Відповідно до Закону України «Про захист персональних даних» та Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30.12.2011 р. №3659/5, захист персональних даних покладається на володільця бази персональних даних.
Відповідальна особа або структурний підрозділ відповідно до покладених завдань:
1) забезпечує ознайомлення працівників володільця бази персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;
2) забезпечує організацію обробки персональних даних працівниками володільця бази персональних даних відповідно до їхніх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;
3) організовує роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;
4) забезпечує доступ суб'єктів персональних даних до власних персональних даних;
5) інформує керівника володільця бази персональних даних про заходи, що їх необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
6) інформує керівника володільця бази персональних даних про порушення встановлених процедур з обробки персональних даних.
Володілець бази персональних даних веде облік:
1) фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки;
2) спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.
Володілець бази персональних даних може розмежувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їхніх професійних, трудових чи службових обов'язків.
При цьому, якщо йдеться про обробку персональних даних у формі картотек, то володілець бази персональних даних здійснює їх обробку з урахуванням таких вимог:
1) документи, що містять персональні дані, формуються у справи залежно від мети обробки персональних даних;
2) справи з документами, що містять персональні дані, повинні мати внутрішні описи документів із зазначенням мети обробки і категорії персональних даних;
3) картотеки зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.
Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.