GDPR-etterlevelse

WorkTime One overholder fullt ut EUs generelle datavernforordning (GDPR). Lær om dine rettigheter og hvordan vi beskytter dine personopplysninger.

Sist oppdatert: 18. november 2025

GDPR-kompatibel siden 2018
EU-datasentre tilgjengelig
Standardkontraktsklausuler

Innholdsfortegnelse

1. GDPR-oversikt

Den generelle datavernforordningen (GDPR) er en omfattende datavernlov som trådte i kraft 25. mai 2018 i hele EU og EØS. Den fastsetter strenge krav til hvordan organisasjoner samler inn, behandler, lagrer og beskytter personopplysninger fra EU-innbyggere.

Hva er personopplysninger?

Under GDPR er personopplysninger all informasjon som relateres til en identifisert eller identifiserbar fysisk person. Dette inkluderer:

  • Grunnleggende identitet: Navn, adresse, e-postadresse, telefonnummer
  • Arbeidsinformasjon: Ansatt-ID, jobbtittel, avdeling, lønn
  • Tekniske data: IP-adresser, enhets-IDer, nettleserfingeravtrykk
  • Lokasjonsdata: Geografisk plassering fra smarte låser
  • Biometriske data: Fingeravtrykk brukt til autentisering av smart lås
  • Atferdsdata: Arbeidstimer, oppmøtemønstre, tidssporing

Viktige GDPR-prinsipper

WorkTime One følger alle syv GDPR-prinsipper:

1. Lovlighet, rettferdighet og åpenhet

Data behandlet lovlig, rettferdig og transparent med klare personvernvarsler

2. Formålsbegrensning

Data samles kun inn for spesifikke, legitime formål

3. Dataminimering

Samle kun data som er nødvendig for det oppgitte formålet

4. Nøyaktighet

Hold personopplysninger nøyaktige og oppdaterte

5. Lagringsbegrensning

Behold data kun så lenge som nødvendig

6. Integritet og konfidensialitet

Beskytt data med passende sikkerhetstiltak

7. Ansvarlighet

Demonstrer etterlevelse gjennom dokumentasjon og retningslinjer

2. Vår rolle under GDPR

Databehandlingsansvarlig vs. Databehandler

WorkTime One opptrer i forskjellige roller avhengig av konteksten:

WorkTime One som Databehandlingsansvarlig

For organisasjonens kontodata (firmanavn, faktureringsinformasjon, administratorbrukere) er vi databehandlingsansvarlige. Vi bestemmer hvordan og hvorfor disse dataene behandles.

Eksempler: Kontoregistrering, fakturering, kundestøtte, tjenestekommunikasjon

WorkTime One som Databehandler

For ansattdata om tidssporing som du laster opp og administrerer, er vi databehandler. Du (kunden) er databehandlingsansvarlig og bestemmer formålene og måten behandlingen skjer på.

Eksempler: Ansattnavn, arbeidstimer, oppmøteregistreringer, biometriske data, lokasjonsdata

Dine ansvarsområder som Databehandlingsansvarlig

Når du bruker WorkTime One til å spore ansattes tid, er du databehandlingsansvarlig og ansvarlig for:

  • Å skaffe lovlig grunnlag for behandling av ansattdata (f.eks. samtykke, kontrakt, legitim interesse)
  • Å gi ansatte personvernvarsler som forklarer datainnsamling og bruk
  • Å innhente eksplisitt samtykke for innsamling av biometriske data (fingeravtrykk)
  • Å svare på ansattes datasubjektrettighetsforespørsler
  • Å implementere passende tekniske og organisatoriske tiltak
  • Å overholde lokale arbeidslover og forskrifter for ansattovervåkning
  • Å gjennomføre personvernkonsekvensutredninger (DPIA) der det kreves

3. Lovlig grunnlag for behandling

GDPR krever et lovlig grunnlag for behandling av personopplysninger. WorkTime One baserer seg på følgende rettslige grunnlag:

Kontrakt (Artikkel 6(1)(b))

Behandling som er nødvendig for å levere våre tjenester under våre tjenestevilkår. Dette gjelder kontoadministrasjon, fakturering og kjernefunksjonalitet i tjenesten.

Legitim interesse (Artikkel 6(1)(f))

Behandling for sikkerhet, svindelforebygging og tjenesteforbedring. Vi balanserer våre interesser mot dine rettigheter og friheter.

Samtykke (Artikkel 6(1)(a))

Markedskommunikasjon og valgfrie funksjoner krever ditt eksplisitte samtykke. Du kan trekke tilbake samtykke når som helst.

Rettslig forpliktelse (Artikkel 6(1)(c))

Behandling påkrevd av loven, som skatteregistre, finansiell compliance og respons på rettslige forespørsler.

Særlige kategorier av data (Biometri)

Biometriske data (fingeravtrykk) regnes som «særlige kategorier» av data under GDPR artikkel 9 og krever ekstra beskyttelse. Behandling er lovlig under:

  • Eksplisitt samtykke (Artikkel 9(2)(a)): Du må innhente eksplisitt, informert samtykke fra ansatte for innsamling av fingeravtrykk
  • Arbeidsforhold (Artikkel 9(2)(b)): Behandling kan være nødvendig for arbeidsforpliktelser under nasjonal lov
  • Sikkerhetstiltak: Biometriske data er hashet, kryptert og lagret separat fra andre personopplysninger
  • Rett til å trekke tilbake: Ansatte kan trekke tilbake samtykke og be om sletting av biometriske data når som helst

4. Dine datasubjektrettigheter

Under GDPR har du omfattende rettigheter angående dine personopplysninger:

Rett til innsyn (Artikkel 15)

Du har rett til å få bekreftet om vi behandler dine personopplysninger og til å få innsyn i disse dataene.

Hvordan utøve:

  • Logg inn på kontoen din og naviger til Innstillinger → Dataeksport
  • Eksporter dataene dine i CSV-, JSON- eller Excel-format
  • Send e-post til [email protected] for omfattende datainnsynsforespørsler
  • Vi vil svare innen 30 dager (gratis)

Rett til retting (Artikkel 16)

Du har rett til å få uriktige personopplysninger rettet eller fullført.

Hvordan utøve:

  • Oppdater kontoinformasjonen din direkte i Innstillinger
  • Administratorer kan oppdatere ansattinformasjon i Ansattstyring-seksjonen
  • For rettelser som krever vår assistanse, kontakt [email protected]
  • Vi vil rette unøyaktigheter innen 30 dager

Rett til sletting / Rett til å bli glemt (Artikkel 17)

Du har rett til å be om sletting av dine personopplysninger i visse tilfeller.

Hvordan utøve:

  • Lukk kontoen din via Innstillinger → Konto → Slett konto
  • Ansatte kan be om sletting ved å kontakte sin arbeidsgiver (databehandlingsansvarlig)
  • Send e-post til [email protected] for sletteforespørsler
  • Data slettes innen 30 dager (unntatt lovpålagte oppbevaringskrav)
  • Sikkerhetskopier fjernes innen 90 dager

Merk: Vi kan beholde visse data der det kreves av loven (f.eks. skatteregistre i 7 år)

Rett til begrensning av behandling (Artikkel 18)

Du kan be om at vi begrenser hvordan vi behandler dataene dine i visse situasjoner.

Når tilgjengelig:

  • Du bestrider nøyaktigheten av dataene (under verifisering)
  • Behandlingen er ulovlig, men du vil ikke ha sletting
  • Vi trenger ikke lenger dataene, men du trenger dem for rettslige krav
  • Du har protestert mot behandling (avventer verifisering av legitime grunner)

Rett til dataportabilitet (Artikkel 20)

Du har rett til å motta dine personopplysninger i et strukturert, maskinlesbart format og overføre det til en annen behandlingsansvarlig.

Støttede formater:

  • CSV (kommaseparerte verdier)
  • JSON (JavaScript Object Notation)
  • Excel (.xlsx)
  • Direkte API-overføring til en annen tjeneste (kontakt oss for assistanse)

Rett til å protestere (Artikkel 21)

Du har rett til å protestere mot behandling basert på legitime interesser eller for direkte markedsføring.

Hvordan utøve:

  • Protest mot markedsføring: Avmeldingslenke i e-poster eller Innstillinger → Varsler
  • Protest mot profilering: Kontakt [email protected]
  • Protest mot behandling basert på legitim interesse: Vi vil avslutte med mindre vi påviser tvingende legitime grunner

Rettigheter relatert til automatisert beslutningstaking (Artikkel 22)

Du har rett til ikke å bli undergitt beslutninger utelukkende basert på automatisert behandling som påvirker deg betydelig.

WorkTime Ones posisjon: Vi tar ikke automatiserte beslutninger som produserer rettslige effekter eller på lignende måte påvirker deg betydelig. Lønnsberegninger og straffeberegninger er basert på transparente regler definert av deg (arbeidsgiveren) og kan gjennomgås og justeres manuelt.

5. Databeskyttelsestiltak

Vi implementerer omfattende tekniske og organisatoriske tiltak for å sikre passende sikkerhet:

Tekniske tiltak

  • Kryptering: AES-256-kryptering for data i hvile, TLS 1.3 for data under overføring
  • Pseudonymisering: Der det er mulig, pseudonymiserer vi data for å redusere personvernrisiko
  • Tilgangskontroller: Rollebasert tilgangskontroll (RBAC) med prinsippet om minste privilegium
  • Tofaktorautentisering: Obligatorisk 2FA tilgjengelig for alle brukere
  • Automatiske sikkerhetskopier: Regelmessige krypterte sikkerhetskopier med geografisk redundans
  • Inntrengingsdeteksjon: 24/7 overvåking for sikkerhetstrusler
  • Sårbarhetsadministrasjon: Regelmessig sikkerhetstesting og oppdateringsadministrasjon

Organisatoriske tiltak

  • Databeskyttelsespolitikk: Omfattende interne retningslinjer og prosedyrer
  • Ansattopplæring: Regelmessig personvern- og sikkerhetsopplæring for alt personale
  • Konfidensialitetsavtaler: Alle ansatte signerer NDAer og konfidensialitetsavtaler
  • Tilgangsgjennomganger: Kvartalsvise gjennomganger av ansattes tilgangsrettigheter
  • Hendelsesresponsplan: Dokumenterte prosedyrer for respons på databrudd
  • Personvernkonsekvensutredninger: DPIAer gjennomført for høyrisikobehandling
  • Leverandøradministrasjon: Due diligence på alle underbehandlere

Personvern ved design og som standard

  • Personvernhensyn integrert i produktutvikling fra starten
  • Standardinnstillinger prioriterer personvernbeskyttelse
  • Dataminimering innebygd i systemdesign
  • Regelmessige personverngjennomganger gjennom hele produktets livssyklus

6. Internasjonale dataoverføringer

WorkTime One kan overføre dine personopplysninger utenfor Det europeiske økonomiske samarbeidsområdet (EØS). Vi sikrer at passende beskyttelsestiltak er på plass:

Lagringslokasjoner for data

  • Primærlagring: EU-baserte datasentre (Tyskland, Belgia, Nederland) via Google Cloud Platform
  • Sikkerhetskopier: Replikert på tvers av flere EU-regioner
  • Alternativ for kun EU-lagring: Bedriftskunder kan be om datalagring kun i EU

Overføringsmekanismer

Standardkontraktsklausuler (SCC)

Vi bruker EU-godkjente standardkontraktsklausuler (SCC) for dataoverføringer til land uten tilstrekkelighetsbeslutninger. Våre SCCer inkorporerer kravene fra Schrems II-dommen.

Tilstrekkelighetsbeslutninger

Der det er mulig, overfører vi data til land med EUs tilstrekkelighetsbeslutninger (f.eks. Storbritannia, Sveits, Canada under visse betingelser).

Supplerende tiltak

Vi implementerer supplerende tekniske tiltak (kryptering, pseudonymisering) for å beskytte data overført utenfor EU.

Underbehandlere

Vi bruker følgende underbehandlere som kan behandle EU-personopplysninger:

Underbehandler Formål Lokasjon Beskyttelsestiltak
Google Cloud Platform Hosting, Database EU (primær) SCC, ISO 27001
Firebase (Google) Autentisering, Database EU (primær) SCC, ISO 27001
SendGrid E-postlevering USA SCC, PCI DSS
TTLock API Smartlås-integrasjon Kina SCC, Kryptering

7. Databehandleravtale (DPA)

Som påkrevd av GDPR artikkel 28, tilbyr vi en databehandleravtale til alle kunder som bruker WorkTime One til å behandle ansattdata.

Hva er en DPA?

En databehandleravtale (DPA) er en juridisk bindende kontrakt mellom en databehandlingsansvarlig (deg) og en databehandler (oss) som regulerer hvordan personopplysninger behandles. Den sikrer at vi overholder GDPR når vi behandler dine data.

Vår DPA inkluderer

  • Gjenstand og varighet: Tidssporing og oppmøteadministrasjon i løpet av abonnementsperioden
  • Art og formål: Behandling av ansattes tidsregistreringsdata for å levere våre tjenester
  • Typer personopplysninger: Navn, ansatt-IDer, arbeidstimer, biometriske data, lokasjonsdata
  • Kategorier av registrerte: Dine ansatte og entreprenører
  • Dine forpliktelser: Dine ansvarsområder som databehandlingsansvarlig
  • Våre forpliktelser: Våre ansvarsområder som databehandler
  • Sikkerhetstiltak: Tekniske og organisatoriske tiltak vi implementerer
  • Underbehandling: Liste over autoriserte underbehandlere
  • Datasubjektrettigheter: Vår assistanse med datasubjektforespørsler
  • Revisjoner og inspeksjoner: Din rett til å revidere vår compliance
  • Varsling om databrudd: Vår plikt til å varsle deg om brudd
  • Internasjonale overføringer: SCCer og overføringsmekanismer
  • Sletting og retur: Datahåndtering ved kontraktsavslutning

Hvordan få tilgang: Vår standard-DPA er innlemmet i våre tjenestevilkår. Bedriftskunder kan be om en tilpasset DPA ved å kontakte [email protected]

8. Varsling om databrudd

Under GDPR artiklene 33 og 34 har vi strenge forpliktelser angående varsling om databrudd:

Våre forpliktelser

  • Varsling til tilsynsmyndighet: Vi varsler den relevante tilsynsmyndigheten innen 72 timer etter at vi blir klar over et brudd som påvirker EU-innbyggere
  • Kundevarsling: Vi varsler berørte kunder (databehandlingsansvarlige) uten ugrunnet opphold, typisk innen 24-48 timer
  • Varsling til registrerte: Hvis bruddet utgjør høy risiko for enkeltpersoner, bistår vi deg med å varsle berørte personer
  • Bruddsdokumentasjon: Vi opprettholder registreringer av alle brudd, inkludert fakta, effekter og korrigerende tiltak

Hva vi vil fortelle deg

  • Bruddets art (hva som skjedde)
  • Kategorier og omtrentlig antall berørte personer og registreringer
  • Potensielle konsekvenser av bruddet
  • Tiltak vi har tatt eller foreslår å ta for å håndtere bruddet
  • Tiltak for å redusere potensielle negative effekter
  • Kontaktinformasjon for ytterligere henvendelser

Dine forpliktelser som databehandlingsansvarlig

Hvis vi varsler deg om et brudd som påvirker dine ansattes data, må du kanskje:

  • Vurdere om bruddet utgjør høy risiko for dine ansatte
  • Varsle din nasjonale tilsynsmyndighet (hvis påkrevd)
  • Varsle berørte ansatte (hvis bruddet utgjør høy risiko for deres rettigheter og friheter)
  • Dokumentere din respons på bruddet og dine beslutninger

9. Personvernombud (DPO)

Under GDPR artikkel 37 har vi utnevnt et personvernombud til å overvåke vår databeskyttelsesstrategi og sikre overholdelse.

DPO-ansvarsområder

  • Overvåke overholdelse av GDPR og andre databeskyttelseslover
  • Gi råd om personvernkonsekvensutredninger (DPIAer)
  • Samarbeide med tilsynsmyndigheter
  • Fungere som kontaktpunkt for registrerte og tilsynsmyndigheter
  • Gi opplæring til personale om databeskyttelsesforpliktelser
  • Gjennomføre interne revisjoner og vurderinger

Kontakt vårt DPO

Du kan kontakte vårt personvernombud direkte for eventuelle GDPR-relaterte spørsmål eller bekymringer:

E-post: [email protected]

Post: Personvernombud, WorkTime One, Inc.

Responstid: Vi vil svare på DPO-henvendelser innen 5 virkedager

10. Ansattes personvernrettigheter

Spesielle hensyn gjelder ved behandling av ansattdata gjennom WorkTime One:

Arbeidsgivers forpliktelser

Viktig: Som arbeidsgiver (databehandlingsansvarlig) har du juridiske forpliktelser overfor dine ansatte angående deres personvern.

  • Åpenhet: Informer ansatte om tidssporing, hvilke data som samles inn, og hvordan de vil bli brukt
  • Lovlig grunnlag: Sørg for at du har et lovlig grunnlag (vanligvis kontrakt eller legitim interesse) for tidssporing
  • Biometrisk samtykke: Innhent eksplisitt samtykke før innsamling av fingeravtrykk eller andre biometriske data
  • Dataminimering: Spor kun data som er nødvendig for legitime forretningsformål
  • Ansattes rettigheter: Tilrettelegg for ansattes datasubjektrettighetsforespørsler (innsyn, sletting osv.)
  • Konsultasjon med tillitsvalgte: I noen EU-land, konsulter med tillitsvalgte før implementering av ansattovervåkning
  • Nasjonale lover: Overhold nasjonale arbeidslover og forskrifter for ansattovervåkning

Mal for ansattes personvernvarsel

Vi tilbyr en mal for ansattes personvernvarsel som du kan tilpasse for din organisasjon. Dette hjelper deg med å overholde GDPRs åpenhetskrav.

Last ned: Be om vår mal for ansattes personvernvarsel på [email protected]

11. Klager til tilsynsmyndighet

Under GDPR artikkel 77 har du rett til å inngi en klage til en tilsynsmyndighet hvis du mener vi har brutt dine databeskyttelsesrettigheter.

Hvordan inngi en klage

Du kan inngi en klage til tilsynsmyndigheten i:

  • EU-medlemsstaten der du har din vanlige bopel
  • EU-medlemsstaten der du har din arbeidsplass
  • EU-medlemsstaten der den påståtte overtredelsen fant sted

EU-tilsynsmyndigheter

Finn din lokale databeskyttelsesmyndighet:

EU-omfattende liste: European Data Protection Board

Irland (vårt EU-etablissement): Data Protection Commission (DPC)

E-post: [email protected]

Nettsted: www.dataprotection.ie

Kontakt oss først

Vi oppfordrer deg til å kontakte oss først hvis du har bekymringer om vår databehandling. Vi er forpliktet til å løse problemer direkte og vil samarbeide med deg for å adressere dine bekymringer.

12. Kontaktinformasjon

For GDPR-relaterte spørsmål, datasubjektrettighetsforespørsler eller andre personvernhenvendelser:

GDPR-henvendelser: [email protected]

Personvernombud: [email protected]

Personvernteam: [email protected]

Generell støtte: [email protected]

EU-representant: [email protected]

Responstid: Vi svarer på GDPR-forespørsler innen 30 dager (som påkrevd av loven)

Vårt EU-etablissement

For EU-spesifikke saker kan du kontakte vår EU-representant:

EU-representant: WorkTime One Europe Ltd.

E-post: [email protected]

Jurisdiksjon: Irland (Ledende tilsynsmyndighet: Irsk DPC)

GDPR-ressurser

Lær mer om dine databeskyttelsesrettigheter og vår etterlevelse

Personvernerklæring

Fullstendig personvernpraksis

Sikkerhetstiltak

Tekniske sikkerhetstiltak vi implementerer

Tjenestevilkår

Tjenesteavtale og DPA