Vilket arbete gör Millnet kring GDPR?

Millnets tjänster innehåller stora mängder personuppgifter, vilket får till följd att tjänsterna helt enkelt måste följa kraven i GDPR. I korthet är det följande åtgärder som Millnet gör kring personuppgiftshantering och GDPR:

  • Undersökning och analys av GDPR och hur den appliceras på den typ av personuppgifter som hanteras i Millnets tjänster. FÄRDIG
  • Utse dataskyddsombud. FÄRDIG
  • Säkra hanteringen av personuppgifter hos våra underleverantörer med underbiträdesavtal. FÄRDIG
  • Arbeta fram nytt personuppgiftsbiträdesavtal mot våra kunder. FÄRDIG
  • Ta fram interna processer, policies och rutiner för att stödja uppfyllandet av GDPR internt. FÄRDIG
  • Göra nödvändiga ändringar i tjänsterna så att våra kunder kan uppfylla kraven i GDPR. FÄRDIG
  • 1

    Steg 1

    Millnet anpassar samtliga system för att uppfylla kraven för GDPR

  • 2

    Steg 2

    Kunderna ansvarar för att de nya funktionerna används för att uppfylla kraven för GDPR

  • 3

    Steg 3

    GDPR träder i kraft 25 maj 2018

Vilka ändringar görs i Millnets tjänster för att följa GDPR?

Ändringar som görs är lite olika beroende på tjänst. Utifrån hur de olika tjänsterna fungerar, vilken typ av personuppgifter som hanteras samt den lagliga grunden för hanteringen delar vi in tjänsterna i tre grupper:

Millnet Tid & Projekt, Millnet Bemanning och Millnet Närvaro

De personuppgifter som hanteras i dessa tjänster är främst sådana som rör anställda och i förekommande fall även kundkontakters kontaktuppgifter. Den lagliga grunden för att hantera personuppgifterna har vi på Millnet bedömt vara avtalsförpliktelse, för att t.ex. lön ska kunna hanteras eller att en tjänst ska kunna levereras till en kund, samt delvis för att det är en laglig skyldighet att hantera uppgifterna (t.ex. bokföringslagen). I fallet med nära anhörig har vi bedömt att behandlingen kan göras med intresseavvägning som laglig grund.

Även om det redan idag finns laglig grund att behandla de personuppgifter som finns i systemet så uppfyller tjänsterna tidigare inte kravet att personuppgifter tas bort när syftet med behandlingen inte längre finns kvar. T.ex. personuppgifter för en anställd som slutat bör tas bort från tjänsten när de inte längre behövs. Värt att tänka på här är också att andra tjänster/system kan uppfylla behovet och att uppgifterna därför kan tas bort snabbare från endera. I exemplet så finns troligtvis information om anställningsperioder, utbetalade löner m.m. i ett lönesystem.

För att hantera att inte personuppgifter sparas längre tid än ni behöver införs en funktion där ni kan radera/anonymisera anställda baserat på när anställningen upphörde och för inaktiverade anställda när de senast hade tid registrerad. FÄRDIG. Utrullat till Bemannning och Närvaro under april. Utrullat till Tid & Projekt i maj

Som leverantör har vi på Millnet ansvar för att det tekniska skyddet av personuppgifter är tillräckligt. För att förbättra detta kommer all kommunikation med tjänsterna framöver ske krypterat med HTTPS. FÄRDIG. Utrullat för Tid & Projekt tidigare, till Bemanning och Närvaro under februari.

Millnet Rekrytering

Personuppgifter som behandlas i Millnet Rekrytering rör framförallt kandidater. Som grund för att få hantera uppgifterna begärs samtycken in från alla kandidater som registrerar sig. Den text för samtycke som funnits sedan innan innehåller inte all den information som krävs enligt GDPR. Funktionen är dessutom inte konstruerad för att kunden, som är personuppgiftsansvarig, ska kunna anpassa texten efter sin verksamhet och sitt behov av att hantera personuppgifter. De samtycken som kandidater tidigare lämnat enligt de gamla villkoren blir dessutom ogiltiga den 25:e maj, så nya samtycken behöver samlas in från samtliga befintliga kandidater innan lagstiftningen träder i kraft.

I GDPR finns ett krav på att personuppgiftsansvarige ska kunna visa att uttryckligt samtycke lämnats. Redan innan har det varit tvingande för kandidater att samtycka till villkoren för att kunna registrera sig. Rekryterare har dock kunnat registrera personer utan att samtycke inhämtats.

Ett annat krav som finns i GDPR är att inte spara personuppgifter obegränsad tid. Därför kommer vi att göra det möjligt att leta upp ”gamla” kandidater och antingen ta bort dem eller efterfråga förnyat samtycke. Om kandidaten lämnar nytt samtycke förnyas perioden som uppgifterna kan sparas.

Redan sedan tidigare finns funktionalitet i tjänsten att ta bort en enstaka kandidat. För att det inte ska bli fel så har denna krävt rätt många klick innan kandidaten anonymiserats. Med de nya reglerna så kommer det vara långt fler kandidater som ska tas bort för att behandlingen av personuppgifter ska följa lagens krav, därför behöver det gå att hantera många kandidater samtidigt samt att alla personuppgifter som kan tänkas finnas raderas eller anonymiseras.

Millnets ansvar som teknisk leverantör av tjänsten gör att vi så långt det är möjligt vill få kommunikationen mellan tjänsten och kandidater eller rekryterare att ske på ett säkert sätt. Där det är möjligt går vi därför över till HTTPS. Då delar av tjänsten (kandidaternas vy) oftast visas inbäddad på kundernas webbplats så måste vi dock använda HTTP om kundens webbplats har det för att allt ska fungera. Vår rekommendation till våra kunder är att gå över till HTTPS så snart som möjligt. Värt att notera är att webbläsartillverkarna också ligger på kring detta och inom kort kommer visa alla webbplatser som inte har HTTPS som ”osäkra”.

De förändringar som kommer göras i tjänsten p.g.a. ovanstående är:

  • Tjänsten håller koll på när en kandidat senast samtyckt och till vilka villkor för behandling av personuppgifter. FÄRDIG. Utrullad under januari.
  • Kunderna kan själva anpassa texten för samtycke så att den uppfyller villkoren i GDPR. Ett förslag till text som vi bedömer uppfyller kraven finns att hämta för befintliga kunder i kundarean (Kandidatsamtycke)FÄRDIG. Utrullad under mars.
  • Där så är möjligt övergång till enbart HTTPS, så att kommunikationen mellan tjänsten och alla användares webbläsare säkras. FÄRDIG. Utrullad under februari.
  • Förbättring i funktionalitet för att ta bort kandidat, så att all information kopplad till kandidaten raderas eller anonymiseras. FÄRDIG. Utrullad under april.
  • Möjlighet att söka fram kandidater baserat på senast lämnat samtycke. FÄRDIG. Utrullad under april.
  • Funktion för att begära in förnyat samtycke från kandidater. Funktionen inkluderar borttag av kandidater som nekar eller inte svarar inom 30 dagar. FÄRDIG. Utrullad under april.
  • Utökad funktionalitet som gör borttag av flera kandidater samtidigt möjlig. FÄRDIG. Utrullad under april.

Millnet Analys

I Millnet Analys kommer inte några ändringar att behöva göras. Informationen som finns i tjänsten hämtas från källtjänsterna och töms vid nästa hämtning, så när personuppgifter tas bort från källtjänsten försvinner de inom timmar även från Millnet Analys.

 

Vad behöver Millnets kunder göra?

Det finns ett antal saker som vi som leverantör behöver lämna till våra kunder att hantera.

  • Inventera var i tjänsterna och i övrigt i verksamheten som personuppgifter behandlas. Ta också med
    • behandlingens syfte,
    • dess lagliga grund samt
    • vad som är lämplig sparandetid för personuppgifter.
  • Ta fram rutiner för att gallra gamla personuppgifter enligt sparandetiderna ni kommit fram till.
  • Ta fram rutiner för när berörda personer begär
    • utdrag,
    • rättning eller
    • borttag av personuppgifter.
  • Se till att det finns personuppgiftsbiträdesavtal för alla leverantörer som behandlar de personuppgifter ni ansvarar för. Tänk på att era kunder också i många fall är att betrakta som personuppgiftsbiträde. Biträdesavtalet behöver inte vara separata utan kan vara en del i ett ordinarie avtal.
    • För biträdesavtal med Millnet så kommer vi skicka ut dessa så snart de är klara, vilket beräknas vara under april. Signera dem så snart som möjligt.
  • Ta fram rutin för rapportering av personuppgiftsincidenter. GDPR föreskriver att anmälan ska vara tillsynsmyndigheten (Datainspektionen) till handa inom 72 timmar från att incidenten upptäcktes.
  • Ta fram procedurer så att personuppgifter inte sparas på platser där det sedan inte med inbyggda funktioner går att radera dem. Exempel på sådana ställen är i uppdrags-/projektnamn.
  • Om ni använder Millnet Rekrytering och ännu inte gått över till HTTPS på er webbplats så bör ni göra detta. Meddela dock Millnet innan ändring görs, så vi kan verifiera konfigurationen.

 

Var kan jag få mer info om GDPR?

På internet finns gott om bra information kring GDPR. Några av dem vi kan rekommendera är: 

 

 

När det rör mer specifika frågor kring Millnets tjänster eller tjänster liknande Millnets kan ni kontakta  dataskydd@millnet.se för att få tillgång till inspelningarna av tidigare webinar eller få svar på frågor.