gdpr-audit-prep
bởi alirezarezvanigdpr-audit-prep giúp các đội kiểm tra sức chịu tải của mức độ sẵn sàng GDPR bằng sáu câu hỏi kiểu DPO có dẫn Điều khoản, bao quát RoPA, cơ sở pháp lý, DPIA, chuyển dữ liệu, vi phạm dữ liệu, lưu giữ dữ liệu và khoảng trống bằng chứng trước kiểm toán hoặc thẩm định.
Skill này đạt 73/100, nghĩa là đủ phù hợp để đưa vào danh mục như một prompt chuyên biệt cho chuẩn bị kiểm toán GDPR, cung cấp cho agent cấu trúc chất vấn rõ hơn so với prompt tuân thủ chung. Người dùng danh mục nên xem đây là checklist gọn nhẹ theo phong cách DPO để kiểm tra sức chịu tải của mức độ sẵn sàng GDPR, không phải một hệ thống kiểm toán đầy đủ kèm mẫu biểu, script hay căn cứ pháp lý hỗ trợ.
- Tình huống kích hoạt và ca sử dụng rõ ràng: lệnh `/cs:gdpr-audit-prep <scope>` được gắn trực tiếp với rà soát GDPR hằng năm, phản ứng khi có vi phạm dữ liệu, chuẩn bị cho điều tra DPA và thẩm định trước mua lại.
- Phần lõi có giá trị vận hành: skill xoay quanh sáu câu hỏi kiểu DPO có dẫn Điều khoản, gồm Article 30 RoPA, Article 6 lawful basis, các yếu tố kích hoạt DPIA và các Article 33-34 liên quan đến vi phạm dữ liệu.
- Hữu ích cho agent khi chất vấn: định dạng câu hỏi bắt buộc giúp agent soi ra bằng chứng tuân thủ còn thiếu thay vì tạo ra phần bình luận GDPR chung chung.
- Không có tệp hỗ trợ, tài liệu tham chiếu, script, mẫu biểu hay hướng dẫn cài đặt, nên người dùng chỉ nhận được quy trình trong SKILL.md.
- Bằng chứng từ repository cho thấy phần triển khai thực tế ngoài dạng chất vấn theo checklist còn khá hạn chế, có thể chưa đủ với các đội cần một gói kiểm toán GDPR hoàn chỉnh.
Tổng quan về gdpr-audit-prep skill
gdpr-audit-prep làm gì
gdpr-audit-prep là một compliance review skill dùng để “stress test” mức độ sẵn sàng GDPR bằng sáu câu hỏi kiểu DPO, có dẫn chiếu Article cụ thể. Skill này được thiết kế để buộc AI assistant chất vấn bằng chứng về quyền riêng tư, thay vì tạo ra một checklist dễ dãi. Nhiệm vụ cốt lõi rất rõ: trước một cuộc audit, phản ứng sự cố vi phạm dữ liệu, làm việc với DPA, DPIA, làm mới RoPA hoặc rà soát trước thương vụ mua lại, hãy dùng skill này để phát hiện hồ sơ còn thiếu, lập luận lawful basis yếu, chuyển dữ liệu quốc tế chưa được ghi nhận, quy tắc retention đã cũ và quy trình xử lý quyền của data subject chưa hoàn chỉnh.
Phù hợp nhất với đội ngũ compliance review
gdpr-audit-prep skill phù hợp nhất với privacy leads, đội legal operations, nhân sự hỗ trợ DPO, security/compliance managers và startup operators đang chuẩn bị cho việc bị soi xét theo GDPR. Skill đặc biệt hữu ích khi bạn đã có một số tài liệu như RoPA, DPIA, privacy notice, danh sách DPA, transfer impact assessment, retention schedule, breach log, nhưng cần một quy trình chất vấn có cấu trúc trước khi chuyển tài liệu cho cố vấn pháp lý, auditors, bên mua hoặc supervisory authority.
Điểm khác biệt so với một prompt GDPR thông thường
Một prompt chung chung có thể tóm tắt các nghĩa vụ GDPR. gdpr-audit-prep hẹp hơn và hữu ích hơn cho rà soát vận hành: skill đặt ra các câu hỏi buộc phải trả lời, gắn với những GDPR Articles cụ thể, tập trung vào Article 30 records, Article 6 lawful basis, DPIA triggers, international transfers, breach notification và chất lượng bằng chứng. Giá trị của skill không nằm ở việc “làm GDPR”; nó giúp bạn thấy liệu vị thế tuân thủ mà bạn đang tuyên bố có thể được bảo vệ bằng tài liệu có ngày tháng, cụ thể và có thể rà soát hay không.
Các giới hạn quan trọng khi áp dụng
Skill này không thay thế tư vấn pháp lý, DPO hoặc một chương trình audit GDPR đầy đủ. Skill cũng chỉ được phát hành dưới dạng một file SKILL.md, không kèm scripts, references hay helper resources, vì vậy người dùng nên xem đây là một tài sản cho prompt-workflow hơn là một công cụ tự động quét bằng chứng. Skill hoạt động tốt nhất khi bạn cung cấp phạm vi và tài liệu cụ thể; nó sẽ yếu nếu bạn chỉ yêu cầu “check GDPR compliance” mà không nêu processing activity, phạm vi địa lý, danh sách vendor hoặc mục tiêu audit.
Cách sử dụng gdpr-audit-prep skill
Cài đặt gdpr-audit-prep và đường dẫn repository
Với workflow Claude skills, cài đặt từ repository path sau:
npx skills add alirezarezvani/claude-skills --skill gdpr-audit-prep
Vị trí upstream là compliance-os/skills/gdpr-audit-prep trong alirezarezvani/claude-skills. Hãy bắt đầu bằng cách đọc SKILL.md; skill này không có README.md, rules/, references/, resources/ hoặc scripts riêng để kiểm tra. Điều đó giúp việc cài đặt đơn giản, nhưng cũng có nghĩa là evidence pack và cách bạn đóng khung prompt sẽ quyết định phần lớn chất lượng đầu ra.
Dữ liệu đầu vào gdpr-audit-prep cần trước khi rà soát
Để có gdpr-audit-prep usage hiệu quả, hãy cung cấp cho assistant một phạm vi rõ ràng và các bằng chứng bạn muốn bị chất vấn. Các đầu vào hữu ích gồm:
- Tên processing activity, vai trò controller/processor, quốc gia, data subjects và data categories
- Trích xuất RoPA kèm ngày cập nhật gần nhất
- Lawful basis theo từng purpose, bao gồm legitimate interests assessment nếu có
- DPIA hoặc lý do chưa thực hiện DPIA
- Danh sách vendor/subprocessor, SCCs, transfer mechanism và ghi chú về transfer risk
- Retention schedule và deletion controls
- Breach log hoặc bối cảnh incident-response
- Privacy notice, DSAR procedure và consent records khi có liên quan
Một prompt yếu là: “Check if we are GDPR compliant.”
Một prompt tốt hơn là: “Use gdpr-audit-prep for Compliance Review of our EU customer analytics processing. We are controller, use Mixpanel and AWS, process account IDs, usage events, IP addresses, and support metadata. Review the attached RoPA extract, LIA, DPA list, retention schedule, and privacy notice. Identify audit-facing gaps by GDPR Article, evidence needed, and owner-ready remediation questions.”
Workflow thực tế để viết prompt đầy đủ
Hãy chạy skill trước buổi họp rà soát chính thức, không phải sau khi các quyết định đã được chốt. Một workflow hữu ích là:
- Xác định phạm vi chính xác: annual audit, Article 30 refresh, high-risk launch, breach readiness, DPA investigation hoặc M&A diligence.
- Dán hoặc đính kèm các artifact liên quan thay vì yêu cầu assistant suy từ trí nhớ.
- Yêu cầu skill trả lời từng DPO forcing question với:
finding,GDPR Article,evidence seen,evidence missing,riskvànext action. - Tách sự kiện khỏi giả định. Nếu model suy luận điều gì, hãy yêu cầu gắn nhãn đó là inference.
- Chuyển đầu ra đầu tiên thành remediation tracker với owner, due date, evidence link và audit status.
Mẹo giúp nâng chất lượng đầu ra
Hãy yêu cầu rà soát theo hướng phản biện, không phải trấn an. Những cụm như “challenge our evidence,” “act as a DPO before supervisory authority engagement,” và “do not accept undocumented claims” thường cho kết quả tốt hơn “summarize compliance.” Nếu bạn có nhiều processing activities, hãy chạy gdpr-audit-prep riêng cho từng hoạt động; Article 6 basis, retention, transfers và logic DPIA thường khác nhau theo từng purpose.
Câu hỏi thường gặp về gdpr-audit-prep skill
gdpr-audit-prep có phù hợp với người mới không?
Có, nếu người mới có quyền truy cập vào tài liệu privacy thực tế và hiểu processing activity đang được rà soát. Cấu trúc sáu câu hỏi của skill giúp việc review GDPR dễ bắt đầu hơn, nhưng skill sẽ không dạy toàn bộ khái niệm GDPR từ con số không. Người mới nên kết hợp đầu ra với đánh giá của chuyên gia pháp lý hoặc privacy professional trước khi đưa ra tuyên bố đối ngoại.
Khi nào không nên dùng gdpr-audit-prep?
Không nên dùng skill này như thẩm quyền duy nhất để diễn giải pháp lý, trao đổi với regulator, quyết định breach notification hoặc phê duyệt DPIA cuối cùng. Skill cũng không phù hợp cho thiết kế chương trình privacy trên diện rộng, triển khai cookie banner, review chỉ theo CCPA hoặc quét codebase tự động. Hãy dùng skill khi nhiệm vụ là chuẩn bị audit GDPR và chất vấn bằng chứng.
Khác gì so với một privacy checklist?
Checklist hỏi một hạng mục có tồn tại hay không. Cách tiếp cận của gdpr-audit-prep guide hỏi hạng mục đó có bảo vệ được hay không: có ngày tháng, khớp với Article, gắn với một processing purpose cụ thể và được hồ sơ hỗ trợ. Khác biệt này rất quan trọng vì nhiều thất bại trong audit GDPR không đến từ việc hoàn toàn thiếu tài liệu; chúng đến từ RoPA đã cũ, lawful bases bị trộn lẫn, legitimate interest claims không có bằng chứng hỗ trợ hoặc chuyển dữ liệu xuyên biên giới không được ghi nhận.
Skill có dùng được cho processors và controllers không?
Có, nhưng bạn phải nói rõ vai trò nào đang áp dụng. Yêu cầu Article 30 khác nhau giữa controllers và processors, và bằng chứng kỳ vọng cho contracts, subprocessors, instructions cũng như joint controller arrangements thay đổi đáng kể. Nếu tổ chức của bạn có cả hai vai trò, hãy tách review theo từng processing relationship.
Cách cải thiện gdpr-audit-prep skill
Cải thiện gdpr-audit-prep bằng evidence pack tốt hơn
Cách nhanh nhất để cải thiện kết quả của gdpr-audit-prep là cung cấp evidence pack trước khi yêu cầu kết luận. Hãy bao gồm tên file, ngày tháng, document owners và các khoảng trống đã biết. Ví dụ: “RoPA updated 2024-11-02, LIA draft missing balancing test, SCCs signed with vendor but no TIA, retention rule says 24 months but deletion job not evidenced.” Điều này giúp assistant phân biệt audit findings với ngữ cảnh còn thiếu.
Theo dõi các lỗi thường gặp
Lỗi thường gặp nhất là chấp nhận ngôn ngữ compliance mơ hồ. Hãy phản biện các đầu ra kiểu “ensure appropriate measures” nếu chúng không nêu rõ record, Article, control hoặc bằng chứng còn thiếu. Một lỗi khác là gộp nhiều purposes lại với nhau; một product workflow có thể bao gồm account creation, billing, analytics, fraud prevention và support, mỗi phần có lawful basis và logic retention khác nhau.
Lặp lại từ câu hỏi sang remediation
Sau lần chạy đầu tiên, hãy yêu cầu một lượt thứ hai để chuyển findings thành action plan. Prompt theo dõi hữu ích: “Turn the unresolved gdpr-audit-prep findings into a remediation table with priority, GDPR Article, required evidence, accountable team, suggested due date, and what would satisfy an auditor.” Cách này giúp skill vận hành thực tế hơn cho Compliance Review.
Bổ sung bối cảnh chính sách nội bộ trước khi dùng chính thức
Để dùng trong môi trường production, hãy điều chỉnh skill theo risk appetite và chuẩn tài liệu của tổ chức bạn. Thêm RoPA template, DPIA threshold rules, breach escalation policy, vendor review criteria, transfer assessment method và retention taxonomy của bạn. Skill sẽ đáng tin cậy hơn khi rà soát dựa trên mô hình vận hành compliance thực tế của tổ chức, thay vì các kỳ vọng GDPR chung chung.
