У 2010 році, Україна ратифікувала Конвенцію Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додатковий протокол до неї, цим самим взявши на себе зобов’язання забезпечити дотримання прав і свобод людини.

Для здійснення реальних дій, щодо реалізації взятого на себе зобов’язання ВРУ ухвалили Закон України «Про захист персональних даних», який набрав чинності 01.01.2011 року і став основоположним актом національного законодавства у сфері захисту персональних даних.

Проте, у зв’язку з набранням чинності ЗУ «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» від 03.07.2013, з 1 січня 2014 року змінилась процедура реєстрація баз персональних даних. Тепер, реєстрація полягає у повідомленні особою, яка володіє персональними даними, Уповноваженого Верховної Ради України з прав людини, про обробку персональних даних, які можуть становити фактори ризику для прав і свобод суб’єктів цих персональних даних.

Які саме дані відносяться до факторів ризику для прав і свобод, нам чітко відображає «Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу». До них відносяться:

- расове, етнічне та національне походження;

- політичні, релігійні або світоглядні переконання;

- членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;

- стан здоров’я;

- статеве життя;

- біометричні дані;

- генетичні дані;

- притягнення до адміністративної чи кримінальної відповідальності;

- застосування щодо особи заходів в рамках досудового розслідування;

- вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»;

- вчинення щодо особи тих чи інших видів насильства;

- місцеперебування та/або шляхи пересування особи.

Зміни, які відбулись стосовно Закону України «Про захист персональних даних», є:

- збільшення терміну, протягом якого володілець персональних даних повинен повідомити суб’єктів про збір їх персональних даних, якщо такий збір відбувається з інших, ніж самі суб’єкти, джерел. Цей строк становитиме 30 робочих днів замість 10

- скасована державна процедура реєстрації персональних даних. З 1 січня 2014 року Державна реєстрація замінена повідомленням Уповноваженого з прав людини про обробку персональних даних протягом 30 днів.

- вся інформація щодо обробки персональних даних, форма та порядок подання повідомлення про обробку персональних даних, розміщується на офіційному сайті Омбудсмена.

- перелік персональних даних, які заборонено обробляти, поповнився біометричними та генетичними даними.

- суб'єкт персональних даних тепер матиме право знати не лише місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження володільця, а й про джерела їх збирання. Знищити персональні зможуть також за приписом Уповноваженого з прав людини, посадовими особами його секретаріату.

- рішення володільця про відмову у доступі до персональних даних може бути оскаржено фізичною особою не лише до суду, а й до Уповноваженого з прав людини.

- прикінцеві та перехідні положення Закону зобов’язують володільців персональних даних, які станом на 1 січня 2014 року здійснюють обробку персональних даних, що підлягає повідомленню, мають повідомити омбудсмена упродовж шести місяців, з 1 січня 2014 року.

Прийняття даного Закону має на меті покращення реалізації в повному обсязі, передбаченого ст.32 Конституції України, права на недоторканість приватного життя шляхом встановлення незалежних механізмів контролю за дотриманням законодавства у сфері захисту персональних даних.

Закон, відображає позитивну динаміку гармонізації законодавства України про захист персональних даних до законодавства країн-членів ЄС.