Дев’ятого січня 2007 року Верховна Рада України 329-ма голосами проголосувала за законопроект «Про захист персональних даних» (законопроект № 0808, н.д. Родіонов М.К., н.д. Ніколаєнко С.М., н.д. Юхновський І.Р., н.д. Толочко П.П., н.д. Ситник К.М. IV скликання).

Законопроект був ветований Президентом України у квітні 2006 року. Серед суттєвих недоліків, які унеможливили підписання законопроекту, була концепція права власності особи на власні персональні дані, яка, на думку Президента, суперечить Конституції України. Президент запропонував депутатам відхилити законопроект та розробити новий, «який би, відповідно до Конституції України та міжнародних зобов’язань нашої держави, належним чином врегулював це важливе для суспільства питання».

У новій редакції законопроекту, у порівнянні з прийнятою раніше, концепцію права власності на персональні дані вилучено, однак закон залишає у собі низку досить суперечливих положень.

Нагадаємо, що дія закону поширюється на захист персональних даних під час їх обробки в інформаційних (автоматизованих) системах, окрім тих, що призначені виключно для непрофесійних особистих чи побутових потреб. У першу чергу, норми закону стосуватимуться баз даних міліції, ДАЇ, податкової, ЖЕК-ів, лікарень, бібліотек, телефонних компаній тощо. Регулювання цього питання є досить актуальним, особливо у світлі нещодавнього викрадення баз даних ДАЇ. Однак, залишається питання, чи поширюється закон на бази даних журналістів та засобів масової інформації. Архіви ЗМІ також можна відносити до баз даних, і в такому разі кожен засіб масової інформації змушений буде здійснювати реєстрацію бази даних у спеціально уповноваженому органі, в порядку, встановленому Кабінетом Міністрів України. Такий обов’язок виникне з 1 січня 2008 року, якщо Президент вдруге не поверне закон до парламенту.

Ще однією цікавою нормою закону є вимога повідомити протягом місяця особу про включення відомостей до бази персональних даних. З одного боку, норма захищає право особи знати про таке включення, але, з іншого боку, не зовсім зрозуміло, яким чином повідомляти осіб і що буде слугувати підтвердженням того, що особа повідомлена. Єдиним виходом, який залишив закон, є посилання на те, що персональні дані взяті із загальнодоступних джерел, в такому разі повідомлення особи не здійснюється.