通用数据保护条例 (GDPR) 是世界上最严格的隐私和安全法。 尽管它是由欧盟 (EU) 起草和通过的,但它对任何地方的组织施加了义务,只要它们针对或收集与欧盟人民有关的数据。 该法规于 25 年 2018 月 XNUMX 日生效。GDPR 将对违反其隐私和安全标准的人处以重罚,罚款金额高达数千万欧元。
GDPR.eu 是为您提供的有用资源,可帮助您快速查找法规的所有 99 条和 173 条说明,以及指导您了解法规如何适用于您的有用指南和清单。
https://gdpr.eu/tag/gdpr/
https://academyeurope.eu/zh-CN/gdpr-compliance/#google_vignette
透明度和告知公众他们的数据是如何使用的是 GDPR 的两个基本目标。 本文解释了什么是隐私声明,并提供了一个隐私声明模板来帮助您遵守法律。
欧盟通用数据保护条例 (GDPR) 是让欧盟公民和居民更好地控制组织如何使用其数据的第一步。 如果您的公司处理欧盟人员的个人信息,那么无论您身在何处,都必须遵守 GDPR。 违反人们的新隐私权的罚款最高可达全球收入的 4% 或 20 万欧元,以较高者为准。
GDPR 隐私声明是帮助您的客户就您收集和使用的数据做出明智决策的重要方式。 我们汇集了来自法律本身和欧盟指导文件的一些信息,以帮助您了解良好隐私声明的组成部分。 在底部,我们包含了一个隐私声明模板,您可以根据自己的组织进行调整。
什么是隐私声明?
隐私声明是来自组织的公开文件,用于解释该组织如何处理个人数据以及如何应用数据保护原则。 第12条, 13及 14 GDPR 提供了有关如何创建隐私声明的详细说明,强调使它们易于理解和访问。 如果您直接从某人那里收集数据,您必须在这样做时向他们提供您的隐私声明。
请注意,“隐私声明”和“隐私政策”这两个术语实际上并未出现在 GDPR 的文本中,并且基本上可以互换。 本文中解释的指南适用于您的组织向客户和公众描述其数据处理活动的任何公共文档。
根据 GDPR,组织必须向人们提供以下隐私声明:
- 以简洁、透明、易懂且易于访问的形式
- 以清晰明了的语言书写,特别是针对任何专门针对儿童的信息
- 及时交付
- 免费提供
GDPR 还规定了组织必须在隐私声明中共享哪些信息。 根据组织是直接从个人那里收集数据还是作为第三方接收数据,要求会略有不同。
如果组织直接从个人那里收集信息,则必须在其隐私声明中包含以下信息:
- 组织、其代表及其数据保护官的身份和联系方式
- 组织处理个人个人数据的目的及其法律依据
- 组织(或第三方,如适用)的合法利益
- 个人数据的任何接收者或接收者类别
- 有关将个人数据转移到第三国的详细信息以及所采取的保护措施
- 用于确定数据保留期的保留期或标准
- 每个数据主体权利的存在
- 随时撤回同意的权利(如相关)
- 向监管机构投诉的权利
- 提供个人数据是否属于法定或合同要求或义务的一部分,以及未能提供个人数据的可能后果
- 自动化决策系统的存在,包括配置文件,以及有关该系统如何设置、重要性和后果的信息
如果一个组织间接(通过另一个组织)获取您的数据,其隐私声明必须提供所有相同的信息, 以外:
- 提供个人数据是否属于法定或合同要求或义务的一部分,以及未能提供个人数据的可能后果
而是必须 加:
- 获得的个人数据类别
根据第 14(3) 条,如果您从第三方获取个人数据,您必须将上述信息传达给数据主体:不迟于您获得数据后的一个月,在您首次与数据沟通时主题,或在与其他组织共享数据之前。
通常,隐私声明将以书面形式提供,并在适当的情况下以电子方式提供。 每个维护网站的组织都应该在“隐私政策”标题下发布他们的隐私声明,并且应该可以通过每个网页的直接链接访问。 如果网站在线收集任何个人数据,则应在发生数据收集的同一页面上提供隐私声明或其链接。 GDPR 还规定,隐私声明必须根据要求以口头形式提供,以确保理解并帮助视障者。
GDPR 隐私声明最佳实践
隐私声明应避免使用限定词,例如“可能”、“可能”、“某些”、“经常”等,因为它们故意含糊不清。 写作应该是主动时态,句子和段落应该结构良好,使用项目符号突出特定的注意点。 避免不必要的法律和技术术语。
根据欧盟委员会的 GDPR准则,以下短语对处理目的不够明确。 (我们直接从文档中获取了这些示例。)
- “我们可能会使用您的个人数据来开发新服务”(因为尚不清楚“服务”是什么或这些数据将如何帮助开发它们)
- “我们可能会将您的个人数据用于研究目的”(因为尚不清楚这指的是哪种“研究”)
- “我们可能会使用您的个人数据来提供个性化服务”(因为不清楚“个性化”意味着什么)
- 另一方面,这些短语要好得多:
“我们将保留您的购物历史,并使用您之前购买过的产品的详细信息来向您推荐我们认为您也会感兴趣的其他产品”(很明显,将处理哪些类型的数据,即数据主体将受到针对产品的定向广告的影响,并且他们的数据将用于实现这一点) - “我们将保留和评估您最近访问我们网站的信息,以及您如何在我们网站的不同部分移动以进行分析,以了解人们如何使用我们的网站,以便我们可以使其更直观”(很清楚什么类型的数据将被处理以及控制器将进行的分析类型)
- “我们将记录您在我们网站上点击的文章,并使用该信息在本网站上针对您投放与您的兴趣相关的广告,这些广告是我们根据您阅读的文章确定的”(它是明确个性化需要什么以及如何确定数据主体的利益)