GDPR Checklist for Websites and Apps

Peraturan Perlindungan Data Umum (GDPR) adalah peraturan di mana Parlemen Eropa, Dewan Uni Eropa, dan Komisi Eropa bermaksud untuk memperkuat dan menyatukan perlindungan data untuk semua individu dalam Uni Eropa. Rezim perlindungan data UE baru yang diusulkan memperluas ruang lingkup undang -undang perlindungan data UE untuk semua perusahaan asing yang memproses data penduduk UE.

• Aplikasi memiliki pernyataan privasi.
• Aplikasi tidak mengumpulkan atau memproses lebih banyak data atau untuk durasi yang lebih lama daripada yang sangat diperlukan untuk tujuan yang dimaksudkan sebagaimana dikomunikasikan kepada pengguna.
• Pengguna akhir secara eksplisit setuju dengan pemrosesan data pribadi. (Kotak pra-uji tidak diizinkan.)
• Aplikasi ini memberikan informasi kontak pada pengontrol yang mudah ditemukan.
• Aplikasi ini memiliki kotak centang terpisah pada formulir pendaftaran untuk setiap aktivitas pemrosesan tertentu.
• Jelas bagi pengguna akhir tentang apa yang dia berikan izin. Ini dijelaskan secara transparan, ringkas dan dimengerti. Dukungan visual digunakan jika relevan. Terutama ketika informasi ditujukan untuk seorang anak.
• Jika berlaku, dinyatakan bahwa seorang anak hanya dapat memberikan izin jika dia berusia 16 tahun atau lebih. Kalau tidak, izin orang tua diperlukan. Harus ditunjukkan secara wajar bahwa orang tua telah memberikan izin.
• Jika aplikasi mencakup pengambilan keputusan, harus jelas bagaimana keputusan itu diambil. (Contoh)
• Jika aplikasi termasuk iklan terprogram, itu harus diizinkan dengan jelas oleh pengguna.
• Aplikasi ini memungkinkan pengguna akhir untuk melihat dan menyesuaikan data yang secara aktif dibagikan (oleh pengguna).
• Penilaian yang tepat telah dilakukan ketika data adalah nama samaran dan proses ini disetel. (Contoh)
• Langkah -langkah teknis dan organisasi yang tepat diambil untuk memastikan tingkat keamanan yang sesuai dengan risiko, termasuk antara lain yang sesuai:
  • Pseudonimisasi dan enkripsi data pribadi.
  • Kemampuan untuk memastikan kerahasiaan yang berkelanjutan, integritas, ketersediaan, dan ketahanan sistem dan layanan pemrosesan.
  • Kemampuan untuk mengembalikan ketersediaan dan akses ke data pribadi tepat waktu jika terjadi insiden fisik atau teknis.
  • Suatu proses untuk menguji, menilai, dan mengevaluasi efektivitas tindakan teknis dan organisasi secara teratur untuk memastikan keamanan pemrosesan.

Hak akses oleh subjek data
Subjek data memiliki hak untuk mendapatkan konfirmasi dari pengontrol bahwa data sedang diproses tentang dia. Dalam hal ini, informasi berikut harus disediakan:

• tujuan pemrosesan
• Kategori data pribadi mana yang diproses
• Pihak ketiga mana juga menerima data pribadi ini

Selain itu, itu adalah niat bahwa orang yang bersangkutan mendapatkan 'akses' ke data yang diproses tentang dia. Ini dapat dilakukan, misalnya, dengan mengekspor file yang dibuat tentang orang yang bersangkutan.

Hak atas perbaikan
Subjek data memiliki hak untuk memperbaiki datanya jika tidak benar atau tidak lengkap. Jika Anda telah membagikan informasi ini dengan pihak ketiga sebagai pengontrol, maka Anda harus memberi tahu pihak -pihak ini tentang perbaikan ini jika memungkinkan.

Hak untuk penghapusan ('Hak untuk dilupakan')
Karena hak untuk dihapus, juga dikenal sebagai 'hak untuk dilupakan', subjek data memiliki hak untuk meminta penghapusan datanya. Hak dapat digunakan dalam kasus berikut:

• Data tidak lagi diperlukan dalam kaitannya dengan tujuan pemrosesan
• Subjek data menarik persetujuannya untuk pemrosesan
• Subjek data keberatan dengan pemrosesan, dan tidak ada minat yang sah untuk melanjutkan pemrosesan ini
• Data telah diproses secara tidak sah
• Data harus dihapus karena kewajiban hukum

Hak atas pembatasan pemrosesan
Subjek data dapat meminta pemblokiran pemrosesan. Ini berarti bahwa kecuali bahwa data disimpan, tidak ada pemrosesan lain yang dapat terjadi (termasuk tidak ada penghapusan).

Hak atas portabilitas data
Subjek data memiliki hak untuk menerima data pribadi yang telah ia sediakan untuk pengontrol, dalam format terstruktur dan banyak digunakan (format ini harus dapat dibaca mesin, misalnya file CSV atau dalam format JSON). Dia memiliki hak untuk mentransfer data ini ke pengontrol lain.

Hak untuk keberatan
Subjek data dapat keberatan dengan pemrosesan datanya jika pemrosesan telah dilakukan berdasarkan poin -poin berikut:

• Pemrosesan diperlukan untuk tugas minat umum atau untuk tugas dalam pelaksanaan otoritas publik yang dipercayakan kepada pengontrol
• Pemrosesan diperlukan untuk representasi kepentingan sah controller atau pihak ketiga

Jika keberatan subjek data telah beralasan, pemrosesan harus dihentikan, kecuali jika Anda dapat membuktikan bahwa ada alasan sah yang dapat dibuktikan untuk melanjutkan pemrosesan, atau karena data diperlukan untuk klaim hukum. Jika itu menyangkut keberatan yang terkait dengan pemasaran langsung, pemrosesan harus dihentikan pada saat keberatan datang.

• Jika pengguna akhir telah mengajukan permintaan untuk menghapus data, pengontrol bertanggung jawab untuk menghapus data dari dirinya sendiri dan pihak lain.
• Jika pengontrol mengejar tujuan yang berbeda dengan data maka telah dilaporkan sebelumnya, ini harus dikomunikasikan kepada pengguna akhir sebelum memulai pemrosesan data untuk tujuan itu.
• Dalam hal pelanggaran data pribadi, pengontrol harus tanpa penundaan yang tidak semestinya dan, jika layak, selambat -lambatnya 72 jam setelah menyadarinya, beri tahu pelanggaran data pribadi kepada otoritas pengawas.
• Pengontrol perlu mengambil tindakan teknis dan orgiastik yang tepat dan harus dapat menunjukkan bahwa pemrosesan dilakukan sesuai dengan peraturan ini.
• Prosesor tidak menggunakan prosesor lain tanpa persetujuan tertulis sebelumnya dari pengontrol.
• Pemrosesan data pribadi dari kategori khusus dilarang kecuali orang tersebut secara eksplisit memberikan izin untuk kerahasiaan data pribadi untuk satu atau lebih tujuan yang jelas atau data yang tampaknya dipublikasikan oleh orang tersebut sendiri.

Pernyataan privasi harus mematuhi karakteristik berikut:

• pendek
• transparan
• bisa dimengerti
• mudah diakses

Pernyataan privasi setidaknya harus berisi informasi berikut:

• Identitas dan informasi kontak pengontrol yang akan memungkinkan pengguna untuk mengajukan pertanyaan apa pun yang mungkin mereka miliki sehubungan dengan perlindungan privasi mereka atau untuk menggunakan hak mereka untuk mengakses, memperbaiki dan menghapus data mereka, dan hak mereka atas portabilitas data
• Deskripsi yang jelas tentang tujuan yang akan diproses data pribadi
• Minat yang sah dari pengontrol (jika berlaku)
• Setiap penerima (atau kategori penerima) dari data pribadi (misalnya kemungkinan prosesor seperti pihak ketiga)
• Informasi tentang penerusan data pribadi ke negara ketiga (di luar UE), jika berlaku
• Periode retensi, atau kriteria dimana periode retensi ditentukan
• Orang yang bersangkutan harus diberitahu tentang hak -hak yang dimilikinya
• Orang yang bersangkutan harus diberitahu tentang hak untuk menarik persetujuannya untuk pemrosesan
• Orang yang bersangkutan harus diberitahu tentang haknya untuk mengajukan keluhan dengan penyelia
• Jika pengambilan keputusan otomatis digunakan, ini harus disebutkan
• Data pribadi mungkin tidak disimpan lebih lama dari yang diperlukan untuk tujuan data ini awalnya diproses. Jika tidak ada periode penyimpanan 'keras' untuk menentukan, maka pernyataan privasi harus menentukan kriteria yang menentukan periode retensi.

• Asal mula ras atau etnis
• Opini Politik
• Keyakinan agama atau filosofis
• Keanggotaan Dagang
• Genetika
• Biometrik (jika digunakan untuk tujuan ID)
• Kesehatan
• Perilaku seksual atau orientasi seksual

Setiap orang, otoritas publik atau agensi selain pengguna akhir, pengontrol atau prosesor yang diizinkan untuk memproses data pribadi. Pikirkan tentang:

• Google Analytics
• Hotjar
• MailChimp
• dll.

Dalam hal aplikasi hipotek di mana pengguna mengisi beberapa data dan kemudian sistem memutuskan apakah pengguna memenuhi syarat atau tidak untuk hipotek. Bagaimana keputusan itu terjadi harus transparan.

Setelah pengguna akhir belum masuk selama setengah tahun, data, misalnya, hasil tes mereka, adalah nama samaran.

Segala bentuk informasi yang berkaitan dengan orang alami yang teridentifikasi atau dapat diidentifikasi ('subjek data'). Pikirkan nama, nomor identifikasi, data lokasi, pengidentifikasi online, tetapi juga faktor -faktor khusus untuk identitas fisik, fisiologis, genetik, mental, ekonomi, budaya atau sosial dari orang alami tersebut.

Pemrosesan data pribadi sedemikian rupa sehingga data pribadi tidak dapat lagi dikaitkan dengan orang tertentu tanpa menggunakan informasi tambahan.

Orang alami atau hukum, otoritas publik, agensi atau badan lain yang, sendirian atau bersama dengan orang lain, menentukan tujuan dan sarana pemrosesan data pribadi.

Orang alami atau hukum, otoritas publik, agensi atau badan lain yang memproses data pribadi atas nama pengontrol;

Setiap operasi atau set operasi yang dilakukan pada data pribadi atau pada set data pribadi.

Pelanggaran keamanan yang mengarah pada penghancuran, kehilangan, kehilangan, perubahan, pengungkapan yang tidak sah atau melanggar hukum, atau akses ke, data pribadi yang dikirimkan, disimpan atau diproses.