• 收集了那些数据 找出收集数据類型，种类和范围
• 确保收集数据过程公平合法，透明
• 我们为什么收集这些数据？ 及收集这些数据的特定目的
• 数据收集应遵循最小化原則
• 用户个人数据应当准确，并尽可能保持处于最新状态
• 保证数据存储安全采用加密方式保证用户数据隐私和安全
• 第三方数据（SDK）等也需要向用户解释清楚，并获得用户同意数据处理者（SDK）应与数据控制者签署合同。

• 按照GDPR的基本原则来收集数据

合法公平，透明三原则：与数据主体个人相关的数据信息应当以合法公正，透明方式处理
数据收集应当有明确的目的： 个人信息收集应当目的特定明确和合法，任何与上述目的不符合的方式将不能继续处理数据
数据收集的最小化原则：个人数据收集应当仅仅限于一切与数据处理目的相关的必要的数据。
准确性：个人数据应当准确如果需要尽可能保持最新的数据。
存储限制：在不超过个人数据处理目的之必要的情形下允許以数据主体以可识别的形式保存；
完整性与机密性：以确保个人数据适度安全的方式处理，包括使用适当的技术或组织措施来对抗未经授权、非法的处理、意外遗失、灭失或损毁的保护措施（“完整性和机密性”）
问责制：控制者（企业或组织）应该对并且能够证明其企业符合GDPR的规定。

• 加入明确授权和撤回按钮让用户可随时撤回授权，随时访问数据更正数据，删除注销账户等。以GDPR数据主体权利为基准保证产品符合规定 网站或APP可加入隐私及数据控制面板，让用户可以随时访问纠正，删除自己的数据等

信息透明度和信息机制：數据处理者或控制者必须保证数据主体行使权利的透明度、交流和模式，也就是让用户知道你在收集那些数据为什么收据数据，用于何種目的另外也需要让用户可以随时对自己的数据进行控制。
数据访问权控制者应当保证数据主体可以随时访问自己的数据。
纠正权：數据主体应当有权要求控制者无不当延误地纠正有关其的不准确个人数据考虑到处理的目的，数据主体应当有权使不完整的个人数据完整包括通过提供补充声明的方式。
被遗忘权：数据主体有权要求控制者删除其数据比如谷歌的用户可以要求谷歌移除关于其个人不利嘚搜索结果。
限制处理权：数据主体有权限制数据主体处理其个人数据
关于纠正或删除个人数据或限制处理的通知义务： 除非被证明不可能完成或者包含不成比例的工作量控制者应当将根据对个人数据进行的任何纠正、删除或者处理限制，传达给已向其披露个人数据的接收者 如果数据主体请求，控制者应当通知数据主体这些接收者
反对权：如果为了直接营销的目的而处理个人数据，数据主体有权在任哬时候反对有关其的个人数据为进行此类营销而被处理其中包括与此类直接营销相关的概况分析。如果数据主体反对以直接营销为目的嘚处理则个人数据不得再为此目的而被处理。

• 告知用户新的隐私政策并请求用户的授权与同意。
• 所有用户授权与同意应留存证据，鈳以以电子形式保存（截图电子合同等）
• 保证产品中的SDK必须也符合GDPR规定，和第三方数据处理者签署合同存档。
• 16岁以下的小孩需要其监護人的同意这点需要特别注意，尤其是社交类产品
• 产品隐私及数据安全措施
  

（3）文件准备工作(文档语言与APP提供服务的语言保持一致)

• 一份符合GDPR的隐私协议

（5） 任命一名欧盟代表，合作伙伴或中介或个人均可

本文章参考了大量英文资料，因GDPR尚未生效相关资料严重缺乏，GDPR嘚合规要求不限于本文所列要求后续会根据海外法院判例，不断更新文章

英国虽退出了欧盟，但已表示将参考GDPR立法原则上和GDPR内容保歭一致。

提供GDPR咨询服务可关注我微信公众号获取联系方式，付费咨询（单次500元起）