Kick off meeting Materials

一、對外客服流程

A1-A6：2.個人資料的內容、處理的目的是否告知資料主體（使用者），以怎樣的方式告知使用者？

A7:資料主體同意的結果在製造商側怎樣體現？製造商怎樣保證資料主體的七大權利？

A11：是否通過合同明確資料主體、資料控制者和處理者？

A12：對於A15-A22資料主體對於其資料（七大權利：知情權、訪問權、反對權、可攜帶權、糾正權、刪除權 / 被遺忘權、限制處理權、免受資料畫像影響）的一些列訴求，資料控制者如果沒有 及時採取行動，那麼怎樣向資料主體說明原因的？

A13：控制者是否在收集個人資訊時是否向資料主體告知：聯絡方式

A14-A15：是否涉及並非從資料主體處獲得個人資料的情況,對於資料主體的訪問權,控制者是否對正在處理的資料有副本措施能提供，必要的成本增加可收取一定管理費用。

A16: 資料主體在請求個人資料時出現不準確或不完整的資料時，如何處理？

A17: 在資料主體退出某個作業系統或結束對某個產品的使用時，資料控制者是否會刪除個人資料以及與個人資料相關的任何連結，副本或備份檔案？如果需要刪除時對於已經公開的資料，控制者如何處理？

A18: 資料處理者在請求個人資料時對個人資料的準確性有異議，且認為控制者對這部分的處理不合法但是又不願意刪除這部分資料時，怎麼做？

A19: 對個人資料的糾正，刪除，限制處理是否會通知資料主體？

A21: 處理個人資料以直銷，公共利益，履行政府授予的職責，第三方或控制者的合法利益為目的時，資料主體是否能拒絕處理？

A22: 資料主體是否會受到由自動化處理產生的決定的約束（包括對其產生的法律效果或類似重大影響的分析）？

A25:  在任何系統、服務、產品或流程的設計階段以及全生命週期中，對個人資料是否有采用匿名化的措施？  其對個人資料的處理是否有被不特定數量的自然人訪問？對個人資料的處理是否以適當的方式充分告知資料主體其處理的目的範圍？

A26: 是否有多個數據控制者共同決定處理資料的目的與方式？資料主體是否瞭解控制者對其資料的操作？

A33-34: 當個人資料出現洩露時，控制者與處理者分別會採取何種應急措施？

A35-36: 系統更新或升級時，是否會評估對個人資料保護造成的影響？若評估後控制者不採取措施，控制者應該怎樣做？

二、對內體系建設

A8：是否對兒童個人資料的處理基於其父母或法定監護人的同意？

A9：對於民族、政治觀點、宗教信仰、基因、生物及性取向的資料處理是否禁止？對內是否甄別？

A23:控制者和處理者對個人資料或個人資料集合中的任何一項或一系列操作如（收集，記錄組織，建構，儲存，改編或修改，檢索，諮詢，使用，披露等）是否有限制通過傳輸而公開，散佈的操作？

A24: 資料處理者和控制者分別承擔了哪些義務？

A27: 控制者或處理者是否有以書面形式指定歐盟中的代理人？

A28: 處理者在資料處理過程中是否有引入其它資料處理者？

A29: 處理者和任何獲取了那些能接觸個人資訊的管理者或處理者許可權的人員，是否可處理除管理者指示外的資料？

A30: 控制者對處理個人資料的活動是否有記錄（包括控制者名稱和聯絡方式，處理目的，資料主體及個人資料得型別）？

A31: 控制者，處理者，及其代表與監管機關是否有合作(如果合作，請描述具體合作內容)？

A37-39:請設立一名資料保護官：主要負責對內建議，監督以確保合規合法經營，對外服務客戶並於監管機構合作。

A40:協會與其它代表不同種類的主體是否可為此準則做制定，修訂或擴充準備？

A41:是否有設立或委託專業機構來監管行為準則的合法性，合規性？

A42:控制者與處理者的認證時間最長不能超過幾年？在相同條件下是否可延長？

三、網路安全的技術實施

A1-A6：1.請提供本產品功能介紹：涉及各類資料的收集。

請提供涉及的個人資料型別，這些資料的資料流示意圖，即個人資料的收集、傳輸、修改、匯聚、儲存、刪除等節點的設計方案，怎樣通過安全技術、安全管理進行保護?以及這些過程中是否涉及歐盟個人跟地區（例如儲存伺服器地址、例如使用者是歐盟公民）；

3.個人資料的處理是否做過分析，以確認是否有不必要的措施；

A10：是否涉及不需識別，僅盲操個人資料的步驟或內容？參考資料流，不需進行對應識別

A20: 資料控制者是否會以自動化的方式處理個人資料？如果以自動化得方式處理，資料主體能否從控制者處取得個人資料並直接傳輸至另一資料控制者？

A32: 對個人資料的處理是否有匿名化的加密措施？系統是否具備自我修復的能力(如在裝置斷電或系統出現異常時能否及時恢復對個人資料資料的訪問與可用性？)？