(1)     Prevádzkovateľ je povinný pred spracúvaním osobných údajov zaviesť a počas spracúvania osobných údajov mať zavedenú špecificky navrhnutú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení, najmä vo forme pseudonymizácie, na účinné zavedenie primeraných záruk ochrany osobných údajov a dodržiavanie základných zásad podľa § 6 až 12.

(2)     Prevádzkovateľ je povinný pri špecificky navrhnutej ochrane osobných údajov podľa odseku 1 zohľadniť najnovšie poznatky ochrany osobných údajov, náklady na vykonanie opatrení podľa odseku 1, povahu, rozsah, kontext a účel spracúvania osobných údajov a riziká spracúvania osobných údajov s rôznou pravdepodobnosťou a závažnosťou, ktoré spracúvanie osobných údajov predstavuje pre práva dotknutej osoby. 

(3)     Prevádzkovateľ je povinný zaviesť štandardnú ochranu osobných údajov, ktorá spočíva v prijatí primeraných technických a organizačných opatrení na zabezpečenie spracúvania osobných údajov len na konkrétny účel, minimalizácie množstva získaných osobných údajov a rozsahu ich spracúvania, doby uchovávania a dostupnosti osobných údajov. Prevádzkovateľ je povinný zabezpečiť, aby osobné údaje neboli bez zásahu fyzickej osoby štandardne prístupné neobmedzenému počtu fyzických osôb.

(4)     Na preukázanie splnenia povinností podľa odsekov 1 až 3 môže prevádzkovateľ použiť certifikát podľa § 86.