Стаття 25
чиннаКонтролер та процесор
Зважаючи на рівень розвитку техніки, витрати на виконання, а також характер, обсяг, контекст і мету обробки, а також ризики для прав і свобод фізичних осіб, що різняться за ймовірністю та серйозністю, які пов’язані з обробкою, контролер як під час визначення засобів обробки, так і під час самої обробки вживає належних технічних та організаційних заходів, таких як псевдонімізація, які розроблені з метою ефективного впровадження принципів захисту даних, таких як мінімізація даних, та інтегрування необхідних гарантій в процес обробки для дотримання вимог цього Регламенту та захисту прав суб’єктів даних.
2. Контролер вживає належних технічних та організаційних заходів для забезпечення того, щоб, як правило, оброблялися лише ті персональні дані, які є необхідними для кожної конкретної мети обробки. Це зобов’язання поширюється на обсяг зібраних персональних даних, ступінь їхньої обробки, строк їхнього зберігання та доступність до них. Ці заходи, зокрема, забезпечують те, щоб персональні дані, як правило, не ставали доступними для необмеженої кількості фізичних осіб без втручання людини.
3. Сертифікаційний механізм, затверджений відповідно до статті 42, може бути використаний як елемент для доведення того, що вимоги частин 1 та 2 цієї статті були дотримані.
1. Rekening houdend met de stand van de techniek, de uitvoeringskosten, en de aard, de omvang, de context en het doel van de verwerking alsook met de qua waarschijnlijkheid en ernst uiteenlopende risico's voor de rechten en vrijheden van natuurlijke personen welke aan de verwerking zijn verbonden, treft de verwerkingsverantwoordelijke, zowel bij de bepaling van de verwerkingsmiddelen als bij de verwerking zelf, passende technische en organisatorische maatregelen, zoals pseudonimisering, die zijn opgesteld met als doel de gegevensbeschermingsbeginselen, zoals minimale gegevensverwerking, op een doeltreffende manier uit te voeren en de nodige waarborgen in de verwerking in te bouwen ter naleving van de voorschriften van deze verordening en ter bescherming van de rechten van de betrokkenen.
2. De verwerkingsverantwoordelijke treft passende technische en organisatorische maatregelen om ervoor te zorgen dat in beginsel alleen persoonsgegevens worden verwerkt die noodzakelijk zijn voor elk specifiek doel van de verwerking. Die verplichting geldt voor de hoeveelheid verzamelde persoonsgegevens, de mate waarin zij worden verwerkt, de termijn waarvoor zij worden opgeslagen en de toegankelijkheid daarvan. Deze maatregelen zorgen met name ervoor dat persoonsgegevens in beginsel niet zonder menselijke tussenkomst voor een onbeperkt aantal natuurlijke personen toegankelijk worden gemaakt.
3. Een overeenkomstig artikel 42 goedgekeurd certificeringsmechanisme kan worden gebruikt als element om aan te tonen dat aan de voorschriften van de leden 1 en 2 van dit artikel is voldaan.