GDPR培訓(xùn)教學(xué)課件

GDPR以風(fēng)險(xiǎn)為基礎(chǔ)保護(hù)框架GDPR培訓(xùn)GDPR概覽個人數(shù)據(jù)正當(dāng)事由變更目的處罰認(rèn)定保護(hù)義務(wù)主體權(quán)力RiskGDPR培訓(xùn)個人數(shù)據(jù)維度一：specialcategoriesofpersonaldata（特殊類別的個人資料）依其性質(zhì)對基本權(quán)利和自由特別敏感的個人數(shù)據(jù)，因其處理過程可能對于基本權(quán)力和自由造成顯著風(fēng)險(xiǎn)，故值得受到保護(hù)。處理個人數(shù)據(jù)，能夠揭露出其種族、民族、政治觀點(diǎn)、宗教和哲學(xué)信仰，或工會成員身份；處理基因數(shù)據(jù)、生物識別數(shù)據(jù)，以識別出特定個人；處理健康數(shù)據(jù)、與自然人性取向或性經(jīng)歷有關(guān)的數(shù)據(jù)。維度二：personaldata的識別度已識別的數(shù)據(jù)：與已識別出（identified）的自然人相關(guān)的任何信息可識別的數(shù)據(jù)（Readilyidentificabledata）：假名化且保留額外的數(shù)據(jù)、保留原始數(shù)據(jù)副本、數(shù)據(jù)能夠可逆變形且控制者知曉變形方式等；第11條式的去標(biāo)志化：如果數(shù)據(jù)控制者能表明其無法識別出特定個人時，數(shù)據(jù)控制者應(yīng)在可能的情形中通知數(shù)據(jù)主體，同時，第15條至第20條的規(guī)定將不予適用，除非數(shù)據(jù)主體為行使其權(quán)力，向數(shù)據(jù)提供者額外提供了信息使數(shù)據(jù)控制者能夠重新識別出特定個人。（國外做的例子，100人中簡歷）匿名化數(shù)據(jù)：指無法與已識別或者可識別的自然人相關(guān)聯(lián)的數(shù)據(jù)。GDPR培訓(xùn)正當(dāng)事由數(shù)據(jù)主體對出于單個或多個特定目的而處理其個人數(shù)據(jù)表示同意；處理是為向身為合同當(dāng)事人之?dāng)?shù)據(jù)主體履行合同所必須的，或者締約之前，應(yīng)數(shù)據(jù)主體的要求所必須采取的步驟；因履行數(shù)據(jù)控制者承擔(dān)的法律義務(wù)而必須處理個人數(shù)據(jù)的；為保護(hù)數(shù)據(jù)主體重大利益或其他自然人重大利益而必須處理個人數(shù)據(jù)的；為公共利益而執(zhí)行任務(wù)，或數(shù)據(jù)控制者履行賦予的公共職能時，必須處理個人數(shù)據(jù)的；GDPR培訓(xùn)改變目的當(dāng)個人數(shù)據(jù)處理超出數(shù)據(jù)收集時出于的目的時，且沒有數(shù)據(jù)主體的同意或歐盟、成員國法律作為基礎(chǔ)時，數(shù)據(jù)控制者應(yīng)判斷另外的目的，是否與數(shù)據(jù)收集出于的目的相匹配，在判斷時應(yīng)考慮下述因素：兩個目的之間是否存在任何聯(lián)系；個人數(shù)據(jù)收集時的情景，特別是數(shù)據(jù)主體和數(shù)據(jù)控制者之間的關(guān)系；個人數(shù)據(jù)的性質(zhì)，特別是是否包含第9條所規(guī)定的“特別個人數(shù)據(jù)種類”，或是否包含第10條規(guī)定的涉及刑事起訴和犯罪的個人數(shù)據(jù)；數(shù)據(jù)處理對數(shù)據(jù)主體可能造成的結(jié)果；是否采取了合適的保護(hù)措施，例如加密和假名化處理。GDPR培訓(xùn)主體權(quán)力如果做到了Article11typeofde-identified，數(shù)據(jù)主體相關(guān)權(quán)利（15到20）不適用；基于不同合法事由開展的數(shù)據(jù)處理，數(shù)據(jù)主體有不同程度的權(quán)利被遺忘權(quán)：對數(shù)據(jù)處理是基于第6條第一款a）項(xiàng)或第9條第2款a）項(xiàng)【即同意】，且不基于其他正當(dāng)事由時；可攜帶權(quán)：數(shù)據(jù)處理是基于第6條第一款a）項(xiàng)或第9條第2款a），或基于第6條第一款b）項(xiàng)所指涉的合同反對數(shù)據(jù)處理的權(quán)力：數(shù)據(jù)主體有權(quán)在任何時候反對基于第6條第一款e）【公共利益】或f）項(xiàng)【正當(dāng)利益】的個人數(shù)據(jù)處理，包括基于上述項(xiàng)的個人“數(shù)字畫像”。GDPR培訓(xùn)保護(hù)義務(wù)數(shù)據(jù)處理的性質(zhì)、范圍、情境、目的對自然人權(quán)力和自由的不同程度和大小的風(fēng)險(xiǎn)采取合適的技術(shù)和組織方面的措施能夠向外界展示合規(guī)措施應(yīng)經(jīng)常評估和更新×+GDPR培訓(xùn)處罰認(rèn)定administrativefinestobe“effective，proportionateanddissuaasive”（有效、合乎比例、懲戒性）個案中考慮的因素：（a）違規(guī)的性質(zhì)、嚴(yán)重性及持續(xù)期間，并考慮到處理的性質(zhì)范圍或目的，以及受影響至數(shù)據(jù)主體人數(shù)及其受損程度；（b）違規(guī)的故意或過失；（c）所采減少數(shù)據(jù)主體損害的任何行為；（d）控管者或處理者的責(zé)任程度，并考慮到其依案第25條（pbD）及第32條（Security）所實(shí)施的技術(shù)上及組織上的措施；（e）違規(guī)所影響的個人資料類型；GDPR培訓(xùn)《網(wǎng)絡(luò)安全法》中的個人信息保護(hù)條款解讀第四十條網(wǎng)絡(luò)運(yùn)營者應(yīng)對其收集的用戶信息嚴(yán)格保守，并建立健全用戶信息保護(hù)制度。明確了責(zé)任主體：“誰搜集誰負(fù)責(zé)”第四十一條網(wǎng)絡(luò)運(yùn)營者收集、使用個人信息，應(yīng)當(dāng)遵循合法、正當(dāng)、必要的原則，公開收集、使用規(guī)則、使用信息的目的、方式和范圍，并經(jīng)被收集者同意。個人同意原則目的明確原則最少夠用原則網(wǎng)絡(luò)運(yùn)營者不得收集于其提供的的服務(wù)無關(guān)的個人信息，不得違反法律、行政法的規(guī)定和雙方的約定收集、使個人信息，并應(yīng)當(dāng)依照法律、行政法規(guī)的規(guī)定或者與用戶的約定，處理其保存的個人信息開放透明原則GDPR培訓(xùn)如何實(shí)現(xiàn)對個人敏感信息的增強(qiáng)權(quán)力？1、區(qū)分個人信息和個人敏感信息個人敏感信息是指一旦泄露、非法提供或?yàn)E用可能危害人身和財(cái)產(chǎn)安全，極易導(dǎo)致個人名譽(yù)、身心健康受到損害或歧視待遇等的個人信息。2、個人敏感信息要求明示同意明示同意=explicitconsent+unambiguousconsent共享、轉(zhuǎn)讓時必須告知數(shù)據(jù)接收方的具體身份3、區(qū)分核心功能和附加功能附加功能在實(shí)際使用中還需要用戶主動開啟，并非點(diǎn)擊同意隱私政策就可以了，對于個人敏感信息，核心功能一次性同意，附加功能逐項(xiàng)同意GDPR培訓(xùn)影響評估的內(nèi)容GDPR個人信息安全規(guī)范數(shù)據(jù)保護(hù)影響評估至少包含以下內(nèi)容：系統(tǒng)性描述預(yù)計(jì)的數(shù)據(jù)處理活動，處理目的，包括數(shù)據(jù)控制者的正當(dāng)利益相對與所追求的目的，對數(shù)據(jù)處理活動必要性和比例性開展評估對數(shù)據(jù)主題權(quán)力和自由面臨的風(fēng)險(xiǎn)評估應(yīng)對風(fēng)險(xiǎn)預(yù)期采取的措施，包括安全舉措，機(jī)制，以保證數(shù)據(jù)安全，以及能否滿足《條例》要求的判斷個人信息安全影響評估主要處理活動遵循個人信息安全基本原則的情況，以及個人信息處理活動對個人信息主體合法權(quán)益的影響，內(nèi)容包括但不限于：個人信息收集環(huán)節(jié)是否遵循目的明確、選擇同意、最少夠用原則；個人信息處理是否可能對個人信息主體合法權(quán)益造成不利影響，包括處理是否危害人身和財(cái)產(chǎn)安全、損害個人名譽(yù)和身心健康、導(dǎo)致歧視性待遇等；個人信息安全措施的有效性；匿名化或去標(biāo)識化處理后的數(shù)據(jù)集重新識別出個人信息主體的風(fēng)險(xiǎn)GDPR培訓(xùn)組織應(yīng)具備的能力個人信息處理系統(tǒng)應(yīng)具備的特性可干預(yù)性不可聯(lián)結(jié)性可用性保密性完整性透明性GDPR培訓(xùn)認(rèn)識DT時代用數(shù)字記錄特征、行為等使用經(jīng)驗(yàn)和知識來分析特征、行為的泛數(shù)據(jù)化使用數(shù)據(jù)規(guī)律來分析總結(jié)對個人的影響對企業(yè)的影響對社會的公共利益影響對公家的影響GDPR培訓(xùn)網(wǎng)絡(luò)安全發(fā)中的數(shù)據(jù)安全信息（系統(tǒng)）安全數(shù)據(jù)安全Operation安全重要數(shù)據(jù)保護(hù)個人信息保護(hù)傳統(tǒng)數(shù)據(jù)安全一般性安全關(guān)鍵性安全GDPR培訓(xùn)標(biāo)準(zhǔn)的主要內(nèi)容權(quán)責(zé)一致原則對其個人信息處理活動對個人信息主體合法權(quán)益造成的禍害承擔(dān)責(zé)任目的明確原則具有合法、正當(dāng)、必要、明確的個人信息處理目的公開透明原則以明確、易懂的合理的方式公開處理個人信息的范圍、目的、規(guī)則等選擇同意原則向個人信息主體明示個人信息處理目的方式，范圍，規(guī)則等，征求其授權(quán)同意確保安全原則采取足夠的管理措施手段，保護(hù)個人信息的保密性，完整性，可用性最少夠用原則只處理滿足用戶授權(quán)同意的目的所需的最少信息類型和數(shù)量GDPR培訓(xùn)標(biāo)準(zhǔn)實(shí)施指引-去標(biāo)志化等技術(shù)應(yīng)用去標(biāo)志化：通過對個人信息的技術(shù)處理，使其在不借助額外信息的情況下，無法識別個人信息主體的過程。注：去標(biāo)志化建立在個體基礎(chǔ)之上，保留了個人顆粒度，采用假名、加密、哈希函數(shù)等技術(shù)手段替代對個人信息的標(biāo)識刪除：在實(shí)現(xiàn)日常業(yè)務(wù)功能所涉及的系統(tǒng)中去除個人信息的行為，使其保持不可被檢索、訪問的狀態(tài)匿名化：通過對個人信息的技術(shù)處理，使得每個人信息主體無法被識別，且處理后的系你先不能被識別銷毀：在物理環(huán)境和介質(zhì)中徹底刪除數(shù)據(jù)，且無法復(fù)原。GDPR培訓(xùn)全球數(shù)據(jù)跨境合規(guī)基本框架白名單協(xié)議協(xié)定同等保護(hù)個人信息區(qū)域內(nèi)數(shù)據(jù)自由流動歐美“隱私盾協(xié)議”亞太經(jīng)合組織CBPRs貿(mào)易協(xié)定同等/適當(dāng)保護(hù)措施代替標(biāo)準(zhǔn)合同條款約束性企業(yè)規(guī)劃BCR歐盟委員會、俄羅斯等個人數(shù)據(jù)的定義處理的目的和期限國家法律法規(guī)、行業(yè)規(guī)則以及安全措施明示用戶并征得其同意明示同意為充分允許明示同意為必要條件指明了法定的免于告知的情形GDPR培訓(xùn)數(shù)據(jù)出境的合規(guī)指引中國法律框架網(wǎng)絡(luò)安全法：數(shù)據(jù)本地存儲及數(shù)據(jù)出境的一般規(guī)定國家安全法/保守國家秘密法：涉及國家秘密的數(shù)據(jù)出境規(guī)則個人信息和重要數(shù)據(jù)出境安全評估辦法、信息安全技術(shù)數(shù)據(jù)出境安全評估指南：《網(wǎng)絡(luò)安全法》配套措施相關(guān)行業(yè)規(guī)劃：約束特定行業(yè)企業(yè)的數(shù)據(jù)出境規(guī)劃GDPR培訓(xùn)數(shù)據(jù)出境的合規(guī)性指引安全評估流程是否構(gòu)成安全評估義務(wù)主體是否構(gòu)成數(shù)據(jù)出境是否構(gòu)成個人信息/重要數(shù)據(jù)數(shù)據(jù)出境是否合法正當(dāng)啟動安全評估機(jī)制數(shù)據(jù)出境是否風(fēng)險(xiǎn)可控形成數(shù)據(jù)出境計(jì)劃及評估報(bào)告數(shù)據(jù)出境發(fā)生較大變化數(shù)據(jù)出境安全評審工作組監(jiān)管部門/網(wǎng)信部門/公安部門/安全部門溝通互助是是是是是是是審查GDPR培訓(xùn)如何搭建網(wǎng)安法下的數(shù)據(jù)安全合規(guī)體系數(shù)據(jù)合規(guī)象限系統(tǒng)安全個人信息重要數(shù)據(jù)數(shù)據(jù)安全系統(tǒng)安全系統(tǒng)安全系統(tǒng)安全Y軸：管控流程X軸：數(shù)據(jù)合規(guī)關(guān)鍵領(lǐng)域個人信息保護(hù)事前管控：個人信息生態(tài)安全建設(shè)階段（組織建設(shè)、流程建立、隱私政策等）、收集階段（信息收集說明、用戶同意等）等事中監(jiān)控：存儲階段（去標(biāo)識化、匿名化）、使用階段、對外提供階段（第三方承諾、安全影響評估）等事后反饋：用戶申述反饋階段（個人信息刪除與賬戶注銷）、持續(xù)改進(jìn)階段、安全事件處理（應(yīng)急培訓(xùn)與演練）等各管控節(jié)點(diǎn)G