欧盟《通用数据保护条例》及其合规指南

第一篇 《通用数据保护条例》
序言
第一章 总则
第二章 原则
第三章 数据主体权利
第一节 信息透明度和信息机制
第二节 个人数据信息与获取
第三节 修正权和删除权
第四节 反对和自主决策的权利
第五节 限制条款
第四章 控制者和处理者
第一节 一般义务
第二节 个人数据的安全
第三节 数据保护影响评估和事先咨询
第四节 数据保护官
第五节 行为准则与认证机制
第五章 向第三国或国际组织传输个人数据
第六章 独立监管机构
第一节 独立地位
第二节 管辖权限、职责和权力
第七章 合作与一致性
第一节 合作
第二节 一致性
第三节 欧盟数据保护委员会
第八章 救济、责任与处罚
第九章 关于特定处理情形的条款
第十章 授权法案与执行法案
第十一章 最终条款
参考文献
第二篇 《通用数据保护条例》合规指南
指南一 《通用数据保护条例》(第3条)适用地域范围
一、引言
二、“设立”标准的适用范围：第3(1)条
三、目标标准的适用：第3(2)条
四、在适用于国际法的成员国内进行的数据处理
五、非欧盟境内设立的控制者或处理者代表
指南二 行为准则与监督机构
一、引言
二、定义
三、行为准则是什么
四、准则的益处
五、准则草案的可接受性
六、准则获批标准
七、提交、采用和批准(国家准则)
八、提交、受理和批准(跨国准则)
九、参与
十、委员会的作用
十一、准则的监督
十二、监督主体的认证要求
十三、已批准的准则
十四、撤销监督机构
十五、公共部门准则
附录1 国内准则与跨国准则的区别
附录2 选择主管监管机构
附录3 提交的检查清单
附录4 跨国准则流程图
指南三 数据保护官员
一、引言
二、数据保护官员的任命
三、数据保护官员的地位
四、数据保护官员的职责
五、附件：数据保护官员指南——你需要知道什么
指南四 数据控制者或处理者的主监管机构之确立
一、确定主监管机构：重要概念
二、主监管机构的确定程序
三、其他相关问题
附录 确定主监管机构的指导性问题
指南五 透明原则
一、引言
二、透明原则的内涵
三、GDPR对透明原则构成要素的界定
四、向数据主体提供信息：第13-14条
五、进一步处理告知
六、可视化工具
七、行使数据主体的权利
八、履行告知义务的例外
九、数据主体权利的限制
十、透明度与数据泄露
十一、附件
指南六 同意原则
一、引言
二、《通用数据保护条例》第4条第11款的同意原则
三、有效同意的要素
四、获得明确同意
五、获得有效同意的附加条件
六、《通用数据保护条例》第6条同意与其他合法依据之关系
七、《通用数据保护条例》中同意的特殊领域
八、《指令95／46／Ec》规定的同意获得
指南七 个人数据泄露通知
一、引言
二、基于《通用数据保护条例》的个人数据泄露通知
三、第33条：通知监管机构
四、第34条：通知数据主体
五、风险评估与高风险
六、问责与记录
七、其他法律文件规定的通知义务
八、附件
指南八 数据保护影响评估及确定数据处理操作是否“可能导致高风险
一、引言
二、准则范围
三、数据保护影响评估：规则解释
四、结论和建议
附件1——现行欧盟数据保护影响评估框架
附件2——可接受的数据保护影响评估标准
指南九 自动化个人决策与数据画像
一、引言
二、定义
三、关于数据画像和自动化决策的一般规定
四、关于第22条所定义的完全自动化决策的具体规定
五、儿童与数据画像
六、数据保护影响评估(DPIA)和数据保护官(DPO)
附录1 良好实践建议
附录2 GDPR关键条款
附录3 拓展阅读
指南十 数据可携带权
摘要
一、引言
二、数据可携带权的要素有哪些
三、数据可携带权的适用时间
四、数据主体行使权利的一般规则如何适用于数据可携带权
五、为什么必须提供可携带数据
指南十一 行政罚款的适用与设定
一、引言
二、原则
三、第83条第2款评估标准
四、结论