其次，根據藝術。 28節3個字母GDPR g 規定，在提供與處理相關的服務完成後，如果歐盟或成員國法律要求儲存個人數據，處理實體沒有義務返還或刪除委託的個人資料。然後，該實體將繼續充當處理者，但根據適用的法律規定，處理將僅限於儲存個人資料。但在實踐中，很難找到此類監管的例子。在特定實體向管理員提供服務並有義務在法規規定的期限內儲存個人資料的情況下，服務提供者從一開始就被視為單獨的管理員（例如保險經紀人或律師和法律顧問） ） 。



第三，在實踐中，我遇到過這樣的情況：處理者希 馬來西亞電話號碼 望在合約終止後處理委託的個人數據，以達到自己的目的，特別是為了取證的目的。委託協議中可能包含管理人同意處理者提供服務後處理其從管理人收到的個人資料的條款。此類處理的目的通常是需要證明雙方之間的合作、對資料主體的潛在索賠進行辯護或需要證明依法處理個人資料。這種做法正確嗎？那麼原處理器的狀態如何呢？首先需要強調的是，如果該實體在提供服務後出於自身利益且僅出於自身目的處理委託個人數據，則該實體將成為獨立管理員。因此，他有義務對其根據第 1 條處理其資料的人員履行資訊義務。 14 GDPR（由於從第三方取得個人資料）。他還必須證明他有處理這些數據並妥善保護這些數據的法律依據。







但是，原始控制者是否可以並且應該同意服務提供者作為控制者對個人資料進行進一步處理？請注意，在這種情況下，原始管理員將與單獨的實體共享個人數據，並且這樣做必須有法律依據。共享是個人資料處理的形式之一。可以說，這樣的前提可能是前服務提供者的合法利益。但是，當需要處理個人資料以實現該實體的目的，且第三方的利益大於資料主體的利益或基本權利和自由時，可以援引此處理理由。原始控制者和資料接收者（他們也可能依賴處理向他提供的資料的合法利益）都應該進行平衡測試，以確定這一理由是否實際上適用。我認為，在大多數情況下，這樣的測試結果將不允許原始控制者提供資料以及前服務提供者處理資料。為什麼？