Общият регламент за защита на данните (GDPR) влезе в сила през 2018 година и промени начина, по който всички бизнеси в ЕС обработват лични данни. Въпреки че мнозина го възприемат като нещо, което засяга само големите корпорации, реалността е, че GDPR е задължителен за всеки бизнес — включително за ЕООД с един служител или фрийлансър, работещ от дома си. В тази статия ще разгледаме какво означава GDPR на практика за малкия бизнес в България и как да спазвате изискванията без излишно усложняване.
Какво са лични данни
Лични данни е всяка информация, чрез която може да бъде идентифицирано конкретно физическо лице. Това включва очевидни неща като име, ЕГН, адрес и телефон, но също и по-малко очевидни — имейл адрес, IP адрес, бисквитки, снимки и дори данни за местоположение.
Ако в бизнеса си събирате, съхранявате или по какъвто и да е начин обработвате такива данни за клиенти, служители, доставчици или потенциални клиенти — GDPR се отнася за вас.
Основни принципи
GDPR се основава на няколко ключови принципа, които определят как трябва да обработвате лични данни.
Законосъобразност означава, че трябва да имате правно основание за обработването на всеки вид лични данни. Най-честите основания за малкия бизнес са съгласие на лицето, изпълнение на договор и законово задължение.
Минимизиране на данните означава, че трябва да събирате само данните, които реално ви трябват. Ако продавате продукт онлайн, нуждаете се от адрес за доставка, но не и от ЕГН на клиента.
Ограничение на целта означава, че данните трябва да се използват само за целта, за която са събрани. Ако клиент ви е дал имейла си за потвърждение на поръчка, не можете автоматично да го добавите към маркетинг списъка си.
Ограничение на съхранението означава, че не трябва да пазите данните по-дълго от необходимото. Когато целта е изпълнена и нямате друго законово основание, данните трябва да бъдат изтрити.
Практически стъпки за малкия бизнес
Не е необходимо да наемате скъп консултант или да създавате десетки документи, за да сте в съответствие с GDPR. Ето основните стъпки.
Първо, направете инвентаризация на данните. Запишете какви лични данни събирате, от кого, защо и къде ги съхранявате. За малък бизнес това може да е прост списък — например „имена и имейли на клиенти — в Excel файл на компютъра — за издаване на фактури".
Второ, определете правните основания. За всеки вид данни определете на какво основание ги обработвате. Данните на служителите се обработват на основание трудов договор и законово задължение. Данните на клиентите — на основание договор или съгласие. Маркетингови имейли — на основание изрично съгласие.
Трето, подгответе политика за поверителност. Ако имате уебсайт, политиката за поверителност е задължителна. Тя трябва да обясни на разбираем език какви данни събирате, защо, как ги защитавате и какви права имат хората. Политиката трябва да е лесно достъпна от всяка страница на сайта.
Четвърто, осигурете механизъм за съгласие. Ако събирате данни на базата на съгласие (например абонамент за бюлетин), съгласието трябва да е свободно дадено, конкретно, информирано и недвусмислено. Предварително отметнатите полета не се считат за валидно съгласие.
Права на субектите на данни
Хората, чиито данни обработвате, имат определени права, които трябва да можете да удовлетворите.
Право на достъп — всеки може да поиска да разбере какви негови данни обработвате и за какво.
Право на коригиране — ако данните са неточни, лицето може да поиска коригирането им.
Право на изтриване (правото да бъдеш забравен) — при определени условия лицето може да поиска изтриване на данните си. Имайте предвид, че не винаги сте длъжни да изтриете — ако имате законово задължение да пазите данните (например за данъчни цели), изтриването не е задължително.
Право на преносимост — лицето може да поиска данните си в структуриран формат, за да ги прехвърли на друг доставчик.
Като малък бизнес не е необходимо да имате автоматизирана система за тези заявки. Достатъчно е да имате процедура — кой отговаря, в какъв срок (максимум 30 дни) и как.
Нарушения на сигурността
Ако настъпи нарушение на сигурността на данните (например хакерска атака, изгубен лаптоп с клиентски данни или случайно изпращане на данни на грешен получател), имате задължение да уведомите Комисията за защита на личните данни (КЗЛД) в срок от 72 часа.
Ако нарушението е вероятно да доведе до висок риск за правата на засегнатите лица, трябва да уведомите и тях.
Най-добрата защита е превенцията — използвайте силни пароли, криптирайте чувствителни данни, правете редовни backup-и и ограничете достъпа до данните само до хората, които реално се нуждаят от него.
Длъжностно лице по защита на данните
Много малки бизнеси се притесняват, че трябва да назначат длъжностно лице по защита на данните (DPO). Добрата новина е, че за повечето малки бизнеси това не е задължително. DPO се изисква само ако основната ви дейност включва мащабно систематично наблюдение на лица или мащабна обработка на специални категории данни (здравни данни, биометрични данни и т.н.).
Ако сте обикновен магазин, консултантска фирма или IT компания с няколко служители, DPO вероятно не ви е необходим.
Санкции
GDPR предвижда глоби до 20 милиона евро или 4% от годишния оборот за най-тежките нарушения. На практика санкциите за малки бизнеси в България са значително по-ниски, но не са символични. КЗЛД е налагала глоби от няколкостотин до няколко хиляди лева на малки фирми за различни нарушения.
По-важно от глобите обаче е репутационният риск. Нарушение на GDPR, станало публично достояние, може да подкопае доверието на клиентите ви.
Практически съвети
Не усложнявайте нещата. За малък бизнес GDPR не означава купища папки и скъпи софтуерни решения. Означава да събирате само данните, които ви трябват, да ги пазите добре и да сте прозрачни за какво ги използвате.
Създайте шаблон за политика за поверителност и го адаптирайте към вашия бизнес. Обучете служителите си на базови принципи — да не споделят клиентски данни по телефона без проверка, да не изпращат масови имейли с видими адреси и да заключват компютрите си.
GDPR не е пречка за бизнеса — напротив, компаниите, които демонстрират отговорно отношение към личните данни, печелят повече доверие от своите клиенти.