GDPR-efterlevnad

WorkTime One följer fullt ut EU:s allmänna dataskyddsförordning (GDPR). Lär dig om dina rättigheter och hur vi skyddar dina personuppgifter.

Senast uppdaterad: 18 november 2025

GDPR-kompatibel sedan 2018
EU-datacenter tillgängliga
Standardavtalsklausuler

Innehållsförteckning

1. GDPR-översikt

Den allmänna dataskyddsförordningen (GDPR) är en omfattande dataskyddslag som trädde i kraft den 25 maj 2018 i hela EU och EES. Den fastställer strikta krav på hur organisationer samlar in, behandlar, lagrar och skyddar personuppgifter från EU-invånare.

Vad är personuppgifter?

Enligt GDPR är personuppgifter all information som rör en identifierad eller identifierbar fysisk person. Detta inkluderar:

  • Grundläggande identitet: Namn, adress, e-postadress, telefonnummer
  • Arbetsinformation: Anställnings-ID, jobbtitel, avdelning, lön
  • Tekniska data: IP-adresser, enhets-ID:n, webbläsarfingeravtryck
  • Platsdata: Geografisk plats från smarta lås
  • Biometriska data: Fingeravtryck som används för autentisering av smart lås
  • Beteendedata: Arbetstimmar, närvaromönster, tidsspårning

Viktiga GDPR-principer

WorkTime One följer alla sju GDPR-principer:

1. Laglighet, rättvisa och öppenhet

Data behandlas lagligt, rättvist och transparent med tydliga integritetsmeddelanden

2. Ändamålsbegränsning

Data samlas endast in för specificerade, legitima ändamål

3. Dataminimering

Samla endast in data som är nödvändig för det angivna ändamålet

4. Riktighet

Håll personuppgifter korrekta och uppdaterade

5. Lagringsbegränsning

Behåll data endast så länge som nödvändigt

6. Integritet och konfidentialitet

Skydda data med lämpliga säkerhetsåtgärder

7. Ansvarsskyldighet

Visa efterlevnad genom dokumentation och policyer

2. Vår roll enligt GDPR

Personuppgiftsansvarig vs. Personuppgiftsbiträde

WorkTime One agerar i olika roller beroende på sammanhanget:

WorkTime One som Personuppgiftsansvarig

För din organisations kontodata (företagsnamn, faktureringsinformation, administratörsanvändare) är vi personuppgiftsansvariga. Vi bestämmer hur och varför dessa data behandlas.

Exempel: Kontoregistrering, fakturering, kundsupport, tjänstekommunikation

WorkTime One som Personuppgiftsbiträde

För anställdas tidsspårningsdata som du laddar upp och hanterar är vi personuppgiftsbiträde. Du (kunden) är personuppgiftsansvarig och bestämmer syftena och sätten för behandling.

Exempel: Anställdas namn, arbetstimmar, närvaroregister, biometriska data, platsdata

Dina ansvar som Personuppgiftsansvarig

När du använder WorkTime One för att spåra anställdas tid är du personuppgiftsansvarig och ansvarar för:

  • Att erhålla laglig grund för behandling av anställdas data (t.ex. samtycke, kontrakt, berättigat intresse)
  • Att tillhandahålla anställda integritetsmeddelanden som förklarar datainsamling och användning
  • Att erhålla uttryckligt samtycke för insamling av biometriska data (fingeravtryck)
  • Att svara på anställdas förfrågningar om registrerades rättigheter
  • Att implementera lämpliga tekniska och organisatoriska åtgärder
  • Att efterleva lokala arbetsrättslagar och bestämmelser för anställdövervakning
  • Att genomföra konsekvensbedömningar avseende dataskydd (DPIA) där det krävs

3. Laglig grund för behandling

GDPR kräver en laglig grund för behandling av personuppgifter. WorkTime One förlitar sig på följande rättsliga grunder:

Kontrakt (Artikel 6(1)(b))

Behandling som är nödvändig för att tillhandahålla våra tjänster enligt våra användarvillkor. Detta gäller kontohantering, fakturering och kärnfunktionalitet i tjänsten.

Berättigat intresse (Artikel 6(1)(f))

Behandling för säkerhet, bedrägeriförebyggande och tjänsteförbättring. Vi balanserar våra intressen mot dina rättigheter och friheter.

Samtycke (Artikel 6(1)(a))

Marknadsföringskommunikation och valfria funktioner kräver ditt uttryckliga samtycke. Du kan återkalla samtycke när som helst.

Rättslig skyldighet (Artikel 6(1)(c))

Behandling som krävs enligt lag, såsom skattehandlingar, finansiell efterlevnad och svar på rättsliga förfrågningar.

Särskilda kategorier av data (Biometri)

Biometriska data (fingeravtryck) anses vara "särskilda kategorier" av data enligt GDPR artikel 9 och kräver extra skydd. Behandling är laglig enligt:

  • Uttryckligt samtycke (Artikel 9(2)(a)): Du måste erhålla uttryckligt, informerat samtycke från anställda för insamling av fingeravtryck
  • Anställningskontext (Artikel 9(2)(b)): Behandling kan vara nödvändig för anställningsskyldigheter enligt nationell lag
  • Säkerhetsåtgärder: Biometriska data är hashade, krypterade och lagras separat från andra personuppgifter
  • Rätt att återkalla: Anställda kan återkalla samtycke och begära radering av biometriska data när som helst

4. Dina rättigheter som registrerad

Enligt GDPR har du omfattande rättigheter avseende dina personuppgifter:

Rätt till tillgång (Artikel 15)

Du har rätt att få bekräftelse på om vi behandlar dina personuppgifter och att få tillgång till dessa data.

Hur man utövar:

  • Logga in på ditt konto och navigera till Inställningar → Dataexport
  • Exportera dina data i CSV-, JSON- eller Excel-format
  • E-posta [email protected] för omfattande dataåtkomstförfrågningar
  • Vi kommer att svara inom 30 dagar (kostnadsfritt)

Rätt till rättelse (Artikel 16)

Du har rätt att få felaktiga personuppgifter rättade eller kompletterade.

Hur man utövar:

  • Uppdatera din kontoinformation direkt i Inställningar
  • Administratörer kan uppdatera anställdas information i avsnittet Medarbetarhantering
  • För rättelser som kräver vår assistans, kontakta [email protected]
  • Vi kommer att rätta felaktigheter inom 30 dagar

Rätt till radering / Rätt att bli glömd (Artikel 17)

Du har rätt att begära radering av dina personuppgifter under vissa omständigheter.

Hur man utövar:

  • Stäng ditt konto via Inställningar → Konto → Ta bort konto
  • Anställda kan begära radering genom att kontakta sin arbetsgivare (personuppgiftsansvarig)
  • E-posta [email protected] för raderingsförfrågningar
  • Data raderas inom 30 dagar (exklusive lagliga lagringskrav)
  • Säkerhetskopior rensas inom 90 dagar

Observera: Vi kan behålla vissa data där det krävs enligt lag (t.ex. skattehandlingar i 7 år)

Rätt till begränsning av behandling (Artikel 18)

Du kan begära att vi begränsar hur vi behandlar dina data i vissa situationer.

När tillgängligt:

  • Du bestrider dataens riktighet (under verifiering)
  • Behandlingen är olaglig men du vill inte ha radering
  • Vi behöver inte längre data men du behöver dem för rättsliga anspråk
  • Du har invändt mot behandling (i väntan på verifiering av legitima grunder)

Rätt till dataportabilitet (Artikel 20)

Du har rätt att ta emot dina personuppgifter i ett strukturerat, maskinläsbart format och överföra det till en annan personuppgiftsansvarig.

Stödda format:

  • CSV (kommaseparerade värden)
  • JSON (JavaScript Object Notation)
  • Excel (.xlsx)
  • Direkt API-överföring till en annan tjänst (kontakta oss för assistans)

Rätt att invända (Artikel 21)

Du har rätt att invända mot behandling baserad på berättigade intressen eller för direkt marknadsföring.

Hur man utövar:

  • Invända mot marknadsföring: Avprenumerationslänk i e-postmeddelanden eller Inställningar → Notiser
  • Invända mot profilering: Kontakta [email protected]
  • Invända mot behandling baserad på berättigat intresse: Vi kommer att upphöra om vi inte kan visa tvingande legitima grunder

Rättigheter relaterade till automatiserat beslutsfattande (Artikel 22)

Du har rätt att inte bli föremål för beslut som enbart baseras på automatiserad behandling som påverkar dig avsevärt.

WorkTime Ones position: Vi fattar inte automatiserade beslut som ger rättsliga effekter eller på liknande sätt påverkar dig avsevärt. Löneberäkningar och straffbedömningar baseras på transparenta regler definierade av dig (arbetsgivaren) och kan granskas och justeras manuellt.

5. Dataskyddsåtgärder

Vi implementerar omfattande tekniska och organisatoriska åtgärder för att säkerställa lämplig säkerhet:

Tekniska åtgärder

  • Kryptering: AES-256-kryptering för data i vila, TLS 1.3 för data under överföring
  • Pseudonymisering: Där det är möjligt pseudonymiserar vi data för att minska integritetsrisker
  • Åtkomstkontroller: Rollbaserad åtkomstkontroll (RBAC) med principen om minsta behörighet
  • Tvåfaktorsautentisering: Obligatorisk 2FA tillgänglig för alla användare
  • Automatiska säkerhetskopior: Regelbundna krypterade säkerhetskopior med geografisk redundans
  • Intrångsdetektering: 24/7 övervakning för säkerhetshot
  • Sårbarhetshantering: Regelbunden säkerhetstestning och patchhantering

Organisatoriska åtgärder

  • Dataskyddspolicyer: Omfattande interna policyer och procedurer
  • Medarbetarutbildning: Regelbunden integritets- och säkerhetsutbildning för all personal
  • Konfidentialitetsavtal: Alla anställda undertecknar NDA och konfidentialitetsavtal
  • Åtkomstgranskningar: Kvartalsvisa granskningar av anställdas åtkomstbehörigheter
  • Incidentresponsplan: Dokumenterade procedurer för hantering av dataintrång
  • Konsekvensbedömningar avseende dataskydd: DPIA genomförs för högriskbehandling
  • Leverantörshantering: Due diligence på alla underbiträden

Integritet genom design och som standard

  • Integritetsöverväganden integrerade i produktutveckling från start
  • Standardinställningar prioriterar integritetsskydd
  • Dataminimering inbyggd i systemdesign
  • Regelbundna integritetsgranskningar under hela produktlivscykeln

6. Internationella dataöverföringar

WorkTime One kan överföra dina personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES). Vi säkerställer att lämpliga skyddsåtgärder finns på plats:

Lagringsplatser för data

  • Primär lagring: EU-baserade datacenter (Tyskland, Belgien, Nederländerna) via Google Cloud Platform
  • Säkerhetskopior: Replikerade över flera EU-regioner
  • Alternativ för endast EU-lagring: Företagskunder kan begära datalagring endast i EU

Överföringsmekanismer

Standardavtalsklausuler (SCC)

Vi använder EU-godkända standardavtalsklausuler (SCC) för dataöverföringar till länder utan adekvansebeslut. Våra SCC inkorporerar kraven från Schrems II-domen.

Adekvansebeslut

Där det är möjligt överför vi data till länder med EU:s adekvansebeslut (t.ex. Storbritannien, Schweiz, Kanada under vissa förutsättningar).

Kompletterande åtgärder

Vi implementerar kompletterande tekniska åtgärder (kryptering, pseudonymisering) för att skydda data som överförs utanför EU.

Underbiträden

Vi använder följande underbiträden som kan behandla EU-personuppgifter:

Underbiträde Syfte Plats Skyddsåtgärder
Google Cloud Platform Hosting, Databas EU (primär) SCC, ISO 27001
Firebase (Google) Autentisering, Databas EU (primär) SCC, ISO 27001
SendGrid E-postleverans USA SCC, PCI DSS
TTLock API Smart låsintegration Kina SCC, Kryptering

7. Personuppgiftsbiträdesavtal (DPA)

Som krävs enligt GDPR artikel 28 tillhandahåller vi ett personuppgiftsbiträdesavtal till alla kunder som använder WorkTime One för att behandla anställdas data.

Vad är en DPA?

Ett personuppgiftsbiträdesavtal (DPA) är ett juridiskt bindande kontrakt mellan en personuppgiftsansvarig (du) och ett personuppgiftsbiträde (oss) som reglerar hur personuppgifter behandlas. Det säkerställer att vi följer GDPR när vi behandlar dina data.

Vår DPA inkluderar

  • Ämne och varaktighet: Tidsspårning och närvarohantering under abonnemangsperioden
  • Art och syfte: Behandling av anställdas tidsspårningsdata för att tillhandahålla våra tjänster
  • Typer av personuppgifter: Namn, anställnings-ID, arbetstimmar, biometriska data, platsdata
  • Kategorier av registrerade: Dina anställda och entreprenörer
  • Dina skyldigheter: Ditt ansvar som personuppgiftsansvarig
  • Våra skyldigheter: Vårt ansvar som personuppgiftsbiträde
  • Säkerhetsåtgärder: Tekniska och organisatoriska åtgärder vi implementerar
  • Underbehandling: Lista över auktoriserade underbiträden
  • Registrerades rättigheter: Vår assistans med förfrågningar om registrerades rättigheter
  • Revisioner och inspektioner: Din rätt att granska vår efterlevnad
  • Anmälan av dataintrång: Vår skyldighet att underrätta dig om intrång
  • Internationella överföringar: SCC och överföringsmekanismer
  • Radering och återlämnande: Datahantering vid avtalets upphörande

Hur man får tillgång: Vår standard-DPA är inbyggd i våra användarvillkor. Företagskunder kan begära en anpassad DPA genom att kontakta [email protected]

8. Anmälan av dataintrång

Enligt GDPR artiklarna 33 och 34 har vi strikta skyldigheter avseende anmälan av dataintrång:

Våra skyldigheter

  • Anmälan till tillsynsmyndighet: Vi underrättar relevant tillsynsmyndighet inom 72 timmar efter att vi blivit medvetna om ett intrång som påverkar EU-invånare
  • Kundanmälan: Vi underrättar berörda kunder (personuppgiftsansvariga) utan onödigt dröjsmål, vanligtvis inom 24-48 timmar
  • Anmälan till registrerade: Om intrånget utgör hög risk för individer bistår vi dig med att underrätta berörda personer
  • Intrångsdokumentation: Vi upprätthåller register över alla intrång, inklusive fakta, effekter och åtgärdande åtgärder

Vad vi kommer att berätta för dig

  • Intrångets art (vad som hände)
  • Kategorier och ungefärligt antal berörda individer och register
  • Potentiella konsekvenser av intrånget
  • Åtgärder vi har vidtagit eller föreslår att vidta för att hantera intrånget
  • Åtgärder för att mildra potentiella negativa effekter
  • Kontaktinformation för ytterligare förfrågningar

Dina skyldigheter som Personuppgiftsansvarig

Om vi underrättar dig om ett intrång som påverkar dina anställdas data kan du behöva:

  • Bedöma om intrånget utgör hög risk för dina anställda
  • Underrätta din nationella tillsynsmyndighet (om det krävs)
  • Underrätta berörda anställda (om intrånget utgör hög risk för deras rättigheter och friheter)
  • Dokumentera din respons på intrånget och dina beslut

9. Dataskyddsombud (DPO)

Enligt GDPR artikel 37 har vi utsett ett dataskyddsombud för att övervaka vår dataskyddsstrategi och säkerställa efterlevnad.

DPO-ansvar

  • Övervaka efterlevnad av GDPR och andra dataskyddslagar
  • Ge råd om konsekvensbedömningar avseende dataskydd (DPIA)
  • Samarbeta med tillsynsmyndigheter
  • Agera som kontaktpunkt för registrerade och tillsynsmyndigheter
  • Utbilda personal om dataskyddsskyldigheter
  • Genomföra interna revisioner och bedömningar

Kontakta vårt DPO

Du kan kontakta vårt dataskyddsombud direkt för GDPR-relaterade frågor eller bekymmer:

E-post: [email protected]

Post: Dataskyddsombud, WorkTime One, Inc.

Svarstid: Vi kommer att svara på DPO-förfrågningar inom 5 arbetsdagar

10. Anställdas integritetsrättigheter

Särskilda överväganden gäller vid behandling av anställdas data genom WorkTime One:

Arbetsgivarens skyldigheter

Viktigt: Som arbetsgivare (personuppgiftsansvarig) har du juridiska skyldigheter gentemot dina anställda avseende deras integritet.

  • Transparens: Informera anställda om tidsspårning, insamlade data och hur de kommer att användas
  • Laglig grund: Säkerställ att du har laglig grund (vanligtvis kontrakt eller berättigat intresse) för tidsspårning
  • Biometriskt samtycke: Erhåll uttryckligt samtycke innan insamling av fingeravtryck eller andra biometriska data
  • Dataminimering: Spåra endast data som är nödvändiga för legitima affärssyften
  • Anställdas rättigheter: Underlätta anställdas förfrågningar om registrerades rättigheter (tillgång, radering osv.)
  • Samråd med arbetstagarorganisation: I vissa EU-länder, samråd med arbetstagarorganisationer innan implementering av anställdövervakning
  • Nationella lagar: Efterlev nationella arbetsrättslagar och bestämmelser för anställdövervakning

Mall för anställdas integritetsmeddelande

Vi tillhandahåller en mall för anställdas integritetsmeddelande som du kan anpassa för din organisation. Detta hjälper dig att efterleva GDPR:s transparenskrav.

Ladda ner: Begär vår mall för anställdas integritetsmeddelande på [email protected]

11. Klagomål till tillsynsmyndighet

Enligt GDPR artikel 77 har du rätt att lämna in ett klagomål till en tillsynsmyndighet om du anser att vi har kränkt dina dataskyddsrättigheter.

Hur man lämnar in ett klagomål

Du kan lämna in ett klagomål till tillsynsmyndigheten i:

  • EU-medlemsstaten där du har din hemvist
  • EU-medlemsstaten där du har din arbetsplats
  • EU-medlemsstaten där den påstådda överträdelsen inträffade

EU-tillsynsmyndigheter

Hitta din lokala dataskyddsmyndighet:

EU-omfattande lista: European Data Protection Board

Irland (vår EU-etablering): Data Protection Commission (DPC)

E-post: [email protected]

Webbplats: www.dataprotection.ie

Kontakta oss först

Vi uppmuntrar dig att kontakta oss först om du har bekymmer om vår databehandling. Vi är engagerade i att lösa problem direkt och kommer att arbeta med dig för att adressera dina bekymmer.

12. Kontaktinformation

För GDPR-relaterade frågor, förfrågningar om registrerades rättigheter eller andra integritetsfrågor:

GDPR-förfrågningar: [email protected]

Dataskyddsombud: [email protected]

Integritetsteam: [email protected]

Allmän support: [email protected]

EU-representant: [email protected]

Svarstid: Vi svarar på GDPR-förfrågningar inom 30 dagar (som krävs enligt lag)

Vår EU-etablering

För EU-specifika ärenden kan du kontakta vår EU-representant:

EU-representant: WorkTime One Europe Ltd.

E-post: [email protected]

Jurisdiktion: Irland (Huvudtillsynsmyndighet: Irländsk DPC)

GDPR-resurser

Lär dig mer om dina dataskyddsrättigheter och vår efterlevnad

Integritetspolicy

Fullständig integritetspraxis

Säkerhetsåtgärder

Tekniska skyddsåtgärder vi implementerar

Användarvillkor

Serviceavtal och DPA