GDPR隐私策略模板示例
罗伯特·贝特曼(TermsFeed隐私和数据保护研究作者)于2020年7月24日最后更新必威手机精装版
最重要的概念之一欧盟一般数据保护条例(GDPR)是透明度.个人拥有自己的个人数据。作为一个涉及处理这些个人数据的公司,你必须披露一切你用它做什么。这就是为什么有一个隐私政策这很重要。
隐私政策是强制性的在下面许多隐私法.根据GDPR,这是你公司拥有的最重要的文件之一。这是向你的客户和权威机构证明你认真对待数据保护的唯一方法。
GDPR隐私政策有时称为GDPR隐私声明或GDPR隐私通知。
让我们来看看法律要求什么,以及如何调整您的隐私政策以适应您的业务环境。
为什么GDPR隐私政策很重要?
个人数据是个大生意。像谷歌和Facebook这样的公司的收入超过了一些国家。他们通过处理人们的个人数据发家致富。
的GDPR制定规则关于在欧盟应如何处理个人数据。它还提供权利向个人披露其个人数据。如果没有像GDPR这样的隐私法,人们将失去对企业和政府收集的有关他们的信息的控制。
隐私政策是您公司向客户展示您的个人数据可以信赖的机会,也是真正了解公司控制了多少个人数据以及您的数据保护实践符合法律规定。
您的公司可能已经制定了隐私政策,以遵守许多其他法律要求的隐私政策之一,例如:
GDPR是不同的,它的要求是更严格而在GDPR之下,您为遵守这些法规而生产的任何产品都可能是不够的。
GDPR隐私政策的重要部分
GDPR规定了您在隐私政策中必须提供的信息的具体要求。这些主要是在第13和14条中规定的。
需要记住的一件重要的事情是,这是一个面向公众的文档不专为您的客户编写。它应该针对任何人您可能会处理谁的个人数据-包括潜在客户和你网站的访客.
有两个主要原因您需要隐私政策的原因:
✓ 它们是法律规定的:隐私政策是法律要求的全球隐私法如果您收集或使用个人信息。
✓ 消费者希望看到他们:放置您的隐私政策链接在您的网站页脚中,以及您请求个人信息的任何其他地方。
摘自58必威 :
“随着GDPR的到来,我需要更新我的网站的隐私政策。我不想尝试自己编写一个,所以TermsFeed真的很有帮助。必威手机精装版我觉得这对我来说是值得的,尽管我只是个小人物,没有大公司。谢谢你让一切变得容易。”
斯蒂芬妮·P。
betway必威冒险旅程生成隐私策略
为您的业务(网络、移动和其他)生成2021年最新的隐私政策隐私策略生成器从Term必威手机精装版sFeed。
让我们看看你需要包含哪些内容。
介绍
你应该在你的隐私政策开始时简要说明你的公司是谁,你的隐私政策是什么。
包括私隐政策生效日期(“生效日期").
这是怎么做的Visa国际组织启动其隐私政策:
你应该包括公司的法定名称和营业地址。
这是怎么做的MembersFirst这是否:
如果你有资料保护主任(数和/或一个欧盟代表,您还必须包括他们的联系方式。
你会注意到上面的MembersFirst将自己称为数据控制器“就GDPR而言,您的公司可能也是一个“数据控制者”——如果它决定关于怎样和为什么处理个人数据。
定义
根据条款12,您的隐私政策必须以清晰易懂的语言. 因此,您应该尽可能避免使用法律术语。
然而,在某些情况下,这可能是不可避免的。所以你应该在你的隐私政策中包括一节定义的关键术语。
一些公司直接根据GDPR第4条给出定义。这是AEG:
事实上,这对读者并没有多大帮助。可以说,定义数据主体“作为”可辨认自然人[…]可以直接或间接地加以识别的人,特别是可以参照一个识别器这并不能说明这个词对外行人的真正含义。
这里是另一个例子艾德巴斯顿公园酒店. 其定义如下:更容易理解和理解.
你可以在这里看到法律术语写作和通俗易懂的普通语言写作之间的区别。
处理个人资料的原则
文章5.《全球数据保护条例》包含处理所有个人数据的六项原则。
他们是:
- 合法性,公平,和透明度:遵守法律;仅以人们合理期望的方式处理个人数据;始终公开您的数据保护实践。
- 目的限制:您通常只能出于收集个人数据的特定原因处理个人数据,而不能处理其他任何信息。
- 数据最小化:只处理你需要的数据。
- 精确:确保您持有的任何个人数据都是充分和准确的。
- 存储的限制:不要储存个人资料的时间超过你需要的时间。
- 诚信和保密:始终安全地处理个人资料。
一些公司选择在他们的隐私政策中列出这些原则,仅仅是通过列出它们并宣布他们遵守这些规定。这就是CRG:
其他人则采取更多的措施个性化方法,列出公司的具体原则,并将这些原则与GDPR的原则联系起来。这里有一个例子国际环境与发展研究所:
您处理的个人数据类型
GDPR对“个人资料是非常广泛的。你的公司很有可能会处理很多信息。
因为从IP地址到cookie数据构成个人数据时,您的网站可能会处理从未联系过您公司的人的个人数据。在您的隐私政策中,您必须很清楚关于每种类型您所处理的个人数据,以及您为什么需要这样做。
许多公司将其隐私政策的这一部分分为几个小节,如“您提供给我们的数据”、“我们网站收集的数据”等。
这里有一个例子Clearcast:
然后您可以进一步将这些信息分解成更多信息详细的分类. 这是怎么做的合成器这是否:
在披露你所收集及处理的个人资料类型时,应尽可能详细及具体。尽量以一种让用户尽可能容易理解的方式披露这些信息。
你如何处理个人资料
根据“目的限制“和”数据最小化,“你必须始终有一个很好的理由用于处理您拥有的任何个人数据。
你必须把我们的计划定下来目的用于处理隐私政策中的个人数据。
这是本书相关部分的摘录独立报隐私政策:
这也可以是一个描述“如何”和“为什么”使用数据的子句,只要用户被告知你收集的数据到底在做什么。
法律基础
GDPR仅允许您在其中一台计算机上处理个人数据六个合法(或“合法”)的基础.你不能处理个人资料除非你建立了好的,法律理由这样做。
处理个人资料的法律依据是:
- 同意:您已通过符合GDPR的方式获得他们的许可
- 合同:您需要处理他们的个人数据以履行合同
- 法律义务当前位置如果你不处理他们的个人数据,你将触犯法律
- 切身利益:他们的生活(或其他人的生活)取决于你处理他们的个人数据
- 公共任务:你需要处理他们的个人资料,以执行一项符合公众利益的任务
- 合法权益:处理他们的个人资料符合你的利益,你已经进行了合法利益评估
您的隐私政策必须提供您处理的法律基础的细节。
一些公司将其法律依据与他们处理的个人数据类型以及处理个人数据的原因联系起来品脱科学这是否:
你所依赖的地方“合法权益,你需要明确你的合法利益是什么。
你用的是"同意“作为法律依据,你必须包括你的用户的权利撤回同意. 这是怎么做的锋利的这是否:
如果你的法律依据是“合同,“你需要让人们知道,如果他们不能向你提供履行合同所需的个人数据,会发生什么预算这是否:
确保你知道你的法律依据是什么(或是什么),并披露这一点。
保留个人资料
“原则”存储限制“要求您保留个人数据的时间不得超过您需要的时间。您的隐私政策需要提供多长时间你将保留你收集的不同类型的个人数据。
这并不总是一个特定的时期(即一周、两个月等)。这可能取决于您需要数据的时间长度(例如,直到此人关闭其帐户)。
以下是中相关章节的一部分黄色大仓库隐私政策:
如果您在不同的时间段保留不同类型的数据,请尽可能具体地披露。
您与谁共享个人数据
你可以分享个人数据,只要你透明的关于这个,你有一个有效的法律依据您的隐私政策需要提供有关这方面的详细信息。
这是相关部分第一个表的隐私政策:
注意,GDPR不要求你列出的名字在所有与您共享数据的公司中,只有广大类型公司的(例如,支付处理者,邮递员等)。
但是,请确保检查与您有数据处理协议的公司的条款和条件。其中一些,比如谷歌,要求您具体命名。
这是怎么做的探索法国满足谷歌的披露要求:
该条款明确声明“谷歌Analytics数据与谷歌共享”,这让Discover France的用户知道第三方(谷歌)正在接收他们的一些个人数据。
个人资料的国际转移
如果你转移来自欧盟或非欧盟国家/地区的个人数据(例如,如果您的web服务器位于美国,或者您使用的数据处理器位于澳大利亚),您需要在隐私政策中对此进行解释。
只有某些原因可以将个人数据转移出欧盟。这些原因包括:
- 你将个人信息转移到的非欧盟国家被认为是足够的“欧洲委员会的数据保护;
- 你有一个合同与包含标准数据保护条款;
- 你正在传输个人数据跨国公司(或一组共同工作的公司)遵守有约束力的公司规则;
- 作为最后的手段,在具备某些其他条件的情况下,您拥有此人的同意转移他们的数据.
您的隐私政策的这一部分必须解释您用于国际传输的机制。
视频诊断使用标准合同条款以便利其国际转移。以下是VIDA在其隐私政策中对此的解释:
贝尔蒙德采取不同的方法,涵盖其隐私政策的所有基础:
数据的权利
GDPR授予个人八个权利他们的个人资料。根据某些条件,您需要在被要求时为这些权利提供便利。
这些权利是:
- 权利被告知
- 权利通道
- 权利整改
- 权利擦除(被称为“被遗忘的权利”)
- 权利限制处理
- 权利数据可移植性
- 的,对象
- 关于自动化决策
并非所有权利都适用于您的公司,但无论如何,您需要熟悉这些权利。
您的隐私政策需要提供信息关于这些个人权利,也提供了一个方法人们可以通过它锻炼身体。这可能是一个网页表单,或者只是一个电子邮件地址。
下面是牛津大学提供有关其中一些权利的信息:
以下是人们就这些权利与大学联系的方式:
这个剑桥大学另一方面,有助于通过网上表格:
与其他权利相关的请求可通过电子邮件完成:
您还必须告知用户他们有权向数据保护机构(如信息专员公署(ICO)在英国,或保护委员会(DPC)在爱尔兰。
的慈善机构许愿基金这是否:
更改您的隐私政策
你应该让人们知道你可能需要改变你的隐私政策,并告诉他们你将如何告知他们这一点。
这里有一个例子改变的力量:
最好让用户知道他们应该定期检查您的隐私政策,以便及时了解任何不重要的更改,并了解当前处理其信息的方式。
常见问题:GDPR隐私政策
这里列出了一些你经常问到的问题。
如果您属于GDPR的管辖范围,您必须具有符合GDPR的隐私政策。
如果您:
- 是位于欧盟,还是
- 向位于欧盟的个人提供商品和服务,或
- 监控欧盟境内个人的行为
即使你不属于GDPR的范围,让你的隐私政策符合GDPR也是一个聪明的想法. GDPR是目前世界上最严格的隐私法,其他法律也开始效仿。
随着新隐私法的立法和现有法律的日益严格,如果您现在使您的隐私政策符合GDPR,您将在遵守方面走在前面。
显示您的GDPR隐私策略
你的隐私政策不是一个合同.您可能根据合同或在您的用户同意下执行一些数据处理。但他们真的没有任何选择是否同意隐私政策本身。
因此,虽然您可能不需要您的客户“同意”您的隐私政策,就像他们可能同意您的条款和条件或退货和退款政策一样应该尝试确保他们已经读过了.你也可以让他们确认他们已经这样做了。
所以,你的隐私政策必须是引人注目的和可到达的向任何与您的业务互动的人。
这里有一些方法可以确保它被注意到
在你的网站上
你应该放置一个链接到您的隐私政策页脚上,该页脚贯穿您的网站的每个页面。你可以把它和其他政策放在一起,比如你的条款和条件或可接受的使用政策.
这是怎么做的泰晤士报这是否:
如果你运行一个电子商务商店,您应该确保您的客户能够在他们需要的时候阅读您的隐私政策购买.这里有一个例子亚马逊英国:
无论何时向用户询问同意,你也应该提醒他们注意你的隐私政策简介版请求时是否执行此操作直接营销同意:
确保您的隐私政策始终可用,以便您的用户可以随时查看。在您收集个人信息(如电子邮件地址或付款信息)的地方包含该政策,以提醒您的用户可以查看您将如何使用该个人信息。
在你的手机应用上
如果你的公司有一款手机应用,那么你的用户可以通过它访问你的隐私政策在应用程序.
例如,只吃应用程序在“帮助”菜单中提供指向其隐私政策的链接:
设置菜单或法律菜单是用户知道寻找隐私政策的其他区域。
如果你的用户可以在你的应用程序中创建一个帐户,那么在你收集他们的信息时展示你的隐私政策是很重要的脸谱网这(请注意,Facebook将其隐私政策称为“数据政策”):
在你的通讯中
每当你发送自动电子邮件,您应该在页脚中链接到您的隐私政策。这一点在您发送直接营销传播时尤为重要。
这里有一个例子韦特罗斯:
您GDPR隐私政策的摘要
根据GDPR,编写隐私政策是最重要的法律义务之一。为确保符合欧盟的严格标准,请确保包括:
- 一介绍这就解释了该文件的目的
- 这个日期隐私政策生效(或上次更新日期)
- 你公司的名称和联系方式
- 名称和联系方式重要角色(DPO、欧盟代表等)
- 您的数据保护原则
- 这个类型您处理的个人数据的数量
- 怎样和为什么你处理个人资料
- 你的法律基础对于每个处理动作
- 你要多久保留个人资料
- 类型第三方与你分享个人资料的人
- 任何转移对非欧盟国家
- 如何通知变化将传达至隐私政策
下载GDPR隐私策略模板
下载我们的GDPR隐私政策模板作为PDF文件,DOCX文件或Google文件.
这个免费的,可下载的模板包括以下部分:
- 定义
- 处理个人资料的原则
- 我们收集和处理的个人资料
- 我们如何使用个人资料
- 收集和处理个人数据的法律依据
- 保留个人资料
- 数据保护的权利
