GDPR za proizvođače znakova: Što trebate znati prije nego što stigne pismo

GDPR zvuči kao problem velikih tvrtki. Nije. Opća uredba o zaštiti podataka primjenjuje se na svaki posao koji obrađuje osobne podatke — a vi to radite. Imena kupaca, adrese, e-mailovi, telefonski brojevi, fotografije fasada (ponekad s vidljivim ljudima), podaci o računima. Sve su to osobni podaci.

Što GDPR zahtijeva

1. Evidencija aktivnosti obrade

Morate dokumentirati koje podatke obrađujete, zašto, koliko dugo i tko im ima pristup. Dovoljna je jednostavna tablica: "Podaci o kupcima — Ispunjavanje narudžbe — 10 godina (obveza čuvanja) — Vlasnik + Ured".

2. Ugovor o obradi podataka (DPA)

Sa svakim pružateljem usluga u oblaku koji obrađuje vaše podatke trebate DPA. Vaš računovodstveni softver, e-mail alat, web hosting i industrijski softver. PlotonIQ pruža DPA — zatražite od svojih drugih pružatelja usluga.

3. Lokacija poslužitelja

Ovdje postaje kritično. Ako koristite shopVOX (američki poslužitelji), Trello (američki poslužitelji) ili Google Drive (globalno distribuiran), vaši podaci o kupcima nalaze se u SAD-u. Od presude Schrems II, prijenosi podataka u SAD pravno su problematični.

Najsigurniji pristup: europski poslužitelji. PlotonIQ radi na Hetzneru u Falkensteinu, Njemačka. ISO 27001 certificiran. Nema prijenosa podataka u treće zemlje.

4. Enkripcija

Podaci moraju biti enkriptirani u prijenosu (TLS) i u mirovanju (AES-256). Lozinke moraju biti hashirane (bcrypt, ne MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT s rotacijom refresh tokena.

5. Rokovi čuvanja

Ne smijete čuvati podatke zauvijek. Porezno pravo: 10 godina za račune, 6 godina za poslovnu korespondenciju. Nakon toga: brisanje. Fotografije mjesta: brisanje nakon završetka projekta osim ako klijent ne pristane na duže čuvanje.

6. Prava ispitanika

Vaš kupac ima pravo na pristup, ispravak, brisanje i prenosivost podataka. Morate odgovoriti u roku od 30 dana.

Česte greške u trgovinama znakova

WhatsApp za posao: WhatsApp dijeli metapodatke s Meta. Telefonski brojevi kupaca prenose se na američke poslužitelje. Nije GDPR-kompatibilno bez Business API i DPA. Alternativa: PlotonIQ portal za kupce s digitalnim odobravanjem i vremenskim žigom.

Fotografije na osobnim telefonima: Ako vaš monterjer fotografira mjesto na svom privatnom telefonu, podaci o kupcu nalaze se na neupravljanom uređaju. Rješenje: fotografirajte izravno u PlotonIQ aplikaciji — enkripcija učitavanja, nikada se ne pohranjuje na uređaju.

Nema dokumentacije praćenja: Google Analytics, Facebook Pixel — svaki alat za praćenje treba pristanak i dokumentaciju. PlotonIQ: nema Google Analytics, nema praćenje piksela, nema nebitne kolačiće.

10-točkasta kontrolna lista

1. Stvorite evidenciju aktivnosti obrade. 2. Potpišite DPA sa svim pružateljima usluga u oblaku. 3. Pravila privatnosti na web stranici. 4. EU poslužitelji. 5. Definirajte rokove čuvanja. 6. Provjerite enkripciju. 7. Kontrola pristupa (tko vidi što). 8. Fotografije samo u upravljanim aplikacijama. 9. Zamijenite WhatsApp profesionalnim alatima. 10. Procjena utjecaja za GPS praćenje/geofencing.

Zaključak

GDPR nije raketna znanost. S ispravnim softverom, većina toga je automatska: enkripcija, lokacija poslužitelja, rokovi čuvanja, kontrola pristupa. Najveći utjecaj: daleko od američkih alata i WhatsApp-a, prema europskom industrijskom rješenju gdje GDPR nije značajka — to je standard.