Kopš 2018. gada GDPR liek drebēt mazajiem uzņēmumiem. Cirkulē stāsti par 20 miljonu eiro soļiem, kas paralizē mazos uzņēmējus, kuri saka "es esmu zaudēts, es neatbilstu prasībām".
Realitāte ir vienkāršāka. CNIL nekad nav sodinājusi mazo uzņēmumu, kas veic saprātīgus atbilstības centienus. Viņa uzbrūk interneta gigantiem, uzņēmumiem, kas pārdod personiskos datus, un atkārtotajiem pārkāpējiem. Ne santehnikam, kuram ir Excel fails ar klientu datiem.
Tas jūs neatbrīvo no sava pienākuma. Bet pūļu līmenis ir daudz vadāms.
5 darbības, kas nosedz 80% jūsu pienākumu
1. darbība: apstrādes reģistrs (pamats)
Tas ir GDPR centrālais dokuments. Tajā uzskaitītas personas dati, kurus jūs vācat, kāpēc un cik ilgi tos saglabājat.
Tipiskam mazam uzņēmumam tas ietilpst vienā lapā:
| Apstrāde | Vāktie dati | Mērķis | Saglabāšanas periods |
|---|---|---|---|
| Klientu fails | Vārds, e-pasts, tālrunis, adrese | Komerciāls pārvaldījums | 3 gadi pēc pēdējā kontakta |
| Grāmatvedība | Vārds, adrese, rēķina nr. | Likumisks pienākums | 10 gadi |
| Alga (ja darbinieki) | Pilnvārdības dati, SS nr., RIB | Algu pārvaldījums | 5 gadi pēc izbeigšanas |
| Tīmekļa vietne | Sīkdatnes, IP, kontaktveidlapas | Mārketings, analitika | 13 mēneši (sīkdatnes), 3 gadi (veidlapas) |
| Biļetens | E-pasts | Komunikācija | Līdz atrakstīšanai |
CNIL piedāvā bezmaksas paraugu savā vietnē. Aizpildiet to 30 minūtēs un atjauniniet to reizi gadā.
2. darbība: informēšana par personām
Jūs jāinformē personas, par kurām jūs vācat datus. Praktiski:
-
Jūsu tīmekļa vietnē: lapā "Privātuma politika" (vai "Datu aizsardzība"), kas pieejama no kājenes. Aprakstiet vienkāršā valodā, kurus datus jūs vācat, kāpēc, cik ilgi tos glabājat un kā īstenot savas tiesības.
-
Jūsu veidlapās: teiktens zem katras kontaktveidlapas: "Vāktie dati tiek izmantoti jūsu pieprasījuma atbildei. Jūs varat īstenot savas tiesības, mums rakstot uz [e-pasts]. Skatiet mūsu privātuma politiku."
-
Jūsu darbiniekiem: dokuments, kas nosūtīts pieņemšanas laikā, kurā uzskaitīti dati, kas vāktie darba attiecību ietvaros.
3. darbība: sīkdatņu pārvaldījums
Ja jūsu vietne izmanto skatīšanās mērīšanas sīkdatnes (Google Analytics, Matomo) vai reklāmu sīkdatnes, jūs varat iegūt skaidru apmaksāšanu no apmeklētāja PIRMS šo sīkdatņu uzstādīšanas.
Darbība: instalējiet atbilstošu sīkdatņu paziņojumu. Bezmaksas risinājumi, piemēram, Tarteaucitron.js vai Cookiebot (bezmaksas līdz 100 lapām), veic darbu.
Izņēmums: sīkdatnes, kas ir stingri nepieciešamas vietnes darbības nodrošināšanai (autentifikācija, iepirkumu grozs), nav nepieciešams pieņemot.
Alternatīva: izmantojiet Matomo "atzīmēts no piekrišanas" konfigurācijā (CNIL deklarācija). Jūs saglabājat savu analitiku bez sīkdatņu paziņojuma.
4. darbība: datu drošība
GDPR nosaka datu aizsardzību ar "atbilstošiem tehniskiem un organizatoriskiem pasākumiem". Mazam uzņēmumam tas nozīmē:
- Stingri un unikāli paroli (skatiet kibersecuritya rakstu)
- Drošības atjauninājumi tiek piemēroti
- Regulāras dublēšanas
- Ierobežots piekļuve datiem (ne visi piekļūst visam)
- Pārvietojamo datoru šifrēšana
Tas ir ne vairāk, ne mazāk par labajām kibersecuritya prakses, kuras jums jebkurā gadījumā vajadzētu piemērot.
5. darbība: cilvēku tiesību pārvaldījums
GDPR dod cilvēkiem tiesības uz viņu datiem: piekļuve, labošana, dzēšana, pārnēsājamība. Praktiski maziem uzņēmumiem ir ļoti maz šāda veida pieprasījumu.
Darbība: iedaliet kontaktpersonu (jūs pats vai kolēģis) un kontakta e-pasta adresi (piemēram, donnees@votreentreprise.fr). Kad tiek saņemts pieprasījums, atbildiet mēneša laikā. Tas ir tas.
Kas var gaidīt
DPO (datu aizsardzības pārstāvis) — obligāti tikai tiem uzņēmumiem, kas apstrādā datus lielos mērogos vai jutīgus datus. Mazajam uzņēmumam ar 5 cilvēkiem nav nepieciešams DPO.
Ietekmes analīze (AIPD) — obligāti tikai datu apstrādes gadījumā ar augstu risku (liela mēroga video uzraudzība, sistemātisks profiling, veselības dati). Jūsu galdnieka klientu fails nav augsta riska apstrāde.
GDPR sertifikācija — neviena sertifikācija nav obligāta. Uzņēmumi, kuri jums pārdod "GDPR sertifikācijas", izmanto bailes. Atbilstība ir nepārtraukts process, nevis etiķete.
Datu pārkāpuma gadījumā
Ja personas dati noplūst (hakers, pazaudēta USB atslēga, e-pasts nosūtīts nepareizam saņēmējam), jums ir 72 stundas, lai paziņotu CNIL, ja pārkāpums rada risku cilvēkiem.
Paziņošanas veidlapa ir pieejama CNIL vietnē. Aizpildiet to godīgi: kas notika, cik cilvēku skar, kādi pasākumi jūs veicāt.
CNIL ir labvēlīgāka pret uzņēmumu, kas paziņo ātri, nekā pret uzņēmumu, kas slēpj incidentu.
GDPR nav birokrātiska ļaunuma dēļ mazajiem uzņēmumiem. Tas ir vesels saprāts: aizsargājiet savu klientu datus tāpat kā vēlētos, lai aizsargātu jūsu.