Zákon o zpracování osobních údajů - § 46

(1) Správce je povinen přijmout taková technická a organizační opatření, aby nemohlo dojít k neoprávněnému nebo nahodilému přístupu k osobním údajům, k jejich změně, zničení, ztrátě, neoprávněnému přenosu nebo jinému neoprávněnému zpracování nebo zneužití. Tato povinnost platí i po ukončení zpracování osobních údajů.

(2) Správce je povinen přijmout technická a organizační opatření k zajištění ochrany osobních údajů v souladu se zákonem a jinými právními předpisy. Správce vede o přijatých technických a organizačních opatřeních dokumentaci, kterou uchovává po dobu zpracování osobních údajů.

(3) V rámci opatření podle odstavce 1 správce posuzuje rizika týkající se oblastí

a) plnění pokynů pro zpracování osobních údajů osobami, které mají bezprostřední přístup k osobním údajům,

b) zabránění neoprávněným osobám přistupovat k osobním údajům a k prostředkům pro jejich zpracování,

c) zabránění neoprávněnému čtení, vytváření, kopírování, přenosu, úpravě nebo vymazání záznamů obsahujících osobní údaje a

d) opatření, která umožní určit a ověřit, komu byly osobní údaje předány.

(4) Při automatizovaném zpracování osobních údajů je správce v rámci opatření podle odstavce 1 dále povinen

a) zajistit, aby systém pro automatizované zpracování osobních údajů používala pouze oprávněná fyzická osoba,

b) zajistit, aby oprávněná fyzická osoba měla přístup pouze k osobním údajům odpovídajícím jejímu oprávnění, a to na základě zvláštního uživatelského oprávnění zřízeného výlučně pro tuto osobu,

c) pořizovat elektronické záznamy, které umožní určit a ověřit, kdy, kým a z jakého důvodu byly osobní údaje zaznamenány nebo jinak zpracovány, a

d) zabránit neoprávněnému přístupu k datovým nosičům.

(5) Povinnosti stanovené v odstavcích 1 až 4 platí pro zpracovatele obdobně.