【GDPR合規清單】GDPR Compliance Checklist
(1)數據評估工作
- 收集了那些數據? 找出收集數據類型,種類和範圍
- 確保收集數據過程公平,合法,透明。
- 我們為什麼收集這些數據? 及收集這些數據的特定目的
- 數據收集應遵循最小化原則,
- 用戶個人數據應當準確,並儘可能保持處於最新狀態
- 保證數據存儲安全,採用加密方式保證用戶數據隱私和安全
- 第三方數據(SDK)等也需要向用戶解釋清楚,並獲得用戶同意。數據處理者(SDK)應與數據控制者簽署合同。
(2)產品調整工作
- 按照GDPR的基本原則來收集數據
合法,公平,透明三原則:與數據主體個人相關的數據信息應當以合法,公正,透明方式處理
數據收集應當有明確的目的: 個人信息收集應當目的特定,明確和合法,任何與上述目的不符合的方式將不能繼續處理數據。數據收集的最小化原則:個人數據收集應當僅僅限於一切與數據處理目的相關的必要的數據。準確性:個人數據應當準確,如果需要儘可能保持最新的數據。存儲限制:在不超過個人數據處理目的之必要的情形下,允許以數據主體以可識別的形式保存;
完整性與機密性:以確保個人數據適度安全的方式處理,包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施(「完整性和機密性」)。問責制:控制者(企業或組織)應該對並且能夠證明其企業符合GDPR的規定。
- 加入明確授權和撤回按鈕,讓用戶可隨時撤回授權,隨時訪問數據,更正數據,刪除,註銷賬戶等。以GDPR數據主體權利為基準保證產品符合規定。 網站或APP可加入隱私及數據控制面板,讓用戶可以隨時訪問,糾正,刪除自己的數據等。
信息透明度和信息機制:數據處理者或控制者必須保證數據主體行使權利的透明度、交流和模式,也就是讓用戶知道你在收集那些數據,為什麼收據數據,用於何種目的,另外也需要讓用戶可以隨時對自己的數據進行控制。
數據訪問權,控制者應當保證數據主體可以隨時訪問自己的數據。糾正權:數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據。考慮到處理的目的,數據主體應當有權使不完整的個人數據完整,包括通過提供補充聲明的方式。被遺忘權:數據主體有權要求控制者刪除其數據,比如谷歌的用戶可以要求谷歌移除關於其個人不利的搜索結果。
限制處理權:數據主體有許可權制數據主體處理其個人數據關於糾正或刪除個人數據或限制處理的通知義務: 除非被證明不可能完成或者包含不成比例的工作量,控制者應當將根據對個人數據進行的任何糾正、刪除或者處理限制,傳達給已向其披露個人數據的接收者。 如果數據主體請求,控制者應當通知數據主體這些接收者。反對權:如果為了直接營銷的目的而處理個人數據,數據主體有權在任何時候反對有關其的個人數據為進行此類營銷而被處理,其中包括與此類直接營銷相關的概況分析。如果數據主體反對以直接營銷為目的的處理,則個人數據不得再為此目的而被處理。拒絕權和自主決定權自主化的個人決策分析
- 告知用戶新的隱私政策,並請求用戶的授權與同意。
- 所有用戶授權與同意,應留存證據,可以以電子形式保存(截圖,電子合同等)
- 保證產品中的SDK必須也符合GDPR規定,和第三方數據處理者簽署合同,存檔。
- 16歲以下的小孩需要其監護人的同意,這點需要特別注意,尤其是社交類產品。
- 產品隱私及數據安全措施
(3)文件準備工作(文檔語言與APP提供服務的語言保持一致)
- 一份符合GDPR的隱私協議
- 隱私審計說明書
- 隱私通知模板
- 數據泄露通知模板
- 國際間數據轉移步驟
- 數據主體同意表
- 數據保護效果評估表
- 數據安全措施
- 數據泄露應急預案
- 其他文件
(4)超過250名員工的公司必須任命數據保護官(DATE PROTECTION OFFICER)
(5) 任命一名歐盟代表,合作夥伴或中介或個人均可。
( 4)聲明
本文章參考了大量英文資料,因GDPR尚未生效,相關資料嚴重缺乏,GDPR的合規要求不限於本文所列要求,後續會根據海外法院判例,不斷更新文章。
英國雖退出了歐盟,但已表示將參考GDPR立法,原則上和GDPR內容保持一致。
提供GDPR諮詢服務,可關注我微信公眾號獲取聯繫方式,付費諮詢(單次500元起)
推薦閱讀: