1. İşleme faaliyetleri kaydı
GDPR Md. 30 uyarınca gerekli — küçük işletmeler için bile. Belgeleme: hangi veriler, amaç, hukuki dayanak, saklama süresi, alıcılar. Basit bir tablo yeterli. PlotonIQ bu genel bakışı otomatik olarak oluşturur.
2. Veri işleme sözleşmeleri (DPA)
Müşteri verilerinizi işleyen her bulut hizmeti ile gerekli: muhasebe yazılımı, e-posta araçları, barındırma, sektör yazılımı. PlotonIQ bir DPA sağlar. Diğer tüm sağlayıcılarınızdan bir tane talep edin.
3. Gizlilik politikası
Spesifik: hangi çerezler, hangi analitik, hangi üçüncü taraflar, veri sorumlusu iletişim bilgileri.
4. AB sunucuları
ABD sunucularındaki müşteri verileri Schrems II sonrası sorunlu. En güvenli: Alman sunucuları. PlotonIQ: Hetzner Falkenstein, ISO 27001 sertifikalı. Üçüncü ülke transferi yok.
5. Saklama süreleri
Vergi hukuku: faturalar için 10 yıl, ticari yazışmalar için 6 yıl. Saha fotoğrafları: proje + garanti süresi sonrası sil. İş başvurusu verileri: ret sonrası 6 ay.
6. Şifreleme
Transit: TLS 1.2+ (tercihen 1.3). Depolama: AES-256. Şifreler: bcrypt veya Argon2. API anahtarları: şifreli, asla düz metin.
7. Erişim kontrolü
Her montajcının tüm faturalara erişime ihtiyacı yok. Rol sistemi: Yönetici (her şey), Ofis (müşteriler, teklifler, faturalar), Montajcı (kendi işleri, zaman takibi).
8. Fotoğraflar sadece yönetilen uygulamalarda
Kişisel telefonlardaki saha fotoğrafları = yönetilmeyen cihazlarda müşteri verileri. Çözüm: PlotonIQ uygulamasında yakala — şifreli yükleme, cihazda asla saklanmaz.
9. WhatsApp'ı değiştir
WhatsApp meta verileri Meta ile paylaşır. Business API + DPA olmadan GDPR uyumlu değil. Onaylar için: dijital imza ve zaman damgası ile PlotonIQ müşteri portalı.
10. Coğrafi çitleme için etki değerlendirmesi
Montajcılar için GPS takibi GDPR Md. 35 uyarınca veri koruma etki değerlendirmesi gerektirir. Belgeleme: amaç, hukuki dayanak, güvenlik önlemleri. Çalışanlar bilgilendirilmeli.