Czy w obowiązującym w urzędzie dokumencie Polityka ochrony danych osobowych należy zawrzeć rozdział - opis środków technicznych i organizacyjnych zastosowanych w celu zapewnienia stopnia bezpieczeństwa odpowiadającego oszacowanemu ryzyku?

Czy w obowiązującym w urzędzie dokumencie "Polityka ochrony danych osobowych" należy zawrzeć rozdział - opis środków technicznych i organizacyjnych (oraz procedury postępowania) zastosowanych w celu zapewnienia stopnia bezpieczeństwa odpowiadającego oszacowanemu ryzyku? Czy wtedy po każdej analizie ryzyka (np. corocznej) należy aktualizować Politykę ochrony danych osobowych? Czy raczej ww. dokument powinien wskazywać, ze administrator wdraża odpowiednie środki techniczne i organizacyjne, a w związku z tym przygotowuje zamówienia na zakup, opisuje procedury postępowania, wdraża politykę bezpieczeństwa teleinformatycznego i politykę dostępu fizycznego (politykę kluczy) oraz przygotowuje odpowiednie do tego procedury?