Datenschutzrichtlinie

Übersicht
Ceridian verpflichtet sich dem Schutz der Daten unserer Mitarbeiter, unserer Kunden und deren Mitarbeiter. Im Rahmen dieser Verpflichtung hat Ceridian ein Datenschutzprogramm entwickelt, das unsere Sorgfalt bei der Einhaltung geltender Datenschutzgesetze zum Ausdruck bringt.

1. Geltungsbereich
Die globale Datenschutzrichtlinie von Ceridian regelt die Grundsätze und Verfahren, die Ceridian HCM, Inc., Dayforce Europe Limited, Ceridian Canada Ltd., Ceridian Australia Pty Ltd. und Ceridian Mauritius Ltd. (nachfolgend „Ceridian“) in Bezug auf die Erhebung, Nutzung, Weitergabe und Sicherung der von Ceridian verarbeiteten personenbezogenen Daten befolgen.

2. Definitionen
Kunde – Ein Unternehmen, das eine Geschäftsbeziehung mit Ceridian eingeht, in deren Rahmen Ceridian eine Dienstleistung erbringt.

Privatperson – Die Person, deren Daten Ceridian verarbeitet, zum Beispiel ein Mitarbeiter von Ceridian, ein Mitarbeiter eines Kunden oder eine Person, die eine Website, eine Dienstleistung oder ein Tool von Ceridian in Anspruch nimmt.

Personenbezogene Daten – Ein beliebiges Datenelement oder eine beliebige Kombination von Datenelementen, das bzw. die die Identifizierung einer Person ermöglicht, einschließlich Namen, Adresse, Personaldaten, persönlicher Gesundheitsdaten und formeller Identifikationsangaben wie Sozialversicherungsnummer, Name, biometrischer Ausweis, Privatadresse, Führerscheinnummer, Kreditkartennummer oder Kontonummer.

Verarbeitet – Personenbezogene Daten, die sich im Besitz oder unter der Kontrolle von Ceridian befinden.

3. Verantwortlichkeit
Ceridian, seine Mitarbeiter und seine Auftragnehmer übernehmen die Verantwortung für personenbezogene Daten entsprechend den Richtlinien und Standards von Ceridian. Der Chief Privacy Officer von Ceridian ist dafür verantwortlich, die Anforderungen dieser Richtlinie zu definieren und die Einhaltung ihrer Bestimmungen zu gewährleisten. Der Chief Information Security Officer ist verantwortlich für die Implementierung und Aufrechterhaltung angemessener Compliance-Kontrollen und -Maßnahmen. Ceridian gibt auf Anfrage die Identität des Chief Privacy Officer und des Chief Information Security Officer bekannt.

Ceridian haftet für die von ihm verarbeiteten personenbezogenen Daten sowie für die personenbezogenen Daten, die Ceridian Auftragnehmern zur Verarbeitung zur Verfügung stellt. Im Hinblick auf personenbezogene Daten, die zur Verarbeitung an einen Auftragnehmer übermittelt wurden, kommen vertragliche Verpflichtungen zur Anwendung, um ein vergleichbares Schutzniveau zu gewährleisten. Die Haftung von Ceridian für die Erfüllung der Verpflichtungen eines Dritten ist in jedem Vertrag geregelt, den Ceridian mit seinen Kunden unterzeichnet, und Ceridian übernimmt die Haftung für die Erfüllung der Dienstleistungen und Verpflichtungen, die an solche Auftragnehmer abgetreten werden, einschließlich derer, die den Schutz der personenbezogenen Daten betreffen.

Unsere Dienstleistungen umfassen auch die Übermittlung von Daten an Dritte (z. B. Banken, Versicherungen und Steuerbehörden) im Auftrag von Arbeitgebern, die unsere Kunden sind. In diesen Fällen steht Ceridian in keiner direkten Beziehung zu den Dritten und haftet nicht für die Verarbeitung der in ihrem Besitz befindlichen Daten. Diese Dritten haben ihre eigenen unabhängigen Verpflichtungen in Bezug auf die Daten, in der Regel durch gesetzliche Bestimmungen oder durch Verträge mit Arbeitgebern.

Ceridian schult seine Mitarbeiter in Bezug auf seine Datenschutzrichtlinien und -praktiken.

4. Mitteilung, Wahlmöglichkeit und Zustimmung
Ceridian informiert über die Zwecke, zu denen personenbezogene Daten erhoben, genutzt, gespeichert und offengelegt werden.

In den meisten Fällen sind die Kunden für die Mitteilung des Zwecks und für die Einholung der entsprechenden Zustimmung verantwortlich, wenn sie personenbezogene Daten erheben, und personenbezogene Daten, die von unseren Kunden zur Verarbeitung an Ceridian übermittelt werden, gelten als mit entsprechender Mitteilung erhoben. Ceridian übernimmt keine Verantwortung für die Einholung oder die Bestätigung, dass eine angemessene Zustimmung in Bezug auf die von Unternehmen/Kunden an Ceridian übermittelten Daten eingeholt wurde.

In einigen Fällen erhebt Ceridian personenbezogene Daten direkt von einer Privatperson, zum Beispiel wenn Privatpersonen eine Website von Ceridian besuchen oder bestimmte vertrauliche Dienstleistungen in Anspruch nehmen. In diesen Fällen ist Ceridian für die Einholung der entsprechenden Zustimmung verantwortlich, es sei denn, dies wäre unangemessen oder die Erhebung ist ohne Zustimmung gesetzlich vorgeschrieben bzw. erlaubt. Gegebenenfalls benennt Ceridian alle Wahlmöglichkeiten, die Privatpersonen im Rahmen der Dienstleistungen zur Verfügung stehen, und holt die entsprechende Zustimmung ein. Privatpersonen, die die von Ceridian direkt eingeholte Zustimmung ändern oder widerrufen möchten, können dies schriftlich auf die im Abschnitt „Durchsetzung“ dieser Richtlinie beschriebene Art und Weise tun. Wenn Sie keine werblichen E-Mails von Ceridian erhalten möchten, können Sie sich vom Verteiler abmelden, indem Sie am Ende einer solchen E-Mail auf den Link „Abmelden“ klicken. Alternativ klicken Sie bitte hier. Vorbehaltlich gesetzlicher oder vertraglicher Einschränkungen hält sich Ceridian an den Widerruf oder die Änderung der Zustimmung und weist die Privatperson auf die Folgen einer Änderung der Zustimmung hin. In Fällen, in denen die Zustimmung durch den Kunden eingeholt wurde, wird die Privatperson an den Kunden verwiesen.

Sofern nicht gesetzlich vorgeschrieben, erfolgt durch Ceridian keine Nutzung oder Weitergabe personenbezogener Daten zu anderen Zwecken als dem Zweck, zu dem diese Daten ursprünglich erhoben wurden, ohne zuvor den neuen Zweck zu identifizieren und zu dokumentieren und die entsprechende Zustimmung einzuholen.

Werden Daten anonymisiert, aggregiert oder zusammengefasst, gelten sie nicht mehr als personenbezogene Daten, und Privatpersonen können weder die Entfernung ihrer Daten aus einem aggregierten Datensatz verlangen, noch ist zur weiteren Verwendung eine Zustimmung erforderlich.

5. Erhebung und Nutzung
Ceridian geht bei der Erhebung von Daten nicht wahllos vor. Ceridian erhebt personenbezogene Daten nur zum Zweck der Bereitstellung und Bewerbung der von uns angebotenen Dienstleistungen und beschränkt die Nutzung auf diese Zwecke, einschließlich der Anbahnung, Aufrechterhaltung, Verbesserung und Beendigung der Arbeitnehmer-Arbeitgeber-Beziehung. Personenbezogene Daten werden mit fairen und rechtmäßigen Mitteln erhoben und nicht durch Irreführung oder Täuschung von Privatpersonen über den Zweck der Datenerhebung.
Ceridian kann personenbezogene Daten auch aus anderen Quellen erheben, entweder mit der Zustimmung der Privatperson oder in dem gesetzlich zulässigen bzw. erforderlichen Rahmen. Beispiele für indirekte Quellen für personenbezogene Daten sind Hintergrundüberprüfungen, Arbeitgeber oder Referenzen.

6. Aufbewahrung und Löschung
Ceridian bewahrt personenbezogene Daten nur so lange auf, wie es zur Erfüllung der angegebenen Zwecke erforderlich oder gesetzlich vorgeschrieben ist, und sorgt anschließend für eine angemessene Löschung dieser Daten. Ceridian legt minimale sowie maximale Aufbewahrungsfristen für die verschiedenen Datensätze mit personenbezogenen Daten fest.

Wenn personenbezogene Daten für den identifizierten Zweck oder zur Erfüllung einer gesetzlichen oder geschäftlichen Anforderung nicht mehr notwendig oder relevant sind, werden sie sicher vernichtet. In diesem Fall werden die personenbezogenen Daten von Ceridian entweder physisch oder elektronisch gelöscht oder unwiederbringlich anonymisiert.

7. Zugriff
Sofern eine Beschränkung des Zugriffs durch Ceridian nicht gesetzlich zulässig oder vorgeschrieben ist, stellt Ceridian personenbezogene Daten zur Überprüfung und Aktualisierung zur Verfügung, entweder direkt über die Selbstbedienungsfunktion in den Produkten von Ceridian, durch Verweis der Privatperson an den Arbeitgeber zwecks Zugriff oder im Zuge einer Zugriffsanfrage an bestehende Kontakte bei Ceridian.

Gegebenenfalls können sich Privatpersonen auf die im Abschnitt „Durchsetzung“ dieser Richtlinie beschriebene Art und Weise an Ceridian wenden. Ceridian beantwortet Anfragen innerhalb der von der geltenden Datenschutzgesetzgebung definierten Frist und erstellt der Privatperson gegebenenfalls einen Kostenvoranschlag für die Verwaltung und Beantwortung der Anfrage. Ceridian benötigt ausreichende Informationen, um Zugriffsanfragen authentifizieren zu können.

8. Weitergabe
Sofern nicht gesetzlich vorgeschrieben, erfolgt durch Ceridian keine Nutzung oder Weitergabe personenbezogener Daten zu anderen Zwecken als dem Zweck, zu dem diese Daten ursprünglich erhoben wurden.

Ceridian gibt personenbezogene Daten zur Erfüllung der identifizierten Zwecke an folgende Dritte weiter:

  • Unternehmen – Falls Ceridian oder ein Teil unserer Vermögenswerte übernommen, verkauft oder übertragen wird, kann Ceridian personenbezogene Daten an das beteiligte Unternehmen weitergeben, um die Geschäftstransaktion abzuschließen. 
  • Dienstleister und Tochtergesellschaften, verbundene Unternehmen und Auftragnehmer – Ceridian kann personenbezogene Daten an Dienstleister oder an Tochtergesellschaften, verbundene Unternehmen und Auftragnehmer von Ceridian weitergeben, um die von Ceridian angebotenen Dienstleistungen zu erbringen. Diese Dienstleistungen können unter anderem die Bereitstellung von Produkten oder Dienstleistungen für Sie oder Ihren Arbeitgeber in unserem Namen, die Erstellung oder Pflege unserer Datenbanken, die Recherche und Analyse der Auslastung und Leistung der Anwendung, die Erstellung und Verteilung von Mitteilungen oder die Beantwortung von Anfragen umfassen oder Teil unseres Prozesses sein. 
  • Vom Arbeitgeber benannte Dritte – Im Rahmen der von Ceridian für Arbeitgeber erbrachten Dienstleistungen übermittelt Ceridian Daten an Dritte wie Banken, Steuerbehörden und Versicherungen.
  • Juristische Parteien –Im Zuge juristischer Aufforderungen kann Ceridian personenbezogene Daten an Strafverfolgungsbehörden oder die auffordernde juristische Partei weitergeben, um der Aufforderung nachzukommen. Wenn im Zuge einer juristischen Aufforderung die Weitergabe von Daten erforderlich ist, lässt Ceridian angemessene Vorsicht walten, um sicherzustellen, dass die Anordnung oder Aufforderung legitim ist und nur gesetzlich vorgeschriebene personenbezogene Daten weitergegeben werden.

Wenn Ceridian Kenntnis davon hat, dass ein Dritter personenbezogene Daten unzulässig nutzt oder weitergibt, unternimmt Ceridian angemessene Schritte, um diese Nutzung oder Weitergabe zu verhindern oder zu unterbinden.

Um die Weitergabe personenbezogener Daten einzuschränken oder einer Weitergabe zu widersprechen, sollten sich Privatpersonen gegebenenfalls an ihren Arbeitgeber oder auf die im Abschnitt „Durchsetzung“ dieser Richtlinie beschriebene Art und Weise an Ceridian wenden.

Ceridian verkauft keine personenbezogenen Daten an Dritte, weder zu Marketingzwecken noch zu anderen kommerziellen Zwecken.

9. Grenzüberschreitende Übermittlung
Ceridian übermittelt personenbezogene Daten außerhalb einer lokalen Gerichtsbarkeit nur mit angemessenen Schutzvorkehrungen und in Übereinstimmung mit den geltenden Gesetzen und Normen.

Bei der Übermittlung von Daten aus der EU in die USA erfüllt Ceridian die Bestimmungen des EU-US Privacy Shield hinsichtlich der Erhebung, Nutzung, Aufbewahrung und Weitergabe personenbezogener Daten aus der EU und dem EWR in die USA und bescheinigt die Einhaltung der Datenschutzgrundsätze des Privacy Shield im Zusammenhang mit der Mitteilung, den Auswahlmöglichkeiten, der Weitergabe, der Sicherheit, der Datenintegrität, dem Zugriff, der Durchsetzung und den geltenden ergänzenden Grundsätzen. Weitere Informationen über die Grundsätze des Privacy Shield erhalten Sie unter https://www.privacyshield.gov.

10. Schutzmaßnahmen
Ceridian hat Richtlinien, Verfahren und Praktiken zum Schutz personenbezogener Daten implementiert.
Ceridian schützt personenbezogene Daten durch branchenweit anerkannte und etablierte Sicherheitsmaßnahmen entsprechend der Sensibilität der Daten. Ceridian überprüft seine Sicherheitsrichtlinien und -verfahren regelmäßig und aktualisiert sie bei Bedarf, um ihre Relevanz sicherzustellen. Ceridian trifft angemessene Sicherheitsvorkehrungen, um personenbezogene Daten, die sich im Besitz oder unter der Kontrolle von Ceridian befinden, vor Risiken wie Verlust oder Diebstahl sowie vor unberechtigtem Zugriff sowie unberechtigter Erhebung, Nutzung, Offenlegung, Vervielfältigung, Änderung, Löschung und Zerstörung zu schützen.

Die Schutzmethoden umfassen physische, organisatorische und technische Maßnahmen.
Ceridian verlangt von allen Dritten, an die zur Erbringung der Dienstleistungen unter Umständen personenbezogene Daten weitergegeben werden, angemessene Schutzvorkehrungen in Übereinstimmung mit den geltenden Gesetzen und Normen zum Schutz personenbezogener Daten zu treffen.

11. Qualität
Bei der Erbringung von Dienstleistungen verlässt sich Ceridian darauf, dass Arbeitgeber und Arbeitnehmer Ceridian genaue, vollständige und aktuelle Informationen zur Verfügung stellen, die für die Erbringung der Dienstleistungen durch Ceridian geeignet sind. Privatpersonen werden gebeten, ihre Datensätze regelmäßig zu überprüfen und entsprechend zu aktualisieren oder ihren Arbeitgeber umgehend über Fehler zu informieren. Ceridian unternimmt angemessene Anstrengungen, um die Integrität der Daten in seinen Produkten zu gewährleisten, soweit dies zur Erfüllung der Zwecke, zu denen die Daten genutzt werden sollen, erforderlich ist.

Soweit Ceridian auch außerhalb der Dienstleistungserbringung Daten erhebt, unternimmt Ceridian angemessene Anstrengungen, um die personenbezogenen Daten so genau, vollständig und aktuell zu halten, wie es zur Erfüllung der Zwecke, zu denen die Daten genutzt werden sollen, erforderlich ist. Ceridian bietet Privatpersonen die Möglichkeit, die personenbezogenen Daten im Besitz von Ceridian zu aktualisieren oder zu berichtigen.

12. Überwachung und Durchsetzung
Gegebenenfalls können Privatpersonen bei Ceridian Zugriff auf ihre personenbezogenen Daten anfordern und Bedenken oder Beschwerden bezüglich ihrer personenbezogenen Daten äußern, indem sie Anhang A ausfüllen und per E-Mail an  Privacy@Ceridian.com oder per Post an folgende Adresse senden:

  • Chief Privacy Officer Ceridian HCM, Inc.
  • 3311 E. Old Shakopee Road Minneapolis, MN
  • 55425
  • Tel.: +1 952 853 8100

Wenn eine Privatperson Beschwerde einlegt, geht Ceridian der Angelegenheit bzw. möglichen Nichteinhaltung dieser Mitteilung oder der Datenschutzgrundsätze von Ceridian nach. In der Regel antwortet Ceridian innerhalb von 45 Tagen nach Erhalt einer Beschwerde. Ceridian ergreift alle geeigneten Maßnahmen, um mögliche Probleme zu lösen. In Angelegenheiten, die sich auf andere Weise nicht klären lassen, kooperiert Ceridian mit dem unten aufgeführten Streitbeilegungssystem.

Sollten Privatpersonen mit der Behandlung ihrer Beschwerde unzufrieden sein, können sie bei den unten aufgeführten Regulierungsbehörden kostenlos eine formelle Beschwerde einreichen.

  • Kanada: Datenschutzbeauftragter (Privacy Commissioner) von Kanada oder Datenschutzbeauftragter (Privacy Commissioner) in der jeweiligen Provinz
    • Office of the Privacy Commissioner of Canada 30 Victoria Street Gatineau,
    • Quebec K1A 1H
    • Tel.: + 1 800 282 1376
  • USA: Generalstaatsanwalt (Attorney General) im jeweiligen Bundesstaat
  • EU: Informationsbeauftragter (Information Commissioner) von Großbritannien oder Datenschutzbehörde des jeweiligen Mitgliedstaates
  • Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter
    • Eidg. Datenschutz- und Öffentlichkeitsbeauftragter
    • Feldeggweg 1
    • CH-3003 Bern
    • Tel.: +41 (0)58 462 43 95
    • Fax: +41 (0)58 465 99 96

Beschwerden im Zusammenhang mit dem EU-US Privacy Shield sollten in der folgenden Reihenfolge bei den entsprechenden Stellen eingereicht werden: Bei Ceridian, bei der zuständigen EU-Datenschutzbehörde, beim US-Handelsministerium, bei der FTC und anschließend beim Privacy Shield Panel.  Die Privatperson hat die Möglichkeit, beim Privacy Shield Panel einen Antrag auf verbindliche Schlichtung zu stellen.

Ceridian unterzieht diese Richtlinie regelmäßigen Bewertungen, um ihre Richtigkeit und Übereinstimmung mit den Datenschutzgrundsätzen von Ceridian zu überprüfen. Darüber hinaus trifft Ceridian interne Kontrollmaßnahmen, um seine Einhaltung der Grundsätze zu überwachen und mögliche Fragen oder Beschwerden zu klären.

Fragen
Fragen oder Anmerkungen zu dieser Richtlinie können an das Datenschutzteam unter privacy@ceridian.com gerichtet werden.

Verstöße gegen die Richtlinie können Ihrem Vorgesetzten, der Personalabteilung oder anonym über EthicsPoint unter +1 866 ETHICSP (866-384-4277) oder www.ethicspoint.com gemeldet werden.

Gültigkeitsdatum: 21.09.2017

© Ceridian Europe Limited. Alle Rechte vorbehalten.    Datenschutz    Bedingungen    Cookie-Hinweis
×
Sie können Informationen zu unseren Produkten suchen, unsere Dokumentation durchsuchen und vieles mehr. Geben Sie einen Suchbegriff in das Suchfenster oben ein und die Ergebnisse werden noch während der Eingabe angezeigt.