Należy pamiętać że cześć zdarzeń dzieje się niespodziewanie, systemy ulegają awarii, następują wycieki danych. Ochrona informacji jest kluczowa dla prowadzenia przedsiębiorstwa.
W polskim ustawodawstwie zasada ochrony danych osobowych została wprowadzona w Konstytucji Rzeczpospolitej Polskiej w dniu 2 kwietnia 1997 r. w art. 51. Z konstytucji wynika, że nikt nie może być obowiązany inaczej niż na podstawie ustawy do ujawniania informacji dotyczących jego osoby, każdy ma prawo dostępu do dotyczących go urzędowych dokumentów i zbiorów danych; ograniczenie tego prawa może określić ustawa oraz każdy ma prawo do żądania sprostowania i usunięcia informacji nieprawdziwych, niepełnych lub zebranych w sposób sprzeczny z ustawą. Uściśleniem normy konstytucyjnej są przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. Z 2002 r. nr 101, poz. 926 ze zm.) stanowiące jednocześnie implementację dyrektywy Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. (95/46/WE) w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych oraz swobodnego przepływu tych danych.
Zasady przetwarzania danych osobowych
Podstawowe zasady określające postępowanie przy przetwarzaniu danych osobowych wyznacza art. 26 ust. 1. Ustawa określa podstawowe obowiązki administratora danych, z treści ustawy wynika iż administratora danych zobowiązany jest do dołożenia szczególnej staranności w celu ochrony interesów osób, które dane te dotyczą. Administratora danych musi przestrzegać pewnych zasad:
Przetwarzanie danych w celu innym niż ten, dla którego zostały zebrane (inny cel), jest dopuszczalne, jeżeli nie narusza praw oraz wolności osoby, której dane dotyczą, oraz następuje: