GDPR 合规

• 在欧盟设立的公司以及向欧盟个人提供商品/服务或监控其行为的组织 • 跨国供应链和拥有欧盟客户的 B2B 公司 • 拥有网站、CRM、分析、cookie、电子商务、客户支持流程的品牌 • 通过供应商/业务合作伙伴共享数据的企业

1) 数据映射和 RoPA（处理活动记录） • 个人数据类别、目的、保留期限、接收者群体 • 数据流（网络、CRM、HR、供应商、客户支持） 2) 法律依据和透明度 • 处理条件：合同、合法利益、法律义务、明确同意（如需要） • 隐私通知、Cookie 政策、偏好管理 • "最少数据"和"目的限制"方法 3) 数据主体权利（DSAR）和运营 • 访问、更正、删除、反对、可移植性等请求的工作流程 • SLA、记录保存、身份验证和响应模板 4) DPIA（数据保护影响评估）和风险管理 • 高风险处理的 DPIA 方法 • 风险缓解计划和管理批准 • 与第三方风险（处理者/供应商）的集成方法 5) 技术和组织措施（TOMs） • 访问控制、授权、日志记录、加密、备份 • 数据最小化、保留/删除政策 • 员工意识和基于角色的培训 6) 合同和第三方管理 • 处理者合同：DPA（数据处理协议） • 欧盟外数据传输：SCC 和数据传输风险评估逻辑 • 供应商审计、子处理者控制 7) 数据泄露（breach）管理 • 事件响应计划、内部通知流程、记录系统 • 泄露评估和通知/沟通场景 • 事件后纠正/预防活动

• GDPR 差距分析和风险图（当前状态 → 目标状态） • RoPA/数据清单和保留计划 • 政策集：隐私通知、Cookie、保留、事件、DSAR • DPIA 模板和实施支持（含示例案例） • DPA/SCC 模板和供应商合同更新 • 培训和意识 + 审计就绪的证据包

• 数据图 + RoPA（处理活动记录） • 法律依据矩阵 + 透明度文本 • DSAR 程序 + 请求记录系统模板 • DPIA 报告 + 风险缓解计划 • TOMs 检查清单 + 技术/行政行动计划 • DPA/SCC 包 + 供应商控制检查清单 • 泄露响应计划 + 事件记录模板 • 审计就绪的 GDPR 文件和内部控制检查清单