Gambaran Umum

Hukum privasi baru dan praktek terbaik dengan Odoo

Semenjak 25 Mei, 2018, General Data Protection Regulation (GDPR) mulai berlangsung, membuka era baru perlindungan data dan privasi untuk semua orang. Walau Anda tentu sudah mendengar dan membaca banyak informasi mengenai GDPR, memahami secara tepat apa artinya GDPR untuk bisnis Anda bisa jadi susah, terutama dalam hal-hal praktis, dan apa yang harus Anda lakukan agar patuh dengan peraturan-peraturan baru.

Di Odoo, kami berkomitmen untuk mengikuti praktek terbaik dalam hal keamanan dan privasi. Kami berusaha untuk menyediakan tingkat perlindungan yang sama ke semua user dan pelanggan, tanpa perbedaan berdasarkan lokasi atau kewarganegaraan. Dan kami menerapkan praktek terbaik tersebut untuk semua data, bukan hanya data pribadi.

Agar Odoo SA dan anak perusahannya patuh dengan GDPR.

Apa yang perlu Anda ketahui mengenai GDPR

Hint
Jika Anda bisa, cara terbaik untuk memahami GDPR adalah dengan Lihat teks Resmi.
Cukup panjang (99 artikel dalam 88 halaman), tapi masih dapat di baca oleh orang awam.

Adalah Regulasi, yang bertujuan untuk menyelaraskan dan membuat modern legislasi privasi saat ini, seperti Arahan Data Privasi UE yang regulasi ini ganti. Regulasi ini menetapkan peraturan untuk perlindungan manusia mengenai pemrosesan data pribadi mereka, dan cara data mengalir bebas di dalam Eropa.

Adalah Regulasi, bukan Arahan, oleh karena itu diterapkan langsung pada semua anggota bagian UE, tanpa membutuhkan transposisi ke hukum domestik di setiap negara. Negara-negara UE memiliki margin interpretasi yang terbatas untuk poin-poin yang lebih penting, tapi peraturan yang fundamental akan sama untuk semua orang, di mana pun juga di UE.

GDPR juga membawa legislasi ke milenium berikutnya, sambil mempertimbangkan akun media sosial, cloud computing, kejahatan cyber dan tantangan-tantangan utama yang akan mereka sebabkan mengenai privasi dan keamanan data pribadi.

Singkatnya: Jangan panik!

GDPR bukan merupakan legislasi baru yang memecah belah, dan secara dasar merupakan hal yang bagus untuk warga negara dan bisnis.

Ini Positif!

Kami ingin menekankan bahwa GDPR dapat berguna bagi Anda dan pelanggan Anda. Mematuhi GDPR mungkin awalnya berarti banyak pekerjaan, tapi terdapat keuntungan dari peraturan-peraturan baru:

  • Peningkatan rasa percaya dari pelanggan dan user Anda
  • Penyederhanaan: peraturan yang sama akan diterapkan di semua negara di seluruh UE
  • Rasionalisasi dan sentralisasi proses-proses organisasi Anda

Tujuan dari GDPR adalah untuk memberikan individual lebih banyak kekuatan pengawasan untuk data pribadi mereka. Bila perusahaan Anda menggunakan strategi dan sistem yang benar, data pribadi Anda akan lebih mudah dikelola, lebih terjamin dan aman untuk tahun-tahun mendatang.

Apa risiko-risiko bila Anda tidak mematuhi GDPR?

Denda maksimal untuk ketidakpatuhan adalah denda administratif 20 juta euro, atau 4% dari omset tahunan global Anda, manapun yang lebih besar. Jumlah maksimal lebih kecil adalah 10 juta euro atau 2% dari omset tahunan global Anda akan diberlakukan untuk pelanggaran lebih kecil.

Denda maksimal tersebut dimaksudkan untuk membantu mencegah pelanggaran dari bisnis berukuran apapun, namun GDPR juga harus memastikan denda tetap sesuai ukuran bisnis.

Otoritas pengawas (juga dikenal sebagai Otoritas Perlindungan Data: DPA) akan memperhitungkan situasi dari setiap kasus, termasuk tipe, kepentingan, dan durasi pelanggaran. DPA juga diberikan kuasa untuk menyelidiki dan mengenakan tindakan perbaikan yang termasuk pembatasan kegiatan yang melanggar, tanpa harus selalu memberikan denda.

Satu resiko bila Anda tidak mengikuti mematuhi gdpr adalah hilangnya rasa percaya dari pelanggan dan calon pelanggan Anda, yang peduli dengan bagaimana cara Anda memproses data mereka!

Terakhir, banyak DPA yang memberikan petunjuk bahwa mereka tidak akan memberikan denda di tahun 2018, tapi mereka mengharapkan bisnis untuk mendemonstrasikan keinginan mereka untuk mematuhi peraturan.

Prinsip-prinsip utama GDPR

Cakupan

Regulasi diterapkan ke pemrosesan data pribadi oleh organisasi apapun:

  1. Bila organisasi yang mengontrol atau memproses berlokasi di UE
  2. Bila organisasi tidak berlokasi di UE, tapi pemrosesan membutuhkan data pribadi dari subject data yang berlokasi di UE, dan terkait dengan penawaran komersil atau monitor perilaku.

Cakupan oleh karena itu termasuk perusahaan non-UE, yang tidak termasuk cakupan legislasi yang lama.

Peran

Regulasi membedakan dua tipe utama entitas:

  • Controller Data: siapapun yang menentukan tujuan dan cara pemrosesan data pribadi, sendiri atau bersama. Sebagai peraturan umum, setiap organisasi adalah controller data mereka sendiri.
  • Prosesor Data: siapapun yang memproses data atas nama controller data.

Contohnya, bila perusahaan Anda memiliki database yang di-hosting pada Odoo Cloud, Anda adalah controller untuk database tersebut, dan Odoo SA hanyalah data prosesor. Bila Anda alih-alih menggunakan Odoo on premise, Anda adalah controller dan prosesor data.

Data Pribadi

GDPR memiliki definisi lebar mengenai apa itu data pribadi: informasi apapun yang terkait dengan orang alami yang sudah diidentifikasi atau dapat diidentifikasi. Orang yang dapat diidentifikasi berarti orang yang memiliki sesuatu yang dapat diidentifikasi, secara langsung atau tidak langsung, yang berarti nama, email, nomor telepon, informasi biometrik, data lokasi, data keuangan, dsb. Identifikasi secara online (alamat IP, ID perangkat, ...) juga termasuk data pribadi.

Ini berlaku juga dalam konteks bisnis: info@odoo.com tidak dianggap pribadi, tapi john.smith@odoo.com dianggap pribadi, karena dapat digunakan untuk mengidentifikasi manusia asli dalam perusahaan.

GDPR juga membutuhkan perlindungan tingkat tinggi untuk data sensitif, yang termasuk kategori spesifik data pribadi seperti informasi kesehatan, genetik, ras atau agama.

Prinsip-Prinsip Pemrosesan Data

Agar compliant, kegiatan pemrosesan harus mengikuti peraturan tersebut:
(seperti yang ditulis pada Artikel 5 di GDPR)

  1. Keabsahan, keadilan dan transparansi: untuk mengumpulkan data, Anda harus memiliki basis hukum, tujuan yang jelas, dan Anda harus memberitahu subyek mengenai pengumpulan data tersebut.

    • Miliki Kebijakan Privasi yang simpel dan jelas, dan berikan link ke kebijakan tersebut di mana pun Anda mengumpulkan data
    • Periksa basis hukum untuk setiap kegiatan pemrosesan data Anda
  2. Pembatasan tujuan: setelah dikumpulkan untuk sebuah tujuan, minta izin bila Anda ingin menggunakannya untuk tujuan yang lain.

    misalnya - Anda tidak dapat memutuskan untuk menjual data pelanggan Anda bila tidak dikumpulkan untuk tujuan tersebut.

  3. Minimalisasi: Anda hanya boleh mengumpulkan data yang dibutuhkan untuk tujuan Anda

  4. Akurasi: langkah-langkah yang wajar harus diambil untuk memastikan bahwa data terus diperbarui, agar sesuai dengan tujuannya

    misalnya - Jangan lupa kelola email yang ditolak, dan betulkan atau hapus alamat-alamat email tersebut.

  5. Batasan Penyimpanan: data pribadi harusnya hanya disimpan selama durasi yang dibutuhkan untuk memenuhi kebutuhan utamanya.

    Tetapkan batasan waktu untuk penghapusan atau tinjau data pribadi yang Anda proses, tergantung tujuan mereka.

  6. Integritas dan Kerahasiaan: prosesor data harus mengimplementasikan kontrol akses, keamanan dan tindakan pencegahan yang sesuai dengan tipe dan cakupan data yang diproses.

    misalnya - Pastikan sistem backup Anda bekerja, miliki kontrol keamanan yang tepat, gunakan enkripsi untuk melindungi data sensitif seperti password, ...

  7. Akuntabilitas: data controller bertanggung jawab untuk, dan harus dapat menunjukkan kepatuhan pada semua prinsip pemprosesan di atas.

    • Tetapkan dan kelola referensi data mapping untuk organisasi Anda, yang menggambarkan kepatuhan kegiatan pemrosesan Anda
    • Beritahukan pelanggan Anda melalui Kebijakan Privasi yang jelas
Basis Hukum

Agar sah di bawah tuntutan GDPR (prinsip pertama), pemrosesan data pribadi harus berdasarkan salah satu dari 6 basis hukum, sesuai yang ditulis pada Artikel 6 (1):

  1. Persetujuan. Valid saat subyek data secara eksplisit dan tanpa paksaan memberikan persetujuan setelah dengan tepat diberikan informasi, termasuk tujuan yang secara jelas dan spesifik ditunjukkan. Beban pembuktian ini seluruhnya ada di tangan controller.
  2. Dibutuhkan untuk pelaksanaan kontrak, atau untuk memenuhi permintaan dari subyek data, dalam persiapan kontrak.
  3. Kepatuhan terhadap kewajiban hukum yang dikenakan ke controller.
  4. Melindungi minat vital. Saat pemrosesan dibutuhkan untuk menyelamatkan nyawa.
  5. Kepentingan umum atau otoritas resmi.
  6. Kepentingan yang sah. Berlaku saat controller memiliki kepentingan yang saha yang tidak tertimpa dengan minat atau hak fundamental subyek data.

Satu perubahan besar yang dibawa GDPR mengenai regulasi privasi data sebelumnya adalah persyaratan lebih ketat untuk mendapatkan persetujuan yang sah.

Hak-Hak Subject Data

Hak privasi data saat ini untuk individu akan dikembangkan lebih lanjut dengan GDPR. Organisasi harus siap untuk menangani permintaan dari subject data secara tepat waktu (dalam 1 bulan), dan gratis:

  1. Hak untuk Mengakses - Individual memiliki hak untuk mengetahui apa dan bagaimana data pribadi mereka sedang diproses, dengan transparansi penuh;
  2. Hak untuk Pembetulan - Individual memiliki hak untuk melakukan pembetulan atau penyelesaian untuk data pribadi mereka;
  3. Hak untuk Penghapusan - Individual memiliki hak untuk mendapatkan penghapusan data pribadi mereka untuk alasan yang sah (persetujuan ditarik kembali, tidak lagi dibutuhkan untuk tujuannya, dsb.);
  4. Hak untuk Membatasi - Individual dapat meminta controller untuk berhenti memprosesdata pribadi mereka, bila mereka tidak ingin atau tidak dapat meminta penghapusan penuh;
  5. Hak untuk Menolak - Individual memiliki hak untuk menolak pemrosesan tertentu atas data pribadi mereka kapan pun juga, contohnya untuk tujuan marketing langsung;
  6. Portabilitas Data - Individu memiliki hak untuk meminta bahwa data pribadi yang dipegang oleh controller diberikan ke mereka, atau ke controller lain.

Bagaimana Anda sebaiknya mempersiapkan diri untuk GDPR

Disclaimer
Kami tidak menyediakan nasehat hukum, bagian ini hanya disediakan untuk tujuan informatif. Silakan temui penasehat hukum Anda untuk menentukan bagaimana GDPR akan memengaruhi perusahaan Anda.

Berikut adalah langkah-langkah utama yang kami sarankan untuk roadmap mengikuti GDPR:

  1. Tetapkan Data Mapping dari kegiatan pemrosesan data organisasi Anda untuk mendapatkan gambaran jelas situasi. Otoritas Perlindungan Data seringkali menyediakan templat spreadsheet untuk membantu tugas tersebut. Untuk setiap proses, dokumentasikan tipe data pribadi dan bagaimana data tersebut dikumpulkan ; tujuan, basis hukum dan kebijakan penghapusan dari treatment ; tindakan keamanan teknis dan organisasi yang di-implementasikan, dan subkontraktor (prosesor) yang terlibat.

    Anda harus mengelola pemetaan data ini secara reguler, selagi proses-proses Anda berkembang.
  2. Berdasarkan langkah 1, pilih Strategi Perbaikan untuk pemrosesan apapun di mana Anda tidak memiliki basis hukum (misalnya konten hilang) atau di mana Anda tidak memiliki tindakan keamanan yang sesuai. Adaptasi proses-proses Anda, prosedur internal Anda, peraturan kontrol akses Anda, backup, monitoring, dsb.
  3. Perbarui dan publikasikan Kebijakan Privasi yang jelas pada website Anda. Jelaskan apa data pribadi yang Anda proses, bagaimana Anda melakukannya, dan apa hak-hak individu mengenai data mereka.
  4. Tinjau Kontrak Anda dengan penasehat hukum, dan adaptasikan mereka untuk GDPR.
  5. Putuskan bagaimana Anda akan menjawab beragam macam Permintaan Subject Data.
  6. Siapkan Prosedur Respons Insiden Anda untuk kasus kebocoran data.

Tergantung situasi Anda, element lain dapat ditambahkan ke daftar, seperti appointment dengan Petugas Perlindungan Data. Konsultasi dengan pakar pemrosesan internal Anda dan penasehat hukum untuk menentukan persiapan lain yang relevan.

Ingat!
Membuat pemetaan yang jelas untuk proses-proses Anda akan membuat segala sesuatu lebih mudah dalam memenuhi syarat-syarat kepatuhan!

Bagaimana Odoo mematuhi GDPR

Di Odoo, mengimplementasi praktek terbaik privasi dan keamanan bukanlah hal baru. Sebagai perusahaan yang hosting Cloud, kami terus menerus merevisi dan memperbaiki sistem-sistem, alat dan proses-proses kami, agar platform kami tetap aman dan luar biasa.

Peran Kami di GDPR

Tanggung jawab kami dalam hal perlindungan data pribadi bergantung pada beragam kegiatan pemrosesan data kami:

Peran Kami Pemrosesan Data Tipe data
Controller Data & Prosesor Pada Odoo.com Personal data yang diberikan ke kita dari calon pelanggan dan pelanggan langsung, mitra kami dan semua user langsung Odoo.com (nama, email, alamat, password ...)
Prosesor Data Pada Odoo Cloud
(Odoo Online, Odoo.sh dan Layanan Odoo Enterprise lainnya)
Data pribadi apapun yang disimpan di database pelanggan kami, dihosting di Odoo Cloud atau ditransfer untuk tujuan menggunakan salah satu layanan kami. Pemilik dari database ini adalah data controller.
Tanpa peran Pada On-Premise Data apapun yang berlokasi di database Odoo yang dihosting secara on-premise atau memiliki hostingan yang tidak dioperasikan oleh kami.

Dokumen-dokumen GDPR kami

Sebagai Data Controller, kegiatan kami ditulis dalam Kebijakan Privasi, yang telah diperbarui untuk GDPR. Kebijakan ini menjelaskan sejelas mungkin apa data yang kami proses, kenapa kami memproses data tersebut, dan bagaimana cara kami melakukannya. Terkait erat dengan ini, Kebijakan Keamanan kami menjelaskan praktek terbaik keamanan yang kami implementasikan pada Odoo, di semua tingkat (teknis dan organisasi) agar menjamin data Anda diproses secara aman dan terjamin.

Ditambah semua kebijakan tersebut, kegiatan kami sebagai Data Prosesor juga tergantung penerimaan Perjanjian Langganan Odoo Enterprise. Perjanjian ini telah diperbarui untuk menambahkan ke Klausa Perlindungan Data (seringkali disebut sebagai "Data Processing Agreement"), seperti yang diperlukan oleh GDPR.
Sebagai Pelanggan Odoo S.A. Anda tidak harus melakukan apapun untuk menerima perubahan ini, Anda sudah mendapatkan manfaat dari jaminan-jaminan baru tersebut, dan kami akan menganggap Anda setuju bila kami tidak mendengar apapun dari Anda!

Selain dokumen-dokumen ini, kami juga telah memperbarui website kami untuk memasukkan pemberitahuan privasi di semua tempat yang relevan, agar user-user kami terinformasi setiap saat.

Bagimana Odoo membantu Anda mengimplementasikan praktek terbaik GDPR

Menggunakan Odoo untuk mengelola bisnis Andabukan alasan yang mencukupi untuk mematuhi GDPR, karena regulasi akan diterapkan ke seluruh organisasi Anda. Namun, karena Odoo memusatkan data Anda, mengurangi redundansi data, dan mengimplementasikan hak akses granular dan kontrol keamanan, ini dapat merupakan bantuan besar untuk memenuhi GDPR.

Berikut adalah beberapa cara kita pikir Odoo dapat membantu Anda dalam konteks GDPR, untuk database Odoo yang on-premise dan hosting di Cloud.

Disclaimer: seperti biasa, selalu konsultasi dengan penasehat hukum untuk menentukan bagaimana Anda seharusnya mematuhi GDPR dan permintaan subyek data. Selalu ingat bahwa Anda mungkin memproses data pribadi di luar Odoo juga.

Hak untuk Mengakses (Art. 15) dan Hak untuk Portabilitas Data (Art. 20)

  • Odoo menyediakan semua alat agar subject data dapat mengakses dan memperbarui informasi pribadi mereka dalam mode self-service:
    • Portal pelanggan memungkinkan user untuk menulusuri dokumen kontraktual: tanggal dan kontak, faktur, surat tawaran, order, tiket meja bantuan, pembelian, langganan, order pengiriman, pembayaran sekaligus komunikasi disekeliling dokumen-dokumen ini.
    • Halaman mailing list, memungkinkan user untuk meninjau dan mengelola langganan mereka (Contohnya untuk odoo.com: https://www.odoo.com/groups)
    • Profil forum memungkinkan user forum untuk meninjau semua kegiatan dalam sekali lihat
  • Bila Anda ingin mengekspor semua data, atau mengomunikasikan data pribadi yang tidak dapat diakses melalui portal, beberapa langkah manual dibutuhkan.
    Biasanya Anda akan mendapatkan semua dokumen yang relevan langsung dari top bar di formulir kontak user, dalam bentuk link. Anda lalu dapat mengekspor semua informasi dengan fitur “Cetak sebagai PDF” di browser Anda, atau dengan menu Tindakan>Ekspor, dari daftar kontak atau daftar dokumen mereka.
    Masing-masing pilihan menyediakan format elektronik yang mengikuti GDPR.
  • Selain itu, Anda mungkin memiliki informasi yang tidak di-link ke formulir kontak, yang subject data mungkin masukkan pada konteks yang berbeda. Anda harus juga meninjau data tersebut, sebagai contoh mencari berdasarkan nama atau alamat email
    • Langganan acara
    • Lead & Kesempatan di CRM Anda

Pengingat: Diatas kemampuan untuk ekspor sebagai PDF melalui browser Anda, Odoo memiliki alat untuk mengekspor rekaman apapun, atau daftar rekaman, dalam bentuk file CSV atau Excel, sekaligus dokumen-dokumen terkait yang di-link ke rekaman ini. Untuk menggunakannya, pergi ke daftar tampilan dari layar apapun, pilih rekaman dan klik Action > Export, lalu pilih "Ekspor Semua Data". Alat lalu akan mengizinkan Anda untuk memilih kolom-kolom yang Anda ingin ekspor.

Hak untuk dilupakan (Art. 17)

GDPR memberikan subject data hak untuk meminta penghapusan data pribadi mereka, selama memenuhi kondisi-kondisi spesifik, seperti:

  • Data tidak diperlukan lagi menuruttujuan;
  • Mereka menarik kembali persetujuan untuk pemrosesan data yang berdasarkan persetujuan saja;
  • Pemrosesan data termasukmelanggar hukum.

Jika Anda menentukan bahwa permintaan bersifat sah, dan Anda telah mengonfirmasi identitas subject,  Anda dapat mencoba untuk menghapus kontak yang sesuai di Odoo. Ini aman: sistem akan memblokir pengoperasian tersebut bila dokumen bisnis masih mengacu pada kontak (faktur, kontak, order pengiriman, postingan forum, dsb.). Dalam kasus tersebut, ANda harus memutuskan apakah Anda memiliki kewajiban lain untuk menyimpan dokumen tersebut, dan harus menolak permintaan penghapusan.

Jika Anda tidak memiliki alasan hukum untuk menyimpan informasi pribadi, tapi tidak dapat, atau tidak ingin menghapus dokumen atau kontak, pertimbangkan untuk menganonimkan informasi tersebut. Anda dapat mengganti nama kontak dan mengganti data yang dapat diidentifikasi (email, alamat, dsb.), atau Anda dapat menetapkan ulang dokumen ke kontak Anonim yang umum. Setelah dengan benar dianonimkan, data ini sudah bukan merupakan data pribadi lagi.

Pembatasan Pemrosesan (Art. 18) dan Pembatalan Persetujuan (Art. 7)

User seringkali meminta untuk berhenti langganan dari email komersil. Bila mailing Anda dikirim melalui Odoo, user dapat melakukannya sendiri menggunakan link unsubscribe di footer. Tapi Anda juga dapat secara manual menconteng field "opt-out" pada kontak atau lead/peluang. Rekaman yang ditandai “opt-out” secara otomatis akan dikecualikan dari kampanye mailing massal, tapi masih dapat menerima pesan langsung dari user (contohnya surat tawaran, faktur).

Hak untuk Pembetulan (Art. 16) dan Ketepatan Data (Art. 5 (1) d)

Alamat email yang tidak sah/diganti adalah sumber umum error data. Saat integrasi email secara benar dikonfigurasi (secara default pada Odoo Cloud), Odoo menangani email bounce pada mass-mailing Anda, dan menaikkan kolom Bounce dengan jumlah pesan yang bounce. Anda dapat secara berkala meninjau kontak atau prospek Anda dengan pencarian kustom pada "Bounce lebih dari 0" dan membersihkan/menghapus mereka.

Pengikut channel Diskusi Odoo akan secara otomatis dihentikan langganannya setelah 10 email yang bounce.

Mengenai pembetulan, user dan pelanggan juga dapat membetulkan data pribadi mereka sendiri (nama, email, alamat) melalui Odoo portal.

Consent (Art. 7)

Saat Anda mengumpulkan data pribadi melalui mekanisme default Odoo (contohnya formulir kontak, langganan mailing, langganan acara), Anda harus menetapkan tujuan dan basis hukum untuk pemrosesan data tersebut. Ini akan sangat tergantung pada bagaimana Anda menggunakan data tersebut.

Bila tujuannya spesifik dan jelas (contoh simpan partisipan yang mendaftar acara agar dapat terus mengingatkan mereka mengenai tanggal acara ; bantu seseorang untuk mendaftar ke mailing list yang mereka pilih), Anda tidak perlu meminta persetujuan eksplisit mereka (data pribadi dibutuhkan untuk kontrak - Art. 6 (1) b). Namun Anda masih perlu membuat tujuan jelas untuk user, dan acukan kepada halaman Kebijakan Privasi Anda saat Anda memberikan lebih banyak informasi. Anda dapat menggunakan website builder Odoo untuk mengedit formulir dan tambahkan hal-hal yang diperlukan.

Namun, bila Anda berencana untuk menggunakan data yang dikumpulkan untuk tujuan lain, Anda harus mendapatkan persetujuan eksplisit untuk setiap tujuan dari user. Cara yang disarankan adalah untuk menambahkan kotak centang di formulir Anda untuk mendapatkan persetujuan untuk setiap tujuan spesifik (contohnya "Mohon kirimkan saya diskon dan promosi untuk produk yang mirip melalui email"). Untuk melakukan ini di Odoo, Anda dapat:

  1. Gunakan Odoo Studio untuk menambahkan field kotak centang (boolean) pada dokumen yang mengumpulkan data pribadi (contohnya Lead/Peluang), untuk mewakilkan persetujuan untuk tujuan ini
  2. Tambahkan kotak centang di formulir website Anda melalui website builder Odoo
  3. Gunakan field ini saat memproses data untuk tujuan ini, contohnya dalam filter segmen kampanye marketing Anda

Privat sesuai Desain (Art. 25)

Keamanan berdasarkan Desain adalah tujuan utama pekerjaan Litbang kami di Odoo, dan kami menerapkan praktek terbaik keamanan agar software kami Aman, kuat dan tangguh untuk semua orang.

Kontrol Akses - Mekanisme default untuk kontrol akses berdasarkan kelompok untuk Odoo memungkinkan Anda untuk membatasi akses ke data pribadi berdasarkan peran dan kebutuhan masing-masing user. (e.g: manajer project mungkin tidak memiliki akses ke Pelamar Lowongan Kerja). Jika Anda meninjau penempatan kelompok user dan menjaga hal tersebut dengan benar saat pergantian terjadi di organisasi Anda, Anda memiliki basis privasi yang kuat. Anda dapat dengan mudah menambahkan atau memodifikasi kelompok user untuk mencocokkan mereka ke organisasi Anda.

Peraturan Rekaman - Untuk membuat lebih baik akses ke data pribadi, Anda dapat menggunakan konsep Peraturan Rekaman, yang akan membatasi akses ke dokumen tergantung pada kriteria berdasarkan nilai dalam kolom-kolom. Peraturan Rekaman dapat memblokir pengoperasian membaca dan/atau menulis, dan mereka bergunfsi dalam basis per-dokumen. Untuk informasi lebih lanjut, silakan lihat dokumentasi kami.

Passwors - Odoo menyimpan password user menggunakan hashting pengaman standar industri. Bisa juga menggunakan sistem otentikasi eksternal seperti OAuth 2.0 atau LDAP, untuk menghindari penyimpanan password user sama sekali.

Data Karyawan - Satu area di mana database-database Odoo mungkin memiliki data pribadi sensitif adalah di tab Informasi Privat pada formulir karyawan dan kontrak mereka. Bagian ini dari Direktori Karyawan hanya dapat dilihat oleh karyawan HR (kelompok "Petugas HR"), yang membutuhkannya untuk pekerjaan mereka. Perlindungan ini menyangkup alamat pribadi karyawan: dari Odoo 12 sampai Odoo 17, akan disimpan sebagai Kontak tipe "Privat" yang hanya dapat dilihat oleh personil HR. Untuk versi 17.0, ini disimpan langsung pada record Karyawan.

Keamanan dalam Pemrosesan (Art. 25 & 32)

Bila Anda menggunakan layanan Odoo Online atau Odoo.sh, kami mengimplementasikan praktek terbaik untuk keamanan dan privasi di semua tingkat. Anda dapat menemukan lebih banyak mengenai hal in pada Kebijakan Keamanan.
Jika Anda menggunakan Odoo on-premise, Anda bertanggung jawab untuk mengikuti praktek terbaik keamanan. Anda dapat memulai dengan rekomendasi keamanan dari dokumentasi pemasangan kami.