Skip to Content

RODO widziane od strony wdrożenia Odoo

Przy tworzeniu polityki prywatności pada pozornie proste pytanie: komu przekazujesz dane osobowe klientów? W firmie, która pracuje na systemie ERP, odpowiedź rzadko mieści się w jednym zdaniu — a próba udzielenia jej „na skróty" potrafi wpisać do dokumentu rzeczy, które nie mają pokrycia w rzeczywistości.

Dwa słowa,

które w RODO znaczą co innego

Przekazywane" i „przetwarzane" bywają używane zamiennie, choć to nie to samo. Zanim odpowie się na pytanie z kreatora polityki, warto rozstrzygnąć trzy rzeczy:

  • Komu dane są przekazywane — na zewnątrz firmy czy tylko wewnątrz systemu?
  • Kto jest kim w relacji — administratorem, podmiotem przetwarzającym (procesorem), a może współadministratorem?
  • Które funkcje faktycznie działają — sklep, konta klienta, newsletter, czat, ankiety? Połowa punktów z typowej listy dotyczy modułów, których dana firma wcale nie używa.

Bez tych trzech ustaleń każda odpowiedź jest wróżeniem.

Kto naprawdę ma dostęp w modelu Odoo.sh

Kiedy uporządkujemy powyższe, obraz staje się czytelny. W typowym wdrożeniu w chmurze Odoo w grę wchodzą zwykle trzy podmioty:

  1. Partner wdrożeniowy — utrzymując i serwisując system, ma techniczny wgląd do bazy, a więc i do danych osobowych. Działa jako procesor, wyłącznie na polecenie klienta.
  2. Dostawca platformy i hostingu (Odoo S.A.) — w modelu Odoo.sh to jednocześnie dostawca oprogramowania i hostingodawca. Występuje jako podprocesor; infrastruktura stoi w centrach danych na terenie UE — bez transferu poza Unię.
  3. Dostawca bramki płatniczej — przy zakupach w sklepie trafiają do niego dane niezbędne do rozliczenia.

Dane ze sklepu, kont, newslettera czy ankiet zostają w bazie Odoo — to nie osobni odbiorcy, tylko funkcje jednego systemu.

Gdzie kończy się technika,

a zaczyna prawo

Tu przebiega granica, której nie warto zacierać. Partner potrafi opisać warstwę faktyczną — gdzie fizycznie płyną dane i kto ma do nich dostęp. Ale kwalifikacja prawna — podstawy przetwarzania, brzmienie zapisów, ostateczne „tak/nie" w polityce — należy do IOD lub prawnika klienta.

Jest też element formalny, który łatwo pominąć: umowa powierzenia przetwarzania (art. 28 RODO). To ona legitymizuje dostęp partnera do bazy i powinna być podstawą wpisu w polityce.

Dobra polityka prywatności zaczyna się więc nie od kreatora, lecz od mapy przepływu danych - od jasnego rozdzielenia tego, co techniczne, od tego, co prawne.

Ręczna korekta wyceny zapasów w Odoo