首頁>編程相關>其他源碼
下載

網站和移動應用程序的GDPR清單

一般數據保護法規(GDPR)是一項法規,歐洲議會,歐盟理事會和歐洲委員會打算加強和統一歐盟內所有個人的數據保護。擬議的新歐盟數據保護製度將歐盟數據保護法的範圍擴展到處理歐盟居民數據的所有外國公司。

清單

  • 該應用程序具有隱私聲明。
  • 該應用程序不會收集或處理更多的數據或更長的持續時間,而不是與傳達給用戶的預期目的所必需的。
  • 最終用戶已經明確同意處理個人數據的處理。 (不允許預挑選盒子。)
  • 該應用程序提供了易於查找的控制器的聯繫信息。
  • 該應用程序在每個特定處理活動的註冊表上有一個單獨的複選框。
  • 最終用戶很明顯他/她獲得的權限。這是透明,簡潔,可以理解的。在相關的地方使用視覺支持。特別是在為孩子提供信息時。
  • 如果適用,則指出只有16歲或以上的孩子,只有兒童才能允許。否則,需要父母的許可。應該合理地證明父母已獲得許可。
  • 如果申請包括決策,則應清楚該決定是如何做出的。 (例子)
  • 如果應用程序包括編程廣告,則必須由用戶明確授權。
  • 該應用程序允許最終用戶查看和調整積極共享的數據(由用戶)。
  • 當數據被假名並調整此過程時,已經進行了適當的評估。 (例子)
  • 採取適當的技術和組織措施,以確保適合風險的安全級別,包括適當的範圍:
    • 個人數據的假名和加密。
    • 確保處理系統和服務的持續機密性,完整性,可用性和彈性的能力。
    • 在發生物理或技術事件時,可以及時恢復對個人數據的可用性和訪問的能力。
    • 定期測試,評估和評估技術和組織措施的有效性以確保處理安全性的過程。

數據主題的權利

數據主題訪問權
數據主體有權從控制器中獲得確認數據,該數據正在處理有關他的數據。在這種情況下,必須提供以下信息:

  • 處理的目的
  • 處理哪些類別的個人數據
  • 哪些第三方也收到了這些個人數據

此外,目的是要獲得有關他處理的數據的“訪問”。例如,可以通過導出有關相關人員創建的文件來完成。

糾正權
如果數據主體不正確或不完整,則有權糾正其數據。如果您已與第三方作為控制者共享此信息,則必須在可能的情況下通知這些當事方。

擦除權(“被遺忘的權利”)
由於刪除權,也稱為“被遺忘的權利”,數據主體有權要求刪除其數據。在以下情況下可以使用權利:

  • 對於處理目的而不再需要數據
  • 數據主題撤回了他對處理的同意
  • 數據主體是處理處理的,並且沒有明顯的合法興趣來繼續此處理
  • 數據已被非法處理
  • 由於法律義務,必須刪除數據

限制處理權
數據主體可以要求阻止處理。這意味著除了保留數據外,沒有其他處理(包括沒有刪除)。

數據可移植性權
數據主體有權以結構化且使用廣泛的格式接收他可以使用的個人數據(該格式必須是可讀的,例如CSV文件或JSON格式)。他有權將這些數據傳輸到另一個控制器。

對象的權利
如果基於以下幾點進行處理,則數據主體可能會反對其數據處理:

  • 處理對於一般興趣任務或行使委託給控制者的公共權威時的任務是必要的
  • 該處理對於代表控制者或第三方的合法利益是必要的

如果對數據主體的反對意見有充分的基礎,則必須停止處理,除非您可以證明繼續處理處理有明顯的合法原因,或者是因為法律索賠是必要的。如果它涉及與直接營銷有關的異議,則必須在反對意見的那一刻停止處理。

控制器的重要信息

  • 如果最終用戶提出了刪除數據的請求,則控制器負責從本身和其他方刪除數據。
  • 如果控制器對數據進行了不同的目的,則已提前報告,必須將其傳達給最終用戶,然後才能為此目的開始數據處理。
  • 在洩露個人數據的情況下,控制器應不會延遲不當,並且在意識到它後不到72小時的情況下,將個人數據洩露通知監督當局。
  • 控制器需要採取適當的技術和概念措施,應該能夠證明該處理是根據本法規進行的。
  • 未經控制器的事先書面同意,處理器不會使用其他處理器。
  • 除非該人以一個或多個定義明確的目的或顯然是由該人本人公開的數據,否則禁止從特殊類別中處理個人數據。

定義和示例

隱私聲明

隱私聲明必須遵守以下特徵:

  • 短的
  • 透明的
  • 可以理解
  • 容易訪問

隱私聲明至少必須包含以下信息:

  • 控制器的身份和聯繫信息,該信息將允許用戶提出與隱私保護有關的任何問題,或行使其訪問,糾正和刪除數據的權利以及數據可移植性的權利
  • 清楚描述將處理個人數據的目的
  • 控制器的合法利益(如果適用)
  • 任何個人數據的收件人(或接收者類別)(例如,諸如第三方之類的可能處理器)
  • 如果適用,有關個人數據轉發到第三國(歐盟之外)的信息
  • 保留期或確定保留期的標準
  • 有關人員必須了解他擁有的權利
  • 有關人員必須告知撤回其同意處理的權利
  • 有關人員必須告知他向主管提出投訴的權利
  • 如果使用自動決策,則應提及
  • 對於最初處理這些數據的目的而言,個人數據的存儲可能不會超過嚴格所需的時間。如果沒有“硬”存儲期可以確定,則隱私聲明必須指定確定保留期的標準。

特殊類別

  • 種族或種族的起源
  • 政治意見
  • 宗教或哲學定罪
  • 貿易聯合國的會員資格
  • 遺傳學
  • 生物識別技術(用於ID的地方)
  • 健康
  • 性行為或性取向

第三方

除最終用戶,控制器或處理器以外的任何人,公共當局或機構都被授權處理個人數據。想想:

  • Google Analytics(分析)
  • hotjar
  • mailchimp
  • ETC。

決策

如果用戶填寫幾個數據,然後系統決定用戶是否有資格獲得抵押。 How that decision came about must be transparent.

假名數據

在最終用戶尚未登錄半年後,例如,數據的測試結果將被化為假名。

個人數據

與已確定或可識別的自然人(“數據主體”)有關的任何形式的信息。想一想該名稱,標識號,位置數據,在線標識符,也是該自然人的物理,生理,遺傳,心理,經濟,文化或社會身份的特定因素。

假名

以這樣的方式處理個人數據的處理不再可以歸因於特定的人,而無需使用其他信息。

控制器

自然或合法的人,公共權威,代理機構或其他機構,它們獨自或與他人共同確定了處理個人數據的目的和手段。

處理器

自然或合法的人,公共權威,代理機構或其他機構,代表控制者處理個人數據;

加工

在個人數據或個人數據集上執行的任何操作或一組操作。

個人數據洩露

違反安全性,導致偶然或非法破壞,丟失,更改,未經授權的披露或訪問個人數據傳輸,存儲或以其他方式處理的個人數據。

展開
附加信息
相關應用
爲您推薦
相關資訊 全部