目录
引言001
第一部分 GDPR的核心考量009
第一章 范围、控制者和处理者009
GDPR的适用范围009
控制者和处理者010
数据控制者010
联合控制者012
数据处理者012
作为处理者的控制者013
欧盟以外的控制者和处理者013
处理记录014
证明合规016
第二章 六项数据处理原则018
原则1:公平、透明和合法019
原则2:目的限制023
原则3:数据最小化023
原则4:准确024
原则5:存储限制025
原则6:完整与保密026
问责与合规027
第三章 数据主体权利030
公平处理030
查阅权031
更正权033
被遗忘权033
限制处理权034
数据携带权035
反对权036
与自动决策有关的权利037
第二部分 建立合规038
第四章 隐私合规框架038
属事范围040
属地范围041
治理042
目标043
关键程序044
个人信息管理系统047
ISO/IEC 27001:2013049
选择与执行一个合规框架053
框架实施054
第五章 信息安全作为数据保护的一部分056
个人数据泄露057
数据泄露分析057
攻击地点058
保护信息安全059
ISO 27001059
NIST 标准060
网络安全的十大步骤060
网络安全基础061
信息安全政策062
证明信息安全062
信息安全治理063
组织外的信息安全064
第六章 合法性及同意065
同意概述065
撤回同意067
同意的替代067
同意的实际运作069
儿童070
个人数据的特殊类别071
有关刑事定罪和犯罪的数据072
第七章 主体查阅请求073
接收请求073
提供信息074
数据携带074
数据控制者的责任075
流程与程序076
用以确认请求者身份的可选方案077
可查阅的记录078
时间和费用079
批量主体查阅请求的处理079
拒绝的权利079
响应流程079
第八章 数据保护官的角色081
自愿指定DPO的情况084
共享DPO的情况085
基于服务合同的DPO085
DPO联系方式的公布086
DPO的职责087
必要的资源087
独立行事088
对DPO的保护089
利益冲突090
DPO 的职位要求090
DPO的职责091
DPO与组织的关系094
DPO与监管机构的关系094
数据保护影响评估与风险管理095
内聘或外包096
第九章 绘制数据地图097
目标和产出097
数据流的四要素098
数据地图绘制、DPIA和风险管理099
你想收集什么099
绘制数据地图的方法100
第三部分 数据保护影响评估与风险管理103
第十章 数据保护影响评估的要求103
DPIA104
征询利益相关者110
谁需要参与111
基于设计和默认的数据保护112
第十一章 风险管理与DPIA114
作为风险管理一部分的DPIA114
风险管理标准与方法论115
风险应对120
风险关系122
风险管理及个人数据123
第十二章 执行124
DPIA的五个关键阶段124
确认对DPIA的需求125
目标和产出126
咨询127
描述信息流128
识别隐私及相关风险129
确定和评估隐私解决方案131
签署与记录结果133
将DPIA纳入项目计划134
第四部分 国际传输与事故管理135
第十三章 跨国管理个人数据135
关键要求136
充分性认定137
保障措施138
约束性企业规则140
标准合同条款140
有限的传输141
云服务141
第十四章 事故响应的管理与通报142
通知142
事件与事故144
事故类型145
网络安全事故响应计划145
事故管理中的关键角色146
准备147
响应147
跟进148
第五部分 执法与合规过渡151
第十五章 执法151
权力机关层级151
一站式机制152
监管机构的职责152
监管机构的权力153
欧洲数据保护委员会的职责与权力154
数据主体的救济权利154
行政罚款155
GDPR对其他法律的影响157
第十六章 合规过渡与证明158
过渡框架158
通过政策以证明合规159
行为守则和认证机制162
附录一 条例索引164
附录二 欧盟/欧洲经济区各国的监管机构169
附录三 实施问答170
附录四 认证备考指南219
附录五 考试样卷236