Od 2018 roku RODO wywołuje tremę wśród małych przedsiębiorstw. Krążą historie o karach w wysokości 20 milionów euro i paraliżują małych przedsiębiorców, którzy mówią „jestem skończony, nie jestem zgodny z przepisami".
Rzeczywistość jest prostsza. CNIL nigdy nie ukarała małego przedsiębiorstwa, które podejmuje rozsądny wysiłek na rzecz zgodności. Atakuje gigantów internetu, firmy sprzedające dane osobowe, recydywistów. Nie hydraulika, który ma plik Excela z klientami.
To nie zwalnia Cię z wykonania swojej części pracy. Ale poziom wysiłku jest całkowicie do zarządzania.
5 działań obejmujących 80% twoich zobowiązań
Działanie 1: rejestr przetwarzania (podstawa)
To centralny dokument RODO. Zawiera listę danych osobowych, które zbierasz, dlaczego i jak długo je przechowujesz.
Dla typowego małego przedsiębiorstwa zmieści się na jednej stronie:
| Przetwarzanie | Zebrane dane | Cel | Okres przechowywania |
|---|---|---|---|
| Baza klientów | Imię, email, telefon, adres | Zarządzanie sprzedażą | 3 lata po ostatnim kontakcie |
| Księgowość | Imię, adres, numer faktury | Wymóg prawny | 10 lat |
| Płace (pracownicy) | Dane osobowe, numer ubezpieczenia, numer konta | Zarządzanie wynagrodzeniami | 5 lat po odejściu |
| Strona internetowa | Pliki cookies, IP, formularz kontaktowy | Marketing, analityka | 13 miesięcy (cookies), 3 lata (formularz) |
| Newsletter | Komunikacja | Do czasu wypisania się |
CNIL udostępnia bezpłatny szablon na swojej stronie. Wypełnij go w 30 minut i aktualizuj raz w roku.
Działanie 2: informowanie osób
Musisz poinformować osoby, których dane zbierasz. W praktyce:
-
Na swojej stronie internetowej: strona „Polityka prywatności" (lub „Ochrona danych") dostępna z stopki. Opisz prostym językiem, jakie dane zbierasz, dlaczego, jak długo je przechowujesz i jak wykonać swoje prawa.
-
Na formularzach: zdanie pod każdym formularzem kontaktowym: „Zebrane dane są używane do odpowiedzi na Twoją wiadomość. Możesz wykonać swoje prawa, kontaktując się z nami na [email]. Przeczytaj naszą politykę prywatności."
-
Dla pracowników: dokument przekazany przy zatrudnieniu zawierający dane zebrane w ramach stosunku pracy.
Działanie 3: zarządzanie plikami cookies
Jeśli Twoja strona używa plików cookies do pomiaru publiczności (Google Analytics, Matomo) lub reklamy, musisz uzyskać wyraźną zgodę odwiedzającego PRZED umieszczeniem tych plików.
Działanie: zainstaluj pasek cookies zgodny z przepisami. Bezpłatne rozwiązania takie jak Tarteaucitron.js lub Cookiebot (bezpłatnie do 100 stron) wykonują pracę.
Wyjątek: pliki cookies ściśle niezbędne do funkcjonowania strony (uwierzytelnianie, koszyk) nie wymagają zgody.
Alternatywa: użyj Matomo w konfiguracji „zwolnionej z wymogu zgody" (zgłoszenie CNIL). Zachowujesz swoją analitykę bez paska cookies.
Działanie 4: bezpieczeństwo danych
RODO wymaga ochrony danych osobowych „odpowiednimi środkami technicznymi i organizacyjnymi". Dla małego przedsiębiorstwa oznacza to:
- Silne i unikalne hasła (zobacz artykuł o cyberbezpieczeństwie)
- Zastosowane aktualizacje bezpieczeństwa
- Regularne kopie zapasowe
- Ograniczony dostęp do danych (nie wszyscy mają dostęp do wszystkiego)
- Szyfrowanie laptopów
To nic innego niż dobre praktyki cyberbezpieczeństwa, które powinieneś stosować w każdym razie.
Działanie 5: zarządzanie prawami osób
RODO daje osobom prawa dotyczące ich danych: dostęp, sprostowanie, usunięcie, przenoszalność. W praktyce małe przedsiębiorstwa otrzymują bardzo mało tego typu wniosków.
Działanie: wyznacz interlokatora (siebie lub współpracownika) i adres email kontaktowy (taki jak dane@twaafirma.pl). Gdy wpłynie wniosek, odpowiedz w ciągu miesiąca. To wszystko.
Co może czekać
Inspektor ochrony danych (DPO) — obowiązkowy tylko dla przedsiębiorstw przetwarzających dane na dużą skalę lub dane wrażliwe. Małe przedsiębiorstwo 5 osób nie potrzebuje DPO.
Analiza wpływu (AIPD) — obowiązkowa tylko dla przetwarzania wysokiego ryzyka (masowa wideoobserwacja, systematyczne profilowanie, dane zdrowotne). Baza klientów Twojej stolarni nie stanowi przetwarzania wysokiego ryzyka.
Certyfikacja RODO — żadna certyfikacja nie jest obowiązkowa. Firmy sprzedające Ci „certyfikacje RODO" wykorzystują strach. Zgodność to proces ciągły, a nie etykieta.
W przypadku naruszenia ochrony danych
Jeśli dane osobowe wyciekną (atak hakerski, utrata pendrive'a, email wysłany do złego odbiorcy), masz 72 godziny na powiadomienie CNIL, jeśli naruszenie stanowi zagrożenie dla osób.
Formularz powiadomienia znajduje się na stronie CNIL. Wypełnij go uczciwie: co się stało, ile osób jest dotkniętych, jakie środki podjąłeś.
CNIL jest bardziej wyrozumiała dla przedsiębiorstwa, które szybko powiadamia, niż dla przedsiębiorstwa, które ukrywa incydent.
RODO to nie potwór biurokratyczny dla małych przedsiębiorstw. To ramy zdrowego rozsądku: chroń dane swoich klientów tak, jak chciałbyś, aby chroniły Twoje.