Web 应用程序（Vue.js、Django、Heroku）的 GDPR 合规性 [关闭]

Posted 2023-03-17

【中文标题】Web 应用程序（Vue.js、Django、Heroku）的 GDPR 合规性 [关闭]

【英文标题】：GDPR compliance for a web app (Vue.js, Django, Heroku) [closed]

【发布时间】：2020-12-18 03:24:14

【问题描述】：

我已经使用 Django、Vue.js 构建了一个 Web 应用程序并将其部署在 Heroku 上。这是一个为大型慈善机构制作的网络应用程序，您可以通过向慈善机构捐款来赢取奖品。收集以下信息：

姓名 用户名 电子邮件 密码

我猜这是非常基本的。没有存储付款信息的原因是，点击“捐赠”后，用户会被重定向到 JustGiving（实施 JustGiving API），在那里他们输入付款信息等，然后被重定向回我们的网站。

发送了几封电子邮件：

有人中奖时的电子邮件 如果您是获奖者，请发送电子邮件 进行新抽奖时的电子邮件 捐款收据

这将是我第一次正确发布网络应用程序，所以想问一下我需要哪些步骤来确保网络应用程序是合法的。我知道我可能必须有一个“cookies”警报和一个用户选择接收或不接收电子邮件的部分。

我必须采取哪些其他步骤来确保我没有违反任何规则？

【问题讨论】：

我将这个问题作为题外话来结束，因为它与help center 中概述的实际编程问题无关。

【参考方案1】：

GDPR 可能感觉很复杂，但由于您在这里收集的信息很少，因此不必如此。作为开发人员，遵循最佳实践应确保您在安全方面进行尽职调查。

为了确保您和慈善机构在发生违规时的安全，我会确保您之间有一份签署的文件，其中列出明确的责任，并详细说明您将持有该信息的时间。例如，如果有人注册但没有中奖，那么您在什么时候认为该人的信息是不必要的？

我会按照 ICO 对慈善机构的指导工作 - https://ico.org.uk/for-organisations/in-your-sector/charity/charities-faqs/

【参考方案2】：

GDPR 合规性取决于赋予用户的八项与数据相关的权利。您需要确保保留所有权利：

知情权

您对用户数据的使用必须透明。您收集哪些数据，将其用于什么目的以及与谁交换？这通常记录在您网站的隐私政策中。

访问权

如果有人要求您提供他们的数据，您必须将其提供给他们。您提供它的方式需要是常用的格式，例如JSON 或 CSV。

整改权

如果关于用户的数据不正确，您必须让他们更正。

删除权

如果没有充分的理由保留数据，用户可以要求删除或移除他们的数据。在您的示例中，这对应于删除他们的帐户。

限制处理权

用户可以要求您阻止对其数据的任何进一步处理；您可以继续存储它，但不能对其执行其他业务操作。

携带权

与上述访问权类似，您必须允许用户出于自己的目的导出和重复使用他们的个人数据。

反对权

用户可以反对将任何个人信息用于他们不希望的目的，例如用于分析或营销。

个人可以反对使用他们的个人信息。这包括出于直接营销、研究和统计目的。

与自动决策相关的权利

这定义了您必须满足的要求，才能将用户数据用作自动决策的一部分，例如发放信用或决定他们是否可以列入候补名单。

不过，归根结底，GDPR 合规性是一个法律问题，无法通过技术视角来回答。