en anställd har slutat

Kontakt- och adressuppgifter ska sparas ett år efter att en anställd slutat på företaget. Informationen i följande fält under Personal - Anställda på fliken Personuppgifter bör då raderas:

Adress 1
Adress 2
Postadress
Land
Telefon privat
Mobiltelefon
E-post/användarnamn på vismaspcs.se

Vi rekommenderar att du skapar en årlig rutin för att se över och radera information för anställda som har slutat under föregående år.

Observera att viss information behöver sparas längre, exempelvis information om anställdas pensionsförsäkringar.

Skicka lönebesked

Enligt GDPR får lönebesked och personuppgifter inte skickas via okrypterad e-post. Därför kan lönebesked inte skickas automatiskt via e-post från Visma Lön 300/600.

Vi rekommenderar att du skickar digitala lönebesked till Visma Min Lön/Kivra. Läs mer i avsnittet Kom igång med Visma Min Lön/Kivra.

Om du inte vill använda Visma Min Lön, se till att skicka lönebeskeden säkert, till exempel via krypterad e-post eller genom att skriva ut och skicka per post.

Använd säker inloggning via tvåstegsverifiering

För företag som använder tilläggstjänsterna Visma Lön Anställd eller Visma Min Lön, eller apparna Visma Lön Anställd eller Min Lön rekommenderas säker inloggning via tvåstegsverifiering. Läs mer i avsnittet Lägg till tvåstegsverifiering i hjälpen för Mina tjänster.

För redovisningsbyråer rekommenderas att obligatorisk tvåstegsverifiering aktiveras för alla användare på byrån. Läs mer i avsnittet Lägg till tvåstegsverifiering i hjälpen för Mina tjänster.

Insamling av personuppgifter

Till personuppgifter räknas uppgifter som direkt eller indirekt kan identifiera en nu levande fysisk person. Tänk på att även enskilda firmor räknas som fysisk person. Enligt GDPR får du bara samla in personuppgifter för ett angivet syfte. Syftet kan skilja sig åt mellan företag beroende på företagets verksamhet. Ett syfte kan t ex vara att spara adressuppgifter för att kunna fakturera kunder.

Exempel på personuppgifter är konkreta uppgifter som namn, adress, telefonummer och personnummer, men eftersom lagen säger att det är all slags information som direkt eller indirekt kan kopplas till en fysisk person kan t ex även foton eller beskrivningar av utmärkande fysiska drag hos en person räknas som en personuppgift. För mer information rekommenderar vi vidare läsning på Integritetsskyddsmyndighetens webbplats.

De personer som du samlar in uppgifter om, har enligt GDPR rätt att få veta följande:

vem du är
vilket syftet med insamlingen av uppgifterna är
vilken rättslig grund du stödjer dig på
om uppgifterna delas vidare
hur länge uppgifterna kommer att sparas

Den du har samlat in personuppgifter om har också rätt att begära att få tillgång till uppgifterna.

I programmet finns personuppgifter i fält som har ett förutbestämt syfte, exempelvis fält för namn, telefonnummer och adress. Dessa uppgifter är enkla att sammanställa om någon hör av sig och vill ta del av de uppgifter som finns lagrade om denne. Förutom fält som har ett specifikt syfte, kan personuppgifter också lagras på andra platser i programmet, till exempel i fritextfält och kommentarer. Vi rekommenderar att du undviker att ange personuppgifter på dessa platser eftersom det är svårt att söka efter, analysera och sammanställa dessa uppgifter.

Personuppgifter i Visma Lön 300

Dessa mappar kan innehålla personuppgifter.

I samband med installation

Vid en vanlig installation av programmet läggs företagets personuppgifter i följande mappar:

Företagsfiler finns i mappen C:\ProgramData\SPCS\SPCS Lön.

Om du installerar programmet som fleranvändare i ett nätverk kommer mappen SPCS Lön delas ut till Everyone.

Mappen Data (databasfiler *.mdf och *.ldf) finns under C:\ProgramData\Visma\Shared data\.

Automatiska backuper

Varje gång programmet avslutas görs en automatisk backup. Backupen sparas under C:\ProgramData\SPCS\SPCS Lön\AutoSaved.

Backup som skapas vid programuppdatering

När du uppdaterar Visma Lön 300 till en ny programversion skapar programmet automatiskt en backup (*.PBU) vid konvertering. Denna backup sker vid första programstart. Backupen sparas under: C:\ProgramData\SPCS\SPCS Lön\SavedBeforeConvert.

Backup som skapas vid återställning

Om du vill återställa ett företag görs en automatisk backup som sparas under C:\ProgramData\SPCS\SPCS Lön\SavedBeforeRestore.

Radering av företag

Om du raderar ett företag under Arkiv - Företagsunderhåll - Radera företag raderas databasen samt företagskatalogen och ALLA filer som finns i mappen.

Filer som måste raderas manuellt

Backuper som görs vid programuppdatering, återställning och den automatiska backupen som sker när man stänger programmet ligger fortfarande kvar, men du kan radera dem manuellt.

Automatisk backup sparas under C:\ProgramData\SPCS\SPCS Lön\AutoSaved.
Backup vid programuppdatering: C:\ProgramData\SPCS\SPCS Lön\SavedBeforeConvert.
Backup för återställning: C:\ProgramData\SPCS\SPCS Lön\SavedBeforeRestore.

Filer som raderas automatiskt

Företagets databasfiler i mappen C:\ProgramData\Visma\Shared data\*instansnamn*\Data raderas automatiskt.

Filnamnet på backupen hittar du under Hjälp - Om Visma Lön 300, knappen Systeminfo. Under Databas visas namnet "SPCS_Lön_XXXX*. Backupen har filändelsen *.PBU".

Backuper som skapas vid uppdatering av SQL Server Express

Flera av Vismas program använder SQL Server Express som databashanterare. Programmens databaser lagras på en gemensam plats under C:\ProgramData\Visma\Shared data. När något av programmen uppdaterar till en nyare version av SQL Server Express tas en backup på alla SQL-databaser för dina Visma-program. Backup-filerna sparas på följande sökväg: C:\ProgramData\Visma database backup.

Övriga mappar

Det kan finnas personuppgifter på ställen där programmet föreslår att spara till andra mappar än företagsmappen, till exempel för betalfiler och utskrifter. Har du ändrat sökvägen när du sparar den typen av filer får du kontrollera de mapparna istället.

För respektive användare är det mappen C:\Användare\*användarnamn*\Documents\SPCS\*Organissationsnr som föreslås.

Lagring av personuppgifter

I programmet kan personuppgifter lagras på olika ställen och i olika format. Sådan data finns på följande ställen:

I programmets databas (varje företag har sin egen databas).
I programmets företagsmappar, till exempel foton och kursintyg som kopplats till en anställd.
Arkivfiler, som statistik och bokföringsunderlag.
Rapporter sparade i pdf-format.

Om det finns anpassningar gjorda till programmet kan unik data lagras på andra ställen.

Säkerhetskopior

Direkta säkerhetskopior: Kopia av databaser där materialet sparats på särskild plats.
Indirekta säkerhetskopior: Filer som lagras i en molntjänst (t.ex. Dropbox eller Google Drive). I det senare fallet har du ingen kontroll över data som sprids, vare sig data i drift eller data som lagringstjänstens leverantör har säkerhetskopierat.

Observera att du är personuppgiftsansvarig för samtliga dessa data. GDPR-reglerna gäller oavsett om data har spridits på normalt sätt eller genom en otillåten handling, till exempel om någon har kopierat en säkerhetskopia av en databas och skickat den för analys eller support hos en utomstående aktör.

Backuper som skapas vid uppdatering av SQL Server Express

Flera av Vismas program använder SQL Server Express som databashanterare. Programmens databaser lagras på en gemensam plats under C:\ProgramData\Visma\Shared data. När något av programmen beslutar att uppdatera till en nyare version av SQL Server Express tas en backup på alla SQL-databaser för dina Visma-program. Backup-filerna sparas på följande sökväg: C:\ProgramData\Visma database backup.

Personuppgiftsbiträdesavtal

Som företagare för du ibland över personuppgifter till andra, ofta utan att du ens tänker på det. Det kan exempelvis vara till kreditupplysningsföretag, e-handelssystem, fakturerings- eller betallösningar. När sådana så kallade tredjepartsleverantörer tar emot personuppgifter av dig blir de personuppgiftsbiträden.

Du som företagare är personuppgiftsansvarig och är alltid ansvarig för insamlade uppgifter. Det gäller även när uppgifter förts över till en tredjepartsleverantör. I dessa fall krävs ett personuppgiftsbiträdesavtal mellan dig och de tredjepartsleverantörer du har. Läs mer om personuppgiftsbiträdesavtal.

Biträdesavtal mellan Visma Spcs och dig som kund

Visma Lön 300 är lokalt installerat. Det innebär att du har all information sparad lokalt på din dator eller på din server. Därför behövs inget biträdesavtal mellan dig och Visma Spcs.

Om du använder några av våra tilläggstjänster, till exempel om du arbetar med digitala fakturor och dokument, Visma AutoCollect eller Visma Lön Anställd finns det i avtalet för de tjänsterna ett biträdesavtal. Detta eftersom Visma Spcs behandlar personuppgifter för din räkning.