Chính sách bảo mật

Chúng tôi là ai?


Cung cấp tên và chi tiết liên hệ của bộ điều khiển dữ liệu. Đây thường sẽ là doanh nghiệp của bạn hoặc của bạn, nếu bạn là một nhà kinh doanh duy nhất. Nếu có thể, bạn nên bao gồm danh tính và chi tiết liên hệ của đại diện của bộ phận kiểm soát và / hoặc nhân viên bảo vệ dữ liệu.

Chúng tôi thu thập thông tin gì?


Chỉ định các loại thông tin cá nhân bạn thu thập, ví dụ như tên, địa chỉ, tên người dùng, v.v. Bạn nên bao gồm các chi tiết cụ thể về:
cách bạn thu thập dữ liệu (ví dụ: khi người dùng đăng ký, mua hoặc sử dụng dịch vụ của bạn, hoàn thành biểu mẫu liên hệ, đăng ký bản tin, v.v.)
bạn thu thập dữ liệu cụ thể nào thông qua từng phương pháp thu thập dữ liệu
nếu bạn thu thập dữ liệu từ các bên thứ ba, bạn phải chỉ định danh mục dữ liệu và nguồn
nếu bạn xử lý dữ liệu cá nhân nhạy cảm hoặc thông tin tài chính và cách bạn xử lý điều này



Bạn có thể muốn cung cấp cho người dùng các định nghĩa có liên quan liên quan đến dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm.



Chúng tôi sử dụng thông tin cá nhân như thế nào?


Mô tả chi tiết tất cả các mục đích liên quan đến dịch vụ và kinh doanh mà bạn sẽ xử lý dữ liệu. Ví dụ: điều này có thể bao gồm những thứ như:
cá nhân hóa nội dung, thông tin doanh nghiệp hoặc trải nghiệm người dùng
thiết lập và quản trị tài khoản
truyền thông tiếp thị và sự kiện
thực hiện các cuộc thăm dò và khảo sát
mục đích nghiên cứu và phát triển nội bộ
cung cấp hàng hóa và dịch vụ
nghĩa vụ pháp lý (ví dụ: ngăn ngừa gian lận)
đáp ứng các yêu cầu kiểm toán nội bộ



Xin lưu ý rằng danh sách này không phải là đầy đủ. Bạn sẽ cần phải ghi lại tất cả các mục đích mà bạn xử lý dữ liệu cá nhân.



Chúng tôi có cơ sở pháp lý nào để xử lý dữ liệu cá nhân của bạn?


Mô tả các điều kiện xử lý liên quan có trong GDPR. Có sáu cơ sở pháp lý có thể có:
bằng lòng
hợp đồng
lợi ích hợp pháp
lợi ích quan trọng
nhiệm vụ công cộng
nghĩa vụ pháp lý



Cung cấp thông tin chi tiết về tất cả các cơ sở áp dụng cho quá trình xử lý của bạn và lý do. Nếu bạn dựa vào sự đồng ý, hãy giải thích cách các cá nhân có thể rút lại và quản lý sự đồng ý của họ. Nếu bạn dựa trên lợi ích hợp pháp, hãy giải thích rõ ràng đây là những gì.



Nếu bạn đang xử lý dữ liệu cá nhân danh mục đặc biệt, bạn sẽ phải đáp ứng ít nhất một trong sáu điều kiện xử lý, cũng như các yêu cầu bổ sung để xử lý theo GDPR. Cung cấp thông tin trên tất cả các cơ sở bổ sung áp dụng.



Khi nào chúng ta chia sẻ dữ liệu cá nhân?


Giải thích rằng bạn sẽ xử lý dữ liệu cá nhân một cách bí mật và mô tả các trường hợp khi bạn có thể tiết lộ hoặc chia sẻ dữ liệu đó. Ví dụ: khi cần thiết để cung cấp dịch vụ của bạn hoặc tiến hành các hoạt động kinh doanh của bạn, như đã nêu trong mục đích xử lý của bạn. Bạn nên cung cấp thông tin về:
bạn sẽ chia sẻ dữ liệu như thế nào
bạn sẽ có những biện pháp bảo vệ nào
bạn có thể chia sẻ dữ liệu với bên nào và tại sao

Chúng tôi lưu trữ và xử lý dữ liệu cá nhân ở đâu?


Nếu có thể, hãy giải thích xem bạn có ý định lưu trữ và xử lý dữ liệu bên ngoài quốc gia của chủ thể dữ liệu hay không. Vạch ra các bước bạn sẽ thực hiện để đảm bảo dữ liệu được xử lý theo chính sách bảo mật của bạn và luật hiện hành của quốc gia có dữ liệu.

Nếu bạn chuyển dữ liệu ra bên ngoài Khu vực Kinh tế Châu Âu, hãy phác thảo các biện pháp bạn sẽ thực hiện để cung cấp mức độ bảo vệ quyền riêng tư dữ liệu thích hợp. Ví dụ: các điều khoản hợp đồng, thỏa thuận truyền dữ liệu, v.v.

Làm cách nào để chúng tôi bảo mật dữ liệu cá nhân?


Mô tả cách tiếp cận của bạn đối với bảo mật dữ liệu và các công nghệ và quy trình bạn sử dụng để bảo vệ thông tin cá nhân. Ví dụ, đây có thể là các biện pháp:
để bảo vệ dữ liệu khỏi bị mất ngẫu nhiên
để ngăn chặn truy cập, sử dụng, phá hủy hoặc tiết lộ trái phép
để đảm bảo hoạt động kinh doanh liên tục và phục hồi sau thảm họa
để hạn chế quyền truy cập vào thông tin cá nhân
để thực hiện đánh giá tác động đến quyền riêng tư theo luật và chính sách kinh doanh của bạn
đào tạo nhân viên và nhà thầu về bảo mật dữ liệu
để quản lý rủi ro của bên thứ ba, thông qua việc sử dụng các hợp đồng và đánh giá bảo mật



Xin lưu ý rằng danh sách này không phải là đầy đủ. Bạn nên ghi lại tất cả các cơ chế mà bạn dựa vào để bảo vệ dữ liệu cá nhân. Bạn cũng nên nêu rõ liệu tổ chức của bạn có tuân thủ các tiêu chuẩn được chấp nhận hoặc các yêu cầu quy định hay không.



Chúng tôi lưu giữ dữ liệu cá nhân của bạn trong bao lâu?


Cung cấp thông tin cụ thể về khoảng thời gian bạn sẽ lưu giữ thông tin liên quan đến từng mục đích xử lý. GDPR yêu cầu bạn lưu giữ dữ liệu trong thời gian không quá mức cần thiết một cách hợp lý. Bao gồm chi tiết về dữ liệu hoặc lịch trình lưu giữ hồ sơ của bạn hoặc liên kết đến các tài nguyên bổ sung nơi chúng được xuất bản.



Nếu bạn không thể nêu một khoảng thời gian cụ thể, bạn cần đưa ra các tiêu chí sẽ áp dụng để xác định thời gian lưu giữ dữ liệu (ví dụ: luật pháp địa phương, nghĩa vụ hợp đồng, v.v.)



Bạn cũng nên phác thảo cách bạn loại bỏ dữ liệu một cách an toàn sau khi bạn không cần nữa.



Quyền của bạn liên quan đến dữ liệu cá nhân


Theo GDPR, bạn phải tôn trọng quyền của các chủ thể dữ liệu được truy cập và kiểm soát dữ liệu cá nhân của họ. Trong thông báo về quyền riêng tư của bạn, bạn phải nêu rõ các quyền của họ về:
truy cập thông tin cá nhân
sửa và xóa
rút lại sự đồng ý (nếu xử lý dữ liệu với điều kiện được sự đồng ý)
tính di động dữ liệu
hạn chế xử lý và phản đối
nộp đơn khiếu nại với Văn phòng Ủy viên Thông tin

Bạn nên giải thích cách các cá nhân có thể thực hiện các quyền của họ và cách bạn dự định phản hồi các yêu cầu về dữ liệu chủ đề. Nêu rõ nếu có thể áp dụng bất kỳ trường hợp miễn trừ liên quan nào và đặt ra bất kỳ quy trình xác minh danh tính nào mà bạn có thể dựa vào.

Bao gồm chi tiết về các trường hợp mà quyền của chủ thể dữ liệu có thể bị hạn chế, ví dụ: nếu việc đáp ứng yêu cầu về chủ thể dữ liệu có thể làm lộ dữ liệu cá nhân về người khác hoặc nếu bạn được yêu cầu xóa dữ liệu mà bạn bắt buộc phải giữ theo luật.

Sử dụng lập hồ sơ và ra quyết định tự động


Khi bạn sử dụng hồ sơ hoặc ra quyết định tự động khác, bạn phải tiết lộ điều này trong chính sách bảo mật của mình. Trong những trường hợp như vậy, bạn phải cung cấp thông tin chi tiết về sự tồn tại của bất kỳ quá trình ra quyết định tự động nào, cùng với thông tin về logic liên quan, tầm quan trọng và hậu quả có thể xảy ra của quá trình xử lý của cá nhân.

Làm thế nào để liên hệ với chúng tôi?


Giải thích cách chủ thể dữ liệu có thể liên hệ nếu họ có câu hỏi hoặc thắc mắc về các thực tiễn bảo mật của bạn, thông tin cá nhân của họ hoặc nếu họ muốn gửi đơn khiếu nại. Mô tả tất cả các cách mà họ có thể liên lạc với bạn - ví dụ: trực tuyến, qua email hoặc thư bưu điện.



Nếu có, bạn cũng có thể bao gồm thông tin về:



Sử dụng cookie và các công nghệ khác


Bạn có thể bao gồm một liên kết đến thông tin khác hoặc mô tả trong chính sách nếu bạn định đặt và sử dụng cookie, theo dõi và các công nghệ tương tự để lưu trữ và quản lý các tùy chọn của người dùng trên trang web của bạn, quảng cáo, kích hoạt nội dung hoặc phân tích người dùng và dữ liệu sử dụng. Cung cấp thông tin về loại cookie và công nghệ bạn sử dụng, lý do bạn sử dụng chúng và cách một cá nhân có thể kiểm soát và quản lý chúng.



Liên kết đến các trang web khác / nội dung của bên thứ ba
Nếu bạn liên kết đến các trang và tài nguyên bên ngoài từ trang web của mình, hãy nêu cụ thể xem điều này có cấu thành sự chứng thực hay không và nếu bạn chịu bất kỳ trách nhiệm nào về nội dung (hoặc thông tin có trong) bất kỳ trang web được liên kết nào.



Bạn có thể muốn xem xét thêm các điều khoản tùy chọn khác vào chính sách bảo mật của mình, tùy thuộc vào hoàn cảnh kinh doanh của bạn.