1. Adatkezelési tevékenységek nyilvántartása
A GDPR 30. cikke alapján kötelező — még kis vállalkozások számára is. Dokumentáld: milyen adatok, cél, jogalap, megőrzési időtartam, címzettek. Egy egyszerű táblázat is elegendő. A PlotonIQ automatikusan generálja ezt az áttekintést.
2. Adatfeldolgozási megállapodások (DPA)
Kötelező minden olyan felhőszolgáltatással, amely az ügyféladatait dolgozza fel: könyvelőszoftver, email eszközök, hosting, iparági szoftverek. A PlotonIQ DPA-t biztosít. Kérj egyet minden más szolgáltatótól is.
3. Adatvédelmi nyilatkozat
Konkrét: milyen cookie-k, milyen analitika, milyen harmadik felek, adatkezelő elérhetőségei.
4. EU szerverek
Az ügyféladatok US szervereken problémásak a Schrems II után. Legbiztonságosabb: német szerverek. PlotonIQ: Hetzner Falkenstein, ISO 27001 tanúsítvánnyal. Nincsenek harmadik országba irányuló adatátvitelek.
5. Megőrzési időtartamok
Adójog: 10 év számláknál, 6 év üzleti levelezésnél. Helyszíni fényképek: törlés projekt + garancia időtartam után. Állásjelölt adatok: 6 hónap elutasítás után.
6. Titkosítás
Átvitel: TLS 1.2+ (előnyösen 1.3). Tárolás: AES-256. Jelszavak: bcrypt vagy Argon2. API kulcsok: titkosítva, soha egyszerű szövegben.
7. Hozzáférés-vezérlés
Nem minden szerelőnek kell hozzáférnie minden számlához. Szerepkörrendszer: Admin (minden), Iroda (ügyfelek, ajánlatok, számlák), Szerelő (saját munkák, időkövetés).
8. Fényképek csak felügyelt alkalmazásokban
Helyszíni fényképek személyes telefonokon = ügyféladatok nem felügyelt eszközökön. Megoldás: rögzítés PlotonIQ alkalmazásban — titkosított feltöltés, soha nincs tárolva az eszközön.
9. WhatsApp helyettesítése
A WhatsApp metaadatokat oszt meg a Meta-val. Nem GDPR-kompatibilis Business API + DPA nélkül. Jóváhagyásokhoz: PlotonIQ ügyfélportál digitális aláírással és időbélyeggel.
10. Hatásbecslés geofencing esetén
A szerelők GPS nyomkövetése adatvédelmi hatásbecslést igényel a GDPR 35. cikke alapján. Dokumentáld: cél, jogalap, biztosítékok. Az alkalmazottakat tájékoztatni kell.