Przegląd

Nowe przepisy dotyczące prywatności i najlepsze praktyki z Odoo

Od 25 maja 2018 r. obowiązuje ogólne Rozporządzenie o Ochronie Danych Osobowych (RODO) , które otwiera nową erę ochrony danych i prywatności dla wszystkich. Chociaż z pewnością słyszałeś i czytałeś wiele informacji na temat RODO, może być trudno zrozumieć, co dokładnie oznacza ono dla Twojej firmy w praktyce i co powinieneś zrobić, aby zachować zgodność z nowymi przepisami.

W Odoo zobowiązujemy się do przestrzegania najlepszych praktyk w zakresie bezpieczeństwa i prywatności. Staramy się zapewnić taki sam poziom ochrony wszystkim użytkownikom i klientom, bez względu na ich lokalizację lub obywatelstwo. Stosujemy te najlepsze praktyki w odniesieniu do wszystkich danych, nie tylko danych osobowych.

Zarówno Odoo SA, jak i jego spółki zależne są zgodne z RODO.

Co powinieneś wiedzieć o RODO

Wskazówka
Jeśli możesz, najlepszym sposobem na zrozumienie RODO jest przeczytanie Oficjalnego Tekstu.
Jest trochę długi (99 artykułów na 88 stronach), ale całkiem przystępny dla laików.

Jest to rozporządzenie UE. które ma na celu harmonizację i modernizację istniejących przepisów dotyczących prywatności, takich jak dyrektywa UE o Prywatności Danych, którą zastępuje. Określa ono zasady ochrony osób fizycznych w odniesieniu do przetwarzania ich danych osobowych oraz swobodnego przepływu danych osobowych w Europie.

Jest to rozporządzenie, a nie dyrektywa, dlatego ma natychmiastowe zastosowanie we wszystkich państwach członkowskich UE, bez konieczności transpozycji do prawa krajowego każdego kraju. Kraje UE mają ograniczony margines interpretacji w odniesieniu do drobniejszych kwestii, ale podstawowe zasady będą takie same dla wszystkich, wszędzie w UE.

RODO przenosi również przepisy do następnego milenium, biorąc pod uwagę media społecznościowe, przetwarzanie w chmurze, cyberprzestępczość i główne wyzwania, jakie powodują one w zakresie prywatności i bezpieczeństwa danych osobowych.

W skrócie: Nie panikuj!

RODO nie jest nowym, przełomowym aktem prawnym i ma fundamentalnie korzystny wpływ na obywateli i przedsiębiorstwa.

To zmiana na lepsze!

Chcemy podkreślić, że RODO może być korzystne dla Ciebie i Twoich klientów. Zgodność z RODO może początkowo wiązać się z dużym nakładem pracy, ale nowe zasady mają swoje plusy:

  • Zwiększone zaufanie klientów i użytkowników
  • Uproszczenie: te same zasady obowiązują we wszystkich krajach UE
  • Racjonalizacja i centralizacja Twoich procesów organizacyjnych

Celem RODO jest zapewnienie osobom fizycznym większego nadzoru nad ich danymi osobowymi. Jeśli Twoja firma wdroży odpowiednie strategie i systemy, łatwiej będzie nią zarządzać, będzie bezpieczniejsza w nadchodzących latach.

Jakie są zagrożenia, jeśli nie przestrzegasz przepisów?

Maksymalną karą za nieprzestrzeganie przepisów jest grzywna administracyjna w wysokości 20 milionów euro lub 4% Twojego globalnego rocznego obrotu, w zależności od tego, która z tych kwot jest wyższa. W przypadku mniejszych naruszeń obowiązuje niższa maksymalna kara w wysokości 10 mln euro lub 2% Twojego globalnego rocznego obrotu.

Te maksymalne kwoty mają być odstraszające dla firm każdej wielkości, ale RODO wymaga również, aby grzywny były proporcjonalne.

Organy nadzorcze (znane również jako organy ochrony danych: DPA) muszą brać pod uwagę okoliczności każdej sprawy, w tym charakter, wagę i czas trwania naruszenia. Organy ochrony danych mają również uprawnienia do prowadzenia dochodzeń i nakładania działań naprawczych, które obejmują ograniczenie działań stanowiących naruszenie, bez konieczności nakładania grzywny.

Kolejnym ryzykiem, jeśli nie zastosujesz się do tych przepisów, jest utrata zaufania ze strony klientów i potencjalnych klientów, którym zależy na tym, w jaki sposób przetwarzasz ich dane!

Wreszcie, wiele organów ochrony danych zasugerowało, że w 2018 r. nie będą jeszcze nakładać grzywien, ale oczekują, że firmy wykażą, że pracują nad zapewnieniem zgodności z przepisami.

Główne założenia RODO

Zakres

Rozporządzenie ma zastosowanie w przypadku przetwarzania danych osobowych przez dowolną organizację:

  1. Jeśli organizacja kontrolująca lub przetwarzająca dane znajduje się w UE
  2. Jeśli organizacja nie znajduje się w UE, ale przetwarzanie obejmuje dane osobowe osób, znajdujących się w UE i jest związane z ofertami handlowymi lub monitorowaniem zachowania.

Rozporządzenie obejmuje zatem spółki spoza UE, co nie miało miejsca w przypadku starszych przepisów.

Role

Rozporządzenie rozróżnia dwa główne typy podmiotów:

  • Administrator danych: każdy podmiot, który samodzielnie lub wspólnie określa cele i sposoby przetwarzania danych osobowych. Co do zasady, każda organizacja jest administratorem swoich własnych danych.
  • Podmiot przetwarzający dane: każdy podmiot, który przetwarza dane w imieniu administratora danych.

Na przykład, jeśli Twoja firma posiada bazę danych hostowaną w Odoo Cloud, jesteś administratorem tej bazy danych, a Odoo SA jest jedynie podmiotem przetwarzającym dane. Jeśli natomiast korzystasz z Odoo lokalnie, jesteś zarówno administratorem, jak i podmiotem przetwarzającym dane.

Dane osobowe

RODO podaje szeroką definicję danych osobowych: wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. Możliwa do zidentyfikowania osoba fizyczna to osoba, którą można zidentyfikować bezpośrednio lub pośrednio na podstawie jej imienia i nazwiska, adresu e-mail, numeru telefonu, danych biometrycznych, danych o lokalizacji, danych finansowych itp. Identyfikatory internetowe (adresy IP, identyfikatory urządzeń, ...) są również objęte rozporządzeniem.

Ma to również zastosowanie w kontekście biznesowym: e-mail info@odoo.com nie jest uważany za daną osobową, ale john.smith@odoo.com jest, ponieważ może być używany do identyfikacji osoby fizycznej w firmie.

RODO wymaga również wyższego poziomu ochrony danych wrażliwych, które obejmują określone kategorie danych osobowych, takie jak informacje zdrowotne, genetyczne, rasowe lub religijne.

Zasady przetwarzania danych

Aby zachować zgodność z przepisami, czynności przetwarzania muszą być zgodne z następującymi zasadami:
(jak wymieniono w art. 5 RODO)

  1. Zgodność z prawem, uczciwość i przejrzystość: aby gromadzić dane, musisz mieć podstawę prawną, jasny cel i musisz poinformować o tym osobę, której dane dotyczą.

    • Posiadaj prostą i przejrzystą Politykę prywatności i odwołuj się do niej wszędzie tam, gdzie gromadzisz dane.
    • Weryfikuj podstawę prawną każdej czynności wymagającej przetwarzania danych osobowych.

  2. Ograniczenie celu: po zebraniu danych w określonym celu poproś o pozwolenie, jeśli chcesz je wykorzystać w innym celu.

    np. - Nie możesz zdecydować się na sprzedaż danych swojego klienta, jeśli nie zostały one zgromadzone w tym celu.

  3. Minimalizacja: możesz gromadzić tylko te dane, które są niezbędne do realizacji Twojego celu

  4. Dokładność: należy podjąć uzasadnione kroki, aby upewnić się, że dane są aktualne w odniesieniu do celu.

    np. - Pamiętaj, aby zająć się odesłanymi wiadomościami e-mail i poprawiać lub usuwać adresy.

  5. Ograniczenie przechowywania: dane osobowe powinny być przechowywane wyłącznie przez okres niezbędny do realizacji ich podstawowego celu.

    Określ terminy usunięcia lub przeglądu danych osobowych, które przetwarzasz, w zależności od ich celu.

  6. Integralność i poufność: podmioty przetwarzające dane muszą wdrożyć odpowiednie środki kontroli dostępu, bezpieczeństwa i zapobiegania utracie danych, zgodnie z rodzajem i zakresem przetwarzanych danych.

    np. - Upewnij się, że system tworzenia kopii zapasowych działa, stosuj odpowiednie zabezpieczenia, używaj szyfrowania do ochrony poufnych danych, takich jak hasła itp.

  7. Odpowiedzialność: administratorzy danych są odpowiedzialni za i muszą być w stanie wykazać zgodność ze wszystkimi powyższymi zasadami przetwarzania.

    • Utwórz i utrzymuj odniesienie do mapowania danych dla swojej organizacji, opisujące zgodność twoich działań związanych z przetwarzaniem.
    • Informuj swoich klientów przy pomocy czytelnej Polityki Prywatności.
Podstawy prawne

Aby przetwarzanie danych osobowych było zgodne z prawem na mocy RODO (pierwsza zasada), musi ono opierać się na jednej z sześciu możliwych podstaw prawnych wymienionych w art. 6 ust. 1:

  1. Zgoda. Ważna, gdy osoba, której dane dotyczą, wyraźnie i dobrowolnie wyraziła zgodę po otrzymaniu odpowiednich informacji, w tym jasno określonego i konkretnego celu. Ciężar dowodu w tym zakresie spoczywa na administratorze danych.
  2. Niezbędne do realizacji umowy lub do spełnienia żądań osoby, której dane dotyczą, w ramach przygotowań do zawarcia umowy.
  3. Zgodność ze zobowiązaniami prawnymi nałożonymi na administratora.
  4. Ochrona istotnego interesu. Gdy przetwarzanie jest niezbędne do ratowania życia.
  5. Interes publiczny lub oficjalny organ.
  6. Uzasadniony interes. Ma zastosowanie, gdy administrator ma uzasadniony interes, który nie jest nadrzędny wobec interesów i praw podstawowych osoby, której dane dotyczą.

Jedną z głównych zmian wprowadzonych przez RODO w stosunku do poprzednich przepisów dotyczących prywatności danych są bardziej rygorystyczne wymogi dotyczące uzyskania ważnej zgody.

Prawa osoby, której dane przetwarzane są

Istniejące prawa osób fizycznych do prywatności danych zostały dodatkowo rozszerzone przez RODO. Organizacje muszą być przygotowane do obsługi wniosków osób, których dane dotyczą, w odpowiednim czasie (w ciągu 1 miesiąca), bezpłatnie:

  1. Prawo dostępu - Osoby fizyczne mają prawo wiedzieć, jakie dane osobowe i w jaki sposób są przetwarzane, z zachowaniem pełnej przejrzystości;
  2. Prawo do sprostowania - Osoby fizyczne mają prawo do uzyskania korekty lub uzupełnienia swoich danych osobowych;
  3. Prawo do usunięcia danych - Osoby fizyczne mają prawo do zażądania usunięcia swoich danych osobowych z uzasadnionych powodów (wycofanie zgody, brak konieczności ich dalszego przetwarzania itp;)
  4. Prawo do ograniczenia - Osoby fizyczne mogą zażądać od administratora zaprzestania przetwarzania ich danych osobowych, jeśli nie chcą lub nie mogą zażądać ich całkowitego usunięcia;
  5. Prawo do sprzeciwu - Osoby fizyczne mają prawo w dowolnym momencie sprzeciwić się przetwarzaniu ich danych osobowych, na przykład w celach marketingu bezpośredniego;
  6. Przenoszenie danych - Osoby fizyczne mają prawo zażądać, aby dane osobowe przechowywane przez administratora zostały przekazane im lub innemu administratorowi.

Jak powinieneś się przygotować do RODO

Zastrzeżenie
Nie możemy udzielać porad prawnych, ta sekcja służy wyłącznie celom informacyjnym. Skontaktuj się ze swoim radcą prawnym, aby dokładnie określić, w jaki sposób RODO wpływa na Twoją firmę.

Oto kluczowe kroki, które sugerujemy w ramach tworzenia planu działania w zakresie zgodności z RODO:

  1. Utwórz mapę danych związanych z przetwarzaniem danych w swojej organizacji, aby uzyskać jasny obraz sytuacji. Organy ochrony danych często udostępniają szablony arkuszy kalkulacyjnych, które pomagają w tym zadaniu. Dla każdego procesu udokumentuj rodzaj danych osobowych i sposób ich gromadzenia; cel, podstawę prawną i politykę usuwania danych; wdrożone techniczne i organizacyjne środki bezpieczeństwa oraz zaangażowanych podwykonawców (podmioty przetwarzające).

    Będziesz musiał regularnie przeprowadzać mapowanie danych w miarę ewolucji procesów.
  2. Na podstawie kroku 1 wybierz strategię naprawczą dla każdego przetwarzania, w przypadku którego nie masz podstawy prawnej (np. brak zgody) lub w przypadku którego nie masz odpowiednich środków bezpieczeństwa. Dostosuj swoje procesy, procedury wewnętrzne, zasady kontroli dostępu, kopie zapasowe, monitorowanie itp.
  3. Zaktualizuj i opublikuj jasną Politykę Prywatności na swojej stronie internetowej. Wyjaśnij, jakie dane osobowe przetwarzasz, w jaki sposób to robisz i jakie są prawa osób fizycznych w odniesieniu do ich danych.
  4. Przeanalizuj swoje umowy z radcą prawnym i dostosuj je do RODO.
  5. Zdecyduj, w jaki sposób będziesz odpowiadać na różnego rodzaju wnioski osób, których dane dotyczą.
  6. Przygotuj procedurę reagowania na incydenty w przypadku naruszenia danych.

W zależności od Twojej sytuacji, do listy można dodać inne elementy, takie jak wyznaczenie inspektora ochrony danych. Skonsultuj się z wewnętrznymi ekspertami ds. przetwarzania danych i radcami prawnymi, aby określić wszelkie inne odpowiednie środki.

Pamiętaj!
Ustanowienie jasnego mapowania Twoich procesów ułatwi wszystko na drodze do zgodności z przepisami!

W jaki sposób Odoo jest zgodne z RODO?

W Odoo wdrażanie najlepszych praktyk w zakresie prywatności i bezpieczeństwa nie jest nowym pomysłem. Jako firma hostingowa w chmurze stale zmieniamy i ulepszamy nasze systemy, narzędzia i procesy, aby móc oferować doskonałą i bezpieczną platformę.

Nasze role w zakresie RODO

Nasze obowiązki w zakresie ochrony danych osobowych zależą od różnych czynności przetwarzania danych:

Nasze role Przetwarzanie danych Rodzaj danych
Administrator danych & Podmiot przetwarzający Na Odoo.com Dane osobowe przekazywane nam przez naszych bezpośrednich klientów i potencjalnych klientów, naszych partnerów i wszystkich bezpośrednich użytkowników Odoo.com (imiona i nazwiska, adresy e-mail, adresy, hasła itp.)
Podmiot przetwarzający dane Na Odoo Cloud
(Odoo Online, Odoo.sh i inne usługi Odoo Enterprise) 		Wszelkie dane osobowe przechowywane w bazach danych naszych klientów, hostowane w chmurze Odoo lub przekazane nam w celu korzystania z jednej z naszych usług. Właściciel bazy danych jest administratorem danych.
Brak roli Lokalnie Wszelkie dane znajdujące się w bazach danych Odoo hostowanych lokalnie lub na jakimkolwiek hostingu nieobsługiwanym przez nas.

Nasza dokumentacja RODO

Jako administrator danych, nasze działania są opisane w naszej Polityce Prywatności, która została zaktualizowana pod kątem RODO. Polityka ta wyjaśnia w możliwie najbardziej przejrzysty sposób, jakie dane przetwarzamy, dlaczego je przetwarzamy i w jaki sposób to robimy. Ściśle powiązana z tym jest nasza Polityka Bezpieczeństwa , która wyjaśnia najlepsze praktyki bezpieczeństwa wdrożone w Odoo na wszystkich poziomach (technicznym i organizacyjnym) w celu zagwarantowania, że Twoje dane są przetwarzane w bezpieczny sposób.

Oprócz tych zasad, nasze działania jako podmiotu przetwarzającego dane są przedmiotem akceptacji naszej Umowy Subskrypcyjnej Odoo Enterprise. Niniejsza umowa została zaktualizowana w celu dodania niezbędnych klauzul ochrony danych (często określanych jako "Umowa o przetwarzaniu danych"), zgodnie z wymogami RODO.
Jako Klient Odoo S.A. nie musisz nic robić, aby zaakceptować te zmiany, już korzystasz z nowych korzyści, a my uznamy, że zgadzasz się, jeśli nic od Ciebie nie usłyszymy!

Oprócz tych dokumentów zaktualizowaliśmy również naszą stronę internetową, aby umieścić informacje o ochronie prywatności we wszystkich odpowiednich miejscach, aby zawsze informować naszych użytkowników.

W jaki sposób Odoo pomoże Ci wdrożyć najlepsze praktyki RODO?

Korzystanie z Odoo do zarządzania firmą może nie być wystarczające do zapewnienia zgodności z RODO, ponieważ rozporządzenie dotyczy całej twojej organizacji. Ponieważ jednak Odoo centralizuje Twoje dane, ogranicza ich nadmiarowość oraz wdraża szczegółowe prawa dostępu i kontrole bezpieczeństwa, może być bardzo pomocne w zapewnieniu zgodności z RODO.

Oto kilka sposobów, w jakie naszym zdaniem Odoo może Ci pomóc w kontekście RODO, zarówno w przypadku baz danych Odoo hostowanych lokalnie, jak i w chmurze.

Zastrzeżenie: jak zawsze, skonsultuj się ze swoim radcą prawnym w celu ustalenia, w jaki sposób powinieneś przestrzegać RODO i żądań osób, których dane dotyczą. Zawsze pamiętaj, że możesz przetwarzać dane osobowe także poza Odoo.

Prawo dostępu (art. 15) i prawo do przenoszenia danych (art. 20)

  • Odoo udostępnia pewne narzędzia, dzięki którym osoby, których dane dotyczą, mogą uzyskać dostęp do swoich danych osobowych i aktualizować je w trybie samoobsługi:
    • Portal klienta pozwala użytkownikom na przeglądanie dokumentów kontraktowych: adresów i kontaktów, faktur, ofert, zamówień, zadań, zgłoszeń do helpdesku, zakupów, subskrypcji, zleceń dostawy, płatności, a także komunikacji związanej z tymi dokumentami.
    • Strona list mailingowych umożliwia użytkownikom przeglądanie ich subskrypcji i zarządzanie nimi (przykład dla odoo.com: https://www.odoo.com/groups)
    • Profil forum pozwala twoim forumowiczom przeglądać wszystkie ich aktywności na raz
  • Jeśli chcesz wyeksportować wszystkie dane lub przekazać prywatne dane, które nie są dostępne za pośrednictwem portalu, konieczne są pewne manualne działania.
    Zazwyczaj możesz uzyskać dostęp do wszystkich odpowiednich dokumentów bezpośrednio z górnego paska w formularzu kontaktowym użytkowników, gdzie są podlinkowane. Następnie możesz wyeksportować wszystkie informacje za pomocą funkcji “Drukuj jako PDF” w przeglądarce lub za pomocą menu Akcja>Eksportuj, z listy kontaktów lub listy ich dokumentów.
    Obie opcje zapewniają formaty elektroniczne zgodne z RODO.
  • Ponadto możesz mieć informacje niepowiązane z formularzem kontaktowym, które osoba, której dane dotyczą, mogła wprowadzić w osobnym kontekście. Powinieneś je również przejrzeć, wyszukując na przykład według imienia i nazwiska lub adresu e-mail
    • Subskrypcje na wydarzenia
    • Leady i okazje w Twoim CRM

Przypomnienie: Oprócz możliwości eksportu do formatu PDF za pośrednictwem przeglądarki, Odoo posiada narzędzie do eksportowania dowolnego wpisu lub listy wpisów do pliku CSV lub Excel, a także dokumentów powiązanych z tym wpisem. Aby z niego skorzystać, przejdź do widoku listy na dowolnym ekranie, wybierz wspis(y) i kliknij Akcje > Eksportuj, a następnie wybierz "Eksportuj wszystkie dane". Narzędzie pozwoli Ci wybrać pola, które chcesz wyeksportować.

Prawo do bycia zapomnianym (art. 17)

RODO przyznaje osobom, których dane dotyczą, prawo do żądania usunięcia ich danych osobowych na określonych warunkach, takich jak:

  • Dane te nie są już potrzebne zgodnie z celem;
  • Wycofują zgodę na przetwarzanie, które opierało się wyłącznie na zgodzie;
  • Przetwarzanie jest w inny sposób niezgodne z prawem.

Jeśli stwierdzisz, że żądanie jest uzasadnione i potwierdziłeś tożsamość podmiotu, możesz spróbować usunąć odpowiedni kontakt w Odoo. Wszystko odbywa się bezpiecznie: system zablokuje operację, jeśli jakiś dokument biznesowy nadal odnosi się do kontaktu (faktura, kontakt, zamówienie dostawy, post na forum itp.) W takim przypadku powinieneś zdecydować, czy masz inne zobowiązania do przechowywania tych dokumentów i musisz odrzucić żądanie usunięcia.

Jeśli nie masz prawnego powodu, aby zachować dane osobowe, ale nie możesz lub nie chcesz usunąć dokumentu lub kontaktu, rozważ jego anonimizację. Możesz zmienić nazwę kontaktu i jego rozpoznawalne dane (adres e-mail, adres itp.) lub ponownie przypisać dokumenty do ogólnego anonimowego kontaktu. Po prawidłowej anonimizacji dane te nie będą już danymi osobowymi.

Ograniczenie przetwarzania (art. 18) i wycofanie zgody (art. 7)

Użytkownicy często proszą o anulowanie subskrypcji komercyjnych wiadomości e-mail. Jeśli Twoje wiadomości zostały wysłane za pośrednictwem Odoo, użytkownicy mogą to zrobić samodzielnie, korzystając z linku do rezygnacji z subskrypcji w stopce. Możesz także ręcznie zaznaczyć pole “rezygnacja” w kontakcie lub potencjalnym kliencie/szansie. Wpisy oznaczone jako “opt-out” są automatycznie wykluczane z masowych kampanii mailingowych, ale nadal mogą otrzymywać bezpośrednie wiadomości od użytkowników (np. wyceny, faktury).

Prawo do sprostowania (art. 16) i dokładności danych (art. 5 ust. 1 lit. d)

Nieprawidłowe/zmieniające się adresy e-mail są częstym źródłem błędów danych. Gdy integracja z pocztą e-mail jest poprawnie skonfigurowana (domyślnie w Odoo Cloud), Odoo obsługuje odrzucenia wiadomości e-mail w Twoich masowych wysyłkach e-mail i zwiększa pole współczynnika odrzuceń o liczbę odrzuconych wiadomości. Możesz okresowo przeglądać swoje kontakty lub potencjalnych klientów za pomocą niestandardowego wyszukiwania "Współczynnik odrzuceń większy niż 0" i czyścić/usuwać je.

Obserwujący kanały Odoo Discuss są automatycznie wypisywani z subskrypcji po 10 odrzuceniach.

Jeśli chodzi o poprawianie danych, użytkownicy i klienci mogą również edytować swoje dane osobowe (imię i nazwisko, adres e-mail, adres) za pośrednictwem portalu Odoo.

Zgoda (Art. 7)

Zbierając dane osobowe za pośrednictwem domyślnych mechanizmów Odoo (np. formularza kontaktowego, subskrypcji listy mailingowej, subskrypcji wydarzeń), musisz ustalić cel i podstawę prawną przetwarzania. Zależy to w dużej mierze od tego, w jaki sposób będziesz wykorzystywać te dane.

Jeśli cel jest konkretny i oczywisty (np. przechowywanie zarejestrowanych uczestników wydarzenia w celu informowania ich o czasie trwania wydarzenia; zapisanie kogoś na wybraną przez niego listę mailingową), nie musisz prosić o ich wyraźną zgodę (dane osobowe są niezbędne do zawarcia umowy - art. 6 ust. 1 b) RODO. Nadal jednak musisz jasno określić cel dla użytkownika i odnieść się do swojej strony Polityki Prywatności, gdzie podajesz więcej informacji. Możesz użyć kreatora stron Odoo do edycji formularzy i dodania wymaganych wzmianek.

Jeśli jednak planujesz wykorzystać zebrane dane do innych celów, musisz uzyskać od użytkownika wyraźną zgodę na każdy cel. Zalecanym sposobem jest dodanie pól wyboru do formularza, aby uzyskać zgodę na każdy konkretny cel (np. "Proszę o przesyłanie mi rabatów i promocji na podobne produkty pocztą elektroniczną"). Aby to zrobić w Odoo, możesz:

  1. Użyj Odoo Studio, aby dodać pole wyboru (boolean) na dokumencie gromadzącym dane osobowe (np. leady/okazje), aby wyrazić zgodę na ten cel.
  2. Dodaj pole wyboru w formularzu na swojej stronie internetowej za pomocą kreatora stron Odoo.
  3. Użyj tego pola podczas przetwarzania danych w tym celu, na przykład w filtrach segmentów kampanii marketingowych.

Prywatność uwzględniona w projekcie (art. 25)

Bezpieczeństwo od samego początku leży u podstaw naszych prac badawczo-rozwojowych w Odoo i stosujemy najlepsze praktyki w zakresie bezpieczeństwa, aby nasze oprogramowanie było było bezpieczne, solidne i niezawodne dla wszystkich.

Kontrola dostępu - Domyślny mechanizm kontroli dostępu oparty na grupach w Odoo pozwala ograniczyć dostęp do danych osobowych zgodnie z rolą i potrzebami każdego użytkownika. (np. kierownik projektu może nie potrzebować dostępu do aplikacji rekrutacyjnej). Jeśli weryfikujesz przypisania grup użytkowników i utrzymujesz je prawidłowo, gdy role zmieniają się w Twojej organizacji, masz silną podstawę prywatności. Możesz łatwo dodawać lub modyfikować grupy użytkowników, aby dostosować je do swojej organizacji.

Reguły wpisów - Aby precyzyjnie dostosować dostęp do danych osobowych, możesz użyć koncepcji reguł wpisów, które pozwalają ograniczyć dostęp do dokumentów według dowolnego kryterium opartego na wartościach pól. Reguły wpisów mogą blokować operacje odczytu i/lub zapisu i działają w odniesieniu do poszczególnych dokumentów. Aby uzyskać więcej informacji, zapoznaj się z naszą dokumentacją.

Hasła - Odoo przechowuje hasła użytkowników za pomocą bezpiecznego haszowania zgodnego ze standardami branżowymi. Możliwe jest również korzystanie z zewnętrznych systemów uwierzytelniania, takich jak OAuth 2.0 lub LDAP, aby w ogóle uniknąć przechowywania haseł użytkowników.

Dane pracowników - Jednym z obszarów, w którym bazy danych Odoo mogą zawierać wrażliwe dane osobowe, jest zakładka Informacje prywatne w formularzu pracownika i jego umowach. Ta część katalogu pracowników jest widoczna tylko dla pracowników działu kadr (grupa "HR Officer"), którzy potrzebują jej do swojej pracy. Ochrona ta rozciąga się na osobiste adresy pracowników: w Odoo 12 do Odoo 17 są one przechowywane jako Kontakty typu "Prywatne", które są widoczne tylko dla pracowników działu kadr. Od wersji 17.0 jest on przechowywany bezpośrednio w rejestrze pracownika.

Bezpieczeństwo przetwarzania (art. 25 i 32)

Jeśli korzystasz z usług Odoo Online lub Odoo.sh, wdrażamy najlepsze praktyki w zakresie bezpieczeństwa i prywatności na wszystkich poziomach. Więcej informacji na ten temat znajdziesz na naszej stronie Polityki Bezpieczeństwa.
Jeśli korzystasz z Odoo lokalnie, jesteś odpowiedzialny za przestrzeganie najlepszych praktyk bezpieczeństwa. Możesz zacząć od zaleceń dotyczących bezpieczeństwa zawartych w naszej dokumentacji wdrożeniowej.