Las funciones y obligaciones del personal, de cada uno de los usuarios con acceso a los datos de carácter personal y a los sistemas de información tienen que estar claramente definidas y documentadas en el documento de seguridad.
También se deben definir las funciones de control o autorizaciones delegadas por el responsable del fichero o tratamiento.
El responsable del fichero debe adoptar las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones y obligaciones, en particular, en lo relativo al deber de secreto y confidencialidad, así como las consecuencias en que pudiera incurrir en caso de incumplimiento.
El procedimiento de documentación y transmisión de las políticas que incluyan las funciones y obligaciones del personal con acceso a datos de carácter personal, puede ser diverso dependiendo de las particularidades de cada organización, pudiendo utilizarse documentos escritos, comunicaciones electrónicas, ya sea mediante correo electrónico, intranet corporativa, páginas de inicio de las aplicaciones, etc.