Власник персональних даних зобов’язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніше ніж протягом десяти робочих днів з дня настання такої зміни. Деякі суб’єкти не ставили до відома ГСЗПД про зміну місцезнаходження бази персональних даних або про зміну відомостей про розпорядників бази персональних даних.
Ті особи, для яких ніякими внутрішніми документами (наприклад, посадовою інструкцією) не передбачено здійснення обробки персональних даних, не повинні мати доступу до цих даних.
Деякі власники і розпорядники персональних даних не розуміють, на якому з правових підстав вони використовують персональні дані. Перш ніж отримувати у суб’єкта згоду на обробку персональних даних, необхідно визначити, чи немає інших правових підстав для обробки персональних даних, зокрема, дозволу на обробку персональних даних, наданого на підставі норм чинного законодавства України. Наприклад, обробка персональних даних працівників підприємства з метою забезпечення реалізації трудових відносин не вимагає згоди, однак, якщо підприємством збираються персональні дані, не передбачені трудовим законодавством, необхідно отримати згоду працівників на обробку таких даних.
Обробка персональних даних розпорядниками здійснювалася без укладеного договору з власником персональних даних, в обсязі або з метою, що перевищують дозволені (лист від 05.02.2013 р. № 11/257-13).