1. Přehled GDPR
Obecné nařízení o ochraně osobních údajů (GDPR) je komplexní zákon o ochraně dat, který vstoupil v platnost 25. května 2018 v celé Evropské unii a Evropském hospodářském prostoru. Stanoví přísné požadavky na to, jak organizace sbírají, zpracovávají, ukládají a chrání osobní údaje rezidentů EU.
Co jsou osobní údaje?
Podle GDPR jsou osobní údaje jakékoliv informace vztahující se k identifikované nebo identifikovatelné fyzické osobě. To zahrnuje:
- Základní identita: Jméno, adresa, e-mailová adresa, telefonní číslo
- Pracovní informace: ID zaměstnance, pracovní pozice, oddělení, plat
- Technická data: IP adresy, ID zařízení, otisky prohlížeče
- Data o poloze: Geografická poloha z chytrých zámků
- Biometrická data: Otisky prstů používané pro autentizaci chytrého zámku
- Behaviorální data: Pracovní hodiny, vzorce docházky, záznamy o čase
Klíčové zásady GDPR
WorkTime One dodržuje všech sedm zásad GDPR:
1. Zákonnost, korektnost a transparentnost
Data zpracována zákonně, korektně a transparentně s jasnými oznámeními o ochraně soukromí
2. Omezení účelu
Data sbírána pouze pro konkrétní, legitimní účely
3. Minimalizace dat
Sbírejte pouze data nezbytná pro uvedený účel
4. Přesnost
Udržujte osobní údaje přesné a aktuální
5. Omezení uchovávání
Uchovávejte data pouze po nezbytně nutnou dobu
6. Integrita a důvěrnost
Chraňte data vhodnými bezpečnostními opatřeními
7. Odpovědnost
Prokazujte soulad prostřednictvím dokumentace a zásad
2. Naše role podle GDPR
Správce údajů vs. zpracovatel údajů
WorkTime One působí v různých funkcích v závislosti na kontextu:
WorkTime One jako správce údajů
Pro údaje účtu vaší organizace (název společnosti, platební informace, uživatelé-správci) jsme správce údajů. My určujeme, jak a proč jsou tato data zpracovávána.
Příklady: registrace účtu, fakturace, zákaznická podpora, komunikace o službách
WorkTime One jako zpracovatel údajů
Pro údaje o sledování času zaměstnanců, která nahráváte a spravujete, jsme zpracovatel údajů. Vy (zákazník) jste správce údajů a určujete účely a prostředky zpracování.
Příklady: jména zaměstnanců, pracovní hodiny, záznamy docházky, biometrická data, data o poloze
Vaše odpovědnosti jako správce údajů
Při používání WorkTime One ke sledování času zaměstnanců jste správce údajů a jste zodpovědní za:
- Získání právního základu pro zpracování údajů zaměstnanců (např. souhlas, smlouva, oprávněný zájem)
- Poskytnutí zaměstnancům oznámení o ochraně soukromí vysvětlujících sběr a použití dat
- Získání výslovného souhlasu pro sběr biometrických dat (otisky prstů)
- Odpověď na žádosti zaměstnanců o práva subjektů údajů
- Implementace vhodných technických a organizačních opatření
- Dodržování místních pracovněprávních předpisů a předpisů o monitorování zaměstnanců
- Provádění posouzení dopadu na ochranu osobních údajů (DPIA) tam, kde je to vyžadováno
3. Právní základ pro zpracování
GDPR vyžaduje právní základ pro zpracování osobních údajů. WorkTime One se opírá o následující právní základy:
Smlouva (Článek 6(1)(b))
Zpracování nezbytné k poskytování našich služeb podle našich Podmínek služby. To se vztahuje na správu účtu, fakturaci a základní funkčnost služeb.
Oprávněný zájem (Článek 6(1)(f))
Zpracování pro bezpečnost, prevenci podvodů a zlepšování služeb. Vyvažujeme naše zájmy s vašimi právy a svobodami.
Souhlas (Článek 6(1)(a))
Marketingová komunikace a volitelné funkce vyžadují váš výslovný souhlas. Svůj souhlas můžete kdykoli odvolat.
Právní povinnost (Článek 6(1)(c))
Zpracování vyžadované zákonem, jako jsou daňové záznamy, finanční compliance a odpovědi na právní žádosti.
Údaje zvláštní kategorie (Biometrie)
Biometrická data (otisky prstů) jsou považována za údaje "zvláštní kategorie" podle článku 9 GDPR a vyžadují dodatečnou ochranu. Zpracování je zákonné podle:
- Výslovný souhlas (Článek 9(2)(a)): Musíte získat výslovný, informovaný souhlas od zaměstnanců pro sběr otisků prstů
- Kontext zaměstnání (Článek 9(2)(b)): Zpracování může být nezbytné pro povinnosti v oblasti zaměstnání podle vnitrostátního práva
- Bezpečnostní opatření: Biometrická data jsou hashována, šifrována a uložena odděleně od ostatních osobních údajů
- Právo odvolat: Zaměstnanci mohou souhlas odvolat a požádat o smazání biometrických dat kdykoli
4. Vaše práva subjektu údajů
Podle GDPR máte komplexní práva týkající se vašich osobních údajů:
Právo na přístup (Článek 15)
Máte právo získat potvrzení, zda zpracováváme vaše osobní údaje, a získat přístup k těmto údajům.
Jak uplatnit:
- Přihlaste se ke svému účtu a přejděte do Nastavení → Export dat
- Exportujte svá data ve formátu CSV, JSON nebo Excel
- Pošlete e-mail na [email protected] pro komplexní žádosti o přístup k datům
- Odpovíme do 30 dnů (zdarma)
Právo na opravu (Článek 16)
Máte právo na opravu nepřesných osobních údajů nebo jejich doplnění.
Jak uplatnit:
- Aktualizujte informace o účtu přímo v Nastavení
- Správci mohou aktualizovat informace o zaměstnancích v sekci Správa zaměstnanců
- Pro opravy vyžadující naši pomoc kontaktujte [email protected]
- Nepřesnosti opravíme do 30 dnů
Právo na výmaz / Právo být zapomenut (Článek 17)
Máte právo požádat o smazání svých osobních údajů za určitých okolností.
Jak uplatnit:
- Zavřete svůj účet přes Nastavení → Účet → Smazat účet
- Zaměstnanci mohou požádat o smazání kontaktováním svého zaměstnavatele (správce údajů)
- Pošlete e-mail na [email protected] pro žádosti o smazání
- Data smazána do 30 dnů (kromě zákonných požadavků na uchovávání)
- Zálohy vyčištěny do 90 dnů
Poznámka: Můžeme uchovávat určitá data tam, kde to vyžaduje zákon (např. daňové záznamy po dobu 7 let)
Právo na omezení zpracování (Článek 18)
Můžete požádat, abychom omezili způsob zpracování vašich dat v určitých situacích.
Kdy k dispozici:
- Napadáte přesnost dat (během ověřování)
- Zpracování je protiprávní, ale nechcete výmaz
- Data již nepotřebujeme, ale vy je potřebujete pro právní nároky
- Vznesli jste námitku proti zpracování (čeká se na ověření oprávněných důvodů)
Právo na přenositelnost údajů (Článek 20)
Máte právo získat své osobní údaje ve strukturovaném, strojově čitelném formátu a předat je jinému správci.
Podporované formáty:
- CSV (hodnoty oddělené čárkami)
- JSON (JavaScript Object Notation)
- Excel (.xlsx)
- Přímý API přenos do jiné služby (kontaktujte nás pro pomoc)
Právo vznést námitku (Článek 21)
Máte právo vznést námitku proti zpracování na základě oprávněných zájmů nebo pro přímý marketing.
Jak uplatnit:
- Námitka proti marketingu: odkaz pro odhlášení v e-mailech nebo Nastavení → Oznámení
- Námitka proti profilování: kontaktujte [email protected]
- Námitka proti zpracování na základě oprávněného zájmu: přestaneme, pokud neprokážeme převažující oprávněné důvody
Práva související s automatizovaným rozhodováním (Článek 22)
Máte právo nebýt předmětem rozhodnutí založeného výhradně na automatizovaném zpracování, které má významné účinky na vás.
Pozice WorkTime One: Nepřijímáme automatizovaná rozhodnutí, která mají právní účinky nebo podobně významně ovlivňují vás. Výpočty mezd a hodnocení pokut jsou založeny na transparentních pravidlech, která definujete vy (zaměstnavatel), a mohou být ručně přezkoumány a upraveny.
5. Opatření na ochranu dat
Implementujeme komplexní technická a organizační opatření k zajištění odpovídající bezpečnosti:
Technická opatření
- Šifrování: AES-256 šifrování pro data v klidu, TLS 1.3 pro data v přenosu
- Pseudonymizace: Kde je to možné, pseudonymizujeme data ke snížení rizik soukromí
- Řízení přístupu: Řízení přístupu na základě rolí (RBAC) s principem nejmenších privilegií
- Dvoufaktorová autentizace: Povinná 2FA dostupná pro všechny uživatele
- Automatizované zálohy: Pravidelné šifrované zálohy s geografickou redundancí
- Detekce narušení: Nepřetržité monitorování bezpečnostních hrozeb 24/7
- Správa zranitelností: Pravidelné bezpečnostní testování a správa záplat
Organizační opatření
- Zásady ochrany dat: Komplexní interní zásady a postupy
- Školení zaměstnanců: Pravidelné školení o ochraně soukromí a bezpečnosti pro všechny zaměstnance
- Smlouvy o důvěrnosti: Všichni zaměstnanci podepisují NDA a smlouvy o důvěrnosti
- Kontroly přístupu: Čtvrtletní kontroly přístupových oprávnění zaměstnanců
- Plán reakce na incidenty: Zdokumentované postupy pro reakci na porušení dat
- Posouzení dopadu na ochranu údajů: DPIA prováděna pro vysoce rizikové zpracování
- Správa dodavatelů: Pečlivá kontrola všech dílčích zpracovatelů
Ochrana soukromí již od návrhu a jako výchozí nastavení
- Úvahy o ochraně soukromí integrované do vývoje produktu od začátku
- Výchozí nastavení upřednostňují ochranu soukromí
- Minimalizace dat vestavěná do návrhu systému
- Pravidelné kontroly soukromí během celého životního cyklu produktu
6. Mezinárodní přenosy dat
WorkTime One může přenášet vaše osobní údaje mimo Evropský hospodářský prostor (EHP). Zajišťujeme, aby byly zavedeny vhodné záruky:
Místa ukládání dat
- Primární úložiště: datová centra EU (Německo, Belgie, Nizozemsko) prostřednictvím Google Cloud Platform
- Zálohy: replikováno napříč několika regiony EU
- Možnost pouze pro EU: podnikoví zákazníci mohou požádat o ukládání dat pouze v EU
Mechanismy přenosu
Standardní smluvní doložky (SCC)
Používáme EU schválené standardní smluvní doložky (SCC) pro přenosy dat do zemí bez rozhodnutí o přiměřenosti. Naše SCC zahrnují požadavky z rozsudku Schrems II.
Rozhodnutí o přiměřenosti
Kde je to možné, přenášíme data do zemí s rozhodnutím EU o přiměřenosti (např. Velká Británie, Švýcarsko, Kanada za určitých podmínek).
Doplňková opatření
Implementujeme doplňková technická opatření (šifrování, pseudonymizace) k ochraně dat přenášených mimo EU.
Dílčí zpracovatelé
Používáme následující dílčí zpracovatele, kteří mohou zpracovávat osobní údaje EU:
| Dílčí zpracovatel |
Účel |
Umístění |
Záruky |
| Google Cloud Platform |
Hosting, Databáze |
EU (primární) |
SCC, ISO 27001 |
| Firebase (Google) |
Autentizace, Databáze |
EU (primární) |
SCC, ISO 27001 |
| SendGrid |
Doručování e-mailů |
USA |
SCC, PCI DSS |
| TTLock API |
Integrace chytrých zámků |
Čína |
SCC, Šifrování |
7. Smlouva o zpracování údajů (DPA)
Jak vyžaduje článek 28 GDPR, poskytujeme Smlouvu o zpracování údajů všem zákazníkům, kteří používají WorkTime One ke zpracování údajů zaměstnanců.
Co je DPA?
Smlouva o zpracování údajů (DPA) je právně závazná smlouva mezi správcem údajů (vy) a zpracovatelem údajů (my), která upravuje způsob zpracování osobních údajů. Zajišťuje, že dodržujeme GDPR při zpracování vašich dat.
Naše DPA zahrnuje
- Předmět a doba trvání: Sledování času a správa docházky po dobu vašeho předplatného
- Povaha a účel: Zpracování údajů o sledování času zaměstnanců k poskytování našich služeb
- Typy osobních údajů: Jména, ID zaměstnanců, pracovní hodiny, biometrická data, data o poloze
- Kategorie subjektů údajů: Vaši zaměstnanci a dodavatelé
- Vaše povinnosti: Vaše odpovědnosti jako správce údajů
- Naše povinnosti: Naše odpovědnosti jako zpracovatele údajů
- Bezpečnostní opatření: Technická a organizační opatření, která implementujeme
- Dílčí zpracování: Seznam autorizovaných dílčích zpracovatelů
- Práva subjektů údajů: Naše pomoc s žádostmi subjektů údajů
- Audity a inspekce: Vaše právo auditovat naši shodu
- Oznámení o porušení dat: Naše povinnost vás informovat o porušeních
- Mezinárodní přenosy: SCC a mechanismy přenosu
- Výmaz a vrácení: Nakládání s daty po ukončení smlouvy
Jak získat přístup: Naše standardní DPA je začleněna do našich Podmínek služby. Podnikoví zákazníci si mohou vyžádat vlastní DPA kontaktováním [email protected]
8. Oznámení o porušení dat
Podle článků 33 a 34 GDPR máme přísné povinnosti týkající se oznámení o porušení dat:
Naše povinnosti
- Oznámení dozorčímu úřadu: Informujeme příslušný dozorčí úřad do 72 hodin od okamžiku, kdy se dozvíme o porušení týkajícím se rezidentů EU
- Oznámení zákazníkům: Informujeme postižené zákazníky (správce údajů) bez zbytečného odkladu, obvykle do 24-48 hodin
- Oznámení subjektům údajů: Pokud porušení představuje vysoké riziko pro jednotlivce, pomůžeme vám informovat postižené osoby
- Dokumentace porušení: Vedeme záznamy o všech porušeních, včetně faktů, účinků a nápravných opatření
Co vám řekneme
- Povahu porušení (co se stalo)
- Kategorie a přibližný počet postižených osob a záznamů
- Potenciální důsledky porušení
- Opatření, která jsme přijali nebo navrhujeme přijmout k řešení porušení
- Opatření ke zmírnění potenciálních nepříznivých účinků
- Kontaktní informace pro další dotazy
Vaše povinnosti jako správce údajů
Pokud vás informujeme o porušení týkajícím se údajů vašich zaměstnanců, možná budete muset:
- Posoudit, zda porušení představuje vysoké riziko pro vaše zaměstnance
- Informovat váš národní dozorčí úřad (pokud je to vyžadováno)
- Informovat postižené zaměstnance (pokud porušení představuje vysoké riziko pro jejich práva a svobody)
- Zdokumentovat vaši reakci na porušení a rozhodnutí
9. Pověřenec pro ochranu osobních údajů (DPO)
Podle článku 37 GDPR jsme jmenovali pověřence pro ochranu osobních údajů k dohledu nad naší strategií ochrany dat a zajištění compliance.
Odpovědnosti DPO
- Monitorování souladu s GDPR a dalšími zákony o ochraně dat
- Poradenství při posouzení dopadu na ochranu údajů (DPIA)
- Spolupráce s dozorčími úřady
- Působení jako kontaktní bod pro subjekty údajů a dozorčí úřady
- Školení zaměstnanců o povinnostech týkajících se ochrany dat
- Provádění interních auditů a hodnocení
Kontaktujte našeho DPO
Našeho pověřence pro ochranu osobních údajů můžete přímo kontaktovat s jakýmikoli dotazy nebo obavami souvisejícími s GDPR:
E-mail: [email protected]
Pošta: Pověřenec pro ochranu osobních údajů, WorkTime One, Inc.
Doba odezvy: Na dotazy DPO odpovíme do 5 pracovních dnů
10. Práva zaměstnanců na soukromí
Zvláštní úvahy se uplatňují při zpracování údajů zaměstnanců prostřednictvím WorkTime One:
Povinnosti zaměstnavatele
Důležité: Jako zaměstnavatel (správce údajů) máte vůči svým zaměstnancům právní povinnosti týkající se jejich soukromí.
- Transparentnost: Informujte zaměstnance o sledování času, shromažďovaných datech a způsobu jejich použití
- Právní základ: Ujistěte se, že máte právní základ (obvykle smlouva nebo oprávněný zájem) pro sledování času
- Souhlas s biometrií: Získejte výslovný souhlas před sběrem otisků prstů nebo jiných biometrických dat
- Minimalizace dat: Sledujte pouze data nezbytná pro legitimní obchodní účely
- Práva zaměstnanců: Usnadněte žádosti zaměstnanců o práva subjektů údajů (přístup, výmaz atd.)
- Konzultace s radou zaměstnanců: V některých zemích EU konzultujte s radami zaměstnanců před zavedením monitorování zaměstnanců
- Národní zákony: Dodržujte národní pracovněprávní předpisy a předpisy o monitorování zaměstnanců
Šablona oznámení o ochraně soukromí zaměstnanců
Poskytujeme šablonu oznámení o ochraně soukromí zaměstnanců, kterou můžete přizpůsobit pro vaši organizaci. To vám pomůže dodržovat požadavky transparentnosti GDPR.
Stáhnout: Požádejte o naši šablonu oznámení o ochraně soukromí zaměstnanců na [email protected]
11. Stížnosti k dozorčímu úřadu
Podle článku 77 GDPR máte právo podat stížnost k dozorčímu úřadu, pokud se domníváte, že jsme porušili vaše práva na ochranu dat.
Jak podat stížnost
Stížnost můžete podat k dozorčímu úřadu v:
- Členský stát EU vašeho obvyklého bydliště
- Členský stát EU vašeho místa výkonu práce
- Členský stát EU, kde došlo k domnělému porušení
Dozorčí úřady EU
Najděte svůj místní úřad pro ochranu údajů:
Seznam pro celou EU: Evropský sbor pro ochranu osobních údajů
Irsko (naše zřízení v EU): Komise pro ochranu údajů (DPC)
E-mail: [email protected]
Web: www.dataprotection.ie
Nejprve nás kontaktujte
Doporučujeme vám, abyste nás nejprve kontaktovali, pokud máte obavy ohledně našeho zpracování dat. Jsme odhodláni řešit problémy přímo a budeme s vámi spolupracovat na vyřešení vašich obav.
Zdroje GDPR
Zjistěte více o svých právech na ochranu dat a naší shodě