GDPR跨境数据合规实务

**章欧洲数据保护法律的体系 1背景 2 GDPR 3《执法数据保护指令》（LEDP） 4《隐私和电子通信指导》（ePrivacy Directive 2002/58/EC） 5《数据保留指导》（Data Retention Directive） 6《网络和信息系统安全指导》（NIS Directive） 第二章GDPR部分术语理解以及法律的适用范围 1对GDPR部分术语的理解 2 GDPR的适用范围 3明确不属于GDPR管辖范围的情况 第三章数据保护的基本原则 1合法性、公平性和透明性原则 2目的限制原则 3数据*小化原则 4数据准确性原则 5存储限制原则 6安全和保密性原则 第四章满足个人数据处理合法性的一般标准 1处理个人数据的合法依据 2犯罪、定罪及安全措施数据 3处理不需要标示身份的情况 第五章处理特殊类型敏感数据合法性的标准 1允许数据控制人处理敏感数据的10种不同情况 2对处理特殊类型敏感数据的建议 第六章数据控制人向数据主体提供信息义务的 完成标准 1数据处理的透明性原则 2可以免除向数据主体提供信息义务的情形 3 《隐私和电子通信指导》的要求 4合理的数据处理告知 第七章数据主体的权利 1数据主体权利实现的形式要件 2双方的通信需要保有必要的透明度 3信息权(关于个人数据收集和处理) 4查阅权 5纠正权 6删除权（被遗忘权） 7限制处理权 8数据可携带权（便携性权） 9反对权 10数据主体权利的限制 第八章个人数据的安全 1数据安全原则和基于风险的处置方法 2数据安全事故发生时的提示和告知义务 3数据安全的实现 4数据安全事故处置计划 第九章组织和个人所要承担的数据保护责任 （GDPR的有责性要求） 1数据控制人的义务 2基于设计的数据保护和基于默认的数据保护 （data protection by design and by default） 3合规文件的准备以及与监管的合作 4数据保护影响评估 5数据合规官（DPO） 6公司约束规则（BCRs） 第十章数据保护影响评估（DPIA） 1需要进行DPIA的情况 2 DPIA的具体运作方式 3完整的DPIA评估报告的示例模板 第十一章跨境数据传输 1立法背景 2跨境数据传输的范围 3足够的数据保护水平 4针对美国的情况 5提供充分的数据保护 6跨国公司集团内部的个人数据传输机制——公司 约束规则（BCRs） 7提供充分数据保护的例外情况 第十二章雇佣关系中的数据处理 1雇员的个人数据 2雇主处理雇员个人数据的合法理由 3雇主处理雇员个人敏感数据的特殊要求 4雇主的通知义务 5雇员个人数据的保存 6工作场所监控 7雇主在进行工作场所监控时应当向雇员提供的 信息 8工会（Works Council） 9员工使用私人设备进行工作的特别注意（bring your own device） 第十三章针对用户进行营销行为中的数据合规 1营销行为数据合规的基本框架 2通过信件方式进行营销 3电话营销 4网络电子信息营销（使用电子邮件、短信、即时 通信软件） 5基于位置的营销 6基于用户线上行为的营销 7全球一些主要国家在直接营销方面的隐私保护 规定列表 第十四章外包业务关系中的个人数据保护 1各方在外包业务中的数据保护角色 2外包协议中应当包含的数据保护义务条款 第十五章GDPR的监管和执法 1数据控制人和数据处理人的自我约束和管理 2社会监督 3数据合规监管机构的行政监管和执法 4数据合规监管执法的管辖权与国际合作 5 GDPR的处罚和制裁措施 附录1数据隐私保护政策示例模版 附录2数据保留政策示例模版 附录3网站cookies政策示例模版 附录4欧盟数据跨境标准合同模版 附录5数据控制者对数据主体提出数据可携带权 要求的回应示例模版 附录6数据控制者对数据主体提出数据删除要求的 回应示例模版 附录7数据控制者对数据主体提出数据修正要求的 回应示例模版 附录8数据控制者对数据主体提出数据访问要求的 回应示例模版