1. Обзор GDPR
Общий регламент по защите данных (GDPR) — это комплексный закон о защите данных, вступивший в силу 25 мая 2018 года на территории Европейского Союза и Европейской экономической зоны. Он устанавливает строгие требования к тому, как организации собирают, обрабатывают, хранят и защищают персональные данные жителей ЕС.
Что такое персональные данные?
Согласно GDPR, персональные данные — это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Сюда входят:
- Основные идентификационные данные: Имя, адрес, адрес электронной почты, номер телефона
- Рабочая информация: ID сотрудника, должность, отдел, зарплата
- Технические данные: IP-адреса, ID устройств, отпечатки браузеров
- Данные о местоположении: Географическое местоположение от умных замков
- Биометрические данные: Отпечатки пальцев для аутентификации на умных замках
- Поведенческие данные: Рабочие часы, паттерны посещаемости, записи учета времени
Ключевые принципы GDPR
WorkTime One соблюдает все семь принципов GDPR:
1. Законность, справедливость и прозрачность
Данные обрабатываются законно, справедливо и прозрачно с четкими уведомлениями о конфиденциальности
2. Ограничение цели
Данные собираются только для определенных, законных целей
3. Минимизация данных
Собираются только данные, необходимые для заявленной цели
4. Точность
Персональные данные поддерживаются точными и актуальными
5. Ограничение хранения
Данные хранятся только столько, сколько необходимо
6. Целостность и конфиденциальность
Данные защищены соответствующими мерами безопасности
7. Подотчетность
Демонстрация соответствия через документацию и политики
2. Наша роль в соответствии с GDPR
Контроллер данных vs. Обработчик данных
WorkTime One действует в различных качествах в зависимости от контекста:
WorkTime One как контроллер данных
Для данных учетной записи вашей организации (название компании, платежная информация, административные пользователи) мы являемся контроллером данных. Мы определяем, как и почему эти данные обрабатываются.
Примеры: Регистрация учетной записи, выставление счетов, поддержка клиентов, служебные коммуникации
WorkTime One как обработчик данных
Для данных учета рабочего времени сотрудников, которые вы загружаете и управляете, мы являемся обработчиком данных. Вы (клиент) являетесь контроллером данных и определяете цели и средства обработки.
Примеры: Имена сотрудников, рабочие часы, записи посещаемости, биометрические данные, данные о местоположении
Ваши обязанности как контроллера данных
При использовании WorkTime One для отслеживания рабочего времени сотрудников вы являетесь контроллером данных и несете ответственность за:
- Получение законного основания для обработки данных сотрудников (например, согласие, договор, законный интерес)
- Предоставление сотрудникам уведомлений о конфиденциальности, объясняющих сбор и использование данных
- Получение явного согласия на сбор биометрических данных (отпечатков пальцев)
- Ответ на запросы сотрудников о правах субъектов данных
- Внедрение соответствующих технических и организационных мер
- Соблюдение местных трудовых законов и правил мониторинга сотрудников
- Проведение оценок воздействия на защиту данных (DPIA) при необходимости
3. Законное основание для обработки
GDPR требует законного основания для обработки персональных данных. WorkTime One опирается на следующие правовые основания:
Договор (Статья 6(1)(b))
Обработка, необходимая для предоставления наших услуг в соответствии с нашими Условиями обслуживания. Это относится к управлению учетной записью, выставлению счетов и основному функционалу сервиса.
Законный интерес (Статья 6(1)(f))
Обработка для безопасности, предотвращения мошенничества и улучшения сервиса. Мы балансируем наши интересы с вашими правами и свободами.
Согласие (Статья 6(1)(a))
Маркетинговые коммуникации и дополнительные функции требуют вашего явного согласия. Вы можете отозвать согласие в любое время.
Правовое обязательство (Статья 6(1)(c))
Обработка, требуемая законом, такая как налоговые записи, финансовое соответствие и ответ на юридические запросы.
Данные специальной категории (Биометрия)
Биометрические данные (отпечатки пальцев) считаются данными "специальной категории" согласно Статье 9 GDPR и требуют дополнительной защиты. Обработка законна при:
- Явном согласии (Статья 9(2)(a)): Вы должны получить явное, информированное согласие сотрудников на сбор отпечатков пальцев
- Контексте занятости (Статья 9(2)(b)): Обработка может быть необходима для выполнения трудовых обязательств в соответствии с национальным законодательством
- Мерах безопасности: Биометрические данные хешируются, шифруются и хранятся отдельно от других персональных данных
- Праве отозвать: Сотрудники могут отозвать согласие и запросить удаление биометрических данных в любое время
4. Права субъектов данных
В соответствии с GDPR у вас есть всесторонние права в отношении ваших персональных данных:
Право на доступ (Статья 15)
Вы имеете право получить подтверждение, обрабатываем ли мы ваши персональные данные, и получить доступ к этим данным.
Как реализовать:
- Войдите в свою учетную запись и перейдите в Настройки → Экспорт данных
- Экспортируйте свои данные в формате CSV, JSON или Excel
- Отправьте письмо на [email protected] для комплексных запросов на доступ к данным
- Мы ответим в течение 30 дней (бесплатно)
Право на исправление (Статья 16)
Вы имеете право на исправление или дополнение неточных персональных данных.
Как реализовать:
- Обновите информацию учетной записи непосредственно в Настройках
- Администраторы могут обновить информацию о сотрудниках в разделе Управление сотрудниками
- Для исправлений, требующих нашей помощи, обратитесь на [email protected]
- Мы исправим неточности в течение 30 дней
Право на удаление / Право быть забытым (Статья 17)
Вы имеете право запросить удаление ваших персональных данных при определенных обстоятельствах.
Как реализовать:
- Закройте свою учетную запись через Настройки → Учетная запись → Удалить учетную запись
- Сотрудники могут запросить удаление, связавшись со своим работодателем (контроллером данных)
- Отправьте письмо на [email protected] для запросов на удаление
- Данные удаляются в течение 30 дней (за исключением требований законного хранения)
- Резервные копии очищаются в течение 90 дней
Примечание: Мы можем сохранить определенные данные, если это требуется законом (например, налоговые записи в течение 7 лет)
Право на ограничение обработки (Статья 18)
Вы можете запросить ограничение обработки ваших данных в определенных ситуациях.
Когда доступно:
- Вы оспариваете точность данных (во время проверки)
- Обработка незаконна, но вы не хотите удаления
- Нам больше не нужны данные, но они вам нужны для юридических претензий
- Вы возразили против обработки (в ожидании проверки законных оснований)
Право на переносимость данных (Статья 20)
Вы имеете право получить свои персональные данные в структурированном, машиночитаемом формате и передать их другому контроллеру.
Поддерживаемые форматы:
- CSV (значения, разделенные запятыми)
- JSON (нотация объектов JavaScript)
- Excel (.xlsx)
- Прямая передача через API другому сервису (свяжитесь с нами для помощи)
Право на возражение (Статья 21)
Вы имеете право возразить против обработки на основе законных интересов или для прямого маркетинга.
Как реализовать:
- Возражение против маркетинга: Ссылка для отписки в письмах или Настройки → Уведомления
- Возражение против профилирования: Обратитесь на [email protected]
- Возражение против обработки на основе законного интереса: Мы прекратим, если не продемонстрируем убедительные законные основания
Права, связанные с автоматизированным принятием решений (Статья 22)
Вы имеете право не подвергаться решениям, основанным исключительно на автоматизированной обработке, которые значительно влияют на вас.
Позиция WorkTime One: Мы не принимаем автоматизированные решения, которые производят юридические эффекты или аналогично значительно влияют на вас. Расчеты заработной платы и оценки штрафов основаны на прозрачных правилах, определенных вами (работодателем), и могут быть вручную проверены и скорректированы.
5. Меры защиты данных
Мы применяем всесторонние технические и организационные меры для обеспечения надлежащей безопасности:
Технические меры
- Шифрование: Шифрование AES-256 для данных в покое, TLS 1.3 для данных в транзите
- Псевдонимизация: Где возможно, мы псевдонимизируем данные для снижения рисков конфиденциальности
- Контроль доступа: Ролевое управление доступом (RBAC) с принципом наименьших привилегий
- Двухфакторная аутентификация: Обязательная 2FA доступна для всех пользователей
- Автоматические резервные копии: Регулярные зашифрованные резервные копии с географической избыточностью
- Обнаружение вторжений: Круглосуточный мониторинг угроз безопасности
- Управление уязвимостями: Регулярное тестирование безопасности и управление патчами
Организационные меры
- Политики защиты данных: Всесторонние внутренние политики и процедуры
- Обучение сотрудников: Регулярное обучение конфиденциальности и безопасности для всех сотрудников
- Соглашения о конфиденциальности: Все сотрудники подписывают соглашения о неразглашении и конфиденциальности
- Проверки доступа: Ежеквартальные проверки разрешений доступа сотрудников
- План реагирования на инциденты: Документированные процедуры реагирования на утечку данных
- Оценки воздействия на защиту данных: DPIA проводятся для высокорисковой обработки
- Управление поставщиками: Должная осмотрительность в отношении всех субобработчиков
Конфиденциальность по дизайну и по умолчанию
- Соображения конфиденциальности интегрированы в разработку продукта с самого начала
- Настройки по умолчанию отдают приоритет защите конфиденциальности
- Минимизация данных встроена в дизайн системы
- Регулярные проверки конфиденциальности на протяжении всего жизненного цикла продукта
6. Международные передачи данных
WorkTime One может передавать ваши персональные данные за пределы Европейской экономической зоны (ЕЭЗ). Мы обеспечиваем наличие соответствующих мер защиты:
Места хранения данных
- Основное хранилище: Центры обработки данных в ЕС (Германия, Бельгия, Нидерланды) через Google Cloud Platform
- Резервные копии: Реплицированы в нескольких регионах ЕС
- Опция хранения только в ЕС: Корпоративные клиенты могут запросить хранение данных только в ЕС
Механизмы передачи
Стандартные договорные оговорки (SCC)
Мы используем одобренные ЕС стандартные договорные оговорки (SCC) для передачи данных в страны без решений об адекватности. Наши SCC включают требования из решения Schrems II.
Решения об адекватности
Где возможно, мы передаем данные в страны с решениями об адекватности ЕС (например, Великобритания, Швейцария, Канада при определенных условиях).
Дополнительные меры
Мы применяем дополнительные технические меры (шифрование, псевдонимизация) для защиты данных, передаваемых за пределы ЕС.
Субобработчики
Мы используем следующих субобработчиков, которые могут обрабатывать персональные данные ЕС:
| Субобработчик |
Цель |
Местоположение |
Меры защиты |
| Google Cloud Platform |
Хостинг, База данных |
ЕС (основное) |
SCC, ISO 27001 |
| Firebase (Google) |
Аутентификация, База данных |
ЕС (основное) |
SCC, ISO 27001 |
| SendGrid |
Доставка электронной почты |
США |
SCC, PCI DSS |
| TTLock API |
Интеграция умных замков |
Китай |
SCC, Шифрование |
7. Соглашение об обработке данных (DPA)
Как требуется Статьей 28 GDPR, мы предоставляем Соглашение об обработке данных всем клиентам, которые используют WorkTime One для обработки данных сотрудников.
Что такое DPA?
Соглашение об обработке данных (DPA) — это юридически обязывающий контракт между контроллером данных (вами) и обработчиком данных (нами), который регулирует обработку персональных данных. Оно гарантирует, что мы соблюдаем GDPR при обработке ваших данных.
Наш DPA включает
- Предмет и срок: Отслеживание времени и управление посещаемостью на время действия вашей подписки
- Характер и цель: Обработка данных учета рабочего времени сотрудников для предоставления наших услуг
- Типы персональных данных: Имена, ID сотрудников, рабочие часы, биометрические данные, данные о местоположении
- Категории субъектов данных: Ваши сотрудники и подрядчики
- Ваши обязательства: Ваши обязанности как контроллера данных
- Наши обязательства: Наши обязанности как обработчика данных
- Меры безопасности: Технические и организационные меры, которые мы применяем
- Субобработка: Список авторизованных субобработчиков
- Права субъектов данных: Наша помощь с запросами субъектов данных
- Аудиты и проверки: Ваше право проверять наше соответствие
- Уведомление об утечке данных: Наше обязательство уведомлять вас об утечках
- Международные передачи: SCC и механизмы передачи
- Удаление и возврат: Обработка данных по окончании контракта
Как получить доступ: Наш стандартный DPA включен в наши Условия обслуживания. Корпоративные клиенты могут запросить индивидуальный DPA, обратившись на [email protected]
8. Уведомление об утечке данных
В соответствии со Статьями 33 и 34 GDPR у нас есть строгие обязательства в отношении уведомления об утечке данных:
Наши обязательства
- Уведомление надзорного органа: Мы уведомляем соответствующий надзорный орган в течение 72 часов после обнаружения утечки, затрагивающей жителей ЕС
- Уведомление клиентов: Мы уведомляем затронутых клиентов (контроллеров данных) без неоправданной задержки, обычно в течение 24-48 часов
- Уведомление субъектов данных: Если утечка представляет высокий риск для физических лиц, мы помогаем вам уведомить затронутых лиц
- Документация утечек: Мы ведем записи обо всех утечках, включая факты, последствия и меры по исправлению
Что мы вам сообщим
- Характер утечки (что произошло)
- Категории и приблизительное количество затронутых лиц и записей
- Возможные последствия утечки
- Меры, которые мы приняли или предлагаем принять для устранения утечки
- Меры по смягчению потенциальных негативных последствий
- Контактная информация для дальнейших запросов
Ваши обязательства как контроллера данных
Если мы уведомим вас об утечке, затрагивающей данные ваших сотрудников, вам может потребоваться:
- Оценить, представляет ли утечка высокий риск для ваших сотрудников
- Уведомить ваш национальный надзорный орган (если требуется)
- Уведомить затронутых сотрудников (если утечка представляет высокий риск для их прав и свобод)
- Документировать ваше реагирование на утечку и решения
9. Сотрудник по защите данных (DPO)
В соответствии со Статьей 37 GDPR мы назначили Сотрудника по защите данных для надзора за нашей стратегией защиты данных и обеспечения соответствия.
Обязанности DPO
- Мониторинг соответствия GDPR и другим законам о защите данных
- Консультирование по оценкам воздействия на защиту данных (DPIA)
- Сотрудничество с надзорными органами
- Выступление в качестве контактного лица для субъектов данных и надзорных органов
- Обучение персонала обязательствам по защите данных
- Проведение внутренних аудитов и оценок
Связаться с нашим DPO
Вы можете связаться с нашим Сотрудником по защите данных напрямую по любым вопросам, связанным с GDPR:
Email: [email protected]
Почта: Data Protection Officer, WorkTime One, Inc.
Время ответа: Мы ответим на запросы к DPO в течение 5 рабочих дней
10. Права сотрудников на конфиденциальность
При обработке данных сотрудников через WorkTime One применяются особые соображения:
Обязательства работодателя
Важно: Как работодатель (контроллер данных), вы несете юридические обязательства перед своими сотрудниками в отношении их конфиденциальности.
- Прозрачность: Информируйте сотрудников об учете времени, собираемых данных и их использовании
- Законное основание: Убедитесь, что у вас есть законное основание (обычно договор или законный интерес) для учета времени
- Согласие на биометрию: Получите явное согласие перед сбором отпечатков пальцев или других биометрических данных
- Минимизация данных: Отслеживайте только данные, необходимые для законных деловых целей
- Права сотрудников: Обеспечьте реализацию прав субъектов данных сотрудников (доступ, удаление и т.д.)
- Консультация с советом работников: В некоторых странах ЕС консультируйтесь с советами работников перед внедрением мониторинга сотрудников
- Национальные законы: Соблюдайте национальные трудовые законы и правила мониторинга сотрудников
Шаблон уведомления о конфиденциальности для сотрудников
Мы предоставляем шаблон уведомления о конфиденциальности для сотрудников, который вы можете настроить для своей организации. Это поможет вам соблюсти требования прозрачности GDPR.
Скачать: Запросите наш шаблон уведомления о конфиденциальности для сотрудников на [email protected]
11. Жалобы надзорному органу
В соответствии со Статьей 77 GDPR вы имеете право подать жалобу надзорному органу, если считаете, что мы нарушили ваши права на защиту данных.
Как подать жалобу
Вы можете подать жалобу надзорному органу в:
- Государстве-члене ЕС вашего обычного проживания
- Государстве-члене ЕС вашего места работы
- Государстве-члене ЕС, где произошло предполагаемое нарушение
Надзорные органы ЕС
Найдите свой местный орган по защите данных:
Список по всему ЕС: Европейский совет по защите данных
Ирландия (наше представительство в ЕС): Комиссия по защите данных (DPC)
Email: [email protected]
Веб-сайт: www.dataprotection.ie
Свяжитесь с нами сначала
Мы призываем вас сначала связаться с нами, если у вас есть опасения по поводу обработки данных. Мы привержены прямому решению проблем и будем работать с вами для устранения ваших опасений.
Ресурсы по GDPR
Узнайте больше о правах на защиту данных и нашем соответствии