Web 应用程序的 GDPR 合规性(Vue.js、Django、Heroku)
GDPR compliance for a web app (Vue.js, Django, Heroku)
我已经使用 Django 构建了一个 Web 应用程序,Vue.js 并将其部署在 Heroku 上。这是一个为大型慈善机构制作的网络应用程序,您可以通过向慈善机构捐款来赢得奖品。收集以下信息:
- 姓名
- 用户名
- 电子邮件
- 密码
我想这很基础。没有存储支付信息的原因是,在点击 'Donate' 后,用户被重定向到 JustGiving(实施了 JustGiving API),在那里他们输入他们的支付信息等,然后被重定向回我们的网站.
发送了几封电子邮件:
- 有人获奖时的电子邮件
- 如果您是获奖者,请发送一封电子邮件
- 进行新抽奖时的电子邮件
- 您的捐款收据
这将是我第一次正确发布网络应用程序,所以想问一下我需要采取哪些步骤来确保网络应用程序是合法的。我知道我可能必须有一个 'cookies' 警报和一个用户可以选择是否接收电子邮件的部分。
我必须采取哪些其他步骤来确保我没有违反任何规则?
GDPR 合规性取决于赋予用户关于其数据的八项权利。您需要确保保留所有权利:
知情权
您对用户数据的使用必须透明。您收集哪些数据、将其用于什么用途以及与谁交换数据?这通常记录在您网站的隐私政策中。
访问权限
如果有人向您索要他们的数据,您必须提供给他们。您提供的方式必须是常用格式,例如JSON 或 CSV。
整改权
如果用户数据不正确,您必须让他们更正。
删除权
如果没有充分的理由保留数据,用户可以要求删除或移除他们的数据。在您的示例中,这相当于删除他们的帐户。
限制处理的权利
用户可以要求您阻止对其数据的任何进一步处理;您可以继续存储它,但不能对其执行其他业务操作。
携带权
与上述访问权类似,您必须允许用户出于自己的目的导出和重复使用他们的个人数据。
反对权
用户可以反对将任何个人信息用于他们不想要的目的,例如分析或营销。
个人可以反对使用他们的个人信息。这包括用于直接营销、研究和统计目的。
与自动决策相关的权利
这定义了您必须满足的要求,才能将用户数据用作自动决策的一部分,例如发放信贷或决定他们是否可以在候补名单上。
然而,归根结底,GDPR 合规性是一个法律问题,无法通过技术视角来回答。
GDPR 可能让人感觉很复杂,但由于您在此处收集的信息很少,因此不必如此。作为开发人员,遵循最佳实践应该确保您在安全方面进行尽职调查。
为了在发生违规情况时确保您和慈善机构的安全,我会确保您之间有一份签署的文件,其中列出了明确的责任,并详细说明了您将持有这些信息的时间。例如,如果有人注册但没有赢得奖品,您在什么时候认为该人的信息是不必要的?
我会按照 ICO 对慈善机构的指导进行工作 - https://ico.org.uk/for-organisations/in-your-sector/charity/charities-faqs/
我已经使用 Django 构建了一个 Web 应用程序,Vue.js 并将其部署在 Heroku 上。这是一个为大型慈善机构制作的网络应用程序,您可以通过向慈善机构捐款来赢得奖品。收集以下信息:
- 姓名
- 用户名
- 电子邮件
- 密码
我想这很基础。没有存储支付信息的原因是,在点击 'Donate' 后,用户被重定向到 JustGiving(实施了 JustGiving API),在那里他们输入他们的支付信息等,然后被重定向回我们的网站.
发送了几封电子邮件:
- 有人获奖时的电子邮件
- 如果您是获奖者,请发送一封电子邮件
- 进行新抽奖时的电子邮件
- 您的捐款收据
这将是我第一次正确发布网络应用程序,所以想问一下我需要采取哪些步骤来确保网络应用程序是合法的。我知道我可能必须有一个 'cookies' 警报和一个用户可以选择是否接收电子邮件的部分。
我必须采取哪些其他步骤来确保我没有违反任何规则?
GDPR 合规性取决于赋予用户关于其数据的八项权利。您需要确保保留所有权利:
知情权
您对用户数据的使用必须透明。您收集哪些数据、将其用于什么用途以及与谁交换数据?这通常记录在您网站的隐私政策中。
访问权限
如果有人向您索要他们的数据,您必须提供给他们。您提供的方式必须是常用格式,例如JSON 或 CSV。
整改权
如果用户数据不正确,您必须让他们更正。
删除权
如果没有充分的理由保留数据,用户可以要求删除或移除他们的数据。在您的示例中,这相当于删除他们的帐户。
限制处理的权利
用户可以要求您阻止对其数据的任何进一步处理;您可以继续存储它,但不能对其执行其他业务操作。
携带权
与上述访问权类似,您必须允许用户出于自己的目的导出和重复使用他们的个人数据。
反对权
用户可以反对将任何个人信息用于他们不想要的目的,例如分析或营销。
个人可以反对使用他们的个人信息。这包括用于直接营销、研究和统计目的。
与自动决策相关的权利
这定义了您必须满足的要求,才能将用户数据用作自动决策的一部分,例如发放信贷或决定他们是否可以在候补名单上。
然而,归根结底,GDPR 合规性是一个法律问题,无法通过技术视角来回答。
GDPR 可能让人感觉很复杂,但由于您在此处收集的信息很少,因此不必如此。作为开发人员,遵循最佳实践应该确保您在安全方面进行尽职调查。
为了在发生违规情况时确保您和慈善机构的安全,我会确保您之间有一份签署的文件,其中列出了明确的责任,并详细说明了您将持有这些信息的时间。例如,如果有人注册但没有赢得奖品,您在什么时候认为该人的信息是不必要的?
我会按照 ICO 对慈善机构的指导进行工作 - https://ico.org.uk/for-organisations/in-your-sector/charity/charities-faqs/