Ochrona danych osobowych bywa utożsamiana z rozbudowaną dokumentacją i procedurami, które w praktyce obciążają organizację, nie podnosząc realnie poziomu bezpieczeństwa. Tymczasem RODO nie nakazuje tworzenia monstrualnych procedur, ale wymaga stosowania środków adekwatnych do ryzyka, charakteru, zakresu i kontekstu przetwarzania. W RODO wskazano dokumenty prowadzone obowiązkowo, ale równocześnie akt ten pozwala na elastyczność co do wdrażanych polityk, rozwiązań technicznych i organizacyjnych. Chodzi o to, by administrator odpowiednio zorganizował przetwarzanie, kontrolował jego procesy i potrafił wykazać, że działa zgodnie z prawem. Do tego właśnie ma służyć dokumentacja. Jej zakres i treść w dużej mierze powinny być określane indywidualnie.
