W każdym przypadku przetwarzanie danych osobowych powinno odbywać się z uwzględnieniem ogólnych zasad ich ochrony, wynikających zarówno z przepisów ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (t. j. Dz. U. z 2002 r. Nr 101, poz. 926 ze zm.) oraz przepisów wydanego na jej podstawie rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024).

Pojęcie przetwarzania danych zostało zdefiniowane w art. 7 pkt 2 wskazanej powyżej ustawy. Rozumie się przez nie jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych.

Administratorem danych, zgodnie z art. 7 pkt 4 ustawy o ochronie danych osobowych, jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 (tj. organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne, podmioty niepubliczne realizujące zadania publiczne, osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej), decydujące o celach i środkach przetwarzania danych osobowych.

Do podstawowych obowiązków administratora danych należą:
  1. obowiązek legitymowania się jedną spośród wskazanych w art. 23 ust. 1 pkt 1-5 oraz art. 27 ust. 2 pkt 1-10 przesłanek legalizujących przetwarzanie danych osobowych;
  2. określony - w zależności od tego, czy dane zbierane są bezpośrednio od osoby, której dotyczą, czy też z innego źródła - odpowiednio w art. 24 lub 25 ustawy, obowiązek informacyjny;
  3. wskazany w art. 26 ust. 1 obowiązek zapewnienia, aby dane były przetwarzane zgodnie z prawem zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu przetwarzaniu niezgodnemu z tymi celami, z zastrzeżeniem ust. 2 tego przepisu; poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane; przechowywane w postaci umożliwiającej identyfikacje osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania;
  4. obowiązek zastosowania środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien on zabezpieczyć dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem ustawy oraz zmianą, utratą, uszkodzeniem lub zniszczeniem. Administrator danych zobligowany jest do prowadzenia dokumentacji opisującej sposób przetwarzania danych oraz środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych. Powinien on także wyznaczyć administratora bezpieczeństwa informacji, nadzorującego przestrzeganie zasad ochrony przetwarzanych danych osobowych, chyba że sam wykonuje te czynności.
    Do przetwarzania danych mogą być dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez administratora danych. Obowiązany jest on także do prowadzenia ewidencji osób upoważnionych do ich przetwarzania. Administrator danych zobligowany jest ponadto zapewnić kontrolę nad tym, jakie dane osobowe, kiedy i przez kogo zostały do zbioru wprowadzone oraz komu są przekazywane. W przypadku przetwarzania danych osobowych w systemie informatycznym administrator danych powinien również spełnić wszelkie wymogi określone w rozporządzeniu w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych;
  5. wynikający z art. 40 ustawy obowiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 pkt 1-11 ustawy o ochronie danych osobowych;
Organem powołanym do ochrony danych osobowych jest Generalny Inspektor Ochrony Danych Osobowych. Do jego zadań należy:
  • kontrola zgodności przetwarzania danych z przepisami o ochronie danych osobowych;
  • wydawanie decyzji administracyjnych i rozpatrywanie skarg w sprawach wykonania przepisów o ochronie danych osobowych;
  • prowadzenie rejestru zbiorów danych oraz udzielanie informacji o zarejestrowanych zbiorach;
  • opiniowanie projektów ustaw i rozporządzeń dotyczących ochrony danych osobowych;
  • inicjowanie i podejmowanie przedsięwzięć w zakresie doskonalenia ochrony danych osobowych;
  • uczestniczenie w pracach międzynarodowych organizacji i instytucji zajmujących się problematyką ochrony danych osobowych;
Wskazane zadania wykonuje on przy pomocy Biura Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa). Statystyka dotycząca działalności Biura Generalnego Inspektora Ochrony Danych Osobowych jest publikowana pod adresem http://www.giodo.gov.pl/246/.

Wynika z niej, że w 2008 roku na 201 przeprowadzonych kontroli w 30 przypadkach Generalny Inspektor Ochrony Danych Osobowych skierował do prokuratury zawiadomienia o popełnieniu przestępstwa.

O tym, czy potrafimy zarówno u siebie, jak i u naszych klientów wdrożyć procedury ochrony danych osobowych najlepiej świadczy opinia Generalnego Inspektora Ochrony Danych Osobowych, jaką uzyskaliśmy po zakończeniu kontroli.

Każdy ma prawo do ochrony dotyczących go danych osobowych.

Przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą (art. 1 ust. 1 i 2 ustawy o ochronie danych osobowych).

Każdej osobie przysługuje prawo do kontroli przetwarzania danych, które jej dotyczą, zawartych w zbiorach danych. Jest ona, zgodnie z art. 32 ust. 1 pkt 1-5a przedmiotowej ustawy, uprawniona do: uzyskania wyczerpującej informacji, czy taki zbiór istnieje, oraz do ustalenia administratora danych, adresu jego siedziby i pełnej nazwy, a w przypadku gdy administratorem danych jest osoba fizyczna - jej miejsca zamieszkania oraz imienia i nazwiska, uzyskania informacji o celu, zakresie i sposobie przetwarzania danych zawartych w takim zbiorze, uzyskania informacji, od kiedy przetwarza się w zbiorze dane jej dotyczące, oraz podania w powszechnie zrozumiałej formie treści tych danych, uzyskania informacji o źródle, z którego pochodzą dane jej dotyczące, chyba że administrator danych jest zobowiązany do zachowania w tym zakresie tajemnicy państwowej, służbowej lub zawodowej, uzyskania informacji o sposobie udostępniania danych, a w szczególności informacji o odbiorcach lub kategoriach odbiorców, którym dane te są udostępniane, a także uzyskania informacji o przesłankach podjęcia rozstrzygnięcia wyłącznie w wyniku operacji na danych osobowych prowadzonych w systemie informatycznym, ale tylko w przypadku, gdy zostało ono podjęte podczas zawierania lub wykonywania umowy i uwzględnia wniosek osoby, której dane dotyczą (w innej bowiem sytuacji podjęcie takiego rozstrzygnięcia nie jest dopuszczalne).

Stosownie do art. 33 ust. 1 ustawy o ochronie danych osobowych, na wniosek osoby, której dane dotyczą, administrator danych jest obowiązany, w terminie 30 dni, poinformować o przysługujących jej prawach oraz udzielić, odnośnie jej danych osobowych, informacji, o których mowa w art. 32 ust. 1 pkt 1 - 5a. Informacja powinna być udzielona w zrozumiałej formie.