Obowiązek podmiotu przetwarzającego dane osobowe w zakresie posiadania dokumentacji ochrony danych osobowych wynika z następujących przepisów:

• polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych - art. 36 ust. 2 wraz z art. 39a ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych oraz §3 rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dn. 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
• upoważnienia do przetwarzania danych osobowych - art. 37 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
• ewidencja upoważnień do przetwarzania danych osobowych - art. 39 ust. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
• oświadczenia o zachowaniu w tajemnicy danych osobowych oraz informacji o sposobach ich zabezpieczenia - art. 39 ust. 2 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
• wnioski o wpisanie zbioru do rejestru Generalnego Inspektora Ochrony Danych Osobowych – art. 40 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
• umowy powierzenia przetwarzania danych osobowych – art. 31 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
• wzory obowiązków informacyjnych – art. 24 i 25 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych,
• wzory klauzul zgód na przetwarzanie danych osobowych – art. 23 ust. 1 pkt. 1 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.