§ 1. - Zm.: rozporządzenie w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.

"§ 2. W celu właściwego zarządzania zabezpieczeniami danych w systemie informatycznym administrator danych, przed przystąpieniem do przetwarzania danych osobowych, jest obowiązany:

1) określić cele, strategię i politykę zabezpieczenia danych w systemie informatycznym, w którym przetwarzane są dane osobowe,

2) zidentyfikować i przeanalizować zagrożenia i ryzyko, na które może być narażone przetwarzanie danych osobowych,

3) określić potrzeby w zakresie zabezpieczenia zbiorów danych osobowych i systemów informatycznych, z uwzględnieniem potrzeby kryptograficznej ochrony danych osobowych, w szczególności podczas ich przesyłania za pomocą urządzeń teletransmisji danych,

4) określić zabezpieczenia adekwatne do zagrożeń i ryzyka,

5) monitorować działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych i ich przetwarzania,

6) opracować i wdrożyć program szkolenia w zakresie zabezpieczeń danych w systemie informatycznym,

7) wykrywać i właściwie reagować na przypadki naruszenia bezpieczeństwa danych osobowych i systemów informatycznych je przetwarzających.";

"1) stwierdzono naruszenie zabezpieczenia danych w systemie informatycznym,".