Översikt

Nya integritetsföreskrifter och bästa gällande praxis med Odoo

Sedan 25 maj 2018, Dataskyddsförordningen (GDPR) är gällande, vilket har inlett en ny era av dataskydd och integritet som garanteras för alla. Även om du förmodligen hört och läst mycket om GDPR så kan det vara svårt att förstå exakt vad det innebär för just ditt företag i praktiska termer och vad du borde göra för att följa de nya reglerna.

Hos Odoo är vi inställda på att följa bästa praxis när det kommer till säkerhet och integritet. Vi strävar efter att förse alla användare och kunder med samma nivå av skydd, utan att göra skillnad på olika geografiska platser eller medborgarskap. Och vi använder bästa praxis när vi hanterar alla sorters data, inte bara för personuppgifter.

Odoo SA och dess filialer är agerar därmed i enlighet med GDPR.

Viktig information om dataskyddsförordningen (GDPR)

Tips
Om du kan, så är det bästa sättet för att förstå sig på GDPR att Läs den officiella texten.
Den är lite lång (99 artiklar på 88 sidor), men ganska läsvärd för icke-experter.

Det är EU-lagstiftning som ämnar att harmonisera och modernisera befintlig integritetslagstiftning, såsom det EU-direktiv för Dataintegritet som det ersätter. Det definierar regler för skydd av naturliga personer när det kommer till att hantera deras personliga data, samt det fria flödet av personuppgifter inom Europa.

Det är en föreskrift, inte ett direktiv, och gäller därför omedelbart i alla EU-länder, utan att behöva inarbetas i varje lands inhemska lagstiftning. EU-länder har en begränsad tidsmarginal för att tolka de finare detaljerna, men de grundläggande reglerna gäller för alla, oavsett var i EU de befinner sig.

GDPR för också lagstiftningen till nästa århundrade genom att ha flera moderna aspekter i åtanke som sociala medier, datormoln, nätbrottslighet och de största utmaningarna som dessa aspekter orsakar när det kommer till datas integritet och säkerhet.

Summan av kardemumman: Få inte panik!

GDPR är inte någon banbrytande lagstiftning och det är dessutom i grunden ett bra skydd för både privatpersoner och företag.

Det är positivt!

Vi vill betona att Dataskyddsförordningen kan vara fördelaktig både för dig och dina kunder. Att följa Dataskyddsförordningen kan initialt innebära en del arbete, men de nya reglerna har också sina fördelar:

  • Ökat förtroende från både kunder och användare
  • Förenkling: samma regler gäller för alla länder inom EU
  • Rationalisera och centralisera dina processer i din organisation

Syftet med Dataskyddsförordningen är att ge individer större kontroll över sina personuppgifter. Om ditt företag inför rätt strategier och system blir det enklare att hantera, säkrare och tryggare under många år framöver.

Vad är riskerna ifall du inte följer detta?

Den högsta påföljden för överträdelser är administrativa böter på 20 miljoner euro eller 4 % av företagets globala årliga omsättning, beroende på vilket belopp som är högst. För mindre överträdelser gäller en lägre högsta påföljd på 10 miljoner euro eller 2 % av företagets globala årliga omsättning.

Dessa maxnivåer är tänkta att vara avskräckande för företag i alla möjliga storlekar, men enligt GDPR bör böterna även vara proportionella.

Tillsynsmyndigheter (så kallade Dataskyddsombud: DSO) måste ha i åtanke omständigheterna i varje fall, inklusive dess faktorer, allvarsnivån och överträdelsens varaktighet. Dessa DSO:er har också möjligheten att undersöka specifika fall och ålägga korrigerande åtgärder vilken kan inkludera begränsning av den överträdande aktiviteten utan att nödvändigtvis behöva ålägga böter i varje fall.

En annan möjlig konsekvens om du inte följer detta är att dina kunder och möjliga kunder inte kan lita på dig, speciellt om dem är försiktiga med hur deras information behandlas!

Slutligen så har många dataskyddsmyndigheter antytt att de inte kommer att ålägga böter år 2018, men de förväntar sig att företag ska kunna demonstrera att de arbetar mot att följa alla föreskrifter.

Huvudprinciper för dataskyddsförordningen (GDPR)

Omfattning

Föreskrifterna gäller all behandling av personuppgifter av alla organisationer:

  1. Om den personuppgiftsansvarige befinner sig inom EU
  2. Om organisationen inte befinner sig inom EU, men behandlar personuppgifter för registrerade som befinner sig inom EU, och är relaterad till kommersiella erbjudanden eller beteendeövervakning.

Detta innefattar därmed även företag utanför EU, vilket inte var fallet med tidigare lagstiftning.

Roller

Lagstiftningen särskiljer mellan två huvudsakliga typer av enheter:

  • Personuppgiftsansvarig: en enhet som avgör det syfte och de sätt på vilka personuppgifter ska behandlas, ensam eller tillsammans. Som en generell regel så verkar varje enskild organisation som personuppgiftsansvarig för sin egen insamlade data.
  • Personuppgiftsbiträde: alla enheter som behandlar data åt en personuppgiftsansvarig.

Om ditt företag till exempel har en databas som hostas på Odoo Cloud så är du personuppgiftsansvarigför den databasen, och Odoo SA fungerar bara som ett biträde. Om du däremot använder Odoo on-premise så fungerar du både som ansvarig och biträdeför personuppgifterna.

Personlig data

GDPR ger en generell definition av vad som räknas som personuppgifter: all information relaterade till en identifierad eller identifierbar naturlig person. En identifierbar person är någon som kan bli identifierad, direkt eller indirekt, utifrån deras namn, e-postadresser, telefonnummer, biometrisk information, platsdata, finansuppgifter, och så vidare. Identifikationsuppgifter online (IP-adresser, ID-nummer för specifika enheter...) innefattas också av detta.

Detta gäller även i företagssammanhang: info@odoo.com anses inte vara en personlig mejladress, men john.smith@odoo.com gör det, eftersom att adressen kan användas för att identifiera en fysisk person inom ett företag.

GDPR ställer också krav på en högre nivå av skydd för känslig data, vilket inkluderar specifika kategorier av personlig data såsom uppgifter om hälsa, genetik, etnicitet eller religion.

Databehandlingsprinciper

För att följa dessa föreskrifter, så måste personuppgiftsbehandling följa följande regler:
(som listas i Artikel 5 i GDPR)

  1. Lagriktighet, rättvishet och transparens: för att samla in data, så måste du ha en juridisk grund, ett tydligt syfte, och du måste även tydligt informera personen i fråga.

    • Ha en tydlig och enkel integritetspolicy och hänvisa till den varje gång du samlar in data
    • Verifiera den juridiska grunden för varje enskild databehandlingsaktivitet

  2. Ändamålsbegränsning: när uppgifterna har samlats in för ett visst ändamål, behöver du be om tillåtelse om du vill använda dem för ett annat ändamål.

    Du får t.ex. inte sälja vidare kunddata om inte den samlats in med det syftet i åtanke.

  3. Minimalism: du bör endast samla in den data som är nödvändig för ditt syfte

  4. Noggrannhet: rimliga åtgärder bör vidtas för att se till att data hålls uppdaterad med hänsyn till syftet

    t.ex. - Försäkra dig om att du kan hantera fellevererade mejl genom att rätta eller radera relaterade mejladresser.

  5. Begränsning av lagring: personuppgifter ska endast sparas under den tid som krävs för att uppfylla det primära syftet.

    Definiera tidsfrister för radering eller granskning av de personuppgifter som du behandlar, beroende på deras syfte.

  6. Integritet och konfidentialitet: personuppgiftsbiträden måste implementera passande åtkomstkontroller, säkerhet och förebyggande åtgärder för förluster av data, utifrån de typer och det omfång av data som behandlas.

    t.ex. - Försäkra dig om att dina backupsystem fungerar, ha passande säkerhetskontroller på plats, använda kryptering för att skydda känslig information som lösenord, och så vidare...

  7. Ansvar: de som hanterar personuppgifter är ansvariga för och måste kunna visa att de följer alla ovanstående behandlingsprinciper.

    • Etablera och behåll en datakartläggningsreferens för ditt företag som beskriver hur du följer stadgad lagstiftning vid databehandlingsaktiviteter
    • Håll kunder informerade genom en tydlig Integritetspolicy
Juridisk grund

För att vara laglig under GDPR (första principen) måste behandling av personuppgifter baseras på en av sex möjliga juridiska grunder som listas i Artikel 6 (1):

  1. Samtycke. Giltigt när den registrerade uttryckligen och utan förbehåll har gett samtycket efter att ha blivit grundligen informerad, inklusive ett tydlig, uttalat och specifikt syfte. Bevisbördan för allt detta ligger hos den ansvarige.
  2. Nödvändigt för att genomföra ett kontrakt, eller för att fullfölja förfrågningar från den registrerade, när ett kontrakt förbereds.
  3. I enlighet med juridiska skyldigheter som åläggs den ansvarige.
  4. Skyddar ett grundläggande intresse. När processen är nödvändig för att rädda ett liv.
  5. Allmänintresse eller officiell auktoritet.
  6. Legitimt intresse. Gäller när den personuppgiftsansvarige har ett legitimt intresse som inte överskuggas av de intressen och grundläggande rättigheter som innehas av den registrerade.

En stor förändring som GDPR har bidragit med över tidigare datalagstiftning är hårdare krav för att få giltigt samtycke.

Den registrerades rättigheter

Befintliga rättigheter för individer när det kommer till datasäkerhet förklaras ytterligare av GDPR. Organisationer måste vara förberedda att hantera förfrågningar från registrerade i god tid (inom 1 månad), helt gratis:

  1. Åtkomsträtt - Individer har rätt att få veta vilken av deras personuppgifter som behandlas och hur de behandlas, med full insyn;
  2. Rätt till rättelse - Individer har rätt att begära rättelse eller komplettering av sina personuppgifter;
  3. Rätt att radera - Individer har rätt att begära att deras personliga information blir raderad av legitima anledningar (tillbakadraget samtycke, inte längre nödvändigt för syftet, och så vidare);
  4. Rätt till restriktion - Individer kan begära att den personuppgiftsansvarige slutar behandladeras personuppgifter, om de inte vill eller kan begära att uppgifterna raderas helt;
  5. Rätt att protestera - Individer har rätt att motsäga sig viss behandling av deras personliga information när som helst, till exempel i direkt marknadsföringssyfte;
  6. Dataöverföringar - Individer har rätt att begära att få tillgång till deras personliga data som kontrolleras av en ansvarig, eller att datan skickas till en annan ansvarig.

Hur du bör anpassa dig till dataskyddsförordningen (GDPR)

OBS
Vi kan inte ge juridisk rådgivning, denna sektionen avser bara att informera. Vänligen kontakta en juridisk rådgivare för att avgöra på vilka sätt just din verksamhet omfattas av GDPR.

Här är de huvudsakliga steg vi föreslår för att följa dataskyddsförordningen (GDPR) i praktiken:

  1. Upprätta en datakartläggning över din organisations databehandlingsaktiviteter för att få en tydlig bild av situationen. Dataskyddsmyndigheter tillhandahåller ofta kalkylark med mallar att utgå ifrån i detta arbete. Dokumentera för varje process vilken typ av personuppgifter det rör sig om och hur de samlats in, syftet, den rättsliga grunden och raderingspolicyn för den specifika processen, de tekniska och organisatoriska säkerhetsåtgärderna som vidtagits samt de personuppgiftsbiträden som är inblandade.

    Du kommer behöva underhålla kartläggningen av datan regelbundet, allteftersom att dina processer utvecklas över tid.
  2. Baserat på steg 1, välj en Saneringsstrategi för alla processer där du inte har en juridisk grund (t.ex. förlorat innehåll) eller där du inte använder dig av passande säkerhetsåtgärder. Anpassa dina processer, interna procedurer, regler för åtkomstkontroll, säkerhetskopieringar, övervakning, och så vidare.
  3. Uppdatera och publicera en tydlig Integritetspolicy på din hemsida. Redogör för vilka personuppgifter du behandlar, vilka metoder du använder och vilka rättigheter individer har när det kommer till deras data.
  4. Läs igenom dina kontrakt i samråd med en juridisk rådgivare, och anpassa dem enligt GDPR.
  5. Avgör hur du kan besvara olika typer av förfrågningar från registrerade.
  6. Förbered din Åtgärdsplan vid incidenter i händelse av dataintrång.

Beroende på din situation skulle andra faktorer kunna läggas till på listan, som tilldelningen av ett dataskyddsombud. Få rådgivning från dina interna personuppgiftsexperter och juridisk rådgivning för att avgöra om ytterligare åtgärder är relevanta i varje fall.

Kom ihåg!
Att etablera en tydlig kartläggning av dina processer gör det enklare att följa gällande rekommendationer!

Hur Odoo följer dataskyddsförordningen (GDPR)

Hos Odoo är det inte en ny företeelse att implementera rutiner för att främja skydd av integritet och säkerhet. Eftersom vi är ett företag som hostas i molnet så arbetar vi kontinuerligt på att uppdatera och förbättra våra system, verktyg och processer, för att kunna upprätthålla en trygg och säker plattform för alla användare.

Våra GDPR-roller

Vårt ansvar när det kommer till skydd av personuppgifter beror på våra olika databehandlingsaktiviteter:

Våra roller Behandling av data Typer av data
Personuppgiftsansvarig & biträden På Odoo.com Personlig information som skickats in till oss direkt från kunder och möjliga kunder, våra partners och alla direkta användare på Odoo.com (namn, mejladresser, adresser, lösenord, och så vidare)
Personuppgiftsbiträden På Odoo Cloud
(Odoo Online, Odoo.sh och andra Odoo Enterprise-tjänster) 		Alla personuppgifter lagras i kundernas databaser, som hostas i Odoo Cloud eller överförs till oss i syftet att använda en av våra tjänster. Databasens ägare är personuppgiftsansvarig.
Utan roll On-Premise All data som befinner sig i Odoos databaser och som hostas on-premise eller i en hosting som inte bedrivs av oss.

Våra GDPR-dokument

Som personuppgiftsansvarig, så berörs våra aktiviteter i vår Integritetspolicy, vilka har uppdaterats för GDPR. Denna policy förklarar så tydligt som möjligt vilken data vi behandlar, varför vi behandlar den, samt hur vi behandlar den. Nära kopplat till detta är vår Säkerhetspolicy redogör för de bästa säkerhetsrutiner som vi har implementerat hos Odoo, på alla nivåer (teknisk och organisatorisk) för att garantera att din data behandlas på ett tryggt och säkert sätt.

Utöver dessa policyer så faller våra aktiviteter som personuppgiftsbiträdeunder acceptansen av vår Odoo Enterprise Prenumerationsavtal. Detta avtal har uppdaterats för att lägga till de nödvändiga dataskyddsklausulerna (ofta refererade till som ett "databehandlingsavtal") enligt kraven i GDPR.
Som Kund hos Odoo S.A. behöver du inte göra något för att acceptera dessa ändringar, du drar redan nytta av de nya garantierna, och om vi inte hör något från dig så kommer det att anses som ett samtycke!

Utöver dessa dokument, så har vi dessutom uppdaterat vår hemsida för att infoga integritetsnotiser på relevanta ställen, för att hålla våra användare ständigt informerade och uppdaterade.

Hur hjälper Odoo dig att implementera bra vanor när det kommer till GDPR

Att enbart använda Odoo för att bedriva din verksamhet räcker inte för att arbeta enligt GDPR, eftersom lagstiftningen gäller hela din verksamhet. Odoo hjälper dig däremot att följa GDPR på ett mer effektivt vis då det centraliserar din data, minskar risken för överflödig data, samt implementerar grundläggande åtkomstbehörighet och säkerhetsfunktioner.

Här är några sätt som vi tror att Odoo kan hjälpa dig på när det kommer till GDPR, både för databaser som är hostade on-premise och genom Odoo Cloud.

OBS: som alltid bör du rådgöra med din juridiska rådgivare för att avgöra hur du bör göra för att bäst följa GDPR och förfrågningar från de registrerade. Ha ständigt i åtanke att du kan behandla personliga uppgifter även utanför Odoo.

Rätt till åtkomst (Art. 15) och rätt till flyttbar data (Art. 20)

  • Odoo förser registrerade personer med verktyg för att själva kunna få tillgång till och uppdatera sina personuppgifter:
    • Kundportalen låter användare läsa igenom kontrakt och handlingar: adresser och kontakter, fakturor, offerter, beställningar, aktiviteter, kundtjänstärenden, inköp, prenumerationer, leveransordrar, betalningar samt all kommunikation runt dessa handlingar.
    • Sidan för e-postlistor, låter användare se och hantera sina prenumerationer (Till exempel för odoo.com: https://www.odoo.com/groups)
    • Forumprofilen låter användare på ditt forum se alla sina aktiviteter på ett ögonblick
  • Om du behöver exportera all data, eller kommunicera privat data som inte finns tillgänglig genom portalen, så krävs det vissa manuella åtgärder.
    Vanligtvis kan du nå alla relevanta dokument direkt från verktygsfältet överst i de kontaktformulär till vilka användarna är kopplade. Du kan därefter exportera all information med funktionen "Skriv ut som PDF" från din webbläsare, eller genom att klicka på Händelse>Exportera i menyn från kontaktlistan eller listan över dokument.
    Båda alternativ genererar digitala filformat som hanterar datan i enlighet med dataskyddsförordningens (GDPR) föreskrifter.
  • Utöver det så kanske inte informationen är länkad till kontaktformuläret, om den registrerade har skickat in informationen i en separat kontext. I sådana fall bör du även granska dessa, till exempel genom att söka efter deras namn eller e-postadress
    • Prenumerationer på evenemang
    • Leads & Möjligheter i din CRM

Kom ihåg: Utöver att kunna exportera som PDF genom din webbläsare, så har Odoo dessutom ett verktyg för att exportera alla handlingar, eller listor över handlingar, till en CSV eller Excel-fil, tillsammans med alla relaterade dokument kopplade till den specifika handlingen. För att göra detta kan du gå till list-vyn i den relaterade skärmen, välja eventuella handlingar och klicka på Åtgärd > Exportera, för att sedan välja "Exportera all data". Verktyget låter dig sedan välja de specifika fält som du vill exportera.

Rätt att bli glömd (Art. 17)

GDPR ger registrerade personer rätten att begära att deras personuppgifter ska raderas, under specifika villkor, såsom:

  • Datan är inte längre nödvändig enligt det ursprungliga syftet;
  • De tar tillbaka sitt samtycke för en process som enbart baserades på samtycke;
  • Processen är annars olaglig.

Om du fastställer att begäran är legitim och du har bekräftat personens identitet,  så kan du försöka radera motsvarande kontakt i Odoo. Det görs på säkert vis: systemet kommer automatiskt att blockera operationen om en aktiv affärshandling fortfarande är kopplad till kontakten (faktura, kontaktuppgiftsformulär, leveransorder, foruminlägg, och så vidare). I så fall bör du avgöra för varje fall huruvida du har andra skyldigheter att behålla dessa dokument och blir då tvungen att avslå begäran om radering.

Om du inte har någon juridisk anledning att behålla personuppgifterna, men samtidigt inte kan eller vill radera en handling eller en kontakt, så kan du istället överväga att anonymisera dem. Du kan byta namn på kontakten och ändra dess identifierbara uppgifter (e-postadress, adress osv.), eller så kan du omfördela handlingarna till en generisk anonym kontakt. När uppgifterna har anonymiserats på rätt sätt kommer de inte längre att räknas som personuppgifter.

Begränsning av behandling (Art. 18) samt tillbakadragande av samtycke (Art. 7)

Användare ber ofta om att få avsluta prenumerationen på kampanjmeddelanden. Om dina utskick skickades via Odoo kan användarna göra det själva med hjälp av en länk i sidfoten på varje utskick. Men du kan också själv manuellt markera fältet "avfölj" på en kontakt eller lead/möjlighet. Poster som är markerade med "avfölj" utesluts automatiskt från massutskick, men kan fortfarande ta emot direktmeddelanden från användare (t.ex. offerter, fakturor).

Rätt till rättelse (Art. 16) och överensstämmande data (Art. 5 (1) d)

Ogiltiga/ändrade e-postadresser är en vanlig orsak till datafel. När integrationer med e-post har rätt inställningar (detta görs som standard på Odoo Cloud), så hanterar Odoo studsningar i dina massutskick och skapar ett Studsat fält med antalet studsade meddelanden. Du kan granska dina kontakter eller prospekt regelbundet genom att söka på "Studsa större än 0" och städa/radera dem.

Följare av kanaler i Odoo Diskutera blir automatiskt avföljda efter 10 fellevererade meddelanden.

När det kommer till ändringar, så kan användare och kunder även rätta sin egen personliga information (namn, mejladress, adress) genom Odoo-portalen.

Samtycke (Art. 7)

När du samlar in personuppgifter genom Odoos standardmekanismer (t.ex. kontaktformulär, prenumerationer på e-postlistor, evenemangsanmälningar), så måste du etablera ett syfte och en juridisk grund för behandlingen. Dessa faktorer beror på hur du kommer att använda datan.

Om syftet är specifikt och uppenbart (t.ex. spara anmälda evenemangsdeltagare för att hålla dem informerade om evenemanget; skriva upp någon som följare på en e-postlista), så behöver du inte be om deras uttryckliga samtycke (personuppgifterna är nödvändiga för ett avtal - Art. 6 (1) b). Du måste dock fortfarande klargöra syftet för användaren och referera till din integritetspolicy där du ger mer information. Du kan använda Odoos hemsidesbyggare för att redigera formulären och lägga till den nödvändiga informationen.

Om du planerar att använda de insamlade uppgifterna för andra ändamål måste du dock inhämta uttryckligt samtycke från användaren för varje enskilt ändamål. Den rekommenderade metoden är att lägga till kryssrutor i formuläret för att få samtycke för varje specifikt ändamål (t.ex. ”Skicka mig rabatter och erbjudanden på liknande produkter via e-post”). För att göra detta med Odoo kan du:

  1. Använd Odoo Studio för att lägga till en kryssruta (boolean) i dokument där du samlar in personlig information (t.ex. leads/möjligheter), för att be om samtycke i det syftet
  2. Lägg till en kryssruta i ditt hemsidesformulär genom Odoos hemsidesbyggare
  3. Använd det fältet när du behandlar data i detta syfte, till exempel i dina segmenteringsfilter för marknadsföringskampanjer

Utformat för integritet (Art. 25)

Säkerhet genomsyrar allt F&U-arbete som vi gör hos Odoo, och vi använder oss av de bästa säkerhetsrutinerna för att skapa vår programvara Säker, stabil och uthållig för alla.

Åtkomstkontroll - Med standardmekanismen för gruppbaserad åtkomstkontroll i Odoo kan du begränsa åtkomsten till personuppgifter enligt varje användares roll och behov. (t.ex: en projektledare kanske inte behöver ha åtkomst till jobbansökningar). Om du granskar användargruppernas åtkomst och upprätthåller dem regelbundet allt eftersom att rollerna ändras i din organisation, har du en stark integritetsbas. Du kan enkelt lägga till eller redigera användargrupper för att skräddarsy dem utifrån din organisation.

Protokollregler - För att finjustera tillgången till dina personuppgifter, så kan du använda konceptet av protokollregler, vilket låter dig begränsa tillgången till specifika dokument enligt förvalda kriterier baserade på fältvärden. Protokollregler kan blockera läs- eller skrivoperationer, och de appliceras per dokument. För mer information, vänligen hänvisa till vår dokumentation.

Lösenord - Odoo sparar användares lösenord med hjälp av säker hashing som följer branschstandarden. Det är också möjligt att använda externa autentiseringssystem som OAuth 2.0 eller LDAP, för att undvika att själv behöva lagra och ha ansvar för användares lösenord.

Anställningsuppgifter- Ett område där Odoos databaser troligtvis innehåller känsliga personliga uppgifter är under fliken Privat information i anställdas informationsformulär och deras kontrakt. Denna del av medarbetarregistret är bara tillgängligt för HR-personal (gruppen "HR-kontor") som behöver informationen i sitt ämbete. Detta skydd sträcker sig även till anställdas privata adresser: från Odoo 12 till Odoo 17, sparas adresserna som Kontakter av typen "Privat" som bara är synliga för HR-personal. Från och med 17.0, så sparas informationen direkt i profilen i appen Anställda.

Säkerhet vid processer (Art. 25 & 32)

Om du använder Odoo Online eller Odoo.sh-tjänster, så implementerar vi säkerhetsåtgärder och rutiner på alla nivåer. Läs mer om det i vår Säkerhetspolicy.
Om du använder Odoo på plats är du ansvarig för att följa bästa praxis för säkerhet. Du kan börja med säkerhetsrekommendationer av vår implementeringsdokumentation.