GDPR Checklist for Websites and Apps

일반 데이터 보호 규정 (GDPR)은 유럽 의회, 유럽 연합 협의회 및 유럽위원회가 유럽 연합 내 모든 개인의 데이터 보호를 강화하고 통합하려는 규정입니다. 제안 된 새로운 EU 데이터 보호 체제는 EU 데이터 보호법의 범위를 EU 거주자의 데이터를 처리하는 모든 외국 회사로 확장합니다.

• 응용 프로그램에는 개인 정보 보호 정책이 있습니다.
• 응용 프로그램은 사용자에게 전달 된 의도 된 목적에 필요한 것보다 더 많은 데이터를 수집하거나 처리하지 않습니다.
• 최종 사용자는 개인 데이터 처리에 명시 적으로 동의했습니다. (사전 통화 된 상자는 허용되지 않습니다.)
• 응용 프로그램은 찾을 수있는 컨트롤러에 대한 연락처 정보를 제공합니다.
• 응용 프로그램에는 각 특정 처리 활동에 대한 등록 양식에 별도의 확인란이 있습니다.
• 최종 사용자에게 자신이 허가 한 내용에 대해 분명합니다. 이것은 투명하고 간결하고 이해할 수있는 것으로 설명됩니다. 관련된 경우 시각적 지원이 사용됩니다. 특히 정보가 어린이를위한 정보가 의도 된 경우.
• 적용 가능한 경우, 어린이는 16 세 이상인 경우에만 허가를받을 수 있다고 언급됩니다. 그렇지 않으면 부모의 허가가 필요합니다. 부모가 허가를 받았다는 것이 합리적으로 입증되어야합니다.
• 신청서에 의사 결정이 포함 된 경우 해당 결정이 어떻게 내려지는지 명확해야합니다. (예)
• 응용 프로그램에 프로그램 광고가 포함 된 경우 사용자가 명확하게 승인해야합니다.
• 이 응용 프로그램을 통해 최종 사용자는 (사용자가 적극적으로 공유하는 데이터를보고 조정할 수 있습니다.
• 데이터가 가명화 되고이 프로세스가 조정 될 때 적절한 평가가 이루어졌습니다. (예)
• 적절한 기술 및 조직 측정은 적절한 경우 위험에 적합한 보안 수준을 보장하기 위해 수행됩니다.
  • 개인 데이터의 가명 및 암호화.
  • 처리 시스템 및 서비스의 지속적인 기밀, 무결성, 가용성 및 탄력성을 보장하는 능력.
  • 물리적 또는 기술적 인 사건이 발생할 경우 적시에 개인 데이터에 대한 가용성 및 액세스를 복원하는 능력.
  • 처리의 보안을 보장하기위한 기술 및 조직 측정의 효과를 정기적으로 테스트, 평가 및 평가하는 프로세스.

데이터 주제에 의한 액세스 권한
데이터 주제는 데이터가 자신에 대해 처리되고 있다는 컨트롤러로부터 확인을 얻을 권리가 있습니다. 이 경우 다음 정보가 제공되어야합니다.

• 처리의 목적
• 어떤 범주의 개인 데이터가 처리됩니다
• 어느 제 3 자가이 개인 데이터를 받았습니다

또한, 그 사람이 자신에 대해 처리 된 데이터에 대한 '액세스'를 얻는 사람은 의도입니다. 예를 들어, 관련 사람에 대해 생성 된 파일을 내보내면서 수행 할 수 있습니다.

정류 권리
데이터 주제는 데이터가 정확하거나 불완전하지 않은 경우 데이터를 수정할 권리가 있습니다. 이 정보를 제 3 자와 컨트롤러로 공유 한 경우 가능한 경우 이러한 정류에 대해이 당사자에게 알리야합니다.

지우기 권리 ( '잊을 권리')
'잊을 권리'라고도하는 삭제 권리로 인해 데이터 주제는 데이터 제거를 요청할 권리가 있습니다. 오른쪽은 다음과 같은 경우에 사용할 수 있습니다.

• 처리 목적과 관련하여 더 이상 데이터가 필요하지 않습니다.
• 데이터 주제는 처리에 대한 동의를 철회했습니다
• 데이터 주제는 처리에 반대 하며이 처리를 계속할 수있는 합법적 인 관심은 없습니다.
• 데이터는 불법적으로 처리되었습니다
• 법적 의무로 인해 데이터를 제거해야합니다.

처리 제한 권리
데이터 주제는 처리 차단을 요청할 수 있습니다. 이는 데이터가 유지되는 것을 제외하고는 다른 처리가 발생할 수 없음을 의미합니다 (삭제 없음).

데이터 이식성에 대한 권리
데이터 주제는 컨트롤러가 구조화되고 널리 사용되는 형식으로 컨트롤러에서 제공 한 개인 데이터를 수신 할 권리가 있습니다 (이 형식은 CSV 파일 또는 JSON 형식으로 기계를 읽을 수 있어야합니다). 그는이 데이터를 다른 컨트롤러로 전송할 권리가 있습니다.

반대 권
데이터 대상은 다음 사항에 따라 처리가 영향을 받으면 데이터 처리에 반대 할 수 있습니다.

• 일반적인 관심 과제 또는 컨트롤러에 맡겨진 공공 기관의 행사에 처리가 필요합니다.
• 처리는 컨트롤러 또는 제 3 자의 합법적 인 이익을 나타내는 데 필요합니다.

데이터 주체의 이의 제기가 잘 알려진 경우, 처리를 계속할 수있는 입증 가능한 합법적 인 이유가 있거나 법적 청구에 데이터가 필요하다는 것을 증명할 수 없다면 처리를 중단해야합니다. 직접 마케팅과 관련된 이의 제기와 관련이 있다면, 이의 제기가 발생하는 순간에 처리를 중단해야합니다.

• 최종 사용자가 데이터 삭제를 요청한 경우 컨트롤러는 자체 및 다른 당사자에서 데이터를 삭제해야합니다.
• 컨트롤러가 데이터와 다른 목적을 추구하는 경우 미리보고 된 경우 해당 목적으로 데이터 처리를 시작하기 전에 최종 사용자에게 전달되어야합니다.
• 개인 데이터 위반의 경우, 컨트롤러는 과도하게 지연되지 않고 실행 가능한 경우,이를 인식 한 후 72 시간 이내에 개인 데이터 위반을 감독 당국에 알립니다.
• 컨트롤러는 적절한 기술적 및 조직적 조치를 취해야 하며이 규정에 따라 처리가 수행됨을 입증 할 수 있어야합니다.
• 프로세서는 컨트롤러의 사전 서면 동의없이 다른 프로세서를 사용하지 않습니다.
• 사람이 하나 이상의 잘 정의 된 목적을 위해 개인 데이터의 기밀성에 대한 허가를 명시 적으로 허가하거나 그 사람 자신이 공개적으로 공개 한 데이터를 명시 적으로 제공하지 않는 한 특수 범주에서 개인 데이터를 처리하는 것은 금지됩니다.

개인 정보 보호 정책은 다음 특성을 준수해야합니다.

• 짧은
• 투명한
• 이해할 수 있는
• 쉽게 접근 할 수 있습니다

개인 정보 보호 정책에는 최소한 다음 정보가 포함되어야합니다.

• 사용자가 개인 정보 보호와 관련하여 가질 수있는 질문을 제기하거나 데이터에 액세스, 수정 및 삭제할 수있는 권한, 데이터 휴대 가능성에 대한 권리를 행사할 수있는 컨트롤러의 신원 및 연락처 정보
• 개인 데이터가 처리 될 목적에 대한 명확한 설명
• 컨트롤러의 합법적 인 이익 (해당되는 경우)
• 개인 데이터의 모든 수신자 (또는 수신자 범주) (예 : 제 3 자와 같은 가능한 프로세서)
• 적용 가능한 경우 개인 데이터를 제 3 국가 (EU 외부)로 전달하는 정보
• 보유 기간 또는 보유 기간이 결정되는 기준
• 관련 사람은 자신이 가진 권리를 알리려면
• 관련자는 처리에 대한 동의를 철회 할 권리를 알려야합니다.
• 관련 사람은 감독자에게 불만을 제기 할 권리를 알려야합니다.
• 자동화 된 의사 결정이 사용되면 언급해야합니다.
• 개인 데이터는 이러한 데이터가 원래 처리 된 목적으로 필요한 것 이상으로 저장되지 않을 수 있습니다. 결정할 '하드'저장 기간이없는 경우 개인 정보 보호 정책은 보존 기간을 결정하는 기준을 지정해야합니다.

• 인종 또는 민족 기원
• 정치적 의견
• 종교적 또는 철학적 신념
• 무역 연합 회원
• 유전학
• 생체 인식 (ID 목적으로 사용되는 위치)
• 건강
• 성적 행동 또는 성적 취향

개인 데이터를 처리 할 권한이있는 최종 사용자, 컨트롤러 또는 프로세서 이외의 모든 사람, 공공 기관 또는 기관. 생각 :

• Google 웹 로그 분석
• hotjar
• Mailchimp
• 등.

사용자가 여러 데이터를 채우고 시스템이 모기지 자격이 있는지 여부를 결정하는 모기지 애플리케이션의 경우. 그 결정이 어떻게 이루어 졌는지는 투명해야합니다.

최종 사용자가 반년 동안 로그인하지 않은 후, 예를 들어 테스트 결과와 같은 데이터가 가명됩니다.

식별되거나 식별 가능한 자연인과 관련된 모든 형태의 정보 ( '데이터 주제'). 이름, 식별 번호, 위치 데이터, 온라인 식별자뿐만 아니라 그 자연인의 신체적, 생리 학적, 유전 적, 정신적, 경제적, 문화적 또는 사회적 정체성과 관련된 요인을 생각해보십시오.

개인 데이터가 추가 정보를 사용하지 않고 더 이상 특정 사람에게 기인 할 수없는 방식으로 개인 데이터를 처리합니다.

자연적 또는 법적 인, 공공 기관, 기관 또는 기타 기관은 개인 데이터 처리의 목적과 수단을 결정하는 자연적 또는 법적 기관 또는 기타 기관.

컨트롤러를 대신하여 개인 데이터를 처리하는 자연 또는 법적 인, 공공 기관, 기관 또는 기타 기관;

개인 데이터 또는 개인 데이터 세트에서 수행되는 모든 작업 또는 작업 세트.

우발적이거나 불법적 인 파괴, 손실, 변경, 무단 공개 또는 개인 데이터에 대한 공개 또는 액세스로 이어지는 보안 위반, 전송, 저장 또는 기타 처리.