1. 引言
欢迎使用WorkTime One(以下简称'我们'、'我们的'或'本公司')。我们致力于保护您的个人信息和您的隐私权。本隐私政策说明当您使用我们的时间跟踪和员工管理平台时,我们如何收集、使用、披露和保护您的信息。
使用WorkTime One即表示您同意按照本政策收集和使用信息。如果您不同意我们的政策和做法,请不要使用我们的服务。
重要提示:本隐私政策完全符合GDPR、CCPA和其他主要隐私法规的要求。我们非常重视您的隐私,并实施业界领先的安全措施。
2. 我们收集的数据
2.1 您提供的信息
- 账户信息:姓名、电子邮件地址、密码、公司名称和账单信息
- 员工数据:员工姓名、ID、部门、职位、薪资信息和工作时间表
- 联系信息:电话号码、地址和紧急联系人
- 通信数据:消息、支持工单以及与我们团队的往来通信
- 支付信息:信用卡详情、账单地址(通过第三方支付处理商安全处理)
2.2 自动收集的信息
- 时间跟踪数据:打卡/下班时间、工作时长、考勤记录以及来自智能锁的位置数据
- 设备信息:IP地址、浏览器类型、操作系统、设备ID
- 使用数据:访问的页面、使用的功能、在平台上花费的时间、点击模式
- 智能锁数据:TTLock集成数据,包括锁访问日志、RFID/NFC卡扫描、指纹识别数据、PIN码使用情况
- 位置数据:来自智能锁安装位置和IP地址的地理位置
- Cookie和分析:会话数据、偏好设置和分析信息
2.3 生物识别数据
当通过TTLock智能锁使用指纹认证时,我们会收集和处理生物识别数据。此数据具有以下特征:
- 使用AES-256加密进行加密
- 以哈希格式存储,无法逆向工程
- 仅用于员工身份识别和时间跟踪目的
- 除法律要求外,绝不与第三方共享
- 在员工离职或账户关闭时删除
3. 我们如何使用您的数据
我们将收集的信息用于以下目的:
3.1 服务提供
- 跟踪员工考勤和工作时间
- 计算工资、加班和罚款
- 生成报告和分析
- 管理员工记录和组织结构
- 与TTLock智能锁集成以实现自动时间跟踪
3.2 通信
- 发送有关罚款、报告和系统更新的自动电子邮件通知
- 提供客户支持并回应咨询
- 发送重要的服务公告和安全警报
- 营销通信(需征得您的同意,您可随时选择退出)
3.3 安全和防欺诈
- 检测和防止未经授权的访问
- 防范欺诈活动和时间盗窃
- 确保数据完整性和系统安全
- 执行我们的服务条款
3.4 改进和分析
- 分析使用模式以改进我们的服务
- 开发新功能和功能
- 进行研究和统计分析
- 测试和优化平台性能
3.5 法律合规
- 遵守法律义务和法规
- 响应来自当局的合法请求
- 维护会计和税务记录
- 保护我们的法律权利和利益
4. 数据共享和披露
我们不会出售您的个人信息。在以下情况下,我们可能会共享您的数据:
4.1 服务提供商
我们与协助我们运营平台的可信第三方服务提供商共享数据:
- Firebase(Google):身份验证、数据库和托管服务
- SendGrid:电子邮件通知发送
- TTLock API:智能锁集成和访问控制
- 支付处理商:安全支付处理(他们永远不会收到完整的信用卡详情)
- 云基础设施:数据存储和服务器托管
所有服务提供商均受严格保密协议的约束,仅被允许使用您的数据为我们提供服务。
4.2 法律要求
如果法律要求或响应以下情况,我们可能会披露您的信息:
- 法院命令、传票或法律程序
- 执法机构或政府机构的请求
- 保护我们的权利、财产或安全
- 调查欺诈或安全问题
4.3 业务转让
在合并、收购、破产或资产出售的情况下,您的信息可能会转移给新实体。我们将通知您任何此类变更,并就您的数据提供选择。
4.4 征得您的同意
当您明确同意此类共享时,我们可能会与第三方共享您的信息。
5. 数据安全
我们实施业界领先的安全措施来保护您的个人信息:
5.1 技术保障措施
- 加密:静态数据使用AES-256加密,传输中数据使用TLS 1.3
- 身份验证:通过Google Authenticator和电子邮件实现双因素身份验证(2FA)
- 访问控制:基于角色的访问控制(RBAC)和最小权限原则
- 防火墙:网络级保护和入侵检测系统
- 定期审计:安全评估、渗透测试和漏洞扫描
- 安全备份:加密的地理分布式备份,具有灾难恢复能力
5.2 组织保障措施
- 对员工进行数据保护和隐私最佳实践培训
- 与所有员工和承包商签订保密协议
- 基于需要知道的原则限制对个人数据的访问
- 针对安全漏洞的事件响应计划
- 定期安全意识计划
5.3 安全漏洞通知
在不太可能发生影响您个人信息的数据泄露的情况下,我们将按照GDPR和其他适用法规的要求在72小时内通知您。我们将提供有关泄露、潜在影响和补救措施的详细信息。
6. 数据保留
我们仅在必要时保留您的个人信息,以实现本隐私政策中概述的目的:
- 活跃账户:在您的账户处于活跃状态时保留数据
- 员工记录:在员工离职后保留7年(用于法律和税务合规)
- 时间跟踪数据:保留7年(根据劳动法要求)
- 生物识别数据:在员工离职后30天内删除或根据请求删除
- 财务记录:保留7年(用于税务和会计目的)
- 营销数据:在选择退出请求后立即删除
- 备份数据:在主数据删除后90天内从备份中删除
账户关闭后,我们将在30天内删除或匿名化您的个人数据,除非法律要求保留。
7. 您的权利
根据GDPR、CCPA和其他隐私法规,您拥有以下权利:
7.1 访问权
您可以请求我们持有的关于您的所有个人数据的副本。我们将在30天内以结构化、常用和机器可读的格式提供此信息。
7.2 更正权
您可以请求更正不准确或不完整的个人数据。我们将在验证后及时更新您的信息。
7.3 删除权(被遗忘权)
您可以请求删除您的个人数据,但须遵守某些法律例外(例如税务合规、法律义务)。
7.4 限制处理权
在某些情况下,您可以请求我们限制如何使用您的数据,例如当您对其准确性提出异议时。
7.5 数据可携带权
您可以请求以可携带格式接收您的数据,或将其直接传输到另一个服务提供商。
7.6 反对权
您可以反对出于直接营销目的或基于合法利益处理您的个人数据。
7.7 撤回同意权
在处理基于同意的情况下,您可以随时撤回同意,而不影响先前处理的合法性。
7.8 投诉权
如果您认为我们侵犯了您的隐私权,您有权向当地数据保护机构提出投诉。
8. Cookie和跟踪技术
8.1 什么是Cookie?
Cookie是存储在您设备上的小型文本文件,可帮助我们提供和改进我们的服务。我们使用会话Cookie(在您关闭浏览器时删除)和持久性Cookie(在设备上保留一段时间)。
8.2 我们使用的Cookie类型
- 必要Cookie:基本平台功能所需(登录、安全、会话管理)
- 性能Cookie:帮助我们了解用户如何与我们的平台互动(Google Analytics)
- 功能Cookie:记住您的偏好(语言、时区、仪表板布局)
- 营销Cookie:用于提供相关广告(仅在征得您同意的情况下)
8.3 第三方Cookie
我们使用以下第三方Cookie:
- Google Analytics:网站分析和使用统计
- Firebase:身份验证和会话管理
- SendGrid:电子邮件跟踪(打开率、点击率)
8.4 管理Cookie
您可以通过浏览器设置控制Cookie。请注意,禁用必要Cookie可能会影响平台功能。大多数浏览器允许您:
- 查看和删除现有Cookie
- 阻止第三方Cookie
- 阻止所有Cookie
- 关闭浏览器时删除Cookie
9. 第三方服务
我们的平台与以下第三方服务集成:
9.1 TTLock智能锁
我们与TTLock的API集成以检索智能锁访问日志。TTLock的隐私政策管辖他们的数据收集。我们仅访问时间跟踪目的所需的数据。
9.2 Firebase(Google)
我们使用Firebase进行身份验证、数据库和托管。数据存储在具有企业级安全性的Google Cloud Platform数据中心。Google的隐私政策适用于他们的服务。
9.3 SendGrid
电子邮件通知通过SendGrid发送。他们处理电子邮件地址和消息内容,但不会将您的数据用于自己的目的。
9.4 支付处理商
我们使用符合PCI DSS标准的支付处理商。我们绝不在我们的服务器上存储完整的信用卡详情。
10. 国际数据传输
您的数据可能会传输到并在您所在司法管辖区以外的国家/地区(包括美国和欧盟)进行处理。我们确保采取适当的保障措施:
- 标准合同条款(SCC):欧盟批准的数据传输合同
- 充分性决定:传输到具有充分数据保护法律的国家
- 隐私盾(遗留):适用于美国服务提供商(如适用)
- 加密:所有国际数据传输均已加密
欧盟用户的数据主要存储在位于欧盟的数据中心,以最小化国际传输。
11. 儿童隐私
WorkTime One不适用于18岁以下的个人。我们不会故意收集儿童的个人信息。如果我们发现我们收集了18岁以下儿童的数据,我们将立即删除。
如果您是父母或监护人,并认为您的孩子向我们提供了个人信息,请通过[email protected]与我们联系。
12. 本隐私政策的变更
我们可能会不时更新本隐私政策,以反映我们实践、法律要求或服务功能的变化。我们将通过以下方式通知您任何重大变更:
- 在我们的网站上发布更新的政策,并附上新的'最后更新'日期
- 向注册用户发送电子邮件通知
- 对于重大变更显示应用内通知
变更生效后您继续使用WorkTime One即表示接受更新的隐私政策。