Bodet SA

Seien Sie der Zeit
einen Schritt voraus
 

Kelio und die DSGVO

Beschleunigen Sie Ihre DSGVO-Konformität mit der Kelio Software!

Die Implementierung einer Software für die HR-Verwaltung sowie Zugangskontrolle erfordert die Verwendung und Verarbeitung personenbezogener Daten. Mit der Europäischen Union verbundene Organisationen müssen daher die Anforderungen der DSGVO (Die Datenschutz-Grundverordnung) erfüllen.

UNSERE DIENSTLEISTUNGENUNSERE REFERENZEN

Die gesetzlichen Vorgaben der DSGVO in Bezug auf HR- und Zugangskontrollsoftware

Jede Organisation, die personenbezogene Daten ihrer Mitarbeiter in der Europäischen Union verarbeitet, unterliegt der Einhaltung der DSGVO. Diese regelt folgende Aspekte:

  • Schutz der erfassten personenbezogenen Daten
  • Einhaltung von Rechten in Bezug auf personenbezogene Daten
  • Umsetzung einer Strategie für den verantwortlichen Umgang mit diesen Daten (einschliesslich eines Warnmeldemechanismus im Falle einer Datenschutzverletzung)
  • Ernennung eines Ansprechpartners als zentrale Anlaufstelle

Kelio Software und DSGVO-Konformität

Die Implementierung einer Software für die HR-Verwaltung sowie Zugangskontrolle garantiert nicht die Einhaltung der DSGVO, hilft jedoch beim richtigen Umgang mit personenbezogenen Daten, indem sie die Möglichkeit bietet:

  • die Verarbeitung personenbezogener Daten neu zu regeln und zu steuern
  • die Speicherung dieser Daten zu zentralisieren und besser zu schützen (gesichertes System, Zugriffsrechte usw.)
  • schneller und einfacher auf Anträge zur Inanspruchnahme von Persönlichkeitsrechten zu reagieren

Die Kelio-Softwarelösungen zur Zeiterfassung, HR-Verwaltung und Zugangskontrolle wurden entwickelt, um Unternehmen bzw. Einrichtungen bei der Einhaltung der DSGVO-Vorschriften zu unterstützen, indem sie einen Rahmen für die Verarbeitung und den Schutz der personenbezogenen Daten der Mitarbeiter schaffen.

"Privacy by design" in Kelio

Artikel 25.1: Beim Privacy by Design werden die Rechte und Verpflichtungen im Zusammenhang mit personenbezogenen Daten gleich zu Beginn einer Datenverarbeitung und bei ihrer Änderung berücksichtigt. Dies geschieht durch proaktive Massnahmen, die eventuelle Verstösse gegen die Privatsphäre vorbeugen.

Reduzierung der Pflichteingabefelder auf die zur Bearbeitung des Mitarbeitervertrages unbedingt notwendigen Felder. Um das Recht auf Einverständnis bzw. Opt-in zu wahren und die Erfassung optionaler Daten ohne die Einwilligung der Person zu vermeiden, besteht die Möglichkeit, die Erfassung optionaler Daten in den Einstellungen der Kelio-Benutzerprofile zu verbieten.

Ein präzise Verwaltung der Benutzerrechte, wobei die Vergabe von hochgradig personalisierten Rechten und die Datenweitergabe auf befugte Personen beschränkt wird (Vergabe der Rechte nach Profil, Person, Grund, Datenfeld usw.). Standardmässig bietet die Software eingeschränkte Zugriffsrechte. Zum Beispiel ist es mit Kelio möglich, jedem Mitarbeiter entweder Leserechte oder Bearbeitungsrechte für seinen eigenen individuellen Ordner zu geben.

"Privacy by default" in Kelio

Artikel 25.2: Sämtliche personenbezogenen Daten sollten, unabhängig von ihrem Format (Papier, digital) und ihrem Vertraulichkeitsgrad, gesichert werden. Ein Unternehmen bzw. eine Einrichtung sollte nicht nur darauf achten, den Zugang zu diesen Daten zu schützen (Zugangskontrolle per Ausweis, abgeschlossene Schränke), sondern auch Papier vor Verfall zu bewahren (Schutz vor Feuer, Wasser usw.).

Hochgeschützte Daten in der Kelio Software: ob im Lizenzmodus (Datenverschlüsselung, regelmässige Sicherheitsaudits, obligatorische Authentifizierung usw.) oder im SaaS-Modus (hochgeschützte, gemäss ISAE3402 und ISO27001 zertifizierte Hostingserver, hochgeschützte Firewalls, redundante Datensicherung usw.).

Materieller Schutz Ihrer Gebäude mithilfe der Kelio-Zugangskontrolle, die für den Schutz personenbezogener Daten sorgt: Sperren eines verlorenen Zugangsausweises, Vergabe von Zugangsrechten nach der Anwesenheitsplanung der Mitarbeiter, Zugangsereignis-Übersicht bei einem Vorfall usw.

Inanspruchnahme von Datenschutzrechten

Artikel 12: Natürliche Personen, die ihre Daten zur Verfügung gestellt haben (Mitarbeiter, Kunden), haben das Recht auf Datenschutz. Sie haben das Recht, ihre Daten abzufragen, zu berichtigen, löschen (vergessen) zu lassen usw. Das Unternehmen muss sicherstellen, dass diese Rechte jederzeit und bei jeder Verarbeitung innerhalb spätestens eines Monats gewährt werden.

Auskunftsrecht (Artikel 15) / Recht auf Berichtigung (Artikel 16): Mit Kelio können Sie Rechte an Mitarbeiter vergeben, mit denen diese freie Auskunft über ihre persönlichen Daten erhalten und/oder ihre Mitarbeiterkartei selbständig berichtigen können.

Recht auf Löschung (Artikel 17): In der Kelio Software können Daten und ihre technischen Spuren gelöscht werden. Die Löschung kann durch einen Kelio-Administrator erfolgen, auf Anfrage einer Person, die sich ausweisen kann. Im Personalwesen ist dieses Recht jedoch durch die gesetzlichen Vorgaben hinsichtlich der Aufbewahrung und der Löschung von Dokumenten eingeschränkt. Kelio bietet die Möglichkeit, automatische und einstellbare Reinigungen zum Löschen von Daten vorzunehmen, wenn deren Aufbewahrungsfrist überschritten ist.

Recht auf Datenübertragbarkeit (Artikel 20): In Kelio werden Datenberichte und -exporte in Standardformaten (PDF, Excel, CSV) angeboten, sodass die Daten von den Administratoren der Software manuell wiederhergestellt werden können.

Hilfe zur Erstellung der Basisdokumentation

Die DSGVO führt den Grundsatz der Rechenschaftspflicht von Unternehmen bzw. Einrichtungen ein (Accountability). Das Unternehmen ist dazu verpflichtet, beim Datenschutz proaktiv zu handeln und dies mittels einer obligatorischen Basisdokumentation zu beweisen.

Bereitstellung einer vorausgefüllten Vorlage eines Datenverarbeitungsverzeichnisses durch Kelio, die die Anfertigung der von der DSGVO geforderten Basisdokumentation erleichtert (Artikel 30).

Die DSGVO-Strategie von Bodet Software

Unternehmen und Einrichtungen («Datenverantwortliche» genannt) bleiben in vollem Umfang für die Verwaltung und den Schutz personenbezogener Daten verantwortlich, unabhängig davon, ob die Verarbeitungstätigkeiten intern erfolgen oder an Dritte weitergegeben werden.

Bodet Software gilt im Rahmen seiner SaaS-Hosting-, Softwareintegrations- und Support- bzw. Wartungsleistungen für seine Kunden als «Subunternehmer». Über die bereits bestehenden Sicherheitsmassnahmen hinaus (Softwaresicherheit, Überwachung der Geschäftsräume, Back-ups, regelmässige Sicherheitsaudits usw.) hat Bodet Software zusätzliche Massnahmen ergriffen, die der Einhaltung der DSGVO-Vorgaben bei seinen Kunden dienen:

  • Benennung eines Datenschutzbeauftragten (DSB), Artikel 37 und eines Datenschutz-Lenkungsausschusses. Unser DSB ist ein auf den Schutz personenbezogener Daten spezialisierter Ansprechpartner. Ihm obliegt die Wahrung der Privatsphäre sowie die ordnungsgemässe Anwendung der DSGVO-Regeln. Der DSB ist für die Festlegung und Kontrolle einer Politik zur Verwaltung personenbezogener Daten im Unternehmen zuständig. Nähere Informationen erhalten Sie von: dpo@bodet.com
  • Sensibilisieren der eigenen Mitarbeiter insbesondere der Produktentwickler, Berater/Techniker und Support-Mitarbeiter, in Sachen Datenschutzvorschriften und im richtigen Umgang mit personenbezogenen Daten.
  • Vertragliche Verpflichtungen gegenüber den eigenen Kunden, die als «Datenverantwortliche» gelten Artikel 28: (Benachrichtigungspflicht usw.).

Besondere Aufmerksamkeit gilt den Fachleuten, die mit der Verarbeitung der Personaldaten der Mitarbeiter beauftragt sind

Über die Verwaltung der Daten mit Kelio hinaus sollten auch weitere technische und organisatorische Massnahmen nicht vernachlässigt werden:

  • Sensibilisierung: Diejenigen ihrer Mitarbeiter, die regelmässig mit einer Personalverwaltungs- oder Zugangskontrollsoftware arbeiten und personenbezogene Daten verarbeiten, sollten für die DSGVO-Vorschriften sensibilisiert werden und mit den getroffenen Datenschutzmassnahmen vertraut sein. Dies gilt umso mehr, als dass einige personenbezogene Mitarbeiterdaten besonders empfindlich sein können, wie etwa biometrische Daten (digitale Fingerabdrücke), Daten über die Zugehörigkeit zu einer Gewerkschaft oder Gesundheitsdaten (Artikel 9).
  • Der «Lockout»: Ein Unternehmen bzw. eine Einrichtung darf keine unnötigen Daten aufbewahren und muss daher die Zugangsrechte eines Mitarbeiters, der das Unternehmen verlässt, löschen, damit dieser seine früheren Login-Daten nicht aufbewahrt. Dies ist auch der Fall, wenn ein Mitarbeiter die Abteilung oder die Stelle wechselt: In diesem Fall sollten seine alten Rechte gelöscht und neue entsprechend seiner neuen Stelle vergeben werden.
  • Automatische Reinigungen: Jeder Datentyp und jedes Dokument verfügt über eine Aufbewahrungsfrist. Das Unternehmen sollte darauf achten, automatische Reinigungen am Ende jeder Aufbewahrungsfrist der verschiedenen Informationen durchzuführen. Auf diese Weise wird das Risiko von Datenschutzverletzungen vermindert.
  • Benennung eines DSB: Diese ist in jedem Fall empfehlenswert, ist jedoch in einigen Fällen, die in Artikel 37 genannt werden, Pflicht – besonders in öffentlichen Einrichtungen, in Einrichtungen, die empfindliche Daten verarbeiten oder in Einrichtungen, deren Hauptaktivität in der regelmässigen und systematischen Überwachung grosser Menschenmengen (z. B.: Krankenhäuser usw.) besteht.
  • Benachrichtigung im Falle einer Datenschutzverletzung: Im Falle einer Datenschutzverletzung (Datenleck, Datenänderung, unfreiwillige Zerstörung oder Datenverlust) sollte das Unternehmen die Wichtigkeit und die Folgen abschätzen, bevor gegebenenfalls die entsprechende Kontrollbehörde darüber informiert wird.

UNSERE KUNDEN VERTRAUEN UNS – WARUM NICHT AUCH SIE?


30 Jahre Erfahrung

International vertreten

Installation

Dedizierter Ansprechpartner

Nähe und Verfügbarkeit

Haben Sie Fragen?
Kontaktieren Sie uns

Kontaktieren Sie uns
Geben Sie bitte Ihren namen ein.
Geben Sie bitte Ihren firma ein.
Geben Sie bitte Ihre E-Mail-Adresse ein.
(*)La case doit être cochée