第32条 处理的安全

  1.在考虑了最 新水平、实施成本、处理的性质、处理的范围、处理的语境与目的之后,以及处理给自然人权利与自由带来的伤害可能性与严重性之后,控制者和处理者应当采取包括但不限于如下的适当技术与组织措施,以便保证和风险相称的安全水平:

  (a)个人数据的匿名化和加密;

  (b)保持处理系统与服务的保密性、公正性、有效性以及重新恢复的能力;

  (c)在遭受物理性或技术性事件的情形中,有能力恢复对个人数据的获取与访问;

  (d)具有为保证处理安全而常规性地测试、评估与评价技术性与组织性手段有效性的流程。

  2.在评估合适的安全级别的时候,应当特别考虑处理所带来的风险,特别是在个人数据传输、储存或处理过程中的的意外或非法销毁、丢失、篡改、未经授权的披露或访问。

  3.遵守第40条所规定的已生效的行为准则,或者遵守第42条所规定的已生效的验证机制,这可以被作为证据之一,证明已经遵守了本条款第1段的要求。

  4.控制者和处理者应当采取措施确保,除非接到控制者的指示,任何有权访问个人数据的处理者或任何代表控制者和处理者的自然人都不会进行处理,除非欧盟或成员国法律要求进行处理。