10 puncte pe care magazinul tău trebuie să le îndeplinească. Majoritatea nu le îndeplinesc

1. Registrul activităților de prelucrare

Obligatoriu conform Art. 30 GDPR — chiar și pentru afacerile mici. Documentează: ce date, scopul, baza legală, perioada de păstrare, destinatarii. Un tabel simplu este suficient. PlotonIQ generează automat această prezentare generală.

2. Acorduri de prelucrare a datelor (DPA)

Obligatorii cu fiecare serviciu cloud care prelucrează datele clienților tăi: software de contabilitate, instrumente de email, hosting, software de industrie. PlotonIQ oferă un DPA. Solicită unul de la toți ceilalți furnizori.

3. Politica de confidențialitate

Specifică: ce cookie-uri, ce analize, ce terțe părți, detaliile de contact ale operatorului.

4. Servere UE

Datele clienților pe servere americane sunt problematice după Schrems II. Cel mai sigur: servere germane. PlotonIQ: Hetzner Falkenstein, certificat ISO 27001. Fără transferuri către țări terțe.

5. Perioade de păstrare

Legea fiscală: 10 ani pentru facturi, 6 ani pentru corespondența comercială. Fotografiile de pe șantier: ștergere după proiect + perioada de garanție. Datele candidaților: 6 luni după respingere.

6. Criptare

Transport: TLS 1.2+ (preferabil 1.3). Stocare: AES-256. Parole: bcrypt sau Argon2. Chei API: criptate, niciodată în text simplu.

7. Control de acces

Nu fiecare instalator trebuie să aibă acces la toate facturile. Sistem de roluri: Admin (totul), Birou (clienți, oferte, facturi), Instalator (lucrările proprii, înregistrarea timpului).

8. Fotografii doar în aplicații gestionate

Fotografiile de pe șantier pe telefoanele personale = datele clienților pe dispozitive negestionate. Soluția: capturare în aplicația PlotonIQ — încărcare criptată, niciodată stocate pe dispozitiv.

9. Înlocuiește WhatsApp

WhatsApp împarte metadatele cu Meta. Nu este conform GDPR fără Business API + DPA. Pentru aprobări: portalul clienților PlotonIQ cu aprobare digitală și marcaj temporal.

10. Evaluarea impactului pentru geofencing

Urmărirea GPS pentru instalatori necesită o evaluare a impactului asupra protecției datelor conform Art. 35 GDPR. Documentează: scopul, baza legală, măsurile de protecție. Angajații trebuie să fie informați.