Przepisy ogólnego rozporządzenia o ochronie danych osobowych nie wskazują wprost polityki haseł w organizacji. Ustanowienie jej należy do obowiązków administratora danych osobowych. Wynika to m.in. z tego, iż to właśnie ADO przeprowadza analizę ryzyka i określa odpowiednie środki bezpieczeństwa w organizacji.