2018 óta a GDPR megingat a kisvállalkozásokat. 20 millió eurós bírságokról szóló történetek keringenek, és megbénítanak kis üzletvezetőket, akik azt gondolják: "végem van, nem vagyok megfelelő".
A valóság egyszerűbb. A CNIL soha nem szankcionált olyan kisvállalkozást, amely ésszerű erőfeszítést tesz a megfelelőségért. A web óriásaira támad, az olyan vállalatokra, amelyek személyes adatokat értékesítenek, a visszaesőkre. Nem az olyan vízvezetékesre, akinek van egy Excel-fájlja az ügyféllistával.
Ez nem mentesít az Ön felelőssége alól. De az erőfeszítés szintje széles körben kezelhető.
Az 5 cselekvés, amely lefedi kötelezettségeinek 80%-át
1. cselekvés: a feldolgozási jegyzék (az alap)
Ez a GDPR központi dokumentuma. Felsorolja a személyes adatokat, amelyeket gyűjt, miért és meddig őrzi meg őket.
Egy tipikus kisvállalkozásnál ez egy oldalra fér:
| Feldolgozás | Gyűjtött adatok | Cél | Megőrzési időtartam |
|---|---|---|---|
| Ügyfél-adatbázis | Név, e-mail, telefonszám, cím | Kereskedelmi irányítás | 3 év az utolsó kapcsolat után |
| Könyvelés | Név, cím, számla száma | Jogi kötelezettség | 10 év |
| Bérlista (ha alkalmazottak) | Személyes adatok, TB száma, bankszámla | Bérek kezelése | 5 év az elhivatás után |
| Weboldal | Sütik, IP, kapcsolatfelvételi űrlap | Marketing, elemzés | 13 hónap (sütik), 3 év (űrlap) |
| Hírlevelezés | Kommunikáció | Leiratkozásig |
A CNIL ingyenes sablont kínál a webhelyén. Töltse ki 30 perc alatt, és évente egyszer frissítse.
2. cselekvés: az emberek tájékoztatása
Tájékoztatnia kell azokat az embereket, akiktől adatokat gyűjt. A gyakorlatban:
-
A weboldal: egy „Adatvédelmi szabályzat" (vagy „Adatvédelem") oldal, amely a lábjegyzetből elérhető. Egyszerű nyelven írja le, milyen adatokat gyűjt, miért, meddig őrzi meg őket, és hogyan lehet jogaik gyakorolni.
-
Az űrlapok: egy mondat az egyes kapcsolatfelvételi űrlapok alatt: „A gyűjtött adatokat a kérésre való válaszadásra használjuk fel. Jogait az [e-mail] címen keresztül gyakorolhatja. Lásd adatvédelmi szabályzatunkat."
-
Alkalmazottaknak: egy dokumentum, amelyet felvételkor adnak át, amely felsorolja a munkaviszonyt érintő adatokat.
3. cselekvés: sütik kezelése
Ha a weboldal közönség-mérési sütiket (Google Analytics, Matomo) vagy hirdetési sütiket használ, az látogató explicit beleegyezésé szükséges a sütik telepítése ELŐTT.
A cselekvés: telepítsen egy megfelelő sütisávot. Az ingyenes megoldások, mint a Tarteaucitron.js vagy a Cookiebot (ingyenes 100 oldalig), elvégzik a munkát.
Kivétel: a weboldal működéséhez szükséges sütik (hitelesítés, bevásárlókosár) nem igényelnek beleegyezést.
Alternatíva: használja a Matomo-t „beleegyezésmentes" konfigurációban (CNIL-bejelentés). Megtarthatja az elemzéseit anélkül, hogy sütisávra lenne szüksége.
4. cselekvés: adatok biztonsága
A GDPR az adatok védelmet írja elő „megfelelő technikai és szervezeti intézkedésekkel". Egy kisvállalkozásnál ez azt jelenti:
- Erős és egyedi jelszavak (lásd a kiberbiztonsági cikket)
- Biztonsági frissítések alkalmazása
- Rendszeres biztonsági másolatok
- Korlátozott hozzáférés az adatokhoz (nem mindenki fér hozzá mindhez)
- Hordozható számítógépek titkosítása
Ez sem több, sem kevesebb, mint az olyan jó gyakorlatok a kiberbiztonsággal szemben, amelyeket egyébként is alkalmaznia kellene.
5. cselekvés: személyek jogainak kezelése
A GDPR megadja az embereknek az adataikra vonatkozó jogokat: hozzáférés, helyesbítés, törlés, hordozhatóság. A gyakorlatban a kisvállalkozások nagyon kevés ilyen típusú kérést kapnak.
A cselekvés: jelöljön ki egy kapcsolattartót (Ön vagy egy munkatárs) és egy e-mail-címet (például adatok@cegedneve.hu). Egy kérés érkezésekor válaszoljon egy hónapon belül. Ez az összes.
Ami várhat
A DPO (adatvédelmi megbízott) — kötelező csak olyan vállalatoknál, amelyek nagy léptékben vagy érzékeny adatokat kezelnek. Egy 5 fős kisvállalkozásnak nincs szüksége DPO-ra.
Az adatbetörési hatáselemzés (AIPD) — kötelező csak a magas kockázatú feldolgozásnál (nagy léptékű videomegfigyelés, szisztematikus profilalkotás, egészségügyi adatok). Az ácsműhelye ügyfél-adatbázisa nem jelent magas kockázatú feldolgozást.
A GDPR tanúsítás — egyetlen tanúsítás sem kötelező. Az olyan vállalatok, amelyek "GDPR tanúsítványokat" értékesítenek, a félelmet kihasználják. A megfelelőség egy folyamatos folyamat, nem egy címke.
Adatsértés esetén
Ha személyes adatok szivárognak ki (hacker támadás, USB-kulcs elvesztése, e-mail rossz címzetthez küldése), 72 órán belül értesítenie kell a CNIL-t, ha a sértés kockázatot jelent az emberek számára.
Az értesítési űrlap a CNIL webhelyén van online. Töltse ki őszintén: mi történt, hány ember érintett, milyen intézkedéseket tett.
A CNIL jobban tolerálja a gyors értesítést tevő vállalatot, mint az incidenst titkoló vállalatot.
A GDPR nem önkéntes bürokratikus szörny a kisvállalkozások számára. Ez egy közértelmű keret: védje meg ügyfelei adatait úgy, ahogy szeretné, hogy az övét védjék meg.