U Europskoj uniji po pitanju zaštite informacija postoje detaljna zakonska podloga i operativni instrumentarij za osiguravanje sukladnosti sa relevantnim zakonima.  Dvije su temeljne direktive koje reguliraju područje zaštite podataka: direktiva 95/46/EC (direktiva o zaštiti podataka) te direktiva 97/66/EC koja se odnosi na zaštitu informacija u telekomunikacijama. Direktive obvezuju države EU da svoje nacionalno zakonodavstvo usklade sa zahtjevima direktiva.

Temeljna pravila kojih se moraju pridržavati svi koji upravljaju privatnim podacima (terminoloÅ¡ki radi se o tzv. data controllers – onima koji kontroliraju podatke) su sljedeća:

1. podaci moraju biti procesirani pravično i u sukladnosti sa zakonima
2. podaci se smiju prikupljati isključivo zbog legitimnih razloga i koristiti samo u te svrhe
3. prikupljeni podaci moraju biti relevantni i ne smiju biti pretjerani u odnosu prema namjeni zbog koje se obrađuju
4. podaci moraju biti točni i ukoliko je potrebno, moraju biti osvježavani kako bi bili i dalje relevantni
5. oni koji kontroliraju podatke moraju omogućiti razumnim mjerama onima na koje se ti podaci odnose da obrišu, osvježe ili blokiraju netočne informacije o njima
6. podaci koji identificiraju osobe ne smiju se držati duže nego što je to nužno potrebno
7. svaka država mora organizirati jedno ili više nadzornih tijela koje kontroliraju provođenje direktiva pri čemu je jedna od dužnosti osiguravanje vođenja javnog registra svih koji kontroliraju podatke kako bi on bio pristupačan javnosti
8. svi koji kontroliraju podatke moraju obavijestiti nadzorna tijela o svojim aktivnostima, od čega iznimka mogu biti aktivnosti koje ne predstavljaju rizik ili ako su kontroleri podataka i informacija imenovani od strane nadzornih tijela

Temeljna odredba kojom se svi zakoni u EU povode po pitanju zaštite podataka je:

Integralnu verziju dokumenta koji reguliraju ovu problematiku možete skinuti s ovih stranica s ove poveznice.

U Hrvatskoj je situacija trenutačno takva da su direktive implementirane djelomično, nadzorna tijela su ustanovljena ali u praksi se ne primjećuje da provode legislativu a u trenutku pisanja ovog članka, sredinom 2009 godine, van financijskog i bankarskog sektora naglasak na pitanja zaÅ¡tite podataka, informacija, informacijskih sustava i osobnih informacija izostaje dok se u svakodnevnoj praksi krÅ¡e i hrvatska predmetna legislativa i strukovna pravila i pravila zdrave logike, osobito u području neovlaÅ¡tenog i nepotrebnog prikupljanja privatnih podataka te pohrane i mjera tehničke zaÅ¡tite spremljenih podataka  i podataka unutar komunikacijskih kanala i informacijskih sustava. Nažalost, situacija je jednako loÅ¡a i ova se aktivnost očito smatra marginalnom i unutar državne uprave i unutar privatnog sektora, osobito u malim i srednjim poduzećima čija granska aktivnost i tehnoloÅ¡ki procesi nisu povezani uz tehnoloÅ¡ki kontekst pa se makar temeljna zaÅ¡tita informacija ne provodi “po inerciji”, zbog samoinicijative uključenih stručnjaka.