小公司理解 GDPR,先要接受一个现实:公司规模小,并不会让规则消失,只会影响你需要保留多少文档。如果公司在收集 leads、处理薪资、接收网站表单,或者保存客户邮箱,就已经在处理个人数据。这个结论可以直接从 GDPR 官方文本 和欧洲数据保护委员会的 中小企业指南 读出来。
所以这不是大集团才需要关心的话题。小公司同样需要明确的合法依据、清晰的隐私说明、对供应商的控制、可执行的安全措施,以及一条在请求或泄露发生时真的能跑起来的处理路径。Corpenza 的审计与合规服务、更完整的国际公司审计、合规与反洗钱指南,以及首次公司审计准备文章,都属于同一个运营框架。
GDPR 真的适用于小公司吗?
适用。只要小公司在处理个人数据,GDPR 就已经开始生效。企业规模可能影响某些记录或岗位是否强制,但不会取消几个核心义务:合法处理数据、向个人说明用途、保护数据安全,并尊重数据主体权利。
从运营角度看会更清楚。如果公司保存员工档案、CRM 联系人、邮件订阅者、供应商联系人,或者网站表单 leads,就已经进入 GDPR 语境。Your Europe 企业页面 用很直白的方式解释了 controller 和 processor 的区别:controller 决定为什么、怎样处理数据,processor 则代表 controller 执行处理。
这个区别很快就会变得重要。薪资工具、邮件平台、云存储、营销工具和外包 HR 服务商,通常都在这条链路里。
小公司应该依赖什么合法依据?
小公司不应该给所有处理活动套用同一条理由。GDPR 第 6 条要求,每一项处理都必须至少建立在一种合法依据上,例如同意、合同、法定义务、重大利益、公共任务或合法利益。现实里,大多数小公司都会同时使用多种依据。
实际操作中,员工资料常常与合同和法定义务相关。销售合同与 onboarding 文件通常落在合同基础上。营销邮件可能依赖同意,也可能在某些场景下依赖合法利益。最常见的错误,是把同一句话复制到所有表单里,然后以为整个公司都被覆盖了。
先做一张简短的数据地图。对每个流程写清数据类别、处理目的、合法依据、保存期限、接收方和存储系统。这样的小文档,后面会替你省掉很多时间。
从第一天起需要哪些文件和控制?
小公司第一天不需要厚厚一整套 compliance 手册,但需要一套能工作的最小配置:隐私说明、与处理个人数据的供应商之间的合同控制、保存规则、内部请求与泄露流程,以及足以解释公司真实做法的记录。
| 控制项 | 为什么重要 | 小公司常见失误 |
|---|---|---|
| 隐私说明 | 说明公司收集什么数据、为什么收集、保存多久。 | 直接套用与真实系统不一致的模板。 |
| 供应商合同 | 规范 payroll、CRM、邮件和云工具中的 processor 关系。 | 工具已经上线,却没有先看数据处理条款。 |
| 保存规则 | 避免公司把所有数据无限期保留。 | 把旧候选人、旧 leads 或不活跃客户数据长期留在生产系统里。 |
| 请求流程 | 避免访问、更正、删除请求在内部丢失。 | 把请求放进共享邮箱,却没有明确负责人。 |
| 泄露预案 | 一旦发生暴露,团队可以迅速评估风险并采取行动。 | 出事后才发现根本没有内部路径。 |
Your Europe 还特别提醒,公司必须能够证明自己确实按照 GDPR 行事。这就是 accountability 用商业语言表达后的意思。如果监管机构、银行、投资人或尽调团队问起流程,“我们以为应该没问题” 并不算流程。
不到 250 人的公司还需要处理记录或 DPO 吗?
有时需要。GDPR 确实给小型组织留了一条较窄的记录规则,但第 30(5) 条并没有给出完整豁免。如果处理活动具有风险、并非偶发,或者涉及特殊类别数据或刑事数据,这个放宽就会失效。很多创始人低估了这个例外的范围。
所以,小型雇主仍然可能需要结构化的处理记录,因为 HR 数据是持续性的,不是偶发性的。health-tech 初创公司可能从第一天就接触特殊类别数据。大规模进行用户画像的电商公司,也可能进入更严格的预期区域。
Data Protection Officer 也不是自动产生的。第 37 条关注的是大规模、持续且系统性的监控,或者大规模处理特殊类别数据和刑事数据。很多小公司不需要正式 DPO。有些则明确需要。关键问题不是 headcount,而是公司每天到底怎样使用数据。
如果发生数据泄露或客户请求,会怎样?
小公司必须在压力来临前先把响应路径搭好。GDPR 要求,如果数据泄露可能对个人权利与自由造成风险,企业应在无不当延误的情况下,并在可行时自知悉起 72 小时内通知监管机构。这个时间窗口过得很快。
个人权利请求也是一样。Your Europe 说明,企业应当在无不当延误的情况下,并且最迟在一个月内答复;如果请求复杂或数量多,可延长两个月,但必须通知当事人。运营层面的结论很直接:指定负责人、记录截止时间、保留答复证据。
很多小公司在这里出问题,并不是因为法律太抽象,而是 because nobody owns the inbox,供应商名单已经过时,事故事实散落在 Slack、邮件和创始人的手机里。这本质上是运营失误。
对小公司来说,真正的 GDPR 风险和处罚是什么?
最高处罚不是摆设,虽然具体结果仍然取决于案件背景。GDPR 第 83 条允许对某些违规行为处以最高 2000 万欧元,或全球年度营业额 4% 的行政罚款,以较高者为准。小公司应该把这看成治理警报,而不是一句吓人的口号。
在现实里,糟糕的数据保护习惯往往在最高罚款出现之前,就先带来运营成本。销售流程被安全问卷拖慢。银行和投资人在尽调里追问。员工离职处理混乱。团队花大量时间 cleanup。对小公司来说,这些已经很贵了。
本周就先做基础动作:列出数据流,分配合法依据,复核供应商合同,收紧保存期限,并写出一条在高压下一个同事就能执行的数据泄露与请求处理路径。等公司新增工具、市场或招聘渠道后,再把它复查一遍。
FAQ:小公司 GDPR 基础
两个人的 startup 也会落入 GDPR 吗?
会。GDPR 看的是处理活动,不只是团队人数。只要 startup 在收集 leads、开票、雇人,或者分析欧盟用户行为,就已经在处理个人数据。
同意是不是所有小公司的主要合法依据?
不是。同意只是多种依据之一。很多日常处理更适合建立在合同或法定义务上。如果本该用别的依据,却全部写成同意,后面反而更麻烦。
第 30 条记录是不是一定要做?
不一定强制,但很多小公司仍然应该做。少于 250 人的规则有例外,而一份简洁的处理记录,对内控和外部审查都非常有帮助。
融资前一定要设 DPO 吗?
融资本身不会触发 DPO。真正的测试,是公司的核心活动是否涉及大规模监控,或大规模处理特殊类别数据与刑事数据。
最快的第一步修复是什么?
先做一张数据地图,再做一份供应商清单。这两份文件最容易暴露出合法依据缺口、保存期限模糊、合同薄弱和被遗忘的系统。
本文仅供一般信息参考,不构成法律或税务意见。规则会变化,也必须结合具体情况判断。
如果贵公司正在处理欧盟客户、员工或 leads 数据,且需要一套可执行的结构,而不是通用模板,Corpenza 可以通过审计与合规服务以及联系入口提供范围明确的协助。
