Konstytucja Rzeczypospolitej Polskiej, jako ustawa zasadnicza, zawiera przepisy dotyczące ochrony danych osobowych. W art. 47 stanowi, że każda osoba ma prawo do ochrony życia prywatnego, rodzinnego a także do czci, dobrego imienia jak decydowania o swoim życiu osobistym. Dodatkowo w art. 51 precyzuje, że nikt nie może być zobowiązany do ujawniania informacji dotyczących danej osoby inaczej niż na podstawie ustawy.
Władze publiczne mają również zakaz pozyskiwania, gromadzenia czy też udostępniania innych informacji o obywatelach niż jest to niezbędne w demokratycznym państwie prawnym. Każda osoba ma również prawo do dostępu do urzędowych dokumentów oraz zbiorów danych, które go dotyczą. Prawo takie może zostać ograniczone tylko i wyłącznie w drodze ustawy. Dodatkowo konstytucyjnie zostało przyznane prawo do żądania sprostowania, usunięcia informacji, które są niepełne, nieprawdziwe bądź zostały zebrane w sposób sprzeczny z ustawą.
Prawa przyznane w konstytucji zostały rozwinięte w ustawie. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych określa zarówno zasady, mające zastosowanie przy przetwarzaniu danych osobowych jaki i prawa osób fizycznych, których określone dane osobowe podlegają przetwarzaniu w zbiorach danych.
W polskim prawie obowiązuje również szereg aktów wykonawczych do ustawy o ochronie danych osobowych i jest to m. in. rozporządzenie ministra spraw wewnętrznych i administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych czy rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewnienia przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji.