Відповідність GDPR

WorkTime One повністю відповідає Загальному регламенту захисту даних ЄС (GDPR). Дізнайтеся про свої права та про те, як ми захищаємо ваші персональні дані.

Останнє оновлення: 18 листопада 2025

Відповідає GDPR з 2018 року
Доступні центри обробки даних ЄС
Стандартні договірні положення

Зміст

1. Огляд GDPR

Загальний регламент захисту даних (GDPR) - це комплексний закон про захист даних, який набув чинності 25 травня 2018 року в усьому Європейському Союзі та Європейській економічній зоні. Він встановлює суворі вимоги щодо того, як організації збирають, обробляють, зберігають та захищають персональні дані резидентів ЄС.

Що таке персональні дані?

Відповідно до GDPR персональні дані - це будь-яка інформація, що стосується ідентифікованої або ідентифікованої фізичної особи. Це включає:

  • Основна особистість: Ім'я, адреса, адреса електронної пошти, номер телефону
  • Робоча інформація: ID співробітника, посада, відділ, зарплата
  • Технічні дані: IP-адреси, ідентифікатори пристроїв, відбитки браузера
  • Дані про місцезнаходження: Географічне розташування розумних замків
  • Біометричні дані: Відбитки пальців, що використовуються для автентифікації розумного замка
  • Поведінкові дані: Робочі години, моделі відвідуваності, записи часу

Ключові принципи GDPR

WorkTime One дотримується всіх семи принципів GDPR:

1. Законність, справедливість та прозорість

Дані обробляються законно, справедливо та прозоро з чіткими повідомленнями про конфіденційність

2. Обмеження мети

Дані збираються лише для конкретних, легітимних цілей

3. Мінімізація даних

Збирайте лише дані, необхідні для заявленої мети

4. Точність

Зберігайте персональні дані точними та актуальними

5. Обмеження зберігання

Зберігайте дані лише стільки, скільки необхідно

6. Цілісність та конфіденційність

Захищайте дані відповідними заходами безпеки

7. Підзвітність

Демонструйте відповідність через документацію та політики

2. Наша роль відповідно до GDPR

Контролер даних проти обробника даних

WorkTime One діє в різних якостях залежно від контексту:

WorkTime One як контролер даних

Для даних облікового запису вашої організації (назва компанії, платіжна інформація, користувачі-адміністратори) ми є контролером даних. Ми визначаємо, як і чому ці дані обробляються.

Приклади: реєстрація облікового запису, виставлення рахунків, підтримка клієнтів, комунікація щодо послуг

WorkTime One як обробник даних

Для даних відстеження часу співробітників, які ви завантажуєте та керуєте, ми є обробником даних. Ви (клієнт) є контролером даних і визначаєте цілі та засоби обробки.

Приклади: імена співробітників, робочі години, записи відвідуваності, біометричні дані, дані про місцезнаходження

Ваші обов'язки як контролера даних

Використовуючи WorkTime One для відстеження часу співробітників, ви є контролером даних і несете відповідальність за:

  • Отримання правової основи для обробки даних співробітників (наприклад, згода, договір, законний інтерес)
  • Надання співробітникам повідомлень про конфіденційність, що пояснюють збір і використання даних
  • Отримання явної згоди на збір біометричних даних (відбитків пальців)
  • Відповідь на запити співробітників про права суб'єктів даних
  • Впровадження відповідних технічних та організаційних заходів
  • Дотримання місцевого трудового законодавства та правил моніторингу співробітників
  • Проведення оцінок впливу на захист даних (DPIA) там, де це необхідно

3. Правова основа для обробки

GDPR вимагає правової основи для обробки персональних даних. WorkTime One спирається на наступні правові підстави:

Договір (Стаття 6(1)(b))

Обробка, необхідна для надання наших послуг відповідно до наших Умов надання послуг. Це стосується управління обліковим записом, виставлення рахунків та основної функціональності послуг.

Законний інтерес (Стаття 6(1)(f))

Обробка для безпеки, запобігання шахрайству та вдосконалення послуг. Ми балансуємо наші інтереси з вашими правами та свободами.

Згода (Стаття 6(1)(a))

Маркетингові комунікації та опціональні функції вимагають вашої явної згоди. Ви можете відкликати згоду в будь-який час.

Правовий обов'язок (Стаття 6(1)(c))

Обробка, що вимагається законом, наприклад податкові записи, фінансова відповідність та відповідь на юридичні запити.

Дані спеціальної категорії (Біометрія)

Біометричні дані (відбитки пальців) вважаються даними "спеціальної категорії" відповідно до статті 9 GDPR і вимагають додаткового захисту. Обробка є законною відповідно до:

  • Явна згода (Стаття 9(2)(a)): Ви повинні отримати явну, поінформовану згоду від співробітників на збір відбитків пальців
  • Контекст зайнятості (Стаття 9(2)(b)): Обробка може бути необхідною для виконання зобов'язань щодо зайнятості відповідно до національного законодавства
  • Заходи безпеки: Біометричні дані хешуються, шифруються та зберігаються окремо від інших персональних даних
  • Право відкликати: Співробітники можуть відкликати згоду та подати запит на видалення біометричних даних у будь-який час

4. Ваші права як суб'єкта даних

Відповідно до GDPR ви маєте всебічні права щодо ваших персональних даних:

Право на доступ (Стаття 15)

Ви маєте право отримати підтвердження того, чи обробляємо ми ваші персональні дані, і отримати доступ до цих даних.

Як скористатися:

  • Увійдіть у свій обліковий запис і перейдіть до Налаштування → Експорт даних
  • Експортуйте свої дані у форматі CSV, JSON або Excel
  • Надішліть електронний лист на [email protected] для комплексних запитів на доступ до даних
  • Ми відповімо протягом 30 днів (безкоштовно)

Право на виправлення (Стаття 16)

Ви маєте право на виправлення неточних персональних даних або їх доповнення.

Як скористатися:

  • Оновіть інформацію свого облікового запису безпосередньо в Налаштуваннях
  • Адміністратори можуть оновлювати інформацію про співробітників у розділі Управління співробітниками
  • Для виправлень, що вимагають нашої допомоги, зв'яжіться з [email protected]
  • Ми виправимо неточності протягом 30 днів

Право на видалення / Право бути забутим (Стаття 17)

Ви маєте право вимагати видалення ваших персональних даних за певних обставин.

Як скористатися:

  • Закрийте свій обліковий запис через Налаштування → Обліковий запис → Видалити обліковий запис
  • Співробітники можуть запитати видалення, зв'язавшись зі своїм роботодавцем (контролером даних)
  • Надішліть електронний лист на [email protected] для запитів на видалення
  • Дані видаляються протягом 30 днів (за винятком вимог законного зберігання)
  • Резервні копії очищаються протягом 90 днів

Примітка: Ми можемо зберігати певні дані там, де це вимагається законом (наприклад, податкові записи протягом 7 років)

Право на обмеження обробки (Стаття 18)

Ви можете вимагати, щоб ми обмежили спосіб обробки ваших даних у певних ситуаціях.

Коли доступно:

  • Ви оспорюєте точність даних (під час перевірки)
  • Обробка є незаконною, але ви не хочете видалення
  • Нам більше не потрібні дані, але вони потрібні вам для юридичних позовів
  • Ви заперечили проти обробки (в очікуванні перевірки законних підстав)

Право на переносимість даних (Стаття 20)

Ви маєте право отримати свої персональні дані у структурованому, машинозчитуваному форматі та передати їх іншому контролеру.

Підтримувані формати:

  • CSV (значення, розділені комами)
  • JSON (JavaScript Object Notation)
  • Excel (.xlsx)
  • Прямий API-трансфер до іншої служби (зв'яжіться з нами для отримання допомоги)

Право заперечувати (Стаття 21)

Ви маєте право заперечувати проти обробки на підставі законних інтересів або для прямого маркетингу.

Як скористатися:

  • Заперечення проти маркетингу: посилання на відписку в електронних листах або Налаштування → Сповіщення
  • Заперечення проти профілювання: зв'яжіться з [email protected]
  • Заперечення проти обробки на основі законних інтересів: ми припинимо, якщо не продемонструємо переважаючі законні підстави

Права, пов'язані з автоматизованим прийняттям рішень (Стаття 22)

Ви маєте право не підлягати рішенням, заснованим виключно на автоматизованій обробці, які істотно впливають на вас.

Позиція WorkTime One: Ми не приймаємо автоматизованих рішень, які спричиняють юридичні наслідки або подібним чином істотно впливають на вас. Розрахунки заробітної плати та оцінки штрафів базуються на прозорих правилах, визначених вами (роботодавцем), і можуть бути вручну переглянуті та скориговані.

5. Заходи захисту даних

Ми впроваджуємо комплексні технічні та організаційні заходи для забезпечення належної безпеки:

Технічні заходи

  • Шифрування: AES-256 шифрування для даних у спокої, TLS 1.3 для даних під час передачі
  • Псевдонімізація: Де можливо, ми псевдонімізуємо дані для зменшення ризиків конфіденційності
  • Контроль доступу: Рольовий контроль доступу (RBAC) з принципом найменших привілеїв
  • Двофакторна автентифікація: Обов'язкова 2FA доступна для всіх користувачів
  • Автоматизовані резервні копії: Регулярні зашифровані резервні копії з географічною надмірністю
  • Виявлення вторгнень: Цілодобовий моніторинг загроз безпеки
  • Управління вразливостями: Регулярне тестування безпеки та управління патчами

Організаційні заходи

  • Політики захисту даних: Всебічні внутрішні політики та процедури
  • Навчання співробітників: Регулярне навчання конфіденційності та безпеки для всього персоналу
  • Угоди про конфіденційність: Всі співробітники підписують угоди про нерозголошення та конфіденційність
  • Огляди доступу: Щоквартальні огляди дозволів доступу співробітників
  • План реагування на інциденти: Задокументовані процедури реагування на порушення даних
  • Оцінки впливу на захист даних: DPIA проводяться для високоризикової обробки
  • Управління постачальниками: Належна обачність щодо всіх суб-обробників

Конфіденційність за дизайном і за замовчуванням

  • Міркування конфіденційності інтегровані в розробку продукту з самого початку
  • Налаштування за замовчуванням надають пріоритет захисту конфіденційності
  • Мінімізація даних вбудована в дизайн системи
  • Регулярні огляди конфіденційності протягом усього життєвого циклу продукту

6. Міжнародні передачі даних

WorkTime One може передавати ваші персональні дані за межі Європейської економічної зони (ЄЕЗ). Ми забезпечуємо наявність відповідних гарантій:

Місця зберігання даних

  • Основне зберігання: центри обробки даних ЄС (Німеччина, Бельгія, Нідерланди) через Google Cloud Platform
  • Резервні копії: реплікуються в декількох регіонах ЄС
  • Опція виключно для ЄС: корпоративні клієнти можуть запросити зберігання даних виключно в ЄС

Механізми передачі

Стандартні договірні положення (SCC)

Ми використовуємо затверджені ЄС стандартні договірні положення (SCC) для передачі даних до країн без рішень про адекватність. Наші SCC включають вимоги з рішення Schrems II.

Рішення про адекватність

Де можливо, ми передаємо дані до країн з рішеннями ЄС про адекватність (наприклад, Великобританія, Швейцарія, Канада за певних умов).

Додаткові заходи

Ми впроваджуємо додаткові технічні заходи (шифрування, псевдонімізація) для захисту даних, переданих за межі ЄС.

Суб-обробники

Ми використовуємо наступних суб-обробників, які можуть обробляти персональні дані ЄС:

Суб-обробник Мета Місцезнаходження Гарантії
Google Cloud Platform Хостинг, База даних ЄС (основний) SCC, ISO 27001
Firebase (Google) Автентифікація, База даних ЄС (основний) SCC, ISO 27001
SendGrid Доставка електронної пошти США SCC, PCI DSS
TTLock API Інтеграція розумних замків Китай SCC, Шифрування

7. Угода про обробку даних (DPA)

Як вимагає стаття 28 GDPR, ми надаємо Угоду про обробку даних усім клієнтам, які використовують WorkTime One для обробки даних співробітників.

Що таке DPA?

Угода про обробку даних (DPA) - це юридично обов'язковий контракт між контролером даних (ви) та обробником даних (ми), який регулює, як обробляються персональні дані. Це гарантує, що ми дотримуємося GDPR при обробці ваших даних.

Наша DPA включає

  • Предмет і тривалість: Відстеження часу та управління відвідуваністю на період вашої підписки
  • Характер і мета: Обробка даних відстеження часу співробітників для надання наших послуг
  • Типи персональних даних: Імена, ID співробітників, робочі години, біометричні дані, дані про місцезнаходження
  • Категорії суб'єктів даних: Ваші співробітники та підрядники
  • Ваші зобов'язання: Ваші обов'язки як контролера даних
  • Наші зобов'язання: Наші обов'язки як обробника даних
  • Заходи безпеки: Технічні та організаційні заходи, які ми впроваджуємо
  • Суб-обробка: Список авторизованих суб-обробників
  • Права суб'єктів даних: Наша допомога із запитами суб'єктів даних
  • Аудити та інспекції: Ваше право перевіряти нашу відповідність
  • Повідомлення про порушення даних: Наш обов'язок повідомляти вас про порушення
  • Міжнародні передачі: SCC та механізми передачі
  • Видалення та повернення: Обробка даних після припинення контракту

Як отримати доступ: Наша стандартна DPA включена в наші Умови надання послуг. Корпоративні клієнти можуть запросити індивідуальну DPA, зв'язавшись з [email protected]

8. Повідомлення про порушення даних

Відповідно до статей 33 і 34 GDPR ми маємо суворі зобов'язання щодо повідомлення про порушення даних:

Наші зобов'язання

  • Повідомлення наглядового органу: Ми повідомляємо відповідний наглядовий орган протягом 72 годин після того, як дізнаємося про порушення, що стосується резидентів ЄС
  • Повідомлення клієнтів: Ми повідомляємо постраждалих клієнтів (контролерів даних) без зайвих затримок, зазвичай протягом 24-48 годин
  • Повідомлення суб'єктів даних: Якщо порушення становить високий ризик для осіб, ми допомагаємо вам у повідомленні постраждалих осіб
  • Документація про порушення: Ми ведемо записи про всі порушення, включаючи факти, наслідки та коригувальні дії

Що ми вам розповімо

  • Характер порушення (що сталося)
  • Категорії та приблизна кількість постраждалих осіб і записів
  • Потенційні наслідки порушення
  • Заходи, які ми вжили або пропонуємо вжити для усунення порушення
  • Заходи для пом'якшення потенційних негативних наслідків
  • Контактна інформація для подальших запитів

Ваші зобов'язання як контролера даних

Якщо ми повідомляємо вас про порушення, що стосується даних ваших співробітників, вам може знадобитися:

  • Оцінити, чи становить порушення високий ризик для ваших співробітників
  • Повідомити ваш національний наглядовий орган (якщо потрібно)
  • Повідомити постраждалих співробітників (якщо порушення становить високий ризик для їхніх прав і свобод)
  • Задокументувати вашу відповідь на порушення та рішення

9. Інспектор із захисту даних (DPO)

Відповідно до статті 37 GDPR ми призначили інспектора із захисту даних для нагляду за нашою стратегією захисту даних та забезпечення відповідності.

Обов'язки DPO

  • Моніторинг відповідності GDPR та іншим законам про захист даних
  • Консультування щодо оцінок впливу на захист даних (DPIA)
  • Співпраця з наглядовими органами
  • Виконання ролі контактної точки для суб'єктів даних і наглядових органів
  • Навчання персоналу обов'язкам щодо захисту даних
  • Проведення внутрішніх аудитів та оцінок

Зв'яжіться з нашим DPO

Ви можете зв'язатися з нашим інспектором із захисту даних безпосередньо з будь-якими питаннями або проблемами, пов'язаними з GDPR:

Електронна пошта: [email protected]

Пошта: Інспектор із захисту даних, WorkTime One, Inc.

Час відповіді: Ми відповімо на запити DPO протягом 5 робочих днів

10. Права працівників на конфіденційність

Особливі міркування застосовуються при обробці даних співробітників через WorkTime One:

Зобов'язання роботодавця

Важливо: Як роботодавець (контролер даних), ви маєте юридичні зобов'язання перед своїми співробітниками щодо їхньої конфіденційності.

  • Прозорість: Повідомте співробітників про відстеження часу, зібрані дані та те, як вони будуть використовуватися
  • Правова основа: Переконайтеся, що у вас є правова основа (зазвичай договір або законний інтерес) для відстеження часу
  • Згода на біометрію: Отримайте явну згоду перед збором відбитків пальців або інших біометричних даних
  • Мінімізація даних: Відстежуйте лише дані, необхідні для законних бізнес-цілей
  • Права співробітників: Сприяйте запитам співробітників щодо прав суб'єктів даних (доступ, видалення тощо)
  • Консультація з радою підприємства: У деяких країнах ЄС проконсультуйтеся з радами підприємств перед впровадженням моніторингу співробітників
  • Національні закони: Дотримуйтеся національного трудового законодавства та правил моніторингу співробітників

Шаблон повідомлення про конфіденційність співробітників

Ми надаємо шаблон повідомлення про конфіденційність співробітників, який ви можете налаштувати для своєї організації. Це допоможе вам дотримуватися вимог прозорості GDPR.

Завантажити: Запросіть наш шаблон повідомлення про конфіденційність співробітників на [email protected]

11. Скарги до наглядового органу

Відповідно до статті 77 GDPR ви маєте право подати скаргу до наглядового органу, якщо вважаєте, що ми порушили ваші права на захист даних.

Як подати скаргу

Ви можете подати скаргу до наглядового органу в:

  • Держава-член ЄС вашого звичайного місця проживання
  • Держава-член ЄС вашого місця роботи
  • Держава-член ЄС, де стався передбачуваний інцидент порушення

Наглядові органи ЄС

Знайдіть свій місцевий орган захисту даних:

Список по всьому ЄС: Європейська рада з захисту даних

Ірландія (наш офіс у ЄС): Комісія із захисту даних (DPC)

Електронна пошта: [email protected]

Веб-сайт: www.dataprotection.ie

Спочатку зв'яжіться з нами

Ми закликаємо вас спочатку зв'язатися з нами, якщо у вас є занепокоєння щодо нашої обробки даних. Ми прагнемо вирішувати питання безпосередньо і будемо працювати з вами, щоб вирішити ваші проблеми.

12. Контактна інформація

Для питань, пов'язаних з GDPR, запитів на права суб'єктів даних або інших проблем конфіденційності:

Запити GDPR: [email protected]

Інспектор із захисту даних: [email protected]

Команда конфіденційності: [email protected]

Загальна підтримка: [email protected]

Представник ЄС: [email protected]

Час відповіді: Ми відповідаємо на запити GDPR протягом 30 днів (як вимагається законом)

Наш офіс у ЄС

Для питань, специфічних для ЄС, ви можете зв'язатися з нашим представником у ЄС:

Представник ЄС: WorkTime One Europe Ltd.

Електронна пошта: [email protected]

Юрисдикція: Ірландія (Провідний наглядовий орган: Ірландська DPC)

Ресурси GDPR

Дізнайтеся більше про свої права захисту даних та нашу відповідність

Політика конфіденційності

Повна практика конфіденційності

Заходи безпеки

Технічні гарантії, які ми впроваджуємо

Умови обслуговування

Угода про надання послуг та DPA