Τι σημαίνει ο GDPR για τις μικρές επιχειρήσεις;
Ο GDPR κανονισμός για μικρές επιχειρήσεις έχει προκαλέσει γενικά μια κάποια σύγχυση. Πολλές μικρές επιχειρήσεις υποθέτουν ότι ο κανονισμός γενικής προστασίας δεδομένων (GDPR) δεν ισχύει για αυτούς.
Είναι αλήθεια ότι το άρθρο 30 του GDPR ορίζει ότι οι μικρές επιχειρήσεις δεν θα δεσμεύονται από τον νέο κανονισμό, αλλά αυτό δεν ισχύει πάντοτε. Οι ιδιοκτήτες μικρών επιχειρήσεων πρέπει σίγουρα να δώσουν προσοχή στον GDPR και να ρίξουν μια ματιά στο τι σημαίνει για την επιχείρησή τους ή θα μπορούσαν να καταλήξουν σε κυρώσεις που δεν περίμεναν. Αυτές οι κυρώσεις μπορούν να περιλαμβάνουν δαπανηρά πρόστιμα, τα οποία θα ήταν κακά νέα για κάθε μικρή επιχείρηση.
Ποια επίδραση θα μπορούσε να έχει o GDPR στις μικρές επιχειρήσεις;
Για τους σκοπούς του GDPR, μία μικρή επιχείρηση φαίνεται να ταξινομείται ως μία επιχείρηση με λιγότερους από 250 υπαλλήλους. Κάθε επιχείρηση με περισσότερους από 250 εργαζόμενους υποχρεούται να συμμορφώνεται με τον GDPR και υποχρεούται να καταθέσει τις υπηρεσίες ενός Υπεύθυνου Προστασίας Δεδομένων (DPO) Data Protection Officer.
Οι επιχειρήσεις με λιγότερους από 250 εργαζόμενους υποχρεούνται να συμμορφώνονται με το GDPR, εάν η επεξεργασία των δεδομένων τους μπορεί να επηρεάσει τα δικαιώματα και τις ελευθερίες των ατόμων, εάν επεξεργάζονται τα δεδομένα προσωπικού χαρακτήρα σε τακτική βάση ή επεξεργάζονται δεδομένα που καλύπτονται από το άρθρο 9 του GDPR. Εάν κάποιο από αυτά ισχύει για μια μικρή επιχείρηση, πρέπει να διασφαλίσει ότι συμμορφώνεται με όλες τις πτυχές του GDPR.
Τι αναφέρεται στο άρθρο 9 του GDPR;
Υπάρχουν ορισμένα στοιχεία προσωπικών δεδομένων που απαγορεύεται να επεξεργάζονται σύμφωνα με τους κανόνες GDPR, εκτός εάν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα παρέχει ρητή άδεια χρήσης για συγκεκριμένο σκοπό. Αυτά τα προσωπικά δεδομένα περιλαμβάνουν θρησκευτικές και πολιτικές πεποιθήσεις και σεξουαλικό προσανατολισμό. Σε ορισμένες χώρες μέλη της ΕΕ μπορεί να απαγορευτεί η επεξεργασία τέτοιου είδους δεδομένων, ακόμη και αν το πρόσωπο στο οποίο αναφέρονται τα δεδομένα συναινεί. Οποιαδήποτε μικρή επιχείρηση πρέπει να δώσει προσοχή σε αυτό, αν εμπλέκεται στην επεξεργασία δεδομένων αυτού του είδους.
Ειδικά θέματα για τις μικρές επιχειρήσεις
Υπάρχουν κάποιες σκέψεις που είναι πιθανόν να ισχύουν περισσότερο για τις μικρές επιχειρήσεις απ'ότι για οποιονδήποτε άλλο οργανισμό.
Για παράδειγμα, πολλοί ιδιοκτήτες μικρών επιχειρήσεων βασίζονται σε μεγάλο βαθμό στη δικτύωση για να δημιουργήσουν σημαντικές επαφές. Έχοντας αυτό υπόψη, είναι σημαντικό το ότι οι ιδιοκτήτες δεν θα είναι πλέον νόμιμα σε θέση να προσθέτουν απλώς διευθύνσεις ηλεκτρονικού ταχυδρομείου που προέρχονται από επαγγελματικές κάρτες στις λίστες επαφών του ηλεκτρονικού ταχυδρομείου τους, εκτός αν έχουν τη συγκεκριμένη συγκατάθεσή τους, από το άτομο που τους έδωσε την κάρτα. Το ίδιο ισχύει και για τη χρήση διευθύνσεων ηλεκτρονικού ταχυδρομείου από τις επαφές του LinkedIn.
Όποιος θέλει να προσθέσει λεπτομέρειες κάποιου σε μια λίστα επαφών πρέπει να έχει άμεση συναίνεση για να το πράξει, δεν αρκεί να υποθέσουμε ότι η παράδοση μιας επαγγελματικής κάρτας συνεπάγεται συναίνεση.
Πολλές μικρές επιχειρήσεις δεν επεξεργάζονται οι ίδιες τα δικά τους δεδομένα, λόγω έλλειψης διαθέσιμων πόρων. Είναι σημαντικό για τις επιχειρήσεις να θυμούνται ότι τα τρίτα μέρη που χρησιμοποιούν γι'αυτό, θεωρούνται επίσης επεξεργαστές δεδομένων, όσον αφορά τη συμμόρφωση με το GDPR. Αυτό σημαίνει ότι οι μικρές επιχειρήσεις πρέπει να διασφαλίσουν ότι οι συμβάσεις τους με αυτές τις εταιρίες που συνεργάζονται, θα περιλαμβάνουν όλες τις απαραίτητες απαιτήσεις για να εξασφαλιστεί η συμμόρφωση με το GDPR.
Πολλές μικρές επιχειρήσεις κάνουν μεγάλη χρήση φορητών υπολογιστών κατά την πρόσβαση και την επεξεργασία δεδομένων. Είναι σημαντικό να σημειωθεί ότι δεν αρκεί να χρησιμοποιηθούν κωδικοί πρόσβασης για την προστασία προσωπικών δεδομένων σε φορητό υπολογιστή, προκειμένου να συμμορφωθούν με το GDPR. Είναι καλή ιδέα να κρυπτογραφείτε επίσης τα δεδομένα, για να διασφαλίσετε την ασφάλεια.
Ελέγξτε ότι τα δεδομένα αποθηκεύονται σωστά
Προκειμένου να συμμορφωθεί με το GDPR, κάθε οργανισμός, συμπεριλαμβανομένων των μικρών επιχειρήσεων, πρέπει να γνωρίζει ποια δεδομένα βρίσκονται στην κατοχή του, που φυλάσσονται και γιατί, και ποιος είναι υπεύθυνος για τη διαχείριση των δεδομένων. Πρέπει επίσης να ελέγχουν αν υπάρχει κατάλληλη συγκατάθεση και εάν τα δεδομένα πρέπει να υποβάλλονται σε επεξεργασία.
Αυτό το τελευταίο σημείο μπορεί να είναι ιδιαίτερα σημαντικό για τις μικρές επιχειρήσεις, καθώς η κατοχή λιγότερων δεδομένων σημαίνει ότι είναι πολύ πιο εύκολο να το διαχειριστούν και υπάρχει λιγότερη πιθανότητα εμφάνισης προβλημάτων.
Όχι μόνο έχει νόημα η διαγραφή δεδομένων όταν ο σκοπός για τη χρήση τους δεν υπάρχει πια, είναι επίσης μια διάταξη του GDPR για να το πράξουν.
Ελέγξτε τις διαδικασίες
Έχει ήδη αναφερθεί ότι οι επιχειρήσεις πρέπει να γνωρίζουν ποια δεδομένα κρατούνται, πού και πώς. Καθώς και ποιος είναι υπεύθυνος για τη διαχείριση των δεδομένων. Αυτός είναι ο λόγος για τον οποίο κάθε μικρή επιχείρηση πρέπει να έχει διαδικασίες που θα επιτρέψουν τη συμμόρφωση με αυτές τις απαιτήσεις. Πρέπει επίσης να τεκμηριώσουν πλήρως αυτές τις διαδικασίες, ώστε να μπορούν να αποδείξουν τη συμμόρφωσή τους.
Αναγνώριση δεδομένων και διαδικασιών υψηλού κινδύνου
Ορισμένα στοιχεία προσωπικών δεδομένων, όπως αυτά που καλύπτονται από το άρθρο 9 του GDPR, παρουσιάζουν υψηλό κίνδυνο. Οι μικρές επιχειρήσεις ενδέχεται επίσης να αναγνωρίσουν ότι ορισμένες πτυχές της επεξεργασίας των δεδομένων τους ενδέχεται να παρουσιάζουν υψηλό κίνδυνο.
Κάθε επιχείρηση πρέπει να καταπολεμήσει αυτούς τους κινδύνους δημιουργώντας λεπτομερή σχέδια και διαδικασίες που θα ακολουθήσουν. Εάν φαίνεται ότι αυτό δεν είναι εφικτό, η επιχείρηση πρέπει να ζητήσει άδεια από την αρμόδια αρχή προστασίας δεδομένων (DPA) προκειμένου να επεξεργαστεί τα δεδομένα.
Σχέδιο σε περίπτωση παραβίασης δεδομένων
Παρόλο που οι μικρές επιχειρήσεις πρέπει να κάνουν ότι μπορούν για να εξασφαλίσουν την ασφάλεια των δεδομένων που επεξεργάζονται, θα πρέπει επίσης να προγραμματίσουν το χειρότερο. Σύμφωνα με τον GDPR, οι παραβιάσεις δεδομένων πρέπει να δηλώνονται εντός 72 ωρών.
Εξετάστε την πρόσληψη ενός υπεύθυνου προστασίας δεδομένων
Παρόλο που το GDPR δεν ορίζει ότι οι μικρές επιχειρήσεις πρέπει να προσλάβουν έναν υπεύθυνο προστασίας δεδομένων (DPO), θα μπορούσε να είναι μια καλή ιδέα για τις επιχειρήσεις να το πράξουν. Μπορεί επίσης να είναι απαίτηση εάν η επιχείρηση επεξεργάζεται ευαίσθητες πληροφορίες, όπως περιγράφεται στο άρθρο 9 του GDPR. Εάν η πρόσληψη ενός ΥΠΔ δεν είναι πιθανή, η επιχείρηση μπορεί να θελήσει να εξετάσει τη χρήση ενός τρίτου μέρους ή την κατάλληλη εκπαίδευση σε κάποιον που ήδη εργάζεται στην επιχείρηση.
Όπως αναφέρθηκε προηγουμένως, στην περίπτωση τρίτων, είναι σημαντικό η επιχείρηση να διασφαλίζει ότι ο πάροχος (η εταιρία που διάλεξε) συμμορφώνεται επίσης με τις απαιτήσεις του GDPR. Ο ΥΠΔ πρέπει να έχει καλή γνώση του GDPR και να γνωρίζει πώς να αναπτύξει μια διαδικασία διαχείρισης δεδομένων.
Εκπαιδεύστε τους ανθρώπους σας μέσα στην επιχείρηση
Εάν μια επιχείρηση πρόκειται να συμμορφωθεί με το GDPR, είναι σημαντικό οι άνθρωποι που εργάζονται μέσα σε αυτό να γνωρίζουν τις απαιτήσεις του GDPR. Αυτός είναι ο λόγος για τον οποίο είναι σημαντικό για τους ιδιοκτήτες μικρών επιχειρήσεων να διασφαλίσουν ότι όλοι όσοι εργάζονται γι 'αυτούς γνωρίζουν το GDPR και ποιες είναι οι ευθύνες τους.
Είναι εύκολο να καταλάβεις γιατί οι μικρές επιχειρήσεις μπορεί να πιστεύουν ότι το GDPR δεν ισχύει για αυτούς. Η πεποίθηση είναι ότι προορίζεται για μεγαλύτερες επιχειρήσεις και εταιρίες, ονόματα που είχαν προβλήματα στο παρελθόν με παραβιάσεις δεδομένων. Όμως, αυτό δεν συμβαίνει, κάθε μικρή επιχείρηση που επεξεργάζεται τα προσωπικά δεδομένα των ατόμων που ζουν στην ΕΕ σε τακτική βάση ή ασχολείται με την επεξεργασία ευαίσθητων δεδομένων πρέπει να συμμορφώνεται με τον GDPR.
Αυτό έχει νόημα, καθώς ο GDPR έχει ως στόχο να παρέχει στο άτομο περισσότερο έλεγχο στον τρόπο χειρισμού των δεδομένων του, καθώς και να διασφαλίζει τη συνοχή στις διαδικασίες επεξεργασίας δεδομένων, ώστε οι μικρές επιχειρήσεις να συμμετέχουν με τον ίδιο τρόπο όπως οι μεγαλύτερες, εάν ισχύουν οι κανόνες για την καταχώριση.
Full text of EU GDPR (General Data Protection Regulation)
Πηγή: compliancejunction.com
