1. תוך התחשבות בטכנולוגיה הקיימת, בעלויות היישום ובאופי העיבוד, בהיקפו, בהקשרו ובמטרותיו, ובהסתברות לפגיעה וחומרתה בזכויות ולחירויות אנשים, בעל השליטה והמעבד יישמו אמצעים טכניים וארגוניים ראויים להבטחת רמת אבטחה ההולמת את הסיכון, לרבות, בין היתר ולפי הצורך:

• (א) החלפת פרטים במזהים מלאכותיים והצפנת מידע אישי;
• (ב) היכולת להבטיח את הסודיות, השלמות, הזמינות והעמידות של מערכות ושירותי העיבוד;
• (ג) היכולת לשחזר במועד  את הזמינות ואת הגישה למידע האישי במקרה של תקרית פיזית או טכנית;
• (ד) תהליך לבדיקה, לאומדן ולהערכה סדירים של יעילות האמצעים הטכניים והארגוניים להבטחת אבטחת העיבוד.

2. באומדן רמת האבטחה ההולמת יישקלו באופן מיוחד הסיכונים הנובעים מהעיבוד, במיוחד מהרס, מאובדן, משינוי, מגילוי או מגישה לא-מורשים מקריים או לא-חוקיים, למידע אישי המשודר, מאוחסן או מעובד באופן אחר.

3. ניתן להשתמש בציות לקוד ההתנהלות המאושר כנזכר בסעיף 40 או למנגנון ההרשאה המאושר כנזכר בסעיף 42, כאמצעי להוכחת ציות לדרישות המפורטות בפסקה 1 לסעיף זה.

4. בעל השליטה והמעבד ינקטו בצעדים שיבטיחו שכל אדם הפועל תחת סמכותם ומקבל גישה למידע אישי לא יעבד את המידע למעט בהתאם להוראות בעל השליטה, אלא אם הוא מחויב לכך בחוק איחוד או מדינה חברה.

ניווט: