Alates 2018. aastast paneb GDPR väikeettevõtted värisema. Käibivad lood 20 miljoni euro suurustest trahvidest ja paralüseerivad väikeettevõtjaid, kes arvavad: "Olen hästi seksis, ma ei ole nõuetega kooskõlas."
Reaalsus on lihtsam. CNIL pole kunagi karistanud väikeettevõtet, kes teeb mõistlikku vastavuse jõupingutust. Ta rünnaku alla võtab veebi gigante, ettevõtteid, kes müüvad isikuandmeid, ja korduvalt rikkujaid. Mitte loodusmeistrit, kellel on Exceli fail klientidega.
See ei vabasta teid oma kohustusest. Kuid pingutuse tase on täielikult juhitav.
5 tegevust, mis hõlmavad 80% teie kohustustest
Tegevus 1: töötlemiste register (alus)
See on GDPR-i keskdokument. See loetleb isikuandmeid, mida te kogute, miks ja kui kaua te neid säilitate.
Tüüpilise väikeettevõtte puhul mahub see ühele lehele:
| Töötlemine | Kogutud andmed | Eesmärk | Säilitamise kestus |
|---|---|---|---|
| Klientide fail | Nimi, e-post, telefoninumber, aadress | Ärialane juhtimine | 3 aastat pärast viimast kontakti |
| Raamatupidamine | Nimi, aadress, arve nr | Seaduslik kohustus | 10 aastat |
| Palk (kui töötajaid) | Isikuandmed, sotsiaalkaitse nr, pangakonto | Palkade juhtimine | 5 aastat pärast lahkumist |
| Veebisait | Küpsised, IP, vormi kontakt | Turundus, analüütika | 13 kuud (küpsised), 3 aastat (vorm) |
| Uudiskiri | E-post | Kommunikatsioon | Kuni tellimusest loobumiseni |
CNIL pakub oma veebisaidil tasuta malli. Täitke see 30 minutiga ja ajakohastage seda kord aastas.
Tegevus 2: inimestele teabe andmine
Peate teavitama inimesi, kelle andmeid kogute. Praktikas:
-
Teie veebisaidil: lehekülg "Privaatsuspoliitika" (või "Andmekaitse"), mis on juurdepääsetav jaluses. Kirjeldage lihtsas keeles, milliseid andmeid kogute, miks, kui kaua neid säilitate ja kuidas oma õigusi teostada.
-
Teie vormidel: lause iga kontaktvormide all: "Kogutud andmeid kasutatakse teie taotlusele vastamiseks. Saate oma õigusi teostada, võttes meiega ühendust aadressil [e-post]. Vaadake meie privaatsuspoliitikat."
-
Teie töötajatele: dokument, mis antakse palkamisel ja mis loetleb töösuhte raames kogutud andmeid.
Tegevus 3: küpsiste haldamine
Kui teie saidil kasutatakse külastajate mõõtmise küpsiseid (Google Analytics, Matomo) või reklaamküpsiseid, peate saama külastajalt selge nõusoleku ENNE nende küpsiste paigaldamist.
Tegevus: installige küpsiste bänner, mis vastab standarditele. Tasuta lahendused nagu Tarteaucitron.js või Cookiebot (tasuta kuni 100 lehekülge) teevad töö.
Erand: küpsised, mis on rangelt vajalik saidi toimimiseks (autentimine, ostukorv), ei nõua nõusolekut.
Alternatiiv: kasutage Matomo-t konfiguratsioonis "nõusolekust vabastatud" (CNIL-i teade). Säilitate oma analüütika ilma küpsiste bännerita.
Tegevus 4: andmete turvalisus
GDPR nõuab andmete kaitsmist "asjakohasete tehnikalike ja organisatsiooniliste meetmetega". Väikeettevõtte jaoks tähendab see:
- Tugevad ja unikaalsed paroolid (vt küberjulgeoleku artiklit)
- Turbevärskendustega tehtud
- Regulaarsed varundused
- Piiratud juurdepääs andmetele (mitte kõik ei pääse kõigele ligi)
- Sülearvutite krüptimine
See ei ole midagi enamat ega vähemat kui head küberjulgeoleku tavasid, mida peaksite niikuinii rakendama.
Tegevus 5: inimeste õiguste haldamine
GDPR annab inimestele õigused nende andmetele: juurdepääs, parandamine, kustutamine, teisaldatavus. Praktikas saavad väikeettevõtted selliseid taotlusi väga vähe.
Tegevus: määrake kontaktisik (teie ise või koostööpartner) ja e-posti aadress (tüüp donnees@votreentreprise.fr). Kui taotlus saabub, vastake kuue nädala jooksul. See on kõik.
Mis võib oodata
DPO (andmekaitse juht) — kohustuslik ainult ettevõtetel, kes töötlevad andmeid suurel skaalal või tundlikke andmeid. Väikeettevõttel 5 inimesega ei ole vaja DPO-d.
Mõju analüüs (AIPD) — kohustuslik ainult kõrge riskiga töötlemise puhul (suuremahulised videovalvemised, süstemaatiline profiileerimine, tervislikud andmed). Teie puuseppa klientide fail ei ole kõrge riskiga töötlemine.
GDPR sertifitseerimine — ükski sertifitseering ei ole kohustuslik. Ettevõtted, kes teile "GDPR sertifikaate" müüvad, kasutavad ära hirmu. Vastavus on pidev protsess, mitte märgis.
Andmete rikkumise korral
Kui isikuandmed lekivad (häkkeerimine, USB-võtme kaotus, e-kiri saadetud valele adressaadile), on teil 72 tundi, et teavitada CNIL-i, kui rikkumine kujutab endast ohtu inimestele.
Teavitusevorm on saadaval CNIL-i veebisaidil. Täitke see ausalt: mis juhtus, kui paljusid inimesi see puudutab, milliseid meetmeid võtsite.
CNIL on rohkem andestav ettevõtte suhtes, kes teatab kiiresti, kui ettevõtte suhtes, kes varjab juhtumit.
GDPR ei ole väikeettevõtete jaoks bürokratlik koletis. See on mõistuse raam: kaitske oma klientide andmeid nii, nagu sooviksite, et kaitstavad teie andmeid.