Kick off meeting Materials
一、对外客服流程
A1-A6:2.个人数据的内容、处理的目的是否告知数据主体(用户),以怎样的方式告知用户?
A7:数据主体同意的结果在制造商侧怎样体现?制造商怎样保证数据主体的七大权利?
A11:是否通过合同明确数据主体、数据控制者和处理者?
A12:对于A15-A22数据主体对于其数据(七大权利:知情权、访问权、反对权、可携带权、纠正权、删除权 / 被遗忘权、限制处理权、免受数据画像影响)的一些列诉求,数据控制者如果没有 及时采取行动,那么怎样向数据主体说明原因的?
A13:控制者是否在收集个人信息时是否向数据主体告知:联系方式(数据保护官)、个人数据接收方种类、是否传输第三方?
A14-A15:是否涉及并非从数据主体处获得个人数据的情况,对于数据主体的访问权,控制者是否对正在处理的数据有副本措施能提供,必要的成本增加可收取一定管理费用。
A16: 数据主体在请求个人数据时出现不准确或不完整的数据时,如何处理?
A17: 在数据主体退出某个操作系统或结束对某个产品的使用时,数据控制者是否会删除个人数据以及与个人数据相关的任何链接,副本或备份文件?如果需要删除时对于已经公开的数据,控制者如何处理?
A18: 数据处理者在请求个人数据时对个人数据的准确性有异议,且认为控制者对这部分的处理不合法但是又不愿意删除这部分数据时,怎么做?
A19: 对个人数据的纠正,删除,限制处理是否会通知数据主体?
A21: 处理个人数据以直销,公共利益,履行政府授予的职责,第三方或控制者的合法利益为目的时,数据主体是否能拒绝处理?
A22: 数据主体是否会受到由自动化处理产生的决定的约束(包括对其产生的法律效果或类似重大影响的分析)?
A25: 在任何系统、服务、产品或流程的设计阶段以及全生命周期中,对个人数据是否有采用匿名化的措施? 其对个人数据的处理是否有被不特定数量的自然人访问?对个人数据的处理是否以适当的方式充分告知数据主体其处理的目的范围?
A26: 是否有多个数据控制者共同决定处理数据的目的与方式?数据主体是否了解控制者对其数据的操作?
A33-34: 当个人数据出现泄露时,控制者与处理者分别会采取何种应急措施?
A35-36: 系统更新或升级时,是否会评估对个人数据保护造成的影响?若评估后控制者不采取措施,控制者应该怎样做?
二、对内体系建设
A8:是否对儿童个人数据的处理基于其父母或法定监护人的同意?
A9:对于民族、政治观点、宗教信仰、基因、生物及性取向的数据处理是否禁止?对内是否甄别?
A23:控制者和处理者对个人数据或个人数据集合中的任何一项或一系列操作如(收集,记录组织,建构,存储,改编或修改,检索,咨询,使用,披露等)是否有限制通过传输而公开,散布的操作?
A24: 数据处理者和控制者分别承担了哪些义务?
A27: 控制者或处理者是否有以书面形式指定欧盟中的代理人?
A28: 处理者在数据处理过程中是否有引入其它数据处理者?
A29: 处理者和任何获取了那些能接触个人信息的管理者或处理者权限的人员,是否可处理除管理者指示外的数据?
A30: 控制者对处理个人数据的活动是否有记录(包括控制者名称和联系方式,处理目的,数据主体及个人数据得类型)?
A31: 控制者,处理者,及其代表与监管机关是否有合作(如果合作,请描述具体合作内容)?
A37-39:请设立一名数据保护官:主要负责对内建议,监督以确保合规合法经营,对外服务客户并于监管机构合作。
A40:协会与其它代表不同种类的主体是否可为此准则做制定,修订或扩充准备?
A41:是否有设立或委托专业机构来监管行为准则的合法性,合规性?
A42:控制者与处理者的认证时间最长不能超过几年?在相同条件下是否可延长?
三、网络安全的技术实施
A1-A6:1.请提供本产品功能介绍:涉及各类数据的收集。
请提供涉及的个人数据类型,这些数据的数据流示意图,即个人数据的收集、传输、修改、汇聚、存储、删除等节点的设计方案,怎样通过安全技术、安全管理进行保护?以及这些过程中是否涉及欧盟个人跟地区(例如存储服务器地址、例如用户是欧盟公民);
3.个人数据的处理是否做过分析,以确认是否有不必要的措施;
A10:是否涉及不需识别,仅盲操个人数据的步骤或内容?参考数据流,不需进行对应识别
A20: 数据控制者是否会以自动化的方式处理个人数据?如果以自动化得方式处理,数据主体能否从控制者处取得个人数据并直接传输至另一数据控制者?
A32: 对个人数据的处理是否有匿名化的加密措施?系统是否具备自我修复的能力(如在设备断电或系统出现异常时能否及时恢复对个人数据数据的访问与可用性?)?
文章来源: 博客园
- 还没有人评论,欢迎说说您的想法!
客服
