1. Принимая во внимание уровень техники, расходы на осуществление и характер, объём, контекст и цели обработки, а также различные степени вероятности и тяжести рисков в отношении прав и свобод физических лиц, контроллер и процессор осуществляют соответствующие технические и организационные меры для обеспечения такого уровня безопасности, который соответствует рискам, в соответствующем случае, включая:
- псевдонимизацию и шифрование персональных данных;
- способность обеспечить постоянную конфиденциальность, интегрированность, доступность и устойчивость систем и услуг, связанных с обработкой;
- способность своевременно восстанавливать доступность и доступ к персональным данным в случае возникновения физического или технического происшествия;
- процесс для регулярного тестирования, оценки эффективности технических и организационных мер с целью обеспечения безопасности обработки.
2. При оценке соответствующего уровня безопасности, особенно учитывают риски, создаваемые обработкой, в частности, уничтожение, утрату, преобразование, неразрешённое разглашение или доступ к персональным данным, в особенности, случайно или незаконно отправленных, сохранённых или иначе обработанных персональных данных.
3. Соответствие утверждённому кодексу действий, как указано в статье 40, или утвержденному сертификационному механизму, как упомянуто в статье 42, можно использовать в качестве элемента для подтверждения выполнения требований, изложенных в пункте 1 настоящей статьи.
4. Контроллер и процессор принимает меры для того, чтобы обеспечить, что любое физическое лицо, действующее от имени контроллера или процессора и имеющее доступ к персональным данным, не обрабатывает их без указаний контроллера, за исключением, когда упомянутое лицо должно это делать, согласно правовым актам Союза или государства-члена ЕС.