Съгласно чл. 25 от ОРЗД администраторите на лични данни следва да приложат подходящи организационни и технически мерки, за да гарантират защитата на лични данни по подразбиране и на етапа на проектиране.
Във връзка с това Европейският комитет по защита на личните данни публикува указания за прилагането на тези принципи.
Защитата на данните чрез проектиране трябва да се прилага както в момента на определяне на средствата за обработка, така и в момента на самата обработка. В момента на определяне на средствата за обработка администраторите прилагат мерки и защитни мерки, предназначени за ефективно прилагане на принципите за защита на данните. За да осигури ефективна защита на данните по време на обработката, администраторът (АЛД) трябва редовно да преглежда ефективността на избраните мерки и предпазни механизми.

Насоките обхващат елементи, които АЛД трябва да вземат предвид при проектирането на обработката. Критериите за „съвременни технологии“ изискват администраторите да бъдат в течение на технологичния напредък. „Разходите за внедряване“ изискват от администратора да вземе предвид разходите и ресурсите, необходими за ефективното внедряване и непрекъснато поддържане на всички принципи за защита на данните по време на процеса на обработка. Други елементи, които АЛД трябва да вземат предвид, са естеството, обхвата, контекста и целта на обработването и рискът от различна вероятност и тежест за правата и свободите на физическите лица, породени от обработката.

Освен това член 25 изисква защита на данните по подразбиране, което означава, че по подразбиране се обработват само лични данни, които са необходими за всяка конкретна цел на обработката.

Насоките съдържат и практически указания как ефективно да се прилагат принципите за защита на данните в чл. 5 (1) GDPR, в който са изброени ключовите елементи при проектиране и стандартните настройки, както и практически примери.

Предпазните мерки допълнително осигуряват правата и свободите на субектите на данни при обработката. Прилагането на принципа на ефективна защита на данните означава, че администраторът е интегрирал предпазните мерки, необходими през целия жизнен цикъл на личните данни, които се обработват. Предоставянето на автоматична и повтаряща се информация за това, какви лични данни се съхраняват, или напомняне за запазване на данни може да бъдат примери за предпазни мерки. Друг пример е система за откриване на злонамерен софтуер в компютърна мрежа или система за съхранение в допълнение към обучение на служителите на основна „кибер хигиена“.
Мерките трябва да са обвързани с резултатите. Администраторът може да определи подходящи ключови показатели за ефективност, за да демонстрира съответствие. Показателите могат да бъдат количествени, като ниво на риск, намаляване на оплакванията, намаляване на времето за реакция, когато субектите на данни упражняват правата си; или качествени, като например оценка на резултатите, използване на скали за оценка или експертни оценки.

Администраторите трябва да отчитат „рисковете с различна вероятност и тежест за правата и свободите на физическите лица, породени от обработката“. GDPR възприема съгласуван подход, основан на риска във всички свои разпоредби, в членове 24, 25, 32 и 35 с оглед идентифициране на подходящи технически и организационни мерки за защита на лицата, техните лични данни и в съответствие с изискванията на GDPR. Рискът за правата и свободите на лицата и критериите за оценка вземат предвид характера, обхвата, контекста и целите на обработката.

Техническите и организационни мерки при защитата по подразбиране са подобни, но с акцент върху минимизирането на данните.

Защитата на данните чрез проектиране трябва да се прилага „по време на определяне на средствата за обработка“.
„Средствата за обработка“ варират от абстрактното до подробни елементи на обработката, като архитектурата, процедурите, протоколите, оформлението и външния вид. АЛД трябва да оцени подходящите мерки и предпазни мерки за ефективно прилагане на принципите и правата на субектите на данни при обработката и да вземе предвид елементи като „най-съвременните“ решения, разходи за изпълнение, природа, обхват, контекст и рискове.
Администраторите трябва да могат да докажат, че са направени такива оценки за всички средства, които са част от обработката.
Естеството, обхватът и контекстът на операциите по обработка могат да се променят в хода на обработката, което означава, че администраторът трябва да преоценява своите операции за обработка чрез редовни прегледи.

„Защита на данните по подразбиране“ се отнася до избора, направен от администратор по отношение на всяка вече съществуваща конфигурация или опция за обработка, която е зададена в софтуерно приложение, компютърна програма или устройство. Това включва по-специално количеството събрани лични данни, степента на тяхната обработка, периодът на тяхното съхранение и тяхната достъпност.
В съответствие с принципа на минимизиране на данните по подразбиране се обработва само количеството лични данни, което е необходимо за обработката. „Сума“ се отнася както до количествени, така и до качествени съображения. Администраторите трябва да вземат предвид както обема на личните данни, така и видовете, категориите и нивото на детайлност на личните данни
Операциите по обработка на лични данни се ограничават до необходимото. Както бе отбелязано по-горе, много операции за обработка могат да допринесат за целта на обработката, но само защото личните данни са необходими за изпълнение на дадена цел, не означава, че върху тях могат да се извършват всички видове и честоти на обработване. АЛД също трябва да внимават да не разширяват границите на „съвместимите цели“ и да извършват обработка в рамките на разумните очаквания на субектите на данни.

Ако личните данни не са необходими след първата им обработка, те по подразбиране се изтриват или анонимизират. Всяко запазване на данни трябва да бъде обективно обосновано. Анонимизацията на личните данни е алтернатива на изтриването, при условие че се вземат предвид всички съответни контекстуални елементи и се оценява редовно вероятността и тежестта на риска, включително риска от повторна идентификация. Допълнителни указания са на разположение в Становище 05/2014 на Работна група 29. Администраторът ограничава периода на запазване на данните до необходимото. Това задължение е пряко свързано с принципа на ограничаване на съхранението в член 5, параграф 1, буква д) и се изисква ограничението за съхранение да е по подразбиране при обработката, т.е. администраторът трябва да има систематични процедури за изтриване на данни.

Администраторът трябва да въведе ограничения кой може да има достъп до лични данни въз основа на оценка на необходимостта, както и да се увери, че личните данни в действителност са достъпни за тези, които се нуждаят от тях, когато е необходимо, например в критични ситуации. Контролът на достъпа трябва да се спазва за целия поток от данни по време на обработката.

Член 25, параграф 2 освен това ограничава достъпността на личните данни до неопределен брой физически лица. По подразбиране администраторът трябва да се консултира с субекта на данните, преди да публикува или по друг начин да направи достъпни личните му данни. В зависимост от правните основания за обработка, това означава или да се поиска съгласие за превръщането на личните данни в публично достъпни, или да предостави информация за публичната достъпност, за да може субектите на данни да упражняват правата си съгласно членове 15-22 от регламента. Така или иначе степента на публична достъпност на личните данни трябва да бъде ясна за субекта на данните.
Предоставянето на лични данни на неопределен брой лица може да доведе до дори по-нататъшно разпространение на данните, което е особено важно в контекста на интернет и търсачките. Дори в случай че личните данни са направени публично достъпни с разрешението и разбирането на субект на данни, това не означава, че всеки друг администратор с достъп до личните данни може свободно да ги обработва, за собствени цели – те трябва да имат отделно правно основание, пише в становището.