Az adatkezelési (vagy adatvédelmi) szabályzat elkészítése nem kötelező feladat az Adatkezelők számára.
A GDPR 24. cikke alapján: "(2) Ha az az adatkezelési tevékenység vonatkozásában arányos, (…) az adatkezelő megfelelő belső adatvédelmi szabályokat is alkalmaz."
Az adatvédelmi szabályzatot tehát csak akkor kell megalkotni, ha az adatkezelési tevékenység mértéke (nagy mennyiségű adat kezelése), vagy minősége (különleges, vagy más érzékeny adatok kezelése), illetve az adatkezelési tevékenység, folyamat bonyolultsága indokolja.
Egy egyéni vállalkozónak, vagy egyszemélyes gazdasági társaságnak biztosan nem kell adatvédelmi szabályzat, hiszen ennek a dokumentumnak az a lényege, hogy az Adatkezelő szervezetén belül meghatározza az adatkezelésre vonatkozó szabályokat, eljárásrendet, útmutatást adjon a munkavállalók számára.
Amennyiben indokolt az adatvédelmi szabályzat létrehozása, általában a következőket kell, hogy tartalmazza:
- az adatkezelés elvei, a jogszerűség biztosításának módja és eszközei
- felelősségek az adatkezelési tevékenységekkel kapcsolatban
- nyilvántartások vezetése
- az érintettek jogai, az érintettek jogainak gyakorlása esetén követendő eljárás
- adatfeldolgozókra vonatkozó szabályok
- adatvédelmi incidens eljárásrend
- érdekmérlegelési teszt elvégzésének módszertana
- hatásvizsgálatra vonatkozó szabályok
A gyakorlatban sokszor keverednek az adatvédelmi szabályzat, adatvédelmi tájékoztató, adatvédelmi nyilatkozat kifejezések. Ezeket a dokumentumokat a legegyszerűbben így lehet elkülöníteni:
Adatvédelmi szabályzat: Meghatározza a belső szabályokat az adatvédelmi tevékenységgel kapcsolatban. Nem publikus dokumentum, csak a munkatársaknak kell ismerni és használni.
Adatvédelmi tájékoztató: Az Érintettek tájékoztatására szolgál, részletes információkat tartalmaz az adatkezelések minden lényeges körülményére vonatkozóan. Publikus dokumentum, minden Érintettel meg kell ismertetni.
Adatvédelmi nyilatkozat: Ebben a dokumentumban az Adatkezelő kinyilatkoztatja, hogy számára fontosak az adatvédelem alapelvei és leírja, hogy miket tesz azok követése érdekében. Nem kötelező ilyen nyilatkozatot tenni, részletes szabályokat általában nem határoz meg. Jellemzően publikus dokumentum. Az adatvédelmi nyilatkozat része lehet az adatvédelmi szabályzatnak, vagy az adatvédelmi tájékoztatónak.