1. Λαμβάνοντας υπόψη την πρόοδο της επιστήμης και το σχετικό κόστος εφαρμογής, ο υπεύθυνος της επεξεργασίας εφαρμόζει τα κατάλληλα τεχνικά και οργανωτικά μέτρα για την κατοχύρωση κατάλληλου βαθμού ασφάλειας ενόψει των κινδύνων της επεξεργασίας και της φύσης των δεδομένων προσωπικού χαρακτήρα που πρέπει να προστατευθούν.
Τα μέτρα αυτά λαμβάνονται ιδίως για να αποτρέπεται οποιαδήποτε μη επιτρεπόμενη διαβίβαση ή πρόσβαση, τυχαία ή παράνομη καταστροφή ή τυχαία απώλεια ή αλλοίωση, καθώς και οιαδήποτε άλλη μορφή παράνομης επεξεργασίας.
2. Όταν τα δεδομένα προσωπικού χαρακτήρα αποτελούν αντικείμενο αυτοματοποιημένης επεξεργασίας, λαμβάνονται μέτρα, εφόσον απαιτούνται, ανάλογα με τον κίνδυνο, ιδίως με σκοπό:
α) να μην αποκτά μη εξουσιοδοτημένο προς τούτο πρόσωπο πρόσβαση σε συστήματα πληροφορικής που χρησιμοποιούνται για την επεξεργασία δεδομένων προσωπικού χαρακτήρα,
β) να αποτρέπεται κάθε ανάγνωση, αντιγραφή, αλλοίωση ή απομάκρυνση υποθεμάτων αποθήκευσης, χωρίς εξουσιοδότηση,
γ) να αποτρέπεται κάθε εισαγωγή δεδομένων στη μνήμη, χωρίς εξουσιοδότηση, καθώς και κάθε γνωστοποίηση, αλλοίωση ή διαγραφή αποθηκευμένων δεδομένων προσωπικού χαρακτήρα, χωρίς εξουσιοδότηση,
δ) να αποτρέπεται η χρήση συστημάτων επεξεργασίας δεδομένων από μη εξουσιοδοτημένα προς τούτο πρόσωπα μέσω εγκαταστάσεων διαβίβασης δεδομένων,
ε) να εξασφαλίζεται ότι οι εξουσιοδοτημένοι χρήστες συστήματος επεξεργασίας δεδομένων δεν διαθέτουν πρόσβαση σε άλλα δεδομένα προσωπικού χαρακτήρα πλην εκείνων που καλύπτονται από το δικαίωμα πρόσβασης που τους παρέχεται,
στ) να καταγράφονται ίχνη των δεδομένων προσωπικού χαρακτήρα τα οποία έχουν ανακοινωθεί, της χρονικής στιγμής της ανακοίνωσής τους και του αποδέκτη τους,
ζ) να διασφαλίζεται ότι θα μπορεί να εξακριβώνεται εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα έχουν υποστεί επεξεργασία, ποια χρονική στιγμή και από ποια πρόσωπα,
η) να διασφαλίζεται ότι τα δεδομένα προσωπικού χαρακτήρα που υποβάλλονται σε επεξεργασία για λογαριασμό τρίτων υφίστανται μόνο την επεξεργασία η οποία προβλέπεται από το αναθέτον όργανο ή οργανισμό,
θ) να εξασφαλίζεται ότι, κατά την ανακοίνωση δεδομένων προσωπικού χαρακτήρα και κατά τη διαβίβαση των υποθεμάτων της αποθήκευσης, δεν είναι δυνατή η ανάγνωση, αντιγραφή ή διαγραφή των δεδομένων, χωρίς εξουσιοδότηση,
ι) η εσωτερική οργανωτική δομή ενός οργάνου ή οργανισμού να σχεδιάζεται κατά τρόπο ώστε να πληρούνται οι ειδικές προϋποθέσεις που ισχύουν για την προστασία των δεδομένων.
