Het Spaanse Agentschap voor Gegevensbescherming (AEPD) heeft zijn specifieke informatie over zelfstandigen en kleine en middelgrote ondernemingen bijgewerkt en uitgebreid om hen te helpen boetes te vermijden bij het beheren van de informatie van hun klanten en werknemers. De update komt nadat er alleen al het afgelopen jaar meer dan een miljoen vragen zijn ontvangen met betrekking tot de toepassing van de regelgeving inzake gegevensbescherming.
Om dit te doen, heeft het zijn programma vernieuwd web het op een duidelijkere en meer gestructureerde manier presenteren de meest voorkomende twijfels waarmee mensen in kleine bedrijven te maken krijgen die met persoonlijke informatie omgaan, van de wettelijke basis voor het gebruik van gegevens tot wat te doen als er een inbreuk op de beveiliging plaatsvindt.
Naast deze handleiding in de vorm van vragen en antwoorden met praktijkvoorbeelden heeft de organisatie er ook een batterij van gemaakt officiële modellen en formulieren waarop kan worden vertrouwd om te voldoen aan de eisen van de Algemene Verordening Gegevensbescherming (AVG) en de toepasselijke regelgeving.
De AEPD versterkt de middelen voor degenen die gegevens verwerken in kleine bedrijven
Binnen de reorganisatie van de inhoud is de categorie “Uw verplichtingen als gegevensbeheerder” specifiek versterkt, die het Agentschap zelf definieert als een sectie “speciaal gericht op het MKB”, na het detecteren van een groot aantal vragen van kleine bedrijven en professionals.
In dit onderdeel herinnert u zich dat u verantwoordelijk bent voor de behandeling elk bedrijf of elke zelfstandige die beslist welke informatie hij verzamelt, met welk doel en hoe hij deze beheert. In de praktijk omvat dit alles: van een bedrijf dat de gegevens van zijn fysieke of digitale klanten bijhoudt, tot de informatie van leveranciers of zijn werknemers.
Maar zoals de in digitaal recht gespecialiseerde advocaat Jorge Cabet aan dit medium uitlegde: beherend vennoot van Cabet Abogados, Dit soort gidsen worden meestal vooral gebruikt door degenen die zelfstandigen adviseren omdat veel professionals ze niet rechtstreeks proberen toe te passen.
Gegevensbescherming legt uit welk gegevensgebruik is toegestaan en op welke rechtsgrond
Een van de eerste punten die de AEPD verduidelijkt is dat elk gebruik van persoonlijke informatie moet gerechtvaardigd zijn. Hiervoor moet sprake zijn van een wettelijke grondslag, zoals het verlenen van een dienst, het voldoen aan een wettelijke verplichting of de toestemming van de belanghebbende.
De inhoud wordt ondersteund door voorkomende situaties in de activiteiten van het MKB en onthoud dat de gegevens alleen mogen worden gebruikt voor de doeleinden waarvoor ze zijn verzameld, om te voorkomen dat ze later opnieuw voor andere doeleinden worden gebruikt.
De regelgeving schrijft voor dat er gerapporteerd moet worden en dat gegevens niet langer bewaard moeten worden dan noodzakelijk
Een van de aspecten waarop Gegevensbescherming wijst, is de plicht om op begrijpelijke wijze te informeren over het gebruik van persoonsgegevens. Hierbij wordt uitgelegd wie verantwoordelijk is, waarvoor de gegevens worden gebruikt, hoe lang ze worden bewaard en hoe het recht op inzage, rectificatie of verwijdering kan worden uitgeoefend.
Daar wordt ook op aangedrongen Bedrijven moeten de verzameling van informatie beperken tot wat essentieel is en deze niet langer bewaren dan noodzakelijk. zowel in digitale bestanden als in papieren documentatie.
De registratie van behandelingen dient om aan te tonen dat het bedrijf aan de wet voldoet
Verschillende vragen richten zich op het nut van Register Behandelactiviteiten (RAT), een document waarin het bedrijf vastlegt welke informatie het verwerkt, met welk doel en welke beschermingsmaatregelen het toepast.
Hoewel In sommige gevallen kunnen micro-ondernemingen worden vrijgesteld, Het portaal wijst erop dat gangbare handelingen – zoals cliënt- of personeelsbeheer – het raadzaam maken om dit dossier te hebben, dat als back-up dient bij inspectie of klacht.
Bedrijven blijven verantwoordelijk, zelfs als ze gebruik maken van externe leveranciers
De gids legt ook uit wat er gebeurt als u externe diensten gebruikt, zoals factureringsprogramma's, e-mailplatforms, bureaus en zelfs hulpmiddelen voor kunstmatige intelligentie. Onthoud dat in deze gevallen de verantwoordelijkheid ligt nog steeds bij het bedrijf zelf en dat er een overeenkomst moet zijn die de toegang tot informatie door deze aanbieders regelt.
Tenslotte worden er details gegeven hoe te handelen bij een veiligheidsincident, zoals het verlies van een apparaat, ongeautoriseerde toegang of het foutief verzenden van informatie. In bepaalde omstandigheden moeten deze episoden zowel aan de toezichthoudende autoriteit als aan de betrokken personen worden gemeld.
Gegevensbescherming herinnert aan de beperkingen voor het MKB en zelfstandigen bij het gebruik van de gegevens van hun werknemers
Een ander blok dat Gegevensbescherming benadrukt vanwege zijn nut voor het MKB en zelfstandigen, is het blok dat gewijd is aan gegevensbescherming in de werkomgeving, gericht op veelvoorkomende situaties tussen bedrijven en werknemers die twijfel doen rijzen over hoe ver de controle over het bedrijf kan gaan.
Hier wordt dat herinnerd Het bestaan van een contract elimineert niet de privacyrechten van de werknemers, hoewel het wel bepaalde informatieverwerking mogelijk maakt wanneer dit noodzakelijk is voor de organisatie van het werk of om te voldoen aan wettelijke verplichtingen.
Met het oog hierop presenteert het Agentschap enkele praktijkvoorbeelden, waarin gedetailleerd wordt beschreven wanneer dit gebruik onder de arbeidswetgeving valt en wanneer het moet worden beperkt om de privacy van werknemers te respecteren. Van de gebruik van voor- en achternaam op identiteitskaarten tot de installatie van GPS-systemen in bedrijfsvoertuigenen zelfs als de werkgever dat kan het persoonlijke telefoonnummer of e-mailadres van de werknemer opvragen.
De AEPD biedt modellen aan zodat het MKB en zelfstandigen over een betrouwbare referentie beschikken
Naast het reorganiseren van de veelgestelde vragen, biedt de portal een reeks modellen en vormen die nuttig kunnen zijn in het dagelijks leven van zelfstandigen en kmo’s, zonder dat u documenten helemaal opnieuw hoeft te schrijven.
Dit is het geval voor de documenten voor verzoeken om inzage, correctie of verwijdering van gegevensde modellen van informatieve clausules die kunnen worden opgenomen in contracten, formulieren of pagina's webhet formaat van Register Behandelactiviteiten (RAT) en zelfs de verplicht bord voor beveiligingscamera's wanneer er videobewaking op het terrein aanwezig is.
Hoewel deze middelen nu beter toegankelijk zijn voor zelfstandigen, verduidelijkte Cabet dat het vaak de managers of adviseurs zijn die ze aan het bedrijf verstrekken, omdat “Het is niet gebruikelijk dat de zzp’er er zonder ondersteuning naar op zoek gaat.”
Deskundigen vragen om meer pedagogie zodat de norm ook bij de gemiddelde zzp’er terechtkomt
Vanuit juridisch oogpunt maakt dit soort initiatieven ook deel uit van de pedagogische rol van de controleautoriteiten. In de woorden van advocaat Jorge Cabet: “In een rechtsstaat is het belangrijk dat toezichthoudende instanties niet alleen sancties opleggen, maar ook uitleggen waarom de regel bestaat en hoe deze wordt toegepast, vooral in een regelgeving zo breed als de AVG.”
Hiervoor benadrukte de advocaat dat ““Er zou veel meer sectorspecifiek werk moeten komen, met voorbeelden aangepast aan elk type bedrijf.”
