Od 2018. godine GDPR je terorizirao male i srednje poduzetnike. Priče o kaznama od 20 milijuna eura cirkuliraju i paraliziraju male poduzetnike koji si misle "propao sam, nisam u skladu".
Realnost je jednostavnija. CNIL nikada nije kaznio mali ili srednji poduzetnik koji čini razumno napor da bude u skladu. Napada divove interneta, poduzeća koja prodaju osobne podatke, recidiviste. Ne vodoinstalatera koji ima Excel datoteku sa popisom klijenata.
To vas ne oslobađa da učinite svoj dio. Ali razina potrebnog truda je sasvim upravljiva.
5 radnji koje pokrivaju 80% svojih obveza
Radnja 1: registar obrade podataka (osnova)
To je centralni dokument GDPR-a. Navodi osobne podatke koje prikupljate, zašto i koliko dugo ih čuvate.
Za tipičan mali ili srednji poduzetnik, to stane na jednu stranicu:
| Obrada | Prikupljeni podaci | Svrha | Razdoblje čuvanja |
|---|---|---|---|
| Datoteka klijenata | Ime, email, telefonski broj, adresa | Poslovna upravljanja | 3 godine nakon zadnjeg kontakta |
| Računovodstvo | Ime, adresa, broj fakture | Zakonska obveza | 10 godina |
| Plaće (ako ima zaposlenih) | Osobni podaci, broj SS, IBAN | Upravljanje plaćama | 5 godina nakon odlaska |
| Web stranica | Kolačići, IP, obrazac za kontakt | Marketing, analitika | 13 mjeseci (kolačići), 3 godine (obrazac) |
| Newsletter | Komunikacija | Do odjave |
CNIL nudi besplatni predložak na svojoj web stranici. Popunite ga za 30 minuta i ažurirajte ga jednom godišnje.
Radnja 2: informiranje osoba
Trebate obavijestiti osobe čije podatke prikupljate. U praksi:
-
Na vašoj web stranici: stranica "Politika privatnosti" (ili "Zaštita podataka") dostupna s podnožja. Opisati jednostavnim jezikom koje podatke prikupljate, zašto, koliko dugo ih čuvate i kako ostvariti svoja prava.
-
Na vašim obrascima: rečenica ispod svakog obrasca za kontakt: "Prikupljeni podaci koriste se za odgovor na vašu zahtjev. Možete ostvariti svoja prava kontaktirajući nas na [email]. Pogledajte našu politiku privatnosti."
-
Za vaše zaposlene: dokument prosljeđen pri zapošljavanju s popisom podataka prikupljenih u kontekstu radnog odnosa.
Radnja 3: upravljanje kolačićima
Ako vaša web stranica koristi kolačiće za mjerenje posjećenosti (Google Analytics, Matomo) ili oglašavanje, trebate dobiti eksplicitan pristanak posjetitelja PRIJE postavljanja tih kolačića.
Radnja: instalirajte banner kolačića u skladu. Besplatna rješenja kao što su Tarteaucitron.js ili Cookiebot (besplatno do 100 stranica) obavljaju posao.
Iznimka: kolačići strogo potrebni za funkcioniranje web stranice (autentifikacija, košarica za kupnju) ne trebaju pristanak.
Alternativa: koristite Matomo u konfiguraciji "oslobođeno pristanka" (obavijest CNIL-a). Zadržavate vašu analitiku bez bannera kolačića.
Radnja 4: sigurnost podataka
GDPR zahtijeva zaštitu osobnih podataka s "prikladnim tehničkim i organizacijskim mjerama". Za mali ili srednji poduzetnik, to znači:
- Robusne i jedinstvene lozinke (vidi članak o kibernetskoj sigurnosti)
- Primijenjene sigurnosne ažuriranja
- Redovite sigurnosne kopije
- Ograničen pristup podacima (ne sve osobe pristupaju svemu)
- Šifriranje prijenosnih računala
To nije ni više ni manje od dobrih praksi kibernetske sigurnosti koje trebate primjenjivati ionako.
Radnja 5: upravljanje pravima osoba
GDPR daje osobama prava na njihove podatke: pristup, ispravka, brisanje, prenosivost. U praksi, mali i srednji poduzetnici dobivaju vrlo malo zahtjeva te vrste.
Radnja: odredite kontaktnu osobu (vi ili suradnik) i email adresu za kontakt (tip podaci@vasatvrtka.hr). Kada stigne zahtjev, odgovorite u roku od mjesec dana. To je sve.
Ono što može čekati
DPO (službenik za zaštitu podataka) — obavezan samo za poduzeća koja obrađuju podatke u velikom opsegu ili osjetljive podatke. Mali poduzetnik sa 5 osoba ne trebanja DPO-a.
Analiza učinka (AIPD) — obavezna samo za obrade visokog rizika (videonadzor u velikom opsegu, sistematsko profiliranje, zdravstveni podaci). Datoteka klijenata vašeg stolarskog poduzeća nije obrada visokog rizika.
GDPR certificiranje — nikakvo certificiranje nije obavezno. Poduzeća koja vam prodaju "GDPR certificiranja" iskorištavaju strah. Usklađenost je kontinuirani proces, ne oznaka.
U slučaju povrede podataka
Ako osobni podaci procure (hakiranje, gubitak USB ključa, email poslan pogrešnom primatelju), imate 72 sata da obavijestite CNIL ako je povrada rizična za osobe.
Obrazac za obavijest je na mreži na web stranici CNIL-a. Popunite ga iskreno: što se dogodilo, koliko je osoba pogođeno, koje mjere ste poduzeli.
CNIL je blagonaklonjiji prema poduzeću koje brzo obavijesti nego prema poduzeću koje skriva incident.
GDPR nije birokracija za male i srednje poduzetnike. To je okvir zdravog razuma: štitite podatke svojih klijenata kao što biste željeli da se štite vaši.