Vilket arbete gör Millnet kring GDPR?

Millnets tjänster innehåller stora mängder personuppgifter, vilket får till följd att tjänsterna måste följa kraven i GDPR. I korthet är det följande åtgärder som Millnet gör kring personuppgiftshantering och GDPR:

  • Kontinuerligt undersöka och analysera GDPR och applicera dess regler på den typ av personuppgifter som ni hanterar i Millnets tjänster.
  • Ha ett utsett dataskyddsombud.
  • Säkrar hanteringen av personuppgifter hos våra underleverantörer med underbiträdesavtal.
  • Tar fram personuppgiftsbiträdesavtal mot våra kunder.
  • Har interna processer, policys och rutiner för att stödja uppfyllandet av GDPR internt.
  • Gör nödvändiga ändringar i tjänsterna så att våra kunder kan uppfylla kraven i GDPR.

Vilka ändringar har gjorts i Millnets tjänster för att följa GDPR?

Ändringar som vi gör är lite olika beroende på tjänst. Utifrån hur de olika tjänsterna fungerar, vilken typ av personuppgifter som vi hanterar samt den lagliga grunden för hanteringen delar vi in tjänsterna i tre grupper:

Byråpartner

Millnet Tid & Projekt, Millnet Bemanning och Millnet Närvaro

De personuppgifter som du hanterar i dessa tjänster är främst sådana som rör anställda och i förekommande fall även kundkontakters kontaktuppgifter. Den lagliga grunden för att hantera personuppgifterna bedömer vi på Millnet som avtalsförpliktelse, för att t.ex. hantera lön eller att leverera en tjänst till kund, samt delvis för att det är en laglig skyldighet att hantera uppgifterna (t.ex. bokföringslagen). I fallet nära anhörig bedömer vi att behandlingen sker med intresseavvägning som laglig grund.

Tjänsterna uppfyllde tidigare inte kravet att personuppgifter ska kunna tas bort när syftet med behandlingen inte längre finns kvar. T.ex. Ni bör ta bort personuppgifter för en anställd som slutat då ett behov inte längre finns för dessa. Värt att tänka på här är också att andra tjänster/system kan uppfylla behovet och att det kan vara möjligt att ta bort uppgifterna snabbare från endera. I exemplet så finns troligtvis information om anställningsperioder, utbetalade löner m.m. i ett lönesystem.

  • För att hantera att inte personuppgifter sparas längre tid än nödvändigt finns en funktion där ni kan radera/anonymisera anställda baserat på när anställningen upphörde eller då de senast registrerat tid. Detta implementerades våren 2018.
  • Som leverantör har vi på Millnet ansvar för att det tekniska skyddet av personuppgifter är tillräckligt. För att förbättra detta sker all kommunikation med tjänsterna krypterat med HTTPS. Detta sedan årsskiftet 2017-2018.

Rekryteringssystem

Millnet Rekrytering

Personuppgifter som behandlas i Millnet Rekrytering rör framförallt kandidater. Som grund för att få hantera uppgifterna begär ni in samtycken från alla kandidater som registrerar sig. Den tidigare text för samtycke som funnits innehöll inte all den information som krävs enligt GDPR. De samtycken som kandidater tidigare lämnat enligt de gamla villkoren blev dessutom ogiltiga den 25:e maj, så nya samtycken behövde samlas in från samtliga befintliga kandidater innan lagstiftningen trädde i kraft.

GDPR ställer krav på att personuppgiftsansvarige ska kunna visa att samtycke lämnats. Redan innan har det varit tvingande för kandidater att samtycka till villkoren för att kunna registrera sig. Rekryterare har dock kunnat registrera personer utan att samtycke inhämtats.

Ett ytterligare krav med GDPR är att inte spara personuppgifter obegränsad tid. Därför gjorde vi det möjligt att leta upp ”gamla” kandidater och antingen ta bort dem eller efterfråga förnyat samtycke. Ni förnyar perioden ni kan spara uppgifterna om kandidaten lämnar ett nytt samtycke.

Redan tidigare fanns funktionaliteten att ta bort enstaka kandidater. Men med de nya reglerna är det långt fler kandidater som ska tas bort för, därför behövde det gå att hantera många kandidater samtidigt, samt att alla personuppgifter som kan tänkas finnas raderas eller anonymiseras.

Millnets ansvar som teknisk leverantör av tjänsten innebär att vi så långt det är möjligt gjort kommunikationen mellan tjänsten och kandidater eller rekryterare sker på ett säkert sätt. Därför har vi gått över till HTTPS där det är möjligt. Då delar av tjänsten (kandidaternas vy) oftast är inbäddad på kundens webbplats så måste vi använda HTTP om kundens webbplats har detta, för att allt ska fungera. Vår rekommendation till kunderna är att gå över till HTTPS så snart som möjligt om detta inte redan är gjort. Alla webbplatser som inte har HTTPS visar webbläsarna nu dessutom som ”osäkra”.

De förändringar som vi gjort i tjänsten under 2018 p.g.a. ovanstående är:
  • Tjänsten håller nu koll på när en kandidat senast samtyckt och till vilka villkor för behandling av personuppgifter.
  • Kunderna kan själva anpassa texten för samtycke så att den uppfyller villkoren i GDPR. Ett förslag till text som vi bedömer uppfyller kraven finns att använda som grund. Finns att tillgå bland lathundarna för systemet.
  • Gått över till HTTPS (o den mån det är möjligt), så att kommunikationen mellan tjänsten och alla användares webbläsare säkras.
  • Förbättring i funktionalitet för att hantera kandidat, så att all information kopplad till kandidaten kan raderas eller anonymiseras vid behov.
  • Möjlighet att söka fram kandidater baserat på senast lämnat samtycke.
  • Funktion för att begära in förnyat samtycke från kandidater. Funktionen inkluderar borttag av kandidater som nekar eller inte svarar inom 30 dagar.
  • Utökad funktionalitet som gör borttag av flera kandidater samtidigt möjlig.

Analys Qlik sense

Millnet Analys

I Millnet Analys har inga förändringar krävts. Informationen i tjänsten hämtar vi från källtjänsterna och den tömmer systemet vid nästa hämtning, så när du tar bort personuppgifter från källtjänsten försvinner de inom några timmar även från Millnet Analys.

Vad behöver Millnets kunder göra?

Det finns ett antal saker som vi som leverantör behöver lämna till våra kunder att hantera.

  •  Inventera var i tjänsterna och i övrigt i verksamheten som ni behandlar personuppgifter. Ta också med
    • behandlingens syfte,
    • dess lagliga grund samt
    • vad som är lämplig tid att spara personuppgifter.
  • Ta fram rutiner för att gallra gamla personuppgifter enligt sparandetiderna ni kommit fram till.
  • Ta fram rutiner för när berörda personer begär
    • utdrag,
    • rättning eller
    • borttag av personuppgifter.
  • Se till att det finns personuppgiftsbiträdesavtal för alla leverantörer som behandlar de personuppgifter ni ansvarar för. Tänk på att era kunder också i många fall är att betrakta som personuppgiftsbiträde. Biträdesavtalet behöver inte vara separata utan kan vara en del i ett ordinarie avtal.
    • För biträdesavtal med Millnet skriver ni på dessa i samband med uppstart. Befintliga kunder signerade de nya avtalen under 2018.
  • Ta fram rutin för rapportering av personuppgiftsincidenter. GDPR föreskriver att anmälan ska vara tillsynsmyndigheten (Datainspektionen) till handa inom 72 timmar från att incidenten upptäcktes.
  • Ta fram procedurer för att inte spara personuppgifter på platser där det sedan inte med inbyggda funktioner går att radera dem. Exempel på sådana ställen är i uppdrags-/projektnamn.
  • Gå över till HTTPS på er webbplats om ni använder Millnet Rekrytering och ni inte redan gjort detta. OBS! Meddela Millnet innan ni gör ändringen, så vi kan verifiera konfigurationen.

Var kan jag få mer info om GDPR?

På internet finns det gott om bra information kring GDPR. Några av dem vi kan rekommendera är: 

 

 

När det rör mer specifika frågor kring Millnets tjänster eller tjänster liknande Millnets kan ni kontakta  dataskydd@millnet.se för att få tillgång till inspelningarna av tidigare webinar eller få svar på frågor.