name: gdpr-dsgvo-expert description: GDPR和德国DSGVO合规自动化。扫描代码库以查找隐私风险,生成DPIA文件,跟踪数据主体权利请求。用于GDPR合规性评估、隐私审计、数据保护规划、DPIA生成和数据主体权利管理。
GDPR/DSGVO专家
欧盟通用数据保护条例(GDPR)和德国联邦数据保护法(BDSG)合规的工具和指导。
目录
工具
GDPR合规检查器
扫描代码库以查找潜在的GDPR合规问题,包括个人数据模式和风险代码实践。
# 扫描项目目录
python scripts/gdpr_compliance_checker.py /path/to/project
# JSON输出用于CI/CD集成
python scripts/gdpr_compliance_checker.py . --json --output report.json
检测:
- 个人数据模式(电子邮件、电话、IP地址)
- 特殊类别数据(健康、生物识别、宗教)
- 财务数据(信用卡、IBAN)
- 风险代码模式:
- 记录个人数据
- 缺少同意机制
- 无限期数据保留
- 未加密的敏感数据
- 禁用删除功能
输出:
- 合规分数(0-100)
- 风险分类(严重、高、中)
- 优先级建议及GDPR条款参考
DPIA生成器
生成符合Art. 35要求的数据保护影响评估文件。
# 获取输入模板
python scripts/dpia_generator.py --template > input.json
# 生成DPIA报告
python scripts/dpia_generator.py --input input.json --output dpia_report.md
特点:
- 自动DPIA阈值评估
- 基于处理特征的风险识别
- 法律依据要求文件
- 缓解建议
- Markdown报告生成
DPIA触发评估:
- 系统监控(Art. 35(3)©)
- 大规模特殊类别数据(Art. 35(3)(b))
- 自动决策(Art. 35(3)(a))
- WP29高风险标准
数据主体权利跟踪器
管理GDPR第15-22条下的数据主体权利请求。
# 添加新请求
python scripts/data_subject_rights_tracker.py add \
--type access --subject "John Doe" --email "john@example.com"
# 列出所有请求
python scripts/data_subject_rights_tracker.py list
# 更新状态
python scripts/data_subject_rights_tracker.py status --id DSR-202601-0001 --update verified
# 生成合规报告
python scripts/data_subject_rights_tracker.py report --output compliance.json
# 生成响应模板
python scripts/data_subject_rights_tracker.py template --id DSR-202601-0001
支持的权利:
| 权利 | 文章 | 截止日期 |
|---|---|---|
| 访问 | Art. 15 | 30天 |
| 修正 | Art. 16 | 30天 |
| 删除 | Art. 17 | 30天 |
| 限制 | Art. 18 | 30天 |
| 可携带性 | Art. 20 | 30天 |
| 反对 | Art. 21 | 30天 |
| 自动决策 | Art. 22 | 30天 |
特点:
- 截止日期跟踪与逾期提醒
- 身份验证工作流程
- 响应模板生成
- 合规报告
参考指南
GDPR合规指南
references/gdpr_compliance_guide.md
全面的实施指导,涵盖:
- 处理的法律依据(Art. 6)
- 特殊类别要求(Art. 9)
- 数据主体权利实施
- 责任要求(Art. 30)
- 国际传输(第五章)
- 违规通知(Art. 33-34)
德国BDSG要求
references/german_bdsg_requirements.md
德国特定要求,包括:
- DPO任命阈值(§ 38 BDSG - 20+员工)
- 雇佣数据处理(§ 26 BDSG)
- 视频监控规则(§ 4 BDSG)
- 信用评分要求(§ 31 BDSG)
- 州数据保护法(Landesdatenschutzgesetze)
- 工作委员会共同决策权
DPIA方法论
references/dpia_methodology.md
逐步DPIA流程:
- 阈值评估标准
- WP29高风险指标
- 风险评估方法
- 缓解措施类别
- DPO和监管机构咨询
- 模板和清单
工作流程
工作流程1:新处理活动评估
步骤1:在代码库上运行合规检查器
→ python scripts/gdpr_compliance_checker.py /path/to/code
步骤2:审查发现和合规分数
→ 解决严重和高问题
步骤3:确定是否需要DPIA
→ 检查references/dpia_methodology.md阈值标准
步骤4:如果需要DPIA,生成评估
→ python scripts/dpia_generator.py --template > input.json
→ 填写处理细节
→ python scripts/dpia_generator.py --input input.json --output dpia.md
步骤5:在处理活动记录中记录
工作流程2:数据主体请求处理
步骤1:在跟踪器中记录请求
→ python scripts/data_subject_rights_tracker.py add --type [type] ...
步骤2:验证身份(成比例的措施)
→ python scripts/data_subject_rights_tracker.py status --id [ID] --update verified
步骤3:从系统中收集数据
→ python scripts/data_subject_rights_tracker.py status --id [ID] --update in_progress
步骤4:生成响应
→ python scripts/data_subject_rights_tracker.py template --id [ID]
步骤5:发送响应并完成
→ python scripts/data_subject_rights_tracker.py status --id [ID] --update completed
步骤6:监控合规性
→ python scripts/data_subject_rights_tracker.py report
工作流程3:德国BDSG合规检查
步骤1:确定是否需要DPO
→ 20+员工自动处理个人数据
→ 或处理需要DPIA
→ 或业务涉及数据传输/市场研究
步骤2:如果涉及员工,审查§ 26 BDSG
→ 为员工数据记录法律依据
→ 检查工作委员会要求
步骤3:如果视频监控,遵守§ 4 BDSG
→ 安装标志
→ 记录必要性
→ 限制保留
步骤4:向监管机构注册DPO
→ 参见references/german_bdsg_requirements.md监管机构列表
关键GDPR概念
法律依据(Art. 6)
- 同意:市场营销、新闻通讯、分析(必须自由给出、具体、知情)
- 合同:订单履行、服务交付
- 法律义务:税务记录、就业法
- 合法利益:欺诈预防、安全(需要平衡测试)
特殊类别数据(Art. 9)
需要明确同意或Art. 9(2)例外:
- 健康数据
- 生物识别数据
- 种族/民族起源
- 政治观点
- 宗教信仰
- 工会成员资格
- 遗传数据
- 性取向
数据主体权利
所有权利必须在30天内履行(对于复杂请求可延长至90天):
- 访问:提供数据副本和处理信息
- 修正:纠正不准确的数据
- 删除:删除数据(法律义务除外)
- 限制:在问题解决时限制处理
- 可携带性:以机器可读格式提供数据
- 反对:基于合法利益停止处理
德国BDSG补充
| 主题 | BDSG条款 | 关键要求 |
|---|---|---|
| DPO阈值 | § 38 | 20+员工=强制性DPO |
| 雇佣 | § 26 | 详细的员工数据规则 |
| 视频 | § 4 | 标志和比例性 |
| 评分 | § 31 | 可解释的算法 |