Tổng quan

Luật quyền riêng tư mới và các phương pháp tối ưu nhất với Odoo

Kể từ ngày 25 tháng 5 năm 2018, Quy định Chung về Bảo vệ Dữ liệu (GDPR) có hiệu lực, mở ra một kỷ nguyên mới về bảo vệ dữ liệu và quyền riêng tư cho mọi người. Mặc dù bạn có thể đã nghe và đọc nhiều thông tin về GDPR, nhưng có thể khó nắm bắt chính xác ý nghĩa của quy định này đối với doanh nghiệp của bạn, về mặt thực tế và điều bạn nên làm để tuân thủ các quy tắc mới.

Tại Odoo, chúng tôi cam kết tuân theo các phương pháp tối ưu nhất về bảo mật và quyền riêng tư. Chúng tôi luôn cố gắng cung cấp mức độ bảo vệ như nhau cho toàn bộ người dùng và khách hàng, bất kể địa điểm hay quốc tịch. Và chúng tôi áp dụng những phương pháp tối ưu nhất đó cho tất cả dữ liệu, không chỉ dữ liệu cá nhân.

Vì vậy, Odoo SA và các công ty con của chúng tôi tuân thủ GDPR.

Những điều bạn cần biết về GDPR

Gợi ý
Nếu có thể, cách tốt nhất để hiểu GDPR là Đọc văn bản chính thức.
Văn bản này khá dài (99 bài viết trong 88 trang), nhưng khá dễ đọc đối với những người không chuyên.

Đây là Quy định của EU, nhằm mục đích hài hòahiện đại hóa luật hiện hành về quyền riêng tư, chẳng hạn như Chỉ thị về Quyền riêng tư Dữ liệu của EU đã được thay thế bởi quy định này. Nó đặt ra những quy tắc để bảo vệ các thể nhân liên quan đến việc xử lý dữ liệu cá nhân của họ và luồng dữ liệu cá nhân tự do trong châu Âu.

Đây là Quy định, không phải Chỉ thị, do đó có thể được áp dụng ngay lập tức ở tất cả các quốc gia thành viên EU mà không cần chuyển đổi thành luật riêng của mỗi quốc gia. Các quốc gia EU có biên độ giải thích hẹp đối với những điểm tinh túy, nhưng các quy tắc cơ bản sẽ được áp dụng tương tự cho mọi người, ở mọi nơi trong EU.

GDPR cũng đưa luật định sang thiên niên kỷ mới, có tính đến phương tiện truyền thông xã hội, điện toán đám mây, tội phạm mạng và những thách thức lớn mà chúng gây ra về quyền riêng tư và bảo mật dữ liệu cá nhân.

Tóm lại: Bạn không cần lo lắng!

GDPR không phải là một luật mới mang tính đột phá trên thế giới và về cơ bản, đây là một điểm sáng cho mọi người và doanh nghiệp.

Đây là một quy định tốt!

Chúng tôi muốn nhấn mạnh rằng GDPR có thể rất tốt cho bạn và khách hàng của bạn. Việc tuân thủ GDPR ban đầu có thể đòi hỏi rất nhiều nỗ lực, nhưng các quy tắc mới cũng có những mặt tích cực:

  • Tăng sự tin tưởng từ khách hàng và người dùng của bạn
  • Đơn giản hóa: các quy tắc tương tự nhau được áp dụng ở tất cả quốc gia trên khắp EU
  • Hợp lý hóa và tập trung hóa các quy trình tổ chức của bạn

Mục đích của GDPR là tăng cường quyền giám sát dữ liệu cá nhân của mỗi người. Nếu công ty của bạn đưa ra các chiến lược và hệ thống chính xác, thì việc quản lý sẽ dễ dàng hơn, bảo mật hơn và an toàn hơn trong những năm tới.

Những rủi ro nếu bạn không tuân thủ là gì?

Hình phạt tối đa cho việc không tuân thủ là phạt hành chính 20 triệu euro, hoặc 4% doanh thu toàn cầu hàng năm của bạn, tùy theo con số nào cao hơn. Mức tối đa nhỏ hơn là 10 triệu euro hoặc 2% doanh thu toàn cầu hàng năm của bạn được áp dụng cho các vi phạm ít nghiêm trọng hơn.

Các mức tối đa này nhằm mục đích ngăn cản các doanh nghiệp thuộc mọi quy mô, nhưng GDPR cũng yêu cầu các khoản tiền phạt phải được giữ ở mức tương xứng.

Cơ quan giám sát (còn được gọi là Cơ quan Bảo vệ Dữ liệu: DPA) xem xét chi tiết từng trường hợp, bao gồm bản chất, mức độ nghiêm trọng và thời gian vi phạm. Các DPA này cũng được cấp quyền điều traáp dụng các biện pháp khắc phục, bao gồm cả việc hạn chế các hoạt động vi phạm mà không nhất thiết phải áp dụng hình phạt.

Một rủi ro khác nếu bạn không tuân thủ là mất lòng tin từ khách hàng và khách hàng tiềm năng, những người quan tâm đến cách bạn xử lý dữ liệu của họ!

Cuối cùng, nhiều DPA đã gợi ý rằng họ sẽ chưa áp dụng các khoản tiền phạt trong năm 2018, nhưng những DPA này mong muốn các doanh nghiệp chứng minh rằng họ đang nỗ lực tuân thủ.

Các nguyên tắc chính của GDPR

Phạm vi

Quy định áp dụng cho mọi hoạt động xử lý dữ liệu cá nhân của mọi tổ chức:

  1. Nếu tổ chức kiểm soát hoặc xử lý nằm ở EU
  2. Nếu tổ chức không nằm ở EU, nhưng quá trình xử lý liên quan đến dữ liệu cá nhân của các chủ thể dữ liệu ở EU và có liên quan đến các dịch vụ thương mại hoặc giám sát hành vi.

Do đó, phạm vi bao gồm cả các công ty ngoài EU, điều này không được quy định trong luật cũ.

Các vai trò

Quy định phân biệt hai loại thực thể chính:

  • Bên kiểm soát dữ liệu: bất kỳ thực thể nào xác định mục đích và phương tiện xử lý dữ liệu cá nhân, một mình hoặc cùng nhau. Theo nguyên tắc chung, mọi tổ chức đều là bên kiểm soát dữ liệu của chính mình.
  • Bên xử lý dữ liệu: bất kỳ thực thể nào xử lý dữ liệu thay mặt bên kiểm soát dữ liệu.

Ví dụ: nếu công ty của bạn sở hữu cơ sở dữ liệu được lưu trữ trên Odoo Đám mây, thì bạn là bên kiểm soát cơ sở dữ liệu đó và Odoo SA chỉ là bên xử lý dữ liệu. Thay vào đó, nếu bạn sử dụng Odoo On-premise, thì bạn vừa là bên kiểm soát vừa là bên xử lý dữ liệu.

Dữ liệu Cá nhân

GDPR đưa ra một định nghĩa rộng về dữ liệu cá nhân: bất kỳ thông tin nào liên quan đến một thể nhân đã được xác định hoặc có thể nhận dạng. Một người có thể nhận dạng là một người có thể được xác định, trực tiếp hoặc gián tiếp, bằng tên, email, số điện thoại, thông tin sinh trắc học, dữ liệu vị trí, dữ liệu tài chính,... Định danh online (địa chỉ IP, ID thiết bị,…) cũng được bao gồm.

Điều này cũng áp dụng trong bối cảnh kinh doanh: info@odoo.com không được coi là cá nhân, nhưng john.smith@odoo.com thì có, vì nó có thể được sử dụng để xác định một cá nhân thực trong công ty.

GDPR cũng yêu cầu mức độ bảo vệ cao hơn đối với dữ liệu nhạy cảm, bao gồm các danh mục dữ liệu cá nhân cụ thể như thông tin về sức khỏe, di truyền, chủng tộc hoặc tôn giáo.

Nguyên tắc Xử lý Dữ liệu

Để tuân thủ GDPR, các hoạt động xử lý phải bám sát các quy tắc sau:
(như được liệt kê trong Điều 5 của GDPR)

  1. Tính hợp pháp, công bằng và minh bạch: để thu thập dữ liệu, bạn phải có cơ sở pháp lý, mục đíchrõ ràng và bạn phải thông báo cho đối tượng về việc đó.

    • Có Chính sách Quyền riêng tư đơn giản và rõ ràng, và đề cập tới chính sách này ở mọi nơi bạn thu thập dữ liệu
    • Xác minh cơ sở pháp lý cho từng hoạt động xử lý dữ liệu của bạn
  2. Giới hạn mục đích: nếu được thu thập cho một mục đích cụ thể, hãy xin phép nếu bạn muốn sử dụng cho mục đích khác.

    Ví dụ - Bạn không thể bán dữ liệu khách hàng nếu dữ liệu này không được thu thập cho mục đích đó.

  3. Tối thiểu hóa: bạn chỉ thu thập dữ liệu cần thiết cho mục đích của mình

  4. Tính chính xác: nên thực hiện các bước hợp lý để đảm bảo rằng dữ liệu được cập nhật liên quan đến mục đích

    Ví dụ - Đảm bảo xử lý các email bị trả lại và sửa hoặc xóa địa chỉ.

  5. Giới hạn lưu trữ: dữ liệu cá nhân chỉ nên được lưu giữ trong khoảng thời gian cần để hoàn thành mục đích chính.

    Xác định giới hạn thời gian xóa hoặc xem lại dữ liệu cá nhân mà bạn xử lý, tùy thuộc vào mục đích của chúng.

  6. Tính toàn vẹn và Bảo mật: bên xử lý dữ liệu phải triển khai các biện pháp kiểm soát truy cập, bảo mật và ngăn ngừa mất dữ liệu phù hợp, dựa trên loại và phạm vi dữ liệu đang được xử lý.

    Ví dụ - Đảm bảo hệ thống sao lưu của bạn đang hoạt động, có các biện pháp kiểm soát bảo mật phù hợp, sử dụng mã hóa để bảo vệ dữ liệu nhạy cảm như mật khẩu,...

  7. Trách nhiệm giải trình: bên kiểm soát dữ liệu chịu trách nhiệm và phải có khả năng chứng minh việc tuân thủ tất cả các nguyên tắc xử lý trên.

    • Thiết lập và duy trì tham chiếu ánh xạ dữ liệu cho tổ chức của bạn, trình bày tính tuân thủ của các hoạt động xử lý của bạn
    • Thông báo cho khách hàng thông qua Chính sách Quyền riêng tư rõ ràng
Cơ sở Pháp lý

Để hợp pháp theo GDPR (nguyên tắc đầu tiên), việc xử lý dữ liệu cá nhân phải dựa trên một trong sáu cơ sở pháp lý có thể, như được liệt kê trong Điều 6 (1):

  1. Sự đồng ý. Có hiệu lực khi chủ thể dữ liệu đã đồng ý một cách rõ ràngtự nguyện sau khi được thông báo, chính xác, bao gồm cả mục đíchcụ thể rõ ràng. Việc chứng minh cho tất cả những điều này thuộc về bên kiểm soát.
  2. Cần thiết để thực hiện hợp đồng, hoặc để thực hiện các yêu cầu từ chủ thể dữ liệu, để chuẩn bị cho hợp đồng.
  3. Tuân thủ nghĩa vụ pháp lý được áp đặt đối với bên kiểm soát.
  4. Bảo vệ lợi ích sống còn. Khi cần xử lý để cứu một sinh mạng.
  5. Lợi ích cộng đồng hoặc cơ quan có thẩm quyền..
  6. Lợi ích hợp pháp. Áp dụng khi bên kiểm soát có lợi ích hợp pháp không bị chi phối bởi lợi ích và quyền cơ bản của chủ thể dữ liệu.

Một thay đổi lớn so với quy định về quyền riêng tư dữ liệu trước đây mà GDPR mang lại là yêu cầu nghiêm ngặt hơn trong việc đạt được sự đồng ý hợp lệ.

Quyền của Chủ thể Dữ liệu

GDPR đã mở rộng quyền riêng tư dữ liệu hiện có cho các cá nhân. Các tổ chức phải chuẩn bị sẵn sàng để xử lý miễn phí các yêu cầu từ chủ thể dữ liệu một cách kịp thời (trong vòng 1 tháng):

  1. Quyền Truy cập - Các cá nhân có quyền biết dữ liệu cá nhân của họ đang được xử lý cho việc gìnhư thế nào một cách hoàn toàn minh bạch;
  2. Quyền Chỉnh sửa - Các cá nhân có quyền chỉnh sửa hoặc hoàn thiện dữ liệu cá nhân của họ;
  3. Quyền Xóa - Các cá nhân có quyền xóa dữ liệu cá nhân của họ vì những lý do chính đáng (đã rút lại sự đồng ý, không còn cần thiết cho mục đích thu thập,...);
  4. Quyền Hạn chế - Các cá nhân có thể yêu cầu bên kiểm soát ngừng xử lý dữ liệu cá nhân của họ, nếu họ không muốn hoặc không thể yêu cầu xóa hoàn toàn;
  5. Quyền Phản đối - Các cá nhân có quyền phản đối việc xử lý dữ liệu cá nhân của họ bất cứ lúc nào, ví dụ như cho các mục đích marketing trực tiếp;
  6. Khả năng Di chuyển Dữ liệu - Các cá nhân có quyền yêu cầu bên kiểm soát cung cấp, dữ liệu cá nhân của mình cho chính họ hoặc cho bên kiểm soát khác.

Bạn nên chuẩn bị tuân thủ GDPR như thế nào

Tuyên bố miễn trừ trách nhiệm
Chúng tôi không thể cung cấp tư vấn pháp lý, phần này chỉ chia sẻ thông tin. Vui lòng liên hệ với cố vấn pháp lý của bạn để xác định chính xác GDPR ảnh hưởng đến công ty của bạn như thế nào.

Chúng tôi đề xuất các bước chính sau đây cho lộ trình tuân thủ GDPR:

  1. Thiết lập Ánh xạ Dữ liệu về các hoạt động xử lý dữ liệu của tổ chức của bạn để có được bức tranh rõ ràng về tình hình. Cơ quan Bảo vệ Dữ liệu thường cung cấp các mẫu bảng tính để trợ giúp trong nhiệm vụ này. Đối với mỗi quy trình, hãy ghi lại loại dữ liệu cá nhân và cách dữ liệu đó được thu thập; mục đích, cơ sở pháp lýchính sách xóa bỏ của việc xử lý; các biện pháp an ninh kỹ thuật và tổ chức được thực hiện, và các nhà thầu phụ (bên xử lý) có liên quan.

    Bạn sẽ cần duy trì việc ánh xạ dữ liệu này thường xuyên khi các quy trình của bạn tiến triển.
  2. Dựa trên bước 1, hãy chọn Chiến lược Khắc phục cho mọi quá trình xử lý mà bạn không có cơ sở pháp lý (ví dụ: thiếu sự đồng ý) hoặc khi bạn không có sẵn các biện pháp bảo mật thích hợp. Điều chỉnh các quy trình, thủ tục nội bộ, quy tắc kiểm soát truy cập, sao lưu, giám sát,... của bạn.
  3. Cập nhật và đăng Chính sách Quyền riêng tư rõ ràng trên trang web. Giải thích những dữ liệu cá nhân bạn xử lý, cách bạn thực hiện và quyền của các cá nhân đối với dữ liệu của họ là gì.
  4. Xem lại Hợp đồng của bạn với một cố vấn pháp lý và điều chỉnh chúng cho phù hợp với GDPR.
  5. Quyết định cách bạn sẽ trả lời các loại Yêu cầu của Chủ thể Dữ liệ khác nhau.
  6. Chuẩn bị Quy trình Ứng phó Sự cố của bạn trong trường hợp vi phạm dữ liệu.

Tùy thuộc vào tình huống của bạn, các yếu tố khác có thể được bổ sung vào danh sách trên, chẳng hạn như việc bổ nhiệm Nhân viên Bảo vệ Dữ liệu. Tham khảo ý kiến ​​của các chuyên gia xử lý nội bộ và cố vấn pháp lý của bạn để xác định những biện pháp liên quan khác.

Lưu ý!
Việc thiết lập một bản ánh xạ quy trình rõ ràng sẽ giúp mọi điều trong hành trình tuân thủ trở nên dễ dàng hơn!

Odoo tuân thủ GDPR như thế nào

Tại Odoo, việc triển khai các phương pháp tối ưu nhất về quyền riêng tư và bảo mật không còn là một ý tưởng mới. Là một công ty lưu trữ Đám mây, Odoo liên tục sửa đổi và cải tiến các hệ thống, công cụ và quy trình của mình để duy trì một nền tảng tuyệt vời và an toàn.

Vai trò GDPR của Chúng tôi

Trách nhiệm về bảo vệ dữ liệu cá nhân của Odoo phụ thuộc vào nhiều hoạt động xử lý dữ liệu khác nhau của chúng tôi:

Vai trò của Chúng tôi Xử lý Dữ liệu Loại dữ liệu
Controller Bên kiểm soát & Bên xử lý Dữ liệu Trên Odoo.com Dữ liệu cá nhân được cung cấp cho Odoo bởi khách hàng trực tiếp và khách hàng tiềm năng, đối tác và tất cả người dùng trực tiếp của Odoo.com (tên, email, địa chỉ, mật khẩu...)
Bên xử lý Dữ liệu Trên Odoo Đám mây
(Odoo Online, Odoo.sh và các Dịch vụ Odoo Enterprise khác)
Mọi dữ liệu cá nhân được lưu trữ trong cơ sở dữ liệu của khách hàng, được lưu trữ trên Odoo Đám mây hoặc được chuyển cho Odoo để sử dụng một trong các dịch vụ của chúng tôi. Chủ sở hữu của cơ sở dữ liệu là bên kiểm soát dữ liệu.
Không có vai trò On-Premise Bất kỳ dữ liệu nào nằm trong cơ sở dữ liệu Odoo được lưu trữ tại chỗ hoặc trong bất kỳ dịch vụ lưu trữ nào không do chúng tôi vận hành.

Tài liệu GDPR của Chúng tôi

Với tư cách là Bên kiểm soát Dữ liệu, các hoạt động của Odoo được đề cập trong Chính sách Quyền riêng tư, đã được cập nhật theo GDPR. Chính sách này trình bày về loại dữ liệu chúng tôi xử lý, lý do chúng tôi xử lý dữ liệu đó, và cách chúng tôi thực hiện một cách rõ ràng nhất có thể. Liên quan mật thiết đến vấn đề này, Chính sách Bảo mật của chúng tôi trình bày các phương pháp bảo mật tốt nhất mà chúng tôi đã triển khai tại Odoo, ở mọi cấp độ (kỹ thuật và tổ chức) để đảm bảo rằng dữ liệu của bạn được xử lý một cách an toàn và bảo mật.

Ngoài các chính sách đó, các hoạt động của Odoo với tư cách là Bên xử lý Dữ liệu phải tuân theo sự chấp nhận của Hợp đồng Đăng ký Odoo Enterprise. Hợp đồng này đã được cập nhật để bổ sung các Điều khoản Bảo vệ Dữ liệu cần thiết (thường được gọi là "Thỏa thuận Xử lý Dữ liệu"), theo yêu cầu của GDPR.
Là Khách hàng của Odoo SA, bạn đã được hưởng lợi từ các đảm bảo mới mà không cần thực hiện bất kỳ việc gì để chấp nhận những thay đổi này, và chúng tôi sẽ coi là bạn đồng ý nếu không nhận được bất thông tin gì từ bạn!

Ngoài những tài liệu này, chúng tôi cũng đã cập nhật trang web và chèn các thông báo về quyền riêng tư ở tất cả những nơi có liên quan để luôn thông báo cho người dùng.

Cách Odoo giúp bạn triển khai các phương pháp tối ưu nhất về GDPR

Việc sử dụng Odoo để quản lý doanh nghiệp chưa thể đủ để tuân thủ GDPR, vì quy định này áp dụng cho toàn bộ tổ chức của bạn. Tuy nhiên, vì Odoo tập trung hóa dữ liệu của bạn, giảm dư thừa dữ liệu và triển khai các quyền truy cập chi tiết và kiểm soát bảo mật, nên chúng tôi có thể hỗ trợ bạn rất nhiều trong việc tuân thủ GDPR.

Dưới đây là một số cách mà chúng tôi cho rằng Odoo có thể giúp bạn tuân thủ GDPR, cho cả cơ sở dữ liệu Odoo tại chỗ và được lưu trữ trên Đám mây.

Tuyên bố miễn trừ trách nhiệm: như mọi khi, hãy tham khảo ý kiến ​​cố vấn pháp lý của bạn để xác định cách tuân thủ GDPR và các yêu cầu của chủ thể dữ liệu. Hãy luôn nhớ rằng bạn cũng có thể đang xử lý dữ liệu cá nhân bên ngoài Odoo.

Quyền Truy cập (Điều 15) và Quyền Chuyển đổi Dữ liệu (Điều 20)

  • Odoo cung cấp một số công cụ để chủ thể dữ liệu truy cập và cập nhật thông tin cá nhân của họ ở chế độ tự thực hiện:
    • Cổng thông tin khách hàng cho phép người dùng duyệt qua các tài liệu hợp đồng: địa chỉ và danh bạ, hóa đơn, báo giá, đơn đặt hàng, nhiệm vụ, phiếu trợ giúp, mua hàng, đăng ký, lệnh giao hàng, thanh toán cũng như thông tin liên lạc liên quan đến các tài liệu này.
    • Trang danh sách gửi thư, cho phép người dùng xem lại và quản lý đăng ký của họ (Ví dụ cho odoo.com: https://www.odoo.com/groups)
    • Hồ sơ diễn đàn đàn cho phép người dùng diễn đàn của bạn xem xét tất cả hoạt động của họ trong nháy mắt
  • Nếu bạn cần xuất tất cả dữ liệu hoặc để truyền dữ liệu riêng tư không thể truy cập qua cổng thông tin, thì cần thực hiện một số bước thủ công.
    Thông thường, bạn có thể truy cập tất cả tài liệu có liên quan trực tiếp từ thanh trên cùng trên biểu mẫu liên hệ của người dùng, nơi chúng được liên kết. Sau đó, bạn có thể xuất tất cả thông tin bằng tính năng “In dưới dạng PDF” của trình duyệt hoặc bằng menu Hành động>Xuất từ danh sách liên hệ hoặc danh sách tài liệu của họ.
    Cả hai tùy chọn đều cung cấp các định dạng điện tử tuân thủ GDPR.
  • Ngoài ra, thông tin có thể không được liên kết với biểu mẫu liên hệ mà chủ thể dữ liệu có thể đã nhập trong một ngữ cảnh riêng biệt. Bạn cũng nên xem lại những thông tin đó, tìm kiếm theo tên hoặc địa chỉ email, ví dụ
    • Đăng ký sự kiện
    • Lead & Cơ hội trong CRM của bạn

Nhắc nhở: Ngoài khả năng xuất dưới dạng PDF qua trình duyệt của bạn, Odoo có một công cụ để xuất bất kỳ bản ghi hoặc danh sách bản ghi nào trong tệp CSV hoặc Excel, cũng như các tài liệu liên quan được liên kết với bản ghi này. Để sử dụng, hãy đi đến chế độ xem danh sách của bất kỳ màn hình nào, chọn (các) bản ghi và nhấp vào Hành động > Xuất, sau đó chọn "Xuất Tất cả Dữ liệu". Sau đó, công cụ này cho phép bạn chọn các trường bạn muốn xuất.

Quyền Xóa (Điều 17)

GDPR cấp cho chủ thể dữ liệu quyền yêu cầu xóa dữ liệu cá nhân của họ trong các điều kiện cụ thể, chẳng hạn như:

  • Dữ liệu không còn cần cho mục đích;
  • Họ rút lại sự đồng ý đối với việc xử lý chỉ dựa trên sự đồng ý;
  • Việc xử lý là bất hợp pháp.

Nếu bạn xác định rằng yêu cầu là hợp pháp và bạn đã xác nhận danh tính của chủ thể, bạn có thể thử xóa liên hệ tương ứng trong Odoo. Để đảm bảo an toàn: hệ thống sẽ chặn hoạt động nếu tài liệu kinh doanh vẫn đề cập đến liên hệ (hóa đơn, liên hệ, lệnh giao hàng, bài đăng trên diễn đàn,...). Trong trường hợp đó, bạn nên quyết định xem mình có các nghĩa vụ khác cần giữ các tài liệu này hay không và phải từ chối yêu cầu xóa.

Nếu bạn không có lý do pháp lý để giữ thông tin cá nhân, nhưng không thể hoặc không muốn xóa tài liệu hoặc liên hệ, thay vào đó hãy xem xét việc ẩn danh thông tin này. Bạn có thể đổi tên liên hệ và thay đổi dữ liệu có thể nhận dạng của liên hệ đó (email, địa chỉ,...) hoặc bạn có thể gán lại tài liệu cho một liên hệ Ẩn danh chung. Sau khi được ẩn danh đúng cách, dữ liệu này sẽ không còn là là dữ liệu cá nhân nữa.

Hạn chế Xử lý (Điều 18) và Rút lại Sự đồng ý (Điều 7)

Người dùng thường sẽ yêu cầu hủy đăng ký nhận email thương mại. Nếu thư của bạn được gửi qua Odoo, người dùng có thể tự làm điều đó bằng cách sử dụng liên kết hủy đăng ký ở chân trang. Tuy nhiên, bạn cũng có thể đánh dấu vào trường "chọn không tham gia" theo cách thủ công trên một liên hệ hoặc lead/cơ hội. Các hồ sơ được đánh dấu là “chọn không tham gia” sẽ tự động bị loại khỏi các chiến dịch gửi thư hàng loạt, nhưng vẫn có thể nhận được tin nhắn trực tiếp từ người dùng (nhân viên) (ví dụ: báo giá, hóa đơn).

Quyền Sửa đổi (Điều 16) và Tính chính xác của Dữ liệu (Điều 5 (1) d)

Địa chỉ email không hợp lệ/thay đổi là một nguyên nhân lỗi dữ liệu phổ biến. Khi tích hợp email được cấu hình đúng (theo mặc định trên Odoo Đám mây), Odoo sẽ xử lý email bị trả lại trong các thư gửi hàng loạt của bạn và tăng trường Số thư bị trả lại với số lượng thư bị trả lại. Bạn có thể định kỳ xem lại các liên hệ hoặc khách hàng tiềm năng của mình bằng tìm kiếm tùy chỉnh "Số thư bị trả lại lớn hơn 0" và dọn dẹp/xóa chúng.

Những người theo dõi kênh Odoo Thảo luận sẽ tự động bị hủy đăng ký sau 10 lần thư bị trả lại.

Đối với việc chỉnh sửa, người dùng và khách hàng cũng có thể chỉnh sửa dữ liệu cá nhân của chính họ (tên, email, địa chỉ) thông qua cổng thông tin Odoo.

Sự đồng ý (Điều 7)

Khi bạn thu thập dữ liệu cá nhân thông qua các cơ chế mặc định của Odoo (ví dụ: biểu mẫu liên hệ, đăng ký danh sách gửi thư, đăng ký sự kiện), bạn phải thiết lập mục đíchcơ sở pháp lý cho việc xử lý. Điều này phụ thuộc rất nhiều vào cách bạn sẽ sử dụng dữ liệu đó.

Nếu bạn có mục đích cụ thể và rõ ràng (ví dụ: lưu trữ những người tham gia sự kiện đã đăng ký để thông báo cho họ về thời gian diễn ra sự kiện; đăng ký ai đó vào danh sách gửi thư mà họ đã chọn), bạn không cần hỏi xin sự đồng ý rõ ràng từ họ (dữ liệu cá nhân cần thiết cho hợp đồng - Điều 6 (1) b). Tuy nhiên, bạn vẫn cần nêu rõ mục đích cho người dùng và tham khảo trang Chính sách Quyền riêng tư nơi bạn cung cấp thêm thông tin. Bạn có thể sử dụng trình tạo trang web của Odoo để chỉnh sửa các biểu mẫu và thêm các đề cập cần thiết.

Tuy nhiên, nếu bạn dự định sử dụng dữ liệu được thu thập cho các mục đích khác, bạn cần có được sự đồng ý rõ ràng từ người dùng cho từng mục đích. Cách nên dùng là thêm các ô đánh dấu vào biểu mẫu của bạn để thu thập được sự đồng ý cho từng mục đích cụ thể (ví dụ: "Vui lòng gửi cho tôi thông tin giảm giá và khuyến mãi cho các sản phẩm tương tự qua email"). Để thực hiện việc này trên Odoo, bạn có thể:

  1. Sử dụng Odoo Studio để thêm trường ô đánh dấu (boolean) trên tài liệu thu thập dữ liệu cá nhân (ví dụ: Lead/Cơ hội), để thể hiện sự đồng ý cho mục đích này
  2. Thêm ô đánh dấu vào biểu mẫu trang web của bạn thông qua trình tạo trang web của Odoo
  3. Sử dụng trường ô đánh dấu khi xử lý dữ liệu cho mục đích này, chẳng hạn như trong bộ lọc phân khúc chiến dịch marketing của bạn

Thiết kế cho Quyền riêng tư (Điều 25)

Tại Odoo, Thiết kế cho Bảo mật là trọng tâm trong công việc Nghiên cứu và Phát triển và chúng tôi áp dụng các biện pháp bảo mật tối ưu nhất để khiến phần mềm của chúng tôi trở nên An toàn, mạnh mẽ và linh hoạt cho mọi người.

Kiểm soát Quyền truy cập - Cơ chế kiểm soát truy cập theo nhóm mặc định của Odoo cho phép bạn hạn chế quyền truy cập vào dữ liệu cá nhân theo từng vai trò và nhu cầu của người dùng. (ví dụ: quản lý dự án có thể không cần quyền truy cập vào Đơn Ứng tuyển). Nếu bạn xem lại việc gán nhóm người dùng và duy trì chúng đúng cách khi vai trò trong tổ chức của bạn thay đổi, thì bạn có cơ sở bảo mật vững chắc. Bạn có thể dễ dàng thêm hoặc sửa đổi các nhóm người dùng để điều chỉnh chúng cho phù hợp với tổ chức của mình.

Quy tắc Bản ghi - Để tinh chỉnh quyền truy cập vào dữ liệu cá nhân, bạn có thể sử dụng khái niệm Quy tắc Bản ghi, cho phép bạn hạn chế quyền truy cập vào tài liệu theo bất kỳ tiêu chí nào dựa trên giá trị trường. Quy tắc Bản ghi có thể chặn các thao tác đọc và/hoặc ghi và chúng hoạt động trên cơ sở từng tài liệu. Để biết thêm thông tin, vui lòng tham khảo tài liệu của chúng tôi.

Mật khẩu - Odoo lưu trữ mật khẩu người dùng bằng hàm băm an toàn theo tiêu chuẩn ngành. Các hệ thống xác thực bên ngoài như OAuth 2.0 hoặc LDAP cũng có thể được sử dụng để tránh lưu trữ mật khẩu người dùng.

Dữ liệu nhân viên - Một khu vực mà cơ sở dữ liệu Odoo có khả năng chứa dữ liệu cá nhân nhạy cảm là tab Thông tin cá nhân trong biểu mẫu nhân viên và hợp đồng của họ. Phần này của Danh bạ nhân viên chỉ hiển thị với đội ngũ nhân sự (đội ngũ "Chuyên viên Nhân sự"), để phục vụ cho công việc của họ. Chúng tôi đã mở rộng biện pháp bảo vệ này cho địa chỉ cá nhân của nhân viên, kể từ Odoo 12 đến Odoo 17, được lưu dưới dạng Liên hệ loại "Riêng tư" chỉ hiển thị cho đội ngũ Nhân sự. Kể từ phiên bản 17.0, thông tin này được lưu trực tiếp trên hồ sơ Nhân viên.

Bảo mật Quá trình Xử lý (Điều 25 & 32)

Nếu bạn sử dụng các dịch vụ Odoo Online hoặc Odoo.sh, chúng tôi sẽ triển khai các phương pháp tối ưu nhất về bảo mật và quyền riêng tư ở mọi cấp độ. Bạn có thể tìm hiểu thêm trong Chính sách Bảo mật.
Nếu bạn sử dụng Odoo On-premise, bạn có trách nhiệm tuân thủ các phương pháp tối ưu nhất về bảo mật. Bạn có thể bắt đầu với các đề xuất bảo mật trong tài liệu triển khai của chúng tôi.