Член 22

Сигурност на обработването

1.Държавите-членки предвиждат, че компетентните органи трябва да прилагат подходящи технически и организационни мерки за защита на личните данни срещу случайно или незаконосъобразно унищожаване или случайна загуба, промяна, неразрешено разкриване или достъп, по-специално когато обработването е свързано с предаване по мрежа или предоставяне чрез даване на пряк автоматизиран достъп, както и срещу всякакви други незаконосъобразни форми на обработка, като отчитат по-специално рисковете от обработването и естеството на данните, които следва да бъдат защитени. Предвид съвременното ниво на развитие и разходите по прилагането им, тези мерки гарантират ниво на сигурност, съответстващо на рисковете, свързани с обработването и с естеството на данните, които трябва да бъдат защитени.

2.По отношение на автоматизираното обработване на данни всяка държава-членка прилага мерки, имащи за цел:

а) отказване на достъп на неупълномощени лица до оборудването за обработка на данни, което се използва за обработка на лични данни (контрол на достъпа до оборудване);

б) препятстване на неразрешеното четене, копиране, изменяне или отстраняване на информационни носители (контрол на информационните носители);

в) препятстване на неразрешеното въвеждане на данни и неразрешената проверка, изменяне или заличаване на съхранени лични данни (контрол на съхраняването);

г) препятстване на използването на автоматизирани системи за обработка на данни от неупълномощени лица чрез устройства за предаване на информация (контрол на ползвателите);

д) гарантиране, че лицата, на които е разрешено да използват автоматизираната система за обработка на данни, имат достъп само до данните, които са обхванати от тяхното разрешение за достъп (контрол на достъпа до данни);

е) гарантиране на възможността за проверка и установяване на това на кого са били или могат да бъдат изпращани или предоставяни лични данни чрез оборудване за предаване на данни (контрол на комуникацията);

ж) гарантиране на възможността за последваща проверка и установяване какви лични данни са били въведени в автоматизираните системи за обработка на данни, както и кога и от кого са били въведени (контрол на въвеждането);

з) препятстване на неразрешено четене, копиране, изменяне и заличаване на лични данни в хода на тяхното предаване или при пренасянето на информационни носители (контрол на пренасянето);

и) гарантиране на възстановяването на инсталираните системи в случай на прекъснато функциониране (възстановяване);

й) гарантиране на изпълнението на функциите на системата, докладването за появили се във функциите дефекти (надеждност), както и недопускане на увреждане на съхраняваните данни вследствие от неправилно функциониране на системата (цялост).

3.Държавите-членки предвиждат, че обработващите личните данни могат да бъдат назначени само след като гарантират, че спазват изискваните технически и организационни мерки по параграф 1 и спазват указанията по член 21. Компетентният орган извършва наблюдение върху обработващия личните данни в това отношение.

4.Лични данни могат да бъдат обработвани от обработващ личните данни само въз основа на правен акт или писмен договор.