Forneça o nome e detalhes de contato do controlador de dados. Isso normalmente será o seu negócio ou você, se você for um empresário individual. Quando aplicável, você deve incluir a identidade e os detalhes de contato do representante do controlador e/ou do responsável pela proteção de dados.
Especifique os tipos de informações pessoais que você coleta, por exemplo, nomes, endereços, nomes de usuário, etc. Você deve incluir detalhes específicos sobre: como você coleta dados (por exemplo, quando um usuário se registra, compra ou usa seus serviços, preenche um formulário de contato , assina um boletim informativo etc.) quais dados específicos você coleta por meio de cada um dos métodos de coleta de dados, se coletar dados de terceiros, deverá especificar as categorias de dados e a fonte, se processar dados pessoais confidenciais ou informações financeiras e como você lidar com isso
Você pode fornecer ao usuário definições relevantes em relação a dados pessoais e dados pessoais confidenciais.
Descreva detalhadamente todas as finalidades relacionadas ao serviço e ao negócio para as quais você processará os dados. Por exemplo, isso pode incluir itens como: personalização de conteúdo, informações de negócios ou experiência do usuário configuração e administração de contas entrega de marketing e comunicação de eventos realização de enquetes e pesquisas fins de pesquisa e desenvolvimento internos fornecimento de bens e serviços obrigações legais (por exemplo, prevenção de fraude) atendendo aos requisitos de auditoria interna
Observe que esta lista não é exaustiva. Você precisará registrar todas as finalidades para as quais processa dados pessoais.
Descreva as condições de processamento relevantes contidas no GDPR. Existem seis fundamentos jurídicos possíveis: contrato de consentimento interesses legítimos interesses vitais tarefa pública obrigação legal
Forneça informações detalhadas sobre todos os motivos que se aplicam ao seu processamento e por quê. Se você confiar no consentimento, explique como os indivíduos podem retirar e gerenciar seu consentimento. Se você se basear em interesses legítimos, explique claramente quais são.
Se estiver processando dados pessoais de categoria especial, você terá que satisfazer pelo menos uma das seis condições de processamento, bem como requisitos adicionais para processamento sob o GDPR. Forneça informações sobre todos os motivos adicionais aplicáveis.
Explique que você tratará os dados pessoais de forma confidencial e descreva as circunstâncias em que poderá divulgá-los ou compartilhá-los. Por exemplo, quando necessário para fornecer seus serviços ou conduzir suas operações comerciais, conforme descrito em seus propósitos de processamento. Você deve fornecer informações sobre: como você compartilhará os dados quais salvaguardas você terá em vigor com quais partes você pode compartilhar os dados e por quê
Se aplicável, explique se você pretende armazenar e processar dados fora do país de origem do titular dos dados. Descreva as etapas que você tomará para garantir que os dados sejam processados de acordo com sua política de privacidade e a lei aplicável do país onde os dados estão localizados. Se você transferir dados para fora do Espaço Econômico Europeu, descreva as medidas que você implementará para fornecer um nível adequado de proteção de privacidade de dados. Por exemplo, cláusulas contratuais, acordos de transferência de dados, etc.
Descreva sua abordagem para segurança de dados e as tecnologias e procedimentos que você usa para proteger informações pessoais. Por exemplo, estas podem ser medidas: para proteger os dados contra perda acidental para evitar acesso, uso, destruição ou divulgação não autorizados para garantir a continuidade dos negócios e recuperação de desastres para restringir o acesso a informações pessoais para realizar avaliações de impacto na privacidade de acordo com a lei e seus negócios políticas para treinar funcionários e contratados em segurança de dados para gerenciar riscos de terceiros, por meio do uso de contratos e análises de segurança
Observe que esta lista não é exaustiva. Você deve registrar todos os mecanismos nos quais confia para proteger dados pessoais. Você também deve declarar se sua organização segue determinados padrões aceitos ou requisitos regulatórios.
Forneça informações específicas sobre o período de tempo que você manterá as informações em relação a cada finalidade de processamento. O GDPR exige que você retenha dados por mais tempo do que o razoavelmente necessário. Inclua detalhes de seus cronogramas de retenção de dados ou registros ou links para recursos adicionais onde eles forem publicados.
Se você não puder indicar um período específico, precisará definir os critérios que aplicará para determinar por quanto tempo manter os dados (por exemplo, leis locais, obrigações contratuais etc.)
Você também deve descrever como descartar os dados com segurança quando não precisar mais deles.
De acordo com o GDPR, você deve respeitar o direito dos titulares dos dados de acessar e controlar seus dados pessoais. Em seu aviso de privacidade, você deve descrever seus direitos em relação a: acesso a informações pessoais correção e exclusão retirada de consentimento (se processar dados sob condição de consentimento) portabilidade de dados restrição de processamento e objeção apresentação de uma reclamação junto ao Information Commissioner's Office Você deve explicar como os indivíduos podem exercer seus direitos e como planeja responder às solicitações de dados do titular. Declare se quaisquer isenções relevantes podem ser aplicadas e defina quaisquer procedimentos de verificação de identidade nos quais você possa confiar. Inclua detalhes das circunstâncias em que os direitos do titular dos dados podem ser limitados, por exemplo, se atender à solicitação do titular dos dados puder expor dados pessoais sobre outra pessoa ou se você for solicitado a excluir dados que são obrigados a manter por lei.
Onde você usa criação de perfil ou outra tomada de decisão automatizada, deve divulgar isso em sua política de privacidade. Nesses casos, você deve fornecer detalhes sobre a existência de qualquer tomada de decisão automatizada, juntamente com informações sobre a lógica envolvida e o provável significado e consequências do processamento do indivíduo.
Explique como o titular dos dados pode entrar em contato se tiver dúvidas ou preocupações sobre suas práticas de privacidade, suas informações pessoais ou se desejar registrar uma reclamação. Descreva todas as maneiras pelas quais eles podem entrar em contato com você – por exemplo, on-line, por e-mail ou correio.
Se aplicável, você também pode incluir informações sobre:
Você pode incluir um link para mais informações ou descrever dentro da política se pretende definir e usar cookies, rastreamento e tecnologias semelhantes para armazenar e gerenciar as preferências do usuário em seu site, anunciar, habilitar conteúdo ou analisar o usuário e o uso dados. Forneça informações sobre quais tipos de cookies e tecnologias você usa, por que você os usa e como um indivíduo pode controlá-los e gerenciá-los.
Links para outros sites/conteúdo de terceiros Se você criar links para sites externos e recursos de seu site, especifique se isso constitui endosso e se você assume qualquer responsabilidade pelo conteúdo (ou informações contidas em) qualquer site vinculado. < br />
Você pode querer considerar a adição de outras cláusulas opcionais à sua política de privacidade, dependendo do perfil da sua empresa. circunstâncias.