Z rejestracji zbioru danych osobowych zwolnione są jedynie osoby fizyczne, które przetwarzają dane wyłącznie w celach osobistych lub domowych. We wszystkich innych przypadkach każda baza danych musi zostać objęta technicznymi i prawnymi zabezpieczeniami, które zapewnią jej ochronę, i – o ile nie zachodzi przesłanka zwolnienia – zarejestrowana w GIODO. Celem wypełnienia obowiązków ustawowych przedsiębiorca w pierwszej kolejności powinien powołać Administratora Bezpieczeństwa Informacji, sporządzić i prowadzić niezbędną dokumentację oraz wdrożyć procedury organizacyjne zapewniające odpowiedni poziom zabezpieczeń. Ochrona danych osobowych jest szczególnie istotna w przypadku gdy dane przetwarzane są przy pomocy komputerów podłączonych do sieci Internet, ponieważ ryzyko ingerencji osób trzecich i nieuprawnionego pozyskania danych osobowych jest w tym wypadku najwyższe.