Процессор и любое лицо, действующее от имени контроллера или процессора и имеющее доступ к персональным данным, не обрабатывает указанные данные иначе, как только по указаниям контроллера, если только этого не требуют делать правовые акты Союза или государства-члена ЕС.