Quem somos?

Forneça o nome e os dados de contato do controlador de dados. Normalmente, será a sua empresa ou você, se for um comerciante individual. Quando aplicável, você deve incluir a identidade e os dados de contato do representante do controlador e/ou do responsável pela proteção de dados.

Quais informações coletamos?

Especifique os tipos de informações pessoais que você coleta, por exemplo, nomes, endereços, nomes de usuário, etc. Você deve incluir detalhes específicos sobre:
como você coleta dados (por exemplo, quando um usuário se registra, compra ou usa seus serviços, preenche um formulário de contato, se inscreve em uma newsletter, etc.)
quais dados específicos você coleta por meio de cada método de coleta de dados
se você coleta dados de terceiros, deve especificar as categorias de dados e a fonte
se você processa dados pessoais sensíveis ou informações financeiras e como você lida com isso

Você pode fornecer ao usuário definições relevantes em relação a dados pessoais e dados pessoais sensíveis.

Como usamos as informações pessoais?

Descreva detalhadamente todas as finalidades relacionadas aos serviços e negócios para as quais você processará os dados. Por exemplo, isso pode incluir coisas como:
personalização de conteúdo, informações comerciais ou experiência do usuário
configuração e administração de contas
entrega de comunicações de marketing e eventos
realização de enquetes e pesquisas
fins de pesquisa e desenvolvimento interno
fornecimento de bens e serviços
obrigações legais (por exemplo, prevenção de fraudes)
cumprimento de requisitos de auditoria interna

Observe que esta lista não é exaustiva. Você precisará registrar todas as finalidades para as quais processa dados pessoais.

Qual é a base legal para processarmos seus dados pessoais?

Descreva as condições de processamento relevantes contidas no GDPR. Há seis possíveis fundamentos legais:
consentimento
contrato
interesses legítimos
interesses vitais
tarefa pública
obrigação legal

Forneça informações detalhadas sobre todos os fundamentos aplicáveis ​​ao seu processamento e o porquê. Se você se baseia em consentimento, explique como os indivíduos podem revogá-lo e gerenciar seu consentimento. Se você se baseia em interesses legítimos, explique claramente quais são.

Se você estiver processando dados pessoais de categoria especial, deverá atender a pelo menos uma das seis condições de processamento, bem como aos requisitos adicionais para processamento sob o GDPR. Forneça informações sobre todos os fundamentos adicionais aplicáveis.

Quando compartilhamos dados pessoais?

Explique que você tratará os dados pessoais confidencialmente e descreva as circunstâncias em que poderá divulgá-los ou compartilhá-los. Por exemplo, quando necessário para fornecer seus serviços ou conduzir suas operações comerciais, conforme descrito em suas finalidades de processamento. Você deve fornecer informações sobre:
como você compartilhará os dados
quais salvaguardas você terá em vigor
com quais partes você poderá compartilhar os dados e por quê

Onde armazenamos e processamos dados pessoais?

Se aplicável, explique se você pretende armazenar e processar dados fora do país de origem do titular dos dados. Descreva as medidas que você tomará para garantir que os dados sejam processados ​​de acordo com sua política de privacidade e a legislação aplicável do país onde os dados estão localizados.

Se você transferir dados para fora do Espaço Econômico Europeu, descreva as medidas que você implementará para fornecer um nível adequado de proteção da privacidade de dados. Por exemplo, cláusulas contratuais, acordos de transferência de dados, etc.

Como protegemos os dados pessoais?

Descreva sua abordagem à segurança de dados e as tecnologias e procedimentos que você utiliza para proteger as informações pessoais. Por exemplo, estas podem ser medidas:
para proteger os dados contra perdas acidentais
para impedir acesso, uso, destruição ou divulgação não autorizados
para garantir a continuidade dos negócios e a recuperação de desastres
para restringir o acesso às informações pessoais
para realizar avaliações de impacto à privacidade de acordo com a lei e suas políticas comerciais
para treinar funcionários e contratados em segurança de dados
para gerenciar riscos de terceiros, por meio do uso de contratos e revisões de segurança

Observe que esta lista não é exaustiva. Você deve registrar todos os mecanismos utilizados para proteger os dados pessoais. Você também deve declarar se sua organização adere a determinados padrões aceitos ou requisitos regulatórios.

Por quanto tempo mantemos seus dados pessoais?

Forneça informações específicas sobre o período pelo qual você manterá as informações em relação a cada finalidade de processamento. O GDPR exige que você retenha os dados por um período não superior ao razoavelmente necessário. Inclua detalhes sobre seus cronogramas de retenção de dados ou registros ou vincule recursos adicionais onde estes forem publicados.

Caso não seja possível especificar um período específico, você precisa definir os critérios que aplicará para determinar por quanto tempo os dados serão mantidos (por exemplo, leis locais, obrigações contratuais, etc.).

Você também deve descrever como descartar os dados com segurança quando não precisar mais deles.

Seus direitos em relação aos dados pessoais

De acordo com o GDPR, você deve respeitar o direito dos titulares dos dados de acessar e controlar seus dados pessoais. Em seu aviso de privacidade, você deve descrever os direitos deles em relação a:
acesso a informações pessoais