1. Принимая во внимание характер, объём, контекст и цели обработки, а также различные степени вероятности и серьёзности рисков в отношении прав и свобод физических лиц, контроллер принимает соответствующие технические и организационные меры, чтобы обеспечить и наглядно продемонстрировать то, что обработка осуществляется в соответствии с настоящим регламентом. При необходимости, указанные меры пересматриваются и обновляются.
2. Если это соизмеримо с действиями обработки, то меры, указанные в пункте 1, включают в себя осуществление контроллером соответствующей политики в отношении защиты данных.
3. Соответствие утверждённому кодексу действий, как указано в статье 40, или утвержденному сертификационному механизму, как упомянуто в статье 42, можно использовать в качестве элемента для подтверждения соблюдения обязанностей контроллера.