GDPR сәйкестігі

1. GDPR дегеніміз не?

Жалпы деректерді қорғау ережесі (GDPR) - бұл 2018 жылдың 25 мамырында күшіне енген ЕО құпиялылығы мен деректерді қорғау туралы заң.

What is Personal Data?

Under GDPR, personal data is any information relating to an identified or identifiable natural person. This includes:

Basic Identity: Name, address, email address, phone number
Work Information: Employee ID, job title, department, salary
Technical Data: IP addresses, device IDs, browser fingerprints
Location Data: Geographic location from smart locks
Biometric Data: Fingerprints used for smart lock authentication
Behavioral Data: Work hours, attendance patterns, time tracking records

Key GDPR Principles

WorkTime One adheres to all seven GDPR principles:

1. Lawfulness, Fairness & Transparency

Data processed lawfully, fairly, and transparently with clear privacy notices

2. Purpose Limitation

Data collected only for specified, legitimate purposes

3. Data Minimization

Only collect data necessary for the stated purpose

4. Accuracy

Keep personal data accurate and up-to-date

5. Storage Limitation

Retain data only as long as necessary

6. Integrity & Confidentiality

Protect data with appropriate security measures

7. Accountability

Demonstrate compliance through documentation and policies

2. Сіздің құқықтарыңыз

Data Controller vs. Data Processor

GDPR бойынша сізде келесі құқықтар бар:

WorkTime One as Data Controller

For your organization's account data (company name, billing information, admin users), we are the data controller. We determine how and why this data is processed.

Examples: Account registration, billing, customer support, service communications

WorkTime One as Data Processor

For employee time tracking data that you upload and manage, we are the data processor. You (the customer) are the data controller and determine the purposes and means of processing.

Examples: Employee names, work hours, attendance records, biometric data, location data

Your Responsibilities as Data Controller

When using WorkTime One to track employee time, you are the data controller and are responsible for:

Obtaining lawful basis for processing employee data (e.g., consent, contract, legitimate interest)
Providing employees with privacy notices explaining data collection and use
Obtaining explicit consent for biometric data collection (fingerprints)
Responding to employee data subject rights requests
Implementing appropriate technical and organizational measures
Complying with local labor laws and employee monitoring regulations
Conducting Data Protection Impact Assessments (DPIAs) where required

3. Біз қалай сәйкестікті қамтамасыз етеміз

WorkTime One GDPR сәйкестігін қамтамасыз ету үшін бірнеше шаралар қолданады:

Contract (Article 6(1)(b))

Processing necessary to provide our services under our Terms of Service. This applies to account management, billing, and core service functionality.

Legitimate Interest (Article 6(1)(f))

Processing for security, fraud prevention, and service improvement. We balance our interests against your rights and freedoms.

Consent (Article 6(1)(a))

Marketing communications and optional features require your explicit consent. You can withdraw consent at any time.

Legal Obligation (Article 6(1)(c))

Processing required by law, such as tax records, financial compliance, and responding to legal requests.

Special Category Data (Biometrics)

Biometric data (fingerprints) is considered "special category" data under GDPR Article 9 and requires additional protection. Processing is lawful under:

Explicit Consent (Article 9(2)(a)): You must obtain explicit, informed consent from employees for fingerprint collection
Employment Context (Article 9(2)(b)): Processing may be necessary for employment obligations under national law
Security Measures: Biometric data is hashed, encrypted, and stored separately from other personal data
Right to Withdraw: Employees can withdraw consent and request deletion of biometric data at any time

4. Сіздің деректер субъектісінің құқықтары

GDPR бойынша сізде жеке деректеріңізге қатысты толық құқықтар бар:

Қол жеткізу құқығы (15-бап)

Сіз біз жеке деректеріңізді өңдейтінімізді растау және бұл деректерге қол жеткізу құқығына иесіз.

Қалай пайдалану:

Аккаунтыңызға кіріп, Параметрлер → Деректерді экспорттау бөліміне өтіңіз
Деректеріңізді CSV, JSON немесе Excel форматында экспорттаңыз
Толық деректерге қол жеткізу сұраулары үшін [email protected] мекенжайына хабарласыңыз
Біз 30 күн ішінде жауап береміз (тегін)

Түзету құқығы (16-бап)

Сіз дұрыс емес жеке деректерді түзетуді немесе толықтыруды сұрау құқығына иесіз.

Қалай пайдалану:

Аккаунт ақпаратыңызды тікелей Параметрлер бөлімінде жаңартыңыз
Әкімшілер қызметкер ақпаратын Қызметкерлерді басқару бөлімінде жаңарта алады
Біздің көмегімізді қажет ететін түзетулер үшін [email protected] мекенжайына хабарласыңыз
We will correct inaccuracies within 30 days

Жою құқығы / Ұмытылу құқығы (17-бап)

Сіз белгілі бір жағдайларда жеке деректеріңізді жоюды сұрау құқығына иесіз.

Қалай пайдалану:

Аккаунтыңызды Параметрлер → Аккаунт → Аккаунтты жою арқылы жабыңыз
Қызметкерлер жұмыс берушіге (деректер контроллеріне) хабарласу арқылы жоюды сұрай алады
Жою сұраулары үшін [email protected] мекенжайына хабарласыңыз
Data deleted within 30 days (excluding legal retention requirements)
Backups purged within 90 days

Ескерту: Біз заңмен талап етілетін кейбір деректерді сақтай аламыз (мысалы, салық жазбаларын 7 жыл)

Right to Restriction of Processing (Article 18)

You can request that we limit how we process your data in certain situations.

When Available:

You contest the accuracy of the data (during verification)
Processing is unlawful but you don't want deletion
We no longer need the data but you need it for legal claims
You've objected to processing (pending verification of legitimate grounds)

Деректерді тасымалдау құқығы (20-бап)

Сіз жеке деректеріңізді құрылымдық, машина оқылатын форматта алу және басқа контроллерге тасымалдау құқығына иесіз.

Қолдау көрсетілетін форматтар:

CSV (Үтірмен бөлінген мәндер)
JSON (JavaScript Object Notation)
Excel (.xlsx)
Direct API transfer to another service (contact us for assistance)

Қарсылық білдіру құқығы (21-бап)

Сіз заңды мүдделерге негізделген өңдеуге немесе тікелей маркетингке қарсылық білдіру құқығына иесіз.

How to Exercise:

Object to marketing: Unsubscribe link in emails or Settings → Notifications
Object to profiling: Contact [email protected]
Object to legitimate interest processing: We will cease unless we demonstrate compelling legitimate grounds

Rights Related to Automated Decision-Making (Article 22)

You have the right not to be subject to decisions based solely on automated processing that significantly affects you.

WorkTime One Position: We do not make automated decisions that produce legal effects or similarly significantly affect you. Payroll calculations and penalty assessments are based on transparent rules defined by you (the employer) and can be manually reviewed and adjusted.

5. Деректерді қорғау шаралары

Біз тиісті қауіпсіздікті қамтамасыз ету үшін толық техникалық және ұйымдастырушылық шараларды енгіземіз:

Техникалық шаралар

Шифрлау: Тыныштықтағы деректер үшін AES-256, тасымалдаудағы деректер үшін TLS 1.3
Псевдонимдеу: Мүмкіндігінше құпиялылық тәуекелдерін азайту үшін деректерді псевдонимдейміз
Қол жеткізуді бақылау: Ең аз артықшылық принципімен рөлге негізделген қол жеткізуді бақылау (RBAC)
Екі факторлы аутентификация: Барлық пайдаланушылар үшін міндетті 2FA қол жетімді
Автоматтандырылған сақтық көшірмелер: Географиялық резервтеумен тұрақты шифрланған сақтық көшірмелер
Intrusion Detection: 24/7 monitoring for security threats
Vulnerability Management: Regular security testing and patch management

Ұйымдастырушылық шаралар

Деректерді қорғау саясаттары: Толық ішкі саясаттар мен процедуралар
Қызметкерлерді оқыту: Барлық персонал үшін тұрақты құпиялылық және қауіпсіздік оқытуы
Құпиялылық келісімдері: Барлық қызметкерлер NDA және құпиялылық келісімдеріне қол қояды
Қол жеткізуді қарау: Қызметкерлердің қол жеткізу рұқсаттарын тоқсан сайынғы қарау
Incident Response Plan: Documented procedures for data breach response
Data Protection Impact Assessments: DPIAs conducted for high-risk processing
Vendor Management: Due diligence on all sub-processors

Privacy by Design and Default

Privacy considerations integrated into product development from the start
Default settings prioritize privacy protection
Data minimization built into system design
Regular privacy reviews throughout product lifecycle

6. Халықаралық деректер тасымалдаулары

WorkTime One сіздің жеке деректеріңізді Еуропалық экономикалық аймақтан (EEA) тыс жерлерге тасымалдауы мүмкін. Біз тиісті қорғаныс шараларын қамтамасыз етеміз:

Деректерді сақтау орындары

Негізгі сақтау: Google Cloud Platform арқылы ЕО-дағы деректер орталықтары (Германия, Бельгия, Нидерланды)
Сақтық көшірмелер: Бірнеше ЕО аймақтарында көшірілген
Option for EU-only Storage: Enterprise customers can request EU-only data residency

Тасымалдау механизмдері

Стандартты шарттық тармақтар (SCC)

Біз жеткіліктілік шешімдері жоқ елдерге деректер тасымалдауы үшін ЕО мақұлдаған стандартты шарттық тармақтарды (SCC) пайдаланамыз.

Жеткіліктілік шешімдері

Мүмкіндігінше біз ЕО жеткіліктілік шешімдері бар елдерге деректерді тасымалдаймыз.

Supplementary Measures

We implement supplementary technical measures (encryption, pseudonymization) to protect data transferred outside the EU.

Sub-Processors

We use the following sub-processors who may process EU personal data:

Sub-Processor	Purpose	Location	Safeguards
Google Cloud Platform	Hosting, Database	EU (primary)	SCCs, ISO 27001
Firebase (Google)	Authentication, Database	EU (primary)	SCCs, ISO 27001
SendGrid	Email Delivery	USA	SCCs, PCI DSS
TTLock API	Smart Lock Integration	China	SCCs, Encryption

7. Деректерді өңдеу келісімі (DPA)

GDPR 28-бабына сәйкес талап етілгендей, біз қызметкер деректерін өңдеу үшін WorkTime One пайдаланатын барлық клиенттерге Деректерді өңдеу келісімін ұсынамыз.

DPA дегеніміз не?

Деректерді өңдеу келісімі (DPA) - деректер контроллері (сіз) мен деректер процессоры (біз) арасындағы жеке деректердің қалай өңделетінін реттейтін заңды міндетті келісім-шарт.

Біздің DPA қамтиды

Тақырып пен ұзақтығы: Жазылым ұзақтығы бойы уақытты бақылау және келуді басқару
Табиғаты мен мақсаты: Қызметтерімізді көрсету үшін қызметкерлердің уақытты бақылау деректерін өңдеу
Жеке деректер түрлері: Аттар, қызметкер ID-лері, жұмыс сағаттары, биометриялық деректер
Деректер субъектілерінің санаттары: Сіздің қызметкерлеріңіз бен мердігерлеріңіз
Your Obligations: Your responsibilities as data controller
Our Obligations: Our responsibilities as data processor
Security Measures: Technical and organizational measures we implement
Sub-Processing: List of authorized sub-processors
Data Subject Rights: Our assistance with data subject requests
Audits and Inspections: Your right to audit our compliance
Data Breach Notification: Our obligation to notify you of breaches
International Transfers: SCCs and transfer mechanisms
Deletion and Return: Data handling upon contract termination

Қалай қол жеткізу: Біздің стандартты DPA Қызмет көрсету шарттарына қосылған. Кәсіпорын клиенттері [email protected] мекенжайына хабарласу арқылы теңшелген DPA сұрай алады

8. Деректер бұзушылығы туралы хабарлау

GDPR 33 және 34-баптары бойынша бізде деректер бұзушылығы туралы хабарлауға қатысты қатаң міндеттемелер бар:

Біздің міндеттемелеріміз

Бақылаушы органға хабарлау: Біз ЕО резиденттеріне әсер ететін бұзушылық туралы білгеннен кейін 72 сағат ішінде тиісті бақылаушы органға хабарлаймыз
Клиентке хабарлау: Біз зардап шеккен клиенттерге (деректер контроллерлеріне) кідіріссіз, әдетте 24-48 сағат ішінде хабарлаймыз
Деректер субъектісіне хабарлау: Егер бұзушылық жеке тұлғаларға жоғары қауіп төндірсе, біз зардап шеккен адамдарға хабарлауға көмектесеміз
Breach Documentation: We maintain records of all breaches, including facts, effects, and remedial actions

Біз сізге не айтамыз

Бұзушылықтың сипаты (не болды)
Зардап шеккен жеке тұлғалар мен жазбалардың санаттары және шамамен саны
Бұзушылықтың ықтимал салдары
Бұзушылықты шешу үшін қабылдаған немесе ұсынатын шаралар
Measures to mitigate potential adverse effects
Contact information for further inquiries

Your Obligations as Data Controller

If we notify you of a breach affecting your employees' data, you may need to:

Assess whether the breach poses high risk to your employees
Notify your national supervisory authority (if required)
Notify affected employees (if the breach poses high risk to their rights and freedoms)
Document your breach response and decisions

9. Деректерді қорғау жөніндегі офицер (DPO)

GDPR 37-бабына сәйкес біз деректерді қорғау стратегиямызды қадағалау және сәйкестікті қамтамасыз ету үшін Деректерді қорғау жөніндегі офицер тағайындадық.

DPO жауапкершіліктері

GDPR және басқа деректерді қорғау заңдарына сәйкестікті бақылау
Деректерді қорғауға әсерін бағалау (DPIA) бойынша кеңес беру
Бақылаушы органдармен ынтымақтастық
Деректер субъектілері мен бақылаушы органдар үшін байланыс нүктесі ретінде әрекет ету
Training staff on data protection obligations
Conducting internal audits and assessments

Біздің DPO-мен байланысу

GDPR-ға қатысты кез келген сұрақтар немесе алаңдаушылықтар бойынша Деректерді қорғау жөніндегі офицерімізге тікелей хабарласа аласыз:

Email: [email protected]

Mail: Data Protection Officer, WorkTime One, Inc.

Жауап беру уақыты: DPO сұрауларына 5 жұмыс күні ішінде жауап береміз

10. Қызметкерлердің құпиялылық құқықтары

WorkTime One арқылы қызметкер деректерін өңдеу кезінде арнайы ойлар қолданылады:

Жұмыс берушінің міндеттемелері

Маңызды: Жұмыс беруші (деректер контроллері) ретінде сізде қызметкерлеріңізге олардың құпиялылығына қатысты заңды міндеттемелер бар.

Мөлдірлік: Қызметкерлерге уақытты бақылау, жиналатын деректер және олардың қалай пайдаланылатыны туралы хабарлаңыз
Заңды негіз: Уақытты бақылау үшін заңды негізіңіз бар екеніне көз жеткізіңіз (әдетте келісім-шарт немесе заңды мүдде)
Биометриялық келісім: Саусақ іздерін немесе басқа биометриялық деректерді жинамас бұрын нақты келісім алыңыз
Деректерді минимизациялау: Тек заңды бизнес мақсаттары үшін қажетті деректерді бақылаңыз
Employee Rights: Facilitate employee data subject rights requests (access, deletion, etc.)
Works Council Consultation: In some EU countries, consult with works councils before implementing employee monitoring
National Laws: Comply with national labor laws and employee monitoring regulations

Employee Privacy Notice Template

We provide a template employee privacy notice that you can customize for your organization. This helps you comply with GDPR transparency requirements.

Download: Request our Employee Privacy Notice template at [email protected]

11. Бақылаушы органға шағым беру

GDPR 77-бабына сәйкес, біз сіздің деректерді қорғау құқықтарыңызды бұздық деп санасаңыз, бақылаушы органға шағым беруге құқығыңыз бар.

Шағымды қалай беру керек

Сіз келесі жерлердегі бақылаушы органға шағым бере аласыз:

Сіздің тұрақты тұратын ЕО мүше мемлекеті
Сіздің жұмыс орныңыз орналасқан ЕО мүше мемлекеті
Болжамды бұзушылық орын алған ЕО мүше мемлекеті

EU Supervisory Authorities

Find your local data protection authority:

EU-Wide List: European Data Protection Board

Ireland (our EU establishment): Data Protection Commission (DPC)

Email: [email protected]

Website: www.dataprotection.ie

Алдымен бізбен байланысыңыз

Біздің деректерді өңдеу туралы алаңдаушылықтарыңыз болса, алдымен бізбен байланысуға шақырамыз. Біз мәселелерді тікелей шешуге бел будық және алаңдаушылықтарыңызды шешу үшін сізбен бірге жұмыс істейміз.

12. Байланыс ақпараты

GDPR-ға қатысты сұрақтар, деректер субъектісінің құқықтары сұраулары немесе басқа құпиялылық мәселелері бойынша:

GDPR сұраулары: [email protected]

Деректерді қорғау жөніндегі офицер: [email protected]

Құпиялылық тобы: [email protected]

Жалпы қолдау: [email protected]

EU Representative: [email protected]

Жауап беру уақыты: Біз GDPR сұрауларына 30 күн ішінде жауап береміз (заңмен талап етілгендей)

Our EU Establishment

For EU-specific matters, you can contact our EU representative:

EU Representative: WorkTime One Europe Ltd.

Email: [email protected]

Jurisdiction: Ireland (Lead Supervisory Authority: Irish DPC)

Мазмұны

1. GDPR дегеніміз не?

What is Personal Data?

Key GDPR Principles

1. Lawfulness, Fairness & Transparency

2. Purpose Limitation

3. Data Minimization

4. Accuracy

5. Storage Limitation

6. Integrity & Confidentiality

7. Accountability

2. Сіздің құқықтарыңыз

Data Controller vs. Data Processor

WorkTime One as Data Controller

WorkTime One as Data Processor

Your Responsibilities as Data Controller

3. Біз қалай сәйкестікті қамтамасыз етеміз

Contract (Article 6(1)(b))

Legitimate Interest (Article 6(1)(f))

Consent (Article 6(1)(a))

Legal Obligation (Article 6(1)(c))

Special Category Data (Biometrics)

4. Сіздің деректер субъектісінің құқықтары

Қол жеткізу құқығы (15-бап)

Түзету құқығы (16-бап)

Жою құқығы / Ұмытылу құқығы (17-бап)

Right to Restriction of Processing (Article 18)

Деректерді тасымалдау құқығы (20-бап)

Қарсылық білдіру құқығы (21-бап)

Rights Related to Automated Decision-Making (Article 22)

5. Деректерді қорғау шаралары

Техникалық шаралар

Ұйымдастырушылық шаралар

Privacy by Design and Default

6. Халықаралық деректер тасымалдаулары

Деректерді сақтау орындары

Тасымалдау механизмдері

Стандартты шарттық тармақтар (SCC)

Жеткіліктілік шешімдері

Supplementary Measures

Sub-Processors

7. Деректерді өңдеу келісімі (DPA)

DPA дегеніміз не?

Біздің DPA қамтиды

8. Деректер бұзушылығы туралы хабарлау

Біздің міндеттемелеріміз

Біз сізге не айтамыз

Your Obligations as Data Controller

9. Деректерді қорғау жөніндегі офицер (DPO)

DPO жауапкершіліктері

Біздің DPO-мен байланысу

10. Қызметкерлердің құпиялылық құқықтары

Жұмыс берушінің міндеттемелері

Employee Privacy Notice Template

11. Бақылаушы органға шағым беру

Шағымды қалай беру керек

EU Supervisory Authorities

Алдымен бізбен байланысыңыз

12. Байланыс ақпараты

Our EU Establishment

GDPR ресурстары

Құпиялылық саясаты

Қауіпсіздік шаралары

Қызмет көрсету шарттары