10 punktów, które musi spełniać Twój sklep. Większość tego nie robi

1. Rejestr czynności przetwarzania

Wymagany zgodnie z art. 30 RODO — nawet dla małych przedsiębiorstw. Udokumentuj: jakie dane, cel, podstawa prawna, okres przechowywania, odbiorcy. Wystarczy prosta tabela. PlotonIQ generuje to zestawienie automatycznie.

2. Umowy powierzenia przetwarzania danych (UPP)

Wymagane z każdą usługą w chmurze przetwarzającą dane Twoich klientów: oprogramowanie księgowe, narzędzia e-mail, hosting, oprogramowanie branżowe. PlotonIQ zapewnia UPP. Poproś o taką umowę wszystkich innych dostawców.

3. Polityka prywatności

Konkretna: jakie pliki cookie, jakie narzędzia analityczne, jakie strony trzecie, dane kontaktowe administratora.

4. Serwery UE

Dane klientów na serwerach amerykańskich są problematyczne po Schrems II. Najbezpieczniejsze: serwery niemieckie. PlotonIQ: Hetzner Falkenstein, certyfikat ISO 27001. Brak transferów do państw trzecich.

5. Okresy przechowywania

Prawo podatkowe: 10 lat dla faktur, 6 lat dla korespondencji biznesowej. Zdjęcia z placu budowy: usunąć po projekcie + okres gwarancji. Dane kandydatów do pracy: 6 miesięcy po odrzuceniu.

6. Szyfrowanie

Transmisja: TLS 1.2+ (najlepiej 1.3). Przechowywanie: AES-256. Hasła: bcrypt lub Argon2. Klucze API: zaszyfrowane, nigdy w postaci jawnej.

7. Kontrola dostępu

Nie każdy monter potrzebuje dostępu do wszystkich faktur. System ról: Administrator (wszystko), Biuro (klienci, oferty, faktury), Monter (własne zlecenia, ewidencja czasu pracy).

8. Zdjęcia tylko w zarządzanych aplikacjach

Zdjęcia z placu budowy na prywatnych telefonach = dane klientów na niezarządzanych urządzeniach. Rozwiązanie: robienie zdjęć w aplikacji PlotonIQ — zaszyfrowane przesyłanie, nigdy nie przechowywane na urządzeniu.

9. Zamień WhatsApp

WhatsApp udostępnia metadane firmie Meta. Nie jest zgodne z RODO bez Business API + UPP. Do zatwierdzeń: portal klienta PlotonIQ z cyfrowym podpisem i znacznikiem czasu.

10. Ocena skutków dla geofencing

Śledzenie GPS monterów wymaga oceny skutków dla ochrony danych zgodnie z art. 35 RODO. Udokumentuj: cel, podstawa prawna, zabezpieczenia. Pracownicy muszą być poinformowani.