Minn 2018, ir-RGPD qiegħed jagħmel lil-TPE jinħarbu. Storajet ta' multa ta' 20 miljun ewro qed jduru u jwaqqfu l-patroni żgħar li jqolu "jien ħarqu, mhux konformi".
Ir-realtà hija aktar sempliċi. Il-CNIL qatt ma sanzjonat TPE li qed tagħmel sforz raġonevoli ta' konformità. Tilħaq il-giganti tal-web, l-negozji li jbiegħu data personali, ir-recidivisti. Mhux il-plumiern li għandu file ta' Excel ta' klijenti.
Dan ma jħallasux mill-ħtieġa li tagħmlu tal-parti tiegħek. Iżda l-livell ta' sforz huwa largament immaniġġjabbli.
Il-5 azzjonijiet li jkopru 80% tal-obbligi tiegħek
Azzjoni 1: ir-reġistru tal-ittratamenti (il-bażi)
Dan huwa d-dokument ċentrali tar-RGPD. Jimlesta d-data personali li taqbad, għaliex, u kemm żmien inti żżommha.
Għal TPE tipika, dan jddum fuq paġna:
| Ittratament | Data maqbuda | Skop | Medda tal-ħfudija |
|---|---|---|---|
| File tal-klijenti | Isem, email, telefon, indirizz | Ġestjoni kommerjali | 3 snin wara l-aħħar kuntatt |
| Kontabilità | Isem, indirizz, n° tal-fattura | Obbliguazzjoni legali | 10 snin |
| Pagi (jekk impiegati) | Stat ċivili, n° SS, RIB | Ġestjoni tal-pagi | 5 snin wara d-dipartenza |
| Website | Cookies, IP, formulari ta' kuntatt | Marketing, analytics | 13 xahar (cookies), 3 snin (formulari) |
| Newsletter | Komunikazzjoni | Sas-sottoskrizjoni |
Il-CNIL toffri mudell bħala donazzjoni fuq is-sit tiegħa. Imleha f'30 minuta u aġġornaha darba kull sena.
Azzjoni 2: l-informazzjoni tal-persuni
Għandek l-obbliguazzjoni li tinforma l-persuni li minnhom qiegħed taqbad data. Fil-prattika:
-
Fuq il-website tiegħek: paġna "Politika ta' Privatezza" (jew "Protezzjoni tal-Data") aċċessibbli mill-footer. Iddeskrivi b'lingwa sempliċi liema data taqbad, għaliex, kemm żmien inti żżommha, u kif wieħed jista' jħarreġ ir-righti tiegħu.
-
Fuq il-formulari tiegħek: sentenza taħt kull formulari ta' kuntatt: "Id-data maqbuda tintuża biex twieġeb għad-domanda tiegħek. Tista' wieħed jħarreġ ir-righti tiegħu billi jikkuntattjana fuq [email]. Ara l-politika ta' privatezza tiegħna."
-
Għall-impiegati tiegħek: dokument mogħti mal-ħtieġa tal-ħidma li jistilista d-data maqbuda fil-kuntest tar-relazzjoni ta' ħidma.
Azzjoni 3: il-ġestjoni tal-cookies
Jekk il-website tiegħek juża cookies ta' kejl tal-pubbliku (Google Analytics, Matomo) jew tal-pubblisità, għandek tieħu l-kunsintiiment esplisitu tal-vizitatur QABEL tpoġġi dawn il-cookies.
L-azzjoni: installa banner ta' cookies konformi. Is-soluzzjonijiet bħala donazzjoni bħal Tarteaucitron.js jew Cookiebot (bħala donazzjoni sa 100 paġni) jagħmlu x-xogħol.
Eċċezzjoni: il-cookies strettament meħtieġa għall-funzjonament tal-website (awtentikazzjoni, karta tax-xiri) ma jkun meħtieġ kunsintiiment.
Alternattiva: uża Matomo f'konfigurazzjoni "eżentata mill-kunsintiiment" (diħjara CNIL). Inti żżomm l-analytics tiegħek mingħajr banner ta' cookies.
Azzjoni 4: is-sigurtà tad-data
Ir-RGPD jimponi li tipprotettja d-data personali bi "miżuri tekniċi u organizzattivi xierqa". Għal TPE, dan jieħu jfisser:
- Passwords robusti u uniċi (ara l-artikolu ta' cybersecurity)
- Aġġornamenti ta' sigurtà applikati
- Backup regolari
- Aċċess limitatu għad-data (mhux kulħadd jaccessa kollox)
- Encryption tal-laptops
Dan mhux aktar u lanqas inqas mill-prattiki tajba ta' cybersecurity li għandek tapplika xorta waħda.
Azzjoni 5: il-ġestjoni tar-righti tal-persuni
Ir-RGPD jagħti lil-persuni righti fuq id-data tiegħom: aċċess, korrezzjoni, ħذf, portabilità. Fil-prattika, l-TPE jirċievu pjuttost ftit mistoqsija ta' dan it-tip.
L-azzjoni: iddestina interlocutor (inti nnifisek jew kollaboratur) u indirizz email ta' kuntatt (tip donnees@votreentreprise.fr). Meta mistoqsija tasal, wieġeb f'xahar. Dan kollu.
Dak li jista' jistenna
Id-DPO (delegat għall-protezzjoni tad-data) — obbliguatorju biss għall-negozji li jittrataw data b'skala kbira jew data sensittiva. TPE ta' 5 persuni m'għandihiex bżonn DPO.
L-analiżi tal-impatt (AIPD) — obbliguatorju biss għall-ittratamenti b'riskju għoli (vidivideosurveillanza b'skala kbira, profiling sistematiku, data tal-ġenju). Il-file tal-klijenti tal-karpentier tiegħek mhuwiex ittratament b'riskju għoli.
Il-ċertifikazzjoni RGPD — l-ebda ċertifikazzjoni mhix obbliguatorja. Il-negozji li jbigħu "ċertifikazzjonijiet RGPD" qed jisfruttaw il-biża'. Il-konformità hija proċess kontinwu, mhux label.
Fil-każ ta' ksur tad-data
Jekk data personali titnixxef (piratazz, ħsara ta' USB stick, email mandata għall-binjin ħamsa), għandek 72 sigħa biex tillifti n-notifika lill-CNIL jekk il-ksur jippreżenta riskju għall-persuni.
Il-formulari ta' notifika huwa online fuq is-sit tal-CNIL. Imeħħiha b'onestà: x-xejn li ġreit, kemm persuni huma kkonċernati, liema miżuri inti ħadta.
Il-CNIL hija aktar indolġenta ma' azienda li tillifti in-notifika b'veglia milli ma' azienda li tnaqqas l-inċident.
Ir-RGPD mhux monster birokratiku għall-TPE. Huwa qafas ta' sens ġond: protettja d-data tal-klijenti tiegħek bħal kif inti tixtieq li jprotettjaw tiegħek.