Forneça o nome e os detalhes de contato do controlador de dados. Este será normalmente o seu negócio ou você, se for um empresário individual. Quando aplicável, você deve incluir a identidade e os detalhes de contato do representante do controlador e / ou do oficial de proteção de dados.
Especifique os tipos de informações pessoais que você coleta, por exemplo, nomes, endereços, nomes de usuário, etc. Você deve incluir detalhes específicos sobre: como você coleta dados (por exemplo, quando um usuário se registra, compra ou usa seus serviços, preenche um formulário de contato, se inscreve um boletim informativo, etc) que dados específicos que recolhemos através de cada um o método de coleta de dados se você coletar dados de terceiros, você deve especificar as categorias de dados e fonte se você processar dados pessoais sensíveis ou informações financeiras, e como você lidar com isso
você pode desejar fornecer ao usuário definições relevantes em relação a dados pessoais e dados pessoais sensíveis.
Descreva em detalhes todos os propósitos relacionados a serviços e negócios para os quais você processará dados. Por exemplo, isso pode incluir coisas como: personalização de conteúdo, informações de negócios ou conta de experiência do usuário, configuração e administração de marketing e comunicação de eventos, realização de pesquisas e pesquisas internas para fins de pesquisa e desenvolvimento, fornecimento de bens e serviços obrigações legais (por exemplo, prevenção de fraude) atendendo aos requisitos de auditoria interna
Observe que esta lista não é exaustiva. Você precisará registrar todos os fins para os quais processa dados pessoais.
Descreva as condições de processamento relevantes contidas no GDPR. Existem seis fundamentos legais possíveis: consentimento contrato interesses legítimos interesses vitais tarefa pública obrigação legal
Forneça informações detalhadas sobre todos os motivos que se aplicam ao seu processamento e por quê. Se você depende do consentimento, explique como os indivíduos podem retirar e gerenciar seu consentimento. Se você depende de interesses legítimos, explique claramente o que são.
Se estiver processando dados pessoais de categorias especiais, você deverá atender a pelo menos uma das seis condições de processamento, bem como aos requisitos adicionais para processamento de acordo com o GDPR. Forneça informações sobre todos os motivos adicionais aplicáveis.
Explique que você tratará os dados pessoais de maneira confidencial e descreverá as circunstâncias em que poderá divulgá-los ou compartilhá-los. Por exemplo, quando necessário para fornecer seus serviços ou conduzir suas operações comerciais, conforme descrito em seus propósitos de processamento. Você deve fornecer informações sobre: como você compartilhará os dados, quais proteções você terá em vigor, com quais partes você pode compartilhar os dados e por quê
Se aplicável, explique se pretende armazenar e processar dados fora do país de origem do titular dos dados. Descreva as etapas que você executará para garantir que os dados sejam processados de acordo com sua política de privacidade e a lei aplicável do país onde os dados estão localizados. Se você transferir dados para fora do Espaço Econômico Europeu, descreva as medidas que você adotará para fornecer um nível apropriado de proteção à privacidade de dados. Por exemplo, cláusulas contratuais, acordos de transferência de dados, etc.
Descreva sua abordagem à segurança de dados e as tecnologias e procedimentos que você usa para proteger as informações pessoais. Por exemplo, podem ser medidas: para proteger dados contra perda acidental para evitar acesso não autorizado, uso, destruição ou divulgação para garantir a continuidade dos negócios e recuperação de desastres para restringir o acesso a informações pessoais para conduzir avaliações de impacto de privacidade de acordo com a lei e seu negócio políticas para treinar funcionários e contratados em segurança de dados para gerenciar riscos de terceiros, por meio de contratos e análises de segurança.
Observe que esta lista não é exaustiva. Você deve registrar todos os mecanismos nos quais confia para proteger os dados pessoais. Você também deve declarar se sua organização adere a certos padrões aceitos ou requisitos regulatórios.
Forneça informações específicas sobre o período de tempo durante o qual você manterá as informações em relação a cada finalidade de processamento. O GDPR exige que você retenha os dados por não mais do que o razoavelmente necessário. Inclua detalhes de seus dados ou cronogramas de retenção de registros, ou link para recursos adicionais onde eles são publicados.
Se você não puder declarar um período específico, precisará definir os critérios que aplicará para determinar por quanto tempo manter os dados (por exemplo, leis locais, obrigações contratuais, etc.).
Você também deve descrever como descarta os dados com segurança depois de não mais precisa.
De acordo com o GDPR, você deve respeitar o direito dos titulares dos dados de acessar e controlar seus dados pessoais. No seu aviso de privacidade, você deve delinear seus direitos em relação a: acesso à correção de informações pessoais e exclusão retirada de consentimento (se estiver processando dados na condição de consentimento) restrição de portabilidade de dados de processamento e objeção apresentando uma reclamação ao Information Commissioner's Office. explique como os indivíduos podem exercer seus direitos e como você planeja responder às solicitações de dados do sujeito. Declare se quaisquer isenções relevantes podem ser aplicadas e estabeleça quaisquer procedimentos de verificação de identidade nos quais você possa confiar. Incluir detalhes das circunstâncias em que os direitos do titular dos dados podem ser limitados, por exemplo, se o cumprimento da solicitação do titular dos dados pode expor dados pessoais sobre outra pessoa,
Quando você usa criação de perfil ou outra tomada de decisão automatizada, deve divulgar isso em sua política de privacidade. Nesses casos, você deve fornecer detalhes sobre a existência de qualquer tomada de decisão automatizada, juntamente com informações sobre a lógica envolvida e o provável significado e consequências do processamento do indivíduo.
Explique como o titular dos dados pode entrar em contato se tiver dúvidas ou preocupações sobre suas práticas de privacidade, suas informações pessoais ou se desejar registrar uma reclamação. Descreva todas as maneiras pelas quais eles podem entrar em contato com você - por exemplo, online, por e-mail ou correio.
Se aplicável, você também pode incluir informações sobre:
Você pode incluir um link para mais informações ou descrever na política se pretende definir e usar cookies, rastreamento e tecnologias semelhantes para armazenar e gerenciar as preferências do usuário em seu site, anunciar, habilitar conteúdo ou de outra forma analisar os dados do usuário e de uso. Forneça informações sobre os tipos de cookies e tecnologias que você usa, por que os usa e como um indivíduo pode controlá-los e gerenciá-los.
Vinculando a outros sites / conteúdo de terceiros Se você vincular a sites e recursos externos de seu site, seja específico se isso constitui endosso e se você assume qualquer responsabilidade pelo conteúdo (ou informações contidas em) qualquer site vinculado.
Você pode querer adicionar outras cláusulas opcionais à sua política de privacidade, dependendo das circunstâncias do seu negócio.