VII. GDPR合规工具与模板：实用资源

为了帮助您更好地理解和实施GDPR合规，以下是针对关键合规领域的可执行表单、样式文件说明及官方模板链接。这些资源旨在简化您的合规建设过程，确保您的操作符合GDPR的严格要求。

1. 数据主体访问请求 (DSAR) 表单

说明：

GDPR赋予数据主体对其个人数据的访问权。组织必须提供清晰、便捷的机制，供数据主体请求获取其个人数据副本以及有关其数据处理方式的详细信息。DSAR表单旨在标准化这一请求流程，确保收集到所有必要信息以有效响应。表单通常会要求数据主体提供身份证明，以防止未经授权的访问。

关键要素：

1. 数据主体身份信息（姓名、联系方式）
2. 请求的具体内容（希望访问哪些数据、特定处理活动）
3. 请求的交付方式（电子、邮寄、亲自领取）
4. 身份验证要求（通常需要两份身份证明文件，如护照、驾照、银行对账单等）
5. 如果由代理人代表数据主体提出请求，需提供代理人身份证明及授权证明
6. 声明：确认所提供信息真实性，并理解组织可能需要进一步信息以处理请求

官方模板链接：

Ofwat (英国水务监管局) - 数据主体访问请求表单 (PDF)：

(https://www.ofwat.gov.uk/wp-content/uploads/1989/01/Subject-Access-Request-Form-2018.pdf)

Practical Law (Thomson Reuters) - 数据主体访问请求表单 (GDPR) (标准文档)：

https://uk.practicallaw.thomsonreuters.com/w-012-6115

注意：此为法律专业资源，可能需要订阅才能完全访问。

2. 同意管理表单/机制

说明：

当处理个人数据的合法依据是“同意”时，GDPR要求该同意必须是“自由给出、具体、知情且明确”的，并且必须易于撤回。同意管理表单或机制旨在确保这些条件得到满足，并提供清晰的记录以证明合规性。

关键要素：

1. 透明度：清晰、通俗地说明收集哪些数据、为何收集、如何使用以及谁将访问这些数据。
2. 无预勾选：禁止使用预勾选的复选框或其他默认同意方式。
3. 明确的肯定行动：用户必须通过积极行动（如勾选未勾选的复选框、点击“接受”按钮）来表示同意。
4. 细粒度选项：如果数据用于不同目的，应提供单独的同意选项，允许用户对每个目的进行选择。
5. 易于撤回：明确告知用户如何以及何时可以轻松撤回同意（例如，提供退订链接）。
6. 记录保存：记录同意的时间、方式、同意的具体文本以及任何偏好更改，以建立有效的审计追踪。
7. 双重选择加入 (Double Opt-in)：虽然GDPR不强制要求，但对于邮件列表等，双重选择加入被认为是最佳实践，可进一步验证同意的有效性。

官方模板链接：

iubenda - GDPR同意表单示例 (文章)：

https://www.iubenda.com/en/help/21996-gdpr-consent-form-examples

此页面提供了多种同意表单的“做与不做”示例，并包含一个可下载的通讯订阅选择加入助推器。

CookieYes - 如何制作符合GDPR的同意表单 (文章)：

https://www.cookieyes.com/blog/gdpr-consent-form-examples/

此页面提供了制作符合GDPR的同意表单的详细指南和示例。

3. 数据泄露通知表单（致监管机构）

说明：

当发生个人数据泄露且可能对个人权利和自由造成风险时，数据控制者必须在得知泄露后72小时内通知主管监管机构（DPA）。此表单用于标准化通知内容，确保包含GDPR第33条要求的所有必要信息。

关键要素：

1. 组织信息：公司名称、地址、联系方式。
2. 泄露详情：泄露的性质（发生什么、如何发生、何时发现、何时发生）。
3. 受影响数据：受影响数据主体的类别和近似数量，以及受影响个人数据记录的类别和近似数量。
4. DPO/联系点：数据保护官或其他联系点的姓名和联系方式。
5. 可能后果：泄露可能造成的后果描述。
6. 已采取/拟采取措施：已采取或拟采取的应对和减轻不利影响的措施。
7. 延迟理由：如果未能在72小时内通知，需说明延迟理由。
8. 不包含个人数据：在填写此表单时，不应包含泄露中涉及的任何个人数据（例如，受影响个人的姓名和联系方式）。

官方模板链接：

直布罗陀监管局 (GRA) - 数据泄露通知表单 (Word Doc)：

(https://www.gra.gi/uploads/documents/data-protection/Complaints/Data%20Breach%20Notification%20Form.docx)

欧洲数据保护委员会 (EDPB) - 如何通知数据泄露给您的DPA (页面)：

https://www.edpb.europa.eu/notify-data-breach_en

此页面提供了欧洲各国DPA的通知程序和在线表单链接。

The Cyphere - GDPR数据泄露通知模板 (文章)：

https://thecyphere.com/blog/data-breach-notification-template/

此文章提供了可下载的模板，并指导如何填写。

4. 数据处理协议 (DPA) 模板

说明：

当数据控制者委托数据处理者处理个人数据时，GDPR第28条强制要求双方签订一份具有法律约束力的书面合同，即数据处理协议（DPA）。DPA明确了处理者代表控制者处理数据的目的、方式和安全义务，确保整个数据处理链条的合规性。

关键要素：

1. 处理主题、持续时间、性质和目的。
2. 涉及的个人数据类型和数据主体类别。
3. 控制者的义务和权利。
4. 处理者仅根据控制者书面指示行事（除非法律另有要求）。
5. 保密义务：所有被授权处理数据的人员都必须承诺保密。
6. 技术和组织安全措施：处理者必须实施“适当的技术和组织措施”以确保数据安全。
7. 协助控制者：处理者协助控制者维护数据安全、进行DPIA、通知数据泄露（给当局和数据主体）以及履行数据主体请求的条款。
8. 合同终止时的数据处理：要求处理者在合同终止时删除或将所有个人数据返还给控制者，并删除所有现有副本（除非法律要求保留）。
9. 协助审计和检查：要求处理者协助审计和检查，并提供必要信息以证明合规性。
10. 子处理者管理：处理者聘用子处理者需获得控制者事先书面授权，且子处理者合同需施加相同的数据保护义务。

官方模板链接：

iubenda - 数据处理协议 (GDPR模板) (Word Doc)：

https://www.iubenda.com/en/help/7680-data-processing-agreement-template-gdpr

此为入门模板，建议根据具体情况咨询法律专家进行定制。

Common Paper - 数据处理协议 (标准)：

https://commonpaper.com/standards/data-processing-agreement/

此为标准化合同条款，旨在简化DPA的创建和管理。

丹麦数据保护局 (Datatilsynet) - 数据控制者与处理者合同模板 (Word Doc)：

https://www.edpb.europa.eu/sme-data-prot