Legea GDPR 2018 actualizata

(1)   Avand in vedere stadiul actual al dezvoltarii, costurile implementarii si natura, domeniul de aplicare, contextul si scopurile prelucrarii, precum si riscul cu diferite grade de probabilitate si gravitate pentru drepturile si libertatile persoanelor fizice, operatorul si persoana imputernicita de acesta implementeaza masuri tehnice si organizatorice adecvate in vederea asigurarii unui nivel de securitate corespunzator acestui risc, incluzand printre altele, dupa caz: 
(a) pseudonimizarea si criptarea datelor cu caracter personal; 
(b) capacitatea de a asigura confidentialitatea, integritatea, disponibilitatea si rezistenta continue ale sistemelor si serviciilor de prelucrare; 
(c) capacitatea de a restabili disponibilitatea datelor cu caracter personal si accesul la acestea in timp util in cazul in care are loc un incident de natura fizica sau tehnica; 
(d) un proces pentru testarea, evaluarea si aprecierea periodice ale eficacitatii masurilor tehnice si organizatorice pentru a garanta securitatea prelucrarii.

(2)   La evaluarea nivelului adecvat de securitate, se tine seama in special de riscurile prezentate de prelucrare, generate in special, in mod accidental sau ilegal, de distrugerea, pierderea, modificarea, divulgarea neautorizata sau accesul neautorizat la datele cu caracter personal transmise, stocate sau prelucrate intr-un alt mod. 
 
(3)   Aderarea la un cod de conduita aprobat, mentionat la articolul 40, sau la un mecanism de certificare aprobat, mentionat la articolul 42, poate fi utilizata ca element prin care sa se demonstreze indeplinirea cerintelor prevazute la alineatul (1) din prezentul articol. 
 
(4)   Operatorul si persoana imputernicita de acesta iau masuri pentru a asigura faptul ca orice persoana fizica care actioneaza sub autoritatea operatorului sau a persoanei imputernicite de operator si care are acces la date cu caracter personal nu le prelucreaza decat la cererea operatorului, cu exceptia cazului in care aceasta obligatie ii revine in temeiul dreptului Uniunii sau al dreptului intern. 

Capitolul IV – Operatorul si persoana imputernicita de operator