新書推薦:
《
化妆品学原理
》
售價:NT$
254.0
《
万千教育学前·与幼儿一起解决问题:捕捉幼儿园一日生活中的教育契机
》
售價:NT$
214.0
《
爱你,是我做过最好的事
》
售價:NT$
254.0
《
史铁生:听风八百遍,才知是人间(2)
》
售價:NT$
254.0
《
量子网络的构建与应用
》
售價:NT$
500.0
《
拍电影的热知识:126部影片里的创作技巧(全彩插图版)
》
售價:NT$
500.0
《
大唐名城:长安风华冠天下
》
售價:NT$
398.0
《
情绪传染(当代西方社会心理学名著译丛)
》
售價:NT$
403.0
編輯推薦:
本书为国际信息考试科学考试学会(EXIN)指定教材,第壹部分EXIN隐私与数据保护白皮书(中、英文)为本书主体,该部分内容主要涵盖针对《欧盟通用数据保护条例》(GDPR)核心概念与规范的解读,以及对该法规下有关合规实践的指引。第二部分为针对EXIN隐私与数据保护基础认证考试的有关说明及备考指南,第三部分为针对该认证的样例试题。
包含PDPF考试所需基本知识及材料,是DPO-PDPF考试必备教材。
內容簡介:
本书是国际信息科学考试学会(EXIN)数据保护官(DPO)认证之隐私和数据保护基础(PDPF)认证指定教材,以中英文对照形式梳理PDPF认证考试重点。此外,本书以考点为脉络,对欧盟发布的《通用数据保护条例?(GDPR)进行解读,不仅可以帮助考生详细了解GDPR,更可以为数据管理人员在实际工作中提供参考。
關於作者:
国际信息科学考试学会EXIN
Exam Institute for Information Science
1984年,荷兰经济事务部创办EXN。作为信息技术架构库ITIL全球认证体系的创始认证机构,EXN在全球范围内推广数字化服务管理、信息安全和数据隐私保护的行业实践和标准。包括:数字化转型与创新管理Ver-iSM、服务集成管理SIAM、开发运维一体化DevOps、精益ITLean IT和敏捷转型Agile Scrum、区块链、人工智能和云计算等。
2016年,EXN在全球率先发布数据保护和隐私基础认证PDPF,2017年,发布隐私和数据保护基础PDPP。伴随2018年5月欧盟《通用数据保护条例》GDPR正式生效,EXIN在全球首发基于GDPR的数据保护官DPO职业资格认证。
目前,持有EXN认证的数字化管理和数据隐私保护人才遍布世界500强企业。来自全球165多个国家和地区,累计近300万的信息与通信技术职业人士已经获得了EXN颁发的资格证书。
国际信息科学考试学会EXIN
Exam Institute for Information Science
1984年,荷兰经济事务部创办EXN。作为信息技术架构库ITIL全球认证体系的创始认证机构,EXN在全球范围内推广数字化服务管理、信息安全和数据隐私保护的行业实践和标准。包括:数字化转型与创新管理Ver-iSM、服务集成管理SIAM、开发运维一体化DevOps、精益ITLean IT和敏捷转型Agile Scrum、区块链、人工智能和云计算等。
2016年,EXN在全球率先发布数据保护和隐私基础认证PDPF,2017年,发布隐私和数据保护基础PDPP。伴随2018年5月欧盟《通用数据保护条例》GDPR正式生效,EXIN在全球首发基于GDPR的数据保护官DPO职业资格认证。
目前,持有EXN认证的数字化管理和数据隐私保护人才遍布世界500强企业。来自全球165多个国家和地区,累计近300万的信息与通信技术职业人士已经获得了EXN颁发的资格证书。
作者:【荷】里奥?比斯摩尔 Leo Besemer曾在EXIN和ECDL任职,并担任荷兰区副总裁。在项目管理、质量保障、安全管理和隐私认证考试开发与设计方面具备丰富经验。在CT管理领域具有30年以上的跨国项目经验。对《通用数据保护条例》具有深入研究。
目錄 :
写在前面
译者序一
译者序二
第一部分
白皮书:EXIN隐私和数据保护基础与要点1
引言3
第一篇隐私基础4
1.定义与历史背景4
1.1数据保护条例的发展史4
1.2GDPR的适用范围与适用区域7
1.3定义9
1.4角色、责任、利益相关者13
2.处理个人数据17
3.合法依据与目的限制19
3.1合法依据19
3.2目的限制和用途说明20
3.3辅助性和相称性22
4.数据主体的权利24
4.1信息透明及沟通24
4.2有关个人数据的信息及个人数据查阅26
4.3数据主体的查阅检查权28
4.4纠正与删除28
4.5反对权和自动化的个体决策31
4.6向监管机构提出申诉的权利32
5.个人数据泄漏及相关程序32
5.1个人数据泄漏的概念32
5.2个人数据泄漏发生时的处置程序34
5.3个人数据泄漏的类别36
第2篇数据保护的组织化37
6.数据保护对组织的重要性37
6.1GDPR的合规要求37
6.2所需的管理活动39
7.监管机构42
7.1监管机构的一般责任43
7.2与数据泄露有关的角色和责任46
7.3监管机构在执行GDPR方面的权力47
7.4跨境数据传输50
7.5适用于EEA之内数据传输的条例52
7.6适用于EEA之外数据传输的条例53
第3篇数据保护实践58
8.更高标准层面58
8.1基于设计和默认的数据保护58
8.2控制者和处理者之间的书面合同61
8.3数据保护影响评估DPIA64
8.4数据生命周期管理DLM67
8.5数据保护审计69
8.6与使用数据、营销和社交媒体相关的应用实践72
8.7大数据79
第二部分Whitepaper:EXINPrivacy&DataProtectionFoundationand
Essentials81
Introduction83
I?Privacyfundamentals84
1.DefinitionsandHistoricalContext84
1.1TheHistoryofDataProtectionRegulations84
1.2MaterialandterritorialscopeoftheGDPR88
1.3Definitions91
1.4Roles,Responsibilities,Stakeholders96
2.ProcessingofPersonalData102
3.LegitimateGroundsandPurposeLimitation104
3.1LegitimateGrounds104
3.2PurposeLimitationandPurposeSpecification105
3.3subsidiarityandProportionality108
4.RightsofDataSubjects110
4.1TransparentInformation111
4.2InformationonandAccesstoPersonalData113
4.3RightofAccessInspectionbytheDataSubject115
4.4RectificationandErasure116
4.5RighttoObjectandAutomatedIndividualDecision-Making120
4.6RighttoLodgeaComplaintwithaSupervisoryAuthority121
5.PersonalDataBreachesandRelatedProcedures122
5.1TheConceptofPersonalDataBreach122
5.2ProceduresonHowtoActWhenaPersonalDataBreach
Occurs123
5.3CategoriesofPersonalDataBreaches126
U?OrganizingDataProtection127
6.ImportanceofDataProtectionfortheOrganization127
6.1RequirementsforCompliancewiththeGDPR127
6.2RequiredTypesofAdministration130
7.SupervisoryAuthorities133
7.1GeneralResponsibilitiesofaSupervisoryAuthority135
7.2RolesandResponsibilitiesRelatedtoPersonalDataBreaches139
7.3PowersoftheSupervisoryAuthorityinEnforcingtheGDPR140
7.4Cross-BorderDataTransfer144
7.5RegulationsApplyingtoDataTransferInsidetheEEA147
7.6RegulationsApplyingtoDataTransferOutsidetheEEA148
皿.PracticeofDataProtection156
8.QualityAspects156
8.1DataProtectionbyDesignandbyDefault156
8.2WrittenContractsBetweentheControllerandtheProcessor160
8.3DataProtectionImpactAssessmentDPIA163
8.4DataLifecycleManagementDLM168
8.5DataProtectionAudit171
8.6Practice-RelatedApplicationsoftheUseofData,MarketingandSocialMedia174
8.7BigData183
第三部分隐私和数据保护基础PDPF认证备考指南185
第四部分隐私和数据保护基础PDPF认证考试样题及
答案解析205
內容試閱 :
写在前面
欧洲联盟简称“欧盟”《通用数据保护条例》GeneralDataProtec-tionRegulation,GDPR于2018年5月25日生效,对企业收集、控制和处理个人数据的方式产生了深远影响。而且,并非位于欧盟的企业才会受到影响,事实上,任何与欧盟监管下的客户进行的业务,都需要遵守GDPR。如果违反GDPR企业将面临可高达2千万欧元或全球年营业额的4%的巨额罚款。
伴随着GDPR的实施,组织内应该根据具体职能配备相应的角色,包括数据控制者DataController、数据处理者DataProcessor以及数据保护官DataProtectionOfficer,DPO。
其中数据控制者定义了个人数据的处理方式和目的,此外,控制者还负责确保外部承包商能够遵守相关规定。数据处理者DataProcessor可以是维护和处理个人数据记录的内部团体如业务分析师或开发商的直接雇员,也可以是执行全部或部分这些活动的任何外部服务提供商如信用评级机构等。
此外,最重要的是GDPR还要求指定1名数据保护官DPO来监管数据安全策略和GDPR合规性。核心活动涉及处理或存储大量的欧盟公民数据、处理或存储特殊类别的个人数据健康记录、犯罪记录的组织必须指定1名DPO。DPO主要负责就GDPR规定提供咨询意见,向最高管理
层报告。
中国企业需要设置DPO吗?
2018年5月25日正式实施的欧盟GDPR法案,提出了设置DPO的要求。
我们不要认为欧盟GDPR和中国企业没有什么关系,即使企业不在欧盟内,但如果在向欧盟内的个人提供商品和服务的过程中处理了欧盟居民的个人数据,或监测了在欧盟实施的个人行为,企业就会受GDPR约束。尽管中国有关个人信息保护方面的专门立法暂未生效,但已经公布实施的《网络安全法》和2018年5月1日正式实施的国家标准GBT35273—2017?信息安全技术个人信息安全规范?(简称?个人信息安全规范?),分别提出了设置“网络安全负责人”“个人信息保护负责人”的要求。
DPO的职责
根据欧盟GDPR数据保护工作组2016年12月发布的《数据保护官指弓I》(简称《指引》),DPO的任务和职责包括:向数据控制者、处理者及负责数据处理的员工做出有关通知和建议;确保、监控企业活动的合规性;提出建议并监控数据保护影响评估;协助监管机构的工作,并担任指定联络人;负责风险管控工作等。DPO需要具备专业知识和技能。DPO必须有理解数据保护和信息安全方面的法律知识,且有能力指导企业在整个信息生命周期处理包括收集、使用、存储、清理等方面的具体问题。GD?PR第37条明确要求DPO需要“有数据保护法律与实践的专业知识,且有能力完成第39条项下的职责”。
DPO的发展前景
早在2000年,欧美国家中就至少有数百家公司设有DPO的职位,如花旗集团、美国运通、惠普、微软、脸书等。安永的一份调查数据显示,欧盟GDPR根本性地改变了全球范围内隐私保护的管理模式。75%的欧盟公司以及50%的美国公司声称GDPR合规要求是驱动其隐私工作的主要原因。其在培训方面的投入、隐私岗位的聘用人数都在近几年大幅增长。
总部位于欧洲的国际信息科学考试学会EXIN于2016年发布了基于GDPR的糸列认证体糸,其中包括隐私和数据保护基础Privacy&DataProtectionFoundation,PDPF认证,隐私和数据保护实践者Privacy&DataProtectionPractitioner,PDPP认证以及ISOIEC27001基础认证。
PDPF是一门验证专业人员如何保护个人数据,以及对数据保护相关欧盟法规了解程度的认证。考生经过培训后可以参加PDPF认证考试,考试形式为40道选择题,答对26道题或以上算通过考试。PDPF考试语言可以选择英文或中文。
PDPP实践者级别的考试要求考生获得PDPF认证之后报考。主要验证专业人员对欧盟隐私法规和其国际关联性的理解程度;更会进一步考察从业者在专业领域的实践中应用其知识的能力。该考试除须完成40道选择题以外还需要完成实践作业,两项成绩均合格后可以获得资格证书。目前PDPP的考试语言为英文或中文。
与PDPF和PDPP不同的是,数据保护官DPO作为一个职能岗位并不是一门单独的考试,而是EXIN为已经获得相关认证的专业从业者提供的一种认证组合。即当考生考取以下三门认证后就可被EXIN授予DataProtectionOfficer岗位认证。
a.Privacy&DataProtectionFoundation
b.Privacy&DataProtectionPractitioner
c.InformationSecurityFoudationbasedonISOIEC27001
译者序一
2018年5月25日,欧盟出台了?通用数据保护条例?GDPR,与此同时,全球范围内个人数据保护法也陆续出台,来自业务上的新合规要求,给大量企业原有的业务逻辑和治理方式带来了很大挑战。除了被动应对,我们更应该将其视作一种大趋势来主动拥抱,因为这不仅是法律上的要求,也是整个社会隐私保护意识的觉醒,几乎所有的公司都将面对来自用户对于隐私方面的质询。对隐私的关注甚至有可能演化为新的贸易壁垒。
未来,个人数据保护会成为公司治理和运营的底层逻辑和基本职能,所有涉及个人数据的业务执行与管理都需要受到约束,以消除公司有关的法律与商誉风险。另外,个人数据保护本身也会成为一项专门的业务,一是为原有产品与服务增加新的竞争维度;二是向市场直接提供个人数据保护及合规的有关