GDPR для изготовителей вывесок: Что нужно знать до того, как придет письмо

GDPR звучит как проблема крупных компаний. Это не так. Общий регламент по защите данных применяется к каждому бизнесу, который обрабатывает персональные данные — а вы это делаете. Имена клиентов, адреса, электронная почта, номера телефонов, фотографии фасадов (иногда с видимыми людьми), данные счетов. Все это персональные данные.

Что требует GDPR

1. Запись деятельности по обработке

Вы должны документировать, какие данные обрабатываете, зачем, как долго и кто имеет доступ. Достаточно простой таблицы: «Данные клиентов — Выполнение заказа — 10 лет (обязательство хранения) — Владелец + Офис».

2. Соглашение об обработке данных (DPA)

С каждым облачным провайдером, который обрабатывает ваши данные, вам нужно DPA. Ваше программное обеспечение для ведения учета, инструмент электронной почты, хостинг веб-сайта и отраслевое программное обеспечение. PlotonIQ предоставляет DPA — запросите у других провайдеров.

3. Расположение серверов

Здесь становится критично. Если вы используете shopVOX (серверы в США), Trello (серверы в США) или Google Drive (глобально распределенные), данные ваших клиентов находятся в США. После решения Schrems II передача данных в США является юридически проблематичной.

Самое безопасное решение: европейские серверы. PlotonIQ работает на Hetzner в Фалькенштайне, Германия. Сертифицирован по ISO 27001. Никакой передачи данных в третьи страны.

4. Шифрование

Данные должны быть зашифрованы при передаче (TLS) и в покое (AES-256). Пароли должны быть хэшированы (bcrypt, не MD5). PlotonIQ: TLS 1.3, AES-256, bcrypt, JWT с ротацией refresh token.

5. Сроки хранения

Вы не можете хранить данные вечно. Налоговое законодательство: 10 лет для счетов, 6 лет для деловой переписки. После этого: удалить. Фотографии объектов: удалить после завершения проекта, если клиент не согласился на более длительное хранение.

6. Права субъектов данных

Ваш клиент имеет право на доступ, исправление, удаление и переносимость данных. Вы должны ответить в течение 30 дней.

Частые ошибки в вывесочных мастерских

WhatsApp для бизнеса: WhatsApp передает метаданные Meta. Номера телефонов клиентов передаются на серверы в США. Не соответствует GDPR без Business API и DPA. Альтернатива: клиентский портал PlotonIQ с цифровым утверждением и отметкой времени.

Фотографии на личных телефонах: Если ваш монтажник делает фотографии объекта на личном телефоне, данные клиентов находятся на неуправляемом устройстве. Решение: делать фотографии прямо в приложении PlotonIQ — зашифрованная загрузка, никогда не хранится на устройстве.

Нет документации отслеживания: Google Analytics, Facebook Pixel — каждый инструмент отслеживания требует согласия и документации. PlotonIQ: никакого Google Analytics, никаких пикселей отслеживания, никаких неосновных файлов cookie.

Чек-лист из 10 пунктов

1. Создать запись деятельности по обработке. 2. Подписать DPA со всеми облачными провайдерами. 3. Политика конфиденциальности на веб-сайте. 4. Серверы в ЕС. 5. Определить сроки хранения. 6. Проверить шифрование. 7. Контроль доступа (кто что видит). 8. Фотографии только в управляемых приложениях. 9. Заменить WhatsApp профессиональными инструментами. 10. Оценка воздействия для GPS-отслеживания/геозонирования.

Заключение

GDPR — это не ракетостроение. С правильным программным обеспечением большая часть автоматизирована: шифрование, расположение серверов, сроки хранения, контроль доступа. Самый большой рычаг: отказаться от американских инструментов и WhatsApp в пользу европейского отраслевого решения, где GDPR — это не функция, а стандарт.