Oversigt

Ny databeskyttelseslov og bedste praksis med Odoo

Siden den 25. maj 2018 har Databeskyttelsesforordningen (GDPR) været gældende. Den markerer en ny æra for data- og privatlivsbeskyttelse for alle. Mens du helt bestemt har hørt og læst en masse om databeskyttelsesforordningen, kan det være svært at forstå, præcis hvad det betyder for din virksomhed, og hvad du konkret bør gøre for at overholde de nye regler.

Hos Odoo forpligter vi os til at følge bedste praksis i henhold til sikkerhed og beskyttelse af privatlivet. Vi bestræber os på at levere samme niveau af beskyttelse til alle brugere og kunder, uanset deres placering eller nationalitet. Derudover anvender vi disse praksisser på alle data – ikke kun personoplysninger.

Odoo SA og dets datterselskaber overholder GDPR.

Hvad du bør vide om databeskyttelsesforordningen

Hint
For at forstå databeskyttelsesforordningen er det bedst at læse den officielle tekst.
Den er ret omfattende (99 artikler på 88 sider), men forholdsvis letlæselig, selv for ikke-eksperter.

Det er en EU-forordning, der har til formål at standardisere og modernisere eksisterende lovgivning om privatlivets fred, herunder EU's databeskyttelsesdirektiv, som den erstatter. Den fastlægger regler for beskyttelse af enkeltpersoners personoplysninger samt for fri udveksling af sådanne data i Europa

Det er en forordning, ikke et direktiv, og den gælder derfor direkte i alle EU's medlemslande, uden at den skal omsættes til national lovgivning i de enkelte lande. EU-lande har begrænset manøvrerum, når det gælder de finere detaljer, men de fundamentale regler vil være de samme for alle i hele EU.

GDPR bringer også lovgivningen ind i det næste årtusinde ved at tage højde for sociale medier, cloud-computing, cyberkriminalitet samt de store udfordringer, disse medfører for datasikkerhed og beskyttelse af personoplysninger.

Kort sagt: ingen grund til panik!

GDPR er ikke en banebrydende ny lovgivning, og den er grundlæggende et godt tiltag for borgere og virksomheder.

En positiv forandring!

Vi vil gerne understrege, at GDPR kan gavne både dig og dine kunder. At overholde databeskyttelsesforordningen kan i første omgang være et omfattende arbejde, men der er også fordele ved de nye regler:

  • Øget tillid fra dine kunder og brugere.
  • Enklere regler: Samme regler gælder i hele EU.
  • Optimering og centralisering af dine organisatoriske processer.

Formålet med databeskyttelsesforordningen er at give enkeltpersoner et bedre overblik over deres personoplysninger. Hvis din virksomhed implementerer de rigtige strategier og systemer, vil administrationen af data i de kommende år blive enklere og mere sikker.

Hvilke ricisi opstår, hvis du ikke overholder forordningen?

Den maksimale straf for overtrædelser er en bøde på 20 millioner euro eller 4 % af din årlige globale omsætning, alt efter hvad der er højest. For mindre overtrædelser gælder en lavere maksimal bøde på 10 millioner euro eller 2 % af din årlige globale omsætning.

De maksimale straffe skal virke afskrækkende på virksomheder af alle størrelser, men GDPR kræver også, at bøderne står i rimeligt forhold til overtrædelsen.

Tilsynsmyndighederne (også kendt som databeskyttelsesmyndigheder) skal tage hensyn til omstændighederne i hver enkelt sag, herunder overtrædelsens karakter, alvor og varighed. Databeskyttelsesmyndighederne har også bemyndigelse til at foretage undersøgelser og pålægge afhjælpende foranstaltninger, herunder begrænsning af ulovlige aktiviteter, uden nødvendigvis at pålægge en bøde.

En yderligere risiko, du står over for, hvis du ikke overholder forordningen, er, at du mister dine kunders og uine leads' tillid, da databeskyttelse er afgørende for dem!

Desuden har mange databeskyttelsesmyndigheder tilkendegivet, at de i første omgang ikke vil udstede bøder i 2018, men at de forventer, at virksomheder viser, at de aktivt arbejder på at overholde reglerne.

Nøgleprincipperne i GDPR

Anvendelsesområdet

Forordningen gælder for enhver organisation eller virksomhed, der på nogen måde behandler personoplysninger:

  1. Hvis den dataansvarlige, virksomheden eller organisationen, der behandler disse data, befinder sig i EU.
  2. Hvis virksomheden eller organisationen ikke befinder sig i EU, men behandlingen af data vedrører personoplysninger om personer bosat i EU, og behandlingen er relateret til kommercielle aktiviteter eller adfærdsovervågning.

Anvendelsesområdet omfatter altså også virksomheder uden for EU, hvilket ikke var tilfældet med den tidligere lovgivning.

Roller

Forordningen skelner mellem to hovedtyper af enheder:

  • Dataansvarlig: Enhver enhed, der alene eller i fællesskab med andre bestemmer formålene med og midlerne til behandling af personoplysninger. Som udgangspunkt er enhver organisation dataansvarlig for sine egne data.
  • Databehandler: Enhver enhed, der behandler personoplysninger på vegne af den dataansvarlige.

Hvis din virksomhed eksempelvis har en database, der hostes i Odoo Cloud, er du dataansvarlig for den database, og Odoo SA er kun databehandler. Hvis du derimod bruger Odoo On Premise, er du både dataansvarlig og databehandler for disse data.

Personoplysninger

GDPR indeholder en bred definition af personoplysninger, som alle oplysninger, der vedrører en identificeret eller identificerbar fysisk person. En identificerbar fysisk person er en person, der kan identificeres, direkte eller indirekte, gennem navn, e-mail, telefonnummer, biometriske oplysninger, lokaliseringsdata, finansielle data osv. Online-identifikatorer (f.eks. IP-adresser og enheds-ID'er) falder også ind under denne kategori.

Dette gælder også i forretningssammenhænge: info@odoo.com betragtes ikke som personoplysninger, men john.smith@odoo.com gør, da denne adresse kan bruges til at identificere en fysisk person i en virksomhed.

GDPR kræver også et højere beskyttelsesniveau for følsomme data, herunder særlige kategorier af personoplysninger såsom oplysninger om helbred, genetik, race eller religion.

Overordnede principper for databehandling

For at efterkomme reglerne skal følgende principper overholdes under databehandlingen:
(som anført i artikel 5 i GDPR)

  1. Lovlig, rimelig og gennemsigtig behandling: Der skal være et retsgrundlag, et klart formål, og du skal informere den registrerede om det.

    • Udarbejd en enkel og klar privatlivspolitik, og henvis til den, hver gang du indsamler data.
    • Gennemgå det juridiske grundlag for alle dine databehandlingsaktiviteter.

  2. Formålsbegrænsning: Når du har indsamlet data til et bestemt formål, skal du bede om tilladelse, hvis du vil bruge dem til andre formål.

    Eksempel – Du kan ikke beslutte dig for at sælge dine kunders data, hvis de ikke er indsamlet til dette formål.

  3. Minimering: Du må kun indsamle de data, der er nødvendige for at opfylde dit formål.

  4. Rigtighed: Der skal tages rimelige skridt for at sikre, at dataene holdes opdaterede i forhold til deres formål.

    Eksempel – Sørg for at behandle e-mails, der ikke blev leveret, eller slet adresserne.

  5. Opbevaringsbegrænsning: Personoplysninger bør kun opbevares, så længe det er nødvendigt for det oprindelige formål.

    Fastsæt frister for sletning eller gennemgang af de personoplysninger, du har behandlet, afhængigt af formålet.

  6. Integritet og fortrolighed: Afhængigt af typen og omfanget af de data, der behandles, skal databehandlere træffe passende foranstaltninger for at kontrollere adgang, sikkerhed og forhindre datatab.

    Eksempel – Sørg for, at dit backupsystem fungerer, at du har passende sikkerhedskontroller på plads, og at du bruger kryptering til at beskytte følsomme data som for eksempel adgangskoder.

  7. Ansvarlighed: Databehandlere er ansvarlige for at overholde alle ovenstående behandlingsprincipper og skal kunne påvise dette.

    • Opret og vedligehold en reference til datamapning for din organisation, som beskriver overholdelsen af dine behandlingsaktiviteter.
    • Informér dine kunder med en klar privatlivspolitik.
Retsgrundlag

For at overholde GDPR-lovgivningen (første princip) skal behandlingen af personoplysninger være baseret på ét af seks mulige retsgrundlag, som anført i artikel 6, stk. 1:

  1. Samtykke. Gyldigt, hvis den registrerede har givet sit udtrykkelige og frivillige samtykke efter at være blevet omhyggeligt informeret, herunder til et klart angivet og specifikt formål. Bevisbyrden for alt dette ligger hos den dataansvarlige.
  2. Nødvendig for at opfylde en kontrakt eller for at imødekomme den registreredes anmodninger som forberedelse til en kontrakt.
  3. Opfyldelse af en juridisk forpligtelse, som den dataansvarlige er underlagt.
  4. Beskyttelse af livsvigtige interesser. Hvis behandlingen er nødvendig for at redde et liv.
  5. Offentlig interesse eller offentlig myndighed.
  6. Legitim interesse. Gælder, hvis en dataansvarlig har en legitim interesse, der ikke overstiges af den registreredes interesser og grundlæggende rettigheder.    

En væsentlig ændring i GDPR i forhold til tidligere databeskyttelsesregler er de strengere krav til indhentning af gyldigt samtykke.

Den registreredes rettigheder

Eksisterende databeskyttelsesrettigheder for enkeltpersoner udvides yderligere af GDPR. Organisationer skal være parate til at behandle anmodninger fra registrerede hurtigt (inden for en måned) og gratis:

  1. Indsigtsret – Enkeltpersoner har ret til at få indsigt i, hvilke personoplysninger der behandles, og hvordan de behandles, for at sikre fuld gennemsigtighed.
  2. Ret til berigtigelse – Enkeltpersoner har ret til at få deres personoplysninger rettet eller fuldstændiggjort
  3. Ret til sletning – Enkeltpersoner har ret til at få slettet deres personoplysninger af legitime årsager (tilbagetrukket samtykke, ikke længere nødvendigt til formålet osv.).
  4. Ret til begrænsning – Enkeltpersoner kan anmode den dataansvarlige om at stoppe med behandlingen af deres personoplysninger, hvis de ikke længere ønsker det eller ikke kan anmode om fuldstændig sletning.
  5. Ret til indsigelse – Enkeltpersoner har til enhver tid ret til at gøre indsigelse mod behandlingen af deres personoplysninger, eksempelvis i forbindelse med direkte markedsføring.
  6. Ret til dataportabilitet – Enkeltpersoner har ret til at anmode om, at personoplysninger, der behandles af en dataansvarlig, stilles til rådighed for dem, eller at de overføres til en anden dataansvarlig.

Sådan forbereder du dig på GDPR

Disclaimer
Vi kan ikke tilbyde juridisk rådgivning. Dette afsnit er udelukkende ment som information. Kontakt venligst din juridiske rådgiver for at få præcise oplysninger om, hvordan GDPR påvirker din virksomhed.

Her er de vigtigste tiltag, som vi anbefaler som implementeringsplan for overholdelse af GDPR:

  1. Udarbejd en datamapning af din virksomheds databehandlingsaktiviteter for at få et klart overblik over situationen. Databeskyttelsesmyndighederne tilbyder ofte regnearksskabeloner for at hjælpe med denne opgave. For hver proces skal du dokumentere typen af personoplysninger, og hvordan de blev indsamlet; formålet, retsgrundlaget og sletningspolitikken for behandlingen, de tekniske og organisatoriske sikkerhedsforanstaltninger og de involverede underleverandører (databehandlere).

    Det er nødvendigt at vedligeholde denne datamapning regelmæssigt, og opdatere den i takt med, at processen udvikler sig.
  2. Vælg på baggrund af skridt 1 en udbedringsstrategi for alle behandlingsaktiviteter, hvor der ikke er et retsgrundlag (f.eks. manglende samtykke) eller hvor der ikke er indført passende sikkerhedsforanstaltninger. Tilpas dine processer, interne procedurer, regler for adgangskontrol, sikkerhedskopier, overvågning osv.
  3. Opdatér og offentliggør en klar privatlivspolitik på din hjemmeside. Redegør for, hvilke personoplysninger du behandler, hvordan du gør det, og hvilke rettigheder de registrerede har i henhold til deres data.
  4. Gennemgå dine kontrakter med en juridisk rådgiver, og tilpas dem til GDPR.
  5. Fastlæg, hvordan du vil håndtere anmodninger fra registrerede.
  6. Forbered din procedure for håndtering af hændelser i tilfælde af databrud.

Afhængig af din situation kan andre tiltag føjes til listen, for eksempel udnævnelse af en databeskyttelsesansvarlig. Rådfør dig med dine interne databehandlingseksperter og juridiske rådgiver for at fastlægge de nødvendige yderligere foranstaltninger

Husk!
En tydelig kortlægning af dine processer vil gøre det lettere for dig at opnå overholdelse af forordningen!

Hvordan Odoo overholder GDPR

Det er ikke en ny idé hos Odoo at implementere bedste praksis for beskyttelse af personoplysninger og sikkerhed. Som en cloud-hosting-virksomhed reviderer og forbedrer vi løbende vores systemer, værktøjer og processer for at opretholde en sikker og stabil platform.

Vores roller i GDPR

Vores ansvar i henhold til beskyttelsen af personoplysninger afhænger af de forskellige databehandlingsaktiviteter, vi udfører:

Vores roller Databehandling Datatype
Dataansvarlig & -behandler På Odoo.com Personlige data, der leveres til os af vores direkte kunder og potentielle kunder, vores partnere og alle direkte brugere af Odoo.com (navne, e-mailadresser, adresser, adgangskoder osv.).
Databehandler På Odoo Cloud
(Odoo Online, Odoo.sh og andre Odoo Enterprise-tjenester) 		Alle personoplysninger, der er gemt i vores kunders databaser, som er hostet i Odoo Cloud, eller som overføres til os med henblik på at bruge en af vores tjenester. Ejeren af databasen er den dataansvarlige.
Ingen rolle On-Premise Al data, som befinder sig i Odoos databaser hostet on-premise eller i en hosting, som ikke foretages af os.

Vores GDPR-dokumenter

Som dataansvarlig er vores aktiviteter beskrevet i vores privatlivspolitik, som er blevet opdateret i hendhold til GDPR. Denne politik forklarer så tydeligt som muligt for, hvilke data vi behandler, hvorfor vi behandler dem, og hvordan vi gør det. Dette er tæt beslægtet med vores sikkerhedspolitik , der definerer de bedste sikkerhedspraksisser, som vi hos Odoo har implementeret på alle niveauer (teknisk og organisatorisk) for at garantere, at dine data behandles sikkert og pålideligt.

Ud over disse retningslinjer er vores aktiviteter som databehandler underlagt samtykke i henhold til vores Odoo Enterprise-abonnementaftale. Denne aftale er blevet opdateret for at tilføje de nødvendige databeskyttelsesklausuler (ofte omtalt som "databehandlingsaftalen"), som påkrævet af GDPR.
Som kunde hos Odoo S.A. behøver du ikke foretage dig noget for at acceptere disse ændringer, da du allerede drager fordel af de nye garantier, og vi antager, at du er enig, hvis vi ikke hører fra dig!

Ud over disse dokumenter har vi også opdateret vores hjemmeside og tilføjet noter om databeskyttelse på alle de relevante steder, så vores brugere altid er opdaterede.

Sådan hjælper Odoo dig med at implementere bedste praksis i GDPR

At bruge Odoo til at lede din virksomhed er ikke tilstrækkelig til at overholde GDPR, fordi forordningen gælder for hele din virksomhed. Da Odoo centraliserer dine data, reducerer dataredundans og implementerer præcise adgangsrettigheder samt sikkerhedskontroller, kan det være en stor hjælp i at understøtte overholdelsen af GDPR.

Her er nogle eksempler på, hvordan vi tror, at Odoo kan hjælpe dig med at overhold GDPR, både Odoo-databaser der hostes lokalt eller i skyen.

Disclaimer: Du bør som altid rådføre dig med din juridiske rådgiver for at afgøre, hvordan du opfylder GDPR og anmodninger fra registrerede. Husk altid, at du måske også behandler personoplysninger uden for Odoo.

Ret til indsigt (artikel 15) og ret til portabilitet (artikel 20)

  • Odoo udstyrer den registrerede med værktøjer til at få adgang til og opdatere deres personlige data i selvbetjeningstilstand:
    • Kundeportalen giver brugerne mulighed for at gennemse kontraktuelle dokumenter: adresse og kontaktpersoner, fakturaer, tilbud, ordrer, opgaver, supportbilletter i kundeservice, køb, abonnementer, leveringsordrer, betalinger og kommunikation om disse dokumenter.
    • Via siden for mailinglister kan brugere holde styr på og administrere deres abonnementer (f.eks. på odoo.com: https://www.odoo.com/groups)
    • forumprofilen får dine brugere et komplet overblik over aller deres aktiviteter.
  • Hvis du har brug for at eksportere eller kommunikere private data, der ikke er tilgængelige via portalen, skal du gøre dette manuelt.
    Du kan som regel få adgang til alle relevante dokumenter direkte via den øverste menulinje i brugerens kontaktformular, som de er linket til. Du kan derefter eksportere alle oplysninger ved hjælp af funktionen "Udskriv som PDF" i din browser eller ved hjælp af menuen Handling>Eksportér fra kontaktlisten eller listen over deres dokumenter.
    Begge muligheder indeholder GDPR-kompatible elektroniske formater.
  • Det er derudover muligt, at du kan se oplysninger, som ikke er knyttet til kontaktformularen, da den registrerede har indtastet disse i en anden sammenhæng. Du bør også gennemse disse ved at søge på navn eller e-mailadresse. For eksempel:
    • Eventtilmeldinger
    • Leads & salgsmuligheder i dit CRM

Husk: Udover at du kan eksportere dokumenter som PDF-filer via din browser, har Odoo også et værktøj til at eksportere poster eller lister over poster som CSV- eller Excel-fil samt de dertil knyttede dokumenter. For at udføre denne handling gå til listevisningen på et hvilket som helst skærmbillede, vælg post(er) og klik på Handling > Eksportér, og vælg dernæst "Eksportér alle data". Værktøjet giver dig derefter mulighed for at vælge de felter, du vil eksportere.

Ret til sletning/"retten til at blive glemt" (artikel 17)

I særlige tilfælde giver GDPR den registrerede ret til at anmode om, at deres personoplysninger slettes. For eksempel, hvis:

  • Oplysningerne ikke længere er nødvendige til at opfylde det formål, hvortil de blev indsamlet;
  • Den registrerede trækker sit samtykke til behandling tilbage, hvis tilladelse til behandling var baseret udelukkende på samtykke;
  • Behandlingen af personoplysningerne er ulovlig.

Hvis du vurderer, at anmodningen er legitim, og du har bekræftet den registreredes identitet, kan du prøve at slette den pågældende kontaktoplysning i Odoo. Du kan være sikker på, at systemet vil blokere handlingen, hvis et virksomhedsdokument stadig refererer til disse kontaktoplysninger (faktura, kontakt, leveringsordre, forumindlæg osv.). I et sådant tilfælde skal du afgøre, om du har andre forpligtelser til at opbevare disse dokumenter, og om du på baggrund af dette skal afvise anmodningen om sletning.

Hvis du ikke har et juridisk grundlag til at opbevare personoplysningerne, men ikke kan eller vil slette et dokument eller en kontakt, bør du i stedet anonymisere dem. Du kan omdøbe kontakten og ændre dens genkendelige data (e-mailadresse osv.), eller du kan knytte dokumenter til en generisk anonym kontakt. Når kontakten eller dokumenterne er blevet behørigt anonymiseret, er disse data ikke længere personoplysninger.

Ret til begrænsning af behandling (artikel 18) og betingelser for samtykke (artikel 7)

Brugere beder ofte om at blive afmeldt fra kommercielle e-mails. Hvis dine e-mails sendes via Odoo, kan brugerene selv afmelde sig via afmeldingslinket i sidefoden. Du kan dog også manuelt markere afkrydsningsfeltet "Afmeld" for en kontakt, et lead eller en salgsmulighed. Poster, der er markeret som "Afmeld", udelukkes automatisk fra masseudsendelser, men kan stadig modtage direkte beskeder fra brugerne (f.eks. tilbud eller fakturaer).

Ret til berigtigelse (artikel 16) og datarigtighed (artikel 5, stk. 1 litra d

Ugyldige/ændrede e-mailadresser er en almindelig kilde til datafejl. Hvis e-mailintegrationen er korrekt konfigureret (standardindstilling i Odoo Cloud), vil Odoo behandle afviste e-mails i dine masseforsendelser og tilføje et afvisningsfelt (Bounce) med antallet af ikke-leverede beskeder. Du kan regelmæssigt tjekke dine kontakter eller prospekter med en brugerdefineret søgning efter "afviste (Bounce) større end 0" og fjerne/slette dem.

De personer, der følger kanaler i Odoo Dialog, afmeldes automatisk efter 10 afvisninger (bounces).

Med hensyn til berigtigelse kan brugere og kunder rette deres egne personoplysninger (navn, e-mail, adresse) via deres Odoo-portal.

Betingelser for samtykke (artikel 7)

Når du indsamler personoplysninger via Odoos standardmekanismer (dvs. kontaktformularer, tilmelding til mailinglister, eventtilmelding), skal du etablere et formål og retsgrundlag for behandlingen. Dette afhænger særdeles af, hvordan du bruger disse data.

Hvis formålet er specifikt og klart (såsom opbevaring af registrerede deltagere til et arrangement for at holde dem informeret om arrangementets varighed; tilmelding til den mailingliste, de har valgt), behøver du ikke bede om deres udtrykkelige samtykke (personoplysningerne er nødvendige for en kontrakt – artikel 6, stk. 1 litra b). Du skal dog stadig gøre formålet med databehandlingen klart for brugeren og henvise til din privatlivspolitik, hvor du giver yderligere oplysninger. Du kan bruge Odoos hjemmesideværktøj til at redigere formularerne og tilføje de nødvendige oplysninger.

Men hvis du har til hensigt at bruge de indsamlede data til andre formål, skal du indhente brugerens udtrykkelige samtykke til hvert formål. Det er bedst at udstyre din formular med afkrydsningsfelter for at indhente samtykke til hvert enkelt formål (f.eks. "Send mig venligst rabatter og særtilbud på lignende produkter via e-mail"). Med Odoo kan du gøre dette på følgende måde:

  1. Brug Odoo Studio til at indsætte et afkrydsningsfelt (boolesk) i dokumentet til indsamling af personoplysninger (f.eks. leads/salgsmuligheder), der repræsenterer samtykke til dette formål.
  2. Brug Odoos hjemmesideværktøj til at føje et afkrydsningsfeltet til din hjemmesideformular.
  3. Brug dette felt til at behandle data til dette formål, for eksempel i segmenteringsfilteret i dine marketingkampagner.

Databeskyttelse gennem design (artikel 25)

Sikkerhed gennem design er kernen i Odoos FoU-arbejde, og vi anvender de bedste sikkerhedspraksisser for at gøre vores software sikkert, robust og modstandsdygtigt for alle.

Adgangskontrol – Odoos standardgruppebaserede adgangskontrolmekanisme giver dig mulighed for at begrænse adgang til personoplysninger i henhold til hver brugers rolle og behov (en projektleder har eksempelvis måske ikke brug for adgang til jobansøgninger). Hvis du gennemgår tildelingen af brugergrupper og opretholder dem korrekt, når rollerne ændres i din virksomhed, har du et solidt fundament for databeskyttelse. Du kan nemt tilføje eller ændre brugergrupper, så de passer til din virksomhed.

Regler for registrering af data – Du kan anvende konceptet med dataregistreringsregler til at finjustere adgangen til personoplysninger. Dette giver dig mulighed for at begrænse adgangen til dokumenter baseret på kriterier knyttet til feltværdier. Dataregistreringsregler kan blokere læsning og/eller skrivning, og de fungerer på basis af et enkelt dokument. Du kan finde yderligere oplysninger i vores dokumentation.

Adgangskoder – Odoo gemmer brugernes adgangskoder med en sikker, industristandardiseret hash. Det er også muligt at bruge eksterne godkendelsessystemer såsom OAuth 2.0 eller LDAP for helt at undgå at gemme brugernes adgangskoder.

Medarbejderoplysninger – Et sted, hvor Odoo-databaser kan indeholde følsomme personoplysninger, er i fanen Private oplysninger i medarbejderformularen og deres kontrakter. Denne del af medarbejderkartoteket er udelukkende synlig for de medarbejdere i HR-afdelingen (gruppen "HR-leder"), som har brug for disse data i deres arbejde. Denne beskyttelse gælder medarbejdernes personlige adresser: I Odoo-versionerne 12 til 17 gemmes de som en kontakt af typen "privat", som kun er synlig for HR-afdelingen. Fra Odoo 17.0 og fremover gemmes de direkte i medarbejderregisteret.

Behandlingssikkerhed (artikel 25 & 32)

Hvis du bruger Odoo Online eller Odoo.sh-tjenester, implementerer vi bedste praksis for sikkerhed og privatliv på alle niveauer. Yderligere detaljer kan findes i vores sikkerhedspolitik.
Hvis du bruger Odoo on-premise, er du ansvarlig for at følge bedste praksis for sikkerhed. Du kan starte med de bedste sikkerhedspraksisser i vores sikkerhedsanbefalinger i vores implementeringsdokumentation.