5. Соблюдение обработчиком утвержденного кодекса поведения, упомянутого в статье 40, или утвержденного механизма сертификации, упомянутого в статье 42, может использоваться в качестве элемента, с помощью которого можно продемонстрировать достаточные гарантии, упомянутые в пунктах 1 и 4 настоящей статьи.

6. Без ущерба для индивидуального договора между контролером и обработчиком, договор или другой правовой акт, упомянутый в пунктах 3 и 4 настоящей статьи, может основываться, полностью или частично, на стандартных договорных положениях, упомянутых в пунктах 7 и 8 настоящей статьи, в том числе, когда они являются частью сертификации, предоставленной контроллеру или обработчику в соответствии со статьями 42 и 43.

7. Комиссия может устанавливать стандартные договорные положения по вопросам, упомянутым в пунктах 3 и 4 настоящей статьи, и в соответствии с процедурой рассмотрения, указанной в статье 93(2).

8. Надзорный орган может принять стандартные договорные положения по вопросам, упомянутым в пунктах 3 и 4 настоящей статьи, и в соответствии с механизмом согласования, упомянутым в статье 63.

(81) Для обеспечения соответствия требованиям настоящего Регламента в отношении обработки, которая должна выполняться обработчиком от имени контролера, при доверении обработчику операций по обработке контролер должен использовать только обработчиков, обеспечивающих достаточные гарантии, в частности, с точки зрения экспертных знаний, надежности и ресурсов, осуществлять технические и организационные меры, которые будут соответствовать требованиям настоящего Регламента, в том числе для обеспечения безопасности обработки. Приверженность обработчика утвержденному кодексу поведения или утвержденному механизму сертификации может использоваться в качестве элемента для демонстрации соблюдения обязательств контролера. Осуществление обработки обработчиком должно регулироваться договором или другим правовым актом в соответствии с законодательством Союза или государства-члена, связывающим обработчика с контролером, определяющим предмет и продолжительность обработки, характер и цели обработки, тип персональных данных и категории субъектов данных, принимая во внимание конкретные задачи и ответственность обработчика в контексте подлежащей обработке и риск для прав и свобод субъекта данных. Контролер и обработчик могут выбрать использование индивидуального контракта или стандартных договорных положений, которые принимаются либо непосредственно Комиссией, либо надзорным органом в соответствии с механизмом согласованности, а затем утверждаются Комиссией. После завершения обработки от имени контролера обработчик должен, по выбору контролера, вернуть или удалить персональные данные, за исключением случаев, когда существует требование о хранении персональных данных в соответствии с законодательством Союза или государства-члена, которому подчиняется обработчик.