网络安全检测|网络安全服务|网络安全扫描-香港墨客投资移动版

1. 考虑到现状，执行的成本和性质，范围，内容和处理的用途以及处理给自然人的权利和自由带来的不同可能性和严重程度的风险，控制者应该在确定处理手段和在处理的同时，实施适当的技术和组织措施，如匿名化，即目的是实施数据保护原则，如数据最小化，以有效的方式，在处理时实施必要的保障措施，以符合法律要求，保护数据主体的权利。

2. 控制者应该实施适当的技术和组织措施以确保，在默认情况下只有对每个特定处理目的有必要的个人数据才能被处理。该义务适用于收集的个人数据的数量，数据处理的程度，数据的存储期限和数据的可及性。特别是，这些措施应确保在没有个人对无限数量自然人的干预下，个人数据在默认情况是不可访问的。

3. 根据第42条的经批准的认证机制可以作为一个元素，以证明符合本条第1款和第2款的要求。

第26条

联合控制者

1. 当由两个或两个以上的控制者共同决定处理的目的和手段时，他们就是联合控制者。他们应以明确的方式确定在监管规定下各自的责任与义务，尤其是通过他们之间的安排，确定关于行使数据主体的权利和第13条和14条提及的他们各自的提供信息的职责，除非到目前为止，控制者各自的责任由联盟或成员国法律确定哪些控制者是主体。这种安排可以指定数据主体的联系点。

2. 第一款提到的安排应当及时反映各自的角色和联合控制者相对数据主体的关系。该安排的实质，应使数据主体得知。

3. 不论在第1款所指的安排条款，数据主体可以根据本规定行使他或她的权利，不论是否与控制者一致。

第27条

未在联盟中设立的控制者或处理者的代理人

1. 如果适用第3条第2款的，控制者或处理者应当以书面形式指定联盟中的代理人。

2. 该义务不适用于：

（a）偶然的处理，在一个大的范围里，不包括对第9条第1款提及的数据的特殊类别的处理，或者第10条提及的有关刑事定罪和处罚的个人数据的处理，而且考虑到处理的性质、内容、范围和目的，这种处理不太可能导致自然人的权利和自由的风险；或者

（b）一个公共权力机关或机构。

3. 代理人应当被建立在一个成员国中，这些成员国的数据主体及其个人数据根据提供给它们的货物或服务被处理，或者它们的行为被监控。

4. 为确保遵守本条例的目的，代理人应被控制者或处理者授权，以及特别是监管机构和数据主体的授权来处理所有的相关问题。

5. 控制者或处理者对代理人的指定，应对于代理人可能做出的不利于控制者或处理者自身的法律行为无损权益。

第28条

处理者

1. 当处理是以控制者的名义进行的，控制者只使用处理者实施的适当的技术和组织措施提供充分保证，以这种方式使处理满足法规的要求，确保对数据主体权利的保护。

2．如果未经控制者特别的或一般的的事先书面授权，该控制者不能引入另一个控制者参与。在一般的书面授权的情况下，处理者应该通知控制者任何有关增加或替换其他控制者的变化，以使控制者有机会应对这样的变化。

3. 一个处理者的处理应遵守联盟或成员国法律下的在合同或其他法律行为，即控制者与处理者相结合，提出处理的主题和处理的期限，性质和处理目的，个人数据的类别、数据主体的分类和控制者的权利义务。该合同或其他法律行为应规定，特别是处理者：

（a）处理个人数据只能基于控制者的书面指示，包括有关个人数据向一个第三世界国家或一个国际组织的转移，除非联盟或成员国法律所允许这样做的，该处理者是主体；在这种情况下，处理者在处理之前，应通知控制者有关法律的要求，除非法律由于重大公共利益的原因禁止提供这样的信息；

（b） 确保个人被授权处理个人数据，且已承诺保密或在适当的法定保密义务下；

（c）根据第32条要求的采取所有措施；

（d）遵守第2款和第4款提到的引入其他处理者的条件；

（e）考虑到处理的性质，运用适当的技术和组织措施协助控制者，因为到目前为止这是可能的，为履行控制者的义务，以适应第三章规定的行使数据主体权利的要求；

（f）考虑到处理的性质和处理者可得到的信息，协助控制者以确保其遵守第32条至36条规定的义务；