我已经使用 Django、Vue.js 构建了一个 Web 应用程序并将其部署在 Heroku 上。这是一个为大型慈善机构制作的网络应用程序,您可以通过向慈善机构捐款来赢取奖品。收集以下信息:
我猜这是非常基本的。没有存储支付信息的原因是,点击“捐赠”后,用户会被重定向到 JustGiving(实施 JustGiving API),在那里他们输入支付信息等,然后被重定向回我们的网站。
发送了几封电子邮件:
这将是我第一次正确发布 Web 应用程序,所以想问一下我需要哪些步骤来确保 Web 应用程序是合法的。我知道我可能必须有一个“cookies”警报和一个用户选择接收或不接收电子邮件的部分。
我必须采取哪些其他步骤来确保我没有违反任何规则?
GDPR 可能感觉很复杂,但由于您在这里收集的信息很少,因此不必如此。作为开发人员遵循最佳实践应确保您在安全方面进行尽职调查。
为了确保您和慈善机构的安全,以防万一发生违规行为,我会确保您之间有一份签署的文件,列出明确的责任,并详细说明您将持有该信息的时间。例如,如果有人注册但没有中奖,那么您在什么时候认为该人的信息是不必要的?
我将通过 ICO 对慈善机构的指导工作 - https://ico.org.uk/for-organisations/in-your-sector/charity/charities-faqs/
GDPR 合规性由赋予用户数据的八项权利决定。您需要确保保留所有权利:
您对用户数据的使用必须是透明的。您收集哪些数据,将其用于什么目的以及与谁交换?这通常记录在您网站的隐私政策中。
如果有人要求您提供他们的数据,您必须将其提供给他们。您提供它的方式需要是常用格式,例如 JSON 或 CSV。
如果有关用户的数据不正确,您必须让他们更正。
如果没有充分的理由保留数据,用户可以要求删除或删除他们的数据。在您的示例中,这对应于删除他们的帐户。
用户可以要求您阻止对其数据的任何进一步处理;您可以继续存储它,但不能对其执行其他业务操作。
与上述访问权类似,您必须允许用户为自己的目的导出和重复使用他们的个人数据。
用户可以反对将任何个人信息用于他们不想要的目的,例如用于分析或营销。
个人可以反对使用他们的个人信息。这包括用于直接营销、研究和统计的目的。
这定义了您必须满足的要求,才能将用户数据用作自动决策的一部分,例如发放信用或决定他们是否可以在候补名单上。
然而,归根结底,GDPR 合规性是一个法律问题,无法通过技术镜头来回答。