खास जानकारी

निजता से जुड़े नए कानून और Odoo के साथ काम करने के सबसे सही तरीके

25 मई, 2018 से जनरल डेटा प्रोटेक्शन रेगुलेशन (जीडीपीआर) इससे सभी के लिए डेटा सुरक्षा और निजता के एक नए युग की शुरुआत हुई है. हालांकि, आपने जीडीपीआर के बारे में बहुत कुछ सुना और पढ़ा होगा, लेकिन यह समझना मुश्किल हो सकता है कि आपके व्यवसाय के लिए आखिर इसका क्या मतलब है और नए नियमों का पालन करने के लिए आपको क्या करना चाहिए.

Odoo में, हम सुरक्षा और निजता के मामले में सबसे सही तरीकों का पालन करने के लिए प्रतिबद्ध हैं. हम सभी उपयोगकर्ताओं और ग्राहकों को, उनके जगह या नागरिकता के आधार पर भेदभाव किए बिना एक जैसी ही सुरक्षा देने की कोशिश करते हैं. साथ ही, हम इन सबसे सही तरीकों को पूरे डेटा के लिए लागू करते हैं, न कि केवल निजी डेटा के लिए.

इसलिए, यह कहा जा सकता है कि Odoo SA और इसकी सभी सहायक कंपनियां, जीडीपीआर के अनुपालन में हैं.

जीडीपीआर के बारे में ज़रूरी जानकारी

सुझाव
अगर आप चाहें, तो जीडीपीआर को समझने का सबसे अच्छा तरीका है आधिकारिक लेख पढ़ना.
यह थोड़ा लंबा ज़रूर है (88 पेजों में 99 लेख), लेकिन इसे समझना आसान है.

यह यूरोपियन यूनियन का एक नियम है, जिसका मकसद पुराने प्राइवेसी कानूनों, जैसे कि यूरोपियन यूनियन डेटा प्राइवेसी डायरेक्टिव, जिसकी जगह ये ले रहा है, को एक जैसा और आधुनिक बनाना है. यह लोगों के निजी डेटा को प्रोसेस करने और यूरोप में निजी डेटा के आसानी से आदान-प्रदान के लिए नियम बनाता है.

यह एक विनियमन, निर्देश नहीं, tइसलिए यह यूरोपीय संघ के सभी सदस्य देशों में तुरंत लागू होता है. इसे लागू करने के लिए हर देश के घरेलू कानून में कोई बदलाव करने की ज़रूरत नहीं होती. यूरोपीय संघ के देशों के पास बारीकियों के लिए व्याख्या का बहुत कम मार्जिन होता है, लेकिन मौलिक नियम यूरोपीय संघ में हर जगह, सभी के लिए एक जैसे ही होंगे.

जीडीपीआर में आने वाली सदियों का भी ध्यान रखा जाता है. इसलिए इसमें सोशल मीडिया, क्लाउड कंप्यूटिंग, साइबर अपराध और निजी डेटा की निजता और सुरक्षा से पैदा होने वाली समस्याओं को भी ध्यान में रखा गया है.

कुल मिलाकर, चिंता की कोई बात नहीं है!

जीडीपीआर, दुनिया में उथल-पुथल मचा देने वाला कोई नया कानून नहीं है. यह मूलतः नागरिकों और कारोबारों के लिए एक अच्छी चीज़ है.

यह सही है!

हम इस बात पर ज़ोर देना चाहते हैं कि जीडीपीआर आपके और आपके ग्राहकों के लिए बहुत अच्छा हो सकता है. जीडीपीआर का अनुपालन करना, शुरू में काफ़ी थकान भरा काम लग सकता है, लेकिन नए नियमों के कुछ फ़ायदे भी हैं:

  • आपके ग्राहकों और उपयोगकर्ताओं का भरोसा बढ़ना
  • आसान प्रक्रिया: यूरोपीय संघ के सभी देशों में एक जैसे नियमों का लागू होना
  • आपके संगठन के कामों को एक साथ लाना

जीडीपीआर का उद्देश्य लोगों को उनके निजी डेटा पर ज़्यादा निगरानी देना है. अगर आपकी कंपनी सही रणनीति और सिस्टम लागू करती है, तो इसे मैनेज करना आसान होगा, आने वाले सालों के लिए यह ज़्यादा सुरक्षित होगा.

अनुपालन न करने के क्या जोखिम हैं?

अनुपालन न करने के लिए ज़्यादा से ज़्यादा पेनल्टी 20 मिलियन यूरो या आपके वैश्विक सालाना टर्नओवर का 4%, जो भी ज़्यादा हो. छोटे उल्लंघन करने के लिए 10 मिलियन यूरो या आपके वैश्विक सालाना टर्नओवर का 2%, जो भी ज़्यादा हो, की रकम जुर्माने के तौर पर ली जाएगी.

ज़रूरी नहीं है कि सभी कारोबारों को अधिकतम जुर्माना ही चुकाना पड़े. जीडीपीआर के मुताबिक, छोटे कारोबारों के लिए अधिकतम जुर्माने की राशि कम हो सकती है.

काम को सुपरवाइज़ करने वाली अथॉरिटी (जिन्हें डेटा प्रोटेक्शन अथॉरिटी: डीपीए के नाम से भी जाना जाता है) द्वारा हर मामले के स्थिति को ध्यान में रखा जाना चाहिए. इसमें मामला किस तरह का है, किस स्तर का है, और उल्लंघन की अवधि शामिल होनी चाहिए. इन डीपीए के पास जांच करने और सही कार्रवाई करने के अधिकार भी होते हैं. डीपीए बिना कोई जुर्माना लगाए उल्लंघन करने वाली गतिविधियों को सीमित कर सकता है.

अगर आप इनका अनुपालन नहीं करते हैं, तो एक जोखिम यह भी है कि हो सकता है आपके ग्राहक और संभावित ग्राहक आप पर भरोसा न कर पाएं. ऐसे लोगों को यह चिंता रहती है कि आप उनके डेटा को किस तरह प्रोसेस करते हैं.

अंत में, कई डीपीए ने यह संकेत दिया है कि वे 2018 में कोई जुर्माना नहीं लगाएंगे. हालांकि, वे चाहते हैं कि सभी कारोबार यह दिखाएं कि वे नियमों का पालन करने के लिए काम कर रहे हैं.

जीडीपीआर की ज़रूरी बातें

स्कोप

ये नियम किसी भी संगठन द्वारा निजी डेटा की हर प्रोसेसिंग पर यहां दिए गए मामलों में लागू होते हैं:

  1. अगर कंट्रोल करने वाला या प्रोसेस करने वाला संगठन यूरोपीय संघ (ईयू) में स्थित है
  2. अगर संगठन यूरोपीय संघ (ईयू) में स्थित नहीं है, लेकिन प्रोसेसिंग में ऐसे लोगों का डेटा शामिल है जो यूरोपीय संघ (ईयू) में रहते हैं और यह कमर्शियल ऑफ़र या व्यवहार की निगरानी से संबंधित है.

इसलिए, दायरे में ऐसी कंपनियां आती हैं जो ईयू में स्थित नहीं हैं. पुराने नियमों के हिसाब से ऐसा नहीं था.

भूमिकाएं

नियमों के हिसाब से मुख्य प्रकार की दो इकाइयां हैं:

  • डेटा कंट्रोलर: ऐसी कोई भी इकाई जो निजी डेटा की प्रोसेसिंग के उद्देश्य और माध्यम तय करती है. डेटा की प्रोसेसिंग अकेले या एक साथ की जा सकती है. आम तौर पर, हर संगठन अपने डेटा को खुद कंट्रोल करता है.
  • डेटा प्रोसेसर: ऐसी कोई भी इकाई जो डेटा कंट्रोलर की तरफ़ से डेटा को प्रोसेस करती है.

उदाहरण के लिए, अगर आपकी कंपनी के पास Odoo क्लाउड पर होस्ट किए गए किसी डेटाबेस का मालिकाना हक है, तो इसका मतलब है कि आप उस डेटाबेस के कंट्रोलर हैं और Odoo SA केवल एक डेटा प्रोसेसर है. अगर आप Odoo का इस्तेमाल करते हैं, तो आप डेटा के कंट्रोलर और प्रोसेसर, दोनों होंगे.

निजी डेटा

जीडीपीआर के मुताबिक निजी डेटा का मतलब है: किसी भी ऐसे व्यक्ति से संबंधित कोई भी जानकारी जिसे पहचाना जा सकता है या जिसकी पहचान हो रखी है. पहचाना जा सकने वाला व्यक्ति वह होता है जिसे सीधे या किसी और तरीके से पहचाना जा सके. ऐसे व्यक्तियों की पहचान उनके नाम, ईमेल पते, फ़ोन नंबर, बायोमेट्रिक जानकारी, जगह के डेटा, वित्तीय डेटा वगैरह से की जाती है. इनमें ऑनलाइन आइडेंटिफ़ायर (आईपी पते, डिवाइस के आईडी…) भी शामिल होते हैं.

यह कारोबार के मामले में भी लागू होता है: info@odoo.com को निजी नहीं माना जाता, लेकिन john.smith@odoo.com को निजी माना जाता है. ऐसा इसलिए, क्योंकि इसे कंपनी के अंदर किसी व्यक्ति की पहचान करने के लिए इस्तेमाल किया जा सकता है.

जीडीपीआर के मुताबिक संवेदनशील डेटा के लिए बेहतर सुरक्षा की ज़रूरत होती है. ऐसे डेटा में निजी डेटा की कुछ खास कैटगरी शामिल होती हैं, जैसे कि स्वास्थ्य, आनुवंशिक, जाति संबंधी या धर्म से जुड़ी जानकारी.

डेटा प्रोसेसिंग से जुड़े सिद्धांत

नियमों का अनुपालन करने के लिए, प्रोसेसिंग की गतिविधियों द्वारा इन नियमों का पालन किया जाना चाहिए:
(जैसा कि जीडीपीआर के आर्टिकल 5 में बताया गया है)

  1. वैधता, निष्पक्षता, और पारदर्शिता: डेटा इकट्ठा करने के लिए आपके पास कानूनी आधार, एक साफ़ उद्देश्य होना चाहिए, और आपको इसके बारे में उस व्यक्ति को बताना होगा जिसका डेटा इकट्ठा किया जा रहा है.

    • एक आसान और साफ़ निजता नीति रखें, और जहां से भी डेटा इकट्ठा किया जा रहा हो, वहां इसका संदर्भ लें
    • अपनी हर डेटा प्रोसेसिंग गतिविधि के लिए कानूनी आधार की पुष्टि करें

  2. किसी उद्देश्य की सीमा: एक बार किसी उद्देश्य के लिए डेटा इकट्ठा करने के बाद, अगर आप उस डेटा का इस्तेमाल किसी और उद्देश्य से करना चाहते हैं, तो इसकी अनुमति मांगें.

    उदाहरण के लिए - अगर आप ग्राहक का डेटा बेचने उद्देश्य से इकट्ठा नहीं किया है, तो आप उसे बेचने का फ़ैसला नहीं ले सकते.

  3. कम से कम डेटा इकट्ठा करना: आपको केवल वही डेटा इकट्ठा करना चाहिए जो आपके उद्देश्य के लिए ज़रूरी है

  4. सटीकता: यह पक्का करने के लिए सही कदम उठाए जाने चाहिए कि डेटा को उद्देश्य के हिसाब से अपडेट किया गया है

    उदाहरण के लिए - बाउंस हुए ईमेल पर ध्यान दें और पतों को सही करें या डिलीट कर दें.

  5. स्टोरेज से जुड़ी सीमा: निजी डेटा को केवल उसके प्राथमिक उद्देश्य को पूरा करने के लिए ज़रूरी अवधि तक ही सेव रखा जाना चाहिए.

    आपके द्वारा प्रोसेस किए गए निजी डेटा को मिटाने या उसकी समीक्षा करने के लिए, उनके उद्देश्य के हिसाब से समय सीमा तय करें।

  6. अखंडता और गोपनीयता: डेटा प्रोसेसर द्वारा, प्रोसेस किए जा रहे डेटा टाइप और सीमा के हिसाब से सही ऐक्सेस कंट्रोल, सुरक्षा और डेटा के नुकसान की रोकथाम के लिए उपाय लागू किए जाने चाहिए.

    उदाहरण के लिए - पक्का करें कि आपका बैकअप सिस्टम काम कर रहा है, सही सुरक्षा कंट्रोल मौजूद हैं, पासवर्ड जैसे संवेदनशील डेटा की सुरक्षा के लिए एन्क्रिप्शन का इस्तेमाल करें, ...

  7. जवाबदेही: डेटा कंट्रोलर, नियमों के अनुपालन के लिए लिए जिम्मेदार हैं, और उन्हें ऊपर दिए गए सभी प्रोसेसिंग सिद्धांतों के हिसाब से काम करना चाहिए.

    • अपने संगठन के लिए डेटा मैपिंग रेफ़रेंस स्थापित करें और उसे मेंटेन करें, जिसमें आपकी प्रोसेसिंग गतिविधियों के अनुपालन की व्याख्या दी गई हो
    • अपने ग्राहकों को एक स्पष्ट निजता नीति के ज़रिए पूरी जानकारी दें
कानूनी आधार

जीडीपीआर के पहले सिद्धांत के तहत वैध होने के लिए, निजी डेटा की प्रोसेसिंग, छह संभावित कानूनी आधारों में से एक पर आधारित होनी चाहिए, जैसा कि आर्टिकल 6(1) में बताया गया है:

  1. सहमति. यह तब मान्य होता है जब उस व्यक्ति ने सही तरीके से बताए जाने के बाद स्पष्ट रूप से और स्वतंत्र रूप से सहमति दी हो, जिसका डेटा इकट्ठा किया जा रहा है. यह सहमति साफ़ तौर पर बताए गए और खास उद्देश्य के लिए दी जाती है. इन सभी के लिए सबूत इकट्ठा करने की ज़िम्मेदारी कंट्रोलर की होती है.
  2. किसी कॉन्ट्रैक्ट की परफ़ॉर्मेंस के लिए, या कॉन्ट्रैक्ट की तैयारी में डेटा के मालिक से मिले अनुरोधों को पूरा करने के लिए ज़रूरी.
  3. कंट्रोलर पर लगाए गए कानूनी दायित्व का अनुपालन.
  4. ज़रूरी हित की रक्षा करना. जब किसी का जीवन बचाने के लिए प्रोसेसिंग ज़रूरी हो.
  5. जनता का हित या आधिकारिक अथॉरिटी.
  6. वैध हित. यह तब लागू होता है जब कंट्रोलर का ऐसा वैध हित होता है जिसपर व्यक्ति के हितों और मौलिक अधिकारों का कोई असर नहीं पड़ता.

पिछले डेटा निजता नियम की तुलना में जीडीपीआर द्वारा लाया गया एक बड़ा बदलाव, वैध सहमति पाने के लिए ज़्यादा कड़ी ज़रूरतें हैं.

उस व्यक्ति के अधिकार जिसका डेटा इकट्ठा किया जा रहा है

व्यक्तियों के लिए मौजूदा डेटा निजता अधिकारों को जीडीपीआर ने और ज़्यादा बढ़ाया है. संगठनों को व्यक्तियों के अनुरोधों का समय पर (1 महीने के अंदर) जवाब देने के लिए तैयार रहना चाहिए. ऐसा बिना किसी शुल्क के किया जाना चाहिए:

  1. ऐक्सेस का अधिकार - व्यक्तियों को यह जानने का अधिकार है कि उनके किस निजी डेटा का को प्रोसेस किया जा रहा है और इसकी प्रोसेसिंग कैसे की जा रही है, वह भी पूरी पारदर्शिता के साथ;
  2. सुधार का अधिकार - व्यक्तियों को अपने निजी डेटा में सुधार या पूर्णता पाने का अधिकार है;
  3. डेटा मिटाने का अधिकार - व्यक्तियों को वैध वजहों से अपने निजी डेटा को मिटाने का अधिकार है. वजहों में सहमति वापस लेना, उद्देश्य के लिए अब ज़रूरी नहीं है वगैरह शामिल हैं;
  4. प्रतिबंध का अधिकार - व्यक्तियों के पास यह अनुरोध करने का अधिकार है कि कंट्रोलर उनके निजी डेटा की प्रोसेसिंग बंद कर दे. वे ऐसा तब कर सकते हैं जब वे डेटा को पूरी तरह नहीं मिटाना चाहते या इसका अनुरोध नहीं कर सकते;
  5. आपत्ति जताने का अधिकार - व्यक्तियों को किसी भी समय अपने निजी डेटा की किसी खास प्रोसेसिंग पर आपत्ति जताने का अधिकार है, उदाहरण के लिए सीधे मार्केटिंग के उद्देश्यों से;
  6. डेटा पोर्टेबिलिटी - व्यक्तियों को यह अनुरोध करने का अधिकार है कि कंट्रोलर द्वारा रखा गया निजी डेटा उन्हें या किसी दूसरे कंट्रोलर को दिया जाए.

आपको जीडीपीआर के लिए किस तरह तैयारी करनी चाहिए

खंडन
हम कानूनी सलाह नहीं दे सकते, यह सेक्शन केवल जानकारी देने के लिए है. जीडीपीआर से आपकी कंपनी पर क्या असर पड़ता है, यह जानने के लिए कृपया अपने कानूनी सलाहकार से संपर्क करें.

जीडीपीआर अनुपालन रोडमैप के लिए हम इन चरणों का सुझाव देते हैं:

  1. अपने संगठन की ज़रूरतें साफ़ तौर पर जानने के लिए, संगठन की डेटा प्रोसेसिंग गतिविधियों की डेटा मैपिंग स्थापित करें. इस काम में मदद करने के लिए, डेटा प्रोटेक्शन अथॉरिटी अक्सर स्प्रेडशीट टेम्पलेट उपलब्ध कराती हैं. हर प्रोसेस के लिए, निजी डेटा के टाइप और इसे कैसे इकट्ठा किया गया था, इसकी जानकारी नोट करें; डेटा इकट्ठा करने का उद्देश्य, कानूनी आधार और इसे मिटाने से जुड़ी नीति ; लागू किए गए तकनीकी और संगठनात्मक सुरक्षा उपाय और इसमें शामिल सबकॉन्ट्रैक्टर (प्रोसेसर).

    जैसे-जैसे आपके प्रोसेस आगे बढ़ेंगे, आपको इस डेटा मैपिंग को नियमित रूप से मेंटेन करना होगा.
  2. पहले चरण के आधार पर, किसी भी प्रोसेसिंग में सुधार करने के लिए एक रणनीति चुनें, जहां आपके पास कोई कानूनी आधार न हो (उदाहरण के लिए, सहमति न होना) या जहां आपके पास सही सुरक्षा उपाय न हो. अपने प्रोसेस, अपनी आंतरिक प्रक्रियाओं, अपने ऐक्सेस कंट्रोल नियमों, बैकअप, निगरानी वगैरह को अनुकूलित करें.
  3. अपनी निजता नीति को अपडेट करें और इसे साफ़ तौर पर अपनी वेबसाइट पर पब्लिश करें. बताएं कि आप किस निजी डेटा को प्रोसेस करते हैं, आप यह काम कैसे करते हैं, और व्यक्तियों के पास डेटा से जुड़े कौनसे अधिकार हैं.
  4. किसी कानूनी सलाहकार से अपने कॉन्ट्रैक्ट की समीक्षा करवाएं और उनमें जीडीपीआर के हिसाब से बदलाव करें.
  5. यह तय करें कि आप व्यक्तियों के डेटा अनुरोधों का जवाब कैसे देंगे.
  6. यह तैयारी करें कि डेटा उल्लंघन के मामले में आपको किस तरह प्रक्रिया देनी है.

आपकी स्थिति के आधार पर, इस सूची में और बातें भी जोड़ी जा सकती हैं, जैसे कि डेटा प्रोटेक्शन ऑफ़िसर को अपॉइंट करना. काम से जुड़ा कोई दूसरा उपाय तय करने के लिए अपने इंटरनल प्रोसेसिंग एक्सपर्ट और कानूनी सलाहकारों से बात करें.

ध्यान दें!
अपने प्रोसेस की एक स्पष्ट मैपिंग स्थापित करने से अनुपालन में आसानी होगी!

Odoo, किस तरह जीडीपीआर के साथ अनुपालन में है

Odoo में, निजता और सुरक्षा के सबसे अच्छे तरीके लागू करना नया नहीं है. एक क्लाउड होस्टिंग कंपनी के रूप में, हम एक बेहतरीन और सुरक्षित प्लेटफ़ॉर्म बनाए रखने के लिए अपने सिस्टम, टूल, और प्रोसेस में लगातार सुधार कर रहे हैं और इन्हें बेहतर बना रहे हैं.

हमारे जीडीपीआर नियम

निजी डेटा की सुरक्षा के मामले में हमारी ज़िम्मेदारियां, हमारी अलग-अलग डेटा प्रोसेसिंग गतिविधियों पर निर्भर करती हैं:

हमारी भूमिकाएं डेटा प्रोसेसिंग डेटा टाइप
डेटा कंट्रोलर और प्रोसेसर Odoo.com पर हमारे डायरेक्ट कस्टमर और प्रॉस्पेक्ट, हमारे पार्टनर और Odoo.com के सभी डायरेक्ट यूज़र द्वारा दिया गया निजी डेटा (नाम, ईमेल, पते, पासवर्ड ...)
डेटा प्रोसेसर Odoo Cloud पर
(Odoo ऑनलाइन, Odoo.sh, और अन्य Odoo एंटरप्राइज़ सेवाएं) 		हमारे ग्राहकों के डेटाबेस में स्टोर किया गया कोई भी निजी डेटा, Odoo क्लाउड में होस्ट किया गया या हमारी किसी सेवा का इस्तेमाल करने के उद्देश्य से हमें ट्रांसफ़र किया गया. डेटाबेस का मालिक, डेटा कंट्रोलर है.
कोई भूमिका नहीं ऑन-प्रिमाइस Odoo डेटाबेस में कोई भी डेटा जो प्रिमाइसिस पर होस्ट किया गया हो या हमारे द्वारा ऑपरेट न की जाने वाली किसी भी होस्टिंग में हो.

हमारे जीडीपीआर दस्तावेज़

एक डेटा कंट्रोलर के रूप में, हमारी सभी गतिविधियां इस नीति के तहत कवर की गई हैं: निजता नीति. इस नीति को जीडीपीआर के लिए अपडेट किया गया है. इस नीति में साफ़ तौर पर बताया गया है कि हम कौनसा डेटा प्रोसेस करते हैं, हम इसे क्यों प्रोसेस करते हैं, और हम इसे कैसे प्रोसेस करते हैं. इस नीती से संबंधित हमारी एक और नीति है: सुरक्षा नीति . इस नीति में बताया गया है कि हम Odoo में सभी लेवल (तकनीकी और संगठन से जुड़े) पर सुरक्षा से जुड़े कौनसे सबसे सही तरीके लागू करते हैं. ये तरीके आपको इस बात की गारंटी देने के लिए लागू किए जाते हैं कि आपका डेटा सुरक्षित तरीके से प्रोसेस किया जा रहा है.

इन नीतियों के अलावा, एक डेटा प्रोसेसर के रूप में, हमारी गतिविधियां इस समझौते को स्वीकार करने के अधीन भी हैं: Odoo एंटरप्राइज़ सदस्यता समझौते. जीडीपीआर की ज़रूरत के हिसाब से, इस समझौते को डेटा सुरक्षा से जुड़े ज़रूरी क्लॉज़ (जिन्हें अक्सर "डेटा प्रोसेसिंग समझौता" कहा जाता है) जोड़ने के लिए अपडेट किया गया है.
Odoo S.A. के ग्राहक के रूप में आपको इन बदलावों को स्वीकार करने के लिए कुछ भी करने की ज़रूरत नहीं है, आपको पहले से ही नई गारंटियों के फ़ायदे मिल रहे हैं, और अगर आप कोई जवाब नहीं देते हैं, तो हम मान लेंगे कि आप इन बदलावों से सहमत हैं!

इन दस्तावेज़ों के अलावा, हमने अपने उपयोगकर्ताओं को हर समय जानकारी उपलब्ध कराते रहने के लिए सभी जगहों पर गोपनीयता नोटिश शामिल करके अपनी वेबसाइट को भी अपडेट किया है.

Odoo, जीडीपीआर से जुड़े सबसे सही तरीके लागू करने में आपकी मदद कैसे करता है

अपने कारोबार को मैनेज करने के लिए केवल Odoo का इस्तेमालकरना ही जीडीपीआर के अनुपालन के लिए काफ़ी नहीं है, क्योंकि ये नियम आपके पूरे संगठन पर लागू होते हैं. हालांकि, Odoo आपके डेटा को एक जगह पर रखता है, डेटा को डुप्लिकेट होने से बचाता है, और छोटे से छोटे ऐक्सेस अधिकार और सुरक्षा से जुड़े कंट्रोल लागू करता है. इसलिए, यह जीडीपीआर का अनुपालन करने में काफ़ी मददगार साबित हो सकता है.

यहां कुछ ऐसे तरीके दिए गए हैं जिनके ज़रिए हमें लगता है कि Odoo, आपको जीडीपीआर के मामले में मदद कर सकता है, ऑन-प्रिमाइसेस और क्लाउड पर होस्ट किए गए Odoo डेटाबेस, दोनों के लिए.

खंडन: हमेशा की तरह, यह तय करने के लिए कि आपको जीडीपीआर और किसी व्यक्ति के अनुरोधों का अनुपालन कैसे करना चाहिए, अपने कानूनी सलाहकार से बात करें. यह हमेशा ध्यान रखें कि आप Odoo के बाहर भी निजी डेटा प्रोसेस कर सकते हैं.

ऐक्सेस का अधिकार (आर्टिकल 15) और डेटा पोर्टेबिलिटी का अधिकार (आर्टिकल 20)

  • Odoo व्यक्तियों को सेल्फ़-सर्विस मोड में अपनी निजी जानकारी ऐक्सेस करने और उसे अपडेट करने के लिए कुछ टूल उपलब्ध कराता है:
    • कस्टमर पोर्टल, उपयोगकर्ताओं को कॉन्ट्रैक्ट से जुड़े दस्तावेजों को ब्राउज़ करने की अनुमति देता है: पते और संपर्क, इनवॉइस, कोटेशन, ऑर्डर, टास्क, हेल्पडेस्क टिकट, पर्चेज़, सब्सक्रिप्शन, डिलीवरी ऑर्डर, पेमेंट, और इन दस्तावेज़ों के बारे में अन्य जानकारी.
    • मेलिंग लिस्ट पेज, उपयोगकर्ताओं को अपने सब्सक्रिप्शन की समीक्षा करने और उन्हें मैनेज करने की अनुमति देता है (odoo.com के लिए उदाहरण: https://www.odoo.com/groups)
    • फ़ोरम प्रोफ़ाइल आपके फ़ोरम उपयोगकर्ताओं को एक नज़र में अपनी सभी गतिविधियों की समीक्षा करने की अनुमति देता है
  • अगर आपको अपना पूरा डेटा एक्सपोर्ट करना है, या ऐसा निजी डेटा किसी को भेजना है जिसे पोर्टल के ज़रिए ऐक्सेस नहीं किया जा सकता, तो कुछ मैन्युअल चरणों की ज़रूरत होगी.
    आम तौर पर आप उपयोगकर्ताओं के संपर्क फ़ॉर्म पर सबसे ऊपर मौजूद बार से सीधे काम के सभी दस्तावेज़ों तक पहुंच सकते हैं. इन्हें यहां लिंक करके रखा जाता है. इसके बाद, अपने ब्राउज़र की “Print as PDF” सुविधा की मदद से पूरी जानकारी को एक्सपोर्ट किया जा सकता है. यह काम, संपर्कों की सूची या उनके दस्तावेज़ों की सूची से Action>Export मेन्यू की मदद से भी किया जा सकता है.
    ये दोनों विकल्प जीडीपीआर के हिसाब से इलेक्ट्रॉनिक फ़ॉर्मेट उपलब्ध कराते हैं.
  • इसके अलावा, आपके पास ऐसी जानकारी हो सकती है जो संपर्क फ़ॉर्म से लिंक न हो, व्यक्ति ने अलग संदर्भ में डाला हो. आपको नाम या ईमेल पते के हिसाब से उनकी भी समीक्षा करनी चाहिए, उदाहरण के लिए
    • इवेंट सब्सक्रिप्शन
    • आपके सीआरएम में लीड और अवसर

याद रखें: अपने ब्राउज़र की मदद से पीडीएफ़ के रूप में एक्सपोर्ट करने के अलावा, Odoo में किसी भी रिकॉर्ड, या रिकॉर्ड की लिस्ट को सीएसवी या Excel फ़ाइल में एक्सपोर्ट करने के लिए एक टूल दिया गया है. रिकॉर्ड से जुड़े दस्तावेज़ भी एक्सपोर्ट किए जा सकते हैं. इसका इस्तेमाल करने के लिए, किसी भी स्क्रीन के लिस्ट व्यू पर जाएं, रिकॉर्ड चुनें और Action > Export पर क्लिक करें, फिर "Export All Data" चुनें। इसके बाद, आपको वे फ़ील्ड चुनने का विकल्प मिलेगा जिन्हें एक्सपोर्ट करना है.

भूल जाने का अधिकार (आर्टिकल 17)

जीडीपीआर, व्यक्तियों को खास शर्तों के तहत अपने निजी डेटा को मिटाने का अनुरोध करने का अधिकार देता है, जैसे:

  • उद्देश्य के हिसाब से अब डेटा की ज़रूरत नहीं है;
  • वे उस प्रोसेसिंग के लिए सहमति वापस ले लेते हैं जिसके लिए सहमति ज़रूरी थी;
  • प्रोसेसिंग गैरकानूनी है.

अगर आपको पता चलता है कि अनुरोध सही है, और आपने व्यक्ति की पहचान की पुष्टि कर ली है, तो आप Odoo में इससे जुड़े संपर्क को डिलीट करने की कोशिश कर सकते हैं। यह सुरक्षित है: अगर कोई कारोबारी दस्तावेज़ अब भी संपर्क (इनवॉइस, संपर्क, डिलीवरी ऑर्डर, फ़ोरम पोस्ट वगैरह) से जुड़ा है, तो सिस्टम ऑपरेशन को ब्लॉक कर देगा. ऐसी स्थिति में, आपको यह तय करना होगा कि क्या आपको दूसरी वजहों से इन दस्तावेज़ों को सेव रखने की ज़रूरत है. इसके बाद आपको डेटा मिटाने के अनुरोध को अस्वीकार करना होगा.

अगर आपके पास निजी जानकारी सेव रखने की कोई कानूनी वजह नहीं है, लेकिन आप किसी दस्तावेज़ या संपर्क को हटा नहीं सकते हैं या नहीं हटाना चाहते हैं, तो आप इस डेटा से जुड़े व्यक्ति की पहचान छिपा सकते हैं. आप संपर्क का नाम बदलकर इसके पहचाने जा सकने वाले डेटा (ईमेल, पता वगैरह) को बदल सकते हैं, या आप किसी सामान्य संपर्क को दस्तावेज़ फिर से असाइन कर सकते हैं. सही तरीके से ऐसा होने के बाद, यह डेटा निजी डेटा नहीं रहेगा.

प्रोसेसिंग पर प्रतिबंध (आर्टिकल 18) और सहमति वापस लेना (आर्टिकल 7)

उपयोगकर्ता अक्सर कमर्शियल ईमेल न पाने का अनुरोध करते हैं. यदि आपके मेल Odoo की मदद से भेजे गए थे, तो उपयोगकर्ता फ़ुटर के सदस्यता खत्म करने वाले लिंक का इस्तेमाल करके खुद ऐसा कर सकते हैं. लेकिन आप किसी संपर्क या लीड/अवसर पर "ऑप्ट-आउट" फ़ील्ड को मैन्युअल तरीके से भी टिक कर सकते हैं. "ऑप्ट-आउट" के रूप में मार्क किए गए रिकॉर्ड अपने-आप मास-मेलिंग कैंपेन से बाहर हो जाते हैं, लेकिन फिर भी उनमें उपयोगकर्ताओं से सीधे मैसेज मिल सकते हैं (उदाहरण के लिए कोटेशन, इनवॉइस).

सुधार का अधिकार (आर्टिकल 16) और डेटा की सटीकता (आर्टिकल 5 (1) d)

आम तौर पर अमान्य ईमेल पते या बार-बार इन्हें बदलने की वजह से डेटा में गड़बड़ियां हो सकती हैं. जब ईमेल इंटिग्रेशन को सही तरीके से कॉन्फ़िगर किया जाता है (डिफ़ॉल्ट रूप से Odoo क्लाउड पर), Odoo आपकी मास-मेलिंग में बाउंस हुए ईमेल का ध्यान रखता है और बाउंस किए गए मैसेज को उनकी संख्या के साथ बाउंस फ़ील्ड में भेजता है. आप समय-समय पर "0 से ज़्यादा बाउंस" पर कस्टम सर्च के साथ अपने संपर्कों या प्रॉस्पेक्ट की समीक्षा कर सकते हैं और क्लीनअप कर सकते हैं या हटा सकते हैं.

10 बाउंस के बाद, Odoo डिस्कस चैनल के फॉलोअर अपने-आप अनसब्सक्राइब हो जाते हैं.

सुधार के मामले में, उपयोगकर्ता और ग्राहक Odoo पोर्टल की मदद से अपने निजी डेटा (नाम, ईमेल, पता) में भी सुधार कर सकते हैं.

सहमति (आर्टिकल 7)

जब आप Odoo के डिफ़ॉल्ट मैकेनिज़्म (जैसे संपर्क फ़ॉर्म, मेलिंग-लिस्ट सब्सक्रिप्शन, इवेंट सब्सक्रिप्शन) के ज़रिए निजी डेटा इकट्ठा करते हैं, तो आपको प्रोसेसिंग के लिए एक उद्देश्य और कानूनी आधार देना होगा. यह इस बात पर काफ़ी हद तक निर्भर करता है कि आप डेटा का इस्तेमाल कैसे करेंगे.

अगर डेटा का इस्तेमाल करने का उद्देश्य खास और स्पष्ट है (उदाहरण के लिए, इवेंट में हिस्सा लेने के लिए रजिस्टर हुए लोगों को इवेंट की अवधि के बारे में जानकारी देने के लिए डेटा स्टोर करना; किसी व्यक्ति को उनके द्वारा चुनी गई मेलिंग लिस्ट में सब्सक्राइब करना), तो आपको उनकी स्पष्ट सहमति लेने की ज़रूरत नहीं है (निजी डेटा समझौते के लिए ज़रूरी है - आर्टिकल 6 (1) b). हालांकि, आपको उपयोगकर्ता को अपना उद्देश्य साफ़ तौर पर बताना होगा, और ज़्यादा जानकारी उपलब्ध कराने के लिए अपनी निजता नीति का पेज नंबर भी बताना होगा. आप फ़ॉर्म को एडिट करने और ज़रूरी उल्लेख जोड़ने के लिए Odoo के वेबसाइट बिल्डर का इस्तेमाल कर सकते हैं.

हालांकि, अगर आप इकट्ठा किए गए डेटा का इस्तेमाल दूसरे उद्देश्यों के लिए करते हैं, तो आपको हर उद्देश्य के लिए उपयोगकर्ता से साफ़ तौर पर सहमति लेनी होगी. सुझाया गया तरीका यह है कि हर अलग उद्देश्य के मामले में सहमति लेने के लिए, अपने फ़ॉर्म में चेकबॉक्स जोड़ें (उदाहरण के लिए "कृपया मुझे ईमेल के ज़रिए इसी तरह के प्रॉडक्ट पर छूट और प्रमोशन भेजें"). Odoo की मदद से ऐसा करने के लिए, आप यह कर सकते हैं:

  1. इस उद्देश्य के मामले में सहमति देने के लिए, निजी डेटा (जैसे लीड/अवसर) इकट्ठा करने वाले दस्तावेज़ पर एक चेकबॉक्स (बूलियन) फ़ील्ड जोड़ने के लिए Odoo स्टूडियो का इस्तेमाल करें
  2. Odoo के वेबसाइट बिल्डर में अपने वेबसाइट फ़ॉर्म में चेकबॉक्स जोड़ें
  3. इस उद्देश्य के लिए डेटा को प्रोसेस करते समय इस फ़ील्ड का इस्तेमाल करें, उदाहरण के लिए अपने मार्केटिंग कैंपेन सेगमेंट फ़िल्टर में

डिफ़ॉल्ट रूप से निजता (आर्टिकल 25)

Odoo में हमारे अनुसंधान और विकास के मामले में सबसे खास बात है लोगों की सुरक्षा का ध्यान रखना. हम अपने सॉफ़्टवेयर को सभी के लिए सुरक्षित, मज़बूत, और ज़रूरत के हिसाब से ढाला जा सकने वाला बनाने के लिए सुरक्षा से जुड़े सबसे सही तरीके लागू करते हैं.

ऐक्सेस कंट्रोल - Odoo का डिफ़ॉल्ट समूह-आधारित ऐक्सेस कंट्रोल मैकेनिज़्म आपको हर उपयोगकर्ता की भूमिका और ज़रूरतों के हिसाब से निजी डेटा के ऐक्सेस को प्रतिबंधित करने की अनुमति देता है. (उदाहरण: हो सकता है कि एक प्रोजेक्ट मैनेजर को जॉब एप्लिकेशन के ऐक्सेस की ज़रूरत न हो). अगर आप उपयोगकर्ता समूहों को असाइन की गई भूमिकाओं की समीक्षा करते हैं और अपने संगठन में भूमिकाएं बदलने पर उन्हें सही तरीके से मैनेज करते हैं, तो इसका मतलब है कि आपका निजता आधार मज़बूत है. आप उपयोगकर्ता समूहों को अपने संगठन के हिसाब से बनाने के लिए, उन्हें आसानी से जोड़ सकते हैं या उनमें बदलाव कर सकते हैं.

रिकॉर्ड नियम - निजी डेटा तक ऐक्सेस को सही तरीके से मैनेज करने के लिए, आप रिकॉर्ड नियमों की अवधारणा का इस्तेमाल कर सकते हैं, जो आपको फ़ील्ड वैल्यू के आधार पर किसी भी क्राइटीरिया के हिसाब से दस्तावेज़ों के ऐक्सेस पर रोक लगाने की अनुमति देता है. रिकॉर्ड नियम, पढ़ने और/या लिखने को ब्लॉक कर सकते हैं, और वे हर दस्तावेज़ के आधार पर काम करते हैं. ज़्यादा जानकारी के लिए, कृपया हमारे दस्तावेज़ देखें..

पासवर्ड - Odoo इंडस्ट्री-स्टैंडर्ड के हिसाब से हैशिंग की मदद से उपयोगकर्ताओं के पासवर्ड स्टोर करता है. उपयोगकर्ताओं के पासवर्ड को स्टोर करने से बचने के लिए OAuth 2.0 या LDAP जैसे बाहरी ऑथेंटिकेशन सिस्टम का भी इस्तेमाल किया जा सकता है.

कर्मचारियों का डेटा - एक ऐसी जगह जहां Odoo डेटाबेस में निजी संवेदनशील डेटा शामिल होने की संभावना है, वह है कर्मचारी फ़ॉर्म और उनके समझौतों की निजी जानकारी वाला टैब. एम्प्लॉई डायरेक्ट्री का यह हिस्सा केवल एचआर विभाग के लोगों ("एचआर ऑफ़िसर" समूह) को दिखता है, जिन्हें अपने काम के लिए इसकी ज़रूरत होती है. यह सुरक्षा, कर्मचारियों के निजी पते तक होती है: Odoo 12 से Odoo 17 तक, इसे "निजी" प्रकार के संपर्कों के रूप में स्टोर किया जाता है जो केवल एचआर विभाग के लोगों को दिखाई देते हैं. वर्शन 17.0 के हिसाब से, इसे सीधे कर्मचारी रिकॉर्ड पर स्टोर किया जाता है.

प्रोसेसिंग की सुरक्षा (आर्टिकल 25 और 32)

अगर आप Odoo ऑनलाइन या Odoo.sh सेवाओं का इस्तेमाल करते हैं, तो हम सभी लेवल पर सुरक्षा और निजता से जुड़े सबसे सही तरीकों को लागू करते हैं. इसके बारे में ज़्यादा जानने के लिए यहां जाएं: सुरक्षा नीति.
यदि आप अपने प्रिमाइसेस में Odoo का इस्तेमाल करते हैं, तो सुरक्षा सबसे सही तरीकों का पालन करने के लिए आप खुद ज़िम्मेदार हैं. इससे जुड़ी ज़्यादा जानकारी पाने के लिए आप हमारे डिप्लॉयमेंट दस्तावेज़ में सुझाए गए सुरक्षा से जुड़े तरीके देख सकते हैं.