Administrator danych musi prowadzić dokumentację opisującą sposób przetwarzania danych oraz środki techniczne i organizacyjne niezbędne do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych. Częścią tej dokumentacji jest polityka bezpieczeństwa. Jednym z jej pięciu obligatoryjnych elementów jest punkt, który dotyczy określenia środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.
