Kako bo GDPR vplival na mala podjetja?

Splošna uredba o varstvu osebnih podatkov (GDPR), ki prične veljati 25. maja 2018, podjetjem nalaga sveženj novih pravil glede zasebnosti in varovanja osebnih podatkov posameznikov, kršiteljem, ki določil ne bodo upoštevala, pa obljublja stroge, tudi 20-milijonske kazni.

Največja novost, ki jo uredba prinaša, je zagotovo ta, da bo vplivala na vsa podjetja, ki hranite podatke o državljanih EU, ne glede na velikost. Česar se, kot je pokazala nedavna raziskava NTT, podjetja še vedno premalo zavedajo. Kar 60 % odločevalcev v podjetjih iz 11 držav verjame, da se GDPR njihovega delovanja ne bo dotaknil ali, še huje, uredbe sploh niso poznali.

Slednje je še toliko bolj zaskrbljujoče, ker ukrepi, ki jih bo treba sprejeti, niso enostavni, prav tako pa jih ne gre urediti čez noč. In če se velika podjetja s svojimi pravnimi in IT službami relativno hitro lahko pričnejo spopadati z novostmi, se pravo vprašanje, kaj storiti, nanaša na mala podjetja, ki nimajo ali imajo zelo omejeno notranjo IT podporo oz. pravno službo. Kako bo GDPR vplival nanje?

Soglasje

Ena največjih sprememb, ki jih GDPR prinaša, je pridobitev soglasja. Četudi so v skladu z uredbo podjetja obiskovalce že morala zaprositi za soglasje za procesiranje podatkov, so to doslej morala storiti le enkrat in s tem pokrila vse primere rabe.

Nič več, z GDPR-jem je konec paketnih rešitev. Podjetja boste odslej morala pridobiti ločena dovoljenja za uporabo podatkov o strankah za različne namene, kot so trženje, podpora, zlorabe ipd. Prav tako pa boste morala beležiti, kdaj in na kakšen način je bilo soglasje sprejeto.

Kaj storiti z obstoječimi podatki o kupcih?

Odgovor seveda ni tako enostaven, saj 171. točka preambule GDPR določa, da kadar obdelava osebnih podatkov temelji na privolitvi, le-te upravljavcu ni potrebno pridobivati ponovno, vendar to velja le, če je bila privolitev dana na način, ki je v skladu s pogoji iz GDPR. Prav ti pogoji pa so izrazito ostrejši od sedanje ureditve, zato je vprašljivo, koliko privolitev za obdelavo sploh ustreza novim zahtevam in ali ste ob tako visokih sankcijah slednje sploh pripravljeni ugotoviti.

Pravica do izbrisa in pravica do prenosljivosti podatkov

Z GDRP-jem bo imel posameznik veliko večji nadzor nad pretokom osebnih podatkov, saj vsako soglasje, ki ga vam ga bo podal, z GDRP-jem ne bo več trajno.

Druga ključna sprememba, ki jo uredba prinaša, je namreč tudi pravica do izbrisa, ki posameznikom dopušča preklic soglasja, upravljavcu pa narekuje popoln izbris podatkov o uporabniku, na enak način pa lahko posameznik od vas zahteva tudi omejitev količine podatkov, ki jih o njem obdelujete ali od vas zgolj zahteva vse zbrane podatke in jih brez, da bi ga pri tem ovirali, posreduje drugemu upravljavcu – denimo drugemu klubu zvestobe, ponudniku energije, operaterju ipd.

Pravica do izbrisa in prenosljivosti podatkov je pri manjših podjetjih lahko s tehničnega in organizacijskega smisla precej otežena. Zakaj?

  • Prvič, ker mala podjetja morda nimate formaliziranega postopka za prenos podatkov, kot ga imajo nekatera večja podjetja. Če so podatki o vaših kupcih razpršeni po mapah v oblaku, v podatkovnih bazah ali na posameznih računalnikih, bo vaše delo zbiranja vseh informacij o stranki, ki jih želi prenesti ali izbrisati, še kako oteženo. Kaj pa, če bo takšnih zahtev vsak teden več?
  • Mala podjetja najverjetneje nimate lastnih IT oddelkov, zato se pri IT podpori, računovodskih ali odvetniških storitvah zanašate na zunanje izvajalce. To pa pomeni, da s tem tudi ti zunanji izvajalci postanejo obdelovalci podatkov vaših strank, zato boste morali s ponudniki storitev uskladiti in razjasniti pogodbe, skupaj z vsemi procesi za obravnavanje zahtev strank.

Vas zanima, kako se na GDPR pripraviti? Tukaj preverite 3 najpomembnejše ukrepe, ki jih morate sprejeti.

Preberite tudi