Загальний огляд

New privacy laws and best practices with Odoo

Since May 25th, 2018, the General Data Protection Regulation (GDPR) is into effect, opening a new era of data protection and privacy for everyone. While you've certainly heard and read a lot of information about GDPR, it can be difficult to understand exactly what it means for your business, in practical terms, and what you should do to be compliant with the new rules.

At Odoo, we are committed to follow best practices in terms of security and privacy. We strive to provide the same level of protection to all users and customers, without distinction on their location or citizenship. And we apply those best practices for all data, not just personal data.

Отже, Odoo SA та її дочірні компанії відповідають GDPR.

What you need to know about GDPR

Підказка
Якщо ви можете, найкращий спосіб зрозуміти GDPR – це Читати офіційний текст.
Він трохи довгий (99 статей на 88 сторінках), але цілком зрозумілий для неекспертів.

It is a EU Regulation, that aims to harmonize and modernize existing privacy legislation, such as the EU Data Privacy Directive that it replaces. It lays down rules for the protection of natural persons with regard to the processing of their personal data, and the free flow of personal data within Europe.

It is a Regulation, not a Directive, therefore applicable immediately in all EU member states, without requiring transposition into the domestic law of each country. EU countries have a limited margin of interpretation for the finer points, but fundamental rules will be the same for everyone, everywhere in EU.

GDPR also brings the legislation to the next millennium, taking into account social media, cloud computing, cybercrime and the major challenges that they cause in terms of personal data privacy and security.

In a nutshell: Don't panic!

GDPR is not a world-breaking new legislation, and it is fundamentally a good thing for citizens and businesses.

It's Positive!

We want to emphasize that GDPR can be great for you and your customers. Complying to the GDPR may initially represent a lot of work, but there are upsides to the new rules:

  • Increased trust from your customers and users
  • Simplification: same rules are applied in all countries across EU
  • Rationalization and centralization of your organizational processes

The purpose of GDPR is to give individuals more oversight on their personal data. If your company puts in place the correct strategies and systems, it will be easier to manage, more secure and safer for the years to come.

What are the risks if you aren't compliant?

The maximum penalty for non-compliance is an administrative fine of 20 million euros, or 4% of your global annual turnover, whichever is higher. A smaller maximum of 10 million euros or 2% of your global annual turnover is applicable for lesser infringements.

These maximums are meant to be dissuasive for businesses of all sizes, but GDPR also requires the fines to be kept proportionate.

Supervisory authorities (also known as Data Protection Authorities: DPAs) must take into account the circumstances of each case, including the nature, gravity, and duration of the infringement. These DPAs are also granted powers to investigate and impose corrective actions, which include the limitation of the infringing activities, without necessarily imposing a fine.

Another risk if you do not comply is the loss of trust from your customers and prospects, who care about the way you process their data!

Finally, many DPAs have hinted that they won't impose fines in 2018 yet, but they expect businesses to demonstrate that they are working towards compliance.

Key principles of GDPR

Scope

The regulation applies to any processing of personal data by any organization:

  1. If the controlling or processing organization is located in the EU
  2. If the organization is not located in the EU, but the processing involves personal data of data subjects located in the EU, and is related to commercial offerings or behavior monitoring.

The scope therefore includes non-EU companies, which was not the case with older legislation.

Ролі

The regulation distinguishes two main types of entities:

  • Конролер даних: будь-яка особа, яка самостійно або спільно визначає цілі та засоби обробки персональних даних. Як правило, кожна організація є контролером своїх власних даних.
  • Обробник даних: будь-яка організація, яка обробляє дані від імені контролера даних.

For example, if your company owns a database hosted on the Odoo Cloud, you are the controller for that database, and Odoo SA is only a data processor. If you instead use Odoo on premise, you are both controller and processor of the data.

Personal Data

GDPR gives a broad definition of personal data: any information relating to an identified or identifiable natural person. An identifiable person is one that can be identified, directly or indirectly, by means of their names, emails, phone numbers, biometric information, location data, financial data, etc. Online identifiers (IP addresses, device IDs, …) are also in scope.

This applies in business contexts too: info@odoo.com is not considered personal, but john.smith@odoo.com is, because it can be used to identify a physical person within a company.

GDPR also requires a higher level of protection for sensitive data, which includes specific categories of personal data such as health, genetic, racial or religion information.

Data Processing Principles

In order to be compliant, processing activities must observe the following rules:
(as listed in Article 5 of GDPR)

  1. Законність, справедливість і прозорість: щоб збирати дані, ви повинні мати правову основу, зрозумілу ціль, і ви повинні повідомити суб'єкта про це.

    • Have a simple and clear Privacy Policy, and refer to it everywhere you collect data
    • Verify the legal basis for each of your data processing activities
  2. Обмеження за призначенням: зібрані для певної мети, запитайте дозвіл, якщо ви хочете використовувати їх для іншої мети.

    напр. - Ви не можете прийняти рішення продати дані своїх клієнтів, якщо вони не були зібрані для цієї мети.

  3. Мінімізація: ви повинні збирати лише дані, необхідні для вашої мети

  4. Точність: необхідно вжити розумних заходів, щоб переконатися, що дані оновлюються відповідно до мети

    напр. - Обов’язково обробляйте відхилені листи та виправляйте або видаляйте адреси.

  5. Обмеження зберігання: персональні дані слід зберігати лише протягом періоду, необхідного для виконання їх основної мети.

    Define time limits for erasure or review of the personal data you process, depending on their purpose.

  6. Цілісність і конфіденційність: обробники даних повинні впроваджувати відповідні заходи контролю доступу, безпеки та запобігання втраті даних відповідно до типів і обсягів даних, що обробляються.

    напр. - Переконайтеся, що ваша система резервного копіювання працює, увімкніть належний контроль безпеки, використовуйте шифрування для захисту конфіденційних даних, таких як паролі, ...

  7. Відповідальність: контролери даних несуть відповідальність та повинні бути в змозі продемонструвати відповідність усім вищезазначеним принципам обробки.

    • Establish and maintain a data mapping reference for your organization, describing the compliance of your processing activities
    • Inform your customers via a clear Privacy Policy
Legal Basis

In order to be lawful under GDPR (first principle), processing of personal data must be based on one of six possible legal bases, as listed in Article 6 (1):

  1. Згода. Дійсний, якщо суб’єкт даних має явно та вільно надано згоду після належного інформування, включаючи чітко сформульовану та конкретну ціль. Тягар доведення всього цього лежить на контролері.
  2. Необхідний для виконання договору, або для виконання запитів від суб’єкта даних у рамках підготовки до контракту.
  3. Дотримання юридичного зобов’язання що накладається на контролера.
  4. Захист життєво важливого інтересу. Коли обробка необхідна для порятунку життя.
  5. Суспільний інтерес або офіційні повноваження.
  6. Законний інтерес. Застосовується, коли контролер має законний інтерес, який не переважає інтересами та основними правами суб’єкта даних.

One major change brought by GDPR over previous data privacy regulation is the stricter requirements for obtaining valid consent.

Data Subject Rights

Existing data privacy rights for individuals are further expanded by the GDPR. Organizations must be prepared to handle requests from data subjects in a timely manner (within 1 month), free of charge:

  1. Права доступу - Кожен має право знати які і як їхні персональні дані обробляються повністю прозоро;
  2. Право на виправлення - Кожен має право на виправлення або заповнення їх персональних даних;
  3. Право на видалення - Кожен має право на видалення своїх персональних даних на законних підставах (згода відкликана, більше не потрібна для цієї мети тощо.);
  4. Право на обмеження - Кожен може запитати контролера зупинити оброблятиїх персональні дані, якщо вони не хочуть або не можуть вимагати повного видалення;
  5. Право на заперечення - Кожен має право на заперечення на певну обробку своїх персональних даних у будь-який час, наприклад, для цілей прямого маркетингу;
  6. Портативність даних - Особи мають право вимагати надання їм персональних даних якими володіє контролер, або інший контролера.

How you should prepare for GDPR

Дисклеймер
Ми не можемо надавати юридичні консультації, цей розділ надано лише для інформаційних цілей. Зверніться до свого юриста, щоб точно визначити, як GDPR впливає на вашу компанію.

Here are the key steps we suggest for a GDPR compliance roadmap:

  1. Establish a Data Mapping of the data processing activities of your organization to get a clear picture of the situation. Data Protection Authorities often provide spreadsheet templates to help in this task. For each process, document the type of personal data and how it was collected ; the purpose, legal basis and erasure policy of the treatment ; the technical and organizational security measures implemented, and the subcontractors (processors) involved.

    You will need to maintain this data mapping regularly, as your processes evolve.
  2. Based on step 1, choose a Remediation Strategy for any processing where you do not have a legal basis (e.g. missing consent) or where you do not have appropriate security measures in place. Adapt your processes, your internal procedures, your access control rules, backups, monitoring, etc.
  3. Update and publish a clear Privacy Policy on your website. Explain what personal data you process, how you do it, and what are the rights of individuals with regard to their data.
  4. Review your Contracts with a legal counsel, and adapt them to GDPR.
  5. Decide how you will answer the various kinds of Data Subject Requests.
  6. Prepare your Incident Response Procedure in case of data breach.

Depending on your situation, other elements could be added to the list, such as the appointment of a Data Protection Officer. Consult your internal processing experts and your legal counsels to determine any other relevant measure.

Запам'ятайте!
Створення чіткого відображення ваших процесів полегшить процес досягнення відповідності!

How is Odoo compliant with GDPR

At Odoo, implementing privacy and security best practices is not a new idea. As a Cloud hosting company, we're constantly revising and improving our systems, tools and processes, in order to maintain a great and secure platform.

Our GDPR Roles

Our responsibilities in terms of personal data protection depend on our various data processing activities:

Наші ролі Обробка даних Тип даних
Data Controller & Processor На Odoo.com Personal data provided to us by our direct customers and prospects, our partners and all direct users of Odoo.com (names, emails, addresses, passwords ...)
Data Processor На Odoo Cloud
(Odoo Online, Odoo.sh та інші послуги Odoo Enterprise)
Any personal data stored in the databases of our customers, hosted in the Odoo Cloud or transferred to us for the purpose of using one of our services. The owner of the database is the data controller.
Немає ролі Власний сервер Any data located in Odoo databases hosted on-premise or in any hosting not operated by us.

Our GDPR documents

As a Data Controller, our activities are covered in our Політика конфіденційності, що було оновлено для GDPR. Ця політика якомога чітко пояснює які дані ми обробляємо, чому ми їх обробляємо, і як ми це робимо. З цим тісно пов'язана наша Політика безпеки explains the security best practices we implemented at Odoo, at all levels (technical and organizational) in order to guarantee that your data is processed in a safe and secure manner.

In addition to those policies, our activities as a Data Processor are subject to the acceptation of our Угода підписки Odoo Enterprise. Цю угоду було оновлено, щоб додати необхідні положення про захист даних (часто називають "Угодою про обробку даних"), що вимагає GDPR.
Як клієнт Odoo S.A., ви не маєте нічого робити, щоб прийняти ці зміни, ви вже отримуєте переваги від нових гарантій, і ми будемо вважати, що ви згодні, якщо ми нічого від вас не почуємо!

In addition to these documents, we have also updated our website to insert privacy notices in all relevant places, in order to keep our users informed at all times.

How does Odoo help you implement GDPR best practices

Використання Odoo для управління вашого бізнесуне може бути достатнім для відповідності GDPR, оскільки положення поширюється на всю вашу організацію. Однак, оскільки Odoo централізує ваші дані, зменшує надмірність даних і реалізує деталізовані права доступу та засоби контролю безпеки, це може бути чудовою підмогою для дотримання GDPR.

Here are some ways we think Odoo can help you in the context of GDPR, for both on-premise and Cloud-hosted Odoo databases.

Дисклеймер: як завжди, проконсультуйтеся зі своїм юрисконсультом, щоб визначити, як вам слід виконувати вимоги GDPR і запити суб’єктів даних. Завжди майте на увазі, що ви також можете обробляти персональні дані за межами Odoo.

Right to Access (Art. 15) and Right to Data Portability (Art. 20)

  • Odoo provides some tools for the data subjects to access and update their personal information in self-service mode:
    • Портал клієнта дозволяє користувачам переглядати договірні документи: адреси та контакти, рахунки-фактури, пропозиції, замовлення, завдання, заяки служби підтримки, покупки, підписки, замовлення на доставку, платежі, а також повідомлення навколо цих документів.
    • Сторінка списків розсилки, дозволяє користувачам переглядати та керувати їхніми підписками (Приклад для odoo.com: https://www.odoo.com/groups)
    • Профіль форуму дозволяє користувачам вашого форуму переглядати всі їх дії за раз
  • If you need to export all data, or to communicate private data that is not accessible through the portal, some manual steps are needed.
    Usually you can reach all relevant documents directly from top bar on the contact form of the users, where they are linked. You can then export all information with the “Print as PDF” feature of your browser, or with the Action>Export menu, from the list of contacts or the list of their documents.
    Both options provide GDPR compliant electronic formats.
  • In addition to that, you might have information not linked to the contact form, that the data subject might have entered in a separate context. You should also review those, searching by name or email address, for example
    • Events subscriptions
    • Leads & Opportunities in your CRM

Нагадування: На додаток до можливості експорту у формат PDF через ваш браузер, Odoo має інструмент для експорту будь-якого запису або списку записів у файл CSV або Excel, а також документів, пов’язаних із цим записом. Щоб використати його, перейдіть до списку на будь-якому екрані, виберіть запис(и) і натисніть «Дія > Експортуйте, а потім виберіть «Експортувати всі дані». Потім інструмент дозволяє вибрати поля, які потрібно експортувати.

Right to be forgotten (Art. 17)

GDPR grants data subjects the right to request erasure of their personal data, under specific conditions, such as:

  • Дані більше не потрібні відповідно домети;
  • Вони відкликають згоду на обробку, яка базується лише на згоді;
  • В іншому випадку обробка єнезаконною.

If you determine that the request is legitimate, and you have confirmed the identity of the subject,  you can attempt to delete the corresponding contact in Odoo. This is safe: the system will block the operation if a business document still refers to the contact (invoice, contact, delivery order, forum post, etc.). In that case, you should decide whether you have other obligations to keep these documents, and must decline the erasure request.

If you have no legal reason to keep the personal info, but cannot, or do not want to delete a document or contact, consider anonymizing it instead. You can rename the contact and change its recognizable data (email, address, etc.), or you can re-assign documents to a generic Anonymous contact. Once properly anonymized, this data will not be personal data anymore.

Restriction of Processing (Art. 18) and Consent Withdrawal (Art. 7)

Users will often ask to be unsubscribed from commercial emails. If your mailings were sent via Odoo, users can do it themselves using the footer's unsubscribe link. But you can also manually tick the "opt-out" field on a contact or lead/opportunity. Records marked “opt-out” are automatically excluded from mass-mailing campaigns, but can still receive direct messages from users (e.g. quotations, invoices).

Right to Rectification (Art. 16) and Data Accuracy (Art. 5 (1) d)

Invalid/changing email addresses are a common source of data error. When email integration is properly configured (by default on Odoo Cloud), Odoo handles email bounces in your mass-mailings, and increments a Bounce field with the number of bounced messages. You can periodically review your contacts or prospects with a custom search on "Bounce greater than 0" and cleanup/delete them.

Followers of Odoo Discuss channels are automatically unsubscribed after 10 bounces.

In terms of rectification, users and customers can also correct their own personal data (name, email, address) through the Odoo portal.

Consent (Art. 7)

When you collect personal data via Odoo’s default mechanisms (e.g. contact form, mailing-list subscription, event subscriptions), you have to establish a purpose and legal basis for the processing. This greatly depends on how you will use the data.

If the purpose is specific and obvious (e.g. store registered event participants to keep them informed about the tenure of the event ; subscribe someone to the mailing list they chose), you do not need to ask for their explicit consent (the personal data is necessary for a contract - Art. 6 (1) b). However you still need to make the purpose clear to the user, and refer to your Privacy Policy page where you give more information. You can use Odoo's website builder to edit the forms and add the required mentions.

However, if you plan to use the collected data for other purposes, you need to obtain explicit consent for each purpose from the user. The recommended way is to add checkboxes to your form to get the consent for each specific purpose (e.g. "Please send me discounts and promotions on similar products via email"). To do this with Odoo, you can:

  1. Use Odoo Studio to add a checkbox (boolean) field on the document collecting personal data (e.g. Leads/Opportunity), to represent consent for this purpose
  2. Add the checkbox in your website form via Odoo's website builder
  3. Use this field when processing data for this purpose, for example in your marketing campaigns segment filters

Privacy by Design (Art. 25)

Security by Design is at the heart of our R&D work at Odoo, and we apply security best practices to make our software Safe, robust and resilient for everyone.

Контроль доступу - Стандартний груповий механізм контролю доступу Odoo дозволяє обмежити доступ до особистих даних відповідно до ролі та потреб кожного користувача. (наприклад, менеджеру проекту може не знадобитися доступ до Заявок на вакансію). Якщо ви переглядаєте призначення груп користувачів і належним чином підтримуєте їх під час зміни ролей у вашій організації, у вас є міцна основа конфіденційності. Ви можете легко додавати або змінювати групи користувачів, щоб адаптувати їх до вашої організації.

Правила запису - Для точного налаштування доступу до особистих даних можна використовувати концепцію правил запису, яка дозволяє обмежити доступ до документів за будь-яким критерієм на основі значень полів. Правила запису можуть блокувати операції читання та/або запису, і вони працюють на основі кожного документа. Для отримання додаткової інформації зверніться до our documentation.

Паролі - Odoo зберігає паролі користувачів із захищеним хешуванням за галузевим стандартом. Також можна використовувати зовнішні системи автентифікації, такі як OAuth 2.0 або LDAP, щоб взагалі уникнути зберігання паролів користувачів.

Дані співробітника - Однією з областей, де бази даних Odoo можуть містити конфіденційні особисті дані, є вкладка форми співробітників і їх договорів Приватна інформація. Цю частину Довідника співробітників бачать лише працівники відділу кадрів (група «Керівник кадрів»), яким вона потрібна для роботи. Цей захист поширюється на особисту адресу співробітників: для Odoo 12 до Odoo 17 вона зберігається як контакти типу "Приватні", які бачать лише працівники відділу кадрів. Починаючи з версії 17.0, він зберігається безпосередньо в записі працівника.

Security of Processing (Art. 25 & 32)

If you use Odoo Online or Odoo.sh services, we implement security and privacy best practices at all levels. You can find our more about it in our Security Policy.
Якщо ви використовуєте Odoo на власному сервері, ви несете відповідальність за дотримання найкращих практик безпеки. Ви можете почати з security recommendations of our deployment documentation.