Ασφάλεια επεξεργασίας

32.-(1) Ο υπεύθυνος επεξεργασίας και ο εκτελών την επεξεργασία, λαμβάνοντας υπόψη τη διαθέσιμη τεχνολογία και το κόστος εφαρμογής, καθώς επίσης τη φύση, το πεδίο εφαρμογής, το πλαίσιο και τους σκοπούς της επεξεργασίας, σε συνάρτηση με τον κίνδυνο για τα δικαιώματα και τις ελευθερίες των φυσικών προσώπων, εφαρμόζουν κατάλληλα τεχνικά και οργανωτικά μέτρα ώστε να διασφαλίζεται επίπεδο ασφαλείας κατάλληλο για τον κίνδυνο, ιδίως όσον αφορά στην επεξεργασία των ειδικών κατηγοριών δεδομένων προσωπικού χαρακτήρα που αναφέρονται στο άρθρο 12, περιλαμβανομένων δεδομένων προσωπικού χαρακτήρα που αφορούν σε καταδίκες.

(2) Σε σχέση με την αυτοματοποιημένη επεξεργασία, ο υπεύθυνος επεξεργασίας ή ο εκτελών την επεξεργασία εφαρμόζει, κατόπιν εκτίμησης των κινδύνων, μέτρα τα οποία είναι σχεδιασμένα κατά τρόπον ώστε να-

(α) Απαγορεύουν την πρόσβαση μη εξουσιοδοτημένων προσώπων σε εξοπλισμό επεξεργασίας που χρησιμοποιείται για την επεξεργασία (έλεγχος πρόσβασης σε εξοπλισμό),

(β) αποτρέπουν τη μη επιτρεπόμενη ανάγνωση, αντιγραφή, τροποποίηση ή αφαίρεση υποθεμάτων δεδομένων (έλεγχος υποθεμάτων δεδομένων),

(γ) αποτρέπουν τη μη επιτρεπόμενη εισαγωγή δεδομένων προσωπικού χαρακτήρα και τον μη επιτρεπόμενο έλεγχο, τροποποίηση ή διαγραφή αποθηκευμένων δεδομένων προσωπικού χαρακτήρα (έλεγχος αποθήκευσης),

(δ) αποτρέπουν τη χρήση συστημάτων αυτοματοποιημένης επεξεργασίας από μη εξουσιοδοτημένα πρόσωπα που χρησιμοποιούν εξοπλισμό επικοινωνίας δεδομένων (έλεγχος χρηστών),

(ε) διασφαλίζουν ότι πρόσωπα που είναι εξουσιοδοτημένα να χρησιμοποιούν ένα σύστημα αυτοματοποιημένης επεξεργασίας έχουν πρόσβαση μόνον σε δεδομένα προσωπικού χαρακτήρα που καλύπτει η εξουσιοδότηση πρόσβασής τους (έλεγχος πρόσβασης στα δεδομένα),

(στ) διασφαλίζουν ότι είναι δυνατόν να επαληθευτεί και να εξακριβωθεί σε ποιους φορείς διαβιβάστηκαν ή διατέθηκαν ή ενδέχεται να διαβιβαστούν ή να διατεθούν δεδομένα με τη χρήση εξοπλισμού επικοινωνίας δεδομένων (έλεγχος επικοινωνίας),

(ζ) διασφαλίζουν ότι είναι δυνατόν να επαληθευτεί και να εξακριβωθεί εκ των υστέρων ποια δεδομένα προσωπικού χαρακτήρα εισήχθησαν σε συστήματα αυτοματοποιημένης επεξεργασίας, καθώς και πότε και από ποιον εισήχθησαν τα δεδομένα προσωπικού χαρακτήρα (έλεγχος εισαγωγής),

(η) αποτρέπουν μη επιτρεπόμενη ανάγνωση, αντιγραφή, τροποποίηση ή διαγραφή δεδομένων προσωπικού χαρακτήρα κατά τις διαβιβάσεις δεδομένων προσωπικού χαρακτήρα ή κατά τη μεταφορά υποθεμάτων δεδομένων (έλεγχος μεταφοράς),

(θ) διασφαλίζουν ότι τα εγκαταστημένα συστήματα μπορούν να αποκατασταθούν σε περίπτωση διακοπής της λειτουργίας τους (αποκατάσταση),

(ι) διασφαλίζουν ότι οι λειτουργίες του συστήματος εκτελούνται, ότι η εμφάνιση σφαλμάτων στις λειτουργίες αναφέρεται (αξιοπιστία) και ότι τα αποθηκευμένα δεδομένα προσωπικού χαρακτήρα δεν μπορούν να αλλοιωθούν λόγω δυσλειτουργίας του συστήματος (ακεραιότητα).