Obowiązujące na terenie naszego kraju unormowania prawne nakładają obowiązek wytwarzania dokumentacji przez każde przedsiębiorstwo. Większość dokumentów firmowych zawiera dane osobowe, które zgodnie z obowiązującymi przepisami podlegają ścisłej ochronie prawnej.
Ich przechowywanie, przetwarzanie, poddawanie modyfikacji, a nawet usuwanie z zasobów firmowych reguluje obowiązująca na terenie Polski Ustawa z dnia 29 sierpnia 1997r. „O ochronie danych osobowych” opublikowana w Dz.U z 2016 poz. 922.

W związku z nałożonym przez jej zapisy obowiązkiem każde przedsiębiorstwo pod groźbą nałożenia kary musi ściśle dostosować się do jej postanowień i z należytą pieczołowitością dbać o zabezpieczenie posiadanych danych przez wglądem i nieuprawnionym wykorzystaniem przez osoby trzecie.

Dzięki wprowadzeniu w życie Ustawy o ochronie danych osobowych wszystkie informacje, które dotyczą możliwości zidentyfikowania osoby trzeciej podlegają prawnej ochronie. Ochrona ta między innymi obejmuje dane osobowe, adres zamieszkania, nadawane indywidualnie każdemu polskiemu obywatelowi numery identyfikacyjne takie jak pesel, NIP, numer dowodu osobistego bądź paszportu.
W ustawie wiele miejsca poświęcono szczególnej ochronie danych o charakterze wrażliwym. W artykule 27 ust.1 zamieszczony został enumeratywny katalog informacji objętych ochroną, do których między innymi zaliczane jest pochodzenie rasowe i etniczne, poglądy polityczne, przekonania religijne, stan zdrowia, kod genetyczny, nałogi, życie seksualne, skazania, orzeczenia o ukaraniu i mandatach oraz inne orzeczenia wydawane w postępowaniu sądowym bądź administracyjnym.

Zgodnie z brzmieniem cytowanej ustawy ujawnianie danych objętych ochroną prawną, ich modyfikacja oraz przetwarzanie możliwe jest jedynie za zgodą osoby, której dotyczą. Dlatego większość przedsiębiorstw wymaga od swoich klientów złożenia pisemnego oświadczenia w tym zakresie. Dostęp do zapisanych w zasobach przedsiębiorstwa danych przez osoby nieuprawnione jak również niezgodne z oświadczeniem osób, które dotyczą ich wykorzystywanie podlega karze.

Kontrolę nad zbiorami danych znajdujących się w zasobach każdego przedsiębiorstwa ich odpowiednim zabezpieczeniem, przetwarzaniem, modyfikacją jak również niszczeniem sprawuje Generalny Inspektor Ochrony Danych Osobowych.
GIODO zgodnie z posiadanymi uprawnieniami może przeprowadza kompleksowe bądź częściowe postępowania kontrolne dotyczące powyższego zakresu. Kontrola GIODO odbywa się na wniosek oraz z urzędu. W razie pojawienia się uchybień w zakresie realizowania zapisów ustawy o Ochronie Danych Osobowych na wniosek Generalnego Inspektora Ochrony Danych Osobowych wszczęte może zostać postępowanie przed organami sądu administracyjnego.

W celu należytego wypełnienia nałożonych przez obowiązujące regulacje prawne obowiązku każdy przedsiębiorca, bez względu na wielkość swojej firmy, powinien opracować system ochrony posiadanych w swoich zasobach danych. W pierwszej kolejności należy ustalić rodzaj informacji zawartych w firmowej dokumentacji i sprawdzić czy ich zbiór wymaga rejestracji w GIODO. Następnie należy określić wymagane regulacje w zakresie prowadzonej polityki bezpieczeństwa. Każdy pracownik mający dostęp do informacji zawierających dane osób trzecich, które podlegają prawnej ochronie powinien przejść szkolenie dotyczące zasad ich gromadzenia, przechowywania, modyfikacji, udostępniania oraz niszczenia. W razie zaistnienia potrzeby zgromadzony zbiór danych należy zarejestrować w GIODO.