GDPR跨境数据合规实务

《General Data Protection Regulation》 ，缩写简称GDPR。这部欧盟法律的出台，标志着数 据保护立法第一次有了自成体系和结构完整的法源 基础，更标志着个人数据和隐私保护从一种基于公 序良俗的意识形态变成了社会规则中不可缺少的关 键组成部分。GDPR的出现不仅仅让欧盟内个人数据 保护的力度提升到了前所未有的层次，也直接或间 接启发了世界其他国家和地区的立法者和法律从业 者，比如我国于近年制定的《中华人民共和国个人 信息保护法》，就是典型的参照GDPR制定的产物。 GDPR出现后，给本就体量庞大的欧洲企业合规体系 又增加了新的内容。目前，由于GDPR强大的域外效 力，所有处在欧盟或者业务涉及欧盟市场的企业或 商业组织，都难以规避这部法律的适用。我国作为 制造业大国和出口贸易大国，对于大量我国企业而 言，考虑到欧盟市场的重要地位以及违反GDPR的严 重商业和非商业后果，了解并重视GDPR的相关规定 是非常必要且十分关键的。同时，考虑到《个人信 息保护法》在立法技术以及立法精神上向GDPR借鉴 程度，GDPR在欧盟的法律实践又可以在很大程度上 对我国未来的数据合规体系的司法实践产生借鉴作 用。因此在目前我国数据合规立法、执法以及裁判 案例还处于早期相对不完善的法律环境下，了解并 熟悉GDPR对国内企业和法律从业者而言也是十分有 必要的。

第一章 欧洲数据保护法律的体系 1．背景 2．GDPR 3．《执法数据保护指令》(LEDP) 4．《隐私和电子通信指导》(ePrivacy Directive 2002／58／EC) 5．《数据保留指导》(Data Reetention Directive) 6．《网络和信息系统安全指导》(NIS Directive) 第二章 GDPR部分术语理解以及法律的适用范围 1．对GDPR部分术语的理解 2．GDPR的适用范围 3．明确不属于GDPR管辖范围的情况 第三章 数据保护的基本原则 1．合法性、公平性和透明性原则 2．目的限制原则 3．数据最小化原则 4．数据准确性原则 5．存储限制原则 6．安全和保密性原则 第四章 满足个人数据处理合法性的一般标准 1．处理个人数据的合法依据 2．犯罪、定罪及安全措施数据 3．处理不需要标示身份的情况 第五章 处理特殊类型敏感数据合法性的标准 1．允许数据控制人处理敏感数据的10种不同情况 2．对处理特殊类型敏感数据的建议 第六章 数据控制人向数据主体提供信息义务的完成标准 1．数据处理的透明性原则 2．可以免除向数据主体提供信息义务的情形 3．《隐私和电子通信指导》的要求 4．合理的数据处理告知 …… 第七章 数据主体的权利 第八章 个人数据的安全 第九章 组织和个人所要承担的数据保护责任(GDPR的有责性要求) 第十章 数据保护影响评估(DPIA) 第十一章 跨境数据传输 第十二章 雇佣关系中的数据处理 第十三章 针对用户进行营销行为中的数据合规 第十四章 外包业务关系中的个人数据保护 第十五章 GDPR的监管和执法 附录1 数据隐私保护政策示例模版 附录2 数据保留政策示例模版 附录3 网站cookies政策示例模版 附录4 欧盟数据跨境标准合同模版 附录5 数据控制者对数据主体提出数据可携带权要求的回应示例模版 附录6 数据控制者对数据主体提出数据删除要求的回应示例模版 附录7 数据控制者对数据主体提出数据修正要求的回应示例模版 附录8 数据控制者对数据主体提出数据访问要求的回应示例模版