GDPR pentru producătorii de reclame: Ce trebuie să știi înainte să sosească scrisoarea.

GDPR sună ca o problemă a companiilor mari. Nu este. Regulamentul General privind Protecția Datelor se aplică fiecărei afaceri care procesează date cu caracter personal — și tu faci asta. Numele clienților, adresele, email-urile, numerele de telefon, fotografiile fațadelor (uneori cu persoane vizibile), datele facturilor. Toate sunt date cu caracter personal.

Ce cere GDPR

1. Registrul activităților de procesare

Trebuie să documentezi ce date procesezi, de ce, cât timp și cine are acces. Un tabel simplu este suficient: "Date clienți — Îndeplinirea comenzilor — 10 ani (obligația de păstrare) — Proprietar + Birou".

2. Acordul de procesare a datelor (DPA)

Cu fiecare furnizor de cloud care procesează datele tale, ai nevoie de un DPA. Software-ul de contabilitate, instrumentul de email, găzduirea site-ului web și software-ul din industrie. PlotonIQ oferă un DPA — întreabă-i și pe ceilalți furnizori.

3. Locația serverului

Aici devine critic. Dacă folosești shopVOX (servere US), Trello (servere US) sau Google Drive (distribuit global), datele clienților tăi stau în SUA. Din cauza hotărârii Schrems II, transferurile de date către SUA sunt problematice din punct de vedere legal.

Soluția cea mai sigură: servere europene. PlotonIQ rulează pe Hetzner în Falkenstein, Germania. Certificat ISO 27001. Niciun transfer de date către țări terțe.

4. Criptarea

Datele trebuie criptate în tranzit (TLS) și în repaus (AES-256). Parolele trebuie să fie hash-uite (bcrypt, nu MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT cu rotația token-ului de reîmprospătare.

5. Perioadele de păstrare

Nu poți stoca datele pentru totdeauna. Legea fiscală: 10 ani pentru facturi, 6 ani pentru corespondența de afaceri. După aceea: șterge. Fotografiile de șantier: șterge după finalizarea proiectului, cu excepția cazului în care clientul consimte la o stocare mai lungă.

6. Drepturile persoanelor vizate

Clientul tău are dreptul la acces, rectificare, ștergere și portabilitatea datelor. Trebuie să răspunzi în 30 de zile.

Greșeli comune în magazinele de reclame

WhatsApp pentru afaceri: WhatsApp împarte metadatele cu Meta. Numerele de telefon ale clienților sunt transferate pe servere din SUA. Nu este conform GDPR fără Business API și DPA. Alternativă: portalul pentru clienți PlotonIQ cu aprobare digitală și timestamp.

Fotografii pe telefoanele personale: Dacă instalatorul tău face fotografii de șantier pe telefonul privat, datele clienților stau pe un dispozitiv neadministrat. Soluție: fă fotografii direct în aplicația PlotonIQ — încărcare criptată, niciodată stocat pe dispozitiv.

Nicio documentație de urmărire: Google Analytics, Facebook Pixel — fiecare instrument de urmărire necesită consimțământ și documentație. PlotonIQ: fără Google Analytics, fără pixeli de urmărire, fără cookie-uri neesențiale.

Lista de verificare în 10 puncte

1. Creează registrul activităților de procesare. 2. Semnează DPA-uri cu toți furnizorii de cloud. 3. Politica de confidențialitate pe site. 4. Servere EU. 5. Definește perioadele de păstrare. 6. Verifică criptarea. 7. Controale de acces (cine vede ce). 8. Fotografii doar în aplicații administrate. 9. Înlocuiește WhatsApp cu instrumente profesionale. 10. Evaluarea impactului pentru urmărirea GPS/geofencing.

Concluzie

GDPR nu este știință de rachetă. Cu software-ul potrivit, majoritatea este automată: criptarea, locația serverului, perioadele de păstrare, controalele de acces. Cea mai mare pârghie: departe de instrumentele din SUA și WhatsApp, către o soluție europeană din industrie unde GDPR nu este o funcționalitate — este standardul.