От 2018 г. GDPR плаши малките предприятия. Циркулират истории за наказания в размер на 20 милиона евро и парализират малките предприемачи, които си казват "съм загубен, не съм в съответствие".
Реалността е по-простa. CNIL никога не е наказала малко предприятие, което прави разумни усилия за съответствие. Тя се насочва към интернет гигантите, компаниите, които продават лични данни, към повторни нарушители. Не към водопроводчика, който има Excel файл с клиенти.
Това не ви освобождава от отговорност. Но нивото на усилие е напълно управляемо.
5-те действия, които покриват 80% от вашите задължения
Действие 1: регистър на обработките (основата)
Това е централният документ на GDPR. Той изброява личните данни, които събирате, защо и колко дълго ги пазите.
За типично малко предприятие това стига на една страница:
| Обработка | Събрани данни | Цел | Период на съхранение |
|---|---|---|---|
| Файл на клиентите | Име, email, телефон, адрес | Търговско управление | 3 години след последния контакт |
| Счетоводство | Име, адрес, № на фактура | Законово задължение | 10 години |
| Заплати (при наличие на служители) | Гражданско състояние, ЕГН, банкова сметка | Управление на заплати | 5 години след напускане |
| Уебсайт | Бисквитки, IP, форма за контакт | Маркетинг, анализ | 13 месеца (бисквитки), 3 години (форма) |
| Вестник | Комуникация | До отписване |
CNIL предлага безплатен модел на своя сайт. Попълнете го за 30 минути и актуализирайте го веднъж годишно.
Действие 2: информиране на лицата
Трябва да информирате лицата, чиито данни събирате. На практика:
-
На вашия уебсайт: страница "Политика за поверителност" (или "Защита на данни"), достъпна от долния част на страницата. Опишете на простo езикe кои данни събирате, защо, колко дълго ги пазите и как да упражнят своите права.
-
На вашите формуляри: фраза под всеки контактен формуляр: "Събраните данни се използват за отговор на вашето запитване. Можете да упражните своите права, като ни се свържете на [email]. Вижте нашата политика за поверителност."
-
За вашите служители: документ, предаден при наемане, в който се изброяват данните, събрани в контекста на трудовите отношения.
Действие 3: управление на бисквитките
Ако вашият сайт използва бисквитки за измерване на трафика (Google Analytics, Matomo) или реклама, трябва да получите явното съгласие на посетителя ПРЕДИ да поставите тези бисквитки.
Действието: инсталирайте банер за бисквитки в съответствие с разпоредбите. Безплатни решения като Tarteaucitron.js или Cookiebot (безплатно до 100 страници) справят работата.
Изключение: бисквитките, строго необходими за функционирането на сайта (удостоверяване, пазарска кошница), не изискват съгласие.
Алтернатива: използвайте Matomo в конфигурация "освободена от съгласие" (декларация към CNIL). Запазвате своята аналитика без банер за бисквитки.
Действие 4: защита на данните
GDPR налага защита на личните данни с "подходящи технически и организационни мерки". За малко предприятие това означава:
- Силни и уникални пароли (вижте статията за кибербезопасност)
- Приложени актуализации на безопасност
- Редовни резервни копия
- Ограничен достъп до данни (не всеки имa достъп до всичко)
- Криптиране на преносими компютри
Това не е нищо повече нито по-малко от добрите практики в областта на кибербезопасността, които трябва да прилагате във всеки случай.
Действие 5: управление на правата на лицата
GDPR дава на лицата права върху своите данни: достъп, коригиране, изтриване, преносимост. На практика малките предприятия получават много малко запитвания от този тип.
Действието: определете контактно лице (вие самите или колега) и имейл адрес за контакт (тип данni@vashetoprotprise.bg). Когато дойде запитване, отговорете в течение на месец. Това е всичко.
Това, което може да чака
DPO (делегат за защита на данни) — задължителен само за предприятия, които обработват данни в голям мащаб или чувствителни данни. Малко предприятие с 5 служители не има нужда от DPO.
Анализ на въздействието (DPIA) — задължителен само за обработки с висок риск (видеонаблюдение в голям мащаб, системна профилиране, здравни данни). Файлът на клиентите на вашия дърводелец не е обработка с висок риск.
GDPR сертификация — никаква сертификация не е задължителна. Компаниите, които ви продават "GDPR сертификати", експлоатират страха. Съответствието е непрекъснат процес, а не етикет.
При нарушение на данни
Ако личните данни протекат (хакване, загуба на USB флаш памет, имейл изпратен на грешния получател), имате 72 часа, за да уведомите CNIL, ако нарушението представлява риск за лицата.
Формулярът за уведомление е онлайн на сайта на CNIL. Попълнете го честно: какво се е случило, колко лица са засегнати, какви мерки е предприел.
CNIL е по-снизходителна към компания, която уведоми бързо, отколкото към компания, която крие инцидента.
GDPR не е бюрократично чудовище за малките предприятия. Това е рамка на здравия разум: защитавайте данните на вашите клиенти както бихте искали вашите собствени да бъдат защитени.