Artikel 25

Inbyggt dataskydd och dataskydd som standard

  • Med beaktande av den senaste utvecklingen, genomförandekostnader och behandlingens art, omfattning, sammanhang och Ă€ndamĂ„l samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rĂ€ttigheter och friheter ska den personuppgiftsansvarige, bĂ„de vid faststĂ€llandet av vilka medel behandlingen utförs med och vid sjĂ€lva behandlingen, genomföra lĂ€mpliga tekniska och organisatoriska Ă„tgĂ€rder – sĂ„som pseudonymisering – vilka Ă€r utformade för ett effektivt genomförande av dataskyddsprinciper – sĂ„som uppgiftsminimering – och för integrering av de nödvĂ€ndiga skyddsĂ„tgĂ€rderna i behandlingen, sĂ„ att kraven i denna förordning uppfylls och den registrerades rĂ€ttigheter skyddas.
  • Den personuppgiftsansvarige ska genomföra lĂ€mpliga tekniska och organisatoriska Ă„tgĂ€rder för att, i standardfallet, sĂ€kerstĂ€lla att endast personuppgifter som Ă€r nödvĂ€ndiga för varje specifikt Ă€ndamĂ„l med behandlingen behandlas. Den skyldigheten gĂ€ller mĂ€ngden insamlade personuppgifter, behandlingens omfattning, tiden för deras lagring och deras tillgĂ€nglighet. Framför allt ska dessa Ă„tgĂ€rder sĂ€kerstĂ€lla att personuppgifter i standardfallet inte utan den enskildes medverkan görs tillgĂ€ngliga för ett obegrĂ€nsat antal fysiska personer.
  • En godkĂ€nd certifieringsmekanism i enlighet med artikel 42 fĂ„r anvĂ€ndas för att visa att kraven i punkterna 1 och 2 i den hĂ€r artikeln följs.