Обзор

Новые законы о конфиденциальности и лучшие практики в Odoo

С 25 мая 2018 года вступил в силу Общий регламент защиты персональных данных (GDPR) , который открыл новую эру защиты данных и конфиденциальности. Хотя вы наверняка слышали и читали много информации о GDPR, может быть сложно понять, что именно это означает для вашего бизнеса с практической точки зрения и что нужно делать, чтобы соответствовать новым правилам.

В Odoo мы стремимся следовать лучшим практикам в области безопасности и конфиденциальности. Мы обеспечиваем одинаковый уровень защиты для всех пользователей и клиентов, независимо от их местоположения и гражданства, и применяем эти принципы ко всем данным, а не только к персональным.

Таким образом, Odoo SA и ее дочерние компании соответствуют требованиям GDPR.

Что вам нужно знать о GDPR

Подсказка
Если у вас есть возможность, лучший способ понять GDPR – прочитать официальный текст.
Регламент длинный (99 статей на 88 страницах), но достаточно понятный даже для неспециалистов.

Это регламент ЕС, направленный на гармонизацию и модернизацию существующего законодательства о конфиденциальности данных, заменяющий собой Директиву ЕС о защите данных. Он устанавливает правила защиты физических лиц в отношении обработки их персональных данных и свободного распространения персональных данных в Европе.

GDPR – Регламент, а не Директива, а значит, он применяется непосредственно во всех странах ЕС, не требуя включения во внутреннее законодательство каждой отдельной страны. У стран ЕС есть ограниченные возможности интерпретации отдельных положений, но основные правила будут одинаковыми для всех, где бы они ни находились в ЕС.

GDPR выводит законодательство на новый уровень, учитывая вызовы современного мира – социальные сети, облачные технологии, киберпреступность и связанные с ними риски для конфиденциальности и безопасности персональных данных.

В двух словах: не паникуйте!

GDPR не является революционным законом. Данный регламент в целом полезен как для граждан, так и для бизнеса.

Плюсов больше, чем минусов!

Хотим подчеркнуть, что GDPR может быть полезен как для вас, так и для ваших клиентов. Первоначально соблюдение требований GDPR может потребовать значительных усилий, но новые правила также несут преимущества:

  • Повышение доверия со стороны ваших клиентов и пользователей
  • Упрощение: одни и те же правила применяются во всех странах ЕС
  • Рационализация и централизация ваших организационных процессов

Основная цель GDPR – предоставить физическим лицам больше контроля над своими персональными данными. Если ваша компания внедрит правильные стратегии и системы, управление данными станет проще, безопаснее и надежнее в долгосрочной перспективе.

Каковы риски несоответствия требованиям GDPR?

Максимальный штраф за несоблюдение GDPR – 20 миллионов евро или 4% от годового мирового оборота компании, в зависимости от того, какая сумма больше. Для менее серьезных нарушений предусмотрен штраф в размере 10 миллионов евро или 2% от годового оборота.

Эти максимальные суммы должны стать сдерживающим фактором для компаний любого размера, но GDPR также требует, чтобы штрафы были соразмерны прибыли компании.

Надзорные органы (также известные как Органы по защите данных, DPA) должны учитывать обстоятельства каждого случая, включая характер, тяжесть и продолжительность нарушения. Эти органы также наделены полномочиями проводить расследования и применять корректирующие меры, включая ограничение нарушающих действий, без обязательного наложения штрафов.

Еще один риск, если вы не соблюдаете требования – потеря доверия со стороны ваших клиентов и потенциальных покупателей, которым небезразлично, как вы обрабатываете их данные!

Наконец, многие органы по защите данных (DPA) намекнули, что в 2018 году они пока не будут налагать штрафы, но ожидают, что предприятия продемонстрируют работу над соблюдением требований законодательства.

Основные принципы GDPR

Сфера действия

Положение применяется к любой обработке персональных данных любой организацией:

  1. Если организация-контролер или организация-процессор находится в ЕС
  2. Если организация не расположена в ЕС, но обработка затрагивает персональные данные субъектов, находящихся в ЕС, и связана с коммерческими предложениями или мониторингом поведения.

Если сравнивать с предыдущим законодательством, то теперь в сферу действия попадают компании, не входящие в ЕС.

Роли

В регламенте различаются два основных типа организаций:

  • Контролер данных – юридическое или физическое лицо, которое определяет цели и способы обработки персональных данных, единолично или совместно. Как правило, каждая организация является контролером своих данных.
  • Процессор данных – юридическое или физическое лицо, которое обрабатывает данные от имени контролера данных.

Например, если ваша компания владеет базой данных, размещенной в Odoo Cloud, вы являетесь контролером этой базы данных, а Odoo SA – лишь процессором данных. Если же вы используете Odoo на собственном сервере, то вы выполняете роль как контролера, так процессора данных.

Персональные данные

GDPR дает широкое определение персональных данных: любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу. Идентифицируемым считается лицо, которое можно определить прямо или косвенно по имени, электронной почте, номеру телефона, биометрическим данным, геолокации, финансовой информации и т. д. Также к персональным данным относятся онлайн-идентификаторы (IP-адреса, идентификаторы устройств и пр.).

Это правило действует и в бизнес-контексте: адрес info@odoo.com не входит в категорию «персональные данные», а адрес john.smith@odoo.com – входит, так как позволяет идентифицировать конкретного человека в компании.

GDPR также требует повышенного уровня защиты для конфиденциальных данных, включая определенные категории персональных данных, такие как информация о здоровье, генетические данные, расовая или религиозная принадлежность.

Принципы обработки данных

Чтобы соответствовать требованиям GDPR, обработка данных должна соблюдать следующие принципы:
(перечисленные в статье 5 GDPR):

  1. Законность, добросовестность и прозрачность: для сбора данных необходимо правовое основание, четко определенная цель, и полная информированность субъекта данных.

    • Разработайте простую и понятную политику конфиденциальности и ссылайтесь на нее везде, где собираете данные
    • Проверьте правовые основания для каждого вида деятельности по обработке данных

  2. Ограничение целей обработки: если данные были собраны для одной цели, необходимо получить согласие перед их использованием для другой.

    напр. – вы не можете решить продать данные о своих клиентах, если они были собраны не для этой цели.

  3. Минимизация: собирать можно только те данные, которые действительно необходимы для заявленной цели.

  4. Точность: необходимо предпринимать разумные меры для актуализации данных с учетом их цели обработки.

    напр. – обработка возвратов, при которой происходит корректировка или удаление проблемных адресов.

  5. Ограничение на хранение: персональные данные должны храниться только в течение срока, необходимого для выполнения указанной изначально цели.

    Определите временные рамки для удаления или проверки обрабатываемых вами персональных данных, в зависимости от цели их использования.

  6. Целостность и конфиденциальность: процессоры данных обязаны внедрять соответствующие меры контроля доступа, безопасности и предотвращения утечек данных в зависимости от типов и объемов обрабатываемой информации.

    напр. – вы должны убедиться, что ваша система резервного копирования работает, принять надлежащие меры безопасности, использовать шифрование для защиты конфиденциальных данных, таких как пароли и т. д.

  7. Принцип подотчетности: контролеры данных несут ответственность и должны быть в состоянии продемонстрировать соблюдение всех вышеперечисленных принципов обработки.

    • Создайте и поддерживайте в актуальном состоянии справочник по сопоставлению данных для вашей организации, описывающий то, как именно ваши действия по обработке данных соответствуют стандартам GDPR
    • Информируйте своих клиентов с помощью четкой политики конфиденциальности
Правовое основание

Чтобы соблюдать правила GDPR (первый принцип), обработка персональных данных должна основываться на одном из шести возможных правовых оснований, перечисленных в статье 6 (1):

  1. Согласие является действительным, только если субъект данных дал его добровольно, явно и после получения всей необходимой информации, включая конкретную цель обработки. Обязанность доказывания выполнения всех этих условий лежит на контролере данных.
  2. Для исполнения договора или для выполнения запросов субъекта данных в рамках подготовки к заключению договора.
  3. Для выполнения правового обязательства, возложенного на контролера.
  4. Для защиты жизненно важных интересов. Когда обработка данных необходима для спасения жизни.
  5. Общественные интересы или официальная власть.
  6. Для соблюдения законных интересов. Этот пункт применим, если у контролера данных есть обоснованный интерес, который не нарушает интересы и основные права субъекта данных.

Одним из ключевых изменений, которые GDPR вносит по сравнению с предыдущими законами о защите данных, являются более строгие требования к получению действительного согласия.

Права субъектов данных

Существующие права частных лиц на конфиденциальность данных еще более расширяются в соответствии с GDPR. Организации должны быть готовы к своевременному (в течение 1 месяца) и бесплатному рассмотрению запросов субъектов данных:

  1. Право на доступ к данным – субъект данных имеет полное право знать,какие персональные данные обрабатываются и каким образом;
  2. Право на исправление данных – субъект данных может требовать изменения или дополнения своих персональных данных;
  3. Право на удаление данных – субъект данных может требовать удаления своих данных по законным основаниям (например, если он отозвал согласие на обработку или данные больше не нужны для заявленной цели);
  4. Право на ограничение обработки данных – субъект данных может потребовать, чтобы контролер прекратил обработку его персональных данных, если он не хочет или не может запросить полное удаление данных;
  5. Право на возражение – субъект данных может возразить против обработки своих данных в определенных случаях, например, для целей прямого маркетинга;
  6. Право на переносимость данных – субъект данных имеет право запрашивать передачу своих персональных данных, хранящихся у контролера, как ему лично, так и другому контролеру.

Как вам следует подготовиться к GDPR

Отказ от ответственности:
Мы не предоставляем юридические консультации, этот раздел представлен исключительно в информационных целях. Чтобы точно определить, как GDPR влияет на вашу компанию, пожалуйста, обратитесь к своему юристу.

Вот ключевые шаги, которые мы предлагаем для разработки стратегии по соблюдению требований GDPR:

  1. Создайте структуру маппинга для обработки данных вашей организации, чтобы получить четкое представление о ситуации. Органы по защите данных часто предоставляют шаблоны таблиц, которые помогают в этой задаче. Для каждого процесса задокументируйте тип персональных данных и способ их сбора,цель, правовую основу и политику удаления данных, технические и организационные меры безопасности, а также задействованных субподрядчиков (процессоров данных).

    Вам необходимо будет регулярно поддерживать структуру маппинга данных по мере развития ваших процессов.
  2. На основании шага 1 выберите стратегию устранения нарушений для любой обработки данных, которая не имеет законных оснований (например, отсутствие согласия) или в которой отсутствуют надлежащие меры безопасности. Адаптируйте свои процессы, внутренние процедуры, правила управления доступом, резервное копирование, мониторинг и другие аспекты.
  3. Обновите и опубликуйте ясную политику конфиденциальности на вашем сайте. Объясните, какие персональные данные вы обрабатываете, как именно это происходит и какие права имеют субъекты данных в отношении своих данных.
  4. Проконсультируйтесь с юристом касательно ваших договоров и адаптируйте их к GDPR.
  5. Решите, как вы будете отвечать на различные виды запросов субъектов данных.
  6. Подготовьте процедуру реагирования на инциденты в случае утечки данных.

В зависимости от вашей ситуации, в список необходимых мер могут входить и другие пункты, например, назначение ответственного за защиту данных (DPO). Проконсультируйтесь с вашими внутренними экспертами по обработке данных и юридическими консультантами, чтобы определить все необходимые меры.

Помните!
Четкая структура маппинга ваших процессов облегчит путь к соблюдению требований!

Как Odoo соответствует требованиям GDPR

В Odoo внедрение лучших практик в области конфиденциальности и безопасности – не новая идея. Как компания, предоставляющая облачный хостинг, мы постоянно пересматриваем и улучшаем наши системы, инструменты и процессы, чтобы поддерживать надежную и безопасную платформу.

Наши роли в рамках GDPR

Наши обязанности в области защиты персональных данных зависят от различных видов нашей деятельности по обработке данных:

Наша роль Обработка данных Типы данных
Контролер и процессор данных На Odoo.com Персональные данные, предоставленные нам нашими прямыми клиентами и потенциальными клиентами, нашими партнерами и всеми непосредственными пользователями сайта Odoo.com (имена, электронные письма, адреса, пароли...)
Процессор данных На Odoo Cloud
(Odoo Online, Odoo.sh и других услуг по тарифу Odoo Enterprise) 		Любые персональные данные, хранящиеся в базах данных наших клиентов, размещенные в Odoo Cloud или переданные нам с целью использования одного из наших сервисов. Владельцем базы данных является контролер данных.
Локально Любые данные, находящиеся в базах данных Odoo, размещенных на локальном хостинге или на хостинге, не принадлежащем нам.

Наши документы в соответствии с GDPR

Как контролер данных, мы регулируем свою деятельность в соответствии с нашей Политикой конфиденциальности, обновленной в рамках требований GDPR. В этой политике максимально понятно разъясняется, какие данные мы обрабатываем, зачем и каким образом. В нашей Политике безопасности описаны лучшие методы обеспечения безопасности, которые мы внедрили в Odoo на всех уровнях (техническом и организационном), чтобы гарантировать, что ваши данные будут обрабатываться безопасным и надежным образом.

В дополнение к этим правилам, наша деятельность в качестве Процессора данных регулируется Лицензионным соглашением на использование сервисов платформы Odoo Enterprise. Этот договор был обновлен с целью добавления необходимых положений о защите данных (часто называемых «Соглашением об обработке данных»), как того требует GDPR.
Будучи клиентом Odoo S.A., вам не нужно предпринимать никаких действий для принятия этих изменений – вы уже пользуетесь новыми гарантиями. Мы будем считать, что вы согласны, если не получим от вас возражений.

Помимо этих документов, мы также обновили наш вебсайт, добавив уведомления о конфиденциальности во все соответствующие разделы, чтобы наши пользователи всегда были информированы.

Как Odoo помогает вам внедрять лучшие практики GDPR

Использование Odoo для управления бизнесом само по себе не гарантирует соответствие GDPR, так как регламент охватывает всю организацию. Однако Odoo помогает соблюдать GDPR, так как: централизует данные, снижает избыточность информации и внедряет детализированные права доступа и механизмы безопасности.

Вот несколько способов, которыми, на наш взгляд, Odoo может помочь вам в соблюдении требований GDPR как при локальном развертывании, так и в облачной версии.

Отказ от ответственности: Обратитесь за консультацией к юристу, чтобы определить, как именно ваша компания должна соблюдать GDPR и обрабатывать запросы субъектов данных. Помните, что обработка персональных данных может происходить не только в Odoo, но и в других системах.

Право на доступ к данным (ст. 15) и право на переносимость данных (ст. 20)

  • Odoo предоставляет инструменты, которые позволяют субъектам данных самостоятельно получать доступ к своей персональной информации и обновлять её:
    • Клиентский портал позволяет пользователям просматривать документы, в которых указаны адреса, контакты, счета, КП, заказы, тикеты службы поддержки, покупки, подписки, заказы на доставку, платежи, а также информацию, связанную с этими документами
    • Страница списков рассылки позволяет пользователям просматривать свои подписки и управлять ими (пример для odoo.com: https://www.odoo.com/groups)
    • Профиль на форуме позволяет пользователям вашего форума быстро просматривать все свои действия
  • Если вам необходимо экспортировать все данные или передать личные данные, которые недоступны через портал, необходимо выполнить некоторые действия вручную.
    Обычно вы можете получить доступ ко всем соответствующим документам непосредственно из верхней панели контактной формы пользователей. Затем вы можете экспортировать всю информацию с помощью функции «Печать в формате PDF» в вашем браузере или с помощью меню «Действия и экспорт» из списка контактов или списка их документов.
    Оба варианта предоставляют электронные форматы, соответствующие требованиям GDPR.
  • Кроме того, у вас может храниться информация, не связанная с контактной формой, которую субъект данных предоставил в другом контексте. Вам следует также проверить эти данные, используя, поиск по имени или электронной почте, например, для таких категорий, как
    • Подписки на мероприятия
    • Лиды и потенциальные сделки в CRM

Напоминание: Помимо возможности экспорта в PDF через браузер, в Odoo есть инструмент для экспорта любой записи или списка записей в файл CSV или Excel, а также связанных с этой записью документов. Чтобы воспользоваться этим инструментом, выберете отображение в виде списка, затем выберите запись(и) и нажмите на «Действия и экспорт» и выберите «Экспортировать все данные». Затем инструмент позволит вам выбрать поля, которые вы хотите экспортировать.

Право на удаление данных (ст. 17)

GDPR предоставляет субъектам персональных данных право требовать удаления своих персональных данных при определенных условиях, таких как:

  • Данные больше не требуются для исполнения указанных изначально целей;
  • Субъект данных отозвал свое согласие на основании которого проводилась обработка данных;
  • Обработка данных является незаконной.

Если вы решите, что запрос является законным, и подтвердите личность субъекта данных, вы можете попытаться удалить соответствующий контакт в Odoo. Это безопасно: система заблокирует операцию, если в бизнес-документе все еще содержится ссылка на контакт (счет, контактное лицо, заказ на доставку, сообщение на форуме и т. д.). В этом случае вам следует решить, есть ли у вас другие обязательства по хранению этих документов, и отклонить запрос на удаление.

Если у вас нет законных оснований для хранения персональных данных, но вы не можете или не хотите удалять документ или контакт, рассмотрите возможность их анонимизации. Вы можете изменить имя контакта и скорректировать его узнаваемые данные (электронную почту, адрес и т. д.) или переназначить документы на общий анонимный контакт. После правильной анонимизации эти данные больше не будут считаться персональными.

Ограничение обработки данных (ст. 18) и отзыв согласия (ст. 7)

Пользователи часто запрашивают отписку от рекламных рассылок. Если ваши письма отправлялись через Odoo, пользователи могут сделать это самостоятельно, нажав на ссылку в блоке для отписки. Также можно вручную поставить «галочку» в поле «исключить из рассылки» в карточке контакта, лида или потенциальной сделки. Контакты отметкой «исключить из рассылки» автоматически исключаются из массовых рассылок, но все еще могут получать индивидуальные сообщения (например, коммерческие предложения, счета).

Исправление данных (ст. 16) и точность данных (ст. 5 (1) d)

Недействительные или неактуальные адреса электронной почты – частая причина ошибок в данных. Когда интеграция электронной почты настроена должным образом (по умолчанию в Odoo Cloud), Odoo автоматически обрабатывает возвраты в массовых рассылках, увеличивая счетчик отказов. Вы можете периодически просматривать и «чистить» список контактов, до которых не доходят ваши письма, используя фильтр «Больше 0 возвратов».

Подписчики каналов в модуле Обсуждения Odoo автоматически исключаются из списка для рассылки после 10 недоставленных сообщений.

Что касается исправления данных, пользователи и клиенты также могут самостоятельно корректировать свои персональные данные (имя, e-mail, адрес) через портал Odoo.

Условия согласия (ст. 7)

Когда вы собираете персональные данные через стандартные механизмы Odoo (например, контактные формы, подписки на рассылку, регистрацию на мероприятия), вам необходимо определить цель и законные основания для их обработки. Это во многом зависит от того, как именно вы собираетесь использовать эти данные.

Если цель конкретна и очевидна (например, хранение данные зарегистрированных участников мероприятия, чтобы информировать их о сроках его проведения; подписать кого-то на выбранный им список рассылки), вам не нужно запрашивать их явное согласие (персональные данные необходимы для заключения договора – ст. 6 (1) b). Однако вы все равно должны четко объяснить пользователю цель и сослаться на страницу политики конфиденциальности, где вы предоставите более подробную информацию. Вы можете использовать конструктор сайтов Odoo для редактирования форм и добавления необходимых упоминаний.

Однако, если вы планируете использовать собранные данные для других целей, необходимо получить явное согласие пользователя для каждой из них. Рекомендуемый способ – добавление полей с «галочками» в форму, чтобы получить согласие на каждую конкретную цель (например, «Пожалуйста, отправляйте мне скидки и акции на аналогичные товары по электронной почте»). В Odoo это можно сделать следующим образом:

  1. Воспользуйтесь модулем Studio Odoo, чтобы добавить поле с «галочкой» (boolean) в документ, в котором собираются персональные данные (например, лиды/потенциальная сделка), для выражения согласия на обработку данных с этой целью
  2. Добавьте поле с «галочкой» в форму вашего сайта через конструктор сайтов Odoo
  3. Используйте это поле при обработке данных для этой цели, например, в фильтрах сегментов маркетинговых кампаний

Защита данных по дизайну (ст. 25)

Защита данных по дизайну лежит в основе работы R&D отдела Odoo. Мы применяем передовые методы обеспечения безопасности, чтобы сделать наше программное обеспечение безопасным, надежным и устойчивым для всех.

Контроль доступа – Стандартный механизм управления доступом в Odoo на основе групп пользователей позволяет ограничивать доступ к персональным данным в зависимости от роли и потребностей каждого пользователя. Например, менеджеру проекта необязательно иметь доступ к заявкам на вакансии. При своевременном пересмотре назначений в группах пользователей и их актуализации при изменении ролей в организации вы создаете надежную основу для защиты конфиденциальности. Вы также можете легко добавлять или изменять группы пользователей, чтобы адаптировать их под потребности вашей компании.

Правила записей – Данные правила позволяют точно настроить доступ к персональным данным, ограничивая доступ к документам на основе значений полей. Правила записей могут блокировать операции чтения и/или записи на уровне отдельных документов. Для получения дополнительной информации, пожалуйста, ознакомьтесь с нашей документацией.

Пароли – Odoo хранит пароли пользователей с применением современных стандартов хеширования. Также можно использовать внешние системы аутентификации (OAuth 2.0, LDAP), чтобы вообще не хранить пароли в Odoo.

Персональные данные сотрудников – Вкладка «Личная информация» в карточке сотрудника и подписанные сотрудником договоры, хранящиеся в базе данных Odoo, содержат конфиденциальные персональные данные. Этот раздел доступен только HR-персоналу (группа «Специалист отдела кадров»), которому необходим доступ для выполнения рабочих обязанностей. Данная защита распространяется и на домашний адрес сотрудников: в версиях Odoo 12–17 он хранится как контакт типа «Конфиденциально» и доступен только HR-персоналу. В версии 17.0 он хранится непосредственно в карточке сотрудника.

Безопасность обработки данных (ст. 25, 32)

Если вы пользуетесь услугами Odoo Online или Odoo.sh, мы применяем передовые методы обеспечения безопасности и конфиденциальности на всех уровнях. Подробнее об этом вы можете узнать в нашей Политике безопасности.
Если вы используете Odoo локально, вы несете ответственность за соблюдение рекомендаций по обеспечению безопасности. Вы можете начать с рекомендаций по обеспечению безопасности, приведенных в нашей документации по развертыванию.