Ευθύνη του υπεύθυνου επεξεργασίας για τον προσδιορισμό των κατάλληλων τεχνικών και οργανωτικών μέτρων προκειμένου να διασφαλίζει και να μπορεί να αποδεικνύει τη νομιμότητα μιας επεξεργασίας. Επίσης, στον Κανονισμό GDPR για προσδιορίζεται ρητά και η υποχρέωση και των εκτελούντων την επεξεργασία για λήψη μέτρων ασφάλειας.
Η ασφάλεια επεξεργασίας δεδομένων, χρησιμοποιείται για να περιγράψει τις μεθόδους και τεχνικές που ακολουθούνται προκειμένου να επιτευχθούν οι εξής στόχοι:
- Εμπιστευτικότητα: Τα δεδομένα δεν πρέπει να αποκαλύπτονται σε μη εξουσιοδοτημένα άτομα.
- Ακεραιότητα: Τα δεδομένα πρέπει να είναι ακριβή, ακέραια και γνήσια – όχι εσφαλμένα, αλλοιωμένα ή μη ενημερωμένα.
- Διαθεσιμότητα: Τα δεδομένα πρέπει να είναι στη διάθεση των χρηστών όποτε απαιτείται η χρήση τους.
Στον Κανονισμό προτείνονται τα ακόλουθα τεχνικά και οργανωτικά μέτρα ασφάλειας:
- Ψευδωνυμοποίηση και Κρυπτογράφηση.
- Διασφάλιση Απορρήτου, Ακεραιότητας, Διαθεσιμότητας και Αξιοπιστίας.
- Αποκατάσταση Διαθεσιμότητας και της πρόσβασης σε περίπτωση συμβάντος.
- Δοκιμή, εκτίμηση και διαρκής αξιολόγηση της αποτελεσματικότητας των μέτρων.
- Χρήση εγκεκριμένου κώδικα δεοντολογίας ή μηχανισμού πιστοποίησης για την απόδειξη της συμμόρφωσης.
- Διαδικασίες χειρισμού περιστατικών παραβίασης.
Η επιλογή των κατάλληλων μέτρων ασφάλειας γίνεται λαμβάνοντας υπόψη το κόστος εφαρμογής, καθώς και τα χαρακτηριστικά της επεξεργασίας (φύση – πεδίο εφαρμογής – πλαίσιο – σκοποί). Σε κάθε περίπτωση, πριν τον καθορισμό των μέτρων ασφάλειας που θα υιοθετηθούν, θα πρέπει να πραγματοποιείται η σωστή αξιολόγηση των κινδύνων και των πιθανών συνεπειών τους για τα υποκείμενα των δεδομένων.Οι κίνδυνοι μπορεί να απορρέουν από την επεξεργασία, ιδίως από τυχαία ή παράνομη καταστροφή, απώλεια, αλλοίωση, άνευ αδείας κοινολόγηση ή προσπέλαση δεδομένων προσωπικού χαρακτήρα που διαβιβάστηκαν, αποθηκεύτηκαν ή υποβλήθηκαν κατ’ άλλο τρόπο σε επεξεργασία
Κατά το χρονικό διάστημα που ο Γενικός Κανονισμός τίθεται σε εφαρμογή, είναι διαθέσιμες όλο και περισσότερες πιστοποιήσεις ασφάλειας. Μια πιστοποίηση υποδηλώνει προσπάθειες του υπευθύνου επεξεργασίας (ή εκτελούντος) ως προς την ασφάλεια όμως δεν είναι απαραίτητη η λήψη πιστοποίησης για την απόδειξη συμμόρφωσης υπευθύνων/εκτελούντων με τις απαιτήσεις ασφάλειας του ΓΚΠΔ.