Από το 2018, ο GDPR κάνει να τρέμουν τις μικρές επιχειρήσεις. Ιστορίες για πρόστιμα 20 εκατομμυρίων ευρώ κυκλοφορούν και παραλύουν τους μικρούς επιχειρηματίες που λένε "είμαι χαμένος, δεν συμμορφώνομαι".
Η πραγματικότητα είναι πιο απλή. Η CNIL δεν έχει ποτέ κυρώσει μια μικρή επιχείρηση που καταβάλλει ένα λογικό προσπάθεια συμμόρφωσης. Επιτίθεται στους γίγαντες του διαδικτύου, στις επιχειρήσεις που πωλούν προσωπικά δεδομένα, στους υποτροπούς. Όχι στο υδραυλικό που έχει ένα αρχείο Excel πελατών.
Αυτό δεν σας απαλλάσσει από το να κάνετε το δικό σας μέρος. Αλλά το επίπεδο προσπάθειας είναι σε μεγάλο βαθμό διαχειρίσιμο.
Οι 5 ενέργειες που καλύπτουν το 80% των υποχρεώσεών σας
Ενέργεια 1: το μητρώο των επεξεργασιών (τα βασικά)
Είναι το κεντρικό έγγραφο του GDPR. Παραθέτει τα προσωπικά δεδομένα που συλλέγετε, γιατί, και για πόσο καιρό τα φυλάσσετε.
Για μια τυπική μικρή επιχείρηση, χωράει σε μια σελίδα:
| Επεξεργασία | Συλλεγμένα δεδομένα | Σκοπός | Διάρκεια διατήρησης |
|---|---|---|---|
| Αρχείο πελατών | Όνομα, email, τηλέφωνο, διεύθυνση | Εμπορική διαχείριση | 3 χρόνια μετά την τελευταία επαφή |
| Λογιστική | Όνομα, διεύθυνση, αριθμός τιμολογίου | Νομική υποχρέωση | 10 χρόνια |
| Μισθοδοσία (αν υπάρχουν υπάλληλοι) | Ατομικά στοιχεία, ΑΦΜ, IBAN | Διαχείριση μισθών | 5 χρόνια μετά την αποχώρηση |
| Ιστοχώρος | Cookies, IP, φόρμα επικοινωνίας | Μάρκετινγκ, ανάλυση | 13 μήνες (cookies), 3 χρόνια (φόρμα) |
| Ενημερωτικό δελτίο | Επικοινωνία | Μέχρι την κατάργηση της εγγραφής |
Η CNIL προσφέρει ένα δωρεάν πρότυπο στον ιστότοπό της. Συμπληρώστε το σε 30 λεπτά και ενημερώστε το μία φορά το χρόνο.
Ενέργεια 2: η ενημέρωση των ατόμων
Πρέπει να ενημερώσετε τα άτομα των οποίων συλλέγετε τα δεδομένα. Στην πράξη:
-
Στον ιστότοπό σας: μια σελίδα "Πολιτική απορρήτου" (ή "Προστασία δεδομένων") προσβάσιμη από το υποσέλιδο. Περιγράψτε με απλή γλώσσα ποια δεδομένα συλλέγετε, γιατί, για πόσο καιρό τα κρατάτε και πώς να ασκήσετε τα δικαιώματά σας.
-
Στις φόρμες σας: μια φράση κάτω από κάθε φόρμα επικοινωνίας: "Τα συλλεγμένα δεδομένα χρησιμοποιούνται για να απαντήσουν στο αίτημά σας. Μπορείτε να ασκήσετε τα δικαιώματά σας επικοινωνώντας μαζί μας στο [email]. Δείτε την πολιτική απορρήτου μας."
-
Για τους υπαλλήλους σας: ένα έγγραφο που παραδίδεται κατά την πρόσληψη που παραθέτει τα δεδομένα που συλλέγονται στο πλαίσιο της εργασιακής σχέσης.
Ενέργεια 3: η διαχείριση των cookies
Εάν ο ιστότοπός σας χρησιμοποιεί cookies μέτρησης ακροατηρίου (Google Analytics, Matomo) ή διαφήμισης, πρέπει να λάβετε ρητή συναίνεση του επισκέπτη ΠΡΙΝ να τοποθετήσετε αυτά τα cookies.
Η ενέργεια: εγκαταστήστε ένα σύμφωνο με τα πρότυπα πανό cookies. Οι δωρεάν λύσεις όπως το Tarteaucitron.js ή το Cookiebot (δωρεάν έως 100 σελίδες) κάνουν τη δουλειά.
Εξαίρεση: τα cookies που είναι απαραίτητα για τη λειτουργία του ιστότοπου (πιστοποίηση, καλάθι αγορών) δεν απαιτούν συναίνεση.
Εναλλακτική: χρησιμοποιήστε το Matomo σε διαμόρφωση "εξαιρεμένο από την συναίνεση" (δήλωση CNIL). Διατηρείτε τα analytics σας χωρίς πανό cookies.
Ενέργεια 4: η ασφάλεια των δεδομένων
Το GDPR επιβάλλει να προστατεύετε τα προσωπικά δεδομένα με "κατάλληλα τεχνικά και οργανωτικά μέτρα". Για μια μικρή επιχείρηση, αυτό σημαίνει:
- Ισχυροί και μοναδικοί κωδικοί πρόσβασης (δείτε το άρθρο κυβερνοασφάλειας)
- Εφαρμογή ενημερώσεων ασφαλείας
- Τακτικές αντίγραφα ασφαλείας
- Περιορισμένη πρόσβαση στα δεδομένα (δεν έχουν πρόσβαση όλοι στα πάντα)
- Κρυπτογράφηση φορητών υπολογιστών
Αυτό δεν είναι περισσότερο ούτε λιγότερο από τις καλές πρακτικές κυβερνοασφάλειας που θα έπρεπε να εφαρμόζετε ούτως ή άλλως.
Ενέργεια 5: η διαχείριση των δικαιωμάτων των ατόμων
Το GDPR δίνει στα άτομα δικαιώματα επί των δεδομένων τους: πρόσβαση, διόρθωση, διαγραφή, μεταφορά. Στην πράξη, οι μικρές επιχειρήσεις λαμβάνουν πολύ λίγα αιτήματα αυτού του τύπου.
Η ενέργεια: ορίστε έναν αντιπρόσωπο (ο ίδιος ή ένας συνεργάτης) και μια διεύθυνση email επικοινωνίας (π.χ. donnees@votreentreprise.fr). Όταν φτάσει ένα αίτημα, απαντήστε εντός ενός μήνα. Αυτό είναι όλο.
Αυτό που μπορεί να περιμένει
Ο DPO (Αξιωματούχος Προστασίας Δεδομένων) — υποχρεωτικό μόνο για τις επιχειρήσεις που επεξεργάζονται δεδομένα σε μεγάλη κλίμακα ή ευαίσθητα δεδομένα. Μια μικρή επιχείρηση 5 ατόμων δεν χρειάζεται DPO.
Η ανάλυση αντίκτυπου (DPIA) — υποχρεωτική μόνο για τις επεξεργασίες υψηλού κινδύνου (βιντεοσκόπηση μεγάλης κλίμακας, συστηματικό προφίλ, δεδομένα υγείας). Το αρχείο πελατών του μαραγκού σας δεν είναι επεξεργασία υψηλού κινδύνου.
Η πιστοποίηση GDPR — καμία πιστοποίηση δεν είναι υποχρεωτική. Οι επιχειρήσεις που σας πωλούν "πιστοποιήσεις GDPR" εκμεταλλεύονται το φόβο. Η συμμόρφωση είναι μια συνεχής διαδικασία, όχι ένα σήμα.
Σε περίπτωση παραβίασης δεδομένων
Εάν τα προσωπικά δεδομένα διαρρεύσουν (πιρατεία, απώλεια stick USB, email που στάλθηκε στον λάθος παραλήπτη), έχετε 72 ώρες για να ειδοποιήσετε την CNIL εάν η παραβίαση παρουσιάζει κίνδυνο για τα άτομα.
Η φόρμα ειδοποίησης είναι διαδικτυακά στον ιστότοπο της CNIL. Συμπληρώστε την ειλικρινά: τι συνέβη, πόσα άτομα επηρεάζονται, ποια μέτρα πήρατε.
Η CNIL είναι πιο επιεικής με μια επιχείρηση που ειδοποιεί γρήγορα παρά με μια επιχείρηση που κρύβει το περιστατικό.
Το GDPR δεν είναι ένα γραφειοκρατικό τέρας για τις μικρές επιχειρήσεις. Είναι ένα πλαίσιο κοινής λογικής: προστατέψτε τα δεδομένα των πελατών σας όπως θα θέλατε να προστατευθούν τα δικά σας.