网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

（g）一旦选择了控制者，就需要删除或向该控制者返还所有的个人数据，在提供有关处理服务的最后，删除现有的版本，联盟或成员国法律允许存储的个人数据除外；

（h）提供给控制者所有必要的信息，以证明符合在本条中规定的义务，并允许和促进审计，包括检查，由控制者或由控制者授权的另一核数师进行。

关于第一项的第h项，处理者应当立即通知控制者，如果在其看来，一个指令违反了本条例或其他联盟或成员国的数据保护规定。

4. 在处理者引入其他处理者执行代表控制者的特定处理活动，第3款提及的控制者和处理者之间的合同或其他法律行为中的相同的数据保护的要求，应通过联盟或成员国法律在合同或其他法律行为施加给其他处理者，特别是实施适当的技术和组织措施提供充分保证，以这样的方式，确保处理能满足本规范要求。其他处理者未能履行其数据保护义务的，最初处理者应保持就其他处理者义务的履行对控制者承担责任。

5. 第40条所提及的一个处理者遵守的一个被认可的行为准则，或在第42条提及的一个经批准的认证机制，可以作为一个元素用来证明本条的第1款和第4款中提到的充分保证。

6. 在不损害控制者和处理者之间的单个合同情况下，在本条第3款和第4款提及的合同或其他法律行为，可能基于，本条第7款和第8款提及的标准化的合同条款的全部或部分，包括当它们成为依据第42条和第43条授权给控制者和处理者的认证的一部分。

7. 欧盟委员会可就本条第3款和第4款所指的事项制定标准化的合同条款，并按照第93条第2款所指的审查程序。

8. 监督机关可以采用根据本条第3款和第4款所指事项的标准化的合同条款，并按照第63条所指的一致性机制。

9. 第3款和第4款所指的合同或其他法律行为，应当以书面形式，包括电子形式；

10. 在不损害第82条、83条和84条的情况下，如果一个处理者违反本条例的规定决定处理的目的和手段，该处理者可以在处理方面被认为是控制者。

第29条

在控制者或处理者的权限下处理

有权访问个人数据的处理者以及在控制者或处理者的权限下作为的任何人，除控制者指令外不得处理那些数据，除非联盟或成员国法律允许这么做。

第30条

处理活动的记录

1. 每一位控制者，以及如适用控制者的代理人，应当依其职责保持处理活动的记录。那个记录应当包括以下所有信息：

（a）控制者以及如适用的联合控制者、控制者代理人和数据保护员的姓名和联系信息；

（b）处理的目的；

（c）数据主体的类别和个人数据的分类的描述；

（d）个人数据已经或将要被公开的收件人的类别，包括在第三世界国家或国际组织的收件人；

（e）如适用，将个人数据向第三世界国家或国际组织的传输，包括该第三国或国际组织的鉴定，以及在第49条第1款第二款提及的传输的情况下，对文档采取适当的安全措施；

（f）如可能，则对擦除不同类别的数据设定时间限制；

（g）如可能，对第32条第1项提及的技术和组织安全措施进行一般性描述。

第31条

和监督机构的合作

在事务执行的过程之中，应用控制者、应用处理者以及它们的代表，应当根据要求与监管机构进行合作。

第32条

处理过程的安全性

1.统筹考虑最先进的技术、实施成本、处理过程（包括其性质、范围、目的）以及自然人自由权利变化可能性和严重性的风险。控制者、处理者应当执行合适的技术措施和有组织性的措施来保证合理应对风险的安全水平，尤其要酌定考虑以下因素：

（a）个人数据的匿名化和加密；

（b）数据系统保持持续的保密性、完整性、可用性以及弹性的能力；

（c）在发生自然事故或者技术事故发的情况下，存储有用信息以及及时获取个人信息的能力；

（d）定期对测试、访问、评估技术性措施以及组织性措施的有效性进行处理，力求确保处理过程的安全性。

2.安全账户的等级评估应当尤其重视处理过程中的风险问题，特别是抵御意外和非法销毁、损失、变更、未经授权披露或者是个人数据的传送、存储和处理过程中的风险。

3.参考第40条采取一种合法行为或者参考42条采取一种认证机制，这可以用来说明本条第一款要求的合规性。

4.控制者以及处理者应当逐步采取措施，以求确保在部门规制之下操作个人数据的自然人不能对数据进行处理，除非获得控制者的指示，或者其根据联邦或州宪法确有必要。

第33条

监管机构对个人数据泄露的通知