GDPR跨境数据合规实务

《GeneralDataProtectionRegulation》，缩写简称GDPR。这部欧盟法律的出台，标志着数据保护立法第一次有了自成体系和结构完整的法源基础，更标志着个人数据和隐私保护从一种基于公序良俗的意识形态变成了社会规则中不可缺少的关键组成部分。GDPR的出现不仅仅让欧盟内个人数据保护的力度提升到了靠前的层次，也直接或间接启发了世界其他国家和地区的立法者和法律从业者，比如我国于近年制定的《中华人民共和国个人信息保护法》，就是典型的参照GDPR制定的产物。GDPR出现后，给本就体量庞大的欧洲企业合规体系又增加了新的内容。目前，由于GDPR强大的域外效力，所有处在欧盟或者业务涉及欧盟市场的企业或商业组织，都难以规避这部法律的适用。我国作为制造业大国和出口贸易大国，对于大量我国企业而言，考虑到欧盟市场的重要地位以及违反GDPR的严重商业和非商业后果，了解并重视GDPR的相关规定是非常必要且十分关键的。同时，考虑到《个人信息保护法》在立法技术以及立法精神上向GDPR借鉴程度，GDPR在欧盟的法律实践又可以在很大程度上对我国未来的数据合规体系的司法实践产生借鉴作用。因此在目前我国数据合规立法、执法以及裁判案例还处于早期相对不完善的法律环境下，了解并熟悉GDPR对国内企业和法律从业者而言也是十分有必要的。

郑啸哲，男，1992年生人，硕士学历，中共党员，先后毕业于中国青年政治学院法学院，英国埃克塞特大学法学院，现为北京嘉维律师事务所律师，涉外业务委员会核心成员，拥有中华人民共和国律师资格，CIPP/E欧盟隐私保护专家资格。郑啸哲律师作为新一代年轻律师在其有限的律师执业生涯中深度专注于企业数据合规和隐私保护，涉外企业法律服务以及中国企业出海在欧盟地区的法律支持，曾先后担任英国公司AUGURE TECHNOLOGY CO.,LTD法律顾问，担任开曼离岸公司INITIAL BLOCKCHAIN TECH LTD外部法律顾问，担任新加坡公司INITIAL BLOCKCHAIN TECH PTE. LTD外部法律顾问，担任新加坡公司BITFYE PTE. LTD外部法律顾问，担任塞舌尔离岸公司SIGMAALGERBRAINVESTMENTLIMITED外部法律顾问，协助上述公司搭建数据合规体系或担任数据合规官、搭建反洗钱合规体系、进行跨境并购和股权融资、在相关国家或地区申请金融服务牌照、注册成立离岸LLC或非营利性基金会等、代为参与商务谈判、进行合同风险管理、以及进行相关争

第一章欧洲数据保护法律的体系
1背景
2 GDPR
3《执法数据保护指令》（LEDP）
4《隐私和电子通信指导》（ePrivacy Directive2002/58/EC）
5《数据保留指导》（Data Retention Directive）
6《网络和信息系统安全指导》（NIS Directive）
第二章GDPR部分术语理解以及法律的适用范围
1对GDPR部分术语的理解
2 GDPR的适用范围
3明确不属于GDPR管辖范围的情况
第三章数据保护的基本原则
1合法性、公平性和透明性原则
2目的原则
3数据最小化原则
4数据准确性原则
5存储原则
6安全和保密性原则
第四章满足个人数据处理合法性的一般标准
1处理个人数据的合法依据
2犯罪、定罪及安全措施数据
3处理不需要标示身份的情况
第五章处理特殊类型敏感数据合法性的标准
1允许数据控制人处理敏感数据的10种不同情况
2对处理特殊类型敏感数据的建议
第六章数据控制人向数据主体提供信息义务的完成标准
1数据处理的透明性原则
2可以免除向数据主体提供信息义务的情形
3 《隐私和电子通信指导》的要求
4合理的数据处理告知
第七章数据主体的权利
1数据主体权利实现的形式要件
2双方的通信需要保有必要的透明度
3信息权(关于个人数据收集和处理)
4查阅权
5纠正权
6删除权（被遗忘权）
7处理权
8数据可携带权（便携性权）
9反对权
10数据主体权利的
第八章个人数据的安全
1数据安全原则和基于风险的处置方法
2数据安全事故发生时的提示和告知义务
3数据安全的实现
4数据安全事故处置计划
第九章组织和个人所要承担的数据保护责任（GDPR的有责性要求）
1数据控制人的义务
2基于设计的数据保护和基于默认的数据保护（data protection by design and by default）
3合规文件的准备以及与监管的合作
4数据保护影响评估
5数据合规官（DPO）
6公司约束规则（BCRs）
第十章数据保护影响评估（DPIA）
1需要进行DPIA的情况
2 DPIA的具体运作方式
3完整的DPIA评估报告的示例模板
第十一章跨境数据传输
1立法背景
2跨境数据传输的范围
3足够的数据保护水平
4针对美国的情况
5提供充分的数据保护
6跨国公司集团内部的个人数据传输机制——公司约束规则（BCRs）
7提供充分数据保护的例外情况
第十二章雇佣关系中的数据处理
1雇员的个人数据
2雇主处理雇员个人数据的合法理由
3雇主处理雇员个人敏感数据的特殊要求
4雇主的通知义务
5雇员个人数据的保存
6工作场所监控
7雇主在进行工作场所监控时应当向雇员提供的信息
8工会（Works Council）
9员工使用私人设备进行工作的特别注意（bringyour own device）
第十三章针对用户进行营销行为中的数据合规
1营销行为数据合规的基本框架
2通过信件方式进行营销
3电话营销
4网络电子信息营销（使用电子邮件、短信、即时通信软件）
5基于位置的营销
6基于用户线上行为的营销
7全球一些主要国家在直接营销方面的隐私保护规定列表
第十四章外包业务关系中的个人数据保护
1各方在外包业务中的数据保护角色
2外包协议中应当包含的数据保护义务条款
第十五章GDPR的监管和执法
1数据控制人和数据处理人的自我约束和管理
2社会监督
3数据合规监管机构的行政监管和执法
4数据合规监管执法的管辖权与国际合作
5 GDPR的处罚和制裁措施
附录1数据隐私保护政策示例模版
附录2数据保留政策示例模版
附录3网站cookies政策示例模版
附录4欧盟数据跨境标准合同模版
附录5数据控制者对数据主体提出数据可携带权要求的回应示例模版
附录6数据控制者对数据主体提出数据删除要求的回应示例模版
附录7数据控制者对数据主体提出数据修正要求的回应示例模版
附录8数据控制者对数据主体提出数据访问要求的回应示例模版