Callino Module DSGVO
Alle verfügbaren Module:
dsgvo_website_crm
Lizenz: AGPL-3
Callino / Equitania Fork: https://gitlab.ownerp.io/callino/v10-dsgvo
Beschreibung:
Dieser Wiki-Artikel dient als Grundlage bezüglich der Anwendung und Funktionsweise der Module zur Datenschutz-Grundverordnungs (DSGVO) des Unternehmens Callino Software Entwicklung. Diese Module dienen zur Verarbeitung der Daten bezüglich der DSGVO in Odoo.
Inhalt:
- Grundsätzliches
- Basis Applikationen
- Erweiterungsmodule / Weitere Module
- Installation
Grundsätzliches:
Bezüglich dem Aufbau der Module muss hier erwähnt werden, dass es Basis-Applikationen gibt (siehe Kapitel Basis Applikationen) sowie sogenannte Verbindungsmodule. Die Basis Module-Module stellen das Fundament mit entsprechenden Datenmodellen dar, welche für alle weiteren Module benötigt werden. Die Installation dieser Module wird zwingend empfohlen. Die Verbindungsmodule erweitern das System um entsprechende Funktionalitäten. Entsprechende Erweiterungsmodule bzw. Zwischenmodule werden automatisch auf Grund ihrer Abhängigkeit mitinstalliert.
Basis Applikationen:
Applikation 1: GDPR/DSGVO Betroffenenrechte (dsgvo_afftected_rights)
Eine der Basis-Applikationen ist das Module GDPR/DSGVO Betroffnenrechte. Dieses Modul bietet Funktionalitäten im Bereich der Datenabfrage, Mailvorlagen sowie einem Berichtswesen bezüglich der Stammdaten.
Datenabfrage:
Diese Funktionalität bietet die Möglichkeit einer anfragenden Instanz (z.B. Kunden) Auskunft über die in Odoo hinterlegen Daten zu geben. Der Ablauf sieht dabei wie folgt aus:
- Erfassen einer Anfrage zu Betroffenenrechten: Dieses Modul beinhaltet alle Schritte zum Abbarbeiten von Anfragen zum Thema Betroffenenrechte, vom Anlegen einer Anfrage über die Verifizierung und Datensammlung bis zur Übermittlung an den Antragsteller.
- Verifizierung: Um unauthorisierte Datenabfragen / Löschungen / Modifikationen an Datensätzen zu verhindern wurde ein einfaches Verifizierungssystem eingebaut.
- Automatisierung: Es werden im System alle Kundendaten automatisiert zusammengesucht und in einem ZIP-Archiv als Anhang gespeichert. Diese können dann dem Kunden entsprechend übermittelt werden.
Vorgehensweise:
Im ersten Schritt legen Sie manuell einen Datensatz einer DSGVO- Anfrage an, wenn z.B. ein Kunde Auskunft über seine Daten im System möchte. Dazu klicken Sie im Modul DSGVO auf Anfragen → Alle Anfragen → Anlegen.
Im nächsten Schritt pflegen Sie die Maske bezüglich der Datenabfrage. In der nachfolgenden Abbildung werden die essentiellen Felder und Funktionalitäten erläutert.
- Tragen Sie hier die Art der Anfrage ein. Dabei haben Sie die Möglichkeit zwischen folgenden Anfragearten zu wählen: Auskunftsrecht, Recht auf Berechtigung, Recht auf Löschung, Recht auf Einschränkung, Recht auf Datenübertragbarkeit und Widerspruchsrecht.
- Hier wählen Sie den Datensatz bzw. legen Ihn bezüglich der anfragenden Person an.
- Der betreffende Personendatensatz bezieht sich auf die geforderten Daten zur Person bzw. zum Unternehmen.
- Unter Anfrage Eingegangen über können Sie falls nötig den Mitarbeiter eintragen, welche die Anfrage entgegengenommen hat.
- Der Zuständige Benutzer ist für die weiterführende Bearbeitung der Anfrage zuständig.
- Tragen Sie hier die entsprechende Firma ein, auf welcher das Odoo System aufgesetzt ist
- Hier pflegen Sie den Tag der an dem die Anfrage eingegangen ist.
- Speichern Sie anschließend den Datensatz.
Im Reiter Partner Daten sehen Sie die die Datenarchive welche abschließend erzeugt werden und über den Button Sende Daten direkt via Mail an den Anfragesteller übermittelt werden können.
Im unteren Abschnitt Rechtsgrundlagen pflegen Sie die rechtliche Basis auf welche die Datenschutz-Grundverordnung sich beziehen soll.
Verifizierung:
Im nächsten Schritt findet die Verifizierung über den zuständigen Mitarbeiter statt. Diesbezüglich gibt es zwei verschiedene Vorgehensweisen. Zum einen kann die Anfrage via Mail verifiziert werden. Dazu klicken Sie auf den Button Verifiziere per Mail im Anfrage-Formular. Dieser Button versendet eine E-Mail mit dem entsprechenden Template an den Kunden. Durch einen Klick auf den Link in der versendeten E-Mail wird die entsprechende Anfrage verifiziert. Anschließend sehen unter dem Reiter Verifizierung, dass die Checkbox Verifiziert gesetzt wurde.
Diesen Schritt zur Verifizierung können Sie allerdings auch manuell durchführen. Dazu füllen Sie wie in der oben dargestellten Abbildung den Reiter Verifizierung aus. Setzen Sie die Checkbox Verifiziert auf aktiviert und wählen Sie Verifiziert durch und das Verifizierungsdatum aus. Bei Verifiziert durch haben Sie folgende Auswahlmöglichkeiten: Telefon, Persönlich, Email (Persönlich), Fax oder Postalisch.
Reiter Messaging:
Im Reiter Messaging pflegen Sie die verschiedenen E-Mail-Vorlagen. In DSGVO-Module sind die notwendigen Vorlagen schon hinterlegt und gepflegt. Diese können Sie bei Bedarf anpassen (siehe Markierung in der nachfolgenden Abbildung).
Als nächstes setzen Sie den Prozess fort in dem sie auf den Button In Bearbeitung klicken. Anschließend wird die Anfrage auf Erledigt gesagt und die geforderten Daten als Archiv im Reiter Partner Archiv hinterlegt. In diesem Dokument finden Sie alle geforderten Daten inklusive einer Datei in der die Stammdaten zum Kunden aufgeführt werden.
Der Button Not Feasible bedeutet, dass die die Anfrage nicht bearbeitet werden kann. Ein Beispiel ist hier für eine Löschanfrage durch den Kunden, bei der die Daten allerdings auf Grund der Rechtsgrundlage nicht gelöscht werden können.
Des Weiteren erstellt das Module folgende Menüs unter DSGVO / Anfragen, welche als eine Art bereits gefilterte Menüs betrachtet werden können:
1. Alle Anfragen: Listet alle DSGVO Anfragen auf.
2. Zugewiesene Anfragen: Listet alle bereits an einen Mitarbeiter zugewiesene Anfragen auf.
3. Unverifizierte Anfragen: Listet alle umverifizierte Anfragen auf.
Voraussetzungen: Diese Applikation setzt folgende DSGVO- Module voraus, welche automatisiert mitinstalliert werden: dsgvo_base
Applikation 2: GDPR/DSGVO Verarbeitungsverzeichnis (dsgvo_directory)
DSGVO/Stammdaten
Das Menü Stammdaten dient zur Pflege der GDPR-Verantworlichen und ermöglicht außerdem eine Multi-Company-Funktionalität. Diese Maske wird an Hand der nachfolgenden Abbildung erläutert.
- Wählen Sie hier das Unternehmen aus, welches die Basis für die DSGVO- Prozesse darstellt
- Tragen Sie hier die DSGVO verantwortliche Person ein.
- Tragen Sie hier den/die DSGVO- Beauftragte/n ein.
- Hier können Sie die Verarbeitungsverzeichnisse hinzufügen, welche Sie wie in Kapitel DSGVO/Verarbeitungsverzeichnisse zu pflegen haben.
- Mit Klick auf den Button Anwenden speichern Sie Ihre Stammdatenpflege. Dabei wird die Anlage automatisch auf mögliche Fehler überprüft
Des Weiteren können Sie den GDPR-Bericht drucken (Abbildung Punkt 6). Klicken Sie dazu auf den Button Print. Anschließend erhalten Sie ein Auswahlmenü zur Definition welche Daten gedruckt werden sollen. Es wird anschließend eine PDF-Datei mit den generierten Informationen erstellt.
DSGVO/Verarbeitungsverzeichnis
Das Verarbeitungsverzeichnis dient zur Anlage und Pflege der persönlichen Datenverarbeitungsaktivitäten. Alle Prozesse die mit der Verarbeitung von persönlichen Daten zu tun haben, müssen im Verarbeitungsverzeichnis hinterlegt werden. Dadurch wird dokumentiert, was mit den Daten im Odoo System passiert. Diese pflegen Sie durch folgende Daten:
- Ein Name und eine Beschreibung.
- Einer automatischen Protokollierung wenn es erstellt / geändert wurde.
- Angabe, ob sensible Daten verarbeitet werden sollen.
- Gibt es einen Bedarf für eine Abschätzung der Auswirkungen von Datenverlusten?
- Fügen Sie die Rechtsgrundlagen für diesen Eintrag bei.
- Geben Sie an, welche Personenkategorien betroffen sind.
- Dokumentieren Sie den/die Datenverarbeiter für diese Verarbeitung.
- Datenempfänger angeben.
- Festlegen, welche Daten verarbeitet werden (durch Anhängen von Datenkategorien).
- Verknüpfung der organisatorischen Aktivitäten.
- Verknüpfung der technischen Aktivitäten.
DSGVO/Checkliste
Die DSGVO/Checkliste dient zur Protokollierung diverser Tätigkeiten zur Einhaltung der DSGVO- Richtlinien. Dabei wird eine Checkliste verwendet um folgende Funktionen zu nutzen:
- Checklisteneinträge erstellen
- Verfolgen, was getan werden muss
- Protokollieren, warum einige Dinge noch nicht fertig sind
Die nachfolgenden Abbildungen stellen diesbezüglich ein Beispiel im Bereich der Kennwort-Richtlinien dar.
Konfigurationsmenüs:
Ferner werden folgende Konfigurationsmenüs durch die Installation dieser Basis-Applikation hinzugefügt:
- DSGVO/Konfiguration/Auftragsverarbeiter
Im Konfigurationsmenü Auftragsverarbeiter können Sie einen neuen res.partner Datensatz anlegen, welche weiterführend als Auftragsverarbeiter im DSGVO-Prozess genutzt werden kann.
- DSGVO/Konfiguration/Technische Maßnahmen
In diesem Konfigurationsmenü pflegen Sie technische Maßnahmen, welche Sie den Einträge im Verarbeitungsverzeichnis zuordnen können. Wer nach der DSGVO personenbezogene Daten verarbeitet, muss diese mittels technischer Maßnahmen schützen.
Beispiel:
- DSGVO/Konfiguration/Organisatorische Maßnahmen
In diesem Konfigurationsmenü pflegen Sie organisatorischen Maßnahmen, welche Sie den Einträge im Verarbeitungsverzeichnis zuordnen können. Wer nach der DSGVO personenbezogene Daten verarbeitet, muss diese mittels organisatorischer Maßnahmen schützen.
Beispiel:
Voraussetzungen: Diese Applikation setzt folgende DSGVO- Module voraus, welche automatisiert mitinstalliert werden: dsgvo_base
Applikation 3:GDPR/DSGVO Partner Consent (dsgvo_partner_consent)
Die Basis- Applikation GDPR/DSGVO Partner Consent bietet einen Prozess aus folgenden 4 Schritten wodurch Sie DSGVO konform arbeiten indem Sie Kundeneinwilligungen verwalten.
- Schritt: Einwilligungsvorlagen erstellen
- Schritt: E-Mails versenden
- Schritt: Kundeneinwilligung
- Schritt: DSGVO Konformität
Diese Prozessschritte werden durch folgende Eigenschaften geprägt:
- Jederzeit vom Kunden änderbar: Durch die Integration der Einwilligungen im Portal, können Sie es Kunden ermöglichen zu jeder Zeit ihre Datenschutzeinstellungen zu verändern.
- Direkte Zustimmung für Neukunden: Ein Einwilligungsformular kann direkt bei der Registrierung angezeigt werden. Somit haben Sie die Einwilligung direkt vom ersten Moment an.
- Einfache Verwaltung durch Kategorisierung: Sie können mehrere Einwilligungsvorlagen zu einer Kategorie zusammenfügen um bei den Partnern mit einem Klick alle gewünschten Einträge hinzuzufügen. Kategorien bündeln so viele Zustimmungselemente, wie Sie möchten.
Dieser Prozess wird an Hand der folgenden Abbildungen exemplarisch dargestellt.
- Einwilligungsvorlagen erstellen (Menü: DSGVO/Konfiguration/Einwilligungsvorlagen)
Erstellen Sie im ersten Schritt eine Einwilligungsvorlage zu einer DSVGO Richtlinie. Im folgenden Beispiel wird dies an Hand eines Newsletters dargestellt. Dabei pflegen Sie die Tags, Partner Kategorien und die dazugehörige Rechtsgrundlage. In der Tabelle Einwilligungseinträge pflegen Sie die Einwilligung für einen bestimmten Partner. Diese wird dem Partnerformular im Reiter DSGVO hinzugefügt. - E-Mails versenden
Im Reiter DSGVO in der Kundenmaske können Sie über den Button Einwilligungsmail senden, die Einwilligung an den Kunden übermitteln. Sobald dieser die Einwilligung bestätigt, ist die Checkbox Einwilligung gegeben aktiviert. Dies können Sie auch manuell durchführen, falls die Einwilligung persönlich erfolgt ist. - Kundeneinwilligung: Sobald der Kunde die Einwilligung akzeptiert hat, ist diese DSGVO konform und Schritt 4 (DSGVO Konformität) wurde erreicht.
Voraussetzungen: Diese Applikation setzt folgende DSGVO-Module voraus, welche automatisiert mit installiert werden: dsgvo_partner_legal_basis
Erweiterungsmodule / Weitere Module
Modul 1: DSGVO BASE (dsgvo_base)
Das Modul dsgvo_base ist das Basismodul für die GDPR/DSGVO Erweiterungen und stellt somit die Basis für alle anderen DSGVO-Module dar. Dieses Modul erzeugt die folgenden Konfigurationsmenüs:
- DSGVO/Konfiguration/Daten Kategorien
- DSGVO/Konfiguration/Personen Kategorien
- DSGVO/Konfiguration/Rechtsgrundlagen
Das Konfigurationsmenü Rechtsgrundlagen dient zur Pflege der einzelnen Rechtsgrundlagen, welche im Verarbeitungsprozess herangezogen werden. Dabei haben Sie die Möglichkeit Rechtsgrundlagen anzupassen, zu erstellen oder zu löschen. In der Maske einer einzelnen Rechtsgrundlage pflegen Sie die Beschreibung des Verarbeitungsprozesses sowie die Archivierungsdauer.
Module 2: GDPR/DSGVO Standard Daten AUT / DE (dsgvo_data_at oder dsgvo_data_de)
AT - Dieses Modul beinhaltet in Österreich gültige Definitionen für Rechtsgrundlagen zur Datenspeicherung (siehe DSGVO/Konfiguration/Rechtsgrundlagen).
DE - Dieses Modul beinhaltet in Deutschland gültige Definitionen für Rechtsgrundlagen zur Datenspeicherung (siehe DSGVO/Konfiguration/Rechtsgrundlagen)
Diese Rechtsgrundlagen unterscheiden sich für die Staaten Deutschland und Österreich geringfügig.
Deutsche Kunden nutzen also das Modul: dsgvo_data_de
Österreichische Kunden nutzen: dsgvo_data_at
Modul 3: GDPR/DSGVO Mass Mailing (dsgvo_mass_mailing)
Dieses Modul liefert Anpassungen für die Nutzung von Massenmails (Newsletter). Dadurch können Einwilligungen an verschiedene Kunden zeitgleich versendet werden. Legen Sie dazu wie folgt dargestellt eine neue Massenmail an und ziehen Sie den DSGVO- Block an eine gewünschte Stelle in der Mail-Vorlage. Durch diesen DSGVO- Block werd die jeweiligen Einwilligungen für den Kunden mit reingenommen. Diese werden dynamisch aus dem dazugehörigen Partnerdatensatz geladen.
Modul 4: GDPR/DSGVO Betroffenenrechte Accounting (dsgvo_affected_rights_account)
Modul 5: GDPR/DSGVO Betroffenenrechte - Rechtsgrundlagen (dsgvo_affected_rights_legal_basis)
Das Modul GDPR/DSGVO Betroffenenrechte ist für die Anzeige der Rechtsgrundlagen zuständig.
Modul 6: GDPR/DSGVO Betroffenenrechte Sale (dsgvo_affected_rights_sale)
Bei dem Modul Betroffenenrechte Sale handelt es sich um Erweiterungsmodul von GDPR/DSGVO Betroffenenrechte (dsgvo_affected_rights). Es stellt die notwendigen Daten aus dem Bereich Verkauf für den DSGVO Prozess zur Verfügung. Dieses Modul funktioniert analog zum Modul dsgvo_affected_rights_account auf Basis der Verkaufsdaten.
Modul 7: GDPR/DSGVO Partner Legal Basis (dsgvo_partner_legal_basis)
Das Modul GDPR/DSGVO Partner Legal Basis berechnet die Rechtsgrundlage für die Partner und erzeugt das Menü Partner ohne Rechtsgrundlage.
Dabei werden die Rechtsgrundlagen inklusive Aufbewahrungspflicht bei der Datenabfrage hinzugefügt und diese entsprechend berechnet. Die sogenannten Rechtsgrundlagen kommen auf Basis unterschiedlicher Aktionen zustande. Ein Beispiel hierfür ist, dass ein Kunde sich über die Webseite registriert und seine Einwilligung gibt, dass die Daten verarbeitet werden dürfen. Dadurch wird dem Kunden automatisch eine Rechtsgrundlage hinterlegt.
Menü - Partner ohne Rechtsgrundlage:
Das Menü Partner ohne Rechtsgrundlage stellt einen wichtigen Punkt im DSGVO-Prozess dar. Es kann als eine Art gefilterte Übersicht dienen, welche alle Partner auflistet, denen noch keine Rechtsgrundlage zugeordnet ist. Für diese Partner muss entsprechend eine Rechtsgrundlage geschafft werden. Dies ist häufig der Fall, wenn die DSGVO-Module in ein bestehendes System (mit vorhandenen Partnern) integriert wird. Dadurch kann sich abgesichert und überprüft werden, dass im System lediglich Datensätze mit entsprechender Rechtsgrundlage hinterlegt sind. Des Weiteren kann bei diesen Partnern direkt über verfügbare Module (dsgvo_account) die Rechtsgrundlage berechnet werden.
Modul 8: GDPR/DSGVO Account (dsgvo_account)
Das Modul erstellt die Rechtsgrundlage für die Rechnungen sowie die Berechnungsmethode für das Accouting. Sobald man einem Kunden eine Rechnung oder Gutschrift gesendet hat , existiert eine entsprechende Rechtsgrundlage. Dieses Modul hilft dem Modul dsgvo_partner_legal_basis bei der periodischen Berechnung für die Kundendatensätze, ob schon eine Rechtsgrundlage vorhanden ist.
Modul 9: GDPR/DSGVO Sale (dsgvo_sale)
Das Modul erstellt die Rechtsgrundlage für den Verkauf - funktioniert analog zum Modul dsgvo_account auf Basis des Verkaufs. Dementsprechend wird die Berechnungsmethode für den Bereich Sales zur Verfügung gestellt.
Modul 10: GDPR/DSGVO CRM (dsgvo_crm)
Dieses Modul hat die selbe Funktionalität wie das Modul dsgvo_sale. Da die Interessenten / Leads im CRM Bereich allerdings in einer anderen Datenbanktabelle hinterlegt sind, ist die Funktionalität in dieses Modul ausgelagert. Dementsprechend bildet es das Basis-Modul für die Leads um die entsprechenden Einwilligungen und die rechtliche Basis der Interessenten zu verarbeiten.
Modul 11: GDPR/DSGVO CRM Verification (dsgvo_crm_verification)
Dieses Modul dient zur Verifikation bei einer Anfrage / Registrierung über das Kontaktformular der Webseite. Dies erfolgt über das Zustimmungsverfahren Double-Opt-in. Sobald z.B. ein Interessent die Anfrage durchgeführt hat bekommt er eine E-Mail und muss über einen Link seine Anfrage erneut bestätigen. Anschließend wird er auf die Webseite weitergeleitet und der Lead wurde bestätigt und kann weiterverarbeitet werden.
Modul 12: GDPR/DSGVO CRM Quick Answer (dsgvo_crm_quick_answer)
Das Modul dsgvo_crm_quick_answer liefert die Antwortfunktionalität damit in der E-Mail der Verifizierungslink definiert werden kann. Jeder Datensatz verfügt über einen entsprechenden Token, welcher den Request bestätigt.
Modul 13: GDPR/DSGVO Portal (dsgvo_portal)
Dieses Modul liefert die GDPR/DSGVO Anpassungen für Portal-Modul. Mit der Portalfunktion kann der Kunde sich auf der Webseite anmelden und in das Portal wechseln um eine DSGVO Daten einzusehen. Dabei können Einwilligungen eingesehen und widerrufen werden.
Modul 14: GDPR/DSGVO Website (dsgvo_website)
Das Modul dsgvo_website integriert die notwendigen GDPR/DSGVO Anpassungen für die Webseite. Dabei wird zu einem die Integration der Einwilligungen im Kontaktformular ermöglicht. Dies erfolgt über entsprechende Tags (Bsp.: Kontaktformular, E-Commerce etc.). Wenn man eine Einwilligung definiert (Bsp. Newsletter) und den Tag Kontaktformular hinzufügt, werden die Einwilligungen entsprechend hinzugefügt. Jede Einwilligung, die das Tag Kontaktformular hat, wird dabei abgefragt.
Modul 15: GDPR/DSGVO Website CRM (dsgvo_website_crm)
GDPR/DSGVO Anpassungen für die Website CRM.
Der Login von externen Benutzern muss freigegeben sein:
Das Modul fügt im Kontaktformular bzw. auf der Seite zur Registrierung (/web/signup) die Einwilligung hinzu, die der Nutzer annehmen muss.
Bsp. Kontaktformular:
Bsp. Registrierung:
Modul 16: GDPR/DSGVO Website Sale (dsgvo_website_sale)
GDPR/DSGVO Anpassungen für die Website Verkauf. Das Modul fügt im Verkaufsprozess auf der Seite auf der die Adressdaten des Nutzers eingegeben werden, die Einwilligung hinzu, die der Nutzer annehmen muss.
Installieren Sie unter Apps die Apps:
dsgvo_website_crm