27 июля 2006 года был подписан закон «О персональных данных», целью которого является обеспечение защиты прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну. Согласно закону, персональные данные — это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное, имущественное положение, образование, профессия, доходы, другая информация, а оператор — государственный орган, муниципальный орган, юридическое или физическое лицо, организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели и содержание обработки персональных данных. Таким образом, любая образовательная организация, собирающая сведения об учениках является оператором персональных данных и должна выполнять требования законодательства для их защиты.

Основными нормативно-правовыми актами в области защиты информации являются:

• Конституция РФ;
• Федеральный закон РФ № 152 «О персональных данных» от 27.07.2006 г.; 
• Федеральный закон № 149 «Об информации, информационных технологиях и о защите информации» от 27.07.2006 г.; 
• Постановление Правительства РФ «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных» № 781 от 17 ноября 2007 г.;
• Постановление Правительства РФ от 15 сентября 2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации»;
• Приказ ФСТЭК России от 18.02.2013 N 21 (ред. от 23.03.2017) «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных».