GDPR,是指通用数据保护条例(General Data Protection Regulation)的缩写,是欧盟(EU)的一项法规,旨在保护欧盟公民的个人数据并赋予他们对其数据的更多控制权。它于2018年5月25日生效,取代了1998年数据保护指令。你可以前往的官方网站阅读具体的内容,里面罗列了非常详实的条款。
如果你的网络服务需要登录欧洲,这个协议是你必须了解的。GDPR 适用于在欧盟运营或处理个人数据的任何组织,无论其总部位于何处。这意味着即使您是一家美国公司,但您收集或处理来自欧盟公民的个人数据,则您也必须遵守 GDPR。你是懂欧洲的违法罚款的,尤其涉及数据隐私。
GDPR 带来的影响有:
- APP 必须获得个人的同意才能处理他们的个人数据
- 个人有权访问其个人数据并要求更正或删除不准确的数据
- 个人有权要求组织停止处理他们的个人数据或限制其处理
- APP服务商必须任命数据保护官 (DPO),负责监督其遵守 GDPR 的情况
为了遵守GDPR,应用程序必须采取一些措施,例如:
- 获得用户的同意才能收集和处理他们的个人数据。 这意味着应用程序必须有一个明确的隐私政策,解释应用程序如何收集、使用和共享数据,以及用户如何控制他们的数据。用户必须能够轻松地同意或拒绝处理他们的数据的请求。
- 仅收集必要的个人数据。 应用程序只能收集为提供服务或履行合同所需的数据。他们不应该收集不必要或无关的数据。
以安全的方式保护个人数据。 应用程序必须采取适当的技术和组织措施来保护个人数据免遭未经授权的访问、使用、披露、更改或销毁。这可能包括加密数据、限制对数据的访问以及实施安全程序。 - **允许用户访问他们的数据并对其进行控制。 **用户有权访问其个人数据并要求更正或删除不准确的数据。他们还可以要求组织停止处理他们的数据或限制其处理。用户还应该能够将他们的数据从一个组织转移到另一个组织。
而针对 Web 端应用,具体主要是在数据存储和上报上。我们使用的 Cookie, Localstorage 都不能滥用。 你需要和法务团队进行沟通。这个网站罗列了比较详细的条款来帮助你一一 Check:
了解你持有的数据
- 您持有哪些个人数据?
- 这些数据是否包含敏感的个人信息?如果是,您如何保证其安全?
- 你们的网站是否收集未成年人(16岁以下)的个人数据?
- 为什么您的网站需要这些数据?
- 您如何获得处理这些个人数据的同意?
- 这些个人数据存储在哪里?
- 谁有权访问这些数据?
更新隐私政策
隐私政策应成为您网站整体内容不可或缺的一部分。您还需要确保可以通过网站每个页面上的链接轻松访问该政策(包括不收集个人数据的页面)。
隐私政策的主要目的是告知您网站的访问者您如何收集、使用、存储和披露他们的个人数据。它还应解释用户的权利以及您对他们的义务。这些权利包括访问其个人数据的权利和要求删除其数据的权利。
政策必须用清晰易懂的语言来写。如果用户必须搜索或点击多次才能找到它,那么这是不可接受的。
获得电子邮件的同意
如果您使用电子邮件营销服务发送新闻通讯或进行任何通信,则需要获得用户的许可才能发送电子邮件。建议的方法是使用双重选择加入,用户必须在将其电子邮件地址提交到网站后进行验证。
用户应该能够随时选择退订电子邮件。为此,用户必须能够点击电子邮件中的退订链接,然后该链接应将他们带到一个可以轻松退订的页面。
添加 Cookie 提醒
如果您的网站使用非必要的 cookie(不知道它们是什么?阅读本文了解详情),那么您应该使用cookie 横幅来获取用户的GDPR cookie 同意,以将它们存储在用户的设备上。
该横幅告知访问者网站如何使用 Cookie 以及它们存储哪些信息。它还告知访问者拒绝存储 Cookie 的权利。
审查数据处理器或第三方服务
需要做的第一件事是找出贵公司直接使用的哪些服务或公司符合 GDPR 规定。您必须了解您直接(或间接)使用的任何第三方服务或公司的隐私政策。
如果他们代表您的公司工作,那么您应该确保他们遵守您的隐私政策。这意味着他们也应该遵守 GDPR。
审查国际数据传输
如果您的商业网站依赖于将个人数据从欧盟传输到非欧盟国家,那么您应该确保以下几点:
- 在传输数据之前您是否已做好必要的风险评估?
- 接收国或服务是否提供了足够水平的数据保护系统?
- 您是否与接收公司/服务达成了所有必要的协议?
目前各国都在监管数据安全,一定要重视,保持和法务的沟通。