(5) Povinná osoba

a) stanoví podmínky přístupu zaměstnanců k informačnímu systému a údajům v něm zaznamenaným, rozsah přístupových práv a proces jejich stanovení, včetně způsobu rozhodování o rozsahu přístupových práv jednotlivých zaměstnanců a rozhodování o jejich změnách,

b) stanoví podmínky, za kterých budou do informačního systému ukládána data související s prováděnými obchody a poskytovanými službami a prováděny jejich dovolené úpravy, podmínky nakládání s těmito daty a zajištění snadné zjistitelnosti jejich původního obsahu a provedených úprav,

c) zabezpečuje ochranu informačního systému před přístupem a zásahy ze strany neoprávněných osob a před poškozením.