雪花臺灣

【GDPR合規清單】GDPR Compliance Checklist

(1)數據評估工作

(2)產品調整工作

合法,公平,透明三原則:與數據主體個人相關的數據信息應當以合法,公正,透明方式處理

數據收集應當有明確的目的: 個人信息收集應當目的特定,明確和合法,任何與上述目的不符合的方式將不能繼續處理數據。數據收集的最小化原則:個人數據收集應當僅僅限於一切與數據處理目的相關的必要的數據。準確性:個人數據應當準確,如果需要儘可能保持最新的數據。

存儲限制:在不超過個人數據處理目的之必要的情形下,允許以數據主體以可識別的形式保存;

完整性與機密性:以確保個人數據適度安全的方式處理,包括使用適當的技術或組織措施來對抗未經授權、非法的處理、意外遺失、滅失或損毀的保護措施(「完整性和機密性」)。問責制:控制者(企業或組織)應該對並且能夠證明其企業符合GDPR的規定。

信息透明度和信息機制:數據處理者或控制者必須保證數據主體行使權利的透明度、交流和模式,也就是讓用戶知道你在收集那些數據,為什麼收據數據,用於何種目的,另外也需要讓用戶可以隨時對自己的數據進行控制。

數據訪問權,控制者應當保證數據主體可以隨時訪問自己的數據。糾正權:數據主體應當有權要求控制者無不當延誤地糾正有關其的不準確個人數據。考慮到處理的目的,數據主體應當有權使不完整的個人數據完整,包括通過提供補充聲明的方式。

被遺忘權:數據主體有權要求控制者刪除其數據,比如谷歌的用戶可以要求谷歌移除關於其個人不利的搜索結果。

限制處理權:數據主體有許可權制數據主體處理其個人數據關於糾正或刪除個人數據或限制處理的通知義務: 除非被證明不可能完成或者包含不成比例的工作量,控制者應當將根據對個人數據進行的任何糾正、刪除或者處理限制,傳達給已向其披露個人數據的接收者。 如果數據主體請求,控制者應當通知數據主體這些接收者。反對權:如果為了直接營銷的目的而處理個人數據,數據主體有權在任何時候反對有關其的個人數據為進行此類營銷而被處理,其中包括與此類直接營銷相關的概況分析。如果數據主體反對以直接營銷為目的的處理,則個人數據不得再為此目的而被處理。拒絕權和自主決定權

自主化的個人決策分析

(3)文件準備工作(文檔語言與APP提供服務的語言保持一致)

(4)超過250名員工的公司必須任命數據保護官(DATE PROTECTION OFFICER)

(5) 任命一名歐盟代表,合作夥伴或中介或個人均可。

( 4)聲明

本文章參考了大量英文資料,因GDPR尚未生效,相關資料嚴重缺乏,GDPR的合規要求不限於本文所列要求,後續會根據海外法院判例,不斷更新文章。

英國雖退出了歐盟,但已表示將參考GDPR立法,原則上和GDPR內容保持一致。

提供GDPR諮詢服務,可關注我微信公眾號獲取聯繫方式,付費諮詢(單次500元起)


推薦閱讀:
相關文章