Apžvalga

Nauji privatumo įstatymai ir geriausios praktikos su Odoo

Nuo 2018 m. gegužės 25 d., Bendrojo duomenų apsaugos reglamentas (BDAR) įsigalioja, atverdamas naują duomenų apsaugos ir privatumo erą visiems. Nors tikriausiai jau esate girdėję ir skaitę daug informacijos apie BDAR, gali būti sudėtinga tiksliai suprasti, ką tai reiškia jūsų verslui praktiškai ir ką turėtumėte daryti, kad laikytumėtės naujų taisyklių.

Mes pas Odoo įsipareigojame laikytis geriausių saugumo ir privatumo praktikų. Stengiamės suteikti tą patį apsaugos lygį visiems vartotojams ir klientams, nepriklausomai nuo jų buvimo vietos ar pilietybės. O mes taikome šias geriausias praktikas visiems duomenims, ne tik asmeniniams duomenims.

Taigi, Odoo SA ir jos dukterinės įmonės laikosi BDAR.

Ką gera žinoti apie BDAR?

Patarimas
Jei galite, geriausias būdas suprasti bendrasis duomenų apsaugos reglamentas (ang. GDPR) yra Perskaityti oficialų tekstą.
Tai šiek tiek ilgas (99 straipsniai per 88 puslapius), bet gana lengva skaityti ir ne ekspertų.

Tai yra ES reglamentas, siekiantis suderinti ir modernizuoti dabartinius privatumo teisės aktus, pvz., jį pakeičianti ES Duomenų privatumo direktyva. Reglamente nustatomos taisyklės dėl fizinių asmenų apsaugos tvarkant jų asmens duomenis ir užtikrinant laisvą asmens duomenų judėjimą Europoje.

Tai yra reglamentas, o ne direktyva, todėl jis iš karto taikomas visose ES valstybėse, o jo nereikia perkelti į kiekvienos šalies nacionalinę teisę. ES šalys turi ribotą interpretavimo laisvę dėl smulkių detalių, tačiau pagrindinės taisyklės yra vienodos visiems per visą ES.

Bendrasis duomenų apsaugos reglamentas taip pat pritaiko teisės aktus ateinančiam tūkstantmečiui, atsižvelgiant į socialinę žiniasklaidą, debesų kompiuteriją, kibernetinį nusikalstamumą ir pagrindinius iššūkius, su kuriais susiduriama asmens duomenų privatumo ir saugumo srityje.

Trumpai: Nepanikuokite!

BDAR nėra pasaulį keičiančios naujos teisės aktai, ir iš esmės tai yra naudinga tiek piliečiams, tiek verslui.

Tai yra teigiama!

Norime pabrėžti, kad BDAR gali būti naudingas jums ir jūsų klientams. Atitiktis su BDAR gali pradžioje reikalauti daug pastangų, tačiau naujos taisyklės turi ir privalumų:

  • Padidintas klientų ir vartotojų pasitikėjimas
  • Supaprastinimas: tos pačios taisyklės taikomos visose ES šalyse
  • Jūsų organizacinių procesų racionalizavimas ir centralizavimas

BDAR tikslas yra suteikti asmenims daugiau kontrolės jų asmens duomenų. Jei įmonė įdiegia tinkamas strategijas ir sistemas, duomenis valdyti tampa lengviau, bei tampa saugesni dabar ir ateityje.

Kokios yra rizikos, jei nesilaikysite reikalavimų?

Maksimali bauda už nesilaikymą yra 20 milijonų eurų administracinė bauda arba 4 % jūsų bendros metinės apyvartos, atsižvelgiant į tai, kuri suma yra didesnė. Mažesnė maksimali bauda – 10 milijonų eurų arba 2 % jūsų bendros metinės apyvartos – taikoma mažesniems pažeidimams.

Šie maksimali baudos dydžiai yra skirti atkalbinėti verslus nuo pažeidimų, tačiau BDAR taip pat reikalauja, kad baudos būtų atitinkamos.

Priežiūros institucijos (taip pat žinomos kaip Duomenų apsaugos institucijos: DPA) turi atsižvelgti į kiekvieno atvejo aplinkybes, įskaitant pažeidimo pobūdį, sunkumą ir trukmę. Šios DPA taip pat turi įgaliojimus ištirti ir taikyti korekcines veiksmas, kurios apima pažeidžiančių veiklų ribojimą, nenurodant baudos.

Kitas rizikos veiksnys, jei nesilaikysite taisyklių, yra pasitikėjimo praradimas jūsų klientų ir potencialių klientų, kurie rūpinasi, kaip tvarkote jų duomenis!

Galiausiai daugelis DPAs užsiminė, kad 2018 m. dar nebus skiriami baudos, tačiau tikimasi, kad įmonės rodys, jog dirba siekdamos reikalavimų laikymąsi.

BDAR pagrindiniai principai

Aprėptis

Reglamentas taikomas bet kokiam asmens duomenų tvarkymui, bet kuri atliekančiai organizacijai:

  1. Jei valdančioji ar duomenis tvarkanti organizacija yra įsikūrusi ES
  2. Jei organizacija nėra įsikūrusi ES, bet duomenys tvarkymas apima ES esančių duomenų subjekto asmens duomenis, o yra susijusi su komerciniais pasiūlymais ar elgesio stebėjimu.

Taikymo sritis apima ir ne-ES įmones, ko ankstesni teisės aktai neįtraukė.

Vaidmenys

Reglamentas išskiria du pagrindinius subjektų tipus:

  • Duomenų valdytojas: Bet kuris subjektas, kuris vienas arba bendrai nulemia asmens duomenų tvarkymo tikslus ir priemones. As a general rule, kiekviena organizacija yra savo duomenų valdytoja.
  • Duomenų procesorius: bet kuris subjektas, kuris tvarko duomenis duomenų valdytojo vardu.

Pavyzdžiui, jei jūsų įmonė turi duomenų bazę, kuri yra talpinama Odoo Debesio, jūs esate duomenų valdytojas, o Odoo SA yra tik duomenų tvarkytojas. Jei naudojate Odoo savo patalpose, jūs esate tiek valdytojas, tiek tvarkytojas.

Asmeniniai duomenys

GDPR suteikia plačią asmens duomenų apibrėžimą: bet kokia informacija, susijusi su identifikuotu arba identifikuojamu fiziniu asmeniu. Identifikuojamas asmuo yra tas, kuris gali būti identifikuotas tiesiogiai arba netiesiogiai pagal jų vardus, el. pašto adresus, telefono numerius, biometrinę informaciją, vietos duomenis, finansinius duomenis ir kt. Interneto identifikatoriai (IP adresai, įrenginio ID ir pan.) taip pat yra šio reglamento taikymo dalis.

Tai taikoma ir verslo kontekste: info@odoo.com nelaikomas asmeniniu el. paštu, betjohn.smith@odoo.com yra, nes pagal jį galima identifikuoti konkretų asmenį įmonėje.

GDPR taip pat reikalauja aukštesnio jautrių duomenų apsaugos lygio, įskaitant konkrečias asmens duomenų kategorijas, tokias kaip sveikatos, genetiniai, rasiniai ar religinių duomenų informacija.

Duomenų apdorojimo principai

Kad būtumėte atitinkantis, apdorojimo veikla turi laikytis šių taisyklių:
(kaip nurodyta BDAR penktame straipsnyje):

  1. Teisėtumas, teisingumas ir skaidrumas: norint rinkti duomenis, turi būti teisėtas pagrindas, aiškus tikslas ir turi būti informuotas duomenų subjekto asmuo.

    • Turėkite paprastą ir aiškią privatumo politiką, ir nuorodą į ją visada, kai renkate duomenis
    • Patikrinkite teisinį pagrindą kiekvienai jūsų duomenų apdorojimo veiklai.

  2. Tikslų apribojimas: jei norite naudoti datą, surinktą tam tikslui, turite paprašyti leidimo ją naudoti kitam tikslui.

    pavyzdys - Negalite nuspręsti parduoti savo klientų duomenų, jei jie nebuvo surinkti tam tikslui.

  3. Minimizavimas: Turi būti renkama tik ta informacija, kuri yra būtina numatytam tikslui pasiekti.

  4. Tikslumas: pagrįstų veiksmų turi būti imtasi siekiant užtikrinti, kad duomenys būtų nuolat atnaujinami pagal jų paskirtį

    pvz. - Būkite tikri, kad tvarkote grąžintus el. laiškus ir pataisote arba pašalinate adresus.

  5. Saugojimo apribojimas: asmens duomenys turėtų būti saugomi tik tiek laiko, kiek reikia pirminiam tikslui pasiekti.

    Nustatykite asmens duomenų ištrynimo arba peržiūros terminus, priklausomai nuo jų apdorojimo tikslo.

  6. Vientisumas ir konfidencialumas: duomenų tvarkytojai privalo taikyti tinkamas prieigos kontrolės, saugumo ir duomenų praradimo prevencijos priemones.

    pavyzdys - Įsitikinkite, kad jūsų atsarginių kopijų sistema veikia, kad turite tinkamus saugumo kontrolės mechanizmus, kad naudojate šifravimą, ir kad apsaugote jautrius duomenis, pvz., slaptažodžiai, ...

  7. Atskaitomybė: Duomenų valdytojai yra atsakingi už visų pirmiau minėtų tvarkymo principų laikymasį o jiems reikia įrodyti, kad jie laikosi.

    • Įkurkite ir išlaikykite bazinis duomenų vaizdavimą savo įmonei, apibūdinant jūsų duomenų tvarkymo veiklų laikymąsi.
    • Informuokite savo klientus su aiškia privatumo politika
Teisinis pagrindas

Kad būtų teisėtas pagal BDAR (pirmasis principas), asmens duomenų tvarkymas turi būti pagrįstas viena iš šešių galimų teisinių bazių, išvardytų BDAR šešto straipsnio (1):

  1. Sutikimas. Galioja, kai duomenų subjektas aiškiai ir laisva valia davė susitikimą, po to, kai buvo tinkamai informuotas, įskaitant aiškiai nurodytą ir konkretų tikslą. Visa to įrodinėjimo pareiga tenka duomenų valdytojui.
  2. Būtina sutarties vykdymui, arba duomenų subjekto prašymų įvykdymui, pasiruošiant sutartį.
  3. Laikymasis teisinės pareigomis, kuris yra nystatytas valdytojui.
  4. Būtinai svarbaus intereso apsauga. Kai duomenų tvarkymas yra būtinas gyvybei išgelbėti.
  5. Viešasis interesas arba oficialios įstaigos.
  6. Teisėto intereso pagrindas. Taikoma, kai duomenų valdytojas turi teisėtą interesą, kuris nėra nepaisytas duomenų subjekto interesų ir pagrindinių teisių.

Vienas iš pagrindinių BDAR pakeitimų, palyginant su ankstesniu duomenų privatumo reglamentavimu, yra griežtesni reikalavimai gauti galiojantį sutikimą.

Duomenų subjektų teisės

Dabartiniai asmens duomenų apsaugos įstatymai buvo išplėsti pagal GDPR. Organizacijos turi pasiruošti laiku (per 1 mėnesį) ir nemokamai atsakyti į duomenų subjektų prašymus:

  1. Teisė prieiti - Asmenys turi teisę žinoti visiškai skaidriai, kaip ir kokie jų asmens duomenys yra tvarkomi.
  2. Teisė ištaisyti - Asmenys turi teisę reikalauti pataisyti ar papildyti savo asmens duomenis;
  3. Teisė būti pamirštam - Asmenys turi teisę reikalauti savo asmens duomenių ištrinimo dėl teisėtų priežasčių (pvz., atšaukus sutikimą, duomenys nebereikalingi tikslui ir pan.).
  4. Teisė apriboti- Asmenys gali prašyti, kad valdytojas sustabdytų jų asmens duomenų tvarkymą, jei visiškas ištrynimas nenorimas arba negalimas;
  5. Teisė prieštarauti - Asmenys turi teisę bet kuriuo metu prieštarauti tam tikram jų asmens duomenų tvarkymui, pavyzdžiui, tiesioginės rinkodaros tikslams;
  6. Duomenų perkėlimas - Individai turi teisę to paprašyti, kad valdytojo turimi asmens duomenys būtų pateikti jiems, arba kitam valdytojui.

Kaip turėtumėte pasiruošti BDAR

Atsakomybės atsisakymas
Mes negalime teikti teisinės konsultacijos. cannot provide legal advice, this section is only provided for informational purposes. Šis skyrius skirtas tik informaciniams tikslams. Norėdami tiksliai suprasti, kaip BDAR veikia jūsų įmonę, susisiekite su savo teisininku.

Štai pagrindiniai žingsniai, kuriuos rekomenduojame, kad atitiktute BDAR:

  1. Įkurkite ir išlaikykite bazinis duomenų vaizdavimą, kad turėtumėte aiškų situacijos supratimą. Duomenų apsaugos institucijos dažnai siūlo skaičiuoklių šablonus, padedančius atlikti šią užduotį. Kiekvienai veiklai dokumentuokite: kokio tipo asmens duomenys yra tvarkomi ir kaip jie surinkti; tikslą, teisinį pagrindą ir ištrynimo politiką; taikomas technines bei organizacines saugumo priemones ir įtrauktus subrangovus (tvarkytojus).

    Jums reikės reguliariai atnaujinti šį duomenų žemėlapį, kadangi jūsų procesai vystosi.
  2. Remiantis pirmu žingsniu, pasirinkite Taisymo planą bet kokiam apdorojimui, kuriam neturite teisėto pagrindo (pvz., trūksta sutikimo) arba kai neturite tinkamų saugumo priemonių. Pritaikykite savo procesus, vidines procedūras, prieigos kontrolės taisykles, atsargines kopijas, stebėjimą ir t. t.
  3. Atnaujinkite ir paskelbkite aiškią privatumo politiką savo svetainėje. Paaiškinkite, kokius asmens duomenis tvarkote, kaip tai darote ir kokios yra asmenų teisės, susijusios su jų duomenimis.
  4. Peržiūrėkite savo sutartis su teisininku ir pritaikykite jas BDAR reikalavimams.
  5. Nuspręskite, kaip atsakysite į įvairius duomenų subjektų prašymus.
  6. Paruoškite savo incidento atsakymo procedūrą duomenų pažeidimo atvejui.

Atsižvelgiant į jūsų situaciją, į sąrašą gali būti įtraukti ir kiti elementai, pavyzdžiui, Duomenų apsaugos pareigūno paskyrimas. Pasitarkite su savo vidiniais duomenų tvarkymo ekspertais ir teisiniais konsultantais, kad nustatytumėte bet kokias kitas svarbias priemones.

Nepamirškite!
Kai aiškiai nustatote savo procesų žemėlapį, siekti atitikties tampa daug paprasčiau!

Kaip Odoo atitinka BDAR reikalavimus?

Odoo siekia įgyvendinti geriausias privatumo ir saugumo praktikas – tai nėra nauja idėja. Kaip debesų talpinimo paslaugų teikėjas, nuolat peržiūrime ir tobuliname mūsų sistemas, įrankius ir procesus, kad galėtume užtikrinti puikią ir saugią platformą.

Mūsų BDAR vaidmenys

Mūsų atsakomybė už asmens duomenų apsaugą priklauso nuo mūsų įvairių duomenų apdorojimo veiklų.

Mūsų vaidmenys Duomenų apdorojimas Duomenų rūšys
Duomenų valdytojas & tvarkytojas Odoo.com adrese Asmeniniai duomenys, kuriuos mums pateikė mūsų tiesioginiai ir potencialūs klientai, mūsų partneriai ir visi tiesioginiai Odoo.com vartotojai (vardai, el. paštai, adresai, slaptažodžiai, ir kt.)
Duomenų tvarkytojas Odoo Debesija
(Odoo Online, Odoo.sh ir kitos Odoo Verslininkystė paslaugos) 		Bet kokie asmeniniai duomenys, saugomi mūsų klientų duomenų bazėse, talpinamose Odoo Debesio arba perduodami mums naudojant vieną iš mūsų paslaugų. Duomenų bazės savininkas yra duomenų valdytojas.
Be vaidmens Vietinis sprendimas Bet kokie duomenys Odoo duomenų bazėse, kurie talpinami vietiniuose serveriuose arba kitose talpinimo vietose, kurios nėra valdomos mūsų.

Mūsų BDAR dokumentai

Kaip duomenų valdytojas, mūsų veiklos sąvokos yra apibrėžtos mūsų Privatumo politika, kuris buvo atnaujintas pagal BDAR. Ši politika kuo aiškiau paaiškina, kokius duomenis tvarkome, kodėl juos tvarkome ir kaip tai darome. Susiję su šiuo, Saugumo politika paaiškina geriausios saugumo praktikos, kurias įdiegėme Odoo-je, visuose lygmenyse (techniniame ir organizaciniame), siekiant užtikrinti, kad jūsų duomenys būtų tvarkomi saugiai.

Be šių politikų, mūsų veikla duomenų tvarkytoju priklauso nuo mūsų sutikimo Odoo Verslininkystės prenumeratos susitarimas. Ši sutartis buvo atnaujinta, kad būtų įtrauktos būtinos duomenų apsaugos sąlygos (dažnai vadinamos "Duomenų tvarkymo sutartimi“), kaip reikalauja BDAR.
Jūs, kaip Odoo S.A. klientas, nereikia nieko nedaryti susitikti su šiais pakeitimais; jūs jau turite naudos šių naujų garantijų, ir mes laikysime, kad sutinkate su pakeitimais, jei nieko iš jūsų negirdėsime!

Be šių dokumentų, mes taip pat atnaujinome mūsų svetainę, kad įdėtume privatumo pranešimus visose svarbiose vietose, siekdami nuolat informuoti mūsų vartotojus.

Kaip Odoo padeda įgyvendinti geriausias BDAR praktikas?

Odoo naudojimas verslo valdymui nepakanka, kad atitiktų BDAR reikalavimus, nes reglamentas taikomas visai jūsų organizacijai. Tačiau kadangi Odoo centralizuoja jūsų duomenis, sumažina duomenų atleidimą ir įgyvendina išsamias prieigos teises bei saugumo kontrolę, gali Odoo būti puikus pagalbas siekiant atitikti BDAR.

Štai keli būdai, kaip manome, kad Odoo gali jums padėti pagal BDAR kontekstą ir vietinėms, ir debesijos talpinamoms Odoo duomenų bazėms.

Atsakomybės atsisakymas: Kaip įprastai, pasikonsultuokite su savo teisininku, kad nuspręstumėte, kaip turėtumėte laikytis BDAR ir duomenų subjekto užklausų. Atminkite, kad asmens duomenis galite tvarkyti ir kitur, o ne Odoo.

Prieigos teisė (15. straipsnis) ir teisė į duomenų perkeliamumą (20. straipsnis)

  • Odoo suteikia įrankius, leidžiančius duomenų subjektams savarankiškai pasiekti ir atnaujinti savo asmeninę informaciją.
    • Klientų portalas leidžia vartotojams peržiūrėti sutartinius dokumentus: adresą ir kontaktus, sąskaitas, pardavimo pasiūlymus, užsakymus, užduotis, pagalbos tarnybos bilietus ir užklausas, įsigijimus, prenumeratas, pristatymo užsakymus, mokėjimus bei komunikaciją apie šiuos dokumentus.
    • Adresatų sąrašų puslapis leidžia vartotojams peržiūrėti ir valdyti savo prenumeratas (pavyzdys su odoo.com: https://www.odoo.com/groups)
    • Forumo profilis leidžia jūsų forumo vartotojams vienu žvilgsniu peržiūrėti visas savo veiklas.
  • Jei jums reikia eksportuoti visus duomenis arba perduoti privačius duomenis, kurie nėra pasiekiami per portalą, būtina atlikti keletą rankinių veiksmų.
    Paprastai visi susiję dokumentai gali būti pasiekiami tiesiogiai iš vartotojų kontaktinės formos viršutinės juostos, į kurią jie yra susieti. Tuomet galite eksportuoti visą informaciją naudodami naršyklės funkciją "Spausdinti kaip PDF" arba pasirinkę Veiksmai>Eksportuoti meniu iš kontaktų sąrašo ar jų dokumentų sąrašo.
    Abi parinktys suteikia BDAR reikalavimus atitinkančius elektroninius formatus.
  • Be to, gali būti, kad turite informacijas, nesusijusias su kontaktine forma, kurią duomenų subjektas galėjo įvesti atskirame kontekste. Turėtumėte peržiūrėti ir šiuos duomenis, ieškodami pagal vardą ar el. pašto adresą, pavyzdžiui,
    • Įvykių prenumeratos
    • Potencialai klientai & Galimybės jūsų CRM programoje

Priminimas: Be galimybės eksportuoti PDF formatu per naršyklę, Odoo turi įrankį, leidžiantį eksportuoti bet kokį įrašą ar jų sąrašą CSV arba Excel formatu kartu su susijusiais dokumentais. Norėdami jį naudoti, eikite į bet kurio ekrano sąrašo rodinį, pasirinkite įrašą (-us) ir spustelėkite Veiksmas > Exportuoti, tada pasirinkite "Exportuoti visus duomenis". Įrankis leidžia pasirinkti laukus, kuriuos norite eksportuoti.

Teisė būti pamirštam (17. straipsnis)

BDAR suteikia duomenų subjektams teisę prašyti jų asmens duomenų ištrynimo, pagal tam tikras sąlygas, pavyzdžiui:

  • Duomenys nebėra būtini pasiekti tikslui;
  • Jie atšaukia sutikimą dėl apdorojimo, kuris buvo pagrįstas tik sutikimu;
  • Apdorojimas kitu atveju būtų neteisėtas.

Jei nustatote, kad užklausa yra teisėta ir patvirtinate subjekto tapatybę, galite bandyti ištrinti atitinkamą kontaktą iš Odoo. Tai yra saugu: sistema blokuoja operaciją, jei vienas verslo dokumentas vis dar nurodo šį kontaktą (sąskaita faktūra, kontaktas, pristatymo užsakymas, forumo įrašas ir pan.). Tokiu atveju turėtumėte nuspręsti, ar turite kitų įsipareigojimų saugoti šiuos dokumentus ir privalote atsisakyti ištrynimo užklausos.

Jei neturite teisinio pagrindo saugoti asmeninę informaciją, tačiau negalite ar nenorite ištrinti dokumento ar kontakto, apsvarstykite galimybę jį anonimizuoti. Galite pervardyti kontaktą ir pakeisti jo atpažįstamus duomenis (el. pašto adresą, adresą ir pan.) arba priskirti dokumentus bendriniam Anoniminio kontakto profiliui. Tinkamai anonimizavus šiuos duomenis, jie nebebus laikomi asmens duomenimis.

Duomenų tvarkymo apribojimas (18. straipsnis) ir sutikimo atšaukimas (7. straipsnis)

Vartotojai dažnai prašo atsisakyti komercinių el. laiškų. Jei jūsų siuntiniai buvo išsiųsti per Odoo, vartotojai gali atsisakyti patys naudodami nuorodą "atsisakyti" puslapio apačioje. Bet taip pat galite rankiniu būdu pažymėti "atsisakyti" laukelį kontakte arba potencialioje galimybėje. Įrašai, pažymėti "atsisakyti", automatiškai neįtraukiami į masinių laiškų kampanijas, tačiau vis tiek gali gauti tiesioginius pranešimus iš vartotojų (pvz., pasiūlymus, sąskaitas faktūras).

Teisė asmens duomenų ištaisyti (16. straipsnis) ir duomenų tikslumas (5. straipsnio 1. dalies d punktas)

Neleidžiami arba keičiami el. pašto adresai yra dažnai duomenų klaidų priežastis. Kai el. pašto integracija yra tinkamai sukonfigūruota (pagal numatytuosius nustatymus Odoo Debesyje), Odoo tvarko nepristatytus masinius laiškus ir padidina lauką Nepristatymas (angl. Bounce) su nepristatymo skaičiumi. Periodiškai galite peržiūrėti kontaktus ar potencialius klientus pagal pasirinktą paiešką "Nepristatymai didesni nei 0" ir išvalyti arba ištrinti juos.

Odoo-Diskucija -kanalų sekėjai yra automatiškai atsisakyti prenumeratos po 10 pranešimų nepavyko pristatyti.

Kalbant apie duomenų taisymą, naudotojai ir klientai taip pat gali patys ištaisyti savo asmens duomenis (vardą, el. paštą, adresą) per „Odoo“ portalą.

Sutikimas (7 straipsnis)

Kai renkate asmens duomenis per Odoo numatytas priemones (pvz., kontaktinę formą, prenumeratą į padresatų sąrašą, renginių prenumeratas), turite nustatyti tikslą ir teisinį pagrindą duomenų apdorojimui. Tai labai priklauso nuo to, kaip naudosite šiuos duomenis.

Jei tikslas yra konkretus ir akivaizdus (pvz., saugoti registruotų renginio dalyvių duomenis, siekiant juos informuoti apie renginį; užsiprenumeruoti asmenį pasirinktam naujienlaiškiui), jums nereikia aiškaus jų sutikimo (asmens duomenys yra būtini sutarčiai - 6 straipsnis, (1) b punktas). Bet turite aiškiai nurodyti tikslą vartotojui ir pateikti nuorodą į savo privatumo politikos puslapį, kuriame pateikiama daugiau informacijos. Galite naudoti Odoo svetainių kūrimo įrankį. kad galįtumete redaguoti formas ir pridėti reikiamus pranešimus.

Tačiau, jeigu planuojate naudoti surinktus duomenis kitais tikslais, turite gauti aiškų vartotojo sutikimą kiekvienam tikslui. Rekomenduojamas būdas yra pridėti žymėjimo langelius prie savo formos, kad gautumėte sutikimą kiekvienam konkrečiam tikslui (pvz., "Noriu atgauti nuolaidas ir akcijas panašiems produktams el. paštu"). Jei norite tą atlikti su Odoo, galite:

  1. Naudokite Odoo Studija, kad pridėtumėte žymimąjį langelį (boolean tipo laukelį) dokumente, renkančiame asmens duomenis (pvz., Potencialūs klientai/Pardavimo galimybė), norint atvaizduoti sutikimą šiam tikslui
  2. Pridėkite žymimąjį laukelį į jūsų svetainės formą Odoo svetainės sukūrimo įrankiu
  3. Naudokite šį lauką, kai šiuo tikslu tvarkote duomenis, pavyzdžiui, jūsų rinkodaros kampanijų segmentų filtrams

Privatumas pagal dizainą (25 straipsnis)

Saugumas pagal dizainą yra pagrindinė mūsų tyrimų ir plėtros (R&D) darbo dalis Odoo, ir mes taikome geriausias saugumo praktikas, kad galėtume užtikrinti mūsų programinės įrangos saugumą. Saugus, tvirtas ir patvarus visiems.

Įeigos valdymas - Odoo įeigos valdymo mechanizmai, susiję su numatytosios grupės nustatymais, kurie leidžia apriboti įeigą prie asmens duomenų pagal kiekvieno vartotojo vaidmenį ir poreikius (pvz., projekto vedėjui nereikia įeigos prie prašymų priimti į darbą). Jei apžiūrite vartotojų grupių paskyrimus ir tinkamai juos peržiūrite, kai jūsų organizacijoje pasikeičia pareigas, turite tvirtą privatumo pagrindą. Galite lengvai pridėti arba modifikuoti vartotojų grupes, kad pritaikytumėte jas pagal savo organizacijos poreikius.

Įrašų valdymo taisyklės - Norint tiksliau reguliuoti prieigą prie asmens duomenų, galima naudoti įrašų valdymo taisyklių (Record Rules) sąvoką, kuri leidžia apriboti prieigą prie dokumentų pagal bet kokius kriterijus, remiančius laukų reikšmėmis. Įrašų valdymu galite blokuoti skaitymo ir/ar rašymo operacijas ir veikti kiekvieno dokumento atveju atskirai. Daugiau informacijos rasite mūsų dokumentacija.

Slaptažodžiai - Odoo saugo vartotojų slaptažodžius naudodami pramonės standartus atitinkamą saugų maišos funkciją. Išorinės autentifikavimo sistemos yra taip pat galimios, tokios kaip OAuth 2.0 arba LDAP, kad visiškai išvengtume vartotojų slaptažodžių saugojimo.

Darbuotojo duomenys - Vienas skyrius, kur Odoo duomenų bazė gali turėti jautrūs Asmens duomenis, yra asmeninės informacijos skyrius darbuotojo formoje ir jų sutartyse. Šią Darbuotojų katalogo dalį yra matoma tik žmogiškųjų išteklių personalams (grupė "HR atstovas"), kuriems jos reikia jų darbui. Ši apsauga taikoma ir asmeniniam darbuotojų adresui: Odoo 12–17 versijose ji rinkta "privatų" kontaktai, kuriuos mato tik žmogiškųjų išteklių darbuotojai. Nuo 17.0 versijos ji tiesiogiai rinkta darbuotojo įraše.

Apdorojimo saugumas (straipsniai 25. & 32.)

Jei naudojate Odoo Online ar Odoo.sh paslaugas, mes įgyvendiname geriausias saugumo ir privatumo praktikas per visus lygius. Daugiau informacijos galite rasti mūsų Saugumo politika.
Jeigu jūs naudojate Odoo on-premise, jūs esate atsakingas už tai, kad būtų laikomasi geriausios saugos praktikos. Galite pradėti nuo saugumo rekomendacijos nuo mūsų diegimo dokumentacijos.