Zgodność z RODO

WorkTime One jest w pełni zgodny z ogólnym rozporządzeniem o ochronie danych UE (RODO). Dowiedz się o swoich prawach i o tym, jak chronimy Twoje dane osobowe.

Ostatnia aktualizacja: 18 listopada 2025

Zgodny z RODO od 2018
Dostępne centra danych UE
Standardowe klauzule umowne

Spis treści

1. Przegląd RODO

Ogólne rozporządzenie o ochronie danych (RODO) to kompleksowe prawo o ochronie danych, które weszło w życie 25 maja 2018 r. w całej Unii Europejskiej i Europejskim Obszarze Gospodarczym. Ustanawia ścisłe wymagania dotyczące sposobu, w jaki organizacje zbierają, przetwarzają, przechowują i chronią dane osobowe rezydentów UE.

Czym są dane osobowe?

Zgodnie z RODO dane osobowe to wszelkie informacje odnoszące się do zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Obejmuje to:

  • Podstawowa tożsamość: Imię i nazwisko, adres, adres e-mail, numer telefonu
  • Informacje o pracy: ID pracownika, stanowisko, dział, wynagrodzenie
  • Dane techniczne: Adresy IP, identyfikatory urządzeń, odciski przeglądarki
  • Dane lokalizacyjne: Lokalizacja geograficzna z inteligentnych zamków
  • Dane biometryczne: Odciski palców używane do uwierzytelniania inteligentnego zamka
  • Dane behawioralne: Godziny pracy, wzorce obecności, zapisy czasu pracy

Kluczowe zasady RODO

WorkTime One przestrzega wszystkich siedmiu zasad RODO:

1. Zgodność z prawem, uczciwość i przejrzystość

Dane przetwarzane zgodnie z prawem, uczciwie i przejrzyście z jasnymi informacjami o prywatności

2. Ograniczenie celu

Dane zbierane tylko do określonych, uzasadnionych celów

3. Minimalizacja danych

Zbieraj tylko dane niezbędne do określonego celu

4. Dokładność

Utrzymuj dokładność i aktualność danych osobowych

5. Ograniczenie przechowywania

Przechowuj dane tylko tak długo, jak to konieczne

6. Integralność i poufność

Chroń dane odpowiednimi środkami bezpieczeństwa

7. Odpowiedzialność

Wykazuj zgodność poprzez dokumentację i polityki

2. Nasza rola zgodnie z RODO

Administrator danych vs. Procesor danych

WorkTime One działa w różnych rolach w zależności od kontekstu:

WorkTime One jako administrator danych

W przypadku danych konta Twojej organizacji (nazwa firmy, informacje rozliczeniowe, użytkownicy administracyjni) jesteśmy administratorem danych. Określamy, jak i dlaczego te dane są przetwarzane.

Przykłady: Rejestracja konta, rozliczenia, wsparcie klienta, komunikacja serwisowa

WorkTime One jako procesor danych

W przypadku danych rejestracji czasu pracy pracowników, które przesyłasz i zarządzasz, jesteśmy procesorem danych. Ty (klient) jesteś administratorem danych i określasz cele i sposoby przetwarzania.

Przykłady: Nazwiska pracowników, godziny pracy, zapisy obecności, dane biometryczne, dane lokalizacyjne

Twoje obowiązki jako administratora danych

Korzystając z WorkTime One do śledzenia czasu pracy pracowników, jesteś administratorem danych i jesteś odpowiedzialny za:

  • Uzyskanie podstawy prawnej do przetwarzania danych pracowników (np. zgoda, umowa, uzasadniony interes)
  • Dostarczenie pracownikom informacji o prywatności wyjaśniających zbieranie i wykorzystanie danych
  • Uzyskanie wyraźnej zgody na zbieranie danych biometrycznych (odcisków palców)
  • Odpowiadanie na żądania pracowników dotyczące praw podmiotów danych
  • Wdrażanie odpowiednich środków technicznych i organizacyjnych
  • Przestrzeganie lokalnego prawa pracy i przepisów dotyczących monitorowania pracowników
  • Przeprowadzanie ocen skutków dla ochrony danych (DPIA) w razie potrzeby

3. Podstawa prawna przetwarzania

RODO wymaga podstawy prawnej do przetwarzania danych osobowych. WorkTime One opiera się na następujących podstawach prawnych:

Umowa (Art. 6(1)(b))

Przetwarzanie niezbędne do świadczenia naszych usług zgodnie z naszymi Warunkami świadczenia usług. Dotyczy to zarządzania kontem, rozliczeń i podstawowej funkcjonalności usługi.

Uzasadniony interes (Art. 6(1)(f))

Przetwarzanie w celach bezpieczeństwa, zapobiegania oszustwom i ulepszania usług. Równoważymy nasze interesy z Twoimi prawami i wolnościami.

Zgoda (Art. 6(1)(a))

Komunikacja marketingowa i opcjonalne funkcje wymagają Twojej wyraźnej zgody. Możesz wycofać zgodę w dowolnym momencie.

Obowiązek prawny (Art. 6(1)(c))

Przetwarzanie wymagane przez prawo, takie jak dokumentacja podatkowa, zgodność finansowa i odpowiadanie na żądania prawne.

Dane szczególnej kategorii (Biometria)

Dane biometryczne (odciski palców) są uważane za dane "szczególnej kategorii" zgodnie z Art. 9 RODO i wymagają dodatkowej ochrony. Przetwarzanie jest zgodne z prawem na podstawie:

  • Wyraźnej zgody (Art. 9(2)(a)): Musisz uzyskać wyraźną, świadomą zgodę pracowników na zbieranie odcisków palców
  • Kontekstu zatrudnienia (Art. 9(2)(b)): Przetwarzanie może być niezbędne dla obowiązków związanych z zatrudnieniem zgodnie z prawem krajowym
  • Środków bezpieczeństwa: Dane biometryczne są haszowane, szyfrowane i przechowywane oddzielnie od innych danych osobowych
  • Prawa do wycofania: Pracownicy mogą wycofać zgodę i zażądać usunięcia danych biometrycznych w dowolnym momencie

4. Twoje prawa podmiotu danych

Zgodnie z RODO masz kompleksowe prawa dotyczące Twoich danych osobowych:

Prawo dostępu (Art. 15)

Masz prawo uzyskać potwierdzenie, czy przetwarzamy Twoje dane osobowe i uzyskać dostęp do tych danych.

Jak skorzystać:

  • Zaloguj się na swoje konto i przejdź do Ustawienia → Eksport danych
  • Eksportuj swoje dane w formacie CSV, JSON lub Excel
  • Napisz na [email protected] w sprawie kompleksowych żądań dostępu do danych
  • Odpowiemy w ciągu 30 dni (bezpłatnie)

Prawo do sprostowania (Art. 16)

Masz prawo do poprawienia lub uzupełnienia nieprawidłowych danych osobowych.

Jak skorzystać:

  • Zaktualizuj informacje o swoim koncie bezpośrednio w Ustawieniach
  • Administratorzy mogą aktualizować informacje o pracownikach w sekcji Zarządzanie pracownikami
  • W przypadku poprawek wymagających naszej pomocy skontaktuj się z [email protected]
  • Poprawimy nieścisłości w ciągu 30 dni

Prawo do usunięcia / Prawo do bycia zapomnianym (Art. 17)

Masz prawo zażądać usunięcia swoich danych osobowych w określonych okolicznościach.

Jak skorzystać:

  • Zamknij swoje konto przez Ustawienia → Konto → Usuń konto
  • Pracownicy mogą zażądać usunięcia kontaktując się ze swoim pracodawcą (administratorem danych)
  • Napisz na [email protected] w sprawie żądań usunięcia
  • Dane usunięte w ciągu 30 dni (z wyjątkiem wymogów prawnego przechowywania)
  • Kopie zapasowe czyszczone w ciągu 90 dni

Uwaga: Możemy zachować niektóre dane tam, gdzie wymaga tego prawo (np. dokumentacja podatkowa przez 7 lat)

Prawo do ograniczenia przetwarzania (Art. 18)

Możesz zażądać ograniczenia sposobu przetwarzania Twoich danych w określonych sytuacjach.

Kiedy dostępne:

  • Kwestionujesz dokładność danych (podczas weryfikacji)
  • Przetwarzanie jest niezgodne z prawem, ale nie chcesz usunięcia
  • Nie potrzebujemy już danych, ale są Ci one potrzebne do roszczeń prawnych
  • Wniosłeś sprzeciw wobec przetwarzania (w oczekiwaniu na weryfikację uzasadnionych podstaw)

Prawo do przenoszenia danych (Art. 20)

Masz prawo otrzymać swoje dane osobowe w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego i przesłać je innemu administratorowi.

Obsługiwane formaty:

  • CSV (wartości rozdzielane przecinkami)
  • JSON (JavaScript Object Notation)
  • Excel (.xlsx)
  • Bezpośredni transfer API do innej usługi (skontaktuj się z nami w celu uzyskania pomocy)

Prawo sprzeciwu (Art. 21)

Masz prawo sprzeciwić się przetwarzaniu opartemu na uzasadnionych interesach lub w celach marketingu bezpośredniego.

Jak skorzystać:

  • Sprzeciw wobec marketingu: Link do rezygnacji w e-mailach lub Ustawienia → Powiadomienia
  • Sprzeciw wobec profilowania: Skontaktuj się z [email protected]
  • Sprzeciw wobec przetwarzania w uzasadnionym interesie: Zaprzestaniemy, chyba że wykażemy przekonujące uzasadnione podstawy

Prawa związane ze zautomatyzowanym podejmowaniem decyzji (Art. 22)

Masz prawo nie podlegać decyzjom opartym wyłącznie na zautomatyzowanym przetwarzaniu, które znacząco Cię dotyczą.

Stanowisko WorkTime One: Nie podejmujemy zautomatyzowanych decyzji, które wywołują skutki prawne lub w podobny sposób znacząco Cię dotyczą. Obliczenia wynagrodzeń i oceny kar są oparte na przejrzystych zasadach zdefiniowanych przez Ciebie (pracodawcę) i mogą być ręcznie przeglądane i korygowane.

5. Środki ochrony danych

Wdrażamy kompleksowe środki techniczne i organizacyjne w celu zapewnienia odpowiedniego bezpieczeństwa:

Środki techniczne

  • Szyfrowanie: Szyfrowanie AES-256 dla danych w spoczynku, TLS 1.3 dla danych w tranzycie
  • Pseudonimizacja: Tam gdzie to możliwe, pseudonimizujemy dane w celu zmniejszenia ryzyka dla prywatności
  • Kontrola dostępu: Kontrola dostępu oparta na rolach (RBAC) z zasadą najmniejszych uprawnień
  • Uwierzytelnianie dwuskładnikowe: Obowiązkowe 2FA dostępne dla wszystkich użytkowników
  • Automatyczne kopie zapasowe: Regularne zaszyfrowane kopie zapasowe z nadmiarowością geograficzną
  • Wykrywanie włamań: Całodobowe monitorowanie zagrożeń bezpieczeństwa
  • Zarządzanie podatnościami: Regularne testy bezpieczeństwa i zarządzanie poprawkami

Środki organizacyjne

  • Polityki ochrony danych: Kompleksowe wewnętrzne polityki i procedury
  • Szkolenie pracowników: Regularne szkolenia dotyczące prywatności i bezpieczeństwa dla wszystkich pracowników
  • Umowy o zachowaniu poufności: Wszyscy pracownicy podpisują umowy NDA i umowy o zachowaniu poufności
  • Przeglądy dostępu: Kwartalne przeglądy uprawnień dostępu pracowników
  • Plan reagowania na incydenty: Udokumentowane procedury reagowania na naruszenia danych
  • Oceny skutków dla ochrony danych: DPIA przeprowadzane dla przetwarzania wysokiego ryzyka
  • Zarządzanie dostawcami: Due diligence wobec wszystkich podprocesorów

Prywatność przez projekt i domyślnie

  • Kwestie prywatności zintegrowane z rozwojem produktu od początku
  • Ustawienia domyślne priorytetowo traktują ochronę prywatności
  • Minimalizacja danych wbudowana w projekt systemu
  • Regularne przeglądy prywatności przez cały cykl życia produktu

6. Międzynarodowe transfery danych

WorkTime One może przekazywać Twoje dane osobowe poza Europejski Obszar Gospodarczy (EOG). Zapewniamy odpowiednie zabezpieczenia:

Lokalizacje przechowywania danych

  • Główne przechowywanie: Centra danych w UE (Niemcy, Belgia, Holandia) przez Google Cloud Platform
  • Kopie zapasowe: Replikowane w wielu regionach UE
  • Opcja przechowywania tylko w UE: Klienci korporacyjni mogą zażądać przechowywania danych tylko w UE

Mechanizmy transferu

Standardowe klauzule umowne (SCC)

Używamy zatwierdzonych przez UE standardowych klauzul umownych (SCC) do przekazywania danych do krajów bez decyzji o adekwatności. Nasze SCC zawierają wymogi z wyroku Schrems II.

Decyzje o adekwatności

Tam gdzie to możliwe, przekazujemy dane do krajów z decyzjami UE o adekwatności (np. Wielka Brytania, Szwajcaria, Kanada w określonych warunkach).

Środki uzupełniające

Wdrażamy uzupełniające środki techniczne (szyfrowanie, pseudonimizacja) w celu ochrony danych przekazywanych poza UE.

Podprocesory

Korzystamy z następujących podprocesorów, którzy mogą przetwarzać dane osobowe UE:

Podprocesor Cel Lokalizacja Zabezpieczenia
Google Cloud Platform Hosting, Baza danych UE (głównie) SCC, ISO 27001
Firebase (Google) Uwierzytelnianie, Baza danych UE (głównie) SCC, ISO 27001
SendGrid Dostarczanie e-maili USA SCC, PCI DSS
TTLock API Integracja inteligentnych zamków Chiny SCC, Szyfrowanie

7. Umowa o przetwarzaniu danych (DPA)

Zgodnie z wymogiem Art. 28 RODO, dostarczamy Umowę o przetwarzaniu danych wszystkim klientom korzystającym z WorkTime One do przetwarzania danych pracowników.

Czym jest DPA?

Umowa o przetwarzaniu danych (DPA) to prawnie wiążąca umowa między administratorem danych (Tobą) a procesorem danych (nami), która reguluje sposób przetwarzania danych osobowych. Zapewnia, że przestrzegamy RODO podczas przetwarzania Twoich danych.

Nasza DPA obejmuje

  • Przedmiot i czas trwania: Śledzenie czasu i zarządzanie obecnością przez czas trwania Twojej subskrypcji
  • Charakter i cel: Przetwarzanie danych śledzenia czasu pracy pracowników w celu świadczenia naszych usług
  • Rodzaje danych osobowych: Nazwiska, ID pracowników, godziny pracy, dane biometryczne, dane lokalizacyjne
  • Kategorie podmiotów danych: Twoi pracownicy i wykonawcy
  • Twoje obowiązki: Twoje obowiązki jako administratora danych
  • Nasze obowiązki: Nasze obowiązki jako procesora danych
  • Środki bezpieczeństwa: Środki techniczne i organizacyjne, które wdrażamy
  • Podprzetwarzanie: Lista autoryzowanych podprocesorów
  • Prawa podmiotów danych: Nasza pomoc przy żądaniach podmiotów danych
  • Audyty i kontrole: Twoje prawo do audytu naszej zgodności
  • Powiadomienie o naruszeniu danych: Nasz obowiązek powiadamiania Cię o naruszeniach
  • Międzynarodowe transfery: SCC i mechanizmy transferu
  • Usunięcie i zwrot: Obsługa danych po zakończeniu umowy

Jak uzyskać dostęp: Nasza standardowa DPA jest włączona do naszych Warunków świadczenia usług. Klienci korporacyjni mogą zażądać niestandardowej DPA kontaktując się z [email protected]

8. Powiadomienie o naruszeniu danych

Zgodnie z Art. 33 i 34 RODO mamy ścisłe obowiązki dotyczące powiadamiania o naruszeniu danych:

Nasze obowiązki

  • Powiadomienie organu nadzorczego: Powiadamiamy właściwy organ nadzorczy w ciągu 72 godzin od powzięcia informacji o naruszeniu dotyczącym rezydentów UE
  • Powiadomienie klientów: Powiadamiamy dotkniętych klientów (administratorów danych) bez zbędnej zwłoki, zazwyczaj w ciągu 24-48 godzin
  • Powiadomienie podmiotów danych: Jeśli naruszenie stwarza wysokie ryzyko dla osób, pomagamy w powiadomieniu dotkniętych osób
  • Dokumentacja naruszeń: Prowadzimy zapisy wszystkich naruszeń, w tym faktów, skutków i działań naprawczych

Co Ci powiemy

  • Charakter naruszenia (co się stało)
  • Kategorie i przybliżona liczba dotkniętych osób i zapisów
  • Potencjalne konsekwencje naruszenia
  • Środki, które podjęliśmy lub proponujemy podjąć w celu rozwiązania naruszenia
  • Środki łagodzące potencjalne negatywne skutki
  • Informacje kontaktowe w celu dalszych zapytań

Twoje obowiązki jako administratora danych

Jeśli powiadomimy Cię o naruszeniu dotyczącym danych Twoich pracowników, możesz być zobowiązany do:

  • Oceny, czy naruszenie stwarza wysokie ryzyko dla Twoich pracowników
  • Powiadomienia krajowego organu nadzorczego (jeśli jest to wymagane)
  • Powiadomienia dotkniętych pracowników (jeśli naruszenie stwarza wysokie ryzyko dla ich praw i wolności)
  • Udokumentowania reakcji na naruszenie i decyzji

9. Inspektor ochrony danych (IOD)

Zgodnie z Art. 37 RODO wyznaczyliśmy Inspektora ochrony danych do nadzoru nad naszą strategią ochrony danych i zapewnienia zgodności.

Obowiązki IOD

  • Monitorowanie zgodności z RODO i innymi przepisami o ochronie danych
  • Doradztwo w sprawie ocen skutków dla ochrony danych (DPIA)
  • Współpraca z organami nadzorczymi
  • Pełnienie funkcji punktu kontaktowego dla podmiotów danych i organów nadzorczych
  • Szkolenie personelu w zakresie obowiązków ochrony danych
  • Przeprowadzanie wewnętrznych audytów i ocen

Skontaktuj się z naszym IOD

Możesz skontaktować się bezpośrednio z naszym Inspektorem ochrony danych w sprawach związanych z RODO:

E-mail: [email protected]

Poczta: Data Protection Officer, WorkTime One, Inc.

Czas odpowiedzi: Odpowiemy na zapytania do IOD w ciągu 5 dni roboczych

10. Prawa pracowników do prywatności

Specjalne względy mają zastosowanie podczas przetwarzania danych pracowników przez WorkTime One:

Obowiązki pracodawcy

Ważne: Jako pracodawca (administrator danych) masz zobowiązania prawne wobec swoich pracowników dotyczące ich prywatności.

  • Przejrzystość: Informuj pracowników o śledzeniu czasu, zbieranych danych i sposobie ich wykorzystania
  • Podstawa prawna: Upewnij się, że masz podstawę prawną (zazwyczaj umowa lub uzasadniony interes) do śledzenia czasu
  • Zgoda biometryczna: Uzyskaj wyraźną zgodę przed zbieraniem odcisków palców lub innych danych biometrycznych
  • Minimalizacja danych: Śledź tylko dane niezbędne do uzasadnionych celów biznesowych
  • Prawa pracowników: Ułatwiaj żądania praw podmiotów danych pracowników (dostęp, usunięcie itp.)
  • Konsultacja z radą pracowniczą: W niektórych krajach UE konsultuj się z radami pracowniczymi przed wdrożeniem monitorowania pracowników
  • Przepisy krajowe: Przestrzegaj krajowych przepisów prawa pracy i przepisów dotyczących monitorowania pracowników

Szablon powiadomienia o prywatności dla pracowników

Udostępniamy szablon powiadomienia o prywatności dla pracowników, który możesz dostosować do swojej organizacji. Pomaga to w spełnieniu wymogów przejrzystości RODO.

Pobierz: Poproś o nasz szablon powiadomienia o prywatności dla pracowników na [email protected]

11. Skargi do organu nadzorczego

Zgodnie z Art. 77 RODO masz prawo złożyć skargę do organu nadzorczego, jeśli uważasz, że naruszyliśmy Twoje prawa do ochrony danych.

Jak złożyć skargę

Możesz złożyć skargę do organu nadzorczego w:

  • Państwie członkowskim UE Twojego zwykłego miejsca zamieszkania
  • Państwie członkowskim UE Twojego miejsca pracy
  • Państwie członkowskim UE, w którym miało miejsce domniemane naruszenie

Organy nadzorcze UE

Znajdź swój lokalny organ ochrony danych:

Lista całej UE: Europejska Rada Ochrony Danych

Irlandia (nasze przedstawicielstwo w UE): Komisja Ochrony Danych (DPC)

E-mail: [email protected]

Strona internetowa: www.dataprotection.ie

Skontaktuj się z nami najpierw

Zachęcamy do skontaktowania się z nami w pierwszej kolejności, jeśli masz obawy dotyczące przetwarzania danych. Jesteśmy zobowiązani do bezpośredniego rozwiązywania problemów i będziemy z Tobą współpracować, aby rozwiązać Twoje obawy.

12. Informacje kontaktowe

W sprawach związanych z RODO, żądaniach praw podmiotów danych lub innych kwestiach prywatności:

Zapytania RODO: [email protected]

Inspektor ochrony danych: [email protected]

Zespół ds. prywatności: [email protected]

Ogólne wsparcie: [email protected]

Przedstawiciel UE: [email protected]

Czas odpowiedzi: Odpowiadamy na żądania RODO w ciągu 30 dni (zgodnie z wymogami prawa)

Nasze przedstawicielstwo w UE

W sprawach specyficznych dla UE możesz skontaktować się z naszym przedstawicielem w UE:

Przedstawiciel UE: WorkTime One Europe Ltd.

E-mail: [email protected]

Jurysdykcja: Irlandia (Wiodący organ nadzorczy: Irlandzki DPC)

Zasoby RODO

Dowiedz się więcej o swoich prawach do ochrony danych i naszej zgodności

Polityka prywatności

Kompletne praktyki prywatności

Środki bezpieczeństwa

Techniczne zabezpieczenia, które wdrażamy

Warunki usługi

Umowa o świadczenie usług i DPA