Dokumentacja Ochrony Danych Osobowych powinna być zgodna z wymogami Rozporządzenia Parlamentu Europejskiego i Rady (UE) z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych, RODO) i Ustawy z 10 maja 2018 r. o ochronie danych osobowych (Dz.U. z 2018 r. poz. 1000). Przy opracowywaniu dokumentacji należy również pamiętać o przepisach sektorowych wynikających bezpośrednio z charakteru prowadzonej działalności.
Przepisy wynikające z RODO wskazują obowiązki Administratora, wśród których wymienione są:
- opracowanie odpowiednich polityk ochrony danych (art. 24),
- prowadzenie rejestru czynności przetwarzania i zakres rejestru kategorii czynności przetwarzania (art. 30),
- prowadzenie wewnętrznej dokumentacji stanowiącej rejestr naruszeń ochrony danych (art. 33),
- raport dokumentujący wyniki przeprowadzonych ocen skutków dla ochrony danych (art. 35).
Powyższe dokumenty nie wyczerpują jednak wachlarza koniecznej do przygotowywania przez Administratora dokumentacji. Powinna ona być szersza i wskazywać pełen zakres zorganizowania procesu przetwarzania danych przez przedsiębiorstwo.