Загальний огляд

Нові закони про приватність та найкращі практики з Odoo

З 25го травня 2018 року, General Data Protection Regulation (GDPR) набуває чинності, відкриваючи нову еру захисту даних та приватності для всіх. Хоча ви, безумовно, чули та прочитали багато інформації про GDPR, може бути складно зрозуміти, що це означає для вашого бізнесу, в практичних термінах, і що вам слід зробити, щоб бути у відповідності з новими правилами.

В Odoo ми зобов'язані дотримуватися найкращих практик у термінах безпеки та конфіденційності. Ми прагнемо надавати однаковий рівень захисту всім користувачам і клієнтам, без відмінності їхнього місцезнаходження або громадянства. І ми застосовуємо ці найкращі практики до всіх даних, не лише особистих.

Отже, Odoo SA та її дочірні компанії відповідають GDPR.

Що вам потрібно знати про GDPR

Підказка
Якщо ви можете, найкращий спосіб зрозуміти GDPR – це Читати офіційний текст.
Він трохи довгий (99 статей на 88 сторінках), але цілком зрозумілий для неекспертів.

Це європейське регулювання, яке має на меті узгоджувати та модернізувати існуюче законодавство про конфіденційність, таке як Директива ЄС про захист даних, яку воно замінює. Воно встановлює правила для захисту фізичних осіб щодо обробки їх особистих даних, а також вільного руху особистих даних в межах Європи.

Це Регламент, а не Директива, тому він застосовується відразу в усіх країнах-членах ЄС, без потреби в транспонуванні в національне законодавство кожної країни. Країни ЄС мають обмежену маржу для інтерпретації дрібних деталей, але фундаментальні правила будуть однаковими для всіх, всюди в ЄС.

GDPR також переносить законодавство в наступне тисячоліття, враховуючи соціальні медіа, хмарні обчислення, кіберзлочинність та основні виклики, які вони створюють у термінах приватності та безпеки персональних даних.

В двох словах: Не панікуйте!

GDPR - це не законодавство, яке руйнує світ, і в основному це добра річ для громадян та бізнесу.

Це Позитивно!

Ми хочемо підкреслити, що GDPR може бути вигідним для вас та ваших клієнтів. Виконання вимог GDPR спочатку може означати багато роботи, але нові правила мають свої переваги:

  • Збільшене довіри ваших клієнтів та користувачів
  • Спрощення: однакові правила застосовуються в усіх країнах ЄС
  • Раціоналізація та централізація ваших організаційних процесів

Метою GDPR є надання особам більшого контролю над їхніми персональними даними. Якщо ваша компанія впровадить відповідні стратегії та системи, їх буде легше керувати, вони будуть надійнішими та безпечнішими на найближчі роки.

Які ризики, якщо ви не дотримуєтеся вимог?

Максимальний штраф за недотримання складає адміністративний штраф у розмірі 20 мільйонів євро, або 4% від вашого глобального річного обороту, залежно від того, яка сума вища. Менший максимум, 10 мільйонів євро або 2% від вашого глобального річного обороту, стосується менш серйозних порушень.

Ці максимуми призначені для того, щоб бути запобіжними для бізнесу всіх розмірів, але GDPR також вимагає, щоб штрафи були пропорційними.

Наглядові органи (також відомі як органи захисту даних: DPAs) повинні враховувати обставини кожного випадку, включаючи природу, важкість, та тривалість порушення. Цим DPAs також надаються повноваження розслідувати та застосовувати корективні заходи, які включають обмеження порушницької діяльності, не обов'язково накладаючи штраф.

Іншим ризиком, якщо ви не дотримуєтесь правил, є втрата довіри від ваших клієнтів та потенційних клієнтів, які переймаються тим, як ви обробляєте їх дані!

Нарешті, багато DPA натякали, що вони ще не будуть накладати штрафи у 2018 році, але вони очікують, що бізнес продемонструє, що він працює над дотриманням вимог.

Основні принципи GDPR

Обсяг

Цей регламент стосується будь-якої обработки особистих даних будь-якою організацією:

  1. Якщо контролююча або оброблювальна організація розташована у ЄС
  2. Якщо організація не розташована в ЄС, але обробка включає персональні дані суб'єктів даних, що знаходяться в ЄС, і пов'язана з комерційними пропозиціями або моніторингом поведінки.

Таким чином, сфера дії включає в себе не-ЄС компанії, чого не було в старішому законодавстві.

Ролі

Цей регламент розрізняє два основних типи суб'єктів:

  • Конролер даних: будь-яка особа, яка самостійно або спільно визначає цілі та засоби обробки персональних даних. Як правило, кожна організація є контролером своїх власних даних.
  • Обробник даних: будь-яка організація, яка обробляє дані від імені контролера даних.

Наприклад, якщо ваша компанія володіє базою даних, розміщеною на Odoo Cloud, ви є керівником цієї бази даних, а Odoo SA є лише оператором даних. Якщо ж ви використовуєте Odoo на власному сервері, ви є як керівником, так і оператором даних.

Особисті дані

GDPR дає широке визначення персональних даних: будь-яка інформація, що стосується ідентифікованої або ідентифікуємої фізичної особи. Ідентифікуєма особа - це особа, яку можна ідентифікувати, безпосередньо або опосередковано, за допомогою її імені, електронної адреси, номерів телефонів, біометричної інформації, даних про місцезнаходження, фінансових даних тощо. Також у рамках цього поняття знаходяться онлайн ідентифікатори (IP-адреси, ID пристроїв, …).

Це стосується також бізнес-контекстів: info@odoo.com не вважається особистим, але john.smith@odoo.com вважається, тому що його можна використовувати для ідентифікації фізичної особи в компанії.

GDPR також вимагає вищого рівня захисту для чутливих даних, що включає специфічні категорії персональних даних, таких як інформація про здоров'я, генетику, расу або релігію.

Принципи обробки даних

Для відповідності, діяльність з обробки повинна дотримуватися наступних правил:
(як вказано в статті 5 GDPR)

  1. Законність, справедливість і прозорість: щоб збирати дані, ви повинні мати правову основу, зрозумілу ціль, і ви повинні повідомити суб'єкта про це.

    • Майте просту та зрозумілу політику конфіденційності і посилайтеся на неї всюди, де ви збираєте дані
    • Перевірте законність кожної з ваших дій з обробки даних

  2. Обмеження за призначенням: зібрані для певної мети, запитайте дозвіл, якщо ви хочете використовувати їх для іншої мети.

    напр. - Ви не можете прийняти рішення продати дані своїх клієнтів, якщо вони не були зібрані для цієї мети.

  3. Мінімізація: ви повинні збирати лише дані, необхідні для вашої мети

  4. Точність: необхідно вжити розумних заходів, щоб переконатися, що дані оновлюються відповідно до мети

    напр. - Обов’язково обробляйте відхилені листи та виправляйте або видаляйте адреси.

  5. Обмеження зберігання: персональні дані слід зберігати лише протягом періоду, необхідного для виконання їх основної мети.

    Встановіть часові обмеження для видалення або перегляду персональних даних, які ви обробляєте, залежно від їх призначення.

  6. Цілісність і конфіденційність: обробники даних повинні впроваджувати відповідні заходи контролю доступу, безпеки та запобігання втраті даних відповідно до типів і обсягів даних, що обробляються.

    напр. - Переконайтеся, що ваша система резервного копіювання працює, увімкніть належний контроль безпеки, використовуйте шифрування для захисту конфіденційних даних, таких як паролі, ...

  7. Відповідальність: контролери даних несуть відповідальність та повинні бути в змозі продемонструвати відповідність усім вищезазначеним принципам обробки.

    • Створіть та підтримуйте мапу даних для вашої організації, описуючи дотримання ваших процесів обробки даних
    • Інформуйте своїх клієнтів за допомогою зрозумілої Політики конфіденційності
Юридична база

Щоб бути законним згідно з GDPR (першим принципом), обробка персональних даних має бути заснована на одній з шести можливих юридичних основ, які перелічено в статті 6 (1):

  1. Згода. Дійсний, якщо суб’єкт даних має явно та вільно надано згоду після належного інформування, включаючи чітко сформульовану та конкретну ціль. Тягар доведення всього цього лежить на контролері.
  2. Необхідний для виконання договору, або для виконання запитів від суб’єкта даних у рамках підготовки до контракту.
  3. Дотримання юридичного зобов’язання що накладається на контролера.
  4. Захист життєво важливого інтересу. Коли обробка необхідна для порятунку життя.
  5. Суспільний інтерес або офіційні повноваження.
  6. Законний інтерес. Застосовується, коли контролер має законний інтерес, який не переважає інтересами та основними правами суб’єкта даних.

Однією зі значних змін, які GDPR внесла у порівнянні з попередніми правилами конфіденційності даних, є більш суворі вимоги до отримання дійсної згоди.

Права суб'єкта даних

Права на захист даних осіб, що вже існують, подальше розширюються GDPR. Організації повинні бути готові обробляти запити від суб'єктів даних своєчасно (впродовж 1 місяця), безкоштовно:

  1. Права доступу - Кожен має право знати які і як їхні персональні дані обробляються повністю прозоро;
  2. Право на виправлення - Кожен має право на виправлення або заповнення їх персональних даних;
  3. Право на видалення - Кожен має право на видалення своїх персональних даних на законних підставах (згода відкликана, більше не потрібна для цієї мети тощо.);
  4. Право на обмеження - Кожен може запитати контролера зупинити оброблятиїх персональні дані, якщо вони не хочуть або не можуть вимагати повного видалення;
  5. Право на заперечення - Кожен має право на заперечення на певну обробку своїх персональних даних у будь-який час, наприклад, для цілей прямого маркетингу;
  6. Портативність даних - Особи мають право вимагати надання їм персональних даних якими володіє контролер, або інший контролера.

Як вам слід готуватися до GDPR

Дисклеймер
Ми не можемо надавати юридичні консультації, цей розділ надано лише для інформаційних цілей. Зверніться до свого юриста, щоб точно визначити, як GDPR впливає на вашу компанію.

Ось ключові кроки, які ми пропонуємо для створення плану дій щодо дотримання GDPR:

  1. Створіть Карту Даних діяльності вашої організації з обробки даних, щоб отримати чітке уявлення про ситуацію. Органи Захисту Даних часто надають шаблони електронних таблиць, щоб допомогти у цьому завданні. Для кожного процесу зафіксуйте тип особистих даних та спосіб їх збору; мету, правову основу та політику видалення обробки; технічні та організаційні заходи безпеки, які були впроваджені, та субпідрядники (процесори), які брали участь.

    Вам потрібно регулярно підтримувати це відображення даних, оскільки ваші процеси розвиваються.
  2. На основі кроку 1, виберіть Стратегію Виправлення для будь-якої обробки, де у вас немає законної основи (наприклад, відсутня згода) або де у вас немає належних заходів безпеки. Адаптуйте свої процеси, внутрішні процедури, правила контролю доступу, резервне копіювання, моніторинг тощо.
  3. Оновіть та опублікуйте чітку Політику Конфіденційності на вашому веб-сайті. Поясніть, які особисті дані ви обробляєте, як ви це робите, та які права особи мають щодо своїх даних.
  4. Перегляньте свої Контракти з юридичним радником та адаптуйте їх до GDPR.
  5. Вирішіть, як ви будете відповідати на різноманітні види Запитів субʼєктів даних.
  6. Підготуйте свою Процедуру Реагування на Інциденти у випадку порушення захисту даних.

Залежно від вашої ситуації, до списку можуть бути додані інші елементи, такі як призначення Посадовця з захисту даних. Проконсультуйтеся з вашими внутрішніми експертами з обробки даних і юридичними радниками, щоб визначити будь-які інші важливі заходи.

Запам'ятайте!
Створення чіткого відображення ваших процесів полегшить процес досягнення відповідності!

Як Odoo відповідає вимогам GDPR

В Odoo, впровадження кращих практик приватності та безпеки - не нова ідея. Як компанія, що надає хмарний хостинг, ми постійно переглядаємо та вдосконалюємо наші системи, інструменти та процеси, з метою підтримки відмінної та безпечної платформи.

Наші ролі за GDPR

Наші обов'язки у термінах захисту особистих даних залежать від наших різноманітних дій з обробки даних:

Наші ролі Обробка даних Тип даних
Контролер даних & Процесор На Odoo.com Особисті дані, надані нам нашими прямими клієнтами та потенційними клієнтами, нашими партнерами та всіма прямими користувачами Odoo.com (імена, електронні адреси, адреси, паролі ...)
Процесор даних На Odoo Cloud
(Odoo Online, Odoo.sh та інші послуги Odoo Enterprise) 		Будь-які особисті дані, збережені в базах даних наших клієнтів, розташованих в хмарі Odoo або передані нам для використання одного з наших сервісів. Власник бази даних є контролером даних.
Немає ролі Власний сервер Будь-які дані, розташовані в базах даних Odoo, що розміщені на власних серверах або на будь-якому хостингу, який не керується нами.

Наші документи GDPR

Як Контролер Даних, наші активності включені до нашого Політика конфіденційності, що було оновлено для GDPR. Ця політика якомога чітко пояснює які дані ми обробляємо, чому ми їх обробляємо, і як ми це робимо. З цим тісно пов'язана наша Політика безпеки пояснює кращі практики безпеки, які ми впровадили в Odoo, на всіх рівнях (технічному та організаційному), щоб гарантувати, що ваші дані обробляються безпечно та у безпечний спосіб.

Додатково до цих політик, наша діяльність як Оператора Даних залежить від прийняття нашими Угода підписки Odoo Enterprise. Цю угоду було оновлено, щоб додати необхідні положення про захист даних (часто називають "Угодою про обробку даних"), що вимагає GDPR.
Як клієнт Odoo S.A., ви не маєте нічого робити, щоб прийняти ці зміни, ви вже отримуєте переваги від нових гарантій, і ми будемо вважати, що ви згодні, якщо ми нічого від вас не почуємо!

Крім цих документів, ми також оновили наш сайт, щоб вставити повідомлення про конфіденційність у всі відповідні місця, з метою в будь-який час інформувати наших користувачів.

Як Odoo допомагає вам впроваджувати найкращі практики GDPR

Використання Odoo для управління вашим бізнесом не може бути достатнім для дотримання вимог GDPR, оскільки це регулювання стосується всієї вашої організації. Однак, оскільки Odoo централізує ваші дані, зменшує їхню редундантність, та реалізує гранулярні права доступу та контроль за безпекою, воно може стати великою допомогою у відповідності з GDPR.

Ось декілька способів, якими, на нашу думку, Odoo може допомогти вам у контексті GDPR, як для on-premise, так і для хмарних баз даних Odoo.

Дисклеймер: як завжди, проконсультуйтеся зі своїм юрисконсультом, щоб визначити, як вам слід виконувати вимоги GDPR і запити суб’єктів даних. Завжди майте на увазі, що ви також можете обробляти персональні дані за межами Odoo.

Право на доступ (Стаття 15) та Право на перенесення даних (Стаття 20)

  • Odoo надає деякі інструменти для суб'єктів даних для доступу і оновлення їхньої персональної інформації в режимі самообслуговування:
    • Портал клієнта дозволяє користувачам переглядати договірні документи: адреси та контакти, рахунки-фактури, пропозиції, замовлення, завдання, заяки служби підтримки, покупки, підписки, замовлення на доставку, платежі, а також повідомлення навколо цих документів.
    • Сторінка списків розсилки, дозволяє користувачам переглядати та керувати їхніми підписками (Приклад для odoo.com: https://www.odoo.com/groups)
    • Профіль форуму дозволяє користувачам вашого форуму переглядати всі їх дії за раз
  • Якщо вам потрібно експортувати всі дані, або передавати приватні дані, до яких неможливо отримати доступ через портал, потрібно виконати деякі ручні дії.
    Зазвичай ви можете отримати доступ до всіх відповідних документів безпосередньо з верхньої панелі на формі контакту користувачів, де вони зв'язані. Ви потім можете експортувати всю інформацію за допомогою функції “Друкувати як PDF” вашого браузера, або за допомогою меню Дія>Експорт, зі списку контактів або списку їх документів.
    Обидва варіанти забезпечують електронні формати, що відповідають вимогам GDPR.
  • Крім того, у вас може бути інформація, яка не пов'язана з формою контактів, яку суб'єкт даних міг ввести в іншому контексті. Ви також повинні переглянути це, шукаючи, наприклад, за іменем або електронною адресою.
    • Підписки на події
    • Ліди & Нагоди у вашій CRM

Нагадування: На додаток до можливості експорту у формат PDF через ваш браузер, Odoo має інструмент для експорту будь-якого запису або списку записів у файл CSV або Excel, а також документів, пов’язаних із цим записом. Щоб використати його, перейдіть до списку на будь-якому екрані, виберіть запис(и) і натисніть «Дія > Експортуйте, а потім виберіть «Експортувати всі дані». Потім інструмент дозволяє вибрати поля, які потрібно експортувати.

Право на забуття (Art. 17)

GDPR надає суб'єктам даних право вимагати видалення їх особистих даних, за певних умов, таких як:

  • Дані вже не є необхідними відповідно до мети;
  • Вони відкликають згоду на обробку, яка базується лише на згоді;
  • Обробка в іншому випадку є незаконною.

Якщо ви визначили, що запит є законним, і ви підтвердили особистість особи,  ви можете спробувати видалити відповідний контакт в Odoo. Це безпечно: система заблокує операцію, якщо діловий документ ще посилається на контакт (рахунок, контакт, замовлення на доставку, пост на форумі, тощо.). В цьому випадку, ви повинні вирішити, чи у вас є інші обов'язки щодо зберігання цих документів, і мусите відхилити запит на видалення.

Якщо у вас немає законних підстав зберігати особисту інформацію, але ви не можете або не хочете видалити документ або контакт, розгляньте можливість його анонімізації. Ви можете перейменувати контакт і змінити його ідентифікаційні дані (електронна пошта, адреса, тощо), або можете перепризначити документи на загальнодоступний контакт Анонімний. Після належної анонімізації ці дані вже не будуть особистими даними.

Обмеження обробки (стаття 18) та відкликання згоди (стаття 7)

Користувачі часто просять відписатися від комерційних електронних листів. Якщо ви відправляли розсилки через Odoo, користувачі можуть самостійно скасувати підписку, використовуючи посилання для відписки в нижньому колонтитулі. Але ви також може вручну відмітити поле "opt-out" у контакті або ліді/нагоді. Записи, позначені як "opt-out", автоматично виключаються з масових розсилок, але можуть ще отримувати прямі повідомлення від користувачів (наприклад, пропозиції, рахунки-фактури).

Право на виправлення (стаття 16) та точність даних (стаття 5 (1) d)

Неправильні/змінні електронні адреси - поширене джерело помилок даних. Коли інтеграція з електронною поштою налаштована правильно (за замовчуванням на Odoo Cloud), Odoo обробляє відмови від прийому електронних листів у ваших масових розсилках і збільшує поле Відмова на кількість повідомлень, що були відкинуті. Ви можете періодично переглядати свої контакти або потенційних клієнтів за допомогою власного пошуку за категорією "Відмова більше ніж 0" і видаляти їх.

Підписники каналів Обговорення Odoo автоматично відписуються після 10 відкидів.

Стосовно виправлення, користувачі та клієнти також можуть виправляти свої власні персональні дані (ім'я, електронна пошта, адреса) через портал Odoo.

Згода (стаття 7)

Коли ви збираєте персональні дані через стандартні механізми Odoo (наприклад, форму контактів, підписку на розсилку, підписку на події), вам потрібно встановити мету та правову основу для обробки. Це значною мірою залежить від того, як ви будете використовувати дані.

Якщо мета є специфічною та очевидною (наприклад, зберігати зареєстрованих учасників події, щоб тримати їх в курсі перебігу події; підписуємо когось на вибрану ним поштову розсилку), вам не потрібно просити про їхню явну згоду (персональні дані є необхідними для договору - Стаття 6 (1) b). Однак ви все ще повинні зробити мету зрозумілою для користувача та посилатися на свою сторінку Політики конфіденційності, де ви надаєте більше інформації. Ви можете використовувати конструктор сайтів Odoo для редагування форм і додавання необхідних згадок.

Однак, якщо ви плануєте використовувати зібрані дані для інших цілей, вам потрібно отримати явну згоду на кожну ціль від користувача. Рекомендований спосіб - додати прапорці до вашої форми, щоб отримати згоду на кожну конкретну ціль (наприклад, "Будь ласка, надсилайте мені знижки та акції на схожі товари по електронній пошті"). Щоб зробити це з Odoo, ви можете:

  1. Використовуйте Студію Odoo для додавання поля чекбоксу (булеве) в документ, який збирає персональні дані (наприклад, Ліди / Нагоди), щоб вказати згоду на цю мету
  2. Додайте пчекбокс у форму вашого веб-сайту за допомогою конструктора веб-сайтів Odoo
  3. Використовуйте це поле при обробці даних для цієї мети, наприклад, в фільтрах сегментів ваших маркетингових кампаній

Приватність за принципом проектування (Art. 25)

Безпека за концепцією є в серці нашої роботи в R&D в Odoo, і ми застосовуємо найкращі практики безпеки, щоб зробити наше програмне забезпечення Безпечний, міцний та стійкий для всіх.

Контроль доступу - Стандартний груповий механізм контролю доступу Odoo дозволяє обмежити доступ до особистих даних відповідно до ролі та потреб кожного користувача. (наприклад, менеджеру проекту може не знадобитися доступ до Заявок на вакансію). Якщо ви переглядаєте призначення груп користувачів і належним чином підтримуєте їх під час зміни ролей у вашій організації, у вас є міцна основа конфіденційності. Ви можете легко додавати або змінювати групи користувачів, щоб адаптувати їх до вашої організації.

Правила запису - Для точного налаштування доступу до особистих даних можна використовувати концепцію правил запису, яка дозволяє обмежити доступ до документів за будь-яким критерієм на основі значень полів. Правила запису можуть блокувати операції читання та/або запису, і вони працюють на основі кожного документа. Для отримання додаткової інформації зверніться до наша документація.

Паролі - Odoo зберігає паролі користувачів із захищеним хешуванням за галузевим стандартом. Також можна використовувати зовнішні системи автентифікації, такі як OAuth 2.0 або LDAP, щоб взагалі уникнути зберігання паролів користувачів.

Дані співробітника - Однією з областей, де бази даних Odoo можуть містити конфіденційні особисті дані, є вкладка форми співробітників і їх договорів Приватна інформація. Цю частину Довідника співробітників бачать лише працівники відділу кадрів (група «Керівник кадрів»), яким вона потрібна для роботи. Цей захист поширюється на особисту адресу співробітників: для Odoo 12 до Odoo 17 вона зберігається як контакти типу "Приватні", які бачать лише працівники відділу кадрів. Починаючи з версії 17.0, він зберігається безпосередньо в записі працівника.

Безпека обробки (Art. 25 & 32)

Якщо ви користуєтесь сервісами Odoo Online або Odoo.sh, ми впроваджуємо найкращі практики безпеки та приватності на всіх рівнях. Ви можете дізнатися більше про це в нашому Політика безпеки.
Якщо ви використовуєте Odoo на власному сервері, ви несете відповідальність за дотримання найкращих практик безпеки. Ви можете почати з рекомендації щодо безпеки нашої документації щодо розгортання.