W pierwszej kolejności trzeba zaznaczyć, iż RODO nie wskazuje konkretnie dokumentacji jaką administrator winien posiadać, co więcej nie wskazuje nawet jej zakres. Poprzednio obowiązujące przepisy wprost określały jaką dokumentację administrator ma obowiązek wdrożyć i co powinna ona zawierać.  Ogólne rozporządzenie wymaga natomiast dokumentacji odpowiednich do rodzaju, branży i wielkości przedsiębiorstwa, tak aby dane osobowe były rzeczywiście bezpieczne.  Trzeba bowiem pamiętać, iż do jednego z obowiązków przedsiębiorców w zakresie utrzymania odpowiedniego poziomu bezpieczeństwa danych należy właśnie wdrożenie wewnętrznych polityk.

Posiadanie zatem dostosowanej do danego przedsiębiorstwa polityki bezpieczeństwa może niewątpliwie stanowić część niezbędnej dokumentacji potrzebnej do odpowiedniego wdrożenia wewnętrznych polityk. Trzeba bowiem wskazać iż w ramach wdrożenia odpowiedniej polityki bezpieczeństwa administrator danych musi przeprowadzić oszacowanie analizy ryzyka związanego z przetwarzaniem danych. Jest to o tyle istotny zakres działań, iż na podstawie analizy ryzyka wdraża się odpowiednie środki bezpieczeństwa. Analiza ryzyka służy bowiem stwierdzeniu przez administratora na jakie niebezpieczeństwa narażone są dane osobowe w danym przedsiębiorstwie.

Praktyka pokazuje, iż przykładowy zakres polityki bezpieczeństwa zawiera między innymi takie informacje jak: zakres odpowiedzialności za przetwarzanie i ochronę danych osobowych, uwzględnienie ochrony danych w fazie projektowania, prawa i wolności osób, których dane dotyczą, zasady dotyczące przetwarzania danych osobowych, domyślną ochronę danych osobowych, wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowych, wykaz zbiorów danych osobowych, określenie środków technicznych i organizacyjnych niezbędnych do zapewnienia poufności, integralności i rozliczalności przetwarzanych danych osobowych, zarządzanie dostępem do danych osobowych, udostępnianie i powierzanie danych osobowych, zarządzanie ryzykiem danych osobowych, kontrola przetwarzania i stanu zabezpieczenia danych osobowych czy też postępowanie w przypadku stwierdzenia naruszenia bezpieczeństwa danych osobowych.

Ważnym elementem przy tworzeniu dokumentu polityki bezpieczeństwa jest również to aby był to dokument jasny, przejrzysty oraz zrozumiały dla każdego. Istotnym również jest to, żeby polityka bezpieczeństwa była regularnie aktualizowana, ponieważ odzwierciedla aktualny stan faktyczny w zakresie bezpieczeństwa danych osobowych przetwarzanych w danym przedsiębiorstwie.