Dotychczasowa ustawa o ochronie danych osobowych z dnia 29 sierpnia 1997 r. w art. 36 ust. 2 przewidywała, że administrator danych prowadzi dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną. Zgodnie natomiast z przepisem § 3 ust. 1 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, wydanego na podstawie ww. ustawy, na powyższą dokumentację składały się polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do […]