Nuo 2018 metų GDPR biedina mažas ir vidutines įmones. Cirkuliuoja istorijos apie 20 milijonų eurų baudas ir paralyžiuoja mažus verslininkus, kurie sako „viskas baigta, aš neatitinku reikalavimų".
Realybė yra paprastesnė. CNIL niekada nebaude mažos ar vidutinės įmonės, kuri deda pagrįstus pastangus atitikti reikalavimus. Ji puola interneto milžinus, įmones, parduodančias asmens duomenis, ir recidyvistus. Ne vamzdininką, kuris turi Excel failą su klientų duomenimis.
Tai neatleidžia jūsų nuo pareigos daryti savo dalį. Tačiau reikalingo pastangų lygis yra visiškai valdomas.
5 veiksmai, kurie apima 80% jūsų pareigų
1 veiksmas: duomenų tvarkymo registras (pagrindas)
Tai yra centrinis GDPR dokumentas. Jame išvardinti asmeniniai duomenys, kuriuos renkate, kodėl juos renkate ir kiek laiko juos saugote.
Tipiškai mažai ar vidutinei įmonei tai telpa viename puslapyje:
| Duomenų tvarkymas | Surinkti duomenys | Paskirtis | Saugojimo trukmė |
|---|---|---|---|
| Klientų failas | Vardas, el. paštas, telefonas, adresas | Komercinė veikla | 3 metai po paskutinio kontakto |
| Buhalterija | Vardas, adresas, sąskaitos nr. | Teisinė prievole | 10 metų |
| Algos (jei yra darbuotojų) | Pilnas vardas, draudimo nr., sąskaita | Atlyginimo administravimas | 5 metai po išėjimo |
| Interneto svetainė | Slapukai, IP, kontakto forma | Rinkodarė, analitika | 13 mėnesių (slapukai), 3 metai (forma) |
| Naujienlaiškis | El. paštas | Komunikacija | Iki atsisakymo |
CNIL siūlo nemokamą šablongą savo svetainėje. Užpildykite jį per 30 minučių ir atnaujinkite kartą per metus.
2 veiksmas: informavimas apie duomenų rinkimą
Turite informuoti asmenis, kurių duomenis renkate. Praktikoje:
-
Jūsų interneto svetainėje: puslapis „Privatumo politika" (arba „Duomenų apsauga"), pasiekiamas iš pėdraščio. Paprastu žmonių kalbomis aprašykite, kokius duomenis renkate, kodėl, kiek laiko juos saugote ir kaip realizuoti savo teises.
-
Jūsų formose: sakinys po kiekviena kontakto forma: „Surinkti duomenys naudojami jūsų prašymui atsakyti. Savo teises galite realizuoti susisiekę su mumis adresu [el. paštas]. Žr. mūsų privatumo politiką."
-
Jūsų darbuotojams: dokumentas, suteiktas priėmime darbuojan, kuriame išvardyti duomenys, rinkti dėl darbo santykio.
3 veiksmas: slapukų valdymas
Jei jūsų svetainė naudoja slapukus auditorijos matavimui (Google Analytics, Matomo) arba reklamai, turite gauti aiškų lankytojas sutikimą PRIEŠ nustatydami šiuos slapukus.
Veiksmas: sumontuokite atitinkamą slapukų juostą. Nemokamos sprendžiai, tokie kaip Tarteaucitron.js arba Cookiebot (nemokama iki 100 puslapių), atlieka darbą.
Išimtis: slapukai, griežtai būtini svetainės funkcionalumui (autentifikacija, pirkinių krepšelis), nereikalingi sutikimo.
Alternatyva: naudokite Matomo su „sutikimo atleidžiama" konfiguracija (CNIL deklaracija). Saugote savo analitikos be slapukų juostos.
4 veiksmas: duomenų saugumas
GDPR reikalinga apsaugoti asmens duomenis „tinkamomis techninėmis ir organizacinėmis priemonėmis". Mažai ar vidutinei įmonei tai reiškia:
- Stiprus ir unikalūs slaptažodžiai (žr. kibernetinio saugumo straipsnį)
- Saugos atnaujinimai pritaikyti
- Reguliarios atsarginės kopijos
- Ribotas prieiga prie duomenų (ne visi turi prieigą prie viso)
- Nešiojamųjų kompiuterių šifravimas
Tai ne daugiau ir ne mažiau nei tinkamos kibernetinio saugumo praktiką, kurias turėtumėte taikyti bet kokiu atveju.
5 veiksmas: asmenų teisių valdymas
GDPR suteikia asmenims teises į savo duomenis: prieiga, taisymas, ištrynimas, persiuntimas. Praktikoje mažos ir vidutinės įmonės gauna labai mažai tokių prašymų.
Veiksmas: paskirtkite atsakingą asmenį (jūs arba bendradarbis) ir kontaktinį el. pašto adresą (pvz., duomenys@jusuimonesardas.lt). Kai gaunate prašymą, atsakykite per mėnesį. Tai viskas.
Ką galima atidėti
DPO (duomenų apsaugos pareigūnas) — privalomas tik įmonėms, tvarkančioms duomenis didžiuliu mastu arba jautrius duomenis. Penkių žmonių mažai ar vidutinei įmonei DPO nereikalingas.
Poveikio vertinimas (DPIA) — privalomas tik aukšto rizikos duomenų tvarkymui (didžiulė vaizdo stebėsena, sistemingas profilinis nustatymas, sveikatos duomenys). Jūsų staliaus klientų failas nėra aukštos rizikos duomenų tvarkymas.
GDPR sertifikacija — jokia sertifikacija nėra privaloma. Įmonės, pardavinėjančios jums „GDPR sertifikacijas", išnaudoja baimę. Atitiktis yra nuolatinis procesas, o ne ženklas.
Duomenų pažeidimo atveju
Jei asmeniniai duomenys nuteka (hakavimas, pagriaustas USB variklis, el. laiškas išsiųstas ne tam žmogui), turite 72 valandas pranešti CNIL, jei pažeidimas kelia riziką asmenims.
Pranešimo forma yra CNIL svetainėje. Užpildykite ją sąžiningai: kas nutiko, kiek žmonių paveikta, kokias priemones priėmėte.
CNIL labiau tolerancinga įmonei, greitai pranešusiai, nei įmonei, slėpusiai incidentą.
GDPR nėra biurokratinis pabaisa mažoms ir vidutinėms įmonėms. Tai yra sveiko proto rėmas: saugokite savo klientų duomenis taip, kaip norėtumėte, kad žmonės saugotų jūsų duomenis.