GDPR i Visma Tid

Dataskyddsförordningen, GDPR (General Data Protection Regulation), kan verka svårt och krångligt. För att underlätta för dig att få en överblick har vi här samlat information om vad du bör tänka på för att följa GDPR när du arbetar i Visma Tid.

All information på denna sida gäller för normalanvändandet av Visma Tid. Om du har tillägg eller integrationer till andra tjänster, bör du även titta på hur GDPR påverkar dessa.

GDPR ersätter Dataskyddsdirektivet 95/46/EG samt PUL (Personuppgiftslagen) som sedan 1998 har reglerat hur personuppgifter får hanteras. GDPR gäller alla medlemsländer i EU/EES och alla verksamheter som på något sätt hanterar data om enskilda individer.

Grundprinciper för GDPR:

  • Du får bara behandla personuppgifter om du uppfyller kraven i lagen.
  • Du får bara samla in personuppgifter för ett angivet syfte.
  • Du får bara samla in de uppgifter som är nödvändiga för att uppfylla syftet.
  • Har du personuppgifter måste du hålla dem korrekta och uppdaterade.
  • När syftet är uppnått ska uppgifterna tas bort.
  • Personuppgifter ska förvaras säkert så de inte ändras eller stjäls.
  • Du ska kunna bevisa att din hantering av personuppgifter uppfyller villkoren enligt GDPR.

spiris.se hittar du mer allmän information om vad GDPR är.

Nedan visas vad du kan göra i ditt program för att tillmötesgå kraven för GDPR.

En enskild individ har rätt att fråga dig om det finns personuppgifter om denne registrerade hos dig. I ett sådant fall måste du kunna delge dessa uppgifter till individen. I programmet gör du det enklast genom att skapa en rapport i Rapportgeneratorn. Rapporten kan du sedan välja att skriva ut till exempelvis Excel för vidare bearbetning.

Hur du får fram personuppgifterna i respektive register beskrivs nedan.

För att få fram en rapport med personuppgifter för en specifik kund skapar du en ny rapport i rapportgeneratorn där du utgår från registret Kunder. I rapporten väljer du till de fält som omfattas som personuppgifter, se nedan under rubriken Personuppgifter i programmet. Läs mer i avsnittet Skapa ny rapport.

För att få fram en rapport med personuppgifter för en specifik medarbetare skapar du en ny rapport i rapportgeneratorn där du utgår från registret Medarbetare. I rapporten väljer du till de fält som omfattas som personuppgifter. Läs mer i avsnittet Skapa ny rapport.

När syftet med att lagra data om en individ har upphört att gälla, kan individen begära att lagringen av data ska återkallas, dvs att du ska kunna radera den information som finns om individen alternativt avidentifiera den. Detta förutsätter naturligtvis att bokföringslagen fortfarande tillämpas, dvs att endast bokföringsunderlag äldre än 7 år får raderas.

I Visma Tid går det inte att radera en kund eller medarbetare som har tider registrerade tider på sig. Du får då istället avidentifiera dem.

Avidentifiering

För att avidentifiera kunder och medarbetare raderar du alla fält om individen som inte är obligatoriska. Därefter ersätter du de fält som är obligatoriska med data som gör att det inte går identifiera med en individ.

För en kund är följande poster obligatoriska:

  • Kundnr
  • Namn
  • Kundansvarig

Fältet Kundansvarig kräver att en medarbetare är angiven och här får du som kund avgöra vilket värde som lämpas bäst.

För en medarbetare är följande poster obligatoriska:

  • Signatur
  • Förnamn
  • Efternamn

När du har avidentifierat en medarbetare ska du se till att fältet Aktiv medarbetare inte är markerat.

Efter avidentifieringen finns det inte kvar några spår av personuppgifter. Däremot kan det finnas kvar kopplingar mellan olika register, men dessa går inte att identifiera med en unik individ. Om det finns data under Faktura-/bokf.underlag - Historik är dessa poster avidentifierade men går inte att radera. Finns det data under Löneunderlag - Historik kan dessa raderas via knappen Radera.

Faktura- och bokföringsunderlag som har skrivits ut eller exporterats, men som inte längre behöver sparas av juridiska skäl, får du själv radera. Detsamma gäller löneunderlag.

 


Det är viktigt att du har kontroll över vilka på företaget som har behörighet till de anställdas uppgifter och registreringar i programmet. I Visma Tid är det de som har rollen som administratör och attestansvarig som har behörighet till den typen av information.

Till personuppgifter räknas uppgifter som direkt eller indirekt kan identifiera en nu levande fysisk person. Tänk på att även enskilda firmor räknas som fysisk person. Enligt GDPR får du bara samla in personuppgifter för ett angivet syfte. Syftet kan skilja sig åt mellan företag beroende på företagets verksamhet. Ett syfte kan t ex vara att spara adressuppgifter för att kunna fakturera kunder.

Exempel på personuppgifter är konkreta uppgifter som namn, adress, telefonummer och personnummer, men eftersom lagen säger att det är all slags information som direkt eller indirekt kan kopplas till en fysisk person kan t.ex. även foton eller beskrivningar av utmärkande fysiska drag hos en person räknas som en personuppgift. För mer information rekommenderar vi vidare läsning på Datainspektionens webbplats.

De personer som du samlar in uppgifter om, har enligt GDPR rätt att få veta följande:

  • vem du är
  • vilket syftet med insamlingen av uppgifterna är
  • vilken rättslig grund du stödjer dig på
  • om uppgifterna delas vidare
  • hur länge uppgifterna kommer att sparas

Den du har samlat in personuppgifter om har också rätt att begära att få tillgång till uppgifterna.

I programmet finns personuppgifter i fält som har ett förutbestämt syfte, exempelvis fält för namn, telefonnummer och adress. Dessa uppgifter är enkla att sammanställa om en kund hör av sig och vill ta del av de uppgifter som finns lagrade om denne. Förutom fält som har ett specifikt syfte, kan personuppgifter också lagras på andra platser i programmet, till exempel i fritextfält och kommentarer. Vi rekommenderar att du undviker att ange personuppgifter på dessa platser eftersom det är svårt att söka efter, analysera och sammanställa dessa uppgifter.

I Visma Tid finns det personuppgifter i kundregistret och medarbetarregistret. Dessutom är det vanligt att data som kan associeras med enskilda individer sparas i fria fält, som till exempel kommentarsfält på en kund och anteckningar på enskild medarbetare. För samtliga av dessa register måste kraven på GDPR var uppfyllda.

Nedan finns en beskrivning av fält som innehåller personuppgifter i Visma Tid.

Utöver nedan nämnda fördefinierade fält kan det förekomma personuppgifter i fält där innehållet definieras av dig själv, t ex:

  • Fria fält relaterade till en kund eller medarbetare
  • Extra fakturatext eller interna anteckningar på tid och utläggsregistrering
Fältnamn Fältbeskrivning
Kundnr Unikt kundnummer som visas i de listor som gäller för kunden.
Namn Kundens namn. Kundnumret eller namnet visas i de listor som gäller för kunder.
Organisationsnr Kundens organisationsnummer
Er referens Namn på en kontaktperson hos kunden.
Telefon 1 Telefonnummer till kunden.
Telefon 2 Ytterligare ett telefonnummer till kunden.
Fax Faxnummer till kunden.
E-post E-postadress till kunden.
Internet Kundens www-adress.
Fältnamn Fältbeskrivning
Namn Här visas det kundnamn du har skrivit in på fliken Kunduppgifter.
Postadress Postadress för fakturaadressen.
Postadress 2 Om kundens postadress för fakturan kräver ytterligare en rad används det här fältet.
Postnr/Ort Postnummer och ort för fakturaadressen.
Land Land för fakturaadressen.
Besöksadress Kundens besöksadress.
Fältnamn Fältbeskrivning
Namn Det kundnamn som ska gälla för leveransadressen.
Postadress Postadressen för leveransen.
Postadress 2 Om kundens postadress för leverans kräver ytterligare en rad används det här fältet.
Postnr/Ort Postnummer och ort för leveransadressen.
Land Land för leveransadressen.
Besöksadress Kundens besöksadress.
Telefon 1 Telefonnummer till kunden.
Telefon 2 Ytterligare ett telefonnummer till kunden.
Fax Faxnummer till kunden.
Fältnamn Fältbeskrivning
VAT-nr Kundens momsregistreringsnummer
Bankgiro Kundens bankgironummer.
Plusgiro Kundens plusgironummer.

 

Utöver nedan nämnda fördefinierade fält kan det förekomma personuppgifter i fält där innehållet definieras av dig själv, t ex:

  • Fria fält relaterade till en medarbetare
  • Extra faktura text eller interna anteckningar på tid och utläggsregistrering
Fältnamn Fältbeskrivning
Anst.nr Använder företaget anställningsnummer läggs detta in här. Överför du underlag via fil till Visma Lön 300 följer anställningsnumret med.
Sign Signatur för användaren. Signaturen eller namnet visas i de listor som gäller medarbetaren. En obligatorisk uppgift.
Förnamn Medarbetarens förnamn. En obligatorisk uppgift.
Efternamn Medarbetarens efternamn. En obligatorisk uppgift.
Personnr Medarbetarens personnummer.
Telefon Valfritt telefonnummer till medarbetaren.
Mobiltelefon Valfritt mobiltelefonnummer till medarbetaren.
E-postadress E-postadress för medarbetaren.

 

I programmet kan personuppgifter lagras på olika ställen och i olika format. För Visma Tid är det normala att sådan data förekommer på följande ställen:

  • I programmets databaser
  • I programmets företagsmappar
  • Arkivfiler, t ex historik över fakturaunderlag, bokföringsunderlag och löneunderlag

Om det finns anpassningar gjorda till programmet kan dessa eventuellt lagra sina unika data på andra ställen.

Varianter av data som skapas av ditt program är också vanligt förekommande:

  • Direkta säkerhetskopior, dvs av databaser där man sparat materialet på särskild plats.

  • Automatiska säkerhetskopior som skapas vid återställning eller vid konvertering från äldre versioner av programmet:

    • Om du har skapat ett företag i en äldre version som du öppnar och konverterar i en nyare version, skapas en säkerhetskopia som automatiskt sparas i mappen C:\ProgramData\SPCS\SPCS Tid\SavedBeforeConvert.

    • När du stänger ned programmet sparas en säkerhetskopia automatiskt i mappen C:\ProgramData\SPCS\SPCS Tid\Autosaved.

    • Om du återställer från en säkerhetskopia, sparas automatiskt en säkerhetskopia under C:\ProgramData\SPCS\SPCS Tid\SavedBeforeRestore.

  • Indirekta säkerhetskopior, t ex filer som du själv har lagrat i en molntjänst (t ex DropBox eller Google Drive). Här har du i princip ingen som helst kontroll över vilken spridning av data som förekommer, vare sig för data i drift eller för data som leverantören av lagringstjänsten har säkerhetskopierat.

  • Loggfiler som sparar information vid händelser i programmet kan också innehålla information som är personrelaterad. Dessa sparas under C:\Users(Användare)\inloggad användare\AppData\Roaming\SPCS\Visma Tid.log.

Observera att för samtliga dessa data är du personuppgiftsansvarig, och här gäller reglerna för GDPR oavsett om data spridits på normal sätt, eller om det har skett i form av en otillåten handling, till exempel att någon kopierat en säkerhetskopia av en databas och sedan skickat den för analys eller support hos en utomstående aktör.

Backuper som skapas vid uppdatering av SQL Server Express

Flera av Spiris program använder SQL Server Express som databashanterare. Programmens databaser lagras på en gemensam plats under C:\ProgramData\Visma\Shared data\MSSQL14.VISMA\MSSQL\DATA. När något av programmen beslutar att uppdatera till en nyare version av SQL Server Express tas en backup på alla SQL-databaser för dina Visma-program. Backup-filerna sparas på följande sökväg: C:\ProgramData\Visma database backup.

Vid avinstallation av programvaran kommer företag, säkerhetskopior och mapparna ovan fortfarande finnas kvar på datorn. Vill du rensa all lagring av personuppgifter behöver du radera företagen innan du avinstallerar programmet samt ta bort övriga mappar manuellt.

Som företagare för du ibland över personuppgifter till andra, ofta utan att du ens tänker på det. Det kan exempelvis vara till kreditupplysningsföretag, e-handelssystem, fakturerings- eller betallösningar. När sådana så kallade tredjepartsleverantörer tar emot personuppgifter av dig blir de personuppgiftsbiträden.

Du som företagare är personuppgiftsansvarig och är alltid ansvarig för insamlade uppgifter. Det gäller även när uppgifter förts över till en tredjepartsleverantör. I dessa fall krävs ett personuppgiftsbiträdesavtal mellan dig och de tredjepartsleverantörer du har. Läs mer om personuppgiftsbiträdesavtal.

Visma Tid är lokalt installerat. Det innebär att du har all information sparad lokalt på din dator eller på din server. Därför behövs inget biträdesavtal mellan dig och Spiris.

Om du använder några av våra tilläggstjänster, till exempel Digitala fakturor & dokument, Påminnelsehantering, Visma Stämpla eller Visma Lön Anställd finns det i avtalet för de tjänsterna ett biträdesavtal. Detta eftersom Spiris behandlar personuppgifter för din räkning.

Se även

Dataskyddsförordningen - GDPR
GDPR i