(1) Správce nebo zpracovatel při zpracování osobních údajů za účelem vědeckého nebo historického výzkumu nebo pro statistické účely zajistí dodržování konkrétních opatření k ochraně zájmů subjektu údajů, která odpovídají stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob. Taková opatření mohou zahrnovat zejména

a) technická a organizační opatření zaměřená na důsledné uplatnění povinnosti podle čl. 5 odst. 1 písm. c) nařízení Evropského parlamentu a Rady (EU) 2016/679,

b) pořizování záznamů alespoň o všech operacích shromáždění, vložení, pozměnění a výmazu osobních údajů, které umožní určit a ověřit totožnost osoby provádějící operaci, a uchovávání těchto záznamů nejméně po dobu 2 let od provedení operace,

c) informování osob zpracovávajících osobní údaje o povinnostech v oblasti ochrany osobních údajů,

d) jmenování pověřence,

e) zvláštní omezení přístupu k osobním údajům v rámci správce nebo zpracovatele,

f) pseudonymizaci osobních údajů,

g) šifrování osobních údajů,

h) opatření k zajištění trvalé důvěrnosti, integrity, dostupnosti a odolnosti systémů a služeb zpracování,

i) opatření umožňující obnovení dostupnosti osobních údajů a včasný přístup k těmto údajům v případě incidentů,

j) proces pravidelného testování, posuzování a hodnocení účinnosti zavedených technických a organizačních opatření pro zajištění bezpečnosti zpracování,

k) zvláštní omezení přenosu osobních údajů do třetí země, nebo

l) zvláštní omezení zpracování osobních údajů pro jiné účely.