Glede na tveganje je potrebno poskrbeti tudi za ustrezno raven varnosti podatkov, ki jih podjetje hrani ali obdeluje.
Upravljavec (je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki samo ali skupaj z drugimi določa namene in sredstva obdelave) in obdelovalec (je fizična ali pravna oseba, javni organ, agencija ali drugo telo, ki obdeluje osebne podatke v imenu upravljavca) morata oba zagotoviti, da katerakoli fizična oseba, ki ukrepa pod vodstvom upravljavca ali obdelovalca in ima dostop do osebnih podatkov, teh ne sme obdelati brez navodil upravljavca. To je dovoljeno le v primerih, če to od nje zahteva pravo Unije ali pravo države članice.
GDPR predvideva naslednje ukrepe:
• Zagotavljanje stalne zaupnosti, celovitosti, dostopnosti in odpornosti sistemov ter storitev za obdelavo osebnih podatkov;
• Psevdonimizacija in šifriranje osebnih podatkov;
• Redno testiranje, ocenjevanje in vrednotenje učinkovitosti tehničnih in organizacijskih ukrepov za zagotavljanje varnosti obdelave.
• Zmožnost pravočasno povrniti razpoložljivost in dostop do osebnih podatkov v primeru fizičnega ali tehničnega incidenta;
Vir: Finance, 29.03.2018, Dejstva in miti o GDPR
