Uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o zróżnicowanym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane.
Polityka Bezpieczeństwa po wejściu RODO powinna zawierać dotychczasowe przemyślenia danej jednostki lub firmy w zakresie ochrony danych osobowych i tajemnicy przedsiębiorstwa, w tym także wynikające ze specyfiki danej branży, ale jednocześnie powinna spełniać wymogi przewidziane dla nowych rozwiązań ujętych w RODO.
Wymogi przewidziane dla nowych rozwiązań to:
- kwestie spełnienia nowego rodzaju obowiązków informacyjnych oraz praw osób, których dane dotyczą, w tym prawa do bycia zapomnianym
- zasady privacy by design oraz privacy by default
- notyfikacje organowi nadzorczemu wystąpienia incydentu w zakresie przetwarzania danych osobowych
- notyfikacje osobie, której dane dotyczą incydentu dotyczącego naruszenia lub wycieku danych jej dotyczących
- prawo do przenoszalności danych
- ocena skutków dla przetwarzania danych osobowych