Чл. 59. (Нов - ДВ, бр. 17 от 2019 г.) (1) Администраторът на лични данни, като отчита естеството, обхвата, контекста и целите на обработването, както и рисковете за правата и свободите на физическите лица, прилага подходящи технически и организационни мерки, за да гарантира и да е в състояние да докаже, че обработването се извършва в съответствие с този закон. При необходимост тези мерки се преразглеждат и актуализират.

(2) Когато това е пропорционално на дейностите по обработване, мерките по ал. 1 включват прилагане от администратора на подходящи политики за защита на данните.

(3) Чрез мерки по ал. 1 администраторът осигурява защита на личните данни на етапа на проектирането, като отчита достиженията на техническия прогрес, разходите за прилагане и естеството, обхвата, контекста и целите на обработването на лични данни, както и рисковете за правата и свободите на физическите лица при обработването. Мерките трябва да са съобразени с изискванията на чл. 45, планират се към момента на определяне на средствата за обработването на лични данни и се прилагат при самото обработване. Мерките може да включват псевдонимизация, свеждане на данните до минимум и въвеждане на необходими гаранции в процеса на обработване на лични данни.

(4) Чрез мерки по ал. 1 администраторът гарантира, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработването. Това задължение се отнася до обема на събраните лични данни, степента на обработването, срока на съхраняването им и тяхната достъпност. Чрез тези мерки се гарантира, че по подразбиране без намеса от страна на физическото лице личните данни не са достъпни за неограничен брой физически лица.