1. Реестр деятельности по обработке данных
Требуется согласно ст. 30 GDPR — даже для малого бизнеса. Задокументируйте: какие данные, цель, правовое основание, срок хранения, получатели. Достаточно простой таблицы. PlotonIQ автоматически генерирует этот обзор.
2. Соглашения об обработке данных (DPA)
Требуется с каждым облачным сервисом, обрабатывающим ваши клиентские данные: бухгалтерское ПО, почтовые инструменты, хостинг, отраслевое ПО. PlotonIQ предоставляет DPA. Запросите его у всех ваших других провайдеров.
3. Политика конфиденциальности
Конкретно: какие cookies, какая аналитика, какие третьи стороны, контактные данные контролера.
4. EU серверы
Данные клиентов на американских серверах проблематичны после Schrems II. Безопаснее всего: немецкие серверы. PlotonIQ: Hetzner Falkenstein, сертифицирован ISO 27001. Никаких передач в третьи страны.
5. Сроки хранения
Налоговое право: 10 лет для счетов, 6 лет для деловой переписки. Фотографии объектов: удалить после проекта + гарантийный период. Данные соискателей: 6 месяцев после отказа.
6. Шифрование
Передача: TLS 1.2+ (предпочтительно 1.3). Хранение: AES-256. Пароли: bcrypt или Argon2. API ключи: зашифрованы, никогда открытым текстом.
7. Контроль доступа
Не каждому монтажнику нужен доступ ко всем счетам. Система ролей: Администратор (всё), Офис (клиенты, предложения, счета), Монтажник (собственные задачи, учёт времени).
8. Фотографии только в управляемых приложениях
Фотографии объектов на личных телефонах = данные клиентов на неуправляемых устройствах. Решение: съёмка в приложении PlotonIQ — зашифрованная загрузка, никогда не хранится на устройстве.
9. Заменить WhatsApp
WhatsApp делится метаданными с Meta. Не соответствует GDPR без Business API + DPA. Для согласований: клиентский портал PlotonIQ с цифровым подтверждением и временной меткой.
10. Оценка воздействия для геофенсинга
GPS отслеживание монтажников требует оценки воздействия на защиту данных согласно ст. 35 GDPR. Задокументируйте: цель, правовое основание, меры защиты. Сотрудники должны быть проинформированы.