Die globale Datenschutzrichtlinie wurde zuletzt aktualisiert am 30. Dezember 2019.
Ceridian ist verpflichtet, Ihre personenbezogenen Daten zu schützen. Im Rahmen dieser Verpflichtung hat Ceridian ein Datenschutzprogramm eingerichtet, das zeigt, dass wir die Datenschutzgesetze mit der gebotenen Sorgfalt umsetzen.
GELTUNGSUMFANG
DEFINITIONEN
RECHENSCHAFTSPFLICHT
VON UNS ALS DIENSTANBIETER VERARBEITETE PERSONENBEZOGENE DATEN
VON UNS ALS RECHTSTRÄGER VERARBEITETE PERSONENBEZOGENE DATEN
HINWEIS ZUR DO-NOT-TRACK-FUNKTION
SPEICHERUNG UND VERNICHTUNG
ZUGRIFF UND QUALITÄT
WEITERGABE PERSONENBEZOGENER DATEN
GRENZÜBERSCHREITENDE ÜBERTRAGUNG
SCHUTZ PERSONENBEZOGENER DATEN
AUSÜBUNG VON RECHTEN
KONTAKT
ÄNDERUNGEN AN DIESER RICHTLINIE
Diese Richtlinie gilt für die Erhebung, Verwendung, Weitergabe, Offenlegung, Speicherung und Löschung personenbezogener Daten durch Ceridian sowie seine Konzerngesellschaften und Dienstanbieter.
Sie gilt für alle personenbezogenen Daten, die von Ceridian kontrolliert werden, unabhängig davon, ob sie auf Geräten von Ceridian oder von einem Drittanbieter gespeichert und/oder verarbeitet werden.
Wenn Sie ein Mitarbeiter sind, dessen Arbeitgeber eine Ceridian-Anwendung wie zum Beispiel Human Capital Management verwendet, und Ihr Arbeitgeber Sie aufgefordert hat, personenbezogene Daten im Rahmen dieser Dienstleistung anzugeben, sollten Sie die separate Datenschutzrichtlinie Ihres Arbeitgebers überprüfen.
Wenn Sie ein Unternehmen sind, das über einen Vertrag mit Ceridian verfügt, sollten Sie diesen Vertrag auf Informationen darüber überprüfen, wie Ceridian die von Ihnen oder Ihren Mitarbeitern erhobenen personenbezogenen Daten erfasst, nutzt, weitergibt und sichert.
Sonstige Produkte und Dienstleistungen von Ceridian sind durch folgende Datenschutzrichtlinien abgedeckt:
Dayforce Datenschutzrichtlinie
Clearview Logix Datenschutzrichtlinie
Paysa Datenschutzrichtlinie
Verantwortlicher
Die natürliche oder juristische Person, Behörde, Stelle oder sonstige Einrichtung, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten festlegt.
Kunde
Eine Organisation, die eine Geschäftsbeziehung mit Ceridian eingegangen ist, bei der es um die Erbringung einer Dienstleistung geht.
Betroffene Person
Die natürliche Person, deren Daten verarbeitet werden.
Personenbezogene Daten
Jegliche Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Eine identifizierbare natürliche Person ist eine natürliche Person, die durch das Zusammenfügen von Informationen direkt oder indirekt identifiziert werden kann.
Verarbeitung
Jegliche Handlungen, die an den personenbezogenen Daten oder Sätzen personenbezogener Daten vorgenommen werden, von der Erhebung über die Verwendung bis hin zur Vernichtung, darunter auch die Speicherung sowie die Weitergabe an andere.
Auftragsverarbeiter
Eine natürliche oder juristische Person, Behörde, Stelle oder sonstige Einrichtung, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.
Ceridian, seine Mitarbeiter und seine Auftragnehmer übernehmen die Verantwortung für personenbezogene Daten gemäß den Richtlinien und Normen von Ceridian. Der Datenschutzbeauftragte von Ceridian ist für die Festlegung der Bestimmungen dieser Richtlinie und die Sicherstellung ihrer Einhaltung verantwortlich. Der Leiter des Bereichs Informationssicherheit ist für die Einrichtung und Aufrechterhaltung angemessener Kontrollmechanismen und Maßnahmen, die die Einhaltung ermöglichen, verantwortlich. Ceridian schult seine Mitarbeiter im Hinblick auf seine Datenschutzrichtlinien und -praktiken, darunter auch die zehn 'Datenschutzgrundsätze von Ceridian.
Ceridian fungiert als Auftragsverarbeiter, wenn das Unternehmen die personenbezogenen Daten seiner Kunden verarbeitet, bei denen es sich um die Verantwortlichen für Produkte wie Dayforce, PowerPay usw. handelt. Personenbezogene Daten von Kunden stehen unter der Kontrolle des Kunden, und Ceridian verwaltet die personenbezogenen Daten auf Anweisung seiner Kunden.
In einigen Fällen fungiert Ceridian als Verantwortlicher, d. h. Ceridian kontrolliert die verarbeiteten personenbezogenen Daten. Beispiele dafür sind unter anderem:
Ceridian ist für die personenbezogenen Daten, die das Unternehmen verarbeitet, und für die personenbezogenen Daten, die Ceridian Drittanbietern zur Verarbeitung überlässt, verantwortlich. Wenn personenbezogene Daten zur Verarbeitung an einen Drittanbieter übertragen werden, werden vertragliche Vorgaben gemacht, um ein vergleichbares Datenschutzniveau zu gewährleisten. Die Haftung von Ceridian für die Erfüllung seiner Verpflichtungen durch einen Dritten ist in den einzelnen Verträgen, die Ceridian mit seinen Kunden schließt, geregelt, und Ceridian übernimmt die Haftung für die Erbringung der Leistungen und die Erfüllung der Verpflichtungen, die das Unternehmen an solche Drittanbieter vergeben hat, einschließlich derer zum Schutz personenbezogener Daten.
Unsere Leistungen umfassen auch die Übertragung personenbezogener Daten an Dritte (z. B. Banken, Anbieter von Altersversorgungsprogrammen und Steuerbehörden) auf Anweisung unserer Kunden. In diesen Fällen unterhält Ceridian keine direkte Beziehung zu diesen Dritten und ist nicht für die Verarbeitung der personenbezogenen Daten in ihrem Besitz haftbar. Diese Dritten unterliegen eigenen, unabhängigen Verpflichtungen im Hinblick auf die personenbezogenen Daten, in der Regel auf gesetzlicher Grundlage oder aufgrund von Verträgen mit den Kunden von Ceridian.
Unsere Website, unsere E-Mails oder unsere Anwendung kann mit Websites von Dritten verknüpft sein. Ebenso ist es möglich, dass die Websites oder E-Mails Dritter mit unseren Anwendungen verknüpft sind. Wir sind nicht für die Inhalte oder Datenschutzpraktiken von Dritten verantwortlich, und personenbezogene Daten, die von Dritten erhoben werden, unterliegen nicht der Datenschutzrichtlinie von Ceridian. Wir empfehlen Ihnen, die Datenschutzrichtlinien dieser Websites zu lesen, bevor Sie personenbezogene Daten an Dritte übertragen.
Ceridian überprüft diese Richtlinie regelmäßig auf seine Richtigkeit und darauf, dass sie die 'zehn Datenschutzgrundsätze von Ceridian berücksichtigt. Außerdem verwendet Ceridian interne Audit-Maßnahmen, um die Einhaltung der Vorgaben zu überwachen und sämtliche Fragen oder Beschwerden zu klären.
Die Kunden von Ceridian sind für die Mitteilung der Zwecke und für die Einholung einer entsprechenden Einwilligung verantwortlich, wenn sie personenbezogene Daten erheben und an Ceridian übertragen. Personenbezogene Daten, die von unseren Kunden an Ceridian für die Verarbeitung übertragen werden, gelten mit der entsprechenden Mitteilung als erfasst. Ceridian übernimmt keine Verantwortung für die Einholung von Einwilligungen im Zusammenhang mit personenbezogenen Daten, die von Organisationen und/oder Kunden an Ceridian übertragen werden, oder die Überprüfung, dass eine geeignete Einwilligung eingeholt wurde.
Personenbezogene Daten, die wie vorgeschrieben erhoben werden, um angeforderte Leistungen zu erbringen, umfassen u. a. folgende Kategorien von Daten:
Informationen für Einwohner von Kalifornien. Gemäß dem California Civil Code (Bürgerliches Gesetzbuch Kaliforniens) legen die Abschnitte 1798.115(c), 1798.130(a)(5)(c), 1798.130(c) und 1798.140 fest, dass Organisationen offenlegen müssen, ob bestimmte Kategorien von personenbezogenen Daten erhoben, “verkauft” oder übertragen werden für die “geschäftlichen Zwecke” einer Organisation (gemäß der Definition im Recht des Bundesstaates Kalifornien). Ceridian verkauft keine personenbezogenen Daten. Eine Liste der Kategorien personenbezogener Daten, die wir erheben und weitergeben, finden Sie hier. Bitte beachten Sie Folgendes: Da diese Liste umfassend ist, kann sie sich auf personenbezogene Daten beziehen, die wir über andere Personen als Sie weitergeben. Wenn Sie weitere Informationen in Bezug auf die Kategorien von personenbezogenen Daten (sofern vorhanden) wünschen, die wir Dritten oder verbundenen Unternehmen weitergeben, senden Sie bitte eine schriftliche Anfrage mithilfe der in den nachfolgenden Abschnitten “Ausübung von Rechten” oder "Kontakt" genannten Kontaktinformationen. Wir benachteiligen keine Einwohner Kaliforniens, die ihre in dieser Datenschutzrichtlinie beschriebenen Rechte ausüben.
Personenbezogene Daten können zu folgenden Zwecken verarbeitet werden, um angeforderte Dienstleistungen zu erbringen:
Ceridian kann personenbezogene Daten direkt von Ihnen über unsere Website, persönlich bei Messen oder sonstigen Veranstaltungen, über soziale Medien oder durch sonstige Interaktion mit Ceridian erheben. Manchmal können andere Unternehmen uns Kontaktinformationen von Unternehmen oder Einzelpersonen geben, von denen sie denken, dass sie an unseren Produkten und Dienstleistungen interessiert sein könnten. Wir können außerdem Kontaktdaten aus öffentlich zugänglichen Quellen erheben.
Die erhobenen personenbezogenen Daten fallen u. a. in die folgenden Kategorien personenbezogener und sensibler personenbezogener Daten:
Informationen für Einwohner von Kalifornien. Gemäß dem California Civil Code (Bürgerlichen Gesetzbuch Kaliforniens) legen die Abschnitte 1798.115(c), 1798.130(a)(5)(c), 1798.130(c) und 1798.140 fest, dass Organisationen offenlegen müssen, ob bestimmte Kategorien von personenbezogenen Daten erhoben, “verkauft” oder übertragen werden für die “geschäftlichen Zwecke” einer Organisation (gemäß der Definition im Recht des Bundesstaates Kalifornien). Ceridian verkauft keine personenbezogenen Daten. Eine Liste der Kategorien personenbezogener Daten, die wir erheben und weitergeben, finden Sie hier. Bitte beachten Sie Folgendes: Da diese Liste umfassend ist, kann sie sich auf personenbezogene Daten beziehen, die wir über andere Personen als Sie weitergeben. Wenn Sie weitere Informationen in Bezug auf die Kategorien von personenbezogenen Daten (sofern vorhanden) wünschen, die wir Dritten oder verbundenen Unternehmen weitergeben, senden Sie bitte eine schriftliche Anfrage mithilfe der in den nachfolgenden Abschnitten “Ausübung von Rechten” oder "Kontakt" genannten Kontaktinformationen. Wir benachteiligen keine Einwohner Kaliforniens, die ihre in dieser Datenschutzrichtlinie beschriebenen Rechte ausüben.
Personenbezogene Daten können zu folgenden Zwecken verarbeitet werden:
Ceridian kann personenbezogene Daten aufgrund von verschiedenen Rechtsgrundlagen verarbeiten, darunter u. a. Einwilligung, Erfüllung eines Vertrags, Einhaltung gesetzlicher Verpflichtungen, Schutz lebenswichtiger Interessen von betroffenen Personen, Erfüllung einer Aufgabe im öffentlichen Interesse oder berechtigte Interessen. Wir können uns aus einer Reihe von Gründen auf berechtigte Interessen berufen, darunter u. a. Betrugsbekämpfung, Netzwerksicherheit und Direktmarketing.
Betroffene Personen, die ihre direkt an Ceridian erteilte Zustimmung ändern oder widerrufen möchten, können dies schriftlich vornehmen, wie im Abschnitt “Ausübung von Rechten” in dieser Datenschutzerklärung beschrieben. Wenn Sie keine Werbemails von Ceridian erhalten möchten, können Sie sich “abmelden”, indem Sie auf den Link “Abmelden” klicken, der am Ende jeder Werbe-E-Mail angezeigt wird, oder indem Sie hier klicken. Vorbehaltlich rechtlicher oder vertraglicher Beschränkungen befolgt Ceridian den Widerruf oder die Änderung der Einwilligung und wird die betroffene Person über die Folgen einer Änderung am Umfang der Einwilligung informieren. In Fällen, in denen die Zustimmung des Kunden vorliegt, wird die betroffene Person an den Kunden verwiesen. Ceridian nutzt personenbezogene Daten zu gesetzlich zulässigen Zwecken bzw. gibt sie zu diesen Zwecken weiter.
Wenn Sie Ceridian die angeforderten personenbezogenen Daten nicht zur Verfügung stellen, können Sie die Dienste ggf. nicht in vollem Umfang nutzen.
Ceridian kann personenbezogene Daten unkenntlich machen oder anonymisieren. Diese Daten gelten dann nicht mehr als personenbezogene Daten, und betroffene Personen haben weder Anspruch darauf, dass ihre Daten aus derartigen Datensätzen entfernt werden, noch ist für die weitere Verwendung eine Einwilligung erforderlich.
Do Not Track (DNT) ist eine Einstellung, die Benutzer in ihren Browsern vornehmen können, um den Online-Tracking-Aktivitäten einiger Websites zu widersprechen. Ceridian zeichnet das Verhalten seiner Kunden nicht langfristig und nicht auf den Websites Dritter auf und reagiert daher nicht auf Do-Not-Track(DNT)-Signale in Browsern.
Ceridian speichert personenbezogene Daten nur so lange, wie dies für die genannten Zwecke erforderlich oder gesetzlich vorgeschrieben ist; anschließend werden diese Daten ordnungsgemäß gelöscht. Ceridian verfügt über eine interne Unternehmensrichtlinie und einen Zeitplan zur Aufbewahrung von Unterlagen. Wenn personenbezogene Daten nicht mehr benötigt werden oder für den angegebenen Zweck oder zur Erfüllung einer geschäftlichen Vorgabe nicht mehr relevant sind, werden sie auf sichere Weise vernichtet. Ceridian wird die personenbezogenen Daten entweder physisch vernichten oder elektronisch löschen oder sie unkenntlich machen, um sie zu anonymisieren.
Sofern es Ceridian nicht gesetzlich gestattet oder vorgeschrieben ist, den Zugriff zu untersagen, dürfen Sie Ihre personenbezogenen Daten einsehen und gegebenenfalls aktualisieren oder korrigieren, indem Sie sich, wie im Abschnitt “Ausübung von Rechten” in dieser Richtlinie beschrieben, an Ceridian wenden. Wir werden Ihre Anfrage innerhalb der in den geltenden Datenschutzvorschriften vorgeschriebenen Frist beantworten und Ihnen gegebenenfalls einen Kostenvoranschlag für die Bearbeitung und Beantwortung Ihrer Anfrage senden. Ceridian benötigt ausreichende Informationen, um Zugriffsanforderungen zu authentifizieren.
Sofern es Ceridian nicht gesetzlich gestattet oder vorgeschrieben ist, den Zugriff zu untersagen, stellt Ceridian, soweit möglich, personenbezogene Daten zur Überprüfung und Aktualisierung bereit, entweder direkt mithilfe der in seinen Produkten enthaltenen Self-Service-Funktion, durch Weiterleitung der betroffenen Person an ihren Arbeitgeber mit der Bitte um Zugriff oder durch eine Zugriffsanforderung, die an entsprechende Ansprechpartner bei Ceridian zu richten ist. Wenn ein solcher Zugriff nicht möglich ist, stellt Ceridian eine schriftliche Erklärung für die betroffene Person bereit.
Bei der Erbringung von Leistungen ist Ceridian darauf angewiesen, dass seine Kunden und die Mitarbeiter seiner Kunden Ceridian richtige, vollständige und aktuelle personenbezogene Daten zur Verfügung stellen, die maßgeblich für die Erbringung der Dienste durch Ceridian sind.
Betroffene Personen werden regelmäßig aufgefordert, ihre Daten zu überprüfen und entsprechende Aktualisierungen vorzunehmen oder den Arbeitgeber unverzüglich auf Fehler hinzuweisen. Ceridian unternimmt zumutbare Anstrengungen, um die Integrität der personenbezogenen Daten, die in seinen Produkten enthalten sind, zu erhalten, damit sie die Zwecke, zu denen die personenbezogenen Daten benötigt werden, erfüllen.
Sofern Ceridian personenbezogene Daten über die Erbringung seiner Dienstleistungen hinaus erfasst, unternimmt das Unternehmen zumutbare Anstrengungen, um die personenbezogenen Daten so richtig, vollständig und aktuell zu erhalten, dass sie die Zwecke, zu denen die Informationen benötigt werden, erfüllen. Ceridian bietet Einzelpersonen die Möglichkeit, ihre im Besitz von Ceridian befindlichen personenbezogenen Daten zu aktualisieren oder zu korrigieren.
Ceridian gibt die personenbezogenen Daten der bei seinen Kunden beschäftigten Arbeitnehmer auf Anweisung seiner Kunden weiter. Die zu den oben beschriebenen Zwecken von Ceridian erhobenen und verwendeten personenbezogenen Daten können unter bestimmten Umständen an Dritte weitergegeben werden, z. B. in folgenden Situationen:
Sollte Ceridian erfahren, dass Dritte personenbezogene Daten unerlaubt nutzen oder offenlegen, ergreift Ceridian geeignete Maßnahmen, um diese Nutzung oder Offenlegung zu unterbinden. Ceridian verkauft keine personenbezogenen Daten zu Marketingzwecken an Dritte.
Natürliche Personen, die die Weitergabe personenbezogener Daten, sofern möglich, einschränken oder unterbinden möchten, sollten sich, wie unter dem Punkt “Ausübung von Rechten”beschrieben, an ihren Arbeitgeber oder Ceridian wenden.
Ceridian überträgt personenbezogene Daten nur dann in Regionen, die nicht dem lokalen Rechtssystem unterliegen, wenn ein angemessener Schutz und die Einhaltung der geltenden Gesetze und Standards gewährleistet ist. Ceridian unterhält Niederlassungen in den Vereinigten Staaten von Amerika (USA), Kanada, Australien, auf Mauritius und im Vereinigten Königreich (UK), und alle diese Gesellschaften verarbeiten personenbezogene Daten. Ceridian kann personenbezogene Daten, je nach Dienstleistung, an Dienstanbieter in anderen Ländern weitergeben. Darüber hinaus überträgt Ceridian personenbezogene Daten auf Anweisung seiner Kunden in andere Länder.
Ceridian hält die Datenschutzabkommen „EU-US Privacy Shield Framework“ und „Swiss-US Privacy Shield Framework“ (Privacy Shield) des US-Handelsministeriums im Hinblick auf die Erhebung, Nutzung und Aufbewahrung personenbezogener Daten ein, die im Rahmen des Privacy Shield aus der Europäischen Union, dem Vereinigten Königreich und der Schweiz in die USA übertragen werden. Ceridian hat dem US-Handelsministerium gegenüber bestätigt, dass das Unternehmen die Vorgaben des Privacy Shield im Hinblick auf derartige Informationen einhält. Im Falle eines Konflikts zwischen den Bestimmungen aus dieser Datenschutzerklärung und den Grundsätzen des Privacy Shield haben die Grundsätze des Privacy Shield Vorrang. Weitere Informationen zu den Grundsätzen des Privacy Shield finden Sie unter www.privacyshield.gov.
Ceridian kann Angemessenheitsbeurteilungen der Europäischen Kommission für die Übertragung personenbezogener Daten in Länder verwenden, deren Datenschutzniveau in der EU als angemessen gilt. Ceridian verwendet außerdem Standardvertragsklauseln für die Übertragung personenbezogener Daten aus der EU und der Schweiz in andere Länder.
Ceridian nutzt Richtlinien, Verfahren und Maßnahmen, um personenbezogene Daten zu schützen. Ceridian verwendet branchenweit anerkannte Sicherheitsmechanismen für den Schutz personenbezogener Daten, die der Sensibilität der personenbezogenen Daten angemessen sind. Ceridian überprüft seine Sicherheitsrichtlinien und -verfahren regelmäßig und aktualisiert sie bei Bedarf, damit sie weiterhin zweckdienlich bleiben. Ceridian trifft sinnvolle Sicherheitsvorkehrungen, um personenbezogene Daten, die sich im Besitz oder unter der Kontrolle des Unternehmens befinden, gegen Risiken wie Verlust oder Diebstahl ebenso wie unbefugten Zugriff, Erhebung, Nutzung, Offenlegung, Vervielfältigung, Veränderung, Vernichtung oder Löschung zu schützen.
Zu den Schutzmethoden zählen physische Maßnahmen, organisatorische Maßnahmen und technische Maßnahmen.
Ceridian verlangt von sämtlichen Dritten, an die das Unternehmen personenbezogene Daten überträgt, zum Schutz dieser personenbezogenen Daten angemessene Sicherheitsmechanismen aufrechtzuerhalten, die den geltenden Gesetzen und Standards entsprechen.
Für den Fall, dass wir gesetzlich verpflichtet sind, Sie über eine Verletzung des Schutzes Ihrer personenbezogenen Daten zu informieren, werden wir Sie elektronisch, schriftlich oder telefonisch benachrichtigen, soweit dies gesetzlich zulässig ist.
Je nach dem Rechtssystem, dem Sie unterliegen, können Ihnen ggf. folgende Rechte betroffener Personen zustehen: Auskunft, Korrektur, Löschung, Übertragbarkeit, Einschränkung oder Einspruch. Betroffene Personen könnenhier oder mithilfe der im nachstehenden Abschnitt "Kontakt" genannten Kontaktdaten Auskunft verlangen.
HINWEIS: Wenn Ceridian personenbezogene Daten im Auftrag Ihres Arbeitgebers (d. h. eines Kunden von Ceridian) verarbeitet, sollten Sie sich zunächst direkt an Ihren Arbeitgeber wenden, wenn Sie Auskunft verlangen, Korrekturen vornehmen lassen oder Bedenken oder Beschwerden vorbringen möchten.
Betroffene Personen können hier Bedenken oder Beschwerden vorbringen. Ceridian wird alle Beschwerden untersuchen und in der Regel innerhalb von 30 Tagen nach Erhalt beantworten, sofern nicht gesetzlich eine kürzere Bearbeitungsfrist vorgeschrieben ist. Ceridian wird alle erforderlichen Maßnahmen zur Behebung dieses Problems treffen. Falls die Angelegenheit nicht geklärt werden kann, erklärt sich Ceridian zur Kooperation im Rahmen des nachstehend dargelegten Streitbeilegungssystems bereit.
Betroffene Personen, deren Beschwerde ihrer Ansicht nach nicht zufriedenstellend geklärt wurde, können bei den unten aufgeführten Aufsichtsstellen eine formelle Beschwerde einreichen.
Beschwerden im Zusammenhang mit dem Privacy Shield sind in der angegebenen Reihenfolge an die folgenden Stellen zu richten: Ceridian, die zuständige EU-Datenschutzbehörde oder die schweizerische Datenschutzbehörde, das US-Handelsministerium, die Federal Trade Commission (FTC) und dann die Privacy-Shield-Schlichtungsstelle (Privacy Shield Panel). Betroffene Personen können sich an das Privacy Shield Panel wenden, um eine verbindliche Schlichtung zu veranlassen.
Bei Fragen, Anmerkungen oder Bedenken zum Datenschutz können Sie sich unter folgender Anschrift an Ceridian wenden:
Ceridian kann diese Datenschutzrichtlinie regelmäßig aktualisieren, um Änderungen unserer Datenschutzpraktiken Rechnung zu tragen. Wir werden Sie online informieren, wenn wir wesentliche Änderungen an dieser Datenschutzrichtlinie vornehmen.
Zuletzt aktualisiert am 30. Dezember 2019