通用資料保護規例（GDPR）

Odoo 對這條歐洲資料保護法例的指引

概覽

私隱新法例實施及 Odoo 遵行的最佳做法

由 2018 年 5 月 25 日起，歐盟的《通用資料保護規例》（General Data Protection Regulation，GDPR）經已生效，為每個人開啟了資料保護及私隱保障的新時代。你或許已聽說和閱讀過很多有關 GDPR 的資訊，但仍可能覺得難以準確掌握這條法例對你的業務帶來的實際影響，以及你應該採取甚麼行動以遵守新規例。

Odoo 致力遵循有關安全及私隱方面的最佳做法。我們努力為所有用戶和客戶提供相同等級的保護，不分地域或國籍。另外，這些最佳做法是應用在我們所有的資料和數據上，並非僅限個人資料。

即是說，Odoo SA 及其附屬公司均符合 GDPR 要求。

你需要知道的 GDPR 詳情

提示：
如果可以的話，理解 GDPR 的最佳途徑是閱讀官方條文原文。
雖然有點長（共 99 條，88 頁），但對外行人來說仍算易讀易懂。

GDPR 是歐盟一條規例（即法律），旨在協調和更新舊有私隱法例的規定，包括它取代了的歐盟資料保護指令。它制定了保障個人（自然人）私隱的規則，範圍包括如何處理個人資料，以及個人資料在歐盟內如何自由流通。

它是一部成文規例，不是指令，因此即時在所有歐盟成員國生效，各國無需另行本地立法。歐盟各國仍對法例細節保留有限度的解釋空間，但歐盟境內所有成員國都必須遵從基本規定。

GDPR 亦將法例帶入新紀元，考慮到社交媒體、雲端電腦應用、網絡犯罪等，以及這些因素在個人資料私隱及保安方面帶來的主要挑戰。

簡言之：不用懼怕！

放心，GDPR 的新規定不會摧毀世界；反而，這條新法例在根本上對公民及企業都是好事。

它是好東西！

我們想強調，GDPR 對你和你的客戶都有很大益處。遵守這部法例一開始可能會大大增加工作量，但新規定也有以下各種好處：

增強客戶及用家對你的信心
簡化工作：同一套規則，在歐盟所有成員國都同樣適用
組織層面的工作流程，能更合理及集中處理

GDPR 旨在向個人賦予對自己私人資料的更大監察權。若你的公司採用正確的策略及系統，未來管理個人資料將變得更容易，資料亦會更安全。

不遵守會有甚麼風險？

違規的最高罰則是二千萬歐元行政罰款，或公司全年全球營業額的 4%，兩者取金額較高者。程度較輕的違規可處較低的最高罰則，為一千萬歐元或全年全球營業額的 2%。

這些最高罰則的水平，旨在對任何大小的企業起到勸阻作用，但法例條文同時要求罰款金額須符合比例。

監管機構（又稱資料保護機構）須個別考慮每宗個案的情況，包括違規行為的性質、嚴重程度、持續時間等。這些機構已獲賦權進行調查及強制採取糾正措施，包括限制違規行為，而非一定處以罰款。

不守法的另一風險，是失去客戶及潛在顧客的信任。他們也很關注你會如何處理他們的個人資料的！

最後，很多資料保護機構已暗示，暫且不會在 2018 年內處以罰款，但他們期望企業能展示自己正逐步努力達致合規。

GDPR 的主要關鍵原則

規管範圍

規例適用於對個人資料進行任何處理、並符合下列情況的任何組織：

控制或處理個人資料的組織位於歐盟境內；或
組織並非位於歐盟內，但處理涉及位於歐盟內的資料當事人的個人資料，而業務關乎商業出售品或行為監察。

因此，新法例亦規管非歐盟公司，這點與舊法例不同。

角色

規例將法人團體明確分為兩個主要類型：

資料控制者（data controller）：任何會決定個人資料處理目的及方式的法人團體，不論是單獨決定抑或與其他實體共同決定。一般來說，所有組織對於自己的資料都是資料控制者。
資料處理者（data processor）：任何會代資料控制者處理資料的法人團體。

舉例，若你公司擁有一個寄存在 Odoo 雲端服務的資料庫，公司便是資料庫的資料控制者，而 Odoo SA 只屬資料處理者。若你使用離線安裝版本的 Odoo，你便會同時是資料的控制者與處理者。

個人資料

GDPR 對「個人資料」定下廣闊定義：任何資料只要關乎身份已被識別或可被識別的自然人，便算是個人資料。「可識別」的人是指：能夠透過該人的姓名、電郵地址、電話號碼、生物特徵識別資訊、位置數據、財務資料等，直接或間接識別出身份的人。網上識別資訊（例如 IP 位址、裝置識別碼等）亦納入規管範圍。

有關規定亦適用於商業情境。舉例，info@odoo.com 不算是個人電郵地址，但 john.smith@odoo.com 則會視作個人資料，因為足以用作識別一間公司內的一名特定實體自然人。

GDPR 亦要求對敏感資料提供較高強度保護。此類資料包括幾個特定類別的個人資料，例如醫療保健、基因遺傳、種族、宗教信仰等資料。

資料處理原則

要符合法例規定，處理資料時必須遵守以下規則：
（正如 GDPR 第 5 條所列）

合法、公平、透明：收集資料須有法律基礎，要訂立清晰的收集目的，並須通知資料當事人收集目的是甚麼。
- 訂立一份清晰、容易理解的私隱政策，每當收集資料時記得提及或引用這份政策。
- 重新檢視每一項收集資料活動，確認所有收集行為均有法律基礎。
限制目的及用途：為某一目的收集資料後，若要將資料用作其他目的或用途，必須徵得同意。

例子：若客戶資料最初收集的目的不是用作轉售，你便不可改變主意出售客戶資料。
盡量收集最少資料：只可以收集執行指定目的或用途時必需用到的資料。
準確：應採取合理步驟，確保資料能按照指定目的所需，持續保持更新。

例子：記得要處理彈回郵件，更正或刪除不正確的電郵地址。
限制保留時間：個人資料應該只在需要用作主要目的及用途的期間，才儲存及保留。

視乎資料用途，為你處理的個人資料，制定刪除或重新審視的時限或限期。
完整及保密：資料處理者必須按照所處理資料的類型及範圍，落實適當的存取管制措施、保安措施，以及防止資料遺失措施。

例子：確保備份系統運作正常，落實適當的保安管制措施，將密碼等敏感資料加密保護，等等。
問責：資料控制者有責任遵守上述所有資料處理原則，並必須能夠證明自己已盡責守法。
- 為你的組織設立一份資料流程記錄，並持續更新，描述你處理資料的行為如何符合規定。
- 向客戶提供清晰的私隱政策，通知他們。

法律基礎

要符合 GDPR 法例規定（即首項處理原則「合法」），處理個人資料必須建基於六項可接受法律基礎的其中一項。這些法律基礎在 GDPR 第 6 (1) 條列明：

已取得同意。若資料當事人經過適當通知，包括已獲清晰表述收集資料的明確目的後，明確地及以自己自由意志提供同意，才算有效。證明已獲取全面同意的責任，全部落在資料控制者上。
必須運用個人資料履行合約責任，或在草擬合約過程中，必須運用個人資料才可回應資料當事人的要求。
資料控制者被法例強制要求遵守法律責任。
保障生命利益，即必須運用個人資料才可挽救性命。
維護公眾利益或官方當局利益。
正當利益。適用情況：當資料控制者擁有合理正當利益，而該項利益並未受資料當事人自身的利益或基本權利凌駕。

GDPR 相比以往資料私隱規例的一大轉變，是對取得有效同意的要求更為嚴格。

資料當事人權利

目前個人享有的資料私隱權利，在 GDPR 下獲進一步擴展。組織必須準備好，能夠及時（一個月內）兼免費處理資料當事人提出的要求，包括：

查閱權利：個人有權以完全透明的方式，全面知悉自己哪些個人資料會被處理，以及處理的方式。
修正權利：個人有權提出改正或補充自己的個人資料。
清除權利：個人有權就正當合理因由（撤回同意、資料對達成目的不再是必需等等），要求刪除自己的個人資料。
限制權利：個人若不想或無法要求全面刪除資料，可要求資料控制者停止處理自己的個人資料。
反對權利：在任何時間，個人都有權反對及拒絕自己的個人資料接受某種處理，例如用作直接推廣用途。
資料可攜性：個人有權要求資料控制者，向自己或另一資料控制者提供所持有的個人資料。

你應該如何為 GDPR 做好準備

免責聲明
我們不能向你提供法律意見，本章節資料只供參考。請諮詢你的律師或法律代表，以確定 GDPR 對你公司有甚麼影響。

要達致符合 GDPR 規定，以下是我們建議採取的主要步驟路線圖：

針對你組織的各項資料處理活動，建立一份資料流程記錄，以清晰掌握資料處理的情況。通常，資料保護機構會提供範本表格，協助你完成這項工作。就每一項處理資料的工序，請記錄低：收集了甚麼類型的個人資料以及收集的方法；收集的目的、法律基礎及有關資料的刪除政策；在技術上及組織架構上，採取了甚麼保安措施；以及牽涉哪些外判商。

提示：隨着你的工序演變，這份資料流程記錄亦需要你定期更新，以反映最新情況。
根據第 1 步所列細節，為所有未有法律基礎（例如缺少同意）或未有落實適當保安措施的處理工作，選擇合適的補救措施，並調整你的工作流程、內部程序、存取管制規則、備份內容、監控措施等。
更新並在你的網站公開發佈一份清晰易懂的私隱政策。政策應詳述你會處理甚麼個人資料、處理的方法，以及個人對自己資料所擁有的權利。
與律師一同重新審視你的各份合約，有需要時修訂至符合 GDPR 規定。
預先決定你會如何回應各類資料當事人要求。
預先計劃一旦出現資料外洩或違規時，你會採取的事故應變程序。

因應你的個別情況，上述路線圖可能需要加入其他步驟，例如委任一名資料保護主任。請諮詢你內部有關資料處理的專家以及律師意見，以確定有否其他相關措施需要落實。

請記住！
設立清晰的資料流程記錄，能讓你達致符合規定的路上每一步都更簡單！

Odoo 如何遵守 GDPR 規定

採取最佳私隱及保安措施，對 Odoo 來說不是新鮮事。作為雲端寄存公司，我們一直調整和改進我們的系統、工具及工作流程，以保持平台安全好用。

我們在 GDPR 下的角色

我們對保護個人資料的責任，取決於不同的資料處理活動：

我們的角色	資料處理方式	涉及資料類型
資料控制者兼處理者	透過 Odoo.com	由我們的直接客戶、潛在客戶、合作夥伴及所有 Odoo.com 直接使用者向我們提供的個人資料（例如：姓名、電郵、地址、密碼等）。
資料處理者	透過 Odoo 雲端服務（Odoo 雲端版、Odoo.sh 及其他 Odoo 企業版服務）	任何儲存在客戶資料庫或寄存在 Odoo 雲端服務的個人資料，或因使用我們其中一項服務之目的而轉交我們的個人資料。資料庫擁有人會是這些資料的控制者。
沒有任何角色	透過離線安裝版本	任何本地離線安裝、或非由 Odoo 營運寄存服務的 Odoo 資料庫，所持有的任何資料。

我們的 GDPR 相關文件

Odoo 以資料控制者身份執行的資料處理活動，已詳細在我們的私隱政策交代。該政策已更新，以符合 GDPR 的新規定。政策亦已盡量清楚解釋我們處理甚麼資料、處理的原因，以及處理的方法。與此密切相關的還有我們的安全性政策，該政策解釋為保障你的資料以安全方式處理，Odoo 在各個層面（技術上及組織架構上）採取了的最佳保安做法。

除上述政策所述外，我們還會作為資料處理者執行資料處理活動，會在用戶同意及接納我們的 Odoo 企業版服務協議之後進行。該協議已更新，以按照 GDPR 的要求，加入必需的資料保護條款（常被稱作「資料處理協議」）。
作為 Odoo S.A. 的客戶，你無需採取任何行動去接納新轉變；你已經即時受惠於新條款帶來的保障。若我們未有收到客戶作出任何回應，客戶將被視為同意及接納已修訂條款。

除了上述文件之外，我們亦已更新網站，在所有相關位置加入私隱通知，讓用戶時刻知情。

Odoo 如何協助你落實符合 GDPR 的最佳做法

請注意，單靠使用 Odoo 管理業務，並不足以確保你能符合 GDPR 規定，因為規例適用於整個組織的所有工作流程。不過，正因為 Odoo 集中處理你的資料、減低資料重複性，並採取精細的存取權限管制及保安措施，使用 Odoo 能大大幫助你遵守 GDPR 規定。

下文講解我們認為 Odoo 能夠幫助你遵守 GDPR 的地方，不論離線安裝或雲端寄存的 Odoo 資料庫皆適用。

免責聲明：一如以往，請諮詢你的法律意見，確定你應該如何遵從 GDPR 規定及回應資料當事人要求。任何時候也請記住，你可能是在 Odoo 系統架構外處理個人資料的。

查閱權利（第 15 條）及資料可攜權利（第 20 條）

Odoo 提供了一些工具，讓資料當事人以自助形式，查閱及更新自己的個人資料：
- 客戶頁面：容許使用者瀏覽合約性質文件，例如：地址及聯絡人、發票、報價單、訂單、待辦任務、技術支援請求、採購單、定期訂購詳情、送貨單、付款詳情，以及有關這些文件的通訊內容。
- 郵寄清單頁面：容許使用者審視及管理自己的訂閱（Odoo.com 的例子： https://www.odoo.com/groups)
- 討論區個人檔案：容許討論區使用者快速概覽自己所有活動。
若你需要匯出所有數據，或傳達一些無法在該些頁面存取的私密資料，你需要先進行一些人手操作。
通常，你可在使用者聯絡表格的頂部工具列，直接存取所有相關文件的連結。然後，你便可使用瀏覽器的「列印為 PDF」功能，或者在聯絡人清單或與他們相關的文件清單中，在選單揀選「操作 > 匯出」，即可匯出所有資料。
兩種方法都能產生符合 GDPR 規定的電子格式。
除此之外，可能還有一些由資料當事人在其他情況輸入的資料，並未連結至聯絡表格的。你亦應該審視這些資料，它們可透過姓名或電郵地址搜尋到。例子包括：
- 活動報名資料
- 客戶關係管理（CRM）工具中的潛在客戶及潛在銷售機會

提醒：除了可以透過瀏覽器匯出至 PDF，Odoo 亦設有工具匯出任何一項記錄（或多項記錄的列表）至 CSV 或 Excel 檔案，以及連結至該記錄的相關文件。要使用此功能，請在任何畫面選擇列表檢視，選取需要的記錄，然後在選單揀選「操作 > 匯出」，再選擇「匯出所有資料」。工具隨後會讓你選擇要匯出哪些欄位。

被遺忘權利（第 17 條）

GDPR 賦予資料當事人被遺忘權利，在特定情況下可以要求刪除自己的個人資料，例如：

就執行相關目的而言，該資料已不再是必需；
就某項只建基於同意的資料處理活動而言，資料當事人已撤回同意；
處理資料活動因其他原因不合法。

若你確定資料當事人的要求屬正當合理，亦已確認資料當事人的身份，你可嘗試刪除其在 Odoo 對應的聯絡人記錄。這項操作是安全的：若偵測到仍有商業文件（發票、聯絡人資料、送貨單、討論區貼文等等）需要參照該聯絡人，系統會堵截刪除操作。在這情況下，你應該考慮是否仍有其他責任或需要去繼續保存這些文件，以致你必須拒絕資料刪除要求。

若你沒有法律理由繼續保管這些個人資料，但又不想、或無法刪除某份文件或某個聯絡人，你可考慮將文件或聯絡人匿名處理。你可以重新命名聯絡人，修改可識別身份的資訊（例如電郵地址、地址等），或將文件重新編配給一個通用的匿名聯絡人。只要經過適當匿名處理，資料便不再視為個人資料。

限制處理（第 18 條）及撤回同意（第 7 條）

很多時候，用戶會要求取消訂閱推廣電郵。若你大量傳送的電郵是經 Odoo 發出，收件人可使用頁尾的退訂連結，自行取消訂閱。此外，你亦可人手剔選聯絡人、潛在客戶或潛在銷售對象的「選擇退出」欄位。標記為「退出」的聯絡人，會在大量傳送郵件的推廣活動中自動排除，但他們仍能收取用戶發出的直接訊息（例如報價、發票等）。

修正權利（第 16 條）及資料準確權利（第 5 (1) d 條）

電郵地址無效或已更改，是資料出錯的常見起因。若電郵功能設定恰當（Odoo 雲端服務的預設設定），Odoo 會處理你大量發送但遭彈回的電郵，會計算彈回訊息的次數，每次加 1 至「彈回」數字欄位。你可以定期重新檢視聯絡人或潛在顧客，自訂搜尋「彈回次數大於 0（零）」的聯絡人，再按需要清理或刪除。

Odoo 討論頻道的關注者，會在訊息彈回 10 次後自動取消訂閱。

修正資料方面，用戶及客戶亦可透過 Odoo 頁面，更正自己的個人資料（姓名、電郵地址、地址等）。

同意（第 7 條）

當你透過 Odoo 的預設機制（例如：聯絡表格、郵寄清單訂閱、活動報名等）收集個人資料時，你必須確立處理有關資料的目的及法律基礎。這很大程度取決於你會如何使用該些資料。

若有關目的屬特定及明顯的（例如：儲存已登記的參加者資料，以通知他們活動詳情；按照某人的選擇為他訂閱郵寄清單電郵等），你無需徵得資料當事人明示同意（因為在此情況下，個人資料對履行合約責任屬必需 ── 參考規例第 6 (1) b 條），但你仍須向資料當事人清楚交代這些目的，並引用你的私隱政策，指出提供進一步資訊的部份。Odoo 的網站製作工具，容許你編輯表單及加入所需引用。

不過，若你想將已收集的資料用作其他目的和用途，便須就每一項額外目的或用途，徵得使用者同意。建議做法是在表單加入剔選方格，就每一項特定目的取得同意（例子：「請以電郵向我發送有關類似產品的折扣及推廣優惠」）。要使用 Odoo 做到這點，你可以：

利用 Odoo Studio 將一個剔選方格（真假值）欄位，加至收集個人資料的文件中（例如潛在客戶 / 潛在銷售對象記錄），以代表對該項額外目的是否提供同意。
透過 Odoo 網站製作工具，將剔選方格加入網站表單內。
每當要出於此目的去處理資料時，便使用這個欄位（例如：在市場推廣活動的客戶所屬群組篩選工具加入）。

從設計上保障私隱（第 25 條）

在設計上保障資料安全，是 Odoo 研發工作的其中一項重心。我們在保安上採取最佳做法，致力使我們的軟件對所有人都是安全、強大及穩健的。

存取管制：Odoo 預設的存取管理機制以群組為基礎，讓你根據每名使用者的角色及職務需要，限制各組別存取個人資料（舉例：項目經理未必需要查看求職申請）。若你能審視用戶被分配到甚麼群組，並在職務角色變更時作適當更新，你的組織已有很強的私隱基礎。你可以輕易新增或修改用戶群組，以切合組織需要。

記錄存取規則：若想更仔細調整個人資料的存取權限，你可以運用「記錄存取規則」。此功能容許你基於欄位資料值設立任何準則，用作限制存取個別文件。記錄存取規則可封鎖讀取（read）及/或寫入（write）操作，個別文件可以有不同的存取規則。若想了解更多詳情，請參閱我們的說明文件.

密碼：Odoo 使用業界標準的保安雜湊值儲存用戶密碼。系統亦可使用外部身份驗證系統，例如 OAuth 2.0 或 LDAP 等，以完全避免儲存用戶密碼。

員工資料：Odoo 資料庫其中一個很可能載有敏感個人資料的地方，是員工表單及聘用合約的「私人資料」分頁。此部份的員工目錄資料，只限人力資源人員閱讀（「人力資源職員」群組），因他們在工作上需要存取這些資料。這項保障擴展至包括員工個人地址：由 Odoo 12 至 Odoo 17，員工資料會以「私人」聯絡人形式儲存，只限人力資源人員可查閱。由版本 17.0 開始，員工資料會直接儲存在「員工」記錄中。

處理活動的安全性（第 25 及 32 條）

若你使用 Odoo 雲端版或 Odoo.sh 服務，我們在所有層面，不論保安上或私隱上，都採取了最佳做法。若想了解更多詳情，請參閱我們的安全性政策。
若你使用 Odoo 離線安裝版本，你必須負責落實最佳保安措施。要開始第一步，你可以參考安裝說明的保安建議。