- Принимая во внимание уровень техники, стоимость реализации и характер, объем, контекст и цели обработки, а также риск различной степени вероятности и серьезности для прав и свобод физических лиц, контроллер и обработчик должны внедрить соответствующие технические и организационные меры для обеспечения уровня безопасности, соответствующего риску, включая, в частности, соответствующие меры:
- (a) псевдонимизация и шифрование персональных данных;
- (b) способность обеспечить постоянную конфиденциальность, целостность, доступность и устойчивость систем и услуг обработки;
- (c) возможность своевременного восстановления доступности и доступа к персональным данным в случае физического или технического инцидента;
- (d) процесс регулярного тестирования, оценки и анализа эффективности технических и организационных мер по обеспечению безопасности обработки.
- При оценке надлежащего уровня безопасности учитываются, в частности, риски, связанные с обработкой, в частности, случайное или незаконное уничтожение, потеря, изменение, несанкционированное раскрытие или доступ к персональным данным, переданным, сохраненным или иным образом обработанным.
- Соблюдение утвержденного кодекса поведения, упомянутого в Статье 40, или утвержденного механизма сертификации, упомянутого в Статье 42, может быть использовано в качестве элемента, демонстрирующего соответствие требованиям, изложенным в параграфе 1 настоящей Статьи.
- Контролер и обработчик должны принять меры к тому, чтобы любое физическое лицо, действующее по поручению контролера или обработчика и имеющее доступ к персональным данным, не обрабатывало их иначе, как по указанию контролера, если только этого не требует законодательство Союза или государства-члена.
Статья 32