Pojęcie zgody jest definiowane w ustawie z dnia 29 sierpnia 1997 r. o ochronie danych osobowych. Zgodą jest oświadczeniem woli, którego treścią jest zgoda na przetwarzanie danych osobowych tego, kto składa oświadczenie. Zgoda nie może być domniemana czy też dorozumiana.
Ustawa nie określa szczegółowych zasad formułowania klauzuli zgody. Z treści klauzul zgody powinno jednak w sposób niebudzący wątpliwości wynikać, w jakim celu, przez kogo czy w jakim zakresie będą przetwarzane dane osobowe. Osoba, która wyraża zgodę musi być świadoma tego na co się zgadza. Zgoda nie może dotyczyć również sytuacji abstrakcyjnej, ale powinna odnosić się do określonego stanu faktycznego.
Dane osobowe mogą być przetwarzane w sytuacji, gdy dana osoba wyrazi zgodę na przetwarzanie danych osobowych, których jej dotyczą.. Zgoda nie musi mieć formę pisemną, choć jest to zalecane ze względów dowodowych. Wyjątek dotyczy danych wrażliwych. Przetwarzanie danych szczególnie chronionych jest dopuszczalne, w sytuacji gdy osoba, której dane dotyczą, wyrazi na to zgodę w formie pisemnej.
Samo wyrażenie zgody na przetwarzanie danych nie jest jednoznaczne z tym, iż dane te mogą być przekazywane osobom trzecim. Jeśli administrator danych planuje przekazywanie pozyskanych danych osobowych, musi uzyskać na to osobną zgodę. Zgoda musi być udzielona na piśmie.
Dane wrażliwe mogą być przetwarzane bez zgody osoby, której dane dotyczą, w przypadku gdy przepisy szczególne innej ustawy zezwalają na przetwarzanie danych i stwarzają pełną gwarancję ich ochrony.
Danej osobie przysługuje prawo do odwołania wyrażonej zgody w każdym czasie.