ภาพรวม

กฎหมายความเป็นส่วนตัวใหม่ และแนวทางปฏิบัติที่ดีที่สุดสำหรับ Odoo

ตั้งแต่วันที่ 25 พฤษภาคม 2561 เป็นต้นมา General Data Protection Regulation (GDPR) มีผลบังคับใช้ ได้เวลาเข้าสู่ยุคใหม่ของการปกป้องข้อมูลและความเป็นส่วนตัวสำหรับทุกคน แม้ว่าคุณจะเคยได้ยินและอ่านข้อมูลจำนวนมากเกี่ยวกับ GDPR มาก่อน แต่ก็อาจเป็นเรื่องยากที่จะเข้าใจว่าสิ่งนี้มีความหมายต่อธุรกิจของคุณอย่างไร, ในแง่ของการปฏิบัติ, และ สิ่งที่คุณควรทำคืออะไร เพื่อให้สอดคล้องกับกฎระเบียบใหม่

Odoo มุ่งมั่นที่จะปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดในด้านความปลอดภัยและความเป็นส่วนตัว เรามุ่งมั่นที่จะให้การปกป้องในระดับเดียวกันแก่ผู้ใช้งานและลูกค้าทุกคน โดยไม่แบ่งแยกตำแหน่งหรือสัญชาติของผู้ใช้ และเราใช้แนวทางปฏิบัติที่ดีที่สุดเหล่านั้นกับข้อมูลทั้งหมด ไม่เพียงแค่ข้อมูลส่วนบุคคลเท่านั้น

ดังนั้น Odoo SA และบริษัทสาขาได้ปฏิบัติตามกฎระเบียบของ GDPR

สิ่งที่คุณต้องรู้เกี่ยวกับกฎระเบียบ GDPR

คำใบ้
หากทำได้ วิธีที่ดีที่สุดในการทำความเข้าใจกฎระเบียบของ GDPR ก็คือ อ่านข้อความอย่างเป็นทางการ
มันค่อนข้างยาว (99 บทความที่มากกว่า 88 หน้า) แต่สามารถอ่านได้สำหรับผู้ที่ยังไม่เชี่ยวชาญ

นี่เป็นกฎระเบียบของสหภาพยุโรป ที่มีจุดมุ่งหมายที่จะประสาน และ ปรับปรุงกฎหมายความเป็นส่วนตัวที่มีอยู่ให้มีความทันสมัย เช่น คำสั่งความเป็นส่วนตัวของข้อมูลของสหภาพยุโรปที่มาแทนที่ ซึ่งได้วางกฎสำหรับการคุ้มครองบุคคลธรรมดาเกี่ยวกับการประมวลผลข้อมูลส่วนบุคคลของพวกเขา และการไหลเวียนของข้อมูลส่วนบุคคลอย่างเสรีในยุโรป

นี่เป็นเพียงกฎระเบียบที่ไม่ใช่คำสั่ง ดังนั้นจึงมีผลบังคับใช้ทันทีในทุกประเทศสมาชิกสหภาพยุโรป โดยไม่ต้องเปลี่ยนไปสู่กฎหมายภายในประเทศของแต่ละประเทศ ประเทศในสหภาพยุโรปมีขอบเขตจำกัดในการตีความสำหรับประเด็นปลีกย่อย แต่กฎพื้นฐานจะเหมือนกันสำหรับทุกคนในทุกพื้นที่ของสหภาพยุโรป

กฎระเบียบของ GDPR ได้นำ กฎหมายไปสู่สหัสวรรษหน้า โดยคำนึงถึงสื่อสังคมออนไลน์ คลาวด์คอมพิวติ้ง อาชญากรรมทางไซเบอร์ และความท้าทายที่สำคัญที่เกิดขึ้นในแง่ของความเป็นส่วนตัวและความปลอดภัยของข้อมูลส่วนตัว

โดยสรุป: ไม่ต้องกังวลไป!

GDPR ไม่ใช่กฎระเบียบใหม่ที่จะสร้างจุดแตกหักให้แก่ผู้คน แต่เป็นกฎหมายที่ดีขั้นพื้นฐานสำหรับพลเมืองและธุรกิจทั่วไป

ซึ่งเป็นข้อดี!

เราต้องการเน้นย้ำว่ากฎระเบียบ GDPR นั้นดีต่อคุณและลูกค้าของคุณ การปฏิบัติตามกฎระเบียบ GDPR ในตอนแรกอาจแสดงถึงการเตรียมงานจำนวนมาก แต่กฎระเบียบใหม่นี้มีข้อดีหลายอย่าง:

  • เพิ่มความเชื่อมั่นจากลูกค้าและผู้ใช้ของคุณ
  • การทำให้เข้าใจง่าย: ใช้กฎเดียวกันในทุกประเทศทั่วสหภาพยุโรป
  • การหาเหตุผลและการรวมศูนย์ของกระบวนการในองค์กรของคุณ

วัตถุประสงค์ของกฎระเบียบ GDPR คือให้ผู้ใช้สามารถควบคุมข้อมูลส่วนบุคคลของเขาได้มากขึ้น หากบริษัทของคุณวางกลยุทธ์และระบบที่ถูกต้อง การจัดการจะง่ายและ ปลอดภัยยิ่งขึ้น

มีความเสี่ยงอะไรบ้างหากคุณไม่ปฏิบัติตาม?

บทลงโทษสูงสุดสำหรับการไม่ปฏิบัติตามคือค่าปรับจำนวน 20 ล้านยูโร หรือ 4% ของมูลค่าการซื้อขายทั่วโลกต่อปีของคุณ แล้วแต่จำนวนใดจะสูงกว่า จำนวนเงินสูงสุดไม่เกิน 10 ล้านยูโรหรือ 2% ของมูลค่าการซื้อขายทั่วโลกต่อปีของคุณมีผลสำหรับการละเมิดที่มีโทษน้อยกว่า

ค่าสูงสุดเหล่านี้มีไว้เพื่อห้ามปรามสำหรับธุรกิจทุกขนาด แต่ GDPR ยังกำหนดให้ค่าปรับต้องคงไว้ให้เป็นไปตามสัดส่วนด้วย

หน่วยงานกำกับดูแล (หรือที่เรียกว่า Data Protection Authorities DPA) จะต้องคำนึงถึงสถานการณ์ของแต่ละกรณี รวมถึงลักษณะ ความรุนแรง และระยะเวลาของการละเมิด DPA เหล่านี้ยังได้รับอำนาจในการสอบสวนและกำหนดการดำเนินการแก้ไขซึ่งรวมถึงการจำกัดกิจกรรมที่ละเมิด โดยไม่จำเป็นต้องเสียค่าปรับ

ความเสี่ยงอีกหนึ่งอย่างถ้าหากคุณไม่ปฏิบัติตามก็คือ การสูญเสียความไว้วางใจจากลูกค้าและผู้มีโอกาสเป็นลูกค้าของคุณ ซึ่งเป็นคนที่สนใจวิธีที่คุณได้ทำการประมวลผลข้อมูลของพวกเขา

สุดท้ายนี้ DPA หลายแห่งบอกเป็นนัยว่าพวกเขาจะยังไม่เรียกเก็บค่าปรับในปี 2018 แต่พวกเขาคาดหวังว่าธุรกิจต่างๆ จะแสดงให้เห็นว่าพวกเขากำลังดำเนินการเพื่อปฏิบัติตามข้อกำหนด

หลักการสำคัญของ GDPR

ขอบเขต

ข้อบังคับนี้ใช้กับการประมวลผลข้อมูลส่วนบุคคลโดยองค์กรใดๆ:

  1. หากองค์กรควบคุมหรือประมวลผลตั้งอยู่ในสหภาพยุโรป
  2. หากองค์กร ไม่ได้ตั้งอยู่ในสหภาพยุโรป แต่การประมวลผลเกี่ยวข้องกับข้อมูลส่วนบุคคลของเจ้าของข้อมูลที่อยู่ในสหภาพยุโรป และเกี่ยวข้องกับข้อเสนอทางการค้าหรือการติดตามพฤติกรรม

ดังนั้น ขอบเขตจึงรวมถึงบริษัทนอกสหภาพยุโรป ซึ่งกฎหมายเก่าไม่ได้กำหนดไว้

ลักษณะงาน

ระเบียบนี้แบ่งหน่วยงานออกเป็นสองประเภทหลัก:

  • ผู้ควบคุมข้อมูล: หน่วยงานใดๆที่กำหนดวัตถุประสงค์ของวิธีการประมวลผลข้อมูลส่วนบุคคลโดยลำพังหรือร่วมกัน ตามกฎทั่วไปแล้วทุกองค์กรจะเป็นผู้ควบคุมข้อมูลของตนเอง
  • การประมวลผลข้อมูล: หน่วยงานใดก็ตามที่ประมวลผลข้อมูลในนามของผู้ควบคุมข้อมูล

ตัวอย่างเช่น หากบริษัทของคุณเป็นเจ้าของฐานข้อมูลที่โฮสต์บน Odoo Cloud คุณจะเป็นผู้ควบคุมฐานข้อมูลนั้น และ Odoo SA จะเป็นเพียงผู้ประมวลผลข้อมูลเท่านั้น หากคุณใช้ Odoo ในองค์กรแทน คุณจะเป็นทั้งผู้ควบคุมและประมวลผลข้อมูล

ข้อมูลส่วนบุคคล

กฎระเบียบของ GDPR ให้คำจำกัดความแบบกว้างของข้อมูลส่วนบุคคล: ข้อมูลใดที่เกี่ยวข้องกับบุคคลธรรมดาที่ระบุหรือสามารถระบุตัวตนได้ บุคคลที่สามารถระบุตัวตนได้คือบุคคลที่สามารถระบุตัวตนได้ทั้งทางตรงและทางอ้อม, โดยใช้ชื่อ อีเมล หมายเลขโทรศัพท์ ข้อมูลไบโอเมตริกซ์ ข้อมูลตำแหน่ง ข้อมูลทางการเงิน และอื่นๆ ตัวระบุออนไลน์ (ที่อยู่ IP, ID อุปกรณ์, …) ก็อยู่ในขอบเขตด้วย

สิ่งนี้ใช้กับบริบททางธุรกิจเช่นกัน: info@odoo.comไม่ถือว่าเป็นส่วนบุคคล แต่john.smith@odoo.comถือว่าเป็น เพราะสามารถใช้เพื่อระบุตัวบุคคลภายในบริษัทได้

นอกจากนี้กฎระเบียบของ GDPR ยังกำหนดให้มีการคุ้มครองข้อมูลที่มีความละเอียดอ่อนสูง ที่รวมถึงข้อมูลส่วนบุคคลบางประเภท เช่น ข้อมูลด้านสุขภาพ พันธุกรรม เชื้อชาติหรือศาสนา

หลักการประมวลผลข้อมูล

เพื่อให้เป็นไปตามข้อกำหนด กิจกรรมการประมวลผลต้องปฏิบัติตามกฎต่อไปนี้:
(ตามที่ระบุไว้ในมาตรา 5 ของ GDPR)

  1. ความถูกต้องตามกฎหมาย ความยุติธรรม และความโปร่งใส: ในการรวบรวมข้อมูล คุณต้องมีพื้นฐานทางกฎหมาย วัตถุประสงค์ที่ชัดเจน และคุณต้องแจ้งให้เจ้าของเรื่องทราบเกี่ยวกับข้อมูลดังกล่าว

    • มีนโยบายความเป็นส่วนตัวที่เรียบง่ายและชัดเจน และสามารถอ้างอิงได้ถึงทุกที่ที่คุณได้ทำการจัดเก็บข้อมูล
    • ตรวจสอบข้อพื้นฐานทางกฎหมายสำหรับกิจกรรมการประมวลผลข้อมูลแต่ละรายการของคุณ

  2. ข้อจำกัดวัตถุประสงค์: เมื่อรวบรวมวัตถุประสงค์แล้ว ให้ขออนุญาตถ้าต้องการใช้เพื่อวัตถุประสงค์อื่น

    ตัวอย่างเช่น - คุณไม่สามารถตัดสินใจขายข้อมูลลูกค้าของคุณได้หากข้อมูลนั้นไม่ได้รวมอยู่ในจุดประสงค์นั้น

  3. การลดขนาด: คุณควรจัดเก็บข้อมูลที่มีความจำเป็นตามวัตถุประสงค์ของคุณเท่านั้น

  4. ความถูกต้อง: ควรดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้แน่ใจว่าข้อมูลได้รับการอัปเดตอยู่เสมอโดยคำนึงถึงวัตถุประสงค์

    ตัวอย่างเช่น - ตรวจสอบให้แน่ใจว่าได้จัดการกับอีเมลที่ตีกลับ และแก้ไขหรือลบที่อยู่แล้ว

  5. ข้อจำกัดของพื้นที่เก็บข้อมูล: ข้อมูลส่วนบุคคลควรถูกเก็บไว้ตามระยะเวลาที่จำเป็นเท่านั้นเพื่อให้บรรลุจุดประสงค์หลัก

    กำหนดเวลาสำหรับการลบหรือตรวจสอบข้อมูลส่วนบุคคลที่ประมวลผล ขึ้นอยู่กับจุดประสงค์ของข้อมูลนั้น

  6. ความซื่อสัตย์และการรักษาความลับ: ผู้ประมวลผลข้อมูลต้องใช้มาตรการควบคุมการเข้าถึง การรักษาความปลอดภัย และการป้องกันการสูญหายของข้อมูลที่เหมาะสม ตามประเภทและขอบเขตของข้อมูลที่ถูกประมวลผล

    ตัวอย่างเช่น - ตรวจสอบให้แน่ใจว่าระบบสำรองข้อมูลของคุณทำงานอยู่ มีการควบคุมความปลอดภัยที่เหมาะสม ใช้การเข้ารหัสเพื่อปกป้องข้อมูลที่มีความสำคัญสูง เช่น รหัสผ่าน ...

  7. ความรับผิดชอบ: ผู้ควบคุมข้อมูลมีหน้าที่รับผิดชอบและต้องสามารถแสดงให้เห็นถึงการปฏิบัติตามหลักการประมวลผลทั้งหมดข้างต้น

    • สร้างและเก็บข้อมูลอ้างอิงการแมปข้อมูลสำหรับองค์กรของคุณ โดยอธิบายความสอดคล้องของกิจกรรมการประมวลผลของคุณ
    • แจ้งลูกค้าของคุณผ่านนโยบายความเป็นส่วนตัวที่ชัดเจน
พื้นฐานทางกฎหมาย

เพื่อให้ถูกต้องตามกฎหมายภายใต้ GDPR (หลักการแรก) การประมวลผลข้อมูลส่วนบุคคลจะต้องอิงตาม 1 ใน 6 ฐานทางกฎหมายที่เป็นไปได้ ตามที่ระบุไว้ในมาตรา 6 (1):

  1. การยินยอม มีผลเมื่อเจ้าของข้อมูลให้ความยินยอมอย่าง ชัดแจ้งและเป็นอิสระหลังจากได้รับแจ้งอย่างถูกต้อง รวมถึงการระบุวัตถุประสงค์ที่ชัดเจน และเฉพาะเจาะจง. ภาระหน้าที่ของการพิสูจน์สิ่งเหล่านี้ทั้งหมดจะอยู่ที่ผู้ควบคุม
  2. จำเป็นสำหรับการปฏิบัติตามสัญญา หรือเพื่อตอบสนองคำขอจากเจ้าของข้อมูล เพื่อเตรียมทำสัญญา
  3. การปฏิบัติตามข้อผูกพันทางกฎหมายที่กำหนดไว้ในการควบคุม
  4. การปกป้องผลประโยชน์ที่สำคัญ เมื่อการประมวลผลเป็นสิ่งจำเป็นอย่างมาก
  5. สาธารณประโยชน์ หรือ หน่วยงานราชการ
  6. ผลประโยชน์ที่ถูกต้องตามกฎหมาย มีผลบังคับใช้เมื่อผู้ควบคุมมีผลประโยชน์โดยชอบด้วยกฎหมายที่ไม่ถูกแทนที่ด้วยผลประโยชน์และสิทธิ์ขั้นพื้นฐานของเจ้าของข้อมูล

การเปลี่ยนแปลงที่สำคัญอย่างหนึ่งที่ GDPR นำมาใช้เหนือกฎระเบียบความเป็นส่วนตัวของข้อมูลก่อนหน้านี้ คือข้อกำหนดที่เข้มงวดขึ้นสำหรับการขอความยินยอมที่ถูกต้อง

สิทธิเจ้าของข้อมูล

สิทธิความเป็นส่วนตัวของข้อมูลที่มีอยู่สำหรับแต่ละบุคคลได้รับการขยายเพิ่มเติมโดย GDPR องค์กรต้องเตรียมพร้อมรับมือกับคำขอจากเจ้าของข้อมูลอย่างทันที (ภายใน 1 เดือน) โดยไม่มีค่าใช้จ่าย:

  1. สิทธิ์ในการเข้าถึง - ทุกคนมีสิทธิ์ที่จะรู้ว่าข้อมูลส่วนตัวของพวกเขาถูกประมวลผล อย่างไรด้วยความโปร่งใสอย่างเต็มที่
  2. สิทธิในการแก้ไข - คคลมีสิทธิที่จะได้รับ การแก้ไขหรือ การทำให้ข้อมูลส่วนบุคคลของตนสมบูรณ์;
  3. สิทธิ์ในการลบข้อมูล - ทุกคนมีสิทธิ์ที่จะได้รับ การลบข้อมูล ส่วนบุคคลด้วยเหตุผลที่ถูกต้องตามกฎหมาย (การยินยอมที่ถูกเพิกถอน จะไม่จำเป็นสำหรับจุดประสงค์อีกต่อไป และอื่นๆ)
  4. สิทธิ์ในการจำกัด - บุคคลสามารถขอให้ผู้ควบคุมหยุดประมวลผลข้อมูลส่วนบุคคลของตน หากไม่ต้องการหรือไม่สามารถขอให้ลบข้อมูลทั้งหมดได้
  5. สิทธิ์ในการคัดค้าน - บุคคลมีสิทธิที่จะคัดค้านการประมวลผลข้อมูลส่วนบุคคลได้ตลอดเวลา ตัวอย่างเช่น เพื่อจุดประสงค์ทางการตลาด
  6. การเคลื่อนย้ายข้อมูล - บุคคลทั่วไปมีสิทธิที่จะขอให้ข้อมูลส่วนบุคคลที่ผู้ควบคุมถือครองไว้ให้แก่ตนเองหรือผู้ควบคุมรายอื่น

คุณควรเตรียมตัวอย่างไรกับกฎระเบียบ GDPR

ข้อจำกัดความรับผิดชอบ
เราไม่สามารถให้คำแนะนำด้านกฎหมายได้ ส่วนนี้มีไว้เพื่อจุดประสงค์ในการให้ข้อมูลเท่านั้น โปรดติดต่อที่ปรึกษากฎหมายของคุณเพื่อพิจารณาว่ากฎระเบียบของ GDPR ส่งผลกระทบต่อบริษัทของคุณอย่างไร

ต่อไปนี้เป็นขั้นตอนสำคัญที่เราแนะนำสำหรับแผนงานการปฏิบัติตามกฎระเบียบของ GDPR:

  1. จัดทำData Mapping ของกิจกรรมการประมวลผลข้อมูลขององค์กรของคุณ เพื่อให้ได้ภาพรวมที่ชัดเจนของสถานการณ์ หน่วยงานคุ้มครองข้อมูลมักจะจัดเตรียมเทมเพลตสเปรดชีตเพื่อช่วยงานนี้ สำหรับแต่ละกระบวนการ ให้บันทึกประเภทของข้อมูลส่วนบุคคลและวิธีการเก็บรวบรวมจุดประสงค์ กฎหมายพื้นฐาน และ นโนบายการลบข้อมูลของการรักษา ; มาตรการรักษาความปลอดภัยทางเทคนิคและองค์กรที่นำมาใช้ และผู้รับเหมาช่วง (ผู้ประมวลผล) ที่เกี่ยวข้อง

    คุณจะต้องรักษาการแมปข้อมูลนี้เป็นประจำ เนื่องจากกระบวนการของคุณมีการพัฒนามากขึ้น
  2. จากขั้นตอนที่ 1 ให้เลือก กลยุทธ์ปฏิบัติงาน สำหรับการดำเนินการที่คุณไม่มีพื้นฐานทางกฎหมาย (เช่น ไม่ได้รับความยินยอม) หรือเมื่อคุณไม่มีมาตรการรักษาความปลอดภัยที่เหมาะสม ปรับการดำเนินการ ขั้นตอนภายใน กฎการควบคุมการเข้าถึง การสำรองข้อมูล การตรวจสอบ และอื่นๆ ของคุณ
  3. อัปเดตและเผยแพร่นโยบายความเป็นส่วนตัวที่ชัดเจนลงบนเว็บไซต์ของคุณ อธิบายว่าคุณประมวลผลข้อมูลส่วนบุคคลใด ดำเนินการอย่างไร และบุคคลใดบ้างที่มีสิทธิ์เกี่ยวกับข้อมูลของพวกเขา
  4. ตรวจสอบสัญญาของคุณกับที่ปรึกษากฎหมายและปรับให้เข้ากับกฎระเบียบ GDPR
  5. ตัดสินใจว่าคุณจะตอบคำถามประเภทต่างๆจากเจ้าของข้อมูลอย่างไร
  6. เตรียมขั้นตอนการตอบสนองต่อเหตุการณ์ของคุณในกรณีที่มีการละเมิดข้อมูล

ขึ้นอยู่กับสถานการณ์ของคุณ คุณสามารถเพิ่มองค์ประกอบอื่นๆ ลงในรายการได้ เช่น การแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล ปรึกษาผู้เชี่ยวชาญด้านการประมวลผลภายในองค์กรและที่ปรึกษากฎหมายของคุณเพื่อกำหนดมาตรการที่เกี่ยวข้องอื่นๆ

ให้จำไว้ว่า
การวางแผนการดำเนินการที่ชัดเจนของคุณจะทำให้ทุกอย่างง่ายขึ้นต่อการปฏิบัติตาม

Odoo เป็นไปตามข้อกำหนดของกฎระเบียบ GDPR อย่างไร

Odoo ใช้แนวทางปฏิบัติที่ดีที่สุดด้านความเป็นส่วนตัวและความปลอดภัย ในฐานะบริษัทโฮสติ้งบนระบบคลาวด์ เราแก้ไขและปรับปรุงระบบ เครื่องมือ และการดำเนินการของเราอย่างต่อเนื่อง เพื่อรักษาแพลตฟอร์มที่ยอดเยี่ยมและปลอดภัย

บทบาทของเราใน GDPR

ความรับผิดชอบของเราในส่วนของการคุ้มครองข้อมูลส่วนบุคคล จะขึ้นอยู่กับกิจกรรมการประมวลผลข้อมูลต่างๆของเรา:

หน้าที่ของเรา การประมวลผลข้อมูล ชนิดของข้อมูล
ควบคุม & ประมวลผล ข้อมูล ที่ Odoo.com ข้อมูลส่วนบุคคลที่ลูกค้าและผู้ที่มีแนวโน้มจะเป็นลูกค้ามอบให้แก่เรา พาร์ทเนอร์ของเรา และ ผู้ใช้โดยตรงทั้งหมดของ Odoo.com (ชื่อ อีเมล ที่อยู่ รหัสผ่าน ...)
ประมวลผลข้อมูล On Odoo Cloud
(Odoo Online, Odoo.sh และ Odoo Enterprise Services) 		ข้อมูลส่วนบุคคลใดที่ได้จัดเก็บไว้ในฐานข้อมูลของลูกค้าของเรา โฮสต์ใน Odoo Cloud หรือถ่ายโอนมาให้เราเพื่อวัตถุประสงค์ในการใช้บริการใดบริการหนึ่งของเรา เจ้าของฐานข้อมูลนั้นจะเป็น ผู้ควบคุมข้อมูล
ไม่มีตำแหน่ง On-Premise ข้อมูลใดที่อยู่ในฐานข้อมูลของ Odoo ที่ได้โฮสต์ภายในองค์กร (On-premise) หรือในโฮสติ้งที่ไม่ได้ดำเนินการโดยเรา

เอกสาร GDPR ของเรา

ในฐานะของ ผู้ควบคุมข้อมูล กิจกรรมของเราจะครอบคลุมอยู่ใน นโยบายความเป็นส่วนตัว ซึ่งได้รับการอัปเดตสำหรับกฎระเบียบของ GDPR นโยบายนี้อธิบายไว้อย่างชัดเจนที่สุดอะไร คือข้อมูลที่เราประมวลผล ทำไมเราถึงประมวลผล และเราประมวลผล อย่างไร ซึ่งมีความเกี่ยวข้องอย่างใกล้ชิดกับ นโยบายความปลอดภัย อธิบายแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยที่เรานำมาใช้ที่ Odoo ในทุกระดับ (ด้านเทคนิคและองค์กร) เพื่อรับประกันว่าข้อมูลของคุณได้รับการประมวลผลอย่างปลอดภัย

นอกจากนโยบายเหล่านั้นแล้ว กิจกรรมของเราในฐานะ ผู้ประมวลผลข้อมูลจะต้องได้รับการยอมรับจากเรา ข้อตกลงการสมัครใช้งาน Odoo Enterprise. ข้อตกลงนี้ได้รับการอัปเดตเพื่อเพิ่มข้อกำหนดการคุ้มครองข้อมูลที่จำเป็น หรือที่มักจะถูกเรียกว่า ข้อตกลงการประมวลผลข้อมูล ตามข้อกำหนดของ GDPR
ในฐานะลูกค้าของ Odoo S.A. คุณไม่ต้องทำอะไรเพื่อยอมรับการเปลี่ยนแปลงเหล่านี้ คุณได้รับประโยชน์จากการรับประกันใหม่แล้ว, และเราจะถือว่าคุณได้ยอมรับข้อเสนอหากเราไม่ได้ยินจากคุณ

นอกจากเอกสารเหล่านี้แล้ว เรายังได้อัปเดตเว็บไซต์ของเราเพื่อเพิ่มการประกาศเกี่ยวกับความเป็นส่วนตัวที่เกี่ยวข้องทั้งหมด เพื่อให้ผู้ใช้รับทราบถึงข้อมูลตลอดเวลา

Odoo ช่วยให้คุณใช้แนวทางปฏิบัติที่ดีที่สุดตามกฎระเบียบ GDPR ได้อย่างไร

การใช้ Odoo เพื่อจัดการธุรกิจของคุณนั้นอาจจะไม่เพียงพอต่อการปฏิบัติกฎระเบียบของ GDPR เนื่องจากข้อบังคับนี้ต้องใช้ทั้งองค์กรของคุณ อย่างไรก็ตาม เนื่องจาก Odoo ช่วยรวมศูนย์ข้อมูลให้กับธุรกิจของคุณ ลดความซ้ำซ้อนของข้อมูล ให้สิทธิ์การเข้าถึงแบบละเอียด และการควบคุมความปลอดภัย เพราะแบบนี้การปฏิบัติตามข้อกำหนดของ GDPR จึงสามารถทำได้ง่ายขึ้น

ต่อไปนี้คือวิธีที่เราคิดว่า Odoo สามารถช่วยคุณในได้ในส่วนของกฏระเบียบ GDPR สำหรับการใช้งานฐานข้อมูลของ Odoo ทั้งในองค์กร (On-premise) และบนคลาวด์

ข้อจำกัดความรับผิดชอบ: โปรดปรึกษากับที่ปรึกษาด้านกฎหมายของคุณตลอด เพื่อพิจารณาว่าคุณควรปฏิบัติตามกฎระเบียบของ GDPR และคำขอของเจ้าของข้อมูลอย่างไร โปรดทราบว่าคุณอาจกำลังประมวลผลข้อมูลส่วนบุคคลภายนอก Odoo ด้วยเช่นกัน

สิทธิในการเข้าถึง (มาตรา 15) และสิทธิในการเคลื่อนย้ายข้อมูล (มาตรา 20)

  • Odoo มีเครื่องมือให้กับเจ้าของข้อมูล ในการเข้าถึงและอัปเดตข้อมูลส่วนบุคคลในโหมดบริการตนเอง:
    • พอร์ทัลของลูกค้า อนุญาตให้ผู้ใช้เรียกดูเอกสารสัญญา: ที่อยู่และผู้ติดต่อ ใบแจ้งหนี้ ใบเสนอราคา คำสั่งซื้อ งาน ทิกเก็ตHelpdesk การซื้อ การสมัครสมาชิก การจัดส่ง การชำระเงิน รวมถึงการสื่อสารที่เกี่ยวกับเอกสารเหล่านี้ทั้งหมด
    • หน้ารายชื่อกลุ่มอีเมล อนุญาตให้ผู้ใช้ตรวจสอบและจัดการการสมัครสมาชิค (ตัวอย่างสำหรับ odoo.com: https://www.odoo.com/groups)
    • โปรไฟล์ฟอรั่ม ช่วยให้ผู้ใช้ฟอรั่มของคุณตรวจสอบกิจกรรมทั้งหมดได้อย่างรวดเร็ว
  • หากคุณต้องการส่งออกข้อมูลทั้งหมด หรือเพื่อสื่อสารข้อมูลส่วนตัวที่ไม่สามารถเข้าถึงได้ผ่านพอร์ทัล ที่จำเป็นต้องมีขั้นตอนแบบแมนนวลบางขั้นตอน
    โดยปกติแล้ว คุณจะสามารถเข้าถึงเอกสารที่เกี่ยวข้องทั้งหมดได้โดยตรงจากแถบบนสุดในแบบฟอร์มติดต่อของผู้ใช้ซึ่งลิงก์เหล่านั้นอยู่ จากนั้น คุณสามารถส่งออกข้อมูลทั้งหมดด้วยคุณลักษณะ "พิมพ์เป็น PDF" ของเบราว์เซอร์ของคุณ หรือด้วยเมนู ดำเนินการ > ส่งออก จากรายชื่อผู้ติดต่อหรือรายการเอกสารของผู้ติดต่อ
    ตัวเลือกทั้งสองมีรูปแบบอิเล็กทรอนิกส์ที่สอดคล้องกับกฎระเบียบของ GDPR
  • นอกจากนั้น คุณอาจมีข้อมูลที่ไม่ได้เชื่อมโยงกับแบบฟอร์มการติดต่อ ซึ่งเจ้าของข้อมูลอาจได้ทำการป้อนเนื้อหาที่แยกออกมาต่างหาก คุณควรตรวจสอบสิ่งเหล่านั้น เช่น การค้นหาด้วยชื่อหรือที่อยู่อีเมล เป็นต้น
    • การสมัครรับข้อมูลอีเวนต์
    • ลีด & ผู้ที่มีโอกาสจะซื้อ ใน CRM ของคุณ

สิ่งช่วยเตือนความจำ: นอกจากจะสามารถใช้ส่งออกเป็น PDF ผ่านเบราว์เซอร์ของคุณแล้ว Odoo ยังมีเครื่องมือสำหรับส่งออกการบันทึกต่างๆหรือรายการบันทึกเป็นไฟล์ CSV หรือ Excel รวมถึงเอกสารที่เกี่ยวข้องกับการบันทึกนี้ หากต้องการส่งออก ให้ไปที่มุมมองรายการของหน้าจอใดก็ได้ เลือกบันทึก และคลิกดำเนินการ > ส่งออก จากนั้นเลือก "ส่งออกข้อมูลทั้งหมด" จากนั้นเครื่องมือจะให้คุณเลือกฟิลด์ที่คุณต้องการส่งออก

สิทธิที่จะถูกลืม (มาตรา 17)

กฎระเบียบของ GDPR ให้สิทธิ์แก่เจ้าของข้อมูลในการยื่นคำร้องให้ลบข้อมูลส่วนบุคคลภายใต้เงื่อนไขเฉพาะ เช่น:

  • ไม่จำเป็นต้องใช้ข้อมูลนี้อีกต่อไปตามจุดประสงค์;
  • พวกเขาได้ถอนความยินยอมเพื่อการประมวลผลที่ขึ้นอยู่กับ ความยินยอมเท่านั้น;
  • การประมวลผลนั้นผิดกฎหมาย

หากคุณพิจารณาว่าคำขอนั้นถูกต้องตามกฎหมาย และคุณได้ยืนยันตัวตนกับเรื่องนั้นๆแล้ว คุณสามารถลบผู้ติดต่อที่เกี่ยวข้องใน Odoo ออกได้ เท่านี้ก็ถือว่าปลอดภัย: ระบบจะบล็อกการดำเนินการหากเอกสารทางธุรกิจยังมีการอ้างอิงถึงผู้ติดต่อ (เช่น ใบแจ้งหนี้ ผู้ติดต่อ ใบสั่งจัดส่ง โพสต์ในฟอรัม และอื่นๆ) ในกรณีนั้น คุณควรตัดสินใจว่าคุณยังมีภาระผูกพันอื่นในการเก็บรักษาเอกสารเหล่านี้หรือไม่ และต้องทำการปฏิเสธคำขอลบข้อมูล

หากคุณไม่มีเหตุผลทางกฎหมายในการเก็บข้อมูลส่วนตัว แต่ไม่สามารถหรือไม่ต้องการลบเอกสารหรือรายชื่อผู้ติดต่อ ให้พิจารณาการไม่เปิดเผยตัวตนแทน คุณสามารถเปลี่ยนชื่อผู้ติดต่อและเปลี่ยนข้อมูลได้ (อีเมล ที่อยู่ และอื่นๆ) หรือคุณสามารถกำหนดเอกสารใหม่ให้กับผู้ติดต่อที่ไม่ระบุชื่อทั่วไปได้ ข้อมูลนี้ก็จะไม่เป็น ข้อมูลส่วนบุคคลอีกต่อไป

การจำกัดการประมวลผล (มาตรา 18) และการเพิกถอนความยินยอม (มาตรา 7)

ผู้ใช้มักจะขอให้ยกเลิกการสมัครรับอีเมลโฆษณา หากคุณได้ส่งอีเมลผ่าน Odoo ผู้ใช้จะสามารถทำการยกเลิกด้วยตนเองได้ โดยใช้ลิงก์ยกเลิกการสมัครที่อยู่ในส่วนท้ายของอีเมล แต่คุณยังสามารถทำเครื่องหมายในช่อง "opt-out" ด้วยตนเองบนผู้ติดต่อ ลีด หรือผู้ที่มีโอกาสจะซื้อ บันทึกที่มีเครื่องหมาย "opt-out" จะถูกแยกออกจากแคมเปญการส่งอีเมลจำนวนมากโดยอัตโนมัติ แต่ยังสามารถรับข้อความโดยตรงจากผู้ใช้ได้ (เช่น ใบเสนอราคา ใบแจ้งหนี้)

สิทธิในการแก้ไข (มาตรา 16) และความถูกต้องของข้อมูล (มาตรา 5 (1) d)

ที่อยู่อีเมลไม่ถูกต้องหรือมีการเปลี่ยนแปลง เป็นสาเหตุทั่วไปในข้อผิดพลาดของข้อมูล เมื่อกำหนดค่าการผสานรวมอีเมลได้อย่างถูกต้อง (โดยค่าเริ่มต้นบน Odoo Cloud), Odoo จะจัดการกับอีเมลตีกลับในการส่งอีเมลจำนวนมาก และเพิ่มช่องตีกลับด้วยจำนวนข้อความที่ตีกลับ คุณสามารถตรวจสอบผู้ติดต่อหรือผู้มีโอกาสเป็นลูกค้าเป็นระยะๆ ด้วยการค้นหาแบบกำหนดเองบน"ตีกลับมากกว่า0" และล้างข้อมูล/ลบออก

ผู้ติดตามช่อง Odoo Discuss จะถูกยกเลิกการสมัครโดยอัตโนมัติ หลังจากการตีกลับ 10 ครั้ง

ในส่วนของการแก้ไข ผู้ใช้และลูกค้าสามารถแก้ไขข้อมูลส่วนตัวของตนเอง (ชื่อ อีเมล ที่อยู่) ผ่านทางพอร์ทัลของ Odoo

ความยินยอม (มาตรา 7)

เมื่อคุณทำการจัดเก็บข้อมูลส่วนบุคคลผ่านค่าเริ่มต้นของ Odoo (เช่น แบบฟอร์มการติดต่อ การสมัครรับอีเมล การสมัครอีเวนต์) คุณจะต้องกำหนดจุดประสงค์และข้อพื้นฐานทางกฎหมาย สำหรับการประมวลผล ขึ้นอยู่กับว่าคุณจะใช้ข้อมูลนั้นอย่างไร

หากวัตถุประสงค์นั้นมีความเฉพาะเจาะจงและชัดเจน (เช่น การจัดเก็บรายชื่อผู้เข้าร่วมอีเวนต์ที่ลงทะเบียนไว้ เพื่อแจ้งให้ทราบเกี่ยวกับระยะเวลาของอีเวนต์ ทำการสมัครคนในรายชื่ออีเมลกลุ่มที่พวกเขาเลือก) คุณไม่จำเป็นต้องขอความยินยอมอย่างชัดแจ้งจากพวกเขา (ข้อมูลส่วนบุคคลเป็น สิ่งจำเป็น สำหรับสัญญา - ข้อ 6 (1) b) อย่างไรก็ตาม คุณยังคงต้องระบุวัตถุประสงค์ให้ชัดเจนต่อผู้ใช้ และดูที่หน้านโยบายความเป็นส่วนตัวของคุณซึ่งคุณให้ข้อมูลเพิ่มเติม คุณสามารถใช้เครื่องมือสร้างเว็บไซต์ของ Odoo เพื่อแก้ไขแบบฟอร์มและเพิ่มการกล่าวถึงที่จำเป็น

อย่างไรก็ตาม หากคุณวางแผนที่จะใช้ข้อมูลที่ถูกจัดเก็บเพื่อวัตถุประสงค์อื่น คุณต้องได้รับความยินยอมอย่างชัดแจ้งในแต่ละวัตถุประสงค์จากผู้ใช้ วิธีที่เราแนะนำก็คือการเพิ่มช่องทำเครื่องหมายในแบบฟอร์มของคุณเพื่อขอความยินยอมสำหรับวัตถุประสงค์เฉพาะแต่ละข้อ (เช่น "โปรดส่งส่วนลดและโปรโมชันสำหรับผลิตภัณฑ์ที่คล้ายคลึงกันทางอีเมล") หากต้องการทำสิ่งนี้ด้วย Odoo คุณสามารถ:

  1. ใช้ Odoo Studio เพื่อเพิ่มช่องทำเครื่องหมาย (ชนิดข้อมูลแบบบูลีน) ในเอกสารที่จัดเก็บข้อมูลส่วนบุคคล (เช่น ลีด/ผู้ที่มีโอกาสจะซื้อ) เพื่อแสดงความยินยอมสำหรับวัตถุประสงค์นี้
  2. เพิ่มช่องทำเครื่องหมายในแบบฟอร์มเว็บไซต์ของคุณ ผ่านเครื่องมือสร้างเว็บไซต์ของ Odoo
  3. ใช้เขตข้อมูลนี้ในการประมวลผลข้อมูลสำหรับจุดประสงค์นี้โดยเฉพาะ เช่น ในตัวกรองกลุ่มแคมเปญการตลาดของคุณ

ความเป็นส่วนตัวตามการออกแบบ (มาตรา 25)

การออกแบบมาเพื่อความปลอดภัยเป็นใจความสำคัญของงาน R&D ที่ Odoo และเราใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยเพื่อสร้างซอฟต์แวร์ของเรา ปลอดภัย ทนทาน และมีความยืดหยุ่น สำหรับทุกคน

การควบคุมการเข้าถึง - กลไกการควบคุมการเข้าถึงตามกลุ่มเริ่มต้นของ Odoo ช่วยให้คุณสามารถจำกัดการเข้าถึงข้อมูลส่วนบุคคลตามตำแหน่งงานและความต้องการของผู้ใช้แต่ละคน (เช่น ผู้จัดการโปรเจกต์อาจไม่จำเป็นต้องเข้าถึงการสมัครงาน) หากคุณตรวจสอบการมอบหมายกลุ่มผู้ใช้และดูแลอย่างถูกต้องเมื่อตำแหน่งงานในองค์กรของคุณเปลี่ยนไป แสดงว่าคุณมีพื้นฐานเรื่องความเป็นส่วนตัวที่ดี คุณสามารถเพิ่มหรือแก้ไขกลุ่มผู้ใช้เพื่อปรับแต่งให้เหมาะกับองค์กรของคุณได้อย่างง่ายดาย

กฎการบันทึก - หากต้องการปรับแต่งการเข้าถึงข้อมูลส่วนบุคคลอย่างละเอียด คุณสามารถใช้แนวคิดของกฎการบันทึก ซึ่งให้คุณจำกัดการเข้าถึงเอกสารตามเกณฑ์ใดๆ ตามค่าของฟิลด์ กฎการบันทึกสามารถบล็อกการดำเนินการอ่านและ/หรือเขียน และทำงานบนพื้นฐานต่อเอกสาร สำหรับข้อมูลเพิ่มเติม โปรดดูที่ เอกสารของเรา.

พาสเวิร์ด - Odoo จัดเก็บรหัสผ่านของผู้ใช้ด้วยการแฮชที่ปลอดภัยตามมาตรฐานอุตสาหกรรม นอกจากนี้ยังสามารถใช้ระบบการยืนยันตัวตนภายนอก เช่น OAuth 2.0 หรือ LDAP เพื่อหลีกเลี่ยงการเก็บรหัสผ่านของผู้ใช้เลย

ข้อมูลพนักงาน - พื้นที่หนึ่งที่ฐานข้อมูล Odoo มีแนวโน้มที่จะรวมข้อมูลส่วนบุคคลที่ละเอียดอ่อนคือแท็บ ข้อมูลส่วนตัว ของแบบฟอร์มพนักงานและสัญญา ไดเร็กทอรีพนักงานส่วนนี้จะสามารถมองเห็นได้เฉพาะบุคลากรฝ่าย HR (กลุ่ม "เจ้าหน้าที่ฝ่าย HR") ซึ่งจำเป็นต้องใช้ข้อมูลส่วนนี้สำหรับงานของพวกเขา การป้องกันนี้ครอบคลุมถึงที่อยู่ส่วนบุคคลของพนักงาน: สำหรับ Odoo 12 ถึง Odoo 17 จะถูกจัดเก็บเป็นที่อยู่ติดต่อประเภท "ส่วนตัว" ซึ่งมองเห็นได้เฉพาะเจ้าหน้าที่ฝ่าย HR เท่านั้น ในเวอร์ชัน 17.0 จะถูกจัดเก็บไว้ในระเบียนของพนักงานโดยตรง

ความปลอดภัยของการประมวลผล (มาตรา 25 และ 32)

หากคุณใช้บริการ Odoo Online หรือ Odoo.sh เราจะใช้แนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัยและความเป็นส่วนตัวให้กับทุกระดับ คุณสามารถหาข้อมูลเพิ่มเติมได้ใน นโยบายความปลอดภัย
หากคุณใช้ Odoo On-premise คุณจะต้องรับผิดชอบในการปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดด้านความปลอดภัย คุณสามารถเริ่มต้นด้วยการ คำแนะนำด้านความปลอดภัย ของเอกสารการปรับใช้ของเรา