Kelio und die DSGVO
Beschleunigen Sie Ihre DSGVO-Compliance mit den Softwarelösungen von Kelio!
Die Implementierung einer Personalverwaltungs- und Zutrittskontrollsoftware setzt die Verwendung und Verarbeitung personenbezogener Daten voraus. Die Organisationen der Europäischen Union müssen daher die Anforderungen der DSGV – der Datenschutz-Grundverordnung – erfüllen.
Die gesetzlichen Vorgaben der DSGVO in Bezug auf Personal- und Zutrittskontrollsoftware.
Jedes Unternehmen bzw. jede Einrichtung, die innerhalb der Europäischen Union die personenbezogenen Daten seiner Mitarbeiter verarbeitet, muss die Vorgaben der DSGVO einhalten. Diese regelt folgende Aspekte:
- der Schutz der erfassten personenbezogenen Daten
- die Einhaltung von Rechten in Bezug auf personenbezogene Daten
- die Umsetzung einer Strategie für den verantwortlichen Umgang mit diesen Daten (einschließlich eines Warnmeldemechanismus im Falle einer Datenschutzverletzung)
- die Ernennung eines Ansprechpartners als zentrale Anlaufstelle
Kelio-Software und DSGVO-Compliance
Die Implementierung einer Personal- oder Zutrittskontrollsoftware garantiert keine DSGVO-Compliance, hilft jedoch beim richtigen Umgang mit personenbezogenen Daten, indem sie die Möglichkeit bietet:
- die Verarbeitung personenbezogener Daten neu zu regeln und zu steuern
- die Speicherung dieser Daten zu zentralisieren und besser zu schützen (gesichertes System, Zugriffsrechte usw.)
- schneller und einfacher auf Anträge zur Inanspruchnahme von Persönlichkeitsrechten zu reagieren
Die Kelio-Softwarelösungen zur Zeiterfassung, Personalverwaltung und Zutrittskontrolle wurden entwickelt, um Unternehmen bzw. Einrichtungen bei der Einhaltung der DSGVO-Vorschriften zu unterstützen, indem sie einen Rahmen für die Verarbeitung und den Schutz der personenbezogenen Daten der Mitarbeiter schaffen.
KLICKEN SIE HIER, UM EIN INFORMATIONEN ÜBER DIE ANWENDUNG DER DSVGO HERUNTERZULADEN
„Privacy by Design“ in Kelio
Artikel 25.1: Beim „Privacy by Design“ werden die Rechte und Verpflichtungen im Zusammenhang mit personenbezogenen Daten gleich zu Beginn einer Datenverarbeitung und bei ihrer Änderung berücksichtigt. Dies geschieht durch proaktive Maßnahmen, die eventuellen Verstößen gegen die Privatsphäre vorbeugen.
Reduzierung der Pflichteingabefelder auf die zur Bearbeitung des Mitarbeitervertrages unbedingt notwendigen Felder. Um das Recht auf Einverständnis bzw. Opt-in zu wahren und die Erfassung optionaler Daten ohne die Einwilligung der Person zu vermeiden, besteht die Möglichkeit, die Erfassung optionaler Daten in den Einstellungen der Kelio-Benutzerprofile zu verbieten.
Ein präzise Verwaltung der Benutzerrechte, wobei die Vergabe von hochgradig personalisierten Rechten und die Datenweitergabe auf befugte Personen beschränkt wird (Rechtevergabe nach Profil, Person, Grund, Datenfeld usw.). Standardmäßig bietet die Software eingeschränkte Zugangsrechte. Zum Beispiel ist es mit Kelio möglich, jedem Mitarbeiter entweder Leserechte oder Bearbeitungsrechte für seinen eigenen individuellen Ordner zu geben.
„Privacy by Default“ in Kelio
Artikel 25.2: Sämtliche personenbezogenen Daten sollten, unabhängig von ihrem Format (Papier, digital) und ihrem Vertraulichkeitsgrad, gesichert werden. Ein Unternehmen bzw. eine Einrichtung sollte nicht nur darauf achten, den Zugang zu diesen Daten zu schützen (Zutrittskontrolle per Ausweis, abgeschlossene Schränke), sondern auch Papier vor Verfall zu bewahren (Schutz vor Feuer, Wasser usw.).
Hochgeschützte Daten in der Kelio-Software: ob im Lizenzmodus (Datenverschlüsselung, regelmäßige Sicherheitsaudits, obligatorische Authentifizierung usw.) oder im SaaS-Modus (hochgeschützte, gemäß ISAE3402 und ISO27001 zertifizierte Hostingserver, hochgeschützte Firewalls, redundante Datensicherung usw.).
Materieller Schutz Ihrer Gebäude mithilfe der Kelio-Zutrittskontrolle, die für den Schutz personenbezogener Daten sorgt: Sperren eines verlorenen Zugangsausweises, Vergabe von Zutrittsrechten nach der Anwesenheitsplanung der Mitarbeiter, Zutrittsereignis-Übersicht bei einem Vorfall usw.
Inanspruchnahme von Datenschutzrechten
Artikel 12: Natürliche Personen, die ihre Daten zur Verfügung gestellt haben (Mitarbeiter, Kunden), haben das Recht auf Datenschutz. Sie haben das Recht, ihre Daten abzufragen, zu berichtigen, löschen (vergessen) zu lassen usw. Das Unternehmen muss sicherstellen, dass diese Rechte jederzeit und bei jeder Verarbeitung innerhalb spätestens eines Monats gewährt werden.
Auskunftsrecht (Artikel 15) / Recht auf Berichtigung (Artikel 16): Mit Kelio können Sie Rechte an Mitarbeiter vergeben, mit denen diese freie Auskunft über ihre persönlichen Daten erhalten und/oder ihre Mitarbeiterkartei selbständig berichtigen können.
Recht auf Löschung (Artikel 17): In der Kelio-Software können Daten und ihre technischen Spuren gelöscht werden. Die Löschung kann durch einen Kelio-Administrator erfolgen, auf Anfrage einer Person, die sich ausweisen kann. Im Personalwesen ist dieses Recht jedoch durch die gesetzlichen Vorgaben hinsichtlich der Aufbewahrung und der Löschung von Dokumenten eingeschränkt. Kelio bietet die Möglichkeit, automatische und einstellbare Reinigungen zum Löschen von Daten vorzunehmen, wenn deren Aufbewahrungsfrist überschritten ist.
Recht auf Datenübertragbarkeit (Artikel 20): In Kelio werden Datenberichte und -exporte in Standardformaten (PDF, Excel, CSV) angeboten, sodass die Daten von den Administratoren der Software manuell wiederhergestellt werden können.
Hilfe zur Erstellung der Basisdokumentation
Die DSGVO führt den Grundsatz der Rechenschaftspflicht von Unternehmen bzw. Einrichtungen ein (Accountability). Das Unternehmen ist dazu verpflichtet, beim Datenschutz proaktiv zu handeln und dies mittels einer obligatorischen Basisdokumentation zu beweisen.
Bereitstellung eines vorausgefüllten Modells eines Datenverarbeitungsverzeichnisses durch Kelio, das die Anfertigung der von der DSGVO geforderten Basisdokumentation erleichtert (Artikel 30).
Die DSGVO-Strategie des Unternehmens
Unternehmen und Einrichtungen („Datenverantwortliche“ genannt) bleiben in vollem Umfang für die Verwaltung und den Schutz personenbezogener Daten verantwortlich, unabhängig davon, ob die Verarbeitungstätigkeiten intern erfolgen oder an Dritte weitergegeben werden.
Das Unternehmen gilt im Rahmen seiner SaaS-Hosting-, Softwareintegrations- und Support- bzw. Wartungsleistungen für seine Kunden als „Subunternehmer“. Über die bereits bestehenden Sicherheitsmaßnahmen hinaus (Softwaresicherheit, Überwachung der Geschäftsräume, Back-ups, regelmäßige Sicherheitsaudits usw.) haben wir usätzliche Maßnahmen ergriffen, die der Einhaltung der DSGVO-Vorgaben bei unserer dienen:
- Benennung eines Datenschutzbeauftragten (DSB), Artikel 37, und eines Datenschutz-Lenkungsausschusses. Unser DSB ist ein auf den Schutz personenbezogener Daten spezialisierter Ansprechpartner. Ihm obliegt die Wahrung der Privatsphäre sowie die ordnungsgemäße Anwendung der DSGVO-Regeln. Der DSB ist für die Festlegung und Kontrolle einer Politik zur Verwaltung personenbezogener Daten im Unternehmen zuständig. Für mehr Informationen: dpo@kelio.com
- Sensibilisieren der eigenen Mitarbeiter, insbesondere der Produktentwickler, Berater/Techniker und Support-Mitarbeiter, in Sachen Datenschutzvorschriften und im richtigen Umgang mit personenbezogenen Daten.
- Vertragliche Verpflichtungen gegenüber den eigenen Kunden, die als „Datenverantwortliche“ gelten Artikel 28:(Benachrichtigungspflicht usw.)
Besondere Aufmerksamkeit gilt den Fachleuten, die mit der Verarbeitung der Personaldaten der Mitarbeiter beauftragt sind.
Über die Verwaltung der Daten mit Kelio hinaus sollten auch weitere technische und organisatorische Maßnahmen nicht vernachlässigt werden:
- Sensibilisierung: Diejenigen ihrer Mitarbeiter, die regelmäßig mit einer Personalverwaltungs- oder Zutrittskontrollsoftware arbeiten und personenbezogene Daten verarbeiten, sollten für die DSGVO-Vorschriften sensibilisiert werden und mit den getroffenen Datenschutzmaßnahmen vertraut sein. Dies gilt umso mehr, als dass einige personenbezogene Mitarbeiterdaten besonders empfindlich sein können, wie etwa biometrische Daten (digitale Fingerabdrücke), Daten über die Zugehörigkeit zu einer Gewerkschaft oder Gesundheitsdaten (Artikel 9).
- Der „Lockout“: Ein Unternehmen bzw. eine Einrichtung darf keine unnötigen Daten aufbewahren und muss daher die Zugangsrechte eines Mitarbeiters, der das Unternehmen verlässt, löschen, damit dieser seine früheren Login-Daten nicht aufbewahrt. Dies ist auch der Fall, wenn ein Mitarbeiter die Abteilung oder die Stelle wechselt: In diesem Fall sollten seine alten Rechte gelöscht und neue entsprechend seiner neuen Stelle vergeben werden.
- Automatische Reinigungen: Jeder Datentyp und jedes Dokument verfügt über eine Aufbewahrungsfrist. Das Unternehmen sollte darauf achten, automatische Reinigungen am Ende jeder Aufbewahrungsfrist der verschiedenen Informationen durchzuführen. Auf diese Weise wird das Risiko von Datenschutzverletzungen vermindert.
- Benennung eines DSB: Diese ist in jedem Fall empfehlenswert, ist jedoch in einigen Fällen, die in Artikel 37 genannt werden, Pflicht – besonders in öffentlichen Einrichtungen, in Einrichtungen, die empfindliche Daten verarbeiten oder in Einrichtungen, deren Hauptaktivität in der regelmäßigen und systematischen Überwachung großer Menschenmengen (z. B.: Krankenhäuser usw.) besteht.
- Benachrichtigung im Falle einer Datenschutzverletzung: Im Falle einer Datenschutzverletzung (Datenleck, Datenänderung, unfreiwillige Zerstörung oder Datenverlust) sollte das Unternehmen die Wichtigkeit und die Folgen abschätzen, bevor gegebenenfalls die entsprechende Kontrollbehörde darüber informiert wird.