Art. 401. Dostawca usług komunikacji elektronicznej obowiązany jest wdrożyć odpowiednie techniczne i organizacyjne środki ochrony zapewniające bezpieczeństwo przetwarzania danych osobowych. Niezależnie od wymogów wskazanych w rozporządzeniu Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.12)) środki ochrony zapewniają co najmniej:
1) aby dostęp do danych osobowych miała osoba posiadająca upoważnienie wydane przez administratora danych;
12) Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 127 z 23.5.2018, str. 2 i Dz. Urz. UE L 74 z 04.03.2021, str. 35.
2) ochronę przechowywanych lub przekazywanych danych osobowych przed przypadkowym lub bezprawnym zniszczeniem, przypadkową utratą lub zmianą oraz nieuprawnionym lub bezprawnym przechowywaniem, przetwarzaniem, dostępem lub ujawnieniem;
3) wdrożenie polityki bezpieczeństwa w odniesieniu do przetwarzania danych osobowych.