Od roku 2018 GDPR uvádí malé podniky do paniky. Kolovají příběhy o pokutách 20 milionů eur a ochromují malé podnikatele, kteří si říkají „jsem ztracený, nejsem v souladu se zákonem".
Realita je jednodušší. CNIL nikdy nepostihl malý podnik, který se snažil o rozumný soulad. Útočí na internetové giganty, na podniky, které prodávají osobní údaje, na recidivisty. Ne na instalatéra, který má soubor Excelu se seznamem klientů.
To vás však nezbavuje povinnosti dělat svůj díl. Ale úsilí je zcela zvládnutelné.
5 kroků, které pokrývají 80 % vašich povinností
Krok 1: registr zpracování (základ)
To je ústředním dokumentem GDPR. Uvádí osobní údaje, které sbíráte, proč je sbíráte a jak dlouho je uchováváte.
Pro typický malý podnik se vejde na jednu stránku:
| Zpracování | Sbírané údaje | Účel | Doba uchovávání |
|---|---|---|---|
| Soubor klientů | Jméno, e-mail, telefon, adresa | Obchodní správa | 3 roky po poslední komunikaci |
| Účetnictví | Jméno, adresa, číslo faktury | Právní povinnost | 10 let |
| Mzdy (pokud zaměstnanci) | Osobní údaje, číslo SS, číslo účtu | Správa mezd | 5 let po odchodu |
| Web | Soubory cookie, IP, formulář kontaktu | Marketing, analytika | 13 měsíců (soubory cookie), 3 roky (formulář) |
| Newsletter | Komunikace | Do zrušení odběru |
CNIL nabízí bezplatnou šablonu na svých webových stránkách. Vyplňte ji za 30 minut a aktualizujte ji jednou ročně.
Krok 2: informace pro osoby
Musíte informovat osoby, jejichž údaje sbíráte. V praxi:
-
Na vašem webu: stránka „Zásady ochrany osobních údajů" (nebo „Ochrana dat") dostupná z patičky. Popište jednoduchým jazykem, které údaje sbíráte, proč, jak dlouho je uchováváte a jak uplatnit svá práva.
-
Na formulářích: věta pod každým formulářem kontaktu: „Shromážděné údaje se používají k odpovědi na váš dotaz. Své práva si můžete uplatnit tím, že nás budete kontaktovat na [e-mail]. Viz naše zásady ochrany osobních údajů."
-
Pro zaměstnance: dokument předaný při náboru obsahující seznam údajů sbíraných v souvislosti s pracovním poměrem.
Krok 3: správa souborů cookie
Pokud váš web používá soubory cookie pro měření publika (Google Analytics, Matomo) nebo reklamu, musíte získat výslovný souhlas návštěvníka PŘED umístěním těchto souborů cookie.
Opatření: nainstalujte lištu se soubory cookie v souladu s požadavky. Bezplatná řešení jako Tarteaucitron.js nebo Cookiebot (bezplatně do 100 stránek) daný úkol splní.
Výjimka: soubory cookie nezbytné pro fungování webu (ověřování, nákupní košík) nevyžadují souhlas.
Alternativa: používejte Matomo v konfiguraci „osvobozené od souhlasu" (oznámení CNIL). Budete si ponechávat svou analytiku bez lišty se soubory cookie.
Krok 4: bezpečnost údajů
GDPR vyžaduje ochranu osobních údajů pomocí „vhodných technických a organizačních opatření". Pro malý podnik to znamená:
- Silná a jedinečná hesla (viz článek o kybernetické bezpečnosti)
- Aplikovaná bezpečnostní aktualizace
- Pravidelné zálohování
- Omezený přístup k datům (ne všichni mají přístup ke všemu)
- Šifrování přenosných počítačů
To není nic více ani nic méně než osvědčené postupy kybernetické bezpečnosti, které byste měli aplikovat stejně.
Krok 5: správa práv osob
GDPR dává osobám práva na jejich údaje: přístup, opravu, smazání, přenositelnost. V praxi malé podniky obdrží velmi málo takových žádostí.
Opatření: určete kontaktní osobu (vy sami nebo spolupracovník) a e-mailovou adresu kontaktu (typ dpo@vasepodnikani.cz). Když přijde žádost, odpovězte do měsíce. To je vše.
Co může počkat
DPO (pověřenec pro ochranu dat) — povinný pouze pro podniky, které zpracovávají údaje ve velkém měřítku nebo citlivé údaje. Malý podnik s 5 zaměstnanci nepotřebuje DPO.
Analýza dopadů (DPIA) — povinná pouze pro zpracování vysokého rizika (rozsáhlé video-monitoring, systematické profilování, zdravotnické údaje). Soubor klientů vaší tesařství není zpracování vysokého rizika.
Certifikace GDPR — žádná certifikace není povinná. Podniky, které vám prodávají „certifikace GDPR", exploatují strach. Soulad je nepřetržitý proces, ne značka.
V případě porušení údajů
Pokud uniknou osobní údaje (hackerský útok, ztráta USB klíče, e-mail poslán chybné osobě), máte 72 hodin na to, abyste o tom zpravili CNIL, pokud porušení představuje riziko pro osoby.
Formulář pro hlášení je k dispozici na webu CNIL. Vyplňte ho upřímně: co se stalo, kolik osob je postiženo, jaká opatření jste přijali.
CNIL je shovívavější k podniku, který rychle nahlásí incident, než k podniku, který incident skrývá.
GDPR není byrokratický příšera pro malé podniky. Je to rámec zdravého rozumu: chraňte data svých klientů tak, jak byste chtěli, aby byla chráněna vaše.