Pierwsze kompleksowe i powszechnie obowiązujące akty prawne określające zasady przetwarzania danych osobowych powstały już w latach 70-tych w Europie Zachodniej, począwszy od Hesji (Land RFN) poprzez Szwecję, Danię, Norwegię, Francję i Luksemburg. Ustawy te, jak również ciągle rosnące zagrożenie ze strony niekontrolowanych banków danych doprowadziło do wydania dokumentu o zasięgu międzynarodowym Konwencji nr 108 Rady Europy z dnia 28 stycznia 1 981 roku o ochronie osób w związku z automatycznym przetwarzaniem danych osobowych.
Lata 80′ i 90′ były czasem tworzenia się rozwiązań prawnych i technicznych pozwalających wdrożyć procedury bezpiecznego przetwarzania danych osobowych, jednocześnie nie utrudniając działalności instytucji, w szczególności biznesowych. Zwieńczeniem tych prac była Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 roku w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych.
Kandydowanie naszego kraju do struktur zachodnioeuropejskich powodowało konieczność dostosowania prawodawstwa do międzynarodowych wymogów. Jednym z pierwszych aktów prawnych, który w związku z tym został w naszym kraju uchwalony była Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych wraz z aktami wykonawczymi. Niestety, jak twierdzi większość prawników, a w szczególności praktyków ochrony danych osobowych, ustawa ta nie spełniając wymogów Dyrektywy 95/46/WE, której miała być implementacją, przede wszystkim nie dawała możliwości jej praktycznego zastosowania. Niestety na jej nowelizację musieliśmy czekać aż 7 lat.
Akcesja do Unii Europejskiej spowodowała, że od 1 maja 2004 roku obowiązuje znowelizowana ustawa o ochronie danych osobowych, która wprowadziła już jasno sprecyzowany obowiązek wdrożenia odpowiednich środków technicznych i organizacyjnych zapewniających ochronę przetwarzanych danych osobowych. Ostateczny termin ich wdrożenia upłynął 1 października 2004 roku.