GDPR i Essentials

General Data Protection Regulation (GDPR) er en forordning som er ment å styrke og forene databeskyttelsen for alle individer innenfor EU. I Essentials har vi laget noen verktøy for å gjøre det enkelt for behandlingsansvarlig å lage GDPR-kompatible undersøkelser.

Besøk vårt Trust Center for å finne all relevant dokumentasjon relatert til Questback sine sikkerhets- og personvernprinsipper.

De generelle funksjonene er ganske enkle. For alle nye Quester opprettet etter 25. mai, vil GDPR være aktivert som standard. Dette betyr at behandlingsansvarlig må lage en GDPR-erklæring som beskriver formålet, varigheten etc. med innsamlingen av dataene, og at den registrerte må akseptere dette på en samtykkside for å svare på Questen. Den behandlingsansvarlige må dessuten sørge for å flagge ethvert spørsmål som inneholder personopplysninger (som standard vil alle åpne svarspørsmål, så vel som alle opplastede respondentdata, bli forhåndsflagget som personlige data). Når oppbevaringsperioden som er satt for personopplysningene er ute, vil all data som er flagget som personlig (samt IP-adressen) bli slettet fra systemet, og respondentens e-postadresse vil bli anonymisert.

Vi tilbyr følgende funksjoner:

• Behandlingsansvarlig kan opprette og redigere GDPR-statement, som kan brukes som maler når du setter opp en GDPR-kompatibel Quest.
• Behandlingsansvarlig kan bruke og redigere GDPR-innstillinger på GDPR-aktiverte Questen
• Den behandlingsansvarlige kan flagge og fjerne flagging av spørsmål og respondentdata som personopplysninger.
• Registrerte vil bli presentert med en samtykkside som inneholder GDPR-erklæringen og må overholde denne for å svare på Questen.

Quest innstillinger

GDPR-innstillinger introdusert for Quest-innstillinger:

• Gjør denne Queste GDPR-kompatibelt: dette aktiverer/deaktiverer GDPR-funksjonen på Questen. Når den er aktivert, vil den registrerte bli presentert med informasjonen som er gitt i inndatafeltene og må overholde vilkårene for å kunne svare på Questen.
• Definer spørsmål om personopplysninger: dette åpner en dialogboks der behandlingsansvarlig kan flagge spørsmål og respondentdata som personopplysninger:

• Last inn mal: dette åpner en mulighet for å velge en eksisterende mal (maler administreres i GDPR Statement Manager). Maler kan brukes som de er eller tilpasses for å matche den individuelle Questen ved å modifisere dataene som er fylt inn i inndatafeltene. Maler fungerer etter kopiering, det vil si å endre data i GDPR-innstillingene, vil ikke påvirke noen innlastede maler. Merk at alle felt unntatt bevaringsperiode kan være en del av en mal.
• Lagre som mal: dette åpner en mulighet for å lagre dataene som for øyeblikket er oppgitt i GDPR-innstillingene som en mal (alle oppgitte data unntatt bevaringsperioden vil bli inkludert i malen). Malen kan endres ytterligere i GDPR Statement Manager.
• Bevaringsperiode: Dette definerer hvor lenge personopplysningene skal lagres før de slettes fra systemet. Bevaringsperioden beregnes fra det øyeblikket den registrerte overholder GDPR-erklæringen (mer presist: fra det øyeblikket den registrerte klikker på neste eller sender inn på første side av Questen). Hvis behandlingsansvarlig velger «Ubegrenset», må han/hun oppgi informasjon i feltet «Forklar kriteriene som ligger til grunn for oppbevaringsperioden:».
• Velkomstmelding: Dette er en melding som vil vises over GDPR-erklæringen på samtykkesiden den registrerte blir presentert for.

Resten av feltene er beskrevet her:

Ved siden av inndatafeltet for «Formålet med hver behandling samtykke søkes for», har behandlingsansvarlig tilgang til et sett med forhåndsdefinerte statement som kan brukes ved opprettelse av GDPR-statement:

Quest designer

I Quest designer kan behandlingsansvarlig enkelt se hvilke spørsmål og/eller respondentdata som er flagget som personopplysninger:

Den behandlingsansvarlige har to måter å flagge spørsmål og/eller respondentdata på som personopplysninger inne i Quest designer:

1. Fra Spørsmålsinnstillinger:

2. Fra Andre handlinger > angi egenskaper på flere spørsmål:

I denne dialogen har vi i tillegg til å legge til persondatasettet, også utført følgende endringer:

1. Inkludert respondentdata
2. Introduserte kolonnen «Type» for å skille mellom spørsmål og respondentdata.

GDPR Statement Manager

Få tilgang til GDPR Statement Manager fra sidemenyen:

Som alle managere i Essentials, vil brukeren ha tilgang til sine egne GDPR-statement samt statement andre brukere på kontoen har delt:

Delte statement vil bli delt med alle brukere på kontoen. Brukere kan bruke og redigere andre brukeres delte statement, men bare slette eller fjerne deling av sine egne.

Hver setning er enspråklig, så oversettelser utføres ved å lage flere versjoner av den samme setningen, hver på sitt eget språk.

Når du oppretter og/eller redigerer en statement, har behandlingsansvarlig tilgang til de samme feltene som beskrevet i «Quest innstillinger» ovenfor, med unntak av bevaringsperioden, som behandles som en Quests spesifikke innstilling. I tillegg må han/hun merke GDPR-erklæringen med et språk som bruker språkkontroll.

Samtykkeside

Før du begynner å svare på et GDPR-aktivert Quest, må den registrerte overholde samtykkesiden:

Hovedsiden for samtykke vil vise følgende data:

• Velkomstmelding (hvis den inneholder data)
• Formålet med hver behandling samtykke søkes for (formålserklæringen)
• Firmanavn (behandlingsansvarlig)
• Kontaktinformasjon
• Behandlingsansvarligs representant (hvis aktuelt) (hvis den inneholder data)

Resten av feltene er tilgjengelige ved å klikke på «here»-lenken:

Viktig informasjon

Sletting av personopplysninger

Vi sletter ikke noe i den første prosessen, men vil implementere automatisk sletting av felt som er flagget som personopplysninger, samt anonymisering av den registrertes e-postadresse i den andre prosessen – planlagt utgitt før 25. mai 2018.

Sletting av personopplysninger fra svar mottatt før aktivering av GDPR på en Quest

er et verktøy for å håndtere eksisterende svar på en Quest hvor GDPR er aktivert. Dette vil være en knapp ved siden av innstillingen for bevaringsperioden i GDPR-innstillingene, som når den avmerkes, vil gi behandlingsansvarlig muligheten til å slette personopplysninger for svar før GDPR.

Brukes for eksempel ved:

Løpende Quest med 50 svar. Behandlingsansvarlig aktiverer GDPR og flagger noen få spørsmål som personlige data. Den automatiske slettingen vil ta seg av nye svar som kommer inn, men for de eksisterende svarene må behandlingsansvarlig klikke «Slett personopplysninger før GDPR» for å gjøre det samme med de 50 eksisterende svarene.

Eksport og sletting av individuelle svar

er et verktøy for å imøtekomme GDPR-kravet som registrerte kan be om å enten få eksportert personopplysningene sine i et lesbart format eller slettet. Kort fortalt vil dette bestå i å utvide gjeldende slettefunksjon i svarruten på oppfølgingssiden, samt ved visning av en individuell besvarelse i oppfølgingen.

Når du velger å slette et svar, vil behandlingsansvarlig bli presentert med to alternativer:

1. Slett fullstendig svar (samme som gjeldende oppførsel)
2. Slett personopplysninger

Det andre alternativet vil slette all data som er flagget som personlig (inkl. IP-adressen), samt anonymisere e-postadressen til det valgte datasubjektet.

Eksportfunksjonaliteten vi for øyeblikket har på plass tar allerede hensyn til eksport av personopplysninger, men vil måtte utvides med IP-adresseleseren.

Sletting av invitasjonsdata

er et verktøy for å håndtere invitasjonsdataene.

Når behandlingsansvarlig laster opp respondentdata (og en e-postadresse eller mobilnummer), lagrer vi disse dataene i en databasetabell atskilt fra tabellen som inneholder svarene. Systemet beskrevet ovenfor vil derfor ikke kunne slette data knyttet til invitasjonen – i motsetning til svaret. Når den registrerte svarer på Questen, blir de opplastede invitasjonsdataene kopiert til svartabellen, og data som er flagget som personlig vil selvfølgelig bli slettet fra den tabellen. Dataene vil imidlertid forbli i systemet vårt som en del av invitasjonen. Dette gjelder også for registrerte som ikke svarer på Questen.

For å imøtekomme dette vil vi introdusere en egen «bevaringsperiode for invitasjoner» i GDPR-innstillinger, der behandlingsansvarlig kan definere hvor lenge dataene som er lastet opp skal forbli i systemet vårt før de slettes. I tillegg vil vi også introdusere en knapp for å slette invitasjonsdataene som er lastet opp før du aktiverer GDPR på Questen.

Etikett	Obligatorisk	Eksempel på medarbeiderengasjement
Selskapets navn	ja	Questback AS
Kontaktdetaljer Addresse Telefon E-post	ja	Bogstadveien 54, Oslo
Behandlingsansvarligs representant (hvis aktuelt)	nei	Kanzlei Vollpfeifen & Partner ADDRESSE
Formålet med hver operasjon som det søkes om samtykke for	ja	Formålet med behandlingen av personopplysninger for den definerte brukssaken er å overholde virksomhetens regelverk om kontinuerlig dialog med ansatte om deres arbeidsmiljø, arbeidsglede, karrieremuligheter og andre elementer som er relevante for deres stilling i virksomheten. Selskapet vil bruke personopplysningene for å vurdere trender i medarbeidertilfredshet over år, for å peke ut områder hvor det er behov for tiltak for økt medarbeidertilfredshet, eller for å dempe negativt arbeidsmiljø.
Hvilke personopplysninger som samles inn og brukes	nei	Navn, e-post, IP adresse
Hvilke spesielle kategorier av personopplysninger som skal samles inn og brukes	nei	sexual orientation, health information, trade union membership
Bevaringsperiode	ja	tre måneder
Kriterier som brukes for å bestemme behandlingsperiode (hvis ingen bevaringsperiode er definert)	ja hvis ubegrenset bevaringsperiode	etter 250 gjennomførte undersøkelser
Rettslig grunnlag for behandling	nei	samtykke
Berettiget interesse for behandlingsansvarlig eller tredjepart (hvis aktuelt)	nei	evaluere og vurdere kundetilfredshet, forbedre arbeidsplassens kultur og atmosfære
Mottakere eller kategorier av mottakere av personopplysningene	nei	HR, øverste ledelse
Overføring av data til et ikke-EU/EEC-land eller internasjonal organisasjon, og sikkerhetstiltak	nei	overføring til USA basert på EUs standardklausuler
Lovfestet eller kontraktsmessig krav (hvis aktuelt)		ingen
Automatisert beslutningstaking	nei	ingen
Informasjon om registrerte rettigheter	nei	tekst
Informasjon om rett til å trekke tilbake samtykke	nei	tekst
Informasjon om tilsynsmyndighet	nei	tekst
Navn og kontaktinformasjon til personvernombudet (hvis aktuelt)http://https://www.youtube.com/watch?time_continue=1&v=6-KPRFK6N4g&feature=emb_title	nei	Dr. Kinast und Partner ADRESSE