在本博客中,我们探讨了隐私声明的 GDPR 要求,分享了如何使其清晰易懂、方便用户使用的实用建议,并强调了应避免的常见陷阱。通过确保您的隐私声明符合透明度义务,您可以满足监管期望并增强对组织数据保护实践的信心。
什么是隐私声明?
隐私声明是一份公开文件,概述了 垃圾邮件数据 组织如何处理个人资料. 它告知个人如何收集、使用和存储他们的信息,以及他们根据数据保护法。
GDPR 第 60 条规定,个人“应被告知处理操作的存在及其目的”——这一要求通常通过使用隐私声明来满足。
隐私声明的目的是确保个人了解其数据的去向。虽然主要目标是法律合规性和透明度,但写得好的隐私声明也可以帮助加强组织与其用户、客户和员工之间的信任。
需要注意的是,GDPR 并没有明确提及“隐私声明”一词,组织可以选择将其称为隐私政策、数据保护声明或其他名称。
谁需要提供隐私声明
根据 GDPR,只有数据控制者需要 通过技术进行交易 提供隐私声明。因此,了解您的企业的作用至关重要。
- 数据控制者:确定处理个人数据的目的和方法的实体(例如组织)
- 数据处理器:第三方代表数据控制者处理个人数据
如需了解更多详细信息,请访问欧洲数据保护委员会 (EDPB) 网站,了解EDPB 关于数据控制者的官方指南和数据处理器。
对于英国的指导,信息专员办公室(首次代币发行)对控制者和处理者有类似的英国 GDPR 指导。
隐私声明的主要GDPR要求
GDPR 第 12、13 和 14 条规定了隐私声明的若干法律要求,包括其内容和对数据主体的可用性。
为了符合 GDPR 要求,隐私声明必须 西班牙比特币数据库 包含以下内容:
| 行动 | 细节 |
| 身份和联系方式 | 该组织、其代表以及数据保护官(如有需要)的名称和联系方式 |
| 目的和法律依据 | 数据处理的目的及其法律依据 |
| 合法权益 | 该组织或第三方追求的任何合法利益(如适用) |
| 数据接收者 | 个人数据的接收者或接收者类别 |
| 数据传输 | 有关任何个人数据转移的信息第三国或国际组织,包括保障措施到位 |
| 保留时期 | 个人信息的保存期限,或确定该期限的标准 |
| 数据主体权利 | 相关信息资料主体权利,包括请求访问和更正或删除个人数据的权利、限制或反对处理的权利以及数据可携性的权利 |
| 撤回权同意 | 如果处理是基于同意的,则有权随时撤回同意 |
| 投诉权 | 向监督机构 |
| 自动决策,包括分析 | 关于自动决策系统存在的信息,包括分析,以及有关所涉及的逻辑、意义以及此类处理对个人的影响的有意义的信息 |
何时以及如何提供隐私声明
如果您直接从数据主体收集个人数据,则应在收集时提供您的隐私声明。
然而,如果你从第三方获取个人数据,通知的时间取决于以下情况:
- 在获得个人信息后的合理期限内,但不得晚于一个月
- 首次通信时,如果个人数据用于与数据主体进行通信
- 如果你打算向其他接收者披露个人数据,则不迟于数据首次披露时
何时不需要隐私声明:GDPR豁免
根据GDPR 第 14(5) 条规定,在以下情况下无需提供隐私声明:
- 数据主体已经拥有该信息
- 当无法发出通知或需要付出不成比例的努力时,特别是当数据用于存档、历史研究、统计或公共利益时,须遵守第 89(1) 条规定的条件和保障措施。在这种情况下,数据控制者必须采取措施保护数据主体的权利
- 联盟或成员国法律要求披露,其中包括保护数据主体合法利益的措施
- 由于专业或法定的保密义务,数据必须保密
为清晰和易懂而写作
GDPR 第 12 条规定,隐私声明应以“简洁、透明、易懂、易于访问的形式,使用清晰、平易近人的语言”编写。