Na podstawie art. 45 pkt 1 ustawy z dnia 29 sierpnia 1997 r, o ochronie danych osobowych (Dz. U. Nr 133, poz. 883, z 2000 r. Nr 12, poz. 136, Nr 50, poz. 580 i Nr 116, poz. 1216 oraz z 2001 r. Nr 42, poz. 474, Nr 49, poz. 509 i Nr 100, poz. 1087) zarządza się, co następuje:

§ 1.W rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 80, poz. 521) wprowadza się następujące zmiany:

1) skreśla się § 1;

2) § 2 otrzymuje brzmienie:

„§ 2. W celu właściwego zarządzania zabezpieczeniami danych w systemie informatycznym administrator danych, przed przystąpieniem do przetwarzania danych osobowych, jest obowiązany:

1) określić cele, strategię i politykę zabezpieczenia danych w systemie informatycznym, w którym przetwarzane są dane osobowe,

2) zidentyfikować i przeanalizować zagrożenia i ryzyko, na które może być narażone przetwarzanie danych osobowych,

3) określić potrzeby w zakresie zabezpieczenia zbiorów danych osobowych i systemów informatycznych, z uwzględnieniem potrzeby kryptograficznej ochrony danych osobowych, w szczególności podczas ich przesyłania za pomocą urządzeń teletransmisji danych,

4) określić zabezpieczenia adekwatne do zagrożeń i ryzyka,

5) monitorować działanie zabezpieczeń wdrożonych w celu ochrony danych osobowych i ich przetwarzania,

6) opracować i wdrożyć program szkolenia w zakresie zabezpieczeń danych w systemie informatycznym,

7) wykrywać i właściwie reagować na przypadki naruszenia bezpieczeństwa danych osobowych i systemów informatycznych je przetwarzających.";

3) w § 6 w ust. 2 pkt 1 otrzymuje brzmienie:

„1) stwierdzono naruszenie zabezpieczenia danych w systemie informatycznym,".

§ 2.[1] Rozporządzenie wchodzi w życie z dniem ogłoszenia.