GDPR pro výrobce reklam: Co potřebujete vědět, než dorazí dopis.

GDPR zní jako problém velkých společností. Není. Obecné nařízení o ochraně osobních údajů se vztahuje na každou firmu, která zpracovává osobní údaje — a vy je zpracováváte. Jména zákazníků, adresy, e-maily, telefonní čísla, fotografie fasád (někdy s viditelnými lidmi), fakturační údaje. Vše jsou osobní údaje.

Co GDPR vyžaduje

1. Záznam činností zpracování

Musíte dokumentovat, jaké údaje zpracováváte, proč, jak dlouho a kdo k nim má přístup. Stačí jednoduchá tabulka: "Zákaznická data — Vyřízení objednávky — 10 let (povinnost uchovávání) — Majitel + Kancelář".

2. Smlouva o zpracování údajů (DPA)

S každým poskytovatelem cloudu, který zpracovává vaše data, potřebujete DPA. Váš účetní software, e-mailový nástroj, webhosting a oborový software. PlotonIQ poskytuje DPA — zeptejte se ostatních poskytovatelů.

3. Umístění serveru

Zde to začíná být kritické. Pokud používáte shopVOX (servery v USA), Trello (servery v USA) nebo Google Drive (globálně distribuované), vaše zákaznická data jsou uložena v USA. Od rozhodnutí Schrems II jsou přenosy dat do USA právně problematické.

Nejbezpečnější řešení: evropské servery. PlotonIQ běží na Hetzner ve Falkensteinu v Německu. Certifikováno ISO 27001. Žádný přenos dat do třetích zemí.

4. Šifrování

Data musí být šifrována při přenosu (TLS) a v klidu (AES-256). Hesla musí být hash (bcrypt, ne MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT s rotací refresh tokenů.

5. Lhůty uchovávání

Nesmíte ukládat data navždy. Daňové právo: 10 let pro faktury, 6 let pro obchodní korespondenci. Poté: smazat. Fotografie staveništ: smazat po dokončení projektu, pokud klient nesouhlasí s delším uložením.

6. Práva subjektů údajů

Váš zákazník má právo na přístup, opravu, výmaz a přenositelnost údajů. Musíte odpovědět do 30 dnů.

Časté chyby v reklamních dílnách

WhatsApp pro podnikání: WhatsApp sdílí metadata s Meta. Telefonní čísla zákazníků se přenášejí na servery v USA. Není v souladu s GDPR bez Business API a DPA. Alternativa: zákaznický portál PlotonIQ s digitálním schválením a časovým razítkem.

Fotografie v osobních telefonech: Pokud váš instalatér pořizuje fotografie staveniště na soukromý telefon, zákaznická data jsou na nespravovaném zařízení. Řešení: fotografujte přímo v aplikaci PlotonIQ — šifrované nahrávání, nikdy neuloženo na zařízení.

Bez dokumentace sledování: Google Analytics, Facebook Pixel — každý nástroj pro sledování potřebuje souhlas a dokumentaci. PlotonIQ: žádný Google Analytics, žádné sledovací pixely, žádné nepodstatné cookies.

10bodový kontrolní seznam

1. Vytvořte záznam činností zpracování. 2. Podepište DPA se všemi poskytovateli cloudu. 3. Zásady ochrany soukromí na webových stránkách. 4. EU servery. 5. Definujte lhůty uchovávání. 6. Zkontrolujte šifrování. 7. Řízení přístupu (kdo co vidí). 8. Fotografie pouze ve spravovaných aplikacích. 9. Nahraďte WhatsApp profesionálními nástroji. 10. Posouzení dopadu pro GPS sledování/geofencing.

Závěr

GDPR není raketová věda. Se správným softwarem je většina automatická: šifrování, umístění serveru, lhůty uchovávání, řízení přístupu. Největší páka: pryč od amerických nástrojů a WhatsApp, směrem k evropskému oborovému řešení, kde GDPR není funkcí — je to standard.