Изменен: Чл. 23. (1) Администраторът на лични данни предприема необходимите технически и организационни мерки, за да защити данните от случайно или незаконно унищожаване, или от случайна загуба, от неправомерен достъп, изменение или разпространение, както и от други незаконни форми на обработване.
(2) Администраторът взема специални мерки за защита, когато обработването включва предаване на данните по електронен път.
(3) Мерките по ал. 1 и 2 са съобразени със съвременните технологични постижения и осигуряват ниво на защита, което съответства на рисковете, свързани с обработването, и на естеството на данните, които трябва да бъдат защитени.
(4) Мерките по ал. 1 и 2 се определят с инструкция на администратора на лични данни.
(5) Комисията определя с наредба минималното ниво на технически и организационни мерки, както и допустимия вид защита. Наредбата се обнародва в "Държавен вестник.

 Чл. 24.  (1) Администраторът може да обработва данните сам или чрез възлагане на обработващ данните.  Когато е необходимо по организационни причини, обработването може да се възложи на повече от един обработващ данните, включително с цел разграничаване на конкретните им задължения.
 (2) В случаите, когато обработването на данните не се извършва от администратора, той е длъжен да определи обработващ данните и да осигури достатъчни гаранции за тяхната защита.
 (3) отменя се                                                                                                                                                                       Изменена: (4) Отношенията между администратора и обработващия лични данни се уреждат с нормативен акт, писмен договор или с друг акт на администратора, в който се определя обемът на задълженията, възложени от администратора на обработващия данните.
Изменена: (5) За вреди, причинени на трети лица от действия или бездействия на обработващия данни, администраторът отговаря солидарно с него.
Изменена: (6) Обработващият лични данни, както и всяко лице, действащо под ръководството на администратора или на обработващия, което има достъп до лични данни, може да ги обработва само по указание на администратора, освен ако в закон е предвидено друго."

Чл. 25.  Изменена: (1) След постигане целта на обработване на личните данни администраторът е длъжен да ги:
1. унищожи, или
2. прехвърли на друг администратор, като предварително уведоми за това комисията, ако прехвърлянето е предвидено в закон и е налице идентичност на целите на обработването.
Изменена: (2) След постигане целта на обработване на личните данни администраторът ги съхранява само в предвидените в закон случаи.
Изменена: (3) В случаите, когато след постигане целта на обработване администраторът иска да съхрани обработените лични данни като анонимни данни за исторически, научни или статистически цели, той уведомява за това комисията.                                                                                                                                         (4) Комисията за защита на личните данни може да забрани съхраняването за целите по ал. 3, ако администраторът не е осигурил достатъчната защита на обработените данни като анонимни данни.
 (5) Решението на комисията по ал. 4 подлежи на обжалване пред Върховния административен съд.  В случаите на отхвърляне от Върховния административен съд на жалбата срещу решението на комисията администраторът на лични данни е длъжен да ги унищожи.