Chúng tôi là ai?

Cung cấp tên và chi tiết liên hệ của người kiểm soát dữ liệu. Đây thường là doanh nghiệp của bạn hoặc bạn, nếu bạn là một nhà kinh doanh cá thể. Nếu có thể, bạn nên bao gồm danh tính và chi tiết liên hệ của đại diện bên kiểm soát và/hoặc nhân viên bảo vệ dữ liệu.

Chúng tôi đã thu thập được thông tin gì rồi?

Chỉ định loại thông tin cá nhân bạn thu thập, ví dụ: tên, địa chỉ, tên người dùng, v.v. Bạn nên bao gồm các chi tiết cụ thể về:
cách bạn thu thập dữ liệu (ví dụ: khi người dùng đăng ký, mua hoặc sử dụng dịch vụ của bạn, hoàn thành biểu mẫu liên hệ, đăng ký nhận bản tin, v.v.)
dữ liệu cụ thể nào bạn thu thập thông qua từng phương pháp thu thập dữ liệu
nếu bạn thu thập dữ liệu từ bên thứ ba, bạn phải chỉ định danh mục dữ liệu và nguồn
liệu bạn có xử lý dữ liệu cá nhân hoặc thông tin tài chính nhạy cảm hay không và cách bạn xử lý việc này

Bạn có thể muốn cung cấp cho người dùng các định nghĩa liên quan đến dữ liệu cá nhân và dữ liệu cá nhân nhạy cảm.

Chúng tôi sử dụng thông tin cá nhân như thế nào?

Mô tả chi tiết tất cả các mục đích liên quan đến dịch vụ và kinh doanh mà bạn sẽ xử lý dữ liệu. Ví dụ: điều này có thể bao gồm những thứ như:
cá nhân hóa nội dung, thông tin doanh nghiệp hoặc trải nghiệm người dùng
thiết lập và quản lý tài khoản
cung cấp thông tin tiếp thị và sự kiện
thực hiện các cuộc thăm dò và khảo sát
mục đích nghiên cứu và phát triển nội bộ
cung cấp hàng hóa và dịch vụ
nghĩa vụ pháp lý (ví dụ: phòng chống gian lận)
đáp ứng các yêu cầu kiểm toán nội bộ

Xin lưu ý rằng danh sách này không đầy đủ. Bạn sẽ cần phải ghi lại tất cả các mục đích mà bạn xử lý dữ liệu cá nhân.

Chúng tôi có cơ sở pháp lý nào để xử lý dữ liệu cá nhân của bạn?

Mô tả các điều kiện xử lý có liên quan trong GDPR. Có sáu căn cứ pháp lý có thể có:
sự đồng ý
hợp đồng
lợi ích hợp pháp
lợi ích sống còn
nhiệm vụ công
nghĩa vụ pháp lý

Cung cấp thông tin chi tiết về tất cả các căn cứ áp dụng cho quá trình xử lý của bạn và tại sao. Nếu bạn dựa vào sự đồng ý, hãy giải thích cách các cá nhân có thể rút lại và quản lý sự đồng ý của họ. Nếu dựa vào lợi ích chính đáng thì hãy giải thích rõ ràng đó là gì.

Nếu đang xử lý dữ liệu cá nhân thuộc danh mục đặc biệt, bạn sẽ phải đáp ứng ít nhất một trong sáu điều kiện xử lý, cũng như các yêu cầu bổ sung để xử lý theo GDPR. Cung cấp thông tin trên tất cả các căn cứ bổ sung áp dụng.

Khi nào chúng tôi chia sẻ dữ liệu cá nhân?

Giải thích rằng bạn sẽ xử lý dữ liệu cá nhân một cách bảo mật và mô tả các trường hợp bạn có thể tiết lộ hoặc chia sẻ dữ liệu đó. Ví dụ: khi cần thiết để cung cấp dịch vụ hoặc tiến hành các hoạt động kinh doanh của bạn, như đã nêu trong mục đích xử lý của bạn. Bạn nên cung cấp thông tin về:
cách bạn chia sẻ dữ liệu
bạn sẽ có những biện pháp bảo vệ nào
bạn có thể chia sẻ dữ liệu với những bên nào và tại sao

Chúng tôi phải chia sẻ dữ liệu ở đâu lưu trữ và xử lý dữ liệu cá nhân?

Nếu có, hãy giải thích xem bạn có ý định lưu trữ và xử lý dữ liệu bên ngoài quốc gia của chủ thể dữ liệu hay không. Phác thảo các bước bạn sẽ thực hiện để đảm bảo dữ liệu được xử lý theo chính sách quyền riêng tư của bạn và luật hiện hành của quốc gia nơi chứa dữ liệu.

Nếu bạn chuyển dữ liệu ra ngoài Khu vực Kinh tế Châu Âu, hãy phác thảo các biện pháp bạn sẽ áp dụng để cung cấp mức độ bảo vệ quyền riêng tư dữ liệu thích hợp. Ví dụ: các điều khoản hợp đồng, thỏa thuận truyền dữ liệu, v.v.

Chúng tôi bảo mật dữ liệu cá nhân bằng cách nào?

Mô tả cách tiếp cận của bạn đối với bảo mật dữ liệu cũng như các công nghệ và quy trình bạn sử dụng để bảo vệ thông tin cá nhân. Ví dụ: đây có thể là các biện pháp:
để bảo vệ dữ liệu khỏi bị mất do vô tình
ngăn chặn truy cập, sử dụng, phá hủy hoặc tiết lộ trái phép
để đảm bảo tính liên tục trong kinh doanh và khắc phục thảm họa
để hạn chế quyền truy cập vào thông tin cá nhân < br>tiến hành đánh giá tác động đến quyền riêng tư theo luật pháp và chính sách kinh doanh của bạn
đào tạo nhân viên và nhà thầu về bảo mật dữ liệu
để quản lý rủi ro của bên thứ ba, thông qua việc sử dụng hợp đồng và đánh giá bảo mật

Xin vui lòng lưu ý danh sách này không đầy đủ. Bạn nên ghi lại tất cả các cơ chế mà bạn dựa vào để bảo vệ dữ liệu cá nhân. Bạn cũng nên nêu rõ liệu tổ chức của bạn có tuân thủ các tiêu chuẩn được chấp nhận hoặc yêu cầu quy định nhất định hay không.

Chúng tôi lưu giữ dữ liệu cá nhân của bạn trong bao lâu?

Cung cấp thông tin cụ thể về khoảng thời gian bạn sẽ lưu giữ thông tin liên quan đến từng mục đích xử lý. GDPR yêu cầu bạn lưu giữ dữ liệu không lâu hơn mức cần thiết. Bao gồm các chi tiết về lịch trình lưu giữ hồ sơ hoặc dữ liệu của bạn hoặc liên kết đến các tài nguyên bổ sung nơi chúng được xuất bản.

Nếu không thể nêu rõ khoảng thời gian cụ thể, bạn cần đặt ra các tiêu chí bạn sẽ áp dụng để xác định thời gian lưu giữ dữ liệu (ví dụ: luật pháp địa phương, nghĩa vụ hợp đồng, v.v.)

Bạn cũng nên phác thảo cách bạn loại bỏ dữ liệu một cách an toàn sau khi bạn không còn cần đến nó nữa.

Quyền của bạn liên quan đến dữ liệu cá nhân

Theo GDPR, bạn phải tôn trọng quyền truy cập và kiểm soát dữ liệu cá nhân của họ. Trong thông báo về quyền riêng tư của mình, bạn phải nêu rõ các quyền của họ đối với:
truy cập thông tin cá nhân
sửa và xóa
rút lại sự đồng ý (nếu xử lý dữ liệu với điều kiện có sự đồng ý)
khả năng di chuyển dữ liệu
hạn chế xử lý và phản đối
gửi khiếu nại với Văn phòng Ủy viên Thông tin

Bạn nên giải thích cách các cá nhân có thể thực hiện các quyền của mình và cách bạn dự định phản hồi các yêu cầu về dữ liệu chủ đề. Nêu rõ liệu có thể áp dụng bất kỳ trường hợp miễn trừ liên quan nào hay không và đặt ra mọi thủ tục xác minh danh tính mà bạn có thể dựa vào.

Bao gồm chi tiết về các trường hợp mà quyền của chủ thể dữ liệu có thể bị hạn chế, ví dụ: nếu việc thực hiện yêu cầu của chủ thể dữ liệu có thể làm lộ dữ liệu cá nhân về người khác hoặc nếu bạn được yêu cầu xóa dữ liệu mà bạn bắt buộc phải giữ pháp luật.

Sử dụng tính năng lập hồ sơ và ra quyết định tự động

Khi sử dụng tính năng lập hồ sơ hoặc ra quyết định tự động khác, bạn phải tiết lộ điều này trong chính sách quyền riêng tư của mình. Trong những trường hợp như vậy, bạn phải cung cấp thông tin chi tiết về sự tồn tại của bất kỳ quá trình ra quyết định tự động nào, cùng với thông tin về logic liên quan cũng như tầm quan trọng và hậu quả có thể có của việc xử lý cá nhân.

Làm thế nào để liên hệ với chúng tôi?

Giải thích cách chủ thể dữ liệu có thể liên hệ nếu họ có câu hỏi hoặc thắc mắc về các biện pháp bảo vệ quyền riêng tư của bạn, thông tin cá nhân của họ hoặc nếu họ muốn gửi khiếu nại. Mô tả tất cả các cách mà họ có thể liên hệ với bạn – ví dụ: trực tuyến, qua email hoặc thư bưu điện.

Nếu có thể, bạn cũng có thể bao gồm thông tin về:

Việc sử dụng cookie và các công nghệ khác

Bạn có thể bao gồm liên kết đến thông tin thêm hoặc mô tả trong chính sách nếu bạn có ý định đặt và sử dụng cookie, công nghệ theo dõi và các công nghệ tương tự để lưu trữ và quản lý tùy chọn người dùng trên trang web của mình, quảng cáo, bật nội dung hoặc phân tích dữ liệu người dùng và dữ liệu sử dụng. Cung cấp thông tin về loại cookie và công nghệ bạn sử dụng, lý do bạn sử dụng chúng và cách một cá nhân có thể kiểm soát và quản lý chúng.

Liên kết đến các trang web khác / nội dung của bên thứ ba
Nếu bạn liên kết đến các trang web và tài nguyên bên ngoài từ trang web của mình, hãy nêu rõ liệu điều này có cấu thành sự chứng thực hay không và liệu bạn có chịu bất kỳ trách nhiệm nào đối với nội dung (hoặc thông tin chứa trong đó hay không). bên trong) bất kỳ trang web được liên kết nào.

Bạn có thể cân nhắc việc thêm các điều khoản tùy chọn khác vào chính sách quyền riêng tư của mình, tùy thuộc vào hoàn cảnh doanh nghiệp của bạn.