Den spanska dataskyddsmyndigheten (AEPD) har uppdaterat och utökat sin specifika information om egenföretagare och små och medelstora företag för att hjälpa dem att undvika påföljder när de hanterar sina kunders och anställdas information. Uppdateringen kommer efter att ha fått mer än en miljon förfrågningar bara under det senaste året relaterade till tillämpningen av dataskyddsbestämmelser.
För att göra detta har den förnyat sin web presenterar på ett tydligare och mer strukturerat sätt vanligaste tvivel som de som hanterar personlig information i små företag möter, från den rättsliga grunden för att använda data till vad man ska göra när ett säkerhetsintrång inträffar.
Tillsammans med denna guide i form av frågor och svar med praktiska exempel har organisationen även gjort ett batteri av officiella modeller och formulär som man kan lita på för att uppfylla kraven i den allmänna dataskyddsförordningen (GDPR) och tillämpliga bestämmelser.
AEPD förstärker resurser för dem som behandlar data i småföretag
Inom omorganisationen av innehåll har kategorin ”Dina skyldigheter som personuppgiftsansvarig” specifikt förstärkts, som myndigheten själv definierar som ett avsnitt ”särskilt riktad till små och medelstora företag”, efter att ha upptäckt en stor mängd förfrågningar från småföretag och proffs.
I detta avsnitt kommer du ihåg att du är ansvarig för behandlingen alla företag eller egenföretagare som bestämmer vilken information den samlar in, för vilket ändamål och hur den hanterar den. I praktiken omfattar detta allt från ett företag som behåller uppgifter från sina fysiska eller digitala kunder, till information från leverantörer eller dess anställda.
Men som advokaten specialiserad på digital juridik Jorge Cabet förklarade för detta medium, verkställande partner från Cabet Abogados, Dessa typer av guider används vanligtvis särskilt av dem som ger råd till egenföretagare eftersom många proffs inte försöker tillämpa dem direkt.
Dataskydd förklarar vilken dataanvändning som är tillåten och på vilken rättslig grund
En av de första punkterna som AEPD klargör är att varje användning av personlig information måste motiveras. För detta måste det finnas en rättslig grund, såsom tillhandahållande av en tjänst, efterlevnad av en lagstadgad skyldighet eller samtycke från den berörda parten.
Innehållet stöds av ofta förekommer i små och medelstora företags verksamhet och kom ihåg att uppgifterna endast bör användas för de ändamål för vilka de samlades in, undvika att återanvända dem senare för olika ändamål.
Regelverket kräver rapportering och att uppgifter inte sparas längre än nödvändigt
En av aspekterna som dataskyddet påpekar är skyldighet att på ett begripligt sätt informera om användningen av personuppgifter. Det handlar om att förklara vem som är ansvarig, vad uppgifterna används till, hur länge de kommer att sparas och hur rätten till tillgång, rättelse eller radering kan utövas.
Det insisteras också på det Företag bör begränsa insamlingen av information till vad som är väsentligt och inte hålla den lagrad längre än nödvändigt, både i digitala filer och i pappersdokumentation.
Registreringen av behandlingar syftar till att visa att verksamheten följer lagen
Flera frågor fokuserar på användbarheten av Registry of Treatment Activities (RAT), ett dokument där företaget registrerar vilken information det hanterar, i vilket syfte och vilka skyddsåtgärder det tillämpar.
Även om I vissa fall kan mikroföretag vara undantagna, Portalen påpekar att vanliga behandlingar – såsom klient- eller personalhantering – gör det tillrådligt att ha denna journal, som fungerar som backup vid inspektion eller klagomål.
Företag förblir ansvariga även om de använder tredjepartsleverantörer
Guiden förklarar också vad som händer när du använder externa tjänster, såsom faktureringsprogram, e-postplattformar, byråer och till och med artificiell intelligens. Kom ihåg det i dessa fall ansvaret faller fortfarande på verksamheten själv och att det måste finnas ett avtal som reglerar tillgången till information för dessa leverantörer.
Slutligen, det detaljer hur man agerar i händelse av en säkerhetsincident, såsom förlust av en enhet, obehörig åtkomst eller felaktig informationssändning. Under vissa omständigheter måste dessa episoder anmälas både till tillsynsmyndigheten och till de drabbade.
Dataskyddet påminner om gränserna för små och medelstora företag och egenföretagare i användningen av sina anställdas uppgifter
Ett annat av blocken som dataskydd lyfter fram för dess användbarhet för små och medelstora företag och egenföretagare är det som är tillägnat dataskydd i arbetsmiljön, med fokus på vanliga situationer mellan företag och arbetstagare som väcker tvivel om hur långt företagskontrollen kan gå.
Här kommer man ihåg det Förekomsten av ett kontrakt eliminerar inte personalens integritetsrättigheter, även om det tillåter viss informationsbehandling när det är nödvändigt för att organisera arbetet eller för att uppfylla rättsliga skyldigheter.
I detta syfte presenterar byrån några praktiska fall, som beskriver när dessa användningar omfattas av arbetslagstiftningen och när de bör begränsas för att respektera anställdas integritet. Från användning av för- och efternamn på identitetskort tills installation av GPS-system i företagsfordonoch även om arbetsgivaren kan begära arbetstagarens personliga telefonnummer eller e-post.
AEPD erbjuder modeller så att små och medelstora företag och egenföretagare har en pålitlig referens
Förutom att omorganisera de vanligaste frågorna, erbjuder portalen en rad modeller och former som kan vara användbara i det dagliga livet för egenföretagare och små och medelstora företag, utan att behöva skriva dokument från grunden.
Detta är fallet med dokumenten för begära åtkomst, rättelse eller radering av uppgiftermodellerna av informativa klausuler som kan införlivas i kontrakt, formulär eller sidor webformatet för Registry of Treatment Activities (RAT) och till och med obligatorisk skylt för säkerhetskameror när det finns videoövervakning i lokalerna.
Även om dessa resurser nu är mer tillgängliga för egenföretagare, klargjorde Cabet att det många gånger är cheferna eller rådgivarna som tillhandahåller dem till verksamheten eftersom ”Det är inte vanligt att egenföretagare letar efter det utan stöd.”
Experter efterfrågar mer pedagogik så att standarden når den genomsnittliga egenföretagaren
Från juridisk synpunkt ingår även denna typ av insatser i kontrollmyndigheternas pedagogiska roll. Med advokat Jorge Cabets ord, ”I en rättsregel är det viktigt att tillsynsorgan inte bara sanktionerar, utan också förklarar varför regeln finns och hur den tillämpas, särskilt i en förordning så bred som GDPR.”
För detta betonade advokaten att ””Det borde vara mycket mer branschspecifikt arbete, med exempel anpassade för varje typ av verksamhet.”
