Genel Bakış

Odoo ile yeni gizlilik yasaları ve örnek uygulamalar

25 Mayıs 2018 tarihinde Genel Veri Koruma Tüzüğü (GDPR) yürürlüğe girerek veri koruma ve gizlilik açısından herkes için yeni bir dönem başlattı. Genel Veri Koruma Tüzüğü hakkında pek çok bilgi duymuş ve okumuş olsanız da, pratik anlamda işletmeniz için tam olarak ne anlama geldiğini ve yeni kurallarla uyumlu olmak için neler yapmanız gerektiğini anlamak zor olabilir.

Odoo olarak güvenlik ve gizlilik açısından örnek uygulamaları sürdürme çabamızdan ödün vermeyiz. Bulundukları konuma veya vatandaşlıklarına göre ayrım yapmadan tüm kullanıcılara ve müşterilere aynı düzeyde koruma sağlamak için elimizden gelenin en iyisini yapıyor ve bu örnek uygulamaları sadece kişisel veriler için değil, tüm verileri kapsayacak şekilde hayata geçiriyoruz.

Yani Odoo SA ve iştirakleri, Genel Veri Koruma Tüzüğü ile uyumludur.

Genel Veri Koruma Tüzüğü hakkında bilmeniz gerekenler

İpucu
Yapabilirseniz, Genel Veri Koruma Tüzüğü'nü anlamanın en iyi yolu Resmi Metni okumaktır.
Biraz uzun (99 maddeden oluşan 88 sayfalık bir metin) olmakla birlikte, uzman olmayan kişiler için bile okuması kolaydır.

Yerine geçtiği AB Veri Koruma Direktifi gibi mevcut gizlilik mevzuatını düzenlemek ve modernize etmeyi amaçlayan bir AB Tüzüğüdür. Gerçek kişilerin kişisel verilerinin işlenmesine ilişkin olarak korunmasına ve kişisel verilerin Avrupa içinde serbestçe akışına yönelik kuralları belirlemektedir.

Bu bir Direktif değil, Tüzüktür, dolayısıyla her ülkenin iç hukukuna aktarılması gerekmeksizin tüm AB üye ülkelerinde derhal uygulamaya konabilir. AB ülkeleri, detaylı noktalar konusunda sınırlı bir yorumlama yetkisine sahiptir, ancak temel kurallar herkes için, AB genelinde aynıdır.

Genel Veri Koruma Tüzüğü ayrıca sosyal medya, bulut bilişim, siber suçlar ve bunların kişisel veri gizliliği ve güvenliği açısından yol açtığı büyük zorlukları da dikkate alarak mevzuatı gelecek bin yıla taşımaktadır.

Kısacası: Paniklemeyin!

Genel Veri Koruma Tüzüğü, bilinen tüm uygulamaları değiştirecek yeni bir mevzuat değildir ve temelde vatandaşlar ve işletmeler için iyi bir şeydir.

Olumlubir Değişim!

Genel Veri Koruma Tüzüğü'nün siz ve müşterileriniz için harika olabileceğini vurgulamak isteriz. Tüzüğe uyum başlangıçta çok iş gerektirebilir, ancak yeni kuralların iyi yanları da vardır:

  • Müşterileriniz ve kullanıcılarınızın artan güveni
  • Yalınlık: AB çapında tüm ülkelerde aynı kurallar geçerlidir
  • Organizasyonel süreçlerinizin mantıklı ve merkezi hale getirilmesi

Genel Veri Koruma Tüzüğü'nün amacı, bireylerin kişisel verileri üzerinde daha fazla söz sahibi olabilmelerini sağlamaktır. Şirketiniz doğru strateji ve sistemleri hayata geçirdiği takdirde veri yönetimi ilerideki yıllarda daha kolay, daha güvenli ve daha emniyetli olacaktır.

Tüzüğü ihlal etmenin riskleri nelerdir?

İhlal durumlarında azami ceza 20 milyon euro veya şirketin dünya çapındaki yıllık cirosunun %4'ü oranında (hangisi daha yüksekse) idari para cezasıdır. Daha düşük ihlaller için 10 milyon euro veya küresel yıllık cironun %2'si gibi daha düşük bir azami ceza uygulanabilir.

Belirlenmiş olan bu azami miktarların her büyüklükteki işletme için caydırıcı olması amaçlanmakla birlikte, Genel Veri Koruma Tüzüğü aynı zamanda cezaların orantılıolmasını da gerektirir.

Denetleyici makamlar (Veri Koruma Otoriteleri - DPA olarak da bilinir), ihlalin niteliği, ciddiyeti ve süresi de dahil olmak üzere her bir vakanın koşullarını dikkate almak durumundadır. Bu makamlara ayrıca, para cezası uygulama zorunluluğu olmaksızın, ihlal faaliyetlerinin sınırlandırılmasını içeren soruşturma yürütme ve düzeltici eylemler uygulama yetkisi verilmiştir.

Uyum sağlamadığınız takdirde alacağınız bir diğer risk de verilerinin nasıl işlendiğini önemseyen müşteri ve müşteri adaylarınızın güvenini kaybetmektir.

Son olarak, pek çok Veri İşleme Sözleşmesi 2018 yılında herhangi bir ceza uygulanmayacağını ima etmiş olsa da işletmelerin uyumluluk konusunda somut adımlar attıklarını gösterebilmelerini beklemektedirler.

Genel Veri Koruma Tüzüğü'nün temel ilkeleri

Kapsam

Yönetmelik, kişiselverilerin herhangi bir kuruluştarafındanişlenmesi durumunda geçerlidir:

  1. Veri sorumlusu veya işlemcisi AB sınırları içerisindeyse
  2. Kuruluş AB sınırları içerisinde değilsefakat işleme AB içerisinde bulunan veri sahiplerine ait kişisel veriler içeriyorsa ve ticari tekliflerle veya davranış takibi ile ilgiliyse.

Dolayısıyla, kapsama AB üyesi olmayan şirketler de dahildir ki eski mevzuatta böyle bir durum söz konusu değildi.

Görevler

Yönetmelik, iki ana kuruluş türünden özellikle bahseder:

  • Veri sorumlusu:kişisel verilerin işlenmeamaçlarını ve yöntemlerini tek başına veya ortaklaşa belirleyen herhangi bir kuruluş. Genel kural olarak, her organizasyon kendi verilerinden sorumludur.
  • Veri işleyen: bir veri sorumlusunun adına veri işleyen herhangi bir kuruluş.

Örneğin, şirketinizin Odoo Bulut'ta barındırılan bir veri tabanı var ise söz konusu veri tabanının veri sorumlususizsinizdir ve Odoo SA yalnızca veri işlemcisidir. Bunun yerine Odoo Lokal kullanırsanız, verinin hem sorumlusu hem de işlemcisisiz olursunuz.

Kişisel Veri

Genel Veri Koruma Tüzüğü, 'kişisel veri' kavramının tanımını geniş tutar: tanımlanmış veya tanımlanabilir bir gerçek kişiye ilişkin herhangi bir bilgi.Tanımlanabilir bir kişi, doğrudan veya dolaylı olarak ismi, e-posta adresi, telefon numarası, biyometrik bilgileri, konum verileri, finansal verileri vs. aracılığıyla tanımlanabilen kişidir. Çevrim içi tanımlayıcılar (IP adresleri, cihaz kimlikleri, ...) da kapsam dahilindedir.

Bu durum, işle ilgili bilgiler açısından da geçerlidir: info@odoo.comkişisel bilgi kabul edilmez, ancak john.smith@odoo.com kişisel bilgi kabul edilir, çünkü bir şirket içindeki fiziksel bir kişiyi tanımlamak için kullanılabilir.

Genel Veri Koruma Tüzüğü, sağlık, genetik, ırk veya din ile ilgili bilgiler içeren kişisel veriler gibi belirli kategorilerin de dahil olduğuhassas verileriçin daha yüksek düzeyde koruma gerektirir.

Veri İşleme İlkeleri

İşleme faaliyetlerinin uyumlu olmak için aşağıdaki kurallara uyması gerekir:
(Genel Veri Koruma Tüzüğü Madde 5'te listelendiği şekilde)

  1. Hukuka uygunluk, dürüstlük ve şeffaflık: Veri toplamak için yasal bir dayanağınızve açık bir amacınız olmalı, ayrıca veri sahibini bu konuda bilgilendirmelisiniz.

    • Basit ve açık bir Gizlilik Politikanız olsun ve veri topladığınız her yerde bu politikaya atıfta bulunun
    • Veri işleme faaliyetlerinizin her birinin yasal dayanağını doğrulayın

  2. Amaç sınırlaması: bir amaç için topladıktan sonra farklı bir amaca yönelik kullanmak istemeniz durumunda izin isteyin.

    örn. - Toplanma amacı aslen bu değildiyse sonradan müşteri verilerinizi satmaya karar veremezsiniz.

  3. Asgariye indirme: yalnızca amaç için gerekli olan verileri toplamalısınız

  4. Titizlik: verilerin amaca uygun olarak güncel tutulmasını sağlamak için makul adımlar atılmalıdır

    örn. - İade edilen e-postaları doğru şekilde işlediğinizden ve adresleri düzelttiğinizden veya sildiğinizden emin olun.

  5. Depolama sınırlaması: kişisel veriler yalnızca birincil amacın yerine getirilmesi için gereken süre boyunca saklanmalıdır.

    Amaçlarına bağlı olarak işlediğiniz kişisel verilerin silinmesi veya gözden geçirilmesi için zaman sınırları tanımlayın.

  6. Bütünlük ve Gizlilik: veri işleyenler, işlenen verilerin türleri ve kapsamları doğrultusunda uygun erişim kontrolü, güvenlik ve veri kaybını önleme tedbirlerini uygulamalıdır.

    örneğin - Yedekleme sisteminizin çalıştığından emin olun, uygun güvenlik kontrolleri uygulayın, parolalar gibi hassas verileri korumak için şifreleme kullanın, ...

  7. Hesap Verebilirlik: veri sorumluları yukarıdaki tüm işleme ilkelerinden sorumludur ve bunlara uyum sağlamalıdır.

    • Kuruluşunuz için veri işleme faaliyetlerinizin uyumluluğunu açıklayan bir veri haritalama referansı oluşturun ve bunu aktif tutun
    • Müşterilerinizi net bir Gizlilik Politikası ile bilgilendirin
Hukuki Dayanak

Genel Veri Koruma Tüzüğü'ne göre (birinci ilke) yasal olması için, kişisel veriler, Madde 6 (1)'de belirtilen altı olası yasal dayanaktan birine dayanarak işlenmelidir:

  1. Rıza. Veri sahibinin açıkça belirtilmiş ve belirli bir amaç da dahil olmak üzere konuyla ilgili uygun şekilde bilgilendirilmesini takiben açıkça ve özgürce rıza vermesi durumunda geçerlidir. Tüm bunlar için ispat yükümlülüğü, veri denetçisine aittir.
  2. Bir sözleşmenin ifası için veya bir sözleşme hazırlanırken veri sahibinden gelen talepleri yerine getirmek için gereklidir.
  3. Veri sorumlusuna yüklenen yasal bir yükümlülüğe uyum.
  4. Hayati bir menfaatin korunması. İşlem, bir hayat kurtarmak için gerekli olduğunda.
  5. Kamu yararı veya resmi yetki.
  6. Meşru menfaat. Veri sorumlusunun, veri sahibinin menfaatleri ve temel haklarını çiğnemeyecek meşru bir menfaati olduğunda geçerlidir.

Geçerli rızanın alınmasına yönelik daha katı gereklilikler, Genel Veri Koruma Tüzüğü'nün önceki veri gizliliği düzenlemelerine kıyasla getirdiği en önemli değişikliklerdendir.

Veri Sahibinin Hakları

Bireylere yönelik mevcut veri gizliliği hakları, Genel Veri Koruma Tüzüğü ile daha da genişletilmiştir. Kuruluşlar, veri sahiplerinden gelen talepleri vakitlice (1 ay içinde) ve ücretsiz olarak ele almaya hazır olmalıdır:

  1. Erişim Hakkı - Bireyler, tam bir şeffaflık içinde hangi kişisel verilerinin nasıl işlendiğini bilme hakkına sahiptir;
  2. Düzeltme Hakkı - Bireyler kişisel verilerinin düzeltilmesini veya verilerdeki eksikliklerin giderilmesini talep etme hakkına sahiptir;
  3. Silme Hakkı - Bireyler meşru sebeplerle (rızanın geri çekilmesi, söz konusu amaç için artık gerekli olmaması vb.) kişisel verilerinin silinmesini isteme hakkına sahiptir;
  4. Kısıtlama Hakkı - Bireyler, kişisel verilerinin tamamen silinmesini istemedikleri veya bunu talep edemeyecekleri durumlarda veri sorumlusundan verilerinin işlenmesini durdurmasını isteyebilir.
  5. İtiraz Hakkı - Bireyler her zaman kişisel verilerinin belirli bir şekilde işlenmesine itiraz etme hakkına sahiptir, örneğin doğrudan pazarlama amaçları için;
  6. Veri Taşınabilirliği- Bireyler, veri sorumlusu tarafından korunan kişisel verilerin kendilerine veya başka bir veri sorumlusuna verilmesini talep etme hakkına sahiptir.

Genel Veri Koruma Tüzüğü'ne nasıl hazırlanmalısınız?

Yasal Uyarı:
Hukuki tavsiye veremiyoruz, bu bölüm sadece bilgilendirme amaçlıdır. Genel Veri Koruma Tüzüğü'nün şirketinizi tam olarak nasıl etkilediğini belirlemek için lütfen hukuk müşavirinize başvurun.

Genel Veri Koruma Tüzüğü ile uyumluluk yol haritası için önerdiğimiz temel adımlar şunlardır:

  1. Duruma net bir bakış atmakiçin kuruluşunuzun veri işleme faaliyetlerinin Veri Haritasını çıkarın. Veri Koruma Makamları genellikle bu göreve yardımcı olmak için elektronik çizelge şablonları sağlar. Her bir işlem için kişisel verilerin türünü ve nasıl toplandığını; işlemin amacını, yasal dayanağını ve silme politikasını; uygulanan teknik ve organizasyonel güvenlik önlemlerini ve ilgili alt yüklenicileri (işleyiciler) belgeleyin.

    Süreçleriniz geliştikçe bu veri haritalamayı düzenli olarak sürdürmeniz gerekecektir.
  2. Birinci adıma dayanarak, yasal bir dayanağınızın olmadığı (örneğin, eksik rıza) veya uygun güvenlik önlemlerine sahip olmadığınız her işlem için bir İyileştirme Stratejisi seçin. Süreçlerinizi, dahili prosedürlerinizi, erişim kontrol kurallarınızı, yedekleme yöntemlerinizi, izleme işlemlerinizi vb. buna göre uyarlayın.
  3. Gizlilik Politikanızı güncelleyin ve web sitenizde yayımlayın. Hangi kişisel verileri nasıl işlediğinizi ve bireylerin verileriyle ilgili sahip oldukları hakları açıklayın.
  4. Sözleşmelerinizibir hukuk müşaviri ile beraber gözden geçirip Genel Veri Koruma Tüzüğü'ne uyumlu hale getirin.
  5. Veri Sahiplerininçeşitli taleplerini nasıl yanıtlayacağınıza karar verin.
  6. Veri ihlali ihtimaline karşınGüvenlik İhlali Müdahale Prosedürünüzhazır olsun.

Durumunuza bağlı olarak, bir Veri Koruma Görevlisi atanması gibi başka unsurlar da listeye eklenebilir. Diğer ilgili önlemleri belirlemek için dahili veri işleme uzmanlarınıza ve hukuk müşavirlerinize danışın.

Unutmayın:
Süreçlerinizin net bir haritasını oluşturmak, uyumluluk yolunda her şeyi daha kolay hale getirecektir!

Odoo, Genel Veri Koruma Tüzüğü'ne nasıl uyum sağlar?

Gizlilik ve güvenlikle ilgili örnek uygulamalar hayata geçirmek, Odoo'da yeni yapmaya başladığımız bir şey değil. Bir Bulut barındırma şirketi olarak, müşterilerimize iyi bir kullanıcı deneyimi sunan, güvenli bir platform sağlamak için sistemlerimizi, araçlarımızı ve süreçlerimizi sürekli olarak gözden geçiriyor ve geliştiriyoruz.

Genel Veri Koruma Tüzüğüne İlişkin Görevlerimiz

Kişisel verilerin korunması konusundaki sorumluluklarımız çeşitli veri işleme faaliyetlerimize dayanır:

Görevlerimiz Veri İşleme Veri türü
Veri Sorumlusu ve Veri İşleyen Odoo.com'da Doğrudan müşterilerimiz ve müşteri adaylarımız, partnerlerimiz ve Odoo.com'un tüm doğrudan kullanıcıları tarafından bize sağlanan kişisel veriler (isimler, e-posta adresleri, adresler, şifreler ...)
Veri İşleyen Odoo Bulut üzerinde
(Odoo Çevrim İçi, Odoo.sh ve diğer Odoo Kurumsal Hizmetleri) 		Müşterilerimizin veri tabanlarında saklanan, Odoo Bulut'ta barındırılan veya hizmetlerimizden birini kullanmak amacıyla bize aktarılan tüm kişisel veriler. Veri tabanının sahibi, veri sorumlusudur.
Görev Yok Lokal Lokal olarak barındırılan Odoo veri tabanlarında veya tarafımızca işletilmeyen herhangi bir barındırmada bulunan tüm veriler.

Genel Veri Koruma Tüzüğü belgelerimiz

Veri Sorumlusuolarak faaliyetlerimiz Gizlilik Politikası, Genel Veri Koruma Tüzüğü için güncellenmiştir. Bu politika,hangi verileri nedenvenasıl işlediğimizi mümkün olduğunca açık bir şekilde anlatmaktadır. Bununla yakından ilişkili olarak, Güvenlik Politikası verilerinizin güvenli ve emniyetli bir şekilde işlenmesini temin etmek için, Odoo'da her düzeyde (teknik ve organizasyonel) hayata geçirdiğimiz ideal güvenlik uygulamalarını açıklar.

Bu politikalara ek olarak, Veri İşlemcisi olarak faaliyetlerimiz şu belgenin kabulüne tabidir: referans olarak dahil edilir . Bu sözleşme, Genel Veri Koruma Tüzüğü uyarınca, gerekli Veri Koruma Maddelerini (genellikle “Veri İşleme Sözleşmesi” olarak anılır), içerecek şekilde güncellenmiştir.
Odoo S.A. Müşterisi olarak bu değişiklikleri kabul etmek için yapmanız gereken bir şey yoktur, yeni garantilerden zaten yararlanırsınız, ve sizden hususi bir yanıt almazsak değişiklikleri kabul ettiğiniz anlamına geldiğini düşünürüz!

Bu belgelere ek olarak, kullanıcılarımızı her fırsatta bilgilendirmek için web sitemizi de ilgili tüm yerlere gizlilik bildirimleri ekleyecek şekilde güncelledik.

Odoo, Genel Veri Koruma Tüzüğü'ne dair örnek uygulamalar hayata geçirmeniz konusunda size nasıl yardımcı olur?

İşletmenizi yönetmek için Odoo kullanmak Genel Veri Koruma Tüzüğü uyumluluğu açısından yeterli olmaz, çünkü yönetmelik tüm kuruluşunuz için geçerlidir. Ancak Odoo verilerinizi merkezileştirdiği, veri fazlalığını azalttığı ve granüler erişim hakları ve güvenlik kontrolleri uyguladığı için Genel Veri Koruma Tüzüğü'ne uyum sağlamanız konusunda size çok yardımcı olabilir.

Hem şirket içi hem de Bulutta barındırılan Odoo veri tabanları için Odoo'nun Genel Veri Koruma Tüzüğü bağlamında size belirli açılardan yardımcı olabileceğini düşünüyoruz, örneğin:

Yasal Uyarı:olması gerektiği gibi, Genel Veri Koruma Tüzüğü ve veri sahibi taleplerine nasıl uymanız gerektiğini belirlemek için hukuk müşavirinize danışın. Kişisel verileri Odoo dışında da işliyor olabileceğinizi her zaman aklınızda bulundurun.

Veri Öznesinin Erişim Hakkı (Madde 15) ve Veri Taşınabilirliği Hakkı (Madde 20)

  • Odoo, veri sahiplerinin kişisel bilgilerine kendi kendilerine erişebilmeleri ve bu bilgileri güncelleyebilmeleri için bazı araçlar sağlar:
    • Müşteri portalı, kullanıcıların sözleşme belgelerine göz atmasına olanak tanır: adres ve kişiler, faturalar, teklifler, siparişler, görevler, yardım masası biletleri, satın alımlar, abonelikler, teslimat siparişleri, ödemeler ve bu belgelerle ilgili iletişimler.
    • Posta listeleri sayfası, kullanıcıların aboneliklerini gözden geçirmelerine ve yönetmelerine olanak tanır (odoo.com için örnek: https://www.odoo.com/groups)
    • Forum profili, forum kullanıcılarınızın tüm etkinliklerini bir bakışta gözden geçirmelerini sağlar
  • Tüm verileri dışa aktarmanız veya portal üzerinden erişilemeyen özel verileri iletmeniz gerekiyorsa, bazı manuel adımlar gereklidir.
    Genellikle ilgili tüm belgelere doğrudan kullanıcıların iletişim formundaki üst çubuktan ulaşabilirsiniz. Daha sonra tüm bilgileri tarayıcınızın “PDF olarak yazdır” özelliği ile veya Eylem>Dışa Aktar menüsü ile kişi listesinden veya kişinin belgelerinin listesinden dışa aktarabilirsiniz.
    Her iki seçenekle de Genel Veri Koruma Tüzüğü ile uyumlu, elektronik formatlar elde edersiniz.
  • Buna ek olarak, elinizde iletişim formuyla ilgili olmayan, veri sahibinin ayrı bir bağlamda girmiş olabileceği bilgiler de olabilir. Bunları da gözden geçirmeli, isim veya e-posta adresine göre arama yapmalısınız, örneğin:
    • Etkinlik abonelikleri
    • Müşteri İlişkileri Yönetimi uygulamanızda Müşteri Adayları ve Fırsatlar

Hatırlatma:Tarayıcınız aracılığıyla PDF olarak dışa aktarma özelliğine ek olarak, Odoo, herhangi bir kaydı veya kayıt listesini CSV veya Excel dosyası olarak, ayrıca bu kayda bağlı ilgili belgelerle birlikte dışa aktarmanıza olanak tanıyan bir araç sunar. Bunu kullanmak için herhangi bir ekranın liste görünümüne gidin, kayıt veya kayıtları seçin ve Eylem > Dışa Aktar seçeneğine tıklayın, ardından 'Tüm Verileri Dışa Aktar' seçeneğini belirleyin. Araç, dışa aktarmak istediğiniz alanları seçmenize olanak tanır.

Unutulma hakkı (Madde 17)

Genel Veri Koruma Tüzüğü, veri sahiplerine aşağıdaki gibi belirli koşullar altında kişisel verilerinin silinmesini talep etme hakkı tanır:

  • Verinin artık amaç için gerekli olmaması;
  • Yalnızca rızaya dayalı bir veri işleme için vermiş oldukları rızayı geri çekmeleri;
  • Diğer türlü veriyi işlemenin hukuka aykırı olması.

Talebin meşru olduğunu tespit ederseniz ve kişinin kimliğini doğruladıysanız Odoo'da ilgili kişiyi silmeyi deneyebilirsiniz. Bu eylem güvenlidir: bir iş belgesi hala kişiye atıfta bulunuyorsa (fatura, iletişim, teslimat siparişi, forum gönderisi vb.) sistem işlemi engelleyecektir. Bu durumda, bu belgeleri saklamak için başka yükümlülükleriniz olup olmadığına karar vermeli ve silme talebini reddetmelisiniz.

Kişisel bilgileri saklamak için yasal bir nedeniniz yoksa, ancak bir belge veya kişiyi silemiyorsanız ya da silmek istemiyorsanız, bunun yerine anonimleştirmeyi düşünün. Kişiyi yeniden adlandırabilir ve tanınabilir verilerini (e-posta, adres vb.) değiştirebilir veya belgeleri genel bir Anonim kişiye yeniden atayabilirsiniz. Düzgün bir şekilde anonim hale getirildikten sonra, bu veriler kişisel veri olmaktan çıkacaktır.

İşlemeyi Kısıtlama (Madde 18) ve Rızanın Geri Çekilmesi (Madde 7)

Kullanıcılar çoğunlukla ticari e-posta abonelik listelerinden çıkmak isteyecektir. E-postalarınız Odoo aracılığıyla gönderildiyse, kullanıcılar alt başlıktaki abonelikten çıkma bağlantısını kullanarak bunu kendileri yapabilir. Ancak siz de bir kişi veya müşteri adayı/fırsat üzerindeki “listeden çıkar” alanını manuel olarak da işaretleyebilirsiniz. “Listeden çıkar” olarak işaretlenen kayıtlar otomatik olarak toplu e-posta kampanyalarının dışında tutulur, ancak kullanıcılardan doğrudan mesajlar almaya devam edebilir (ör. teklifler, faturalar).

Düzeltme Hakkı (Madde 16) ve Verilerin Doğruluğu (Madde 5 (1) d)

Geçersiz/değişen e-posta adresleri yaygın bir veri hatası kaynağıdır. E-posta entegrasyonu (Odoo Bulut'ta varsayılan olarak) düzgün bir şekilde yapılandırıldığında, Odoo toplu e-postalarınız içinden iade edilen e-postaları işaretler ve geri dönen mesajların sayısıyla birlikte İade alanına ekler. Kişilerinizi veya potansiyel müşterilerinizi “İade 0'dan büyük” özel aramasıyla düzenli aralıklarla gözden geçirebilir ve bunları temizleyebilir/silebilirsiniz.

Odoo Sohbet kanallarının takipçileri, 10 hata (bounce) sonrasında otomatik olarak abonelikten çıkarılır.

Hata düzeltme konusunda ise, kullanıcılar ve müşteriler kendi kişisel verilerini (isim, e-posta, adres) Odoo portalı üzerinden de düzeltebilir.

Rıza Koşulları (Madde 7)

Odoo'nun varsayılan mekanizmaları (örn. iletişim formu, posta listesi ve etkinlik abonelikleri) aracılığıyla kişisel veri topladığınızda, işleme için bir amaç ve yasal dayanak oluşturmanız gerekir. Bu, büyük ölçüde verileri nasıl kullanacağınıza bağlıdır.

Amaç belirli ve açık ise (örneğin, kayıtlı etkinlik katılımcılarının etkinlik hakkında bilgilendirilmesi için verilerinin saklanması; kişinin seçtiği bir posta listesine abone edilmesi), açık rızalarını almanıza gerek yoktur (kişisel veriler bir sözleşme için gereklidir - Madde 6 (1) b). Ancak, yine de amacı kullanıcıya açık bir şekilde belirtmeniz ve daha fazla bilgi verdiğiniz Gizlilik Politikası sayfanıza yönlendirme yapmanız gerekir. Gerekli açıklamaları eklemek için Odoo'nun web sitesi oluşturucusunu kullanarak formları düzenleyebilirsiniz

Ancak, toplanan verileri başka amaçlar için kullanmayı planlıyorsanız, kullanıcıdan her amaç için açık onay almanız gerekmektedir. Önerilen yol, her bir özel amaç için onay almak üzere formunuza onay kutuları eklemektir (örneğin, “Lütfen beni benzer ürünler için indirim ve promosyonlardan e-posta yoluyla haberdar edin”). Bunu Odoo ile yapmak için:

  1. Kişisel verilerin (örn. Müşteri Adayı/Fırsat) toplandığı belgeye Odoo Stüdyo'yu kullanarak bu amaca yönelik onayı temsil eden bir onay kutusu (boolean veri türü) alanı ekleyin
  2. Odoo'nun web sitesi oluşturucusu aracılığıyla web sitesi formunuza onay kutusu ekleyebilirsiniz
  3. Verileri bu amaçla işlerken, örneğin pazarlama kampanyalarınızın segment filtrelerinde, bu alanı kullanın

Tasarımda Gizlilik (Madde 25)

Tasarımda Güvenlik, Odoo’daki Ar-Ge çalışmalarımızın merkezinde yer almaktadır ve örnek güvenlik uygulamaları hayata geçirerek yazılımımızı Güvenli, dayanıklı ve sağlam herkes için.

Erişim Kontrolü - Odoo'nun varsayılan grup tabanlı erişim kontrol mekanizması, her kullanıcının rolüne ve ihtiyaçlarına göre kişisel verilere erişimi kısıtlamanıza olanak tanır. (örneğin, bir proje yöneticisinin İş Başvurularına erişmesi gerekli olmayabilir). Kullanıcı grupları atamalarını gözden geçirir ve kuruluşunuzda roller değiştiğinde bunları muntazaman korursanız güçlü bir gizlilik temeline sahip olursunuz. Kullanıcı gruplarını kolayca ekleyip değiştirerek kuruluşunuza göre uyarlayabilirsiniz.

Kayıt Kuralları - Kişisel verilere erişime ince ayar yapmak için, alan değerlerine dayalı herhangi bir kritere göre belgelere erişimi kısıtlamanıza olanak tanıyan Kayıt Kuralları kavramından faydalanabilirsiniz. Kayıt Kuralları, okuma ve/veya yazma işlemlerini engelleyebilir ve belge bazında çalışır. Daha fazla bilgi için lütfen şu kaynağa başvurun: dokümantasyonumuza.

Parolalar - Odoo, kullanıcı parolalarını sektörde standart olan güvenli karma ile saklar. Kullanıcı şifrelerini saklamaktan kaçınmak için OAuth 2.0 veya LDAP gibi harici kimlik doğrulama sistemlerini kullanmak da mümkündür.

Çalışan Verileri -Odoo veri tabanlarının hassas kişisel verileri içermesinin muhtemel olduğu bir alan, çalışan formu ve bağlı sözleşmelerinin Özel Bilgiler sekmesidir. Çalışanlar Dizini'nin bu kısmı yalnızca işleri için bu bilgilere ihtiyaç duyan İK çalışanları (“İK Uzmanı” grubu) tarafından görülebilir. Bu koruma, çalışanların kişisel adreslerini de kapsar: Odoo 12'den Odoo 17'ye kadar, adresler yalnızca İK çalışanları tarafından görülebilen “Özel” türde Kişiler olarak saklanır. Sürüm 17.0'dan itibaren ise bu veriler doğrudan Çalışan kaydında saklanmaktadır.

İşleme Güvenliği (Madde 25 ve Madde 32)

Odoo Online veya Odoo.sh hizmetlerini kullanıyorsanız, her düzeyde örnek güvenlik ve gizlilik uygulamalarını hayata geçirdiğimizi belirtmek isteriz. Bu konuda daha fazla bilgi için Güvenlik Politikası.
Odoo Lokal kullanıcısı iseniz üstün güvenlik uygulamalarını yerine getirmekten siz sorumlusunuz. Başlangıç olarak güvenlik önerileri etkin kullanım dokümantasyonumuzun