Krafta Hugbúnaðarlausnir ehf. — hugbúnaður til vinnustjórnunar ("Krafta", „smáforritið").
1. Inngangur
Krafta Hugbúnaðarlausnir ehf. („Krafta", „við" eða „okkur"), kennitala 6606250110, Gauksríma 21, 800 Selfoss, Ísland, býður upp á smáforrit til vinnustjórnunar sem fyrirtæki og stofnanir nota til að halda utan um tímaskráningu, vaktaskipulag, verkefni og leyfi starfsfólks síns.
Þessi persónuverndarstefna lýsir því hvernig við vinnum persónuupplýsingar í tengslum við smáforritið. Vinnsla persónuupplýsinga fer fram í samræmi við reglugerð (ESB) 2016/679 („GDPR"), eins og hún hefur verið tekin upp í EES-samninginn, og lög nr. 90/2018 um persónuvernd og vinnslu persónuupplýsinga.
2. Hlutverk okkar: ábyrgðaraðili og vinnsluaðili
Aðgangur að Krafta er veittur þér af fyrirtæki eða stofnun (vinnuveitanda þínum eða öðrum aðila sem þú starfar fyrir — „Fyrirtækið"). Þú getur ekki stofnað aðgang sjálf/ur í smáforritinu.
- Fyrir flestar upplýsingar sem þú skráir eða myndar við notkun smáforritsins fyrir hönd Fyrirtækisins (t.d. tímaskráningar, vinnustaðsetningar, verkþætti, viðhengi og leyfisskráningar) er Fyrirtækið ábyrgðaraðili og Krafta vinnsluaðili fyrir þess hönd, á grundvelli vinnslusamnings. Persónuverndarstefna Fyrirtækisins á þá einnig við og þú skalt beina beiðnum um þau gögn til Fyrirtækisins í fyrstu.
- Fyrir afmarkaðan hluta upplýsinga þar sem við ákveðum tilgang og aðferðir vinnslunnar — svo sem auðkenningu aðgangs, öryggi og villu-/hrunupplýsingar sem nauðsynlegar eru til að halda smáforritinu starfhæfu — er Krafta ábyrgðaraðili.
Þessi stefna lýsir báðum hlutverkum. Þar sem við erum eingöngu vinnsluaðili vinnum við samkvæmt skriflegum fyrirmælum Fyrirtækisins.
3. Persónuupplýsingar sem við vinnum
- Aðgangs- og auðkennisupplýsingar — netfang þitt, einkvæmt notandaauðkenni og innskráningarupplýsingar (aðgangsorð er aðeins geymt í órekjanlegu (hashed) formi).
- Notandasnið — nafn þitt og, ef það er veitt, prófílmynd.
- Tíma- og viðverugögn — stimplun inn/út, hlé og tengdar vinnuúthlutanir.
- Nákvæm staðsetningargögn (GPS) — þegar þú stimplar þig inn eða út skráir smáforritið nákvæma staðsetningu tækisins á þeirri stundu og sendir hana í bakenda okkar, svo Fyrirtækið hafi áreiðanlega skráningu á því hvar vinna fór fram. Staðsetning er aðeins skráð í forgrunni, á þeirri stundu sem stimplað er inn/út — smáforritið rekur ekki staðsetningu þína í bakgrunni eða samfellt.
- Vinnuefni — verkþættir, athugasemdir og mynd- og myndbandsviðhengi sem þú bætir við.
- Leyfisgögn, þ.m.t. heilsufarsupplýsingar — leyfisbeiðnir og, fyrir tilteknar tegundir leyfa (svo sem veikindaleyfi), læknisvottorð sem þú eða Fyrirtækið hleður upp. Vottorð kunna að innihalda heilsufarsupplýsingar, sem teljast viðkvæmar persónuupplýsingar (sjá 5. lið).
- Tækja- og tilkynningagögn — tilkynningakóði (frá stýrikerfinu / Firebase Cloud Messaging) svo við getum sent þér tilkynningar.
- Greiningargögn — hrunskýrslur og afkasta-/villugögn (tæknilegar atburðaupplýsingar, staða smáforritsins og notandaauðkenni þitt) sem notuð eru til að finna og laga vandamál.
- Samskipti við þjónustu — upplýsingar sem þú lætur í té þegar þú hefur samband við okkur.
Upplýsingar sem við söfnum EKKI
Við söfnum ekki auglýsingaauðkennum (IDFA/GAID), við stundum enga auglýsinga- eða atferlisrakningu og við söfnum engum greiningargögnum um hegðun þína í smáforritinu, tengiliðum þínum, vafraferli eða fjárhagsupplýsingum.
4. Tilgangur og vinnsluheimildir
Við vinnum persónuupplýsingar í eftirfarandi tilgangi, á eftirfarandi heimildum skv. 6. gr. GDPR:
- Til að veita smáforritið og aðgang þinn (aðgangs-, auðkennis- og prófílupplýsingar) — efndir samnings (6. gr. 1. mgr. b-liður) og lögmætir hagsmunir Krafta og Fyrirtækisins af því að reka þjónustuna (6. gr. 1. mgr. f-liður).
- Til tímaskráningar, vaktaskipulags, verkefna og launagrunns (tíma- og viðverugögn, vinnuefni) — á grundvelli ráðningar-/starfssambands og lagaskyldna og lögmætra hagsmuna Fyrirtækisins (6. gr. 1. mgr. b-, c- og f-liðir), eins og Fyrirtækið ákveður.
- Til að skrá hvar vinna fer fram (nákvæm staðsetning við stimplun) — lögmætir hagsmunir Fyrirtækisins af áreiðanlegri skráningu (6. gr. 1. mgr. f-liður) og, þar sem við á, samþykki þitt sem veitt er í gegnum staðsetningarheimild stýrikerfisins (6. gr. 1. mgr. a-liður).
- Til að senda tilkynningar (tilkynningakóði) — lögmætir hagsmunir (6. gr. 1. mgr. f-liður) og samþykki á tækjastigi í gegnum stýrikerfið.
- Til að halda smáforritinu öruggu, stöðugu og starfhæfu (greiningar-/hrungögn) — lögmætir hagsmunir okkar (6. gr. 1. mgr. f-liður).
- Til að svara þjónustubeiðnum þínum — lögmætir hagsmunir okkar (6. gr. 1. mgr. f-liður).
5. Viðkvæmar persónuupplýsingar (heilsufarsupplýsingar)
Þegar þú eða Fyrirtækið hleður upp læknisvottorðum í tengslum við veikindaleyfi eða sambærilegar fjarvistir kunna þau að innihalda heilsufarsupplýsingar, sem teljast viðkvæmar persónuupplýsingar skv. 9. gr. GDPR. Slíkar upplýsingar eru aðeins unnar þegar það er nauðsynlegt til að uppfylla skyldur og neyta réttinda á sviði vinnuréttar og almannatrygginga (9. gr. 2. mgr. b-liður GDPR), eins og Fyrirtækið ákveður og gefur fyrirmæli um, eða á annarri lögmætri heimild skv. 9. gr. Aðgangur að heilsufarsupplýsingum er takmarkaður og meðhöndlun þeirra háð sérstakri aðgát.
6. Hvernig við söfnum persónuupplýsingum
Við söfnum persónuupplýsingum: (a) beint frá þér við notkun smáforritsins; (b) frá Fyrirtækinu, sem stofnar aðgang þinn og kann að skrá upplýsingar um þig; og (c) sjálfvirkt frá tæki þínu (t.d. greiningargögn og, á þeirri stundu sem stimplað er inn/út, staðsetningu).
7. Viðtakendur og undirvinnsluaðilar
Við deilum persónuupplýsingum aðeins eftir því sem nauðsynlegt er til að veita smáforritið, með eftirfarandi flokkum viðtakenda sem starfa sem vinnsluaðilar samkvæmt samningi:
- Fyrirtækið og viðurkenndir stjórnendur þess.
- Hýsing í skýi — bakendi okkar og gögn eru hýst hjá Hetzner Online GmbH, í gagnaverum innan Evrópska efnahagssvæðisins (Þýskalandi og Finnlandi).
- Mapbox (kort og staðfangaþjónusta) — tekur við staðsetningar-/hnitaupplýsingum til að birta kort. Mapbox er með aðsetur í Bandaríkjunum.
- Google / Firebase — Firebase Cloud Messaging (afhending tilkynninga) og Crashlytics (hrunskýrslur). Google er með aðsetur í Bandaríkjunum.
- Sentry — villu- og afkastavöktun, hýst innan Evrópusambandsins (við sendum aðeins notandaauðkenni, með lágmörkun persónuupplýsinga og hreinsun á hausum beiðna).
Við seljum ekki persónuupplýsingar.
8. Flutningur út fyrir EES
Þegar viðtakendur eru staðsettir utan EES (t.d. Mapbox og Google/Firebase í Bandaríkjunum) er flutningur varinn með viðeigandi verndarráðstöfunum, einkum stöðluðum samningsákvæðum framkvæmdastjórnar ESB, ásamt viðbótarráðstöfunum þar sem við á. Vinnsla hjá Sentry fer fram innan ESB. Þú getur óskað eftir frekari upplýsingum um þessar ráðstafanir með því að nota tengiliðaupplýsingarnar hér að neðan.
9. Varðveislutími
- Aðgangs- og prófílupplýsingar — varðveittar á meðan aðgangur þinn er virkur. Þegar Fyrirtækið gerir aðgang þinn óvirkan eru gögn aðeins varðveitt eins lengi og nauðsynlegt er til að uppfylla laga- og rekstrarlegar skyldur, og síðan eytt eða nafnleynd komið á.
- Tíma-, viðveru-, staðsetningar- og vinnugögn — varðveitt samkvæmt fyrirmælum Fyrirtækisins og gildandi vinnu-, skatta- og bókhaldslögum. Gögn sem falla undir bókhaldsskyldu samkvæmt lögum um bókhald nr. 145/1994 eru að jafnaði varðveitt í 7 ár.
- Leyfis- og heilsufarsvottorð — varðveitt aðeins eins lengi og nauðsynlegt er vegna vinnuréttar/almannatrygginga og gildandi laga, og síðan eytt.
- Greiningar-/hrungögn — varðveitt í takmarkaðan tíma vegna öryggis og áreiðanleika, og síðan eytt.
10. Réttindi þín
Með fyrirvara um GDPR átt þú rétt á að: fá aðgang að persónuupplýsingum þínum; fá rangar upplýsingar leiðréttar; fá upplýsingum eytt; takmarka vinnslu eða andmæla henni; flytja gögn (gagnaflutningur); og, þegar vinnsla byggist á samþykki, að afturkalla samþykki hvenær sem er. Þessi réttindi eru háð lagalegum undantekningum.
Þar sem Fyrirtækið er ábyrgðaraðili flestra vinnutengdra gagna skaltu beina beiðnum um þau gögn til Fyrirtækisins; við aðstoðum það sem vinnsluaðili. Fyrir gögn þar sem Krafta er ábyrgðaraðili (aðgangur, öryggi, greining) skaltu hafa samband við okkur á support@krafta.is.
Stofnun og lokun aðgangs er í höndum stjórnenda Fyrirtækisins. Ef þú vilt loka aðgangi þínum eða fá gögnum þínum eytt skaltu hafa samband við Fyrirtækið eða okkur á support@krafta.is.
Þú átt einnig rétt á að leggja fram kvörtun hjá Persónuvernd (personuvernd.is) eða viðeigandi eftirlitsyfirvaldi.
11. Öryggi
Við verndum persónuupplýsingar með viðeigandi tæknilegum og skipulagslegum ráðstöfunum, þ.m.t. dulkóðun í flutningi, dulkóðaðri geymslu auðkenna og auðkenniskóða í tæki þínu, aðgangsstýringum og takmarkaðri meðhöndlun viðkvæmra gagna. Ekkert kerfi er fullkomlega öruggt, en við vinnum að því að vernda gögn þín og bregðast skjótt við hvers kyns öryggisatviki.
12. Börn
Smáforritið er vinnutæki ætlað starfandi einstaklingum og er ekki beint að börnum.
13. Sjálfvirk ákvarðanataka
Við notum ekki persónuupplýsingar þínar til sjálfvirkrar ákvarðanatöku sem hefur réttaráhrif eða sambærileg veruleg áhrif, né til gerðar persónusniða (profiling).
14. Breytingar á stefnunni
Við kunnum að uppfæra þessa stefnu af og til. Gildandi útgáfa og birtingardagur hennar koma fram þar sem stefnan er birt. Verulegar breytingar verða kynntar eftir því sem við á.
15. Tengiliður
Krafta Hugbúnaðarlausnir ehf.
Gauksríma 21, 800 Selfoss, Ísland
Kennitala 6606250110
Netfang: support@krafta.is