Az adatvédelmi szakértők igény esetén az adatkezelések vizsgálatának eredményei alapján elkészítik a szervezet belső adatvédelmi szabályzatát, mely munkaterületenként lebontva tartalmazza azokat a szükséges intézkedéseket, magatartási formákat melyekkel biztosítható az adatkezelések megfelelősége és erősíthető az adat- és információbiztonság.
Az Avtv. 31/A. § (3) bekezdése alapján az alábbi adatkezelők kötelesek adatvédelmi és adatbiztonsági szabályzatot készíteni:
- minden országos hatósági, munkaügyi vagy bűnügyi adatállományt kezelő, illetőleg feldolgozó adatkezelő és adatfeldolgozó,
- pénzügyi szervezet,
- távközlési és közüzemi szolgáltató, elektronikus hírközlési szolgáltató, közvélemény-kutató, piackutató és a közvetlen üzletszerző szerv,
- egészségügyi intézmény, örökbefogadást segítő magánszervezet,
- önkormányzat,
- rendőrkapitányság,
- megyei, fővárosi közigazgatási hivatal,
- a Közigazgatási és Elektronikus Közszolgáltatások Központi Hivatala,
- a Foglalkoztatási Hivatal és a munkaügyi központok, a Nemzetgazdasági Minisztérium, az OMMF, továbbá a munkaügyi adatszolgáltatásra kötelezett munkaadók.
A belső adatvédelmi szabályzat az adatkezelések és adatfeldolgozások adatai, alapfogalmai mellett kitér az adatbiztonság érdekében hozott biztonsági és titoktartási kötelezettségekre és a kötelezettek körére.
Az adatbiztonsági intézkedések kiterjednek a kezelt adatok ügyviteli, fizikai és algoritmikus védelmére, azokra az alapelvekre, melyeket a munkavállalók hozzáférési jogosultságainak meghatározásánál használnak és a titoktartási kötelezettségekre.
Fontos része az adatvédelmi szabályzatnak a személyes adatok kezelésének, az azokkal kapcsolatos megkeresések, panaszok intézésének eljárási szabályait leíró fejezet.
Az adatvédelmi szabályzat – az adatkezelési tájékoztatóhoz hasonlóan – tartalmazza a jogellenes adatkezelés jogi következményeinek ismertetését.
Az adatvédelmi szabályzatot kiegészíti a speciális, adatkezelésekre lebontott különös előírásokat tartalmazó adatkezelési tájékoztató.