Przy tworzeniu polityki prywatności pada pozornie proste pytanie: komu przekazujesz dane osobowe klientów? W firmie, która pracuje na systemie ERP, odpowiedź rzadko mieści się w jednym zdaniu — a próba udzielenia jej „na skróty" potrafi wpisać do dokumentu rzeczy, które nie mają pokrycia w rzeczywistości.
Dwa słowa,
które w RODO znaczą co innego
„Przekazywane" i „przetwarzane" bywają używane zamiennie, choć to nie to samo. Zanim odpowie się na pytanie z kreatora polityki, warto rozstrzygnąć trzy rzeczy:
- Komu dane są przekazywane — na zewnątrz firmy czy tylko wewnątrz systemu?
- Kto jest kim w relacji — administratorem, podmiotem przetwarzającym (procesorem), a może współadministratorem?
- Które funkcje faktycznie działają — sklep, konta klienta, newsletter, czat, ankiety? Połowa punktów z typowej listy dotyczy modułów, których dana firma wcale nie używa.
Bez tych trzech ustaleń każda odpowiedź jest wróżeniem.
Kto naprawdę ma dostęp w modelu Odoo.sh
Kiedy uporządkujemy powyższe, obraz staje się czytelny. W typowym wdrożeniu w chmurze Odoo w grę wchodzą zwykle trzy podmioty:
- Partner wdrożeniowy — utrzymując i serwisując system, ma techniczny wgląd do bazy, a więc i do danych osobowych. Działa jako procesor, wyłącznie na polecenie klienta.
- Dostawca platformy i hostingu (Odoo S.A.) — w modelu Odoo.sh to jednocześnie dostawca oprogramowania i hostingodawca. Występuje jako podprocesor; infrastruktura stoi w centrach danych na terenie UE — bez transferu poza Unię.
- Dostawca bramki płatniczej — przy zakupach w sklepie trafiają do niego dane niezbędne do rozliczenia.
Dane ze sklepu, kont, newslettera czy ankiet zostają w bazie Odoo — to nie osobni odbiorcy, tylko funkcje jednego systemu.
Gdzie kończy się technika,
a zaczyna prawo
Tu przebiega granica, której nie warto zacierać. Partner potrafi opisać warstwę faktyczną — gdzie fizycznie płyną dane i kto ma do nich dostęp. Ale kwalifikacja prawna — podstawy przetwarzania, brzmienie zapisów, ostateczne „tak/nie" w polityce — należy do IOD lub prawnika klienta.
Jest też element formalny, który łatwo pominąć: umowa powierzenia przetwarzania (art. 28 RODO). To ona legitymizuje dostęp partnera do bazy i powinna być podstawą wpisu w polityce.
Dobra polityka prywatności zaczyna się więc nie od kreatora, lecz od mapy przepływu danych - od jasnego rozdzielenia tego, co techniczne, od tego, co prawne.