1. Evidencija aktivnosti obrade
Potrebna prema čl. 30 GDPR-a — čak i za mala poduzeća. Dokumentirajte: koje podatke, svrhu, pravni temelj, rok čuvanja, primatelje. Dovoljna je jednostavna tablica. PlotonIQ automatski generira ovaj pregled.
2. Ugovori o obradi podataka (DPA)
Potrebni sa svakom cloud uslugom koja obrađuje vaše podatke o kupcima: računovodstveni softveri, alati za e-mail, hosting, industrijski softveri. PlotonIQ pruža DPA. Zatražite ga od svih ostalih pružatelja.
3. Izjava o privatnosti
Specifična: koji kolačići, koje analitike, koje treće strane, podaci za kontakt voditelja obrade.
4. EU serveri
Podaci kupaca na američkim serverima problematični su nakon Schrems II. Najsigurniji: njemački serveri. PlotonIQ: Hetzner Falkenstein, ISO 27001 certificiran. Nema prijenosa u treće zemlje.
5. Rokovi čuvanja
Porezni zakon: 10 godina za račune, 6 godina za poslovnu korespondenciju. Fotografije lokacije: brisanje nakon projekta + jamstveni period. Podaci kandidata za posao: 6 mjeseci nakon odbacivanja.
6. Šifriranje
Prijenos: TLS 1.2+ (poželjno 1.3). Pohrana: AES-256. Lozinke: bcrypt ili Argon2. API ključevi: šifrirani, nikad u običnom tekstu.
7. Kontrola pristupa
Svaki monter ne treba pristup svim računima. Sustav uloga: Administrator (sve), Ured (klijenti, ponude, računi), Monter (vlastiti poslovi, praćenje vremena).
8. Fotografije samo u upravljanim aplikacijama
Fotografije lokacije na osobnim telefonima = podaci kupaca na neupravljanim uređajima. Rješenje: snimanje u PlotonIQ aplikaciji — šifrirana prijenos, nikad pohranjena na uređaju.
9. Zamjena WhatsApp-a
WhatsApp dijeli metapodatke s Meta. Nije GDPR-sukladan bez Business API-ja + DPA. Za odobrenja: PlotonIQ portal za kupce s digitalnim potpisivanjem i vremenskom oznakom.
10. Procjena utjecaja za geofencing
GPS praćenje montera zahtijeva procjenu utjecaja na zaštitu podataka prema čl. 35 GDPR-a. Dokumentirajte: svrhu, pravni temelj, zaštitne mjere. Zaposlenici moraju biti obaviješteni.