W Polskim porządku prawnym obowiązują dwa główne akty prawne dotyczące ochrony danych osobowych.
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych)
- Ustawa z dnia 10 maja 2018r.o ochronie danych osobowych (Dz. U. 2018 poz. 1000 z późn. zm.)
Nadrzędnym aktem jest rozporządzenie Parlamentu Europejskiego i Rady (UE), a aktem uzupełniającym jest ustawa o ochronie danych osobowych. Ponieważ rozporządzenie unijne nadaje kształt ochronie danych na gruncie krajowym oraz międzynarodowym i nawiązuje do karty praw podstawowych, zalecałbym powoływanie się przede wszystkim na ten akt w dokumentach wewnętrznych organizacji.