我们是谁?
提供数据控制者的姓名和联系方式。如果您是个体经营者,这通常是您的企业或您。在适用的情况下,您应包括控制者代表和/或数据保护官的身份和联系方式。
我们收集什么信息?
指定您收集的个人信息的类型,例如姓名、地址、用户名等。您应该包括以下具体细节:
您如何收集数据(例如,当用户注册、购买或使用您的服务、填写联系表格、订阅时事通讯等时)
您通过每种数据收集方法收集了哪些具体数据
如果您从第三方收集数据,您必须指定数据类别和来源
如果您处理敏感的个人数据或财务信息,以及您如何处理
您可能希望向用户提供与个人数据和敏感个人数据相关的相关定义。
我们如何使用个人信息?
详细描述您将处理数据的所有服务和业务相关目的。例如,这可能包括以下内容:
内容、商业信息或用户体验的个性化
帐户设置和管理
提供营销和活动沟通
进行民意调查和调查
内部研发目的
提供商品和服务
法律义务(例如防止欺诈)
满足内部审计要求
请注意,此列表并不详尽。您需要记录您处理个人数据的所有目的。
我们处理您的个人数据有什么法律依据?
描述 GDPR 中包含的相关处理条件。有六种可能的法律依据:
同意
合同
合法权益
切身利益
公共任务
法律义务
提供适用于您的处理的所有理由以及原因的详细信息。如果您依赖同意,请解释个人如何撤回和管理他们的同意。如果您依赖合法利益,请清楚地解释这些是什么。
如果您正在处理特殊类别的个人数据,您必须满足六项处理条件中的至少一项,以及根据 GDPR 进行处理的附加要求。提供有关所有其他适用理由的信息。
我们何时共享个人数据?
说明您将对个人数据保密,并说明您可能披露或共享这些数据的情况。例如,当有必要提供您的服务或进行您的业务运营时,如您的处理目的所述。您应该提供以下信息:
您将如何共享数据
您将采取哪些保障措施
您可以与哪些方共享数据以及为什么
我们在哪里存储和处理个人数据?
如果适用,请说明您是否打算在数据主体所在国家/地区之外存储和处理数据。概述您将采取的步骤,以确保根据您的隐私政策和数据所在国家/地区的适用法律处理数据。
如果您将数据传输到欧洲经济区以外,请概述您将采取的措施以提供适当级别的数据隐私保护。例如合同条款、数据传输协议等。
我们如何保护个人数据?
描述您的数据安全方法以及用于保护个人信息的技术和程序。例如,这些可能是措施:
保护数据免受意外丢失
防止未经授权的访问、使用、破坏或披露
确保业务连续性和灾难恢复
限制对个人信息的访问
根据法律和您的业务政策进行隐私影响评估
对员工和承包商进行数据安全培训
通过使用合同和安全审查来管理第三方风险
请注意,此列表并不详尽。您应该记录您用来保护个人数据的所有机制。您还应该说明您的组织是否遵守某些公认的标准或法规要求。
我们会将您的个人数据保留多长时间?
提供有关您将保留与每个处理目的相关的信息的时间长度的具体信息。 GDPR 要求您保留数据的时间不超过合理必要的时间。包括您的数据或记录保留计划的详细信息,或链接到发布这些信息的其他资源。
如果您无法说明特定期限,则需要列出您将应用的标准来确定数据的保留时间(例如当地法律、合同义务等)
您还应该概述在不再需要数据后如何安全地处理数据。
您对个人数据的权利
根据 GDPR,您必须尊重数据主体访问和控制其个人数据的权利。在您的隐私声明中,您必须概述他们在以下方面的权利:
访问个人信息
更正和删除
撤回同意(如果在同意的情况下处理数据)
数据可移植性
限制处理和反对
向信息专员办公室投诉
您应该解释个人如何行使其权利,以及您计划如何回应主题数据请求。说明是否可能适用任何相关豁免,并列出您可能依赖的任何身份验证程序。
包括数据主体权利可能受到限制的情况的详细信息,例如,如果满足数据主体请求可能会暴露有关他人的个人数据,或者如果您被要求删除法律要求您保留的数据。
使用自动决策和分析
如果您使用分析或其他自动决策,您必须在您的隐私政策中披露这一点。在这种情况下,您必须提供有关是否存在任何自动决策的详细信息,以及有关所涉及的逻辑的信息,以及个人处理的可能意义和后果。
如何联系我们?
说明如果数据主体对您的隐私惯例、他们的个人信息有疑问或疑虑,或者如果他们希望提出投诉,他们可以如何联系。描述他们可以与您联系的所有方式——例如在线、电子邮件或邮寄。
如果适用,您还可以提供以下信息:
Cookie 和其他技术的使用
如果您打算设置和使用 cookie、跟踪和类似技术来存储和管理您网站上的用户偏好、广告、启用内容或以其他方式分析用户和使用数据,您可以包含指向更多信息的链接,或在政策中描述。提供有关您使用哪些类型的 cookie 和技术、使用它们的原因以及个人如何控制和管理它们的信息。
链接到其他网站/第三方内容
如果您从您的网站链接到外部网站和资源,请具体说明这是否构成认可,以及您是否对任何链接网站的内容(或其中包含的信息)承担任何责任。
您可能希望根据您的业务情况考虑在您的隐私政策中添加其他可选条款。