1. Rejstřík činností zpracování
Vyžadováno podle čl. 30 GDPR — i pro malé podniky. Dokumentujte: jaká data, účel, právní základ, doba uchovávání, příjemci. Postačuje jednoduchá tabulka. PlotonIQ tento přehled generuje automaticky.
2. Smlouvy o zpracování údajů (DPA)
Vyžadováno u každé cloudové služby zpracovávající data vašich zákazníků: účetní software, e-mailové nástroje, hosting, odvětvový software. PlotonIQ poskytuje DPA. Vyžádejte si ji od všech ostatních poskytovatelů.
3. Prohlášení o ochraně soukromí
Konkrétní: které cookies, které analýzy, kteří třetí straně, kontaktní údaje správce.
4. EU servery
Zákaznická data na amerických serverech jsou po Schrems II problematická. Nejbezpečnější: německé servery. PlotonIQ: Hetzner Falkenstein, certifikováno ISO 27001. Žádné přenosy do třetích zemí.
5. Lhůty uchovávání
Daňové právo: 10 let pro faktury, 6 let pro obchodní korespondenci. Fotografie z místa: smazat po projektu + záruční doba. Data uchazečů o práci: 6 měsíců po odmítnutí.
6. Šifrování
Přenos: TLS 1.2+ (nejlépe 1.3). Úložiště: AES-256. Hesla: bcrypt nebo Argon2. API klíče: šifrované, nikdy ve čitelném textu.
7. Kontrola přístupu
Ne každý instalatér potřebuje přístup ke všem fakturám. Systém rolí: Administrátor (vše), Kancelář (klienti, nabídky, faktury), Instalatér (vlastní práce, sledování času).
8. Fotografie pouze ve spravovaných aplikacích
Fotografie z místa na osobních telefonech = zákaznická data na nespravovaných zařízeních. Řešení: pořizování v aplikaci PlotonIQ — šifrované nahrávání, nikdy neuložené na zařízení.
9. Nahradit WhatsApp
WhatsApp sdílí metadata s Meta. Není v souladu s GDPR bez Business API + DPA. Pro schválení: zákaznický portál PlotonIQ s digitálním podpisem a časovým razítkem.
10. Posouzení dopadů pro geofencing
GPS sledování pro instalatéry vyžaduje posouzení dopadu na ochranu údajů podle čl. 35 GDPR. Dokumentujte: účel, právní základ, záruky. Zaměstnanci musí být informováni.