目录

引言001

第一部分     GDPR的核心考量009

第一章    范围、控制者和处理者009

GDPR的适用范围009

控制者和处理者010

数据控制者010

联合控制者012

数据处理者012

作为处理者的控制者013

欧盟以外的控制者和处理者013

处理记录014

证明合规016

第二章    六项数据处理原则018

原则1：公平、透明和合法019

原则2：目的限制023

原则3：数据最小化023

原则4：准确024

原则5：存储限制025

原则6：完整与保密026

问责与合规027

第三章    数据主体权利030

公平处理030

查阅权031

更正权033

被遗忘权033

限制处理权034

数据携带权035

反对权036

与自动决策有关的权利037

第二部分    建立合规038

第四章    隐私合规框架038

属事范围040

属地范围041

治理042

目标043

关键程序044

个人信息管理系统047

ISO/IEC 27001:2013049

选择与执行一个合规框架053

框架实施054

第五章    信息安全作为数据保护的一部分056

个人数据泄露057

数据泄露分析057

攻击地点058

保护信息安全059

ISO 27001059

NIST 标准060

网络安全的十大步骤060

网络安全基础061

信息安全政策062

证明信息安全062

信息安全治理063

组织外的信息安全064

第六章    合法性及同意065

同意概述065

撤回同意067

同意的替代067

同意的实际运作069

儿童070

个人数据的特殊类别071

有关刑事定罪和犯罪的数据072

第七章     主体查阅请求073

接收请求073

提供信息074

数据携带074

数据控制者的责任075

流程与程序076

用以确认请求者身份的可选方案077

可查阅的记录078

时间和费用079

批量主体查阅请求的处理079

拒绝的权利079

响应流程079

第八章    数据保护官的角色081

自愿指定DPO的情况084

共享DPO的情况085

基于服务合同的DPO085

DPO联系方式的公布086

DPO的职责087

必要的资源087

独立行事088

对DPO的保护089

利益冲突090

DPO 的职位要求090

DPO的职责091

DPO与组织的关系094

DPO与监管机构的关系094

数据保护影响评估与风险管理095

内聘或外包096

第九章    绘制数据地图097

目标和产出097

数据流的四要素098

数据地图绘制、DPIA和风险管理099

你想收集什么099

绘制数据地图的方法100

第三部分    数据保护影响评估与风险管理103

第十章   数据保护影响评估的要求103

DPIA104

征询利益相关者110

谁需要参与111

基于设计和默认的数据保护112

第十一章    风险管理与DPIA114

作为风险管理一部分的DPIA114

风险管理标准与方法论115

风险应对120

风险关系122

风险管理及个人数据123

第十二章     执行124

DPIA的五个关键阶段124

确认对DPIA的需求125

目标和产出126

咨询127

描述信息流128

识别隐私及相关风险129

确定和评估隐私解决方案131

签署与记录结果133

将DPIA纳入项目计划134

第四部分    国际传输与事故管理135

第十三章    跨国管理个人数据135

关键要求136

充分性认定137

保障措施138

约束性企业规则140

标准合同条款140

有限的传输141

云服务141

第十四章    事故响应的管理与通报142

通知142

事件与事故144

事故类型145

网络安全事故响应计划145

事故管理中的关键角色146

准备147

响应147

跟进148

第五部分    执法与合规过渡151

第十五章    执法151

权力机关层级151

一站式机制152

监管机构的职责152

监管机构的权力153

欧洲数据保护委员会的职责与权力154

数据主体的救济权利154

行政罚款155

GDPR对其他法律的影响157

第十六章    合规过渡与证明158

过渡框架158

通过政策以证明合规159

行为守则和认证机制162

附录一    条例索引164

附录二    欧盟/欧洲经济区各国的监管机构169

附录三    实施问答170

附录四    认证备考指南219

附录五    考试样卷236