RODO dla reklamiarzy: Co musisz wiedzieć, zanim nadejdzie pismo.

RODO brzmi jak problem dużych firm. Nie jest. Rozporządzenie o ochronie danych osobowych dotyczy każdej firmy, która przetwarza dane osobowe — a Ty to robisz. Imiona i nazwiska klientów, adresy, e-maile, numery telefonów, zdjęcia fasad (czasami z widocznymi ludźmi), dane na fakturach. Wszystko to dane osobowe.

Co wymaga RODO

1. Rejestr czynności przetwarzania

Musisz udokumentować, jakie dane przetwarzasz, dlaczego, jak długo i kto ma do nich dostęp. Wystarczy prosta tabela: "Dane klientów — Realizacja zamówień — 10 lat (obowiązek przechowywania) — Właściciel + Biuro".

2. Umowa powierzenia przetwarzania danych

Z każdym dostawcą usług w chmurze, który przetwarza Twoje dane, potrzebujesz umowy powierzenia. Twoje oprogramowanie księgowe, narzędzie e-mail, hosting strony internetowej i oprogramowanie branżowe. PlotonIQ zapewnia umowę powierzenia — zapytaj innych dostawców.

3. Lokalizacja serwerów

Tu robi się krytycznie. Jeśli używasz shopVOX (serwery w USA), Trello (serwery w USA) lub Google Drive (rozproszone globalnie), Twoje dane klientów znajdują się w USA. Od wyroku Schrems II transfery danych do USA są prawnie problematyczne.

Najbezpieczniejsze rozwiązanie: serwery europejskie. PlotonIQ działa na Hetzner w Falkenstein w Niemczech. Certyfikat ISO 27001. Brak transferu danych do krajów trzecich.

4. Szyfrowanie

Dane muszą być szyfrowane w trakcie transmisji (TLS) i w spoczynku (AES-256). Hasła muszą być haszowane (bcrypt, nie MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT z rotacją tokenów odświeżania.

5. Okresy przechowywania

Nie możesz przechowywać danych w nieskończoność. Prawo podatkowe: 10 lat dla faktur, 6 lat dla korespondencji biznesowej. Po tym czasie: usuń. Zdjęcia obiektów: usuń po zakończeniu projektu, chyba że klient wyrazi zgodę na dłuższe przechowywanie.

6. Prawa osób, których dane dotyczą

Twój klient ma prawo do dostępu, sprostowania, usunięcia i przenoszenia danych. Musisz odpowiedzieć w ciągu 30 dni.

Częste błędy w firmach reklamowych

WhatsApp do celów biznesowych: WhatsApp udostępnia metadane firmie Meta. Numery telefonów klientów są przekazywane na serwery w USA. Nie jest zgodne z RODO bez Business API i umowy powierzenia. Alternatywa: portal klienta PlotonIQ z cyfrowym zatwierdzaniem i znacznikiem czasu.

Zdjęcia na prywatnych telefonach: Jeśli Twój monter robi zdjęcia obiektów na prywatnym telefonie, dane klientów znajdują się na niezarządzanym urządzeniu. Rozwiązanie: rób zdjęcia bezpośrednio w aplikacji PlotonIQ — szyfrowane przesyłanie, nigdy nie przechowywane na urządzeniu.

Brak dokumentacji śledzenia: Google Analytics, Facebook Pixel — każde narzędzie śledzące wymaga zgody i dokumentacji. PlotonIQ: brak Google Analytics, brak pikseli śledzących, brak nieistotnych ciasteczek.

10-punktowa lista kontrolna

1. Utwórz rejestr czynności przetwarzania. 2. Podpisz umowy powierzenia ze wszystkimi dostawcami usług w chmurze. 3. Polityka prywatności na stronie internetowej. 4. Serwery UE. 5. Określ okresy przechowywania. 6. Sprawdź szyfrowanie. 7. Kontrola dostępu (kto co widzi). 8. Zdjęcia tylko w zarządzanych aplikacjach. 9. Zastąp WhatsApp profesjonalnymi narzędziami. 10. Ocena wpływu dla śledzenia GPS/geofencing.

Podsumowanie

RODO to nie fizyka jądrowa. Z odpowiednim oprogramowaniem większość jest automatyczna: szyfrowanie, lokalizacja serwerów, okresy przechowywania, kontrola dostępu. Największa dźwignia: odejście od narzędzi amerykańskich i WhatsApp, w kierunku europejskiego rozwiązania branżowego, gdzie RODO to nie funkcja — to standard.