1. Visão geral do GDPR
O Regulamento Geral de Proteção de Dados (GDPR) é uma lei abrangente de proteção de dados que entrou em vigor em 25 de maio de 2018 em toda a União Europeia e Espaço Econômico Europeu. Estabelece requisitos rigorosos sobre como as organizações coletam, processam, armazenam e protegem dados pessoais de residentes da UE.
O que são dados pessoais?
Sob o GDPR, dados pessoais são qualquer informação relativa a uma pessoa física identificada ou identificável. Isso inclui:
- Identidade básica: Nome, endereço, e-mail, número de telefone
- Informações de trabalho: ID do funcionário, cargo, departamento, salário
- Dados técnicos: Endereços IP, IDs de dispositivo, impressões digitais do navegador
- Dados de localização: Localização geográfica de fechaduras inteligentes
- Dados biométricos: Impressões digitais usadas para autenticação de fechaduras inteligentes
- Dados comportamentais: Horas de trabalho, padrões de presença, registros de tempo
Princípios-chave do GDPR
O WorkTime One adere a todos os sete princípios do GDPR:
1. Legalidade, lealdade e transparência
Dados processados de forma legal, leal e transparente com avisos de privacidade claros
2. Limitação da finalidade
Dados coletados apenas para fins específicos e legítimos
3. Minimização de dados
Coletar apenas dados necessários para o fim declarado
4. Exatidão
Manter os dados pessoais precisos e atualizados
5. Limitação do armazenamento
Reter dados apenas pelo tempo necessário
6. Integridade e confidencialidade
Proteger dados com medidas de segurança apropriadas
7. Responsabilidade
Demonstrar conformidade por meio de documentação e políticas
2. Nosso papel sob o GDPR
Controlador de dados vs. Processador de dados
O WorkTime One atua em diferentes capacidades dependendo do contexto:
WorkTime One como Controlador de Dados
Para os dados da conta da sua organização (nome da empresa, informações de faturamento, usuários administrativos), somos o controlador de dados. Determinamos como e por que esses dados são processados.
Exemplos: Registro de conta, faturamento, suporte ao cliente, comunicações de serviço
WorkTime One como Processador de Dados
Para dados de rastreamento de tempo de funcionários que você carrega e gerencia, somos o processador de dados. Você (o cliente) é o controlador de dados e determina os propósitos e meios de processamento.
Exemplos: Nomes de funcionários, horas de trabalho, registros de presença, dados biométricos, dados de localização
Suas responsabilidades como Controlador de Dados
Ao usar o WorkTime One para rastrear tempo de funcionários, você é o controlador de dados e é responsável por:
- Obter base legal para processar dados de funcionários (por exemplo, consentimento, contrato, interesse legítimo)
- Fornecer aos funcionários avisos de privacidade explicando coleta e uso de dados
- Obter consentimento explícito para coleta de dados biométricos (impressões digitais)
- Responder a solicitações de direitos de titulares de dados dos funcionários
- Implementar medidas técnicas e organizacionais apropriadas
- Cumprir leis trabalhistas locais e regulamentos de monitoramento de funcionários
- Conduzir Avaliações de Impacto de Proteção de Dados (DPIAs) quando necessário
3. Base legal para processamento
O GDPR requer uma base legal para processar dados pessoais. O WorkTime One se baseia nas seguintes bases legais:
Contrato (Artigo 6(1)(b))
Processamento necessário para fornecer nossos serviços sob nossos Termos de Serviço. Isso se aplica ao gerenciamento de conta, faturamento e funcionalidade principal do serviço.
Interesse Legítimo (Artigo 6(1)(f))
Processamento para segurança, prevenção de fraude e melhoria do serviço. Equilibramos nossos interesses com seus direitos e liberdades.
Consentimento (Artigo 6(1)(a))
Comunicações de marketing e recursos opcionais requerem seu consentimento explícito. Você pode retirar o consentimento a qualquer momento.
Obrigação Legal (Artigo 6(1)(c))
Processamento exigido por lei, como registros fiscais, conformidade financeira e resposta a solicitações legais.
Dados de Categoria Especial (Biometria)
Dados biométricos (impressões digitais) são considerados dados de "categoria especial" sob o Artigo 9 do GDPR e requerem proteção adicional. O processamento é legal sob:
- Consentimento Explícito (Artigo 9(2)(a)): Você deve obter consentimento explícito e informado dos funcionários para coleta de impressões digitais
- Contexto de Emprego (Artigo 9(2)(b)): O processamento pode ser necessário para obrigações de emprego sob lei nacional
- Medidas de Segurança: Dados biométricos são hashados, criptografados e armazenados separadamente de outros dados pessoais
- Direito de Retirar: Funcionários podem retirar consentimento e solicitar exclusão de dados biométricos a qualquer momento
4. Seus direitos como titular de dados
Sob o GDPR, você tem direitos abrangentes em relação aos seus dados pessoais:
Direito de Acesso (Artigo 15)
Você tem o direito de obter confirmação se processamos seus dados pessoais e de acessar esses dados.
Como exercer:
- Faça login na sua conta e navegue até Configurações → Exportação de Dados
- Exporte seus dados em formato CSV, JSON ou Excel
- Envie e-mail para [email protected] para solicitações abrangentes de acesso a dados
- Responderemos dentro de 30 dias (gratuito)
Direito de Retificação (Artigo 16)
Você tem o direito de ter dados pessoais imprecisos corrigidos ou completados.
Como exercer:
- Atualize suas informações de conta diretamente em Configurações
- Administradores podem atualizar informações de funcionários na seção Gerenciamento de Funcionários
- Para correções que requerem nossa assistência, entre em contato com [email protected]
- Corrigiremos imprecisões dentro de 30 dias
Direito de Apagamento / Direito de Ser Esquecido (Artigo 17)
Você tem o direito de solicitar a exclusão de seus dados pessoais em certas circunstâncias.
Como exercer:
- Feche sua conta através de Configurações → Conta → Excluir Conta
- Funcionários podem solicitar exclusão entrando em contato com seu empregador (controlador de dados)
- Envie e-mail para [email protected] para solicitações de exclusão
- Dados excluídos dentro de 30 dias (excluindo requisitos de retenção legal)
- Backups purgados dentro de 90 dias
Nota: Podemos reter certos dados quando exigido por lei (por exemplo, registros fiscais por 7 anos)
Direito de Restrição de Processamento (Artigo 18)
Você pode solicitar que limitemos como processamos seus dados em certas situações.
Quando disponível:
- Você contesta a precisão dos dados (durante verificação)
- O processamento é ilegal, mas você não quer exclusão
- Não precisamos mais dos dados, mas você precisa para reivindicações legais
- Você se opôs ao processamento (pendente verificação de fundamentos legítimos)
Direito à Portabilidade de Dados (Artigo 20)
Você tem o direito de receber seus dados pessoais em formato estruturado e legível por máquina e transmiti-los a outro controlador.
Formatos suportados:
- CSV (Valores Separados por Vírgula)
- JSON (JavaScript Object Notation)
- Excel (.xlsx)
- Transferência direta por API para outro serviço (entre em contato conosco para assistência)
Direito de Oposição (Artigo 21)
Você tem o direito de se opor ao processamento baseado em interesses legítimos ou para marketing direto.
Como exercer:
- Oposição ao marketing: Link de cancelamento de inscrição em e-mails ou Configurações → Notificações
- Oposição à criação de perfil: Entre em contato com [email protected]
- Oposição ao processamento de interesse legítimo: Cessaremos a menos que demonstremos fundamentos legítimos convincentes
Direitos Relacionados à Tomada de Decisão Automatizada (Artigo 22)
Você tem o direito de não estar sujeito a decisões baseadas apenas em processamento automatizado que o afetem significativamente.
Posição do WorkTime One: Não tomamos decisões automatizadas que produzam efeitos legais ou afetem significativamente você. Cálculos de folha de pagamento e avaliações de penalidade são baseados em regras transparentes definidas por você (o empregador) e podem ser revisados e ajustados manualmente.
5. Medidas de proteção de dados
Implementamos medidas técnicas e organizacionais abrangentes para garantir segurança apropriada:
Medidas Técnicas
- Criptografia: Criptografia AES-256 para dados em repouso, TLS 1.3 para dados em trânsito
- Pseudonimização: Quando possível, pseudonimizamos dados para reduzir riscos de privacidade
- Controles de Acesso: Controle de acesso baseado em função (RBAC) com princípio de menor privilégio
- Autenticação de Dois Fatores: 2FA obrigatória disponível para todos os usuários
- Backups Automatizados: Backups criptografados regulares com redundância geográfica
- Detecção de Intrusão: Monitoramento 24/7 de ameaças de segurança
- Gerenciamento de Vulnerabilidades: Testes regulares de segurança e gerenciamento de patches
Medidas Organizacionais
- Políticas de Proteção de Dados: Políticas e procedimentos internos abrangentes
- Treinamento de Funcionários: Treinamento regular de privacidade e segurança para todos os funcionários
- Acordos de Confidencialidade: Todos os funcionários assinam NDAs e acordos de confidencialidade
- Revisões de Acesso: Revisões trimestrais de permissões de acesso de funcionários
- Plano de Resposta a Incidentes: Procedimentos documentados para resposta a violação de dados
- Avaliações de Impacto de Proteção de Dados: DPIAs conduzidas para processamento de alto risco
- Gerenciamento de Fornecedores: Due diligence em todos os subprocessadores
Privacidade por Design e por Padrão
- Considerações de privacidade integradas ao desenvolvimento de produto desde o início
- Configurações padrão priorizam proteção de privacidade
- Minimização de dados integrada ao design do sistema
- Revisões regulares de privacidade durante todo o ciclo de vida do produto
6. Transferências internacionais de dados
O WorkTime One pode transferir seus dados pessoais para fora do Espaço Econômico Europeu (EEE). Garantimos que salvaguardas apropriadas estejam em vigor:
Locais de armazenamento de dados
- Armazenamento Primário: Data centers baseados na UE (Alemanha, Bélgica, Holanda) via Google Cloud Platform
- Backups: Replicados em várias regiões da UE
- Opção de armazenamento apenas na UE: Clientes corporativos podem solicitar residência de dados apenas na UE
Mecanismos de transferência
Cláusulas Contratuais Padrão (SCCs)
Usamos Cláusulas Contratuais Padrão (SCCs) aprovadas pela UE para transferências de dados para países sem decisões de adequação. Nossas SCCs incorporam os requisitos do julgamento Schrems II.
Decisões de Adequação
Quando possível, transferimos dados para países com decisões de adequação da UE (por exemplo, Reino Unido, Suíça, Canadá sob certas condições).
Medidas Suplementares
Implementamos medidas técnicas suplementares (criptografia, pseudonimização) para proteger dados transferidos para fora da UE.
Subprocessadores
Usamos os seguintes subprocessadores que podem processar dados pessoais da UE:
| Subprocessador |
Propósito |
Localização |
Salvaguardas |
| Google Cloud Platform |
Hospedagem, Banco de Dados |
UE (primário) |
SCCs, ISO 27001 |
| Firebase (Google) |
Autenticação, Banco de Dados |
UE (primário) |
SCCs, ISO 27001 |
| SendGrid |
Entrega de E-mail |
EUA |
SCCs, PCI DSS |
| TTLock API |
Integração de Fechadura Inteligente |
China |
SCCs, Criptografia |
7. Acordo de Processamento de Dados (DPA)
Conforme exigido pelo Artigo 28 do GDPR, fornecemos um Acordo de Processamento de Dados a todos os clientes que usam o WorkTime One para processar dados de funcionários.
O que é um DPA?
Um Acordo de Processamento de Dados (DPA) é um contrato juridicamente vinculativo entre um controlador de dados (você) e um processador de dados (nós) que rege como dados pessoais são processados. Garante que cumprimos o GDPR ao processar seus dados.
Nosso DPA inclui
- Assunto e Duração: Rastreamento de tempo e gerenciamento de presença durante a duração da sua assinatura
- Natureza e Propósito: Processamento de dados de rastreamento de tempo de funcionários para fornecer nossos serviços
- Tipos de Dados Pessoais: Nomes, IDs de funcionários, horas de trabalho, dados biométricos, dados de localização
- Categorias de Titulares de Dados: Seus funcionários e contratados
- Suas Obrigações: Suas responsabilidades como controlador de dados
- Nossas Obrigações: Nossas responsabilidades como processador de dados
- Medidas de Segurança: Medidas técnicas e organizacionais que implementamos
- Subprocessamento: Lista de subprocessadores autorizados
- Direitos de Titulares de Dados: Nossa assistência com solicitações de titulares de dados
- Auditorias e Inspeções: Seu direito de auditar nossa conformidade
- Notificação de Violação de Dados: Nossa obrigação de notificá-lo sobre violações
- Transferências Internacionais: SCCs e mecanismos de transferência
- Exclusão e Devolução: Tratamento de dados após término do contrato
Como acessar: Nosso DPA padrão está incorporado em nossos Termos de Serviço. Clientes corporativos podem solicitar um DPA personalizado entrando em contato com [email protected]
8. Notificação de violação de dados
Sob os Artigos 33 e 34 do GDPR, temos obrigações rígidas em relação à notificação de violação de dados:
Nossas obrigações
- Notificação à Autoridade Supervisora: Notificamos a autoridade supervisora relevante dentro de 72 horas após tomar conhecimento de uma violação afetando residentes da UE
- Notificação ao Cliente: Notificamos clientes afetados (controladores de dados) sem demora indevida, tipicamente dentro de 24-48 horas
- Notificação ao Titular de Dados: Se a violação representar alto risco para indivíduos, ajudamos você a notificar indivíduos afetados
- Documentação de Violação: Mantemos registros de todas as violações, incluindo fatos, efeitos e ações corretivas
O que diremos a você
- Natureza da violação (o que aconteceu)
- Categorias e número aproximado de indivíduos e registros afetados
- Consequências potenciais da violação
- Medidas que tomamos ou propomos tomar para abordar a violação
- Medidas para mitigar possíveis efeitos adversos
- Informações de contato para consultas adicionais
Suas obrigações como Controlador de Dados
Se notificarmos você sobre uma violação afetando dados de seus funcionários, você pode precisar:
- Avaliar se a violação representa alto risco para seus funcionários
- Notificar sua autoridade supervisora nacional (se necessário)
- Notificar funcionários afetados (se a violação representar alto risco para seus direitos e liberdades)
- Documentar sua resposta à violação e decisões
9. Encarregado de Proteção de Dados (DPO)
Sob o Artigo 37 do GDPR, nomeamos um Encarregado de Proteção de Dados para supervisionar nossa estratégia de proteção de dados e garantir conformidade.
Responsabilidades do DPO
- Monitorar conformidade com GDPR e outras leis de proteção de dados
- Aconselhar sobre Avaliações de Impacto de Proteção de Dados (DPIAs)
- Cooperar com autoridades supervisoras
- Atuar como ponto de contato para titulares de dados e autoridades supervisoras
- Treinar funcionários sobre obrigações de proteção de dados
- Conduzir auditorias internas e avaliações
Contate nosso DPO
Você pode entrar em contato com nosso Encarregado de Proteção de Dados diretamente para quaisquer questões relacionadas ao GDPR:
E-mail: [email protected]
Correio: Data Protection Officer, WorkTime One, Inc.
Tempo de resposta: Responderemos a consultas ao DPO dentro de 5 dias úteis
10. Direitos de privacidade dos funcionários
Considerações especiais se aplicam ao processar dados de funcionários através do WorkTime One:
Obrigações do empregador
Importante: Como empregador (controlador de dados), você tem obrigações legais para com seus funcionários em relação à privacidade deles.
- Transparência: Informar funcionários sobre rastreamento de tempo, dados coletados e como serão usados
- Base Legal: Garantir que você tenha base legal (geralmente contrato ou interesse legítimo) para rastreamento de tempo
- Consentimento Biométrico: Obter consentimento explícito antes de coletar impressões digitais ou outros dados biométricos
- Minimização de Dados: Rastrear apenas dados necessários para propósitos comerciais legítimos
- Direitos dos Funcionários: Facilitar solicitações de direitos de titulares de dados dos funcionários (acesso, exclusão, etc.)
- Consulta ao Conselho de Trabalhadores: Em alguns países da UE, consultar conselhos de trabalhadores antes de implementar monitoramento de funcionários
- Leis Nacionais: Cumprir leis trabalhistas nacionais e regulamentos de monitoramento de funcionários
Modelo de Aviso de Privacidade para Funcionários
Fornecemos um modelo de aviso de privacidade para funcionários que você pode personalizar para sua organização. Isso ajuda você a cumprir os requisitos de transparência do GDPR.
Download: Solicite nosso modelo de Aviso de Privacidade para Funcionários em [email protected]
11. Reclamações à autoridade supervisora
Sob o Artigo 77 do GDPR, você tem o direito de apresentar uma reclamação a uma autoridade supervisora se acreditar que violamos seus direitos de proteção de dados.
Como apresentar uma reclamação
Você pode apresentar uma reclamação à autoridade supervisora em:
- O estado-membro da UE de sua residência habitual
- O estado-membro da UE de seu local de trabalho
- O estado-membro da UE onde a suposta infração ocorreu
Autoridades Supervisoras da UE
Encontre sua autoridade local de proteção de dados:
Lista em toda a UE: Comitê Europeu de Proteção de Dados
Irlanda (nosso estabelecimento na UE): Comissão de Proteção de Dados (DPC)
E-mail: [email protected]
Website: www.dataprotection.ie
Entre em contato conosco primeiro
Encorajamos você a entrar em contato conosco primeiro se tiver preocupações sobre nosso processamento de dados. Estamos comprometidos em resolver problemas diretamente e trabalharemos com você para abordar suas preocupações.
Recursos GDPR
Saiba mais sobre seus direitos de proteção de dados e nossa conformidade