Державна служба України з питань захисту персональних даних за підсумком проведених нею перевірок, надала інформацію про основні положення законодавства щодо обробки та захисту персональних даних, яких зазвичай не дотримуються. Зокрема, серед них можна виділити такі:
• власник персональних даних зобов’язаний повідомляти вповноважений державний орган із питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніше ніж упродовж 10 робочих днів із дня настання такої зміни;
• на підприємстві (в установі, організації) обробку персональних даних можуть здійснювати лише ті особи, у яких посадовою інструкцією чи іншими внутрішніми документами визначений обов’язок здійснення обробки персональних даних;
• власник бази персональних даних повинен, перш ніж здійснювати обробку персональних даних, отримати згоду суб’єкта персональних даних на обробку цих даних;
• перед тим як отримувати в суб’єкта згоду на обробку персональних даних, власникові та/або розпорядникові персональних даних необхідно визначити, чи немає інших правових підстав для обробки персональних даних. Наприклад, обробка персональних даних працівників підприємства з метою забезпечення реалізації трудових відносин не вимагає згоди, проте якщо підприємством збираються персональні дані, не передбачені трудовим законодавством, необхідно отримати згоду працівників на обробку таких даних;
• забезпечення належного захисту приміщень, у яких знаходяться персональні дані, як в електронній формі, так і у формі картотек (наприклад, обладнання замками дверей у приміщеннях, шафах і сейфах).
Лист Державної служби України з питань захисту персональних даних від 05.02.2013 р. № 11/257-13