1. سجل أنشطة المعالجة
مطلوب بموجب المادة 30 من GDPR — حتى للشركات الصغيرة. وثق: أي بيانات، الغرض، الأساس القانوني، فترة الاحتفاظ، المستلمين. جدول بسيط يكفي. PlotonIQ ينشئ هذه النظرة العامة تلقائياً.
2. اتفاقيات معالجة البيانات (DPA)
مطلوب مع كل خدمة سحابية تعالج بيانات عملائك: برامج المحاسبة، أدوات البريد الإلكتروني، الاستضافة، برامج الصناعة. PlotonIQ يوفر DPA. اطلب واحداً من جميع مقدمي الخدمات الآخرين.
3. سياسة الخصوصية
محددة: أي ملفات تعريف ارتباط، أي تحليلات، أي أطراف ثالثة، تفاصيل اتصال المتحكم.
4. خوادم الاتحاد الأوروبي
بيانات العملاء على الخوادم الأمريكية مشكلة بعد Schrems II. الأآمن: خوادم ألمانية. PlotonIQ: Hetzner Falkenstein، معتمد ISO 27001. لا نقل لدول ثالثة.
5. فترات الاحتفاظ
قانون الضرائب: 10 سنوات للفواتير، 6 سنوات للمراسلات التجارية. صور الموقع: حذف بعد المشروع + فترة الضمان. بيانات المتقدمين للوظائف: 6 أشهر بعد الرفض.
6. التشفير
النقل: TLS 1.2+ (ويفضل 1.3). التخزين: AES-256. كلمات المرور: bcrypt أو Argon2. مفاتيح API: مشفرة، أبداً نص عادي.
7. التحكم في الوصول
ليس كل مثبت يحتاج وصولاً لجميع الفواتير. نظام الأدوار: المشرف (كل شيء)، المكتب (العملاء، العروض، الفواتير)، المثبت (وظائفه الخاصة، تتبع الوقت).
8. الصور فقط في التطبيقات المدارة
صور الموقع على الهواتف الشخصية = بيانات العملاء على أجهزة غير مدارة. الحل: التقاط في تطبيق PlotonIQ — رفع مشفر، لا يُخزن أبداً على الجهاز.
9. استبدال WhatsApp
WhatsApp يشارك البيانات الوصفية مع Meta. غير متوافق مع GDPR بدون Business API + DPA. للموافقات: بوابة عملاء PlotonIQ مع توقيع رقمي وختم زمني.
10. تقييم التأثير للسياج الجغرافي
تتبع GPS للمثبتين يتطلب تقييم تأثير حماية البيانات بموجب المادة 35 من GDPR. وثق: الغرض، الأساس القانوني، الضمانات. يجب إعلام الموظفين.