4.—(1) Ο υπεύθυνος επεξεργασίας διασφαλίζει ότι τα δεδομένα προσωπικού χαρακτήρα-
(α) Υφίστανται θεμιτή και νόμιμη επεξεργασία·
(β) συλλέγονται για προσδιορισμένους, σαφείς και νόμιμους σκοπούς και δεν υφίστανται μεταγενέστερη επεξεργασία ασυμβίβαστη με τους σκοπούς αυτούς-
(γ) είναι συναφή, πρόσφορα και όχι περισσότερα από ότι κάθε φορά απαιτείται ενόψει των σκοπών της επεξεργασίας·
(δ) είναι ακριβή και, εφόσον χρειάζεται, υποβάλλονται σε ενημέρωση·
(ε) διατηρούνται σε μορφή που να επιτρέπει τον προσδιορισμό της ταυτότητας των υποκειμένων τους μόνο κατά τη διάρκεια της περιόδου που απαιτείται, κατά την κρίση του Επιτρόπου, για την πραγματοποίηση των σκοπών της συλλογής τους και της επεξεργασίας τους. Μετά την παρέλευση της περιόδου αυτής ο Επίτροπος δύναται με αιτιολογημένη απόφασή του, να επιτρέπει τη διατήρηση δεδομένων προσωπικού χαρακτήρα για ιστορικούς, επιστημονικούς ή στατιστικούς σκοπούς, εφόσον κρίνει ότι δε θίγονται σε κάθε συγκεκριμένη περίπτωση τα δικαιώματα των υποκειμένων τους ή τρίτων.
(2) Δεδομένα προσωπικού χαρακτήρα που έχουν συλλεγεί ή υφίστανται επεξεργασία κατά παράβαση των διατάξεων του εδαφίου (1), καταστρέφονται με ευθύνη του υπεύθυνου επεξεργασίας. Αν ο Επίτροπος, εξακριβώσει αυτεπαγγέλτως ή ύστερα από σχετική καταγγελία, παράβαση των διατάξεων του εδαφίου (1), επιβάλλει τη διακοπή της συλλογής ή της επεξεργασίας και την καταστροφή των δεδομένων προσωπικού χαρακτήρα που έχουν ήδη συλλεγεί ή τύχει επεξεργασίας.