RODO wprost nie wymaga posiadania przez administratora danych polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym, niemniej jednak – jeżeli mając na względzie przytoczone powyżej przesłanki – uzna on za konieczne ustanowienie odpowiednich procedur i polityk, to powinien je wprowadzić. Możliwe jest jednak wprowadzenie tych rozwiązań w jednym dokumencie.