GDPR-Management#

Übersicht#

Seit dem Update auf Version 1.8.0 vom 27. April 2018 hat das Anwesenheitssystem die für den Schutz personenbezogener Daten erforderlichen Tools vollständig implementiert - GDPR.

GDPR (General Data Protection Regulation) ist die EU-Verordnung zum Schutz personenbezogener Daten, die am 25. Mai 2018 EU-weit einheitlich in Kraft trat.

Sie wird durch die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates geregelt und ersetzt in der Tschechischen Republik den bestehenden Rahmen für den Schutz personenbezogener Daten auf der Grundlage der Richtlinie 95/46/EG und des damit verbundenen Gesetzes Nr. 101/2000 Slg. über den Schutz personenbezogener Daten.

In der Verordnung werden die folgenden Begriffe klar definiert:

Verantwortlicher für die Datenverarbeitung:

eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet

Datenverarbeiter:

eine natürliche oder juristische Person, Behörde, Einrichtung oder sonstige Stelle, die personenbezogene Daten im Auftrag des für die Verarbeitung Verantwortlichen verarbeitet

Der für die Datenverarbeitung Verantwortliche ist immer der Nutzer des Anwesenheitssystems; der Auftragsverarbeiter kann z. B. eine externe Buchhaltungsfirma sein.

Als für die Verarbeitung Verantwortlicher legen Sie innerhalb der Organisationsstruktur des Unternehmens stets die Liste der befugten Personen des für die Datenverarbeitung Verantwortlichen fest. Um sich selbst oder einem anderen Unternehmensadministrator diese Berechtigung zu erteilen, wenden Sie sich bitte an Ihren iTA Systemanbieter.

Umgang mit personenbezogenen Daten#

Im Anwesenheitssystem betrachten wir die Daten eines jeden Mitarbeiters als privat. Dies gilt insbesondere für den Namen, die Personalnummer, das Geburtsdatum und ähnliche Informationen. Darüber hinaus können auch die Anwesenheitsdaten der Mitarbeiter als privat angesehen werden.

Im Allgemeinen müssen die folgenden Anforderungen erfüllt sein:

Schützen Sie die von uns gespeicherten Daten vor dem Zugriff durch Dritte#

Alle personenbezogenen Daten der Mitarbeiter, einschließlich ihrer Backups, werden unter dem höchstmöglichen Sicherheitsstandard auf Microsoft Azure-Servern in Deutschland gespeichert, dem Land mit den strengsten Datenschutzgesetzen der Welt.

Die Datenbank ist mit einem sehr starken Passwort geschützt und kann nur von speziell zugelassenen IP-Adressen aufgerufen werden.

Personenbezogene Daten werden zwischen dem Cloud-Server und dem Nutzer ausschließlich über eine verschlüsselte Verbindung unter Verwendung des Protokolls https:// übertragen, wobei die Authentizität der Website durch ein Zertifikat überprüft wird.

Verwalten des Zugriffs auf persönliche Daten für Systembenutzer#

Mit unserer Software können Sie die Zugriffsberechtigungen verwalten und den Zugang für jeden Benutzer entsprechend den individuellen Anforderungen des Arbeitgebers konfigurieren.

In der Rolle des Händlers können wir den Zugang zum System über die Fernverwaltung beantragen. Um diese Erlaubnis zu erhalten, bitten wir den Kunden um Zugang über einen Link im Abschnitt Support  Contact Us:

../../_images/contact-us-1.png ../../_images/contact-us-2.png

Anschließend wird ein PIN-Code generiert, der dem Administrator mitgeteilt und der Zugang genehmigt wird, so dass der Supporttechniker Fernzugriff erhält. Der Administrator genehmigt den Zugang und gewährt damit Rechte für einen festgelegten Zeitraum von 1 Stunde. Alle diese Vorgänge werden im Protokoll über die Offenlegung personenbezogener Daten festgehalten (wer hat den Zugang beantragt, wer hat ihn genehmigt usw.).

Bereitstellung von Aufzeichnungen über den Zugang zu den persönlichen Daten jedes Mitarbeiters auf dessen Antrag hin#

Jeder Mitarbeiter hat das Recht und die Möglichkeit, ein Protokoll anzufordern, aus dem hervorgeht, wann und von wem seine personenbezogenen Daten eingesehen wurden, sowie eine Liste der über ihn gespeicherten Daten.

Wir sammeln Aufzeichnungen über jeden Zugriff auf die personenbezogenen Daten eines Mitarbeiters.

Nur die bevollmächtigte Person des für die Datenverarbeitung Verantwortlichen - die direkt vom für die Datenverarbeitung Verantwortlichen benannt wird, wie in der Einleitung des Kapitels über die DSGVO beschrieben - hat Zugang zu diesen Optionen.

Aufrechterhaltung der Datenbankkonsistenz bei der Wiederherstellung aus einer Sicherung#

Wie bereits erwähnt, werden die Backups auf speziellen Servern in Deutschland gespeichert.

Bei der Wiederherstellung aus diesen Sicherungen kann ein Mitarbeiter in der Zwischenzeit anonymisiert oder gelöscht worden sein. Zum Zeitpunkt der Wiederherstellung dürfen die Daten daher keine personenbezogenen Daten von gelöschten Mitarbeitern enthalten. Um diese Anforderungen zu erfüllen, werden bei der Wiederherstellung alle Daten mit dem aktuellen Datenbestand verglichen und ausgewertet, um festzustellen, welche Daten wiederhergestellt werden sollen.