Vuodesta 2018 lähtien GDPR on saattanut pienet ja keskisuuret yritykset pelkoon. Liikkeillä on tarinoita 20 miljoonan euron sakoista, jotka halvaannuttavat pienyrittäjiä, jotka ajattelevat "olen pelattu, en ole vaatimusten mukainen".
Todellisuus on yksinkertaisempi. CNIL ei ole koskaan rankaissut pientä yritystä, joka tekee kohtuullisen vaatimustenmukaisuusponnistuksen. Se käy kimppuun web-jättiläisiä, yrityksiä, jotka myyvät henkilötietoja, ja toistuvasti lainrikkomuksia tekijöitä. Ei putkimiestä, jolla on Excel-tiedosto asiakkaista.
Tämä ei kuitenkaan vapauta sinua tekemästä omaa osuuttasi. Mutta ponnistuksen taso on kaikin puolin hallittavissa.
5 toimenpidettä, jotka kattavat 80 % velvoitteistasi
Toimenpide 1: käsittelyjen rekisteri (perusta)
Tämä on GDPR:n keskeisin asiakirja. Se luettelee henkilötiedot, jotka kerää, miksi, ja kuinka kauan niitä säilytät.
Pienelle tyypilliselle yritykselle tämä mahtuu yhdelle sivulle:
| Käsittely | Kerätyt tiedot | Tarkoitus | Säilytysaika |
|---|---|---|---|
| Asiakasrekisteri | Nimi, sähköposti, puhelinnumero, osoite | Myyntihallinto | 3 vuotta viimeisen yhteydenoton jälkeen |
| Kirjanpito | Nimi, osoite, laskun numero | Lainmukainen vaatimus | 10 vuotta |
| Palkanlaskenta (jos työntekijöitä) | Henkilötiedot, sosiaaliturvatunnus, tilinumero | Palkkojen hoitaminen | 5 vuotta irtisanoutumisen jälkeen |
| Verkkosivusto | Evästeet, IP, yhteydenottolomake | Markkinointi, analytiikka | 13 kuukautta (evästeet), 3 vuotta (lomake) |
| Uutiskirje | Sähköposti | Viestintä | Kunnes peruutus |
CNIL tarjoaa ilmaisen mallin verkkosivuillaan. Täytä se 30 minuutissa ja päivitä se kerran vuodessa.
Toimenpide 2: henkilöiden informointi
Sinun on tiedotettava henkilöistä, joiden tietoja kerää. Käytännössä:
-
Verkkosivustollasi: "Tietosuojakäytäntö" (tai "Tietojen suoja") -sivu, joka on saavutettavissa alatunnisteesta. Kuvaile selkeällä kielellä, mitä tietoja kerää, miksi, kuinka kauan säilytät ne, ja kuinka henkilö voi käyttää oikeuksiaan.
-
Lomakkeillasi: lause jokaisen yhteydenottolomakkeen alle: "Kerätyt tiedot käytetään pyyntöön vastaamista varten. Voit käyttää oikeuksiasi ottamalla meihin yhteyttä osoitteessa [sähköposti]. Katso tietosuojakäytäntömme."
-
Työntekijöillesi: asiakirja, joka annetaan palkkauksen yhteydessä, jossa luetellaan työsuhdetta koskevat kerätyt tiedot.
Toimenpide 3: evästeiden hallinta
Jos verkkosivustollasi käytetään katselun mittaamisen (Google Analytics, Matomo) tai mainonnan evästeitä, sinun on saatava nimenomaiset suostumukset kävijältä ENNEN näiden evästeiden asettamista.
Toimenpide: asenna evästeiden banneri, joka on vaatimusten mukainen. Ilmaiset ratkaisut, kuten Tarteaucitron.js tai Cookiebot (ilmainen 100 sivulle asti), tekevät työn.
Poikkeus: evästeet, jotka ovat ehdottomasti välttämättömiä sivuston toiminnalle (todennus, ostoskori), eivät vaadi suostumusta.
Vaihtoehto: käytä Matomoa "suostumuksesta vapautetulla" määrityksellä (CNIL-ilmoitus). Pidät analytiikkasi ilman evästeiden banneria.
Toimenpide 4: tietojen turvallisuus
GDPR edellyttää henkilötietojen suojausta "asianmukaisilla teknisillä ja organisatorisilla toimenpiteillä". Pienelle yritykselle tämä tarkoittaa:
- Vahvat ja ainutlaatuiset salasanat (katso kyberturvallisuusartikkeli)
- Sovelletut turvallisuuspäivitykset
- Säännölliset varmuuskopiot
- Rajoitettu pääsy tietoihin (kaikki eivät pääse kaikkeen)
- Kannettavien tietokoneiden salaus
Tämä ei ole enempää eikä vähempää kuin hyvät kyberturvallisuuskäytännöt, joita sinun pitäisi muutenkin noudattaa.
Toimenpide 5: henkilöiden oikeuksien hallinta
GDPR antaa henkilöille oikeuksia heidän tietoihinsa: pääsy, oikaisu, poistaminen, siirrettävyys. Käytännössä pienet yritykset saavat hyvin harvoin tällaisia pyyntöjä.
Toimenpide: määritä yhteyspiste (sinä itse tai yhteistyökumppani) ja sähköpostiosoite (tyypillisesti donnees@votreentreprise.fr). Kun pyyntö saapuu, vastaa kuukauden kuluessa. Siinä se.
Mihin voi odottaa
DPO (tietosuojavaltuutettu) — pakollinen vain yrityksille, jotka käsittelevät tietoja laajassa mittakaavassa tai arkaluontoisia tietoja. 5 henkilön pienyritys ei tarvitse DPO:ta.
Vaikutusanalyysi (DPIA) — pakollinen vain korkean riskin käsittelyille (laajamittainen videovalvonta, systemaattinen profilointi, terveystiedot). Puusepän asiakasrekisteri ei ole korkean riskin käsittely.
GDPR-sertifikaatti — mikään sertifikaatti ei ole pakollinen. Yritykset, jotka myyvät sinulle "GDPR-sertifikaatteja", hyödyntävät pelkoa. Vaatimustenmukaisuus on jatkuva prosessi, ei tunnus.
Tietovuodon sattuessa
Jos henkilötiedot vuotavat (hakkerointi, USB-avain kadonnut, sähköposti lähetetty väärään osoitteeseen), sinulla on 72 tuntia ilmoittaa CNIL:ille, jos vuoto aiheuttaa riskin henkilöille.
Ilmoituslomake on CNIL:n verkkosivustolla. Täytä se rehellisesti: mitä tapahtui, kuinka monta henkilöä on koskevat, mitä toimenpiteitä olet toteuttanut.
CNIL on anteeksiantavaisempi yrityksen kanssa, joka ilmoittaa nopeasti, kuin yrityksen kanssa, joka piilottaa tapahtuman.
GDPR ei ole byrokraattinen hirviö pienille yrityksille. Se on järkevän toimintamallin raamityö: suojaa asiakkaiden tietoja niin kuin haluaisit, että suojattaisiin sinun tietosi.