GDPR reklámkészítőknek: Mit kell tudnod, mielőtt megérkezik a levél.

A GDPR nagy céges problémának hangzik. Nem az. Az általános adatvédelmi rendelet minden olyan vállalkozásra vonatkozik, amely személyes adatokat kezel — és te is ezt teszed. Ügyfélnevek, címek, e-mailek, telefonszámok, homlokzatok fényképei (néha látható személyekkel), számlázási adatok. Mind személyes adat.

Mit követel meg a GDPR

1. Adatkezelési tevékenységek nyilvántartása

Dokumentálnod kell, hogy milyen adatokat dolgozol fel, miért, meddig és kinek van hozzáférése. Egy egyszerű táblázat elegendő: "Ügyfél adatok — Megrendelés teljesítése — 10 év (megőrzési kötelezettség) — Tulajdonos + Iroda".

2. Adatfeldolgozási szerződés (DPA)

Minden felhőszolgáltatóval, amely az adataidat kezeli, DPA-ra van szükséged. A könyvelő szoftvered, e-mail eszközöd, weboldal tárhely és iparági szoftver. A PlotonIQ biztosít DPA-t — kérd el a többi szolgáltatódtól is.

3. Szerver helyszín

Itt válik kritikussá a helyzet. Ha shopVOX-ot (US szerverek), Trello-t (US szerverek) vagy Google Drive-ot (globálisan elosztott) használsz, az ügyfél adataid az Egyesült Államokban vannak. A Schrems II döntés óta az adatátvitel az USA-ba jogilag problémás.

Legbiztonságosabb megoldás: európai szerverek. A PlotonIQ Hetzner-en fut Falkenstein-ban, Németországban. ISO 27001 tanúsítvánnyal. Nincs adatátvitel harmadik országokba.

4. Titkosítás

Az adatokat titkosítani kell átvitel közben (TLS) és tárolásnál (AES-256). A jelszavakat hash-elni kell (bcrypt, nem MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT refresh token rotációval.

5. Megőrzési időszakok

Nem tárolhatsz adatokat örökre. Adójog: 10 év számlákra, 6 év üzleti levelezésre. Utána: törlés. Helyszíni fényképek: törlés a projekt befejezése után, kivéve ha az ügyfél beleegyezik a hosszabb tárolásba.

6. Érintetti jogok

Az ügyfélnek joga van a hozzáféréshez, helyesbítéshez, törléshez és adathordozhatósághoz. 30 napon belül válaszolnod kell.

Gyakori hibák reklámüzletekben

WhatsApp üzleti célra: A WhatsApp metaadatokat oszt meg a Meta-val. Az ügyfelek telefonszámai amerikai szerverekre kerülnek. Nem GDPR-kompatibilis Business API és DPA nélkül. Alternatíva: PlotonIQ ügyfélportál digitális jóváhagyással és időbélyegzővel.

Fényképek személyes telefonon: Ha a szerelőd helyszíni fényképeket készít a magántelefonján, az ügyfél adatok egy nem kezelt eszközön vannak. Megoldás: fényképek készítése közvetlenül a PlotonIQ alkalmazásban — titkosított feltöltés, soha nem tárolódik az eszközön.

Nincs követési dokumentáció: Google Analytics, Facebook Pixel — minden követőeszköznek beleegyezésre és dokumentációra van szüksége. PlotonIQ: nincs Google Analytics, nincsenek követő pixelek, nincsenek nem lényeges sütik.

10 pontos ellenőrzőlista

1. Adatkezelési tevékenységek nyilvántartásának létrehozása. 2. DPA aláírása minden felhőszolgáltatóval. 3. Adatvédelmi szabályzat a weboldalon. 4. EU szerverek. 5. Megőrzési időszakok meghatározása. 6. Titkosítás ellenőrzése. 7. Hozzáférés-vezérlés (ki mit lát). 8. Fényképek csak kezelt alkalmazásokban. 9. WhatsApp cseréje professzionális eszközökre. 10. Hatáselemzés GPS követésre/geofencing-re.

Következtetés

A GDPR nem rakétatudomány. A megfelelő szoftverrel a legtöbb automatikus: titkosítás, szerver helyszín, megőrzési időszakok, hozzáférés-vezérlés. A legnagyobb emelő: el az amerikai eszközöktől és WhatsApp-tól, egy európai iparági megoldás felé, ahol a GDPR nem egy funkció — hanem a szabvány.