Visma Lön Smart
GDPR i Visma Lön Smart
Dataskyddsförordningen, GDPR (General Data Protection Regulation), kan verka svårt och krångligt. För att underlätta för dig att få en överblick har vi här samlat information om vad du bör tänka på för att följa GDPR när du arbetar i Visma Lön Smart.
All information på denna sida gäller för normalanvändandet av Visma Lön Smart. Om du har tillägg eller integrationer till andra tjänster, bör du även titta på hur GDPR påverkar dessa.
Vad är GDPR?
Alla företag som hanterar personuppgifter och är verksamma inom EU måste följa dataskyddsförordningen GDPR (General Data Protection Regulation). Det innebär att du som företagare ansvarar för att dina kunders, anställdas och leverantörers personuppgifter hanteras på ett säkert sätt.
Grundprinciper för GDPR:
- Du får bara behandla personuppgifter om du uppfyller kraven i lagen.
- Du får bara samla in personuppgifter för ett angivet syfte.
- Du får bara samla in de uppgifter som är nödvändiga för att uppfylla syftet.
- Har du personuppgifter måste du hålla dem korrekta och uppdaterade.
- När syftet är uppnått ska uppgifterna tas bort.
- Personuppgifter ska förvaras säkert så de inte ändras eller stjäls.
-
Du ska kunna bevisa att din hantering av personuppgifter uppfyller villkoren enligt GDPR.
På vismaspcs.se hittar du mer allmän information om vad GDPR är.
Arbeta enligt GDPR i Visma Lön Smart
Nedan visas vad du kan göra i Visma Lön Smart för att tillmötesgå kraven för GDPR.
Redovisa registrerade personuppgifter
En anställd har rätt att fråga dig om det finns personuppgifter om denne registrerade i löneprogrammet. I ett sådant fall måste du kunna delge dessa uppgifter till den anställde. Ta en bild av det som visas på skärmen och skicka bilden till den anställde.
Radera registrerade personuppgifter
Enligt GDPR får personuppgifter sparas så länge arbetsgivaren behöver uppgiften för att fullgöra rättsliga skyldigheter, lagar och förordningar. Personuppgifter som behandlas i löneprocessen anses som underlag som kan behövas för att styrka utfall i händelse av revision, tvist och kontroll av att rättsliga åtagande är uppfyllda. När personuppgifter finns registrerade och är kopplade till lönetransaktioner i löneprocessen kan den anställde därför inte hävda rätten till att få personuppgifter kopplade till lönehändelser raderade.
När en anställd slutar på företaget ska du dock radera information som inte är nödvändig att spara. Nedan följer vår rekommendation för vilken information som ska raderas.
Radera eller avidentifiera uppgifter
I Visma Lön Smart går det inte att radera uppgifterna för en anställd som du skapat lönebesked för.
Om du har anställda som uppgifterna inte kan raderas för, men där personuppgifterna inte ska sparas längre får du ta bort känslig data. Läs mer under Uppgifter att radera direkt när slutlönen är utbetald.
Om du säger upp Visma Lön Smart kommer du inte att kunna göra ändringar i ditt företag, utan bara se uppgifterna. I detta läget kan du avidentifiera känslig data för de anställda. Detta gör du genom att gå in under respektive anställd under Anställda och klicka på Avidentifiera anställd. Då kommer data så som adress, mejladress och bankkontonummer att tas bort.
Uppgifter att radera direkt när slutlönen är utbetald
Uppgifter i dessa fält under Lön Smart - Anställda bör raderas när slutlönen är utbetald.
- Utbetalning till ska ändras till Kontant så att inställningar under Clearingnummer och Kontonummer raderas (fliken Lön)
- Anteckningar (fliken Personuppgifter, såsom exempelvis kontaktuppgifter till anhörig
För anställda som använder en tilläggstjänst bör du inaktivera respektive tjänst och sedan ta bort inloggning till vismaspcs.se. När tjänsterna är inaktiverade kommer historiken i tjänsterna att försvinna eftersom data utan syfte inte får sparas enligt GDPR.
Uppgifter att radera ett år efter att en anställd har slutat
Kontakt- och adressuppgifter ska sparas ett år efter att en anställd slutat på företaget. Informationen i följande fält under Lön Smart - Anställda på fliken Personuppgifter bör då raderas:
- Postadress
- Postnummer
- Ort
- Land
- Telefon
- Mobiltelefon
- E-postadress
Vi rekommenderar att du skapar en årlig rutin för att se över och radera information för anställda som har slutat under föregående år.
Observera att viss information behöver sparas längre, exempelvis information om anställdas pensionsförsäkringar.
Insamling av personuppgifter
Till personuppgifter räknas uppgifter som direkt eller indirekt kan identifiera en nu levande fysisk person. Tänk på att även enskilda firmor räknas som fysisk person. Enligt GDPR får du bara samla in personuppgifter för ett angivet syfte. Syftet kan skilja sig åt mellan företag beroende på företagets verksamhet. Ett syfte kan t ex vara att spara adressuppgifter för att kunna fakturera kunder.
Exempel på personuppgifter är konkreta uppgifter som namn, adress, telefonummer och personnummer, men eftersom lagen säger att det är all slags information som direkt eller indirekt kan kopplas till en fysisk person kan t ex även foton eller beskrivningar av utmärkande fysiska drag hos en person räknas som en personuppgift.
De personer som du samlar in uppgifter om, har enligt GDPR rätt att få veta följande:
- vem du är
- vilket syftet med insamlingen av uppgifterna är
- vilken rättslig grund du stödjer dig på
- om uppgifterna delas vidare
- hur länge uppgifterna kommer att sparas
Den du har samlat in personuppgifter om har också rätt att begära att få tillgång till uppgifterna.
I programmet finns personuppgifter i fält som har ett förutbestämt syfte, exempelvis fält för namn, telefonnummer och adress. Dessa uppgifter är enkla att sammanställa om någon hör av sig och vill ta del av de uppgifter som finns lagrade om denne. Förutom fält som har ett specifikt syfte, kan personuppgifter också lagras på andra platser i programmet, till exempel i fritextfält och kommentarer. Vi rekommenderar att du undviker att ange personuppgifter på dessa platser eftersom det är svårt att söka efter, analysera och sammanställa dessa uppgifter.
Lagring av personuppgifter
Ditt program är molnbaserat vilket innebär att de personuppgifter du registrerar lagras på servrar hos vår leverantör av infrastruktur samt på servrar hos Visma. Mer information om hur data lagras i Vismas molnbaserade program hittar du på visma.com/trust-centre.
Har du exporterat bokföringsunderlag från Visma Lön Smart kan du även ha uppgifter lagrade lokalt på din dator eller en annan plats där du sparat dessa filer.
Observera att du alltid är personuppgiftsansvarig för uppgifter du samlat in och att reglerna för GDPR gäller oavsett på vilket sätt data lagrats och spridits. När du anlitar en tredjepartsleverantör ska det finnas ett personuppgiftsbiträdesavtal mellan ditt företag och det du anlitar. Läs mer om det under nästa rubrik.
Personuppgiftsbiträdesavtal
Som företagare för du ibland över personuppgifter till andra, ofta utan att du ens tänker på det. Det kan exempelvis vara till kreditupplysningsföretag, e-handelssystem, fakturerings- eller betallösningar. När sådana så kallade tredjepartsleverantörer tar emot personuppgifter av dig blir de personuppgiftsbiträden.
Du som företagare är personuppgiftsansvarig och är alltid ansvarig för insamlade uppgifter. Det gäller även när uppgifter förts över till en tredjepartsleverantör. I dessa fall krävs ett personuppgiftsbiträdesavtal mellan dig och de tredjepartsleverantörer du har. Läs mer om personuppgiftsbiträdesavtal.
Biträdesavtal mellan Visma Spcs och dig som kund
Ditt program är molnbaserat vilket innebär att de personuppgifter du registrerar i programmet lagras hos Visma Spcs. Vi räknas i och med detta som en tredjepartsleverantör som behandlar personuppgifter för din räkning. I och med detta behövs ett personuppgiftsbiträdesavtal mellan Visma Spcs och dig. I det avtal som du godkänner när du börjar använda ditt program ingår ett sådant biträdesavtal.
