Od roku 2018 GDPR poriadne desí malé podniky. Príbehy o pokutách 20 miliónov eur sa šíria a paralyzujú malých podnikateľov, ktorí si hovoria "som stratený, nie som v súlade".
Realita je jednoduchšia. CNIL nikdy nepostihla malý podnik, ktorý sa snaží rozumne dodržiavať predpisy. Útočí na gigantov webu, na podniky, ktoré predávajú osobné údaje, na recidivistov. Nie na inštalatéra, ktorý má zoznam klientov v Exceli.
To vás nezbavuje povinnosti urobiť svoju časť. Ale úroveň úsilia je úplne zvládnuteľná.
5 akcií, ktoré pokrývajú 80% vašich povinností
Akcia 1: Register spracovávania (základy)
Toto je centrálny dokument GDPR. Obsahuje zoznam osobných údajov, ktoré zbieraté, prečo a ako dlho ich uchovávate.
Pre typický malý podnik sa to zmestí na jednu stránku:
| Spracovanie | Zbierané údaje | Účel | Doba uchovania |
|---|---|---|---|
| Zoznam klientov | Meno, email, telefón, adresa | Obchodné riadenie | 3 roky po poslednom kontakte |
| Účtovníctvo | Meno, adresa, číslo faktúry | Právna povinnosť | 10 rokov |
| Výplata (ak má zamestnancov) | Osobné údaje, číslo SS, IBAN | Správa miezd | 5 rokov po odchode |
| Webová stránka | Cookies, IP, formulár na kontakt | Marketing, analýza | 13 mesiacov (cookies), 3 roky (formulár) |
| Newsletter | Komunikácia | Až do odhlásenia |
CNIL ponúka na svojom webe bezplatnú šablónu. Vyplňte ju za 30 minút a aktualizujte ju raz za rok.
Akcia 2: Informovanie osôb
Musíte informovať osoby, ktorých údaje zbieraté. V praxi:
-
Na vašej webovej stránke: stránka "Politika ochrany súkromia" (alebo "Ochrana údajov") dostupná z pätičky. Jednoducho popíšte, aké údaje zbieraté, prečo, ako dlho ich uchovávate a ako si môžu uplatňovať svoje práva.
-
Vo vašich formulároch: veta pod každým formulárom na kontakt: "Zbierané údaje sú používané na zodpovedanie vašej žiadosti. Svoje práva si môžete uplatniť kontaktovaním nás na [email]. Pozrite si našu politiku ochrany súkromia."
-
Pre vašich zamestnancov: dokument vydaný pri prijatí do práce s výpisom údajov zbieraných v rámci pracovného vzťahu.
Akcia 3: Správa cookies
Ak vaša webová stránka používa cookies na meranie návštevnosti (Google Analytics, Matomo) alebo reklamu, musíte získať výslovný súhlas návštevníka PRED umiestnením týchto cookies.
Akcia: nainštalujte cookie panel v súlade s predpismi. Bezplatné riešenia ako Tarteaucitron.js alebo Cookiebot (zadarmo až do 100 stránok) robia prácu.
Výnimka: cookies striktne nevyhnutné pre fungovanie stránky (autentifikácia, nákupný košík) nevyžadujú súhlas.
Alternatíva: používajte Matomo v konfigurácii "oslobodené od súhlasu" (oznámenie CNIL). Udržíte si svoju analýzu bez cookie panela.
Akcia 4: Bezpečnosť údajov
GDPR vyžaduje ochranu osobných údajov "vhodnými technickými a organizačnými opatreniami". Pre malý podnik to znamená:
- Silné a jedinečné heslá (pozri článok o kybernetickej bezpečnosti)
- Aplikované bezpečnostné aktualizácie
- Pravidelné zálohy
- Obmedzený prístup k údajom (nie všetci majú prístup ku všetému)
- Šifrovanie prenosných počítačov
Nie je to nič iné ako dobré postupy kybernetickej bezpečnosti, ktoré by ste mali aplikovať tak ako tak.
Akcia 5: Správa práv osôb
GDPR dáva osobám práva na ich údaje: prístup, opravu, vymazanie, prenosnosť. V praxi malé podniky dostávajú veľmi málo žiadostí tohto typu.
Akcia: určite kontaktnú osobu (vy sami alebo spolupracovník) a e-mailovú adresu na kontakt (napríklad donnees@vasapodnikanie.sk). Keď príde žiadosť, odpoveďte do mesiacaľa. To je všetko.
Na čo sa dá čakať
DPO (poverenec na ochranu údajov) — povinný len pre podniky, ktoré spracovávajú údaje vo veľkom rozsahu alebo citlivé údaje. Malý podnik s 5 ľuďmi nepotrebuje DPO.
Analýza dopadov (AIPD) — povinná len pre spracovanie s vysokým rizikom (videozáznam vo veľkom rozsahu, systematické profilovanie, zdravotné údaje). Zoznam klientov vášho tesára nie je spracovanie s vysokým rizikom.
Certifikácia GDPR — žiadna certifikácia nie je povinná. Podniky, ktoré vám predávajú "certifikácie GDPR", zneužívajú strach. Zhoda je nepretržitý proces, nie značka.
V prípade porušenia údajov
Ak osobné údaje unikajú (hack, strata USB kľúča, email poslaný nesprávnemu adresátovi), máte 72 hodín na oznámenie CNIL, ak porušenie predstavuje riziko pre osoby.
Formulár na oznámenie je online na webe CNIL. Vyplňte ho poctivo: čo sa stalo, koľko osôb je dotknutých, aké opatrenia ste prijali.
CNIL je zhovievavejšia s podnikom, ktorý promptne upozorní, ako s podnikom, ktorý incident skrýva.
GDPR nie je byrokracie-čudák pre malé podniky. Je to rámec zdravého rozumu: chráňte údaje svojich klientov tak, ako by ste chceli, aby chránili vaše.