Kelio und das nDSG

Beschleunigen Sie Ihre nDSG-Konformität mit der Kelio Software!

Die Implementierung einer Software für die HR-Verwaltung sowie Zugangskontrolle erfordert die Verwendung und Verarbeitung personenbezogener Daten. Damit müssen die Organisationen die Anforderungen des neuen Datenschutzgesetzes (nDSG) einhalten.

Die Anforderungen des nDSG für HR- und Zugangskontrollsoftware

Jede Organisation, die personenbezogene Daten ihrer Mitarbeiter verarbeitet, unterliegt der Einhaltung des nDSG. Dieses regelt folgende Aspekte:

  • Schutz der erfassten personenbezogenen Daten
  • Einhaltung von Rechten in Bezug auf personenbezogene Daten
  • Umsetzung einer Strategie für den verantwortlichen Umgang mit diesen Daten (einschliesslich eines Meldemechanismus im Falle einer Datenschutzverletzung)
  • Einrichtung eines Verzeichnisses der Bearbeitungstätigkeiten für Firmen mit mehr als 250 Beschäftigten oder für risikoreiche Bearbeitungen
  • Datenschutz-Folgenabschätzung für Bearbeitungen mit hohem Risiko

Die Ernennung eines Datenschutzberaters als zentrale Anlaufstelle wird empfohlen.

Kelio Software und nDSG-Konformität

Die Implementierung einer Software für die HR-Verwaltung sowie Zugangskontrolle garantiert nicht die Einhaltung des nDSG, hilft jedoch beim richtigen Umgang mit personenbezogenen Daten, indem sie die Möglichkeit bietet:

  • die Verarbeitung personenbezogener Daten neu zu regeln und zu steuern
  • die Speicherung dieser Daten zu zentralisieren und besser zu schützen (gesichertes System, Zugriffsrechte usw.)
  • schneller und einfacher auf Anträge zur Inanspruchnahme von Persönlichkeitsrechten zu reagieren

Die Kelio-Softwarelösungen zur Zeiterfassung, HR-Verwaltung und Zugangskontrolle wurden entwickelt, um Unternehmen bzw. Einrichtungen bei der Einhaltung des nDSG zu unterstützen, indem sie einen Rahmen für die Verarbeitung und den Schutz der personenbezogenen Daten der Mitarbeiter schaffen.

«Privacy by design» in Kelio

AArtikel 7 Abs. 1 nDSG: Beim Privacy by Design werden die Rechte und Verpflichtungen im Zusammenhang mit personenbezogenen Daten gleich zu Beginn einer Datenverarbeitung und bei ihrer Änderung berücksichtigt. Dies geschieht durch proaktive Massnahmen, die eventuelle Verstösse gegen die Privatsphäre vorbeugen.

Reduzierung der Pflichteingabefelder auf die zur Bearbeitung des Mitarbeitervertrages unbedingt notwendigen Felder. Um das Recht auf Einverständnis bzw. Opt-in zu wahren und die Erfassung optionaler Daten ohne die Einwilligung der Person zu vermeiden, besteht die Möglichkeit, die Erfassung optionaler Daten in den Einstellungen der Kelio-Benutzerprofile zu verbieten.

Eine präzise Verwaltung der Benutzerrechte, wobei die Vergabe von hochgradig personalisierten Rechten und die Datenweitergabe auf befugte Personen beschränkt wird (Vergabe der Rechte nach Profil, Person, Grund, Datenfeld usw.). Standardmässig bietet die Software eingeschränkte Zugriffsrechte. Zum Beispiel ist es mit Kelio möglich, jedem Mitarbeiter entweder Leserechte oder Bearbeitungsrechte für seinen eigenen individuellen Ordner zu geben.

«Privacy by default» in Kelio

Artikel 7 Abs. 2 nDSG: Sämtliche personenbezogenen Daten sollten, unabhängig von ihrem Format (Papier, digital) und ihrem Vertraulichkeitsgrad, gesichert werden. Ein Unternehmen bzw. eine Einrichtung sollte nicht nur darauf achten, den Zugang zu diesen Daten zu schützen (Zugangskontrolle per Ausweis, abgeschlossene Schränke), sondern auch Papier vor Verfall zu bewahren (Schutz vor Feuer, Wasser usw.).

Hochgeschützte Daten in der Kelio Software: ob im Lizenzmodus (Datenverschlüsselung, regelmässige Sicherheitsaudits, obligatorische Authentifizierung usw.) oder im SaaS-Modus (hochgeschützte, gemäss ISAE3402 und ISO27001 zertifizierte Hostingserver, hochgeschützte Firewalls, redundante Datensicherung usw.).

Physische Sicherung Ihrer Gebäude mithilfe der Kelio-Zugangskontrolle, die für den Schutz personenbezogener Daten sorgt: Sperren eines verlorenen Zugangsausweises, Vergabe von Zugangsrechten nach der Anwesenheitsplanung der Mitarbeiter, Zugangsereignis-Übersicht bei einem Vorfall usw.

Inanspruchnahme von Datenschutzrechten

Artikel 25 nDSG: Natürliche Personen, die ihre Daten zur Verfügung gestellt haben (Mitarbeiter, Kunden), haben das Recht auf Datenschutz. Sie haben das Recht, ihre Daten abzufragen, zu berichtigen, löschen (vergessen) zu lassen usw. Das Unternehmen muss sicherstellen, dass diese Rechte jederzeit und bei jeder Bearbeitung innerhalb von höchstens 30 Tagen gewährt werden.

Auskunftsrecht (Artikel 28 nDSG) / Recht auf Berichtigung (Artikel 32 nDSG): Mit Kelio können Sie Mitarbeitern Rechte vergeben, mit denen diese freie Auskunft über ihre persönlichen Daten erhalten und/oder ihre Mitarbeiterkartei selbständig berichtigen können.

Recht auf Löschung (Artikel 32 nDSG): In der Kelio Software können Daten und ihre technischen Spuren gelöscht werden. Die Löschung kann durch einen Kelio-Administrator erfolgen, auf Anfrage einer Person, die sich ausweisen kann. Im Personalwesen ist dieses Recht jedoch durch die gesetzlichen Vorgaben hinsichtlich der Aufbewahrung und der Löschung von Dokumenten eingeschränkt. Kelio bietet die Möglichkeit, automatische und einstellbare Reinigungen zum Löschen von Daten vorzunehmen, wenn deren Aufbewahrungsfrist überschritten ist.

Recht auf Datenübertragbarkeit (Artikel 28 und 29 nDSG): In Kelio werden Datenberichte und -exporte in Standardformaten (PDF, Excel, CSV) angeboten, sodass die Daten von den Administratoren der Software wiederhergestellt werden können.

Hilfe zur Erstellung der Basisdokumentation

Das nDSG zielt auf eine Accountability der Organisation ab. Das Unternehmen ist dazu verpflichtet, beim Datenschutz proaktiv zu handeln und dies mittels einer Basisdokumentation zu beweisen.

Bereitstellung einer vorausgefüllten Vorlage eines Verzeichnisses der Bearbeitungstätigkeiten von Kelio, die die Anfertigung der vom nDSG geforderten Basisdokumentation erleichtert (Artikel 15 nDSG).

Der Kelio-Ansatz im Hinblick auf das nDSG

Unternehmen und Einrichtungen («Verantwortliche» genannt) bleiben in vollem Umfang für die Verwaltung und den Schutz personenbezogener Daten verantwortlich, unabhängig davon, ob die Bearbeitungstätigkeiten intern erfolgen oder an Dritte weitergegeben werden.

Kelio gilt im Rahmen seiner SaaS-Hosting-, Softwareintegrations- und Support- bzw. Wartungsleistungen für seine Kunden als «Auftragsbearbeiter» (Art. 9 nDSG). Über die bereits bestehenden Sicherheitsmassnahmen hinaus (Softwaresicherheit, Überwachung der Geschäftsräume, Back-ups, regelmässige Sicherheitsaudits usw.) hat Kelio zusätzliche Massnahmen ergriffen, die der Einhaltung der nDSG-Vorgaben bei seinen Kunden dienen:

  • Ernennung eines Data Protection Officer (DPO) gemäss Artikel 37 der Europäischen Datenschutz-Grundverordnung (DSGVO; entspricht dem in Artikel 10 des revidierten Schweizer Datenschutzgesetzes (nDSG) vorgesehenen Datenschutzberater) sowie eines Lenkungsausschusses für den Datenschutz. Unser Datenschutzberater ist ein auf den Schutz personenbezogener Daten spezialisierter Ansprechpartner. Ihm obliegt die Wahrung der Privatsphäre sowie die ordnungsgemässe Anwendung der nDSG-Regeln. Er ist für die Festlegung und Kontrolle einer Politik zur Verwaltung personenbezogener Daten im Unternehmen zuständig. Für weitere Informationen: dpo@kelio.com
  • Sensibilisieren der eigenen Mitarbeiter insbesondere der Produktentwickler, Berater/Techniker und Support-Mitarbeiter, in Sachen Datenschutzanforderungen und im richtigen Umgang mit personenbezogenen Daten.
  • Vertragliche Verpflichtungen gegenüber den eigenen Kunden, die als «Verantwortliche» gelten: (Benachrichtigungspflicht usw.).

Besondere Aufmerksamkeit gilt den Fachleuten, die mit der Verarbeitung der Personaldaten der Mitarbeiter beauftragt sind

Über die Verwaltung der Daten mit Kelio hinaus sollten auch weitere technische und organisatorische Massnahmen nicht vernachlässigt werden:

  • Sensibilisierung: Diejenigen ihrer Mitarbeiter, die regelmässig mit einer HR-Software oder Zugangskontrollsoftware arbeiten und personenbezogene Daten verarbeiten, sollten für die nDSG-Anforderungen sensibilisiert werden und mit den getroffenen Datenschutzmassnahmen vertraut sein. Dies gilt umso mehr, als dass einige personenbezogene Mitarbeiterdaten besonders schützenswert sein können, wie etwa biometrische Daten (digitale Fingerabdrücke), Daten über die Zugehörigkeit zu einer Gewerkschaft oder Gesundheitsdaten (Artikel 5 nDSG).
  • Der «Lockout»: Ein Unternehmen bzw. eine Einrichtung darf keine unnötigen Daten aufbewahren und muss daher die Zugangsrechte eines Mitarbeiters, der das Unternehmen verlässt, löschen, damit dieser seine früheren Zugangsdaten nicht mehr nutzen kann. Dies ist auch der Fall, wenn ein Mitarbeiter die Abteilung oder die Stelle wechselt: In diesem Fall sollten seine alten Rechte gelöscht und neue entsprechend seiner neuen Stelle vergeben werden.
  • Automatische Löschungen: Jeder Datentyp und jedes Dokument verfügt über eine Aufbewahrungsfrist. Das Unternehmen sollte darauf achten, automatische Löschungen am Ende jeder Aufbewahrungsfrist der verschiedenen Informationen durchzuführen. Auf diese Weise wird das Risiko von Datenschutzverletzungen vermindert.
  • Die Benennung eines Datenschutzberaters: Sie wird in jedem Fall empfohlen, ist jedoch nicht obligatorisch (Artikel 10 nDSG).
  • Meldung im Falle einer Datenschutzverletzung: Im Falle einer Datenschutzverletzung (Datenleck, Datenänderung, unfreiwillige Zerstörung oder Datenverlust) sollte das Unternehmen die Wichtigkeit und die Folgen abschätzen, bevor gegebenenfalls der EDÖB (Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte) darüber informiert wird.

UNSERE KUNDEN VERTRAUEN UNS – WARUM NICHT AUCH SIE?

35 Jahre Erfahrung

35 Jahre Erfahrung

International vertreten

International vertreten

Installation

Installation

Dedizierter Ansprechpartner

Dedizierter Ansprechpartner

Nähe und Verfügbarkeit

Nähe und Verfügbarkeit