Zgodność z RODO - informacje
Ewido zostało zaprojektowane z myślą o zgodności z Rozporządzeniem 2016/679 (RODO). Poniżej znajdziesz kluczowe informacje techniczne i prawne.
Administrator i procesor
Operatorem serwisu ewido.pl jest:
Apify Karol Marcinkiewicz
ul. Wólczańska 124/12, 90-527 Łódź
NIP: 768-121-27-57, REGON: 592165633
W odniesieniu do danych osobowych rozróżniamy dwie role:
Dane Klientów i Użytkowników (osoby rejestrujące konto, osoby korzystające z Serwisu) - Usługodawca jest administratorem danych.
Dane pracowników Klientów (dane wprowadzane przez pracodawcę do systemu) - Usługodawca jest podmiotem przetwarzającym (procesorem). Administratorem jest Klient (pracodawca).
Umowa powierzenia przetwarzania danych (DPA)
Ewido działa jako podmiot przetwarzający dane pracowników w imieniu Klienta (administratora) na podstawie art. 28 RODO.
Umowa powierzenia przetwarzania danych (DPA - Data Processing Agreement) reguluje:
- zakres i cel przetwarzania danych osobowych pracowników
- rodzaje danych (identyfikacyjne, czas pracy, nieobecności, grafiki, delegacje, geolokalizacja GPS, badania lekarskie, BHP, dokumenty)
- obowiązki Procesora (bezpieczeństwo, poufność, wsparcie w realizacji praw osób)
- zasady dalszego powierzenia (podwykonawcy)
- procedurę na wypadek naruszenia ochrony danych (zgłoszenie w ciągu 24h)
- prawo do audytu
- zasady usuwania danych po zakończeniu umowy
DPA jest dostępna na żądanie dla wszystkich planów. Aby uzyskać Umowę powierzenia, skontaktuj się: kontakt@ewido.pl.
Dla planów Biuro Rachunkowe i Enterprise DPA jest zawierana automatycznie przy podpisaniu umowy.
Środki techniczne i organizacyjne
TLS 1.3 - cała komunikacja szyfrowana w locie za pomocą protokołu TLS w wersji 1.3.
Row Level Security (RLS) - izolacja danych między organizacjami na poziomie bazy danych PostgreSQL. Każdy Klient widzi wyłącznie swoje dane.
Audit trail z SHA-256 - pełna historia zmian z haszem kryptograficznym, identyfikacją osoby i znacznikiem czasu. Niemodyfikowalny.
Haszowanie haseł (bcrypt) - hasła użytkowników i PINy KIOSK przechowywane wyłącznie jako hasze kryptograficzne.
Ochrona CSRF i rate limiting - tokeny CSRF na formularzach, ograniczenie prób logowania.
Kontrola dostępu - system ról (5 poziomów) od pracownika po super-administratora.
Backupy - codzienne backupy bazy danych z 30-dniową retencją.
Lokalizacja danych
Wszystkie dane przechowywane są na serwerach zlokalizowanych w Unii Europejskiej.
Nie przekazujemy danych poza Europejski Obszar Gospodarczy (EOG).
Podwykonawcy (sub-procesorzy)
Ewido korzysta z ograniczonej liczby podwykonawców:
Hosting - dostawca infrastruktury serwerowej, lokalizacja: Unia Europejska.
E-mail transakcyjny - dostawca usług e-mail dla powiadomień systemowych, lokalizacja: UE.
Lista podwykonawców jest aktualizowana i dostępna na żądanie (kontakt@ewido.pl). O zmianach podwykonawców informujemy z 14-dniowym wyprzedzeniem.
Prawa osób, których dane dotyczą
Jako administrator danych swoich pracowników, Klient ma obowiązek umożliwić im realizację praw RODO. Ewido wspiera ten proces poprzez:
Eksport danych pracownika w formacie CSV/JSON/PDF.
Możliwość korekty i sprostowania danych.
Anonimizację danych na żądanie.
Usunięcie konta pracownika (z zachowaniem wymogów prawa pracy - 10 lat).
Pełną historię dostępu do danych (audit trail) w celach rozliczalności.
Klauzula informacyjna dla pracowników
Klient (pracodawca) jest zobowiązany poinformować swoich pracowników o przetwarzaniu ich danych w systemie Ewido zgodnie z art. 13 RODO.
Udostępniamy gotowy wzór klauzuli informacyjnej, który Klient może uzupełnić swoimi danymi i wręczyć pracownikom. Wzór jest dostępny na żądanie: kontakt@ewido.pl.
Kontakt
W sprawach związanych z ochroną danych osobowych prosimy o kontakt:
Apify Karol Marcinkiewicz
ul. Wólczańska 124/12, 90-527 Łódź
kontakt@ewido.pl