Każdy przedsiębiorca powinien przetwarzać dane osobowe zgodnie z obowiązującymi przepisami. Podstawowym aktem prawnym w tym zakresie jest ustawa z dnia 29.08.1997 r. o ochronie danych osobowych i rozporządzenie wykonawcze – rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29.04.2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Zgodnie z tymi aktami prawnymi każdy przedsiębiorca, przetwarzający dane osobowe, powinien prowadzić dokumentację z zakresu ochrony danych osobowych. Na dokumentacje taką składa się właśnie polityka bezpieczeństwa i instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych. Polityka bezpieczeństwa zawiera w szczególności: wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe; wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych; opis struktury zbiorów danych wskazujący zawartość poszczególnych pól informacyjnych i powiązania między nimi; sposób przepływu danych pomiędzy poszczególnymi systemami; określenie środków technicznych i organizacyjnych niezbędnych dla zapewnienia poufności, integralności i rozliczalności przetwarzanych danych.