Ustawa o Ochronie Danych Osobowych z 1997 roku są to regulacje prawne dotyczące tworzenia i posługiwania się zbiorami danych osobowych, a także pojedynczymi danymi, mające na celu administracyjno-prawną ochronę prawa do prywatności (Wikipedia).

• Przetwarzanie danych jest to gromadzenie, przechowywanie i obróbka informacji przez systemy informatyczne.
  Zabezpieczenie danych to zastosownie takich środków technicznych i organizacyjnych w firmie, które zabezpieczają dane przed utratą lub przed ich nieuprawnionym przetwarzaniem.
• Administrator ma obowiązek zapisywać jakie dane były przetwarzane i przez kogo.
• Administrator danych nie przetwarza dalej zebranych danych po ich jednorazowym wykorzystaniu.

---

Pozostałe wymogi bezpieczeństwa zostały określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 2004 roku.

• Wymagane jest posiadanie odpowiedniej dokumentacji, na którą składają się: dokumentacja systemu i zabezpieczeń oraz dokumentacja określająca politykę bezpieczeństwa.
• Od strony technicznej ustawa wymienia trzy poziomy bezpieczeństwa przetwarzanych danych:
  
  • podstawowy, w którym hasło do logowania należy zmieniać co 30 dni i musi się ono składać z minimum 6 znaków..
  • podwyższony, w którym hasło do logowania należy zmieniać co 30 dni i musi ono posiadać minimum 8 znaków, w tym cyfry, znaki specjalne oraz małe i duże litery.
  • wysoki, który wystepuje, gdy co najmniej jeden komputer przetwarzajacy dane działa w sieci publicznej - WAN, MAN lub Internet. Hasło do logowania należy zmieniać co 30 dni i musi ono posiadać minimum 8 znaków, w tym cyfry, znaki specjalne oraz małe i duże litery.
  Wymagania co do zasad haseł administrator musi ustawić w panelu sterowania danego systemu operacyjnego.

  ---

  Nakazane jest:
  
  • Systematyczne wykonywanie kopii zapasowych
  • Posiadanie programów antywirusowych z aktualizowanymi bazami danych o wirusach.
  • Stosowanie kryptografi przy przenoszeniu danych poza siedzibę firmy lub szyfrowanie połączeń przy przesyle przez sieć.
  • Skuteczne kasowanie danych na dyskach lub zniszczenie nośników przy złomowaniu sprzętu
  • W przypadku naprawy można nie kasować danych, gdy osoba odpowiedzialna za nie jest obecna podczas naprawy.