Εναρμόνιση και συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR)
(Έκδοση 1.26 – Ενημερώθηκε: 01/03/2024)
Η δέσμευσή μας είναι να διασφαλίσουμε τη συμμόρφωση με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) σε όλους τους τομείς της λειτουργίας μας. Αυτή η νομοθεσία ορίζει κατευθυντήριες γραμμές για τη συλλογή, την επεξεργασία και την αποθήκευση προσωπικών δεδομένων εντός της Ευρωπαϊκής Ένωσης (ΕΕ) και της Οικονομικής Ζώνης της Ευρώπης.
Συλλέγουμε και επεξεργαζόμαστε προσωπικά δεδομένα αποκλειστικά για την παροχή των υπηρεσιών της εφαρμογής TimeTowork μέσω ξεχωριστών βάσεων (Database) ανά πελάτη. Οι πληροφορίες που αποθηκεύονται είναι οι απολύτως απαραίτητες για την ορθή και ασφαλή λειτουργία της εφαρμογής.
Εφαρμόζουμε αξιόπιστα μέτρα ασφάλειας δεδομένων, συμπεριλαμβανομένης της κρυπτογράφησης ευαίσθητων πληροφοριών, Η πρόσβαση στα δεδομένα των πελατών ελέγχεται αυστηρά, και η πρόσβαση από προγραμματιστές ιστού και τεχνικούς χορηγείται μόνο με τη ρητή συγκατάθεση και εξουσιοδότηση του πελάτη των συγκεκριμένων όρων.
Η σύνδεση με τα δεδομένα της πλατφόρμας γίνεται αποκλειστικά μέσω πρωτοκόλλου ασφαλείας SSL για την ασφαλή μεταφορά των δεδομένων μεταξύ του υπολογιστή σας και του κεντρικών server μας.
Η πρόσβαση στα δεδομένα των πελατών ελέγχεται αυστηρά και η πρόσβαση όποτε χρειαστεί για την επίλυση τεχνικών ζητημάτων από το προσωπικό των εταιρειών παραγωγής του TimeToWork καθώς και της εκάστοτε εταιρείας εγκατάστασης του συστήματος συμπεριλαμβανομένων των προγραμματιστών ιστού και τεχνικών, χορηγείται αυτομάτως με την αποδοχή των συγκεκριμένων όρων.
Τα προσωπικά δεδομένα και, συμπεριλαμβανομένων ευαίσθητων πληροφοριών όπως :
- Αριθμος Φορολογικού Μητρώου (ΑΦΜ)
- Αριθμός Κοινωνικής Ασφάλισης (ΑΜΚΑ)
- Αριθμός αστυνομικής ταυτότητας & Εκδούσα αρχή
- Ημερ/νια γέννησης,
- Πατρώνυμο & Μητρώνυμο
- Κλειδιά πρόσβασης στο API του ΕΡΓΑΝΗκαι άλλα ευαίσθητα πεδία κρυπτογραφούνται για τη διασφάλιση εμπιστευτικότητας, ακεραιότητας και διαθεσιμότητας με μοναδικά κλειδιά (encryption keys) διαφορετικά ανά πελάτη για να διασφαλίζεται η μέγιστη δυνατή ασφάλεια του τελικού πελάτη και του συνόλου των Εργαζομένων του
Τα αντίγραφα ασφαλείας των δεδομένων των πελατών αποθηκεύονται με ασφάλεια σε ευρωπαϊκούς διακομιστές VPS. Βεβαιωνόμαστε ότι αυτά τα αντίγραφα ασφαλείας είναι κρυπτογραφημένα και προστατεύονται από μη εξουσιοδοτημένη πρόσβαση ή κατάχρηση. Αναθεώρηση Συμμόρφωσης με τον GDPR:
Πραγματοποιούνται τακτικές αναθεωρήσεις των πρακτικών συμμόρφωσής της με τον GDPR για τη διασφάλιση της συνεχούς τήρησης των κανονισμών και των υψηλότερων προτύπων προστασίας δεδομένων. Οποιεσδήποτε ενημερώσεις ή αλλαγές σε αυτές τις πρακτικές θα εφαρμόζονται άμεσα και θα κοινοποιούνται στους πελάτες.
Οι χρήστες που έχουν πρόσβαση στην εφαρμογή αναλόγως του επιπέδου πρόσβασης , από το μέρος του πελάτη (system Department Managers, system Directors) είναι επίσης υποχρεωμένοι να τηρούν αυτές τις πολιτικές και τις διαδικασίες σχετικά με την προστασία των προσωπικών δεδομένων.
Σε περίπτωση που μια εταιρεία / πελάτης αποφασίσει να διακόψει τη συνδρομή στην εφαρμογή μας, όλα τα δεδομένα βάσης δεδομένων, συμπεριλαμβανομένων των χρονοπαρουσιών, των χρονοδιαγραμμάτων ωρομέτρησης και των προσωπικών πληροφοριών του συνόλου του ανθρωπίνου δυναμικού της εταιρείας, διατηρούνται για ένα επιπλέον μήνα μέχρι ο πελάτης να αποφασίσει οριστικά εάν θα ανανεώσει ή όχι τη συνδρομή του, και στη συνέχεια διαγράφονται αυτόματα και αμετάκλητα από το σύστημά μας καθώς και τα αντίγραφα ασφαλείας που είχαν ληφθεί για τη συγκεκριμένη εταιρεία.
Έχει διοριστεί ένας Εξουσιοδοτημένος Υπεύθυνος Προστασίας Δεδομένων (DPO) για την εταιρεία μας. Ο DPO είναι υπεύθυνος για την εποπτεία της συμμόρφωσης με τον GDPR και για τη διενέργεια διαβουλεύσεων σχετικά με θέματα προστασίας δεδομένων εντός της εταιρείας. Οι επικοινωνίες σχετικά με θέματα προστασίας δεδομένων μπορούν να απευθύνονται στον DPO στη διεύθυνση ηλεκτρονικού ταχυδρομείου dpo@timetowork.gr
Η πλατφόρμα μας διαθέτει σύστηματα ανίχνευσης και προσωρινής διακοπής σύνδεσης σε περίπτωση που ανιχνευτεί μη εξουσιοδοτημένος χρήστης. Η διακοπή σύνδεσης μπορεί να είναι ολιγόλεπτη, ολοήμερη ή και μόνιμη αναλόγως του τρόπου παραβίασης του συστήματος.
Η εταιρεία μας δεσμεύεται να ανιχνεύει και να αναφέρει άμεσα οποιαδήποτε πιθανή παραβίαση δεδομένων σύμφωνα με τις απαιτήσεις του GDPR. Έχουμε εφαρμόσει αξιόπιστα μέτρα ασφαλείας και συστήματα παρακολούθησης για την ανίχνευση μη εξουσιοδοτημένης πρόσβασης, παραβιάσεων ή περιστατικών που επηρεάζουν προσωπικά δεδομένα. Πραγματοποιούνται τακτικοί έλεγχοι στα αρχεία καταγραφής πρόσβασης, στα ίχνη ελέγχου και στις ειδοποιήσεις ασφαλείας για την ανίχνευση οποιασδήποτε ύποπτης δραστηριότητας. Οι εργαζόμενοι ενθαρρύνονται να αναφέρουν άμεσα οποιεσδήποτε υποψίες για παραβίαση δεδομένων μέσω των καθορισμένων καναλιών επικοινωνίας. Μόλις εντοπιστεί μια παραβίαση, ο Εξουσιοδοτημένος Υπεύθυνος Προστασίας Δεδομένων (DPO) ή η αρμόδια ομάδα εκκινεί άμεσα το σχέδιο αντίδρασης στην παραβίαση δεδομένων, εμπλέκοντας τους κύριους εμπλεκόμενους και τους λήπτες αποφάσεων.
Σε περίπτωση ύποπτης ή επιβεβαιωμένης παραβίασης δεδομένων, συγκεντρώνουμε μια διαπολιτισμική ομάδα αντίδρασης που αποτελείται από τμήματα πληροφορικής, νομικής, συμμόρφωσης και σχετικές επιχειρησιακές μονάδες για τη διεξαγωγή λεπτομερούς έρευνας. Η ομάδα διατηρεί αναλυτική τεκμηρίωση των ευρημάτων, των ληφθέντων μέτρων και των προσπαθειών αντιμετώπισης κατά τη διάρκεια της διαδικασίας έρευνας.
Αν κριθεί ότι η παραβίαση απειλεί τα δικαιώματα και τις ελευθερίες των ατόμων, την αναφέρουμε άμεσα στην αρμόδια αρχή εποπτείας εντός 72 ωρών από τη στιγμή που γίνεται γνωστή. Η αναφορά περιλαμβάνει λεπτομερείς πληροφορίες σχετικά με τη φύση, την έκταση, τις δυνητικές επιπτώσεις και τα μέτρα που λαμβάνονται για τη μείωση των κινδύνων. Επιπλέον, εάν η παραβίαση είναι πιθανό να έχει υψηλό κίνδυνο για τα άτομα, οι ενδιαφερόμενοι χρήστες δεδομένων ενημερώνονται άμεσα χωρίς καθυστέρηση. Παρέχονται σαφείς και συνοπτικές πληροφορίες σχετικά με την παραβίαση, τις πιθανές συνέπειές της και τα συνιστώμενα μέτρα για τη μείωση των κινδύνων στους ενδιαφερόμενους χρήστες δεδομένων μέσω κατάλληλων καναλιών επικοινωνίας.
Μετά από μια παραβίαση δεδομένων, εφαρμόζουμε διορθωτικά μέτρα και βελτιώσεις στην ασφάλεια για να αποτρέψουμε παρόμοια περιστατικά στο μέλλον. Τα σχέδια αντίδρασης σε περίπτωση παραβίασης και οι διαδικασίες αντίδρασης σε περίπτωση παραβίασης δεδομένων αναθεωρούνται και ενημερώνονται με βάση τα διδάγματα από την παραβίαση. Παρέχεται συνεχής υποστήριξη και βοήθεια στους ενδιαφερόμενους χρήστες δεδομένων, συμπεριλαμβανομένων οδηγιών για την προστασία των προσωπικών τους πληροφοριών και την ασκηση των δικαιωμάτων τους σύμφωνα με το GDPR.
Κατά τη διαδικασία εισόδου και εξόδου από το σύστημα, συλλέγουμε και διατηρούμε τα δεδομένα της διεύθυνσης IP του συνδεδεμένου χρήστη στη βάση δεδομένων μας. Αυτή η πρακτική χρησιμοποιείται για τους σκοπούς διαχείρισης του συστήματος και για την αύξηση της ασφάλειας. Οι διευθύνσεις IP καταγράφονται και αποθηκεύονται ως μέρος των διαδικασιών ελέγχου πρόσβασης και ασφαλείας, επιτρέποντάς μας να ανιχνεύουμε πιθανές παραβιάσεις ή ανωμαλίες στη χρήση του συστήματος. Η συλλογή και η χρήση αυτών των δεδομένων υπόκειται στις πολιτικές μας περί προστασίας δεδομένων και είναι συμμορφωμένη με τον Γενικό Κανονισμό Προστασίας Δεδομένων (GDPR) και την ισχύουσα νομοθεσία περί προστασίας δεδομένων.
Οι χρήστες αναμένεται να δημιουργήσουν και να χρησιμοποιήσουν ισχυρά, μοναδικά ονόματα χρήστη και κωδικούς πρόσβασης όταν έχουν πρόσβαση στο σύστημα. Είναι ιδιαιτέρως συνιστώμενο να χρησιμοποιούν οι χρήστες εφαρμογές διαχείρισης κωδικών ή εργαλεία για να αποθηκεύουν και να διαχειρίζονται με ασφάλεια τα διαπιστευτήριά τους. Αυτό το προληπτικό μέτρο βοηθά στη μείωση του κινδύνου μη εξουσιοδοτημένης πρόσβασης και πιθανής διαρροής δεδομένων λόγω αδύναμων ή διαρραγμένων κωδικών πρόσβασης.
Για λόγους ασφαλείας, η ιστοσελίδα και η εφαρμογή Cloud TimeToWork αποσυνδέονται αυτόματα από το σύστημα μετά από μια περίοδο αδράνειας προκειμένου να διασφαλιστεί η ασφάλεια του περιβάλλοντος. Αυτή η πρακτική συμβάλλει στη μείωση του κινδύνου ανεπιθύμητης πρόσβασης στο σύστημα και εξασφαλίζει ότι η πλατφόρμα παραμένει όσο το δυνατόν πιο ασφαλής.
Σημειώνεται ότι η περίοδος αδράνειας πριν από την αυτόματη αποσύνδεση ορίζεται με βάση την εκάστοτε πολιτική ασφαλείας της εφαρμογής και ενδέχεται να προσαρμόζεται ανάλογα με τις απαιτήσεις ασφαλείας και τις συνθήκες χρήσης.
Ο Διευθυντής ή ο Διευθυντής Τμήματος μπορεί να μας παρέχει μια σειρά από κινητά τηλεφωνικά νούμερα μέσω του αντίστοιχου τμήματος ειδοποιήσεων SMS notifictions της εφαρμογής cloud σε περίπτωση συγκεκριμένων γεγονότων (π.χ., ο εργαζόμενος έφτασε αργά/νωρίς κατά την άφιξη ή την αναχώρηση κ.α. ). Με την ενεργοποίηση αυτων των επιλογών αποκτούμε το δικαίωμα να στείλουμε SMS τυποποιημένα μηνύματα σε αυτά τα νούμερα, καθώς ο Διευθυντής μας δίνει αυτό το δικαίωμα εκ μέρους των κατόχων των κινητών τηλεφωνικών νούμερων. Φυσικά αυτή η επιλογή μπορεί να καταργηθεί από το σχετικό τομέα των SMS notifications.
Διαθέτουμε το δικαίωμα να επικοινωνούμε μέσω email με έναν ή περισσότερους αποδέκτες, βάσει του email που παρέχεται στο σχετικό τμήμα της εφαρμογής cloud, όπου ο χρήστης δηλώνει ότι μπορούμε να προβούμε σε επικοινωνία μέσω email για περιπτώσεις που η τοπική Εφαρμογή Διακομιστή (SOYAL 701Server) παραμένει εκτός σύνδεσης για συγκεκριμένο χρονικό διάστημα και για την περίπτωση που η συνδρομή της εφαρμογής πλησιάζει στη λήξη της ή έχει ήδη λήξει. Ο χρήστης μπορεί πάντα να διαγράψει αυτή την πληροφορία ή επιλογή από τη σχετική κάρτα Ειδοποιήσεων Email στις Ρυθμίσεις Διευθυντή.
Κατά τη χρήση της κινητής εφαρμογής, συλλέγουμε συγκεκριμένες πληροφορίες για το κινητό τηλέφωνο του χρήστη προκειμένου να διασφαλίσουμε την ασφάλεια και τη σωστή λειτουργία της εφαρμογής ωρομέτρησης. Αυτές οι πληροφορίες περιλαμβάνουν το μοντέλο της συσκευής, το μοναδικό αριθμό τηλεφώνου (IMEI) ή άλλα ανάλογα στοιχεία που απαιτούνται για την ασφάλεια της εφαρμογής και την αναγνώριση της συσκευής.
Επιπλέον, με την επιπλέον ρητή συγκατάθεση του χρήστη, συλλέγουμε εφόσον το αποδεχτεί δεδομένα γεωγραφικής τοποθεσίας κατά την πάτηση του κουμπιού “Εναρξη εργασίας” και “Λήξη εργασίας” για την ακριβή καταγραφή των χρόνων εργασίας. Επιπλέον, εάν η εφαρμογή είναι ανοιχτή στο παρασκήνιο, μπορεί να συλλέγονται δεδομένα γεωγραφικής τοποθεσίας για λόγους ασφάλειας και διαχείρισης.
Τα δεδομένα που αποθηκεύονται στη μνήμη της κινητής συσκευής του χρήστη (mobile Database) προστατεύονται με κρυπτογράφηση και μπορούν να διαγραφούν από τον χρήστη εάν αποφασίσει να καταργήσει την εγκατάσταση της εφαρμογής από τη συσκευή του.
Οι εφαρμογές μας, τόσο κινητές όσο και μέσω Web/Cloud app, χρησιμοποιούν cookies αυστηρά για λειτουργικούς σκοπούς, προκειμένου να εξασφαλίσουν την άνετη πλοήγηση και την αλληλεπίδραση του χρήστη με την εφαρμογή. Αυτό επιτρέπει την ομαλή μετάβαση από τη μία σελίδα στην άλλη μέσα στην εφαρμογή, μόνο όταν ο χρήστης είναι συνδεδεμένος.
Η εταιρεία μας δεν προβαίνει σε μεταβίβαση των προσωπικών σας δεδομένων σε τρίτους, εκτός από περιπτώσεις που η μεταβίβαση αυτή είναι απαραίτητη λόγω νομοθετικών απαιτήσεων και μόνο στο μέτρο που απαιτείται για την εκπλήρωση των σχετικών επιχειρηματικών μας δραστηριοτήτων ή για τη διεκπεραίωση των υπηρεσιών μας.
Τέτοιοι τρίτοι μπορεί να είναι κρατικοί οργανισμοί, σε περίπτωση που απαιτηθεί η συμμόρφωση με τη νομοθεσία (για παράδειγμα, σχετικά με την ασφάλεια των εργαζομένων μας), ή για την πρόληψη ενδεχόμενων παρανόμων ενεργειών εις βάρος μας ή των πελατών μας (π.χ. απάτη, κακόβουλη συμπεριφορά, προσβολή της προσωπικότητας κ.ά.) ή ασφαλιστικοί φορείς για την ασφάλιση του προσωπικού μας.
Επιλέγουμε με προσοχή τους συνεργάτες μας και επιβάλλουμε συμβατικούς περιορισμούς στα τρίτα μέρη με τα οποία μοιραζόμαστε ή τα οποία έχουν πρόσβαση στα προσωπικά σας δεδομένα, ώστε να εξασφαλίζεται η επεξεργασία τους σύμφωνα με την παρούσα πολιτική και τους ισχύοντες ευρωπαϊκούς και διεθνείς νόμους περί προστασίας δεδομένων.
Στο πλαίσιο της νομοθεσίας της Ελλάδας, οι εταιρείες που δραστηριοποιούνται στην Ελλάδα έχουν την υποχρέωση να διατηρούν τα στοιχεία των εργαζομένων τους για διάστημα 10 ετών. Αυτό σημαίνει ότι, σε περίπτωση που ένας εργαζόμενος ζητήσει τη διαγραφή όλων των προσωπικών του δεδομένων από τη βάση δεδομένων μας, η εταιρεία που χρησιμοποιεί τις συνδρομητικές μας υπηρεσίες (τελικός πελάτης μας) μπορεί να χρειαστεί να διατηρήσει ορισμένες πληροφορίες για να συμμορφώνεται με τις νομικές της υποχρεώσεις έναντι της απαιτήσεις του Εργάνη. Σε αυτή την περίπτωση, η εταιρεία θα ενημερώσει τον εργαζόμενο για τις νομικές της υποχρεώσεις και την ανάγκη διατήρησης των εν λόγω δεδομένων, διασφαλίζοντας παράλληλα την προστασία και την ασφαλή επεξεργασία των δεδομένων σύμφωνα με τις αρχές του GDPR.
Ειδικά για τις περιπτώσεις των Εργαζομένων που θα επιλεγούν να κοινοποιούν είτε την ωρομέτρηση είτε την αίτηση αδείας στο ΕΡΓΑΝΗ κοινοποιούνται τα απαραίτητα δεδομένα του εργαζόμενου (ΑΦΜ εργαζομένου, πλήρες ονοματ/μο) μέσω API στον Server του ΕΡΓΑΝΗ. Τα δεδομένα αυτά κοινοποιούνται στον χρόνο που απαιτείται με βάση την Ελληνική νομοθεσία: κάθε 15 λεπτά για τα συμβάντα ωρομέτρησης και μέσα στο πρώτο 10μερο του επόμενου μήνα για τις άδειες. Τη διαγραφή των δεδομένων ο χρήστης μπορεί να την αιτηθεί μόνο αποκλειστικά μέσω του ίδιου του ΕΡΓΑΝΗ.
Η Πολιτική Προστασίας Δεδομένων μας είναι υπό συνεχή επανεξέταση και βελτιστοποίηση, προκειμένου να παραμένει ενημερωμένη με τις τρέχουσες νομικές απαιτήσεις και τις καλύτερες πρακτικές. Οποιεσδήποτε τροποποιήσεις σε αυτήν την πολιτική θα τίθενται σε ισχύ αμέσως μετά τη δημοσίευσή τους στην επίσημη ιστοσελίδα μας και θα εφαρμόζονται τόσο σε νέα δεδομένα ωρομέτρησης που συλλέγονται όσο και στα ήδη υπάρχοντα δεδομένα που διαχειριζόμαστε. Η συνεχιζόμενη χρήση των υπηρεσιών μας μετά την ενημέρωση της πολιτικής αντικατοπτρίζει την αποδοχή των αναθεωρημένων όρων.
Εάν πιστεύετε ότι η επεξεργασία των προσωπικών σας δεδομένων πραγματοποιείται με τρόπο που δεν συμμορφώνεται με τις ισχύουσες νομοθεσίες, ή αν αισθάνεστε ότι έχει παραβιαστεί κάποιο από τα προσωπικά σας δικαιώματα, διατηρείτε το δικαίωμα να προβείτε σε καταγγελία προς την Αρχή Προστασίας Προσωπικών Δεδομένων. Μπορείτε να υποβάλετε την καταγγελία σας συμπληρώνοντας το αντίστοιχο έντυπο καταγγελίας που βρίσκεται διαθέσιμο στο επίσημο διαδικτυακό τόπο www.dpa.gr
Μπορείτε να δείτε τους όρους μας και online στην ιστοσελίδας μας εδώ
Η χρήση του προγράμματος προϋποθέτει την ρητή αποδοχή των παραπάνω όρων.