【问题标题】:GDPR compliance for a web app (Vue.js, Django, Heroku) [closed]Web 应用程序(Vue.js、Django、Heroku)的 GDPR 合规性 [关闭]
【发布时间】:2020-12-18 03:24:14
【问题描述】:

我已经使用 Django、Vue.js 构建了一个 Web 应用程序并将其部署在 Heroku 上。这是一个为大型慈善机构制作的网络应用程序,您可以通过向慈善机构捐款来赢取奖品。收集以下信息:

  • 姓名
  • 用户名
  • 电子邮件
  • 密码

我猜这是非常基本的。没有存储付款信息的原因是,点击“捐赠”后,用户会被重定向到 JustGiving(实施 JustGiving API),在那里他们输入付款信息等,然后被重定向回我们的网站。

发送了几封电子邮件:

  • 有人中奖时的电子邮件
  • 如果您是获奖者,请发送电子邮件
  • 进行新抽奖时的电子邮件
  • 捐款收据

这将是我第一次正确发布网络应用程序,所以想问一下我需要哪些步骤来确保网络应用程序是合法的。我知道我可能必须有一个“cookies”警报和一个用户选择接收或不接收电子邮件的部分。

我必须采取哪些其他步骤来确保我没有违反任何规则?

【问题讨论】:

  • 我将这个问题作为题外话来结束,因为它与help center 中概述的实际编程问题无关。

标签: django database security data-security


【解决方案1】:

GDPR 可能感觉很复杂,但由于您在这里收集的信息很少,因此不必如此。作为开发人员,遵循最佳实践应确保您在安全方面进行尽职调查。

为了确保您和慈善机构在发生违规时的安全,我会确保您之间有一份签署的文件,其中列出明确的责任,并详细说明您将持有该信息的时间。例如,如果有人注册但没有中奖,那么您在什么时候认为该人的信息是不必要的?

我会按照 ICO 对慈善机构的指导工作 - https://ico.org.uk/for-organisations/in-your-sector/charity/charities-faqs/

【讨论】:

    【解决方案2】:

    GDPR 合规性取决于赋予用户的八项与数据相关的权利。您需要确保保留所有权利:

    知情权

    您对用户数据的使用必须透明。您收集哪些数据,将其用于什么目的以及与谁交换?这通常记录在您网站的隐私政策中。

    访问权

    如果有人要求您提供他们的数据,您必须将其提供给他们。您提供它的方式需要是常用的格式,例如JSON 或 CSV。

    整改权

    如果关于用户的数据不正确,您必须让他们更正。

    删除权

    如果没有充分的理由保留数据,用户可以要求删除或移除他们的数据。在您的示例中,这对应于删除他们的帐户。

    限制处理权

    用户可以要求您阻止对其数据的任何进一步处理;您可以继续存储它,但不能对其执行其他业务操作。

    携带权

    与上述访问权类似,您必须允许用户出于自己的目的导出和重复使用他们的个人数据。

    反对权

    用户可以反对将任何个人信息用于他们不希望的目的,例如用于分析或营销。

    个人可以反对使用他们的个人信息。这包括出于直接营销、研究和统计目的。

    与自动决策相关的权利

    这定义了您必须满足的要求,才能将用户数据用作自动决策的一部分,例如发放信用或决定他们是否可以列入候补名单。

    不过,归根结底,GDPR 合规性是一个法律问题,无法通过技术视角来回答。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2018-10-29
      • 2020-06-26
      • 2017-12-16
      • 1970-01-01
      • 2016-01-22
      • 1970-01-01
      • 2012-03-14
      • 1970-01-01
      相关资源
      最近更新 更多