Od leta 2018 GDPR preplaši majhna podjetja. Krožijo zgodbe o globalnih kaznih 20 milijonov evrov, ki paralizirajo male lastnike, ki si mislijo "sem izgubljen, nisem skladen s predpisi".
Resničnost je preprostejša. Urad za varstvo podatkov nikoli ni kaznoval majhnega podjetja, ki se je prizadevalo za razumno skladnost. Napada velika spletna podjetja, podjetja, ki prodajajo osebne podatke, in povratne prekrškarje. Ne ne dobavitelja, ki ima datoteko Excel s strankami.
To vas ne sprošča dolžnosti, da naredite svoj del. Toda raven napora je zelo obvladljiva.
5 ukrepov, ki pokriva 80% vaših obveznosti
Ukrep 1: register obdelav (osnova)
To je osrednji dokument GDPR. Navaja osebne podatke, ki jih zbirate, zakaj in kako dolgo jih hranite.
Za tipično majhno podjetje to spada na eno stran:
| Obdelava | Zbrani podatki | Namen | Obdobje hrambe |
|---|---|---|---|
| Datoteka strank | Ime, e-pošta, telefonska številka, naslov | Komercialno upravljanje | 3 leta po zadnjem stiku |
| Računovodstvo | Ime, naslov, št. računa | Pravna obveza | 10 let |
| Plače (če so zaposleni) | Osebni podatki, št. socialne varnosti, račun | Upravljanje plač | 5 let po odhodu |
| Spletna stran | Piškotki, IP, obrazec za stik | Marketing, analitika | 13 mesecev (piškotki), 3 leta (obrazec) |
| Novičnik | E-pošta | Komunikacija | Do odjave |
Urad za varstvo podatkov ponuja brezplačno predlogo na svojem spletnem mestu. Izpolnite jo v 30 minutah in jo posodobite enkrat na leto.
Ukrep 2: obvestilo oseb
Obvestiti morate osebe, katerih podatke zbirate. V praksi:
-
Na vašem spletnem mestu: stran "Politika zasebnosti" (ali "Varstvo podatkov"), dostopna iz noge. Opišite enostavnim jezikom, katere podatke zbieralete, zakaj, kako dolgo jih hranite in kako izvajati svoje pravice.
-
Na vaših obrazcih: stavek pod vsakim obrazcem za stik: "Zbrani podatki se uporabljajo za odgovor na vašo zahtevo. Svoje pravice lahko uveljavljate s kontaktiranjem nas na [e-pošta]. Preberite našo politiko zasebnosti."
-
Za vaše zaposlene: dokument, izročen ob zaposlitvi, ki navaja podatke, zbrane v okviru delovnega razmerja.
Ukrep 3: upravljanje piškotkov
Če vaše spletno mesto uporablja piškotke za merjenje števila obiskov (Google Analytics, Matomo) ali oglaševanje, morate pridobiti izrecno soglasje obiskovalca PRED namestitvijo teh piškotkov.
Ukrep: namestite ustrezno opozorilo o piškotkih. Brezplačne rešitve, kot sta Tarteaucitron.js ali Cookiebot (brezplačno do 100 strani), opravljajo delo.
Izjema: piškotki, ki so strogo potrebni za delovanje spletnega mesta (avtentifikacija, nakupni voziček), ne zahtevajo soglasja.
Alternativa: uporabite Matomo v konfiguraciji "izjemlje od soglasja" (obvestilo Uradu za varstvo podatkov). Ohranite svojo analitiko brez opozorila o piškotkih.
Ukrep 4: varnost podatkov
GDPR zahteva zaščito osebnih podatkov s "primerni tehničnimi in organizacijskimi ukrepi". Za majhno podjetje to pomeni:
- Robustna in edinstvenega gesla (glejte članek o kibernetski varnosti)
- Uporabljene varnostne posodobitve
- Redne varnostne kopije
- Omejen dostop do podatkov (ne vsi dostopajo do vsega)
- Šifriranje prenosnih računalnikov
To ni več in ne manj kot dobre prakse varnosti, ki bi jih morali uporabljati tudi sicer.
Ukrep 5: upravljanje pravic oseb
GDPR daje osebam pravice do svojih podatkov: dostop, popravek, izbris, prenosljivost. V praksi majhna podjetja prejemejo zelo malo zahtevkov te vrste.
Ukrep: določite osebo za stik (sebe ali sodelavca) in naslov e-pošte za stik (npr. podatki@vasopodjetje.si). Ko prispe zahteva, odgovorite v mesecu dni. To je vse.
Kar lahko počaka
Varuh podatkov (DPO) — obvezno le za podjetja, ki obdelujejo podatke v večjem obsegu ali občutljive podatke. Majhno podjetje s 5 osebami ne potrebuje varuha podatkov.
Ocena učinka (AIPD) — obvezna le za obdelave s povečanim tveganjem (obsežna video nadzor, sistematično profiliranje, zdravstveni podatki). Datoteka strank vašega tesarja ni obdelava s povečanim tveganjem.
Certifikat GDPR — nobena certifikacija ni obvezna. Podjetja, ki vam prodajajo "certifikate GDPR", izkoristijo strah. Skladnost je neprekinjiv proces, ne oznaka.
V primeru kršitve podatkov
Če osebni podatki uhajajo (hekerski napad, izguba USB ključka, e-pošta poslana napačnemu prejemniku), imate 72 ur za obvestilo Uradu za varstvo podatkov, če kršitev predstavlja tveganje za osebe.
Obrazec za obvestilo je na spletnem mestu Uradu za varstvo podatkov. Izpolnite ga pošten: kaj se je zgodilo, koliko oseb je prizadetih, katere ukrepe ste sprejeli.
Urad za varstvo podatkov je bolj prizanesljiv do podjetja, ki hitro obvesti, kot do podjetja, ki skriva incident.
GDPR ni birokratski pošast za majhna podjetja. To je okvir zdravega razuma: varovajte podatke svojih strank, kot bi želeli, da bi nekdo varovale vaše.