(1) Podnikatel poskytující veřejně dostupnou službu elektronických komunikací je povinen

a) zajistit popřípadě, pokud sám nezajišťuje veřejnou komunikační síť, na základě písemné dohody v součinnosti s příslušným podnikatelem zajišťujícím veřejnou komunikační síť, technicky a organizačně bezpečnost poskytované služby s ohledem na ochranu osobních údajů fyzických osob v souladu se zvláštním právním předpisem, ochranu provozních a lokalizačních údajů a důvěrnost komunikací fyzických a právnických osob při poskytování této služby,

b) zpracovat pro zajištění ochrany údajů a důvěrnosti komunikací podle písmene a) vnitřní technicko-organizační předpis; ochranu údajů a důvěrnost komunikací zajistí s ohledem na stávající technické možnosti a na náklady potřebné k zajištění ochrany na úrovni odpovídající existujícímu riziku porušení ochrany,

c) informovat dotčené účastníky o specifickém riziku porušení bezpečnosti sítě ve vztahu k ochraně údajů podle písmene a), a pokud toto riziko přesahuje rozsah jím přijímaných opatření, je povinen účastníky informovat i o veškerých možnostech docílení nápravy, včetně souvisejících nákladů,

d) vytvořit vnitřní postupy pro vyřizování žádostí o přístup k osobním údajům uživatelů; na žádost Úřadu pro ochranu osobních údajů mu podnikatelé poskytující veřejně dostupnou službu elektronických komunikací poskytnou informace o těchto postupech, počtu přijatých žádostí, o právním odůvodnění těchto žádostí a o jejich zodpovězení.