Практика застосування закону «Про захист персональних даних» засвідчила наявність в документі прогалин, що унеможливлюють безумовне виконання його норм, що може спричинити безпідставне притягнення до адміністративної та кримінальної відповідальності посадових осіб власників баз персональних даних. Так вважають у Федерації профспілок України.
Зазначають, що законом не сформульовано мету обробки персональних даних, в багатьох нормах він має відсилки на інші нормативно-правові акти, які ще не прийняті. Також зазначають, що у документі відсутні норми, які б розкривали і конкретизували їх застосування окремими категоріями суб'єктів (громадські організації, в тому числі профспілкові). У Федерації профспілок зазначають, що в законі немає вичерпного переліку відомостей, що належать до персональних даних, відсутня чітка процедура знищення персональних даних, не передбачено, які умови повинен створити володілець бази даних для належного захисту персональних даних тощо.
«Особливо проблемним є виконання норм цього Закону первинними профспілковими організаціями, які діють на підприємствах, в установах, організаціях, оскільки їх керівники виконують свої обов'язки, як правило, на громадських засадах і не мають матеріального ресурсу для забезпечення дотримання його вимог», - зазначають у ФПУ.
У профспілках стурбовані тим, що незважаючи на прогалини в нормативно-правовій базі, з 1 січня 2012 р. вже встановлюється персональна юридична відповідальність за порушення вимог щодо реєстрації та обробки баз даних та затверджено план проведення перевірок власників та розпорядників баз персональних даних щодо дотримання вимог закону.
У ФПУ пропонують ініціювати перегляд положень документа для спрощення бюрократичних процедур, а набуття чинності законом відтермінувати.