Основы GDPR для малого бизнеса начинаются с простой мысли: небольшой размер компании не отменяет правила, он лишь влияет на глубину документации. Если компания собирает лиды, ведет payroll, принимает заявки с сайта или хранит клиентские email, она уже обрабатывает персональные данные. Это прямо следует из официального текста GDPR и SME guide Европейского совета по защите данных.
Поэтому тема не относится только к корпорациям. Малой компании тоже нужны правовое основание, понятные privacy notice, контроль над поставщиками, разумная безопасность и рабочий путь на случай запроса субъекта данных или утечки. Здесь полезны и услуги Corpenza по аудиту и compliance, и более широкий гайд по audit, compliance и AML, и материал о том, как пройти первый аудит компании.
Действительно ли GDPR касается небольшой компании?
Да. GDPR применяется к малой компании всякий раз, когда она обрабатывает персональные данные. Масштаб бизнеса может влиять на то, какие записи или роли обязательны, но не отменяет базовые обязанности: обрабатывать данные законно, объяснять людям, что вы делаете с их данными, защищать их и уважать их права.
Проще всего смотреть на это через операцию. Если у компании есть файлы сотрудников, CRM-контакты, подписчики рассылки, контакты поставщиков или лиды из веб-форм, разговор о GDPR уже начался. Бизнес-раздел Your Europe простыми словами объясняет разницу между controller и processor: controller решает, зачем и как обрабатываются данные, processor делает это от его имени.
Эта разница быстро становится важной. Приложение для payroll, email-платформа, облачное хранилище, маркетинговый инструмент и внешний HR-провайдер обычно находятся в этой цепочке.
На какое правовое основание должен опираться малый бизнес?
Малой компании не стоит искать один универсальный ярлык для всего. Статья 6 GDPR говорит, что обработка законна только тогда, когда для нее есть хотя бы одно предусмотренное основание: согласие, договор, юридическая обязанность, жизненно важные интересы, публичная задача или законный интерес. На практике почти всегда используется смесь оснований.
Кадровые данные часто опираются на договор и юридическую обязанность. Коммерческие договоры и onboarding-документы обычно живут в договорной логике. Маркетинговые email могут строиться на согласии или, в ряде ситуаций, на законном интересе. Типичная ошибка, вставить одну и ту же фразу во все формы и считать, что она покрывает весь бизнес.
Сделайте короткую карту данных. Для каждого процесса отметьте категорию данных, цель, правовое основание, срок хранения, получателей и систему хранения. Этот лист потом экономит много времени.
Какие документы и контроли нужны с первого дня?
Малому бизнесу не нужен огромный compliance-том уже в первый день. Нужен рабочий минимум: privacy notice, договорный контроль с поставщиками, которые обрабатывают персональные данные, логика хранения, внутренний поток для запросов и утечек, а также записи, достаточные для объяснения реальной практики компании.
| Контроль | Зачем нужен | Типичная ошибка |
|---|---|---|
| Privacy notice | Объясняет, какие данные собираются, зачем и на какой срок. | Использовать шаблон, который не совпадает с реальными системами компании. |
| Договоры с поставщиками | Формализуют отношения с processors в payroll, CRM, email и cloud. | Подключать инструмент, не проверив условия обработки данных. |
| Правила хранения | Не дают компании хранить все бесконечно. | Оставлять старые данные кандидатов, лидов или неактивных клиентов в рабочих системах. |
| Поток запросов | Не дает потеряться запросам на доступ, исправление и удаление. | Оставлять запрос в общем inbox без владельца. |
| План утечки | Позволяет быстро оценить риск и действовать, если данные раскрыты. | Понять, что внутреннего маршрута нет, уже после инцидента. |
Your Europe отдельно говорит, что компания должна уметь доказать соответствие GDPR. Это accountability на обычном языке бизнеса. Если регулятор, банк, инвестор или покупатель в due diligence спрашивает о процессе, ответ “мы думали, что все в порядке” процессом не считается.
Нужны ли записи обработки и DPO, если в компании меньше 250 человек?
Иногда нужны. GDPR действительно дает более узкое правило для небольших организаций, но статья 30(5) не создает полной льготы. Послабление исчезает, если обработка рискованна, не является случайной или затрагивает специальные категории данных либо данные о преступлениях. Для многих основателей это более широкое исключение, чем они ожидают.
Поэтому маленький работодатель все равно может нуждаться в структурированных записях обработки, потому что HR-данные непрерывны, а не эпизодичны. Health-tech стартап может с самого начала работать со специальными категориями данных. E-commerce, который профилирует пользователей в заметном масштабе, тоже может попасть в более строгую зону.
Data Protection Officer тоже не возникает автоматически. Статья 37 говорит о регулярном и систематическом мониторинге в большом масштабе или о крупномасштабной обработке специальных категорий и данных о правонарушениях. Многим малым компаниям формальный DPO не нужен. Некоторым нужен точно. Вопрос не только в headcount, а в том, что бизнес реально делает с данными каждый день.
Что делать при утечке или запросе от клиента?
Малой компании нужен маршрут реагирования до того, как наступит плохой день. GDPR ожидает уведомления надзорного органа без неоправданной задержки и, если это возможно, в течение 72 часов с момента осознания инцидента, если утечка может создать риск для прав и свобод людей. Эти часы проходят быстро.
То же касается прав субъектов данных. Your Europe пишет, что запросы нужно обрабатывать без неоправданной задержки и в любом случае в течение одного месяца, с возможным продлением на два месяца для сложных или множественных запросов, если человека уведомили об этом. Операционный вывод прост: назначьте владельца, зафиксируйте срок и храните доказательства ответа.
Малые компании проваливаются здесь не потому, что закон туманен. Обычно никто не владеет inbox, список поставщиков устарел, а факты инцидента разбросаны по Slack, email и телефону основателя.
Какой реальный риск и какие санкции по GDPR для малого бизнеса?
Максимальные санкции реальны, хотя итог в конкретном деле зависит от контекста. Статья 83 GDPR допускает для ряда нарушений штрафы до 20 миллионов евро или до 4% мирового годового оборота, смотря что выше. Малому бизнесу стоит читать это как предупреждение по governance, а не как пугающую строчку, которую можно проигнорировать.
На практике цена плохих GDPR-привычек часто приходит раньше максимального штрафа. Задержки в продажах из-за security questionnaires. Вопросы от банков и инвесторов. Неровные выходы сотрудников. Часы на cleanup. Для небольшой компании это уже ощутимый убыток задолго до визита регулятора.
Начните на этой неделе с базы: перечислите потоки данных, назначьте правовые основания, пересмотрите договоры с поставщиками, сократите сроки хранения и напишите поток действий при утечке и запросе, который один коллега сможет выполнить под давлением. Потом пересмотрите его снова, когда бизнес добавит новый инструмент, рынок или канал найма.
FAQ: основы GDPR для малого бизнеса
Попадает ли под GDPR стартап из двух человек?
Да. GDPR смотрит на факт обработки, а не только на размер команды. Если стартап собирает лиды, выставляет счета, нанимает людей или анализирует поведение пользователей из ЕС, он уже обрабатывает персональные данные.
Является ли согласие главной базой для любого малого бизнеса?
Нет. Согласие лишь одна из возможных баз. Многие рутинные операции опираются на договор или юридическую обязанность. Использование согласия там, где лучше подходит другая база, создает лишние риски.
Всегда ли нужен реестр по статье 30?
Не всегда, но многим небольшим компаниям все равно полезно его вести. У правила “меньше 250 человек” есть исключения, и короткая практическая запись обработки очень помогает во внутреннем и внешнем контроле.
Нужен ли DPO перед инвестиционным раундом?
Сам по себе фандрайзинг не включает обязанность по DPO. Тест в другом: является ли основной деятельностью крупномасштабный мониторинг или крупномасштабная обработка специальных категорий либо данных о правонарушениях.
Какое первое исправление дает самый быстрый эффект?
Сделайте карту данных и список поставщиков. Эти два документа быстрее всего показывают сомнительные основания, размытые сроки хранения, слабые договоры и забытые системы.
Это общая информация, а не юридическая или налоговая консультация. Правила меняются и зависят от конкретной ситуации.
Если компания обрабатывает данные клиентов, сотрудников или лидов из ЕС и вам нужна рабочая схема вместо формального шаблона, Corpenza может помочь через аудит и compliance-поддержку и точечный разбор через контактную форму.
