GDPR Checklist for Websites and Apps

Die allgemeine Datenschutzverordnung (DSGVO) ist eine Verordnung, durch die das Europäische Parlament, der Rat der Europäischen Union und die Europäische Kommission beabsichtigen, den Datenschutz für alle Personen innerhalb der Europäischen Union zu stärken und zu vereinen. Das vorgeschlagene neue EU -Datenschutzregime erweitert den Umfang des EU -Datenschutzgesetzes auf alle ausländischen Unternehmen, die Daten von EU -Bewohnern verarbeiten.

• Die Bewerbung hat eine Datenschutzerklärung.
• Die Anwendung sammelt oder verarbeitet weder mehr Daten noch für eine längere Dauer als für den beabsichtigten Zweck, der dem Benutzer mitgeteilt wurde, ausschließlich erforderlich.
• Die Endbenutzer haben sich ausdrücklich mit der Verarbeitung personenbezogener Daten einig. (Vorbereitete Kisten sind nicht erlaubt.)
• Die Anwendung bietet Kontaktinformationen zum Controller, der leicht zu finden ist.
• Die Anwendung verfügt über ein separates Kontrollkästchen im Registrierungsformular für jede bestimmte Verarbeitungsaktivität.
• Dem Endbenutzer ist klar, wofür er/sie die Erlaubnis gibt. Dies wird transparent, präzise und verständlich erklärt. Bei der relevanten visuellen Unterstützung wird visueller Unterstützung verwendet. Vor allem, wenn Informationen für ein Kind bestimmt sind.
• Falls zutreffend, wird angegeben, dass ein Kind nur dann die Erlaubnis erteilt, wenn es 16 Jahre alt ist. Andernfalls ist die Erlaubnis eines Elternteils erforderlich. Es sollte vernünftigerweise nachgewiesen werden, dass ein Elternteil die Erlaubnis erteilt hat.
• Wenn der Antrag Entscheidungsfindung beinhaltet, sollte klar sein, wie diese Entscheidung getroffen wird. (Beispiel)
• Wenn die Anwendung programmatische Anzeigen enthält, muss sie vom Benutzer eindeutig autorisiert werden.
• Mit der Anwendung können Endbenutzer Daten anzeigen und anpassen, die aktiv geteilt werden (vom Benutzer).
• Eine angemessene Bewertung wurde vorgenommen, wenn Daten pseudonymisiert und dieser Prozess abgestimmt ist. (Beispiel)
• Es werden angemessene technische und organisatorische Maßnahmen ergriffen, um ein für das Risiko angemessener Sicherheitsgrad, einschließlich unter anderem, zu gewährleisten:
  • Die Pseudonymisierung und Verschlüsselung personenbezogener Daten.
  • Die Fähigkeit, die kontinuierliche Vertraulichkeit, Integrität, Verfügbarkeit und Widerstandsfähigkeit von Verarbeitungssystemen und -diensten sicherzustellen.
  • Die Fähigkeit, die Verfügbarkeit und den Zugriff auf personenbezogene Daten rechtzeitig wiederherzustellen, im Falle eines physischen oder technischen Vorfalls.
  • Ein Prozess zum regelmäßigen Testen, Beurteilung und Bewertung der Wirksamkeit technischer und organisatorischer Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung.

Zugriffsrecht durch die betroffene Person
Die betroffene Person hat das Recht, eine Bestätigung von einem Controller zu erhalten, dass Daten über ihn verarbeitet werden. In diesem Fall müssen folgende Informationen bereitgestellt werden:

• Der Zweck der Verarbeitung
• Welche Kategorien personenbezogener Daten werden verarbeitet?
• Welche Dritte haben diese personenbezogenen Daten auch erhalten?

Darüber hinaus ist es die Absicht, dass die Person, die sich betrifft, "Zugriff" auf die über sie verarbeiteten Daten gewinnt. Dies könnte beispielsweise durch Exportieren der Datei, die über die betroffene Person erstellt wurde, erfolgen.

Recht auf Berichtigung
Die betroffene Person hat das Recht, seine Daten zu korrigieren, wenn sie nicht korrekt oder unvollständig sind. Wenn Sie diese Informationen an Dritte als Controller geteilt haben, müssen Sie diese Parteien nach Möglichkeit über diese Berichtigung informieren.

Recht auf Löschung ('Recht, vergessen zu werden')
Aufgrund des Auslöschungsrechts, auch bekannt als das Recht, vergessen zu werden, hat die betroffene Person das Recht, die Entfernung seiner Daten zu beantragen. Das Recht kann in den folgenden Fällen verwendet werden:

• Die Daten werden in Bezug auf den Zweck der Verarbeitung nicht mehr benötigt
• Die betroffene Person zog seine Zustimmung zur Verarbeitung zurück
• Die betroffenen Objekte Objekte der Verarbeitung, und es besteht kein nachweisbares legitimes Interesse, diese Verarbeitung fortzusetzen
• Die Daten wurden rechtswidrig verarbeitet
• Die Daten müssen aufgrund einer gesetzlichen Verpflichtung entfernt werden

Recht auf Beschränkung der Verarbeitung
Die betroffene Person kann eine Blockierung der Verarbeitung anfordern. Dies bedeutet, dass die Daten nur dann aufbewahrt werden, kann keine andere Verarbeitung stattfinden (einschließlich keiner Löschung).

Recht auf Datentretabilität
Die betroffene Person hat das Recht, die personenbezogenen Daten zu empfangen, die er dem Controller in einem strukturierten und weit verbreiteten Format zur Verfügung gestellt hat (dieses Format muss maschinell lesbar sein, beispielsweise eine CSV -Datei oder im JSON -Format). Er hat das Recht, diese Daten auf einen anderen Controller zu übertragen.

Recht auf Einwände
Die betroffene Person kann sich gegen die Verarbeitung seiner Daten widersetzen, wenn die Verarbeitung auf der Grundlage der folgenden Punkte durchgeführt wurde:

• Die Verarbeitung ist für eine allgemeine Interessenaufgabe oder für eine Aufgabe bei der Ausübung der dem Controller anvertrauten Behörde erforderlich
• Die Verarbeitung ist für die Darstellung der legitimen Interessen des Controllers oder eines Dritten erforderlich

Wenn der Einwand einer betroffenen Person begründet ist, muss die Verarbeitung eingestellt werden, es sei denn, Sie können nachweisen, dass es nachweisbare legitime Gründe für die Fortsetzung der Verarbeitung gibt oder weil die Daten für rechtliche Ansprüche erforderlich sind. Wenn es sich um einen Einspruch im Zusammenhang mit Direktmarketing handelt, muss die Verarbeitung in dem Moment gestoppt werden, in dem der Einspruch eingeht.

• Wenn ein Endbenutzer die Anfrage zum Löschen der Daten gestellt hat, ist der Controller für das Löschen der Daten von sich selbst und anderen Parteien verantwortlich.
• Wenn der Controller einen anderen Zweck mit den Daten verfolgt, muss dies im Voraus gemeldet werden, dies muss dem Endbenutzer vor dem Beginn der Verarbeitung von Daten zu diesem Zweck mitgeteilt werden.
• Im Falle einer Verstöße gegen personenbezogene Daten muss der Controller unverzüglich verzögert werden und wenn Sie sich nicht später als 72 Stunden nach der Bekanntheit der Aufsichtsbehörde bewusst werden, informieren Sie die personenbezogene Datenverletzung.
• Der Controller muss angemessene technische und orgiastische Maßnahmen ergreifen und nachweisen können, dass die Verarbeitung gemäß dieser Regelung durchgeführt wird.
• Der Prozessor verwendet keinen anderen Prozessor ohne die vorherige schriftliche Zustimmung des Controllers.
• Die Verarbeitung personenbezogener Daten aus speziellen Kategorien ist verboten, es sei denn, die Person hat ausdrücklich die Erlaubnis zur Vertraulichkeit der personenbezogenen Daten für einen oder mehrere gut definierte Zwecke oder die von der Person selbst veröffentlichten Daten erteilt.

Eine Datenschutzaussage muss den folgenden Eigenschaften entsprechen:

• kurz
• transparent
• verständlich
• leicht zugänglich

Die Datenschutzerklärung muss zumindest die folgenden Informationen enthalten:

• Identitäts- und Kontaktinformationen des Controllers, mit denen Benutzer Fragen aufwerfen können, die sie möglicherweise in Bezug auf ihren Datenschutzschutz haben oder ihre Rechte auf den Zugriff auf, korrigieren und löschen, und ihr Recht auf Datentretbarkeit ausüben
• Eine klare Beschreibung der Zwecke, für die personenbezogene Daten verarbeitet werden
• Die legitimen Interessen des Controllers (falls zutreffend)
• Empfänger (oder Kategorien von Empfängern) der personenbezogenen Daten (z. B. mögliche Prozessoren wie Dritte)
• Informationen über die Weiterleitung der personenbezogenen Daten in ein Drittland (außerhalb der EU), falls zutreffend
• Die Aufbewahrungszeit oder die Kriterien, nach denen die Aufbewahrungsfrist bestimmt wird
• Die betroffene Person muss über die Rechte informiert werden, die er hat
• Die betroffene Person muss über das Recht informiert werden, seine Zustimmung zur Verarbeitung abzuheben
• Die betroffene Person muss über sein Recht informiert werden, eine Beschwerde beim Vorgesetzten einzulegen
• Wenn automatisierte Entscheidungsfindung verwendet wird, sollte dies erwähnt werden
• Persönliche Daten werden möglicherweise nicht länger als für den Zweck, für den diese Daten ursprünglich verarbeitet wurden, nicht länger gespeichert. Wenn es keine "harte" Speicherperiode zu bestimmen gibt, muss die Datenschutzanweisung die Kriterien festlegen, die die Aufbewahrungszeit bestimmen.

• Rassistische oder ethnische Entstehung
• Politische Meinungen
• Religiöse oder philosophische Überzeugungen
• Mitgliedschaften von Gewerkschaften
• Genetik
• Biometrie (wo für ID -Zwecke verwendet werden)
• Gesundheit
• Sexuelles Verhalten oder sexuelle Orientierung

Alle Personen, Behörden oder Agenturen außer dem Endbenutzer, Controller oder Prozessor, die zur Verarbeitung personenbezogener Daten berechtigt sind. Denken Sie an:

• Google Analytics
• Hotjar
• Mailchimp
• usw.

Bei einer Hypothekenanwendung, bei der der Benutzer mehrere Daten ausfüllt und dann entscheidet das System, ob der Benutzer eine Hypothek berechtigt ist oder nicht. Wie diese Entscheidung zustande kam, muss transparent sein.

Nachdem sich ein Endbenutzer ein halbes Jahr lang nicht angemeldet hat, sind die Daten, beispielsweise die Ergebnisse eines Tests, pseudonymisiert.

Jede Form von Informationen zu einer identifizierten oder identifizierbaren natürlichen Person („Betroffene“). Denken Sie an den Namen, eine Identifikationsnummer, Standortdaten, eine Online -Kennung, aber auch Faktoren, die für die physikalische, physiologische, genetische, mentale, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind.

Die Verarbeitung personenbezogener Daten auf diese Weise, dass die personenbezogenen Daten ohne die Verwendung zusätzlicher Informationen einer bestimmten Person nicht mehr zugeordnet werden können.

Die natürliche oder juristische Person, Behörde, Agentur oder eine andere Stelle, die allein oder gemeinsam mit anderen die Zwecke und Mittel der Verarbeitung personenbezogener Daten bestimmt.

Eine natürliche oder juristische Person, Behörde, Agentur oder eine andere Stelle, die personenbezogene Daten im Namen des Controllers verarbeitet;

Jeder Betrieb oder eine Reihe von Operationen, die an personenbezogenen Daten oder an personenbezogenen Daten ausgeführt werden.

Eine Sicherheitsverletzung, die zur zufälligen oder rechtswidrigen Zerstörung, Verlust, Änderung, nicht autorisierte Offenlegung oder Zugriff auf personenbezogene Daten übertragen, gespeichert oder anderweitig verarbeitet führt.