Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO) (Dz.Urz.UE.L. z 2016 r. Nr 119, s. 1 ze zm.) wymaga ochrony danych osobowych osób fizycznych.
Wprowadzone u pracodawcy zasady dotyczące ochrony pracowników w związku z przetwarzaniem ich danych osobowych, nie mogą naruszać praw tych osób.
Polityka ochrony danych obowiązująca u pracodawcy musi uwzględniać specyfikę danego zakładu. Jeżeli komórka kadrowo-płacowa znajduje się w innym miejscu niż składane są podpisy na listach obecności i droga przesyłania list w wiadomościach e-mail jest w tym wypadku najszybsza, należy w odpowiedni sposób określić zasady postępowania z takimi mailami, sposób ich oznaczania i osobę lub osoby odpowiedzialne za wysyłanie i odbieranie maili. Chodzi o to, aby lista obecności z danymi osobowymi pracowników nie była wysyłana w sposób dowolny, aby nie dochodziło do dostępu do listy osób nieupoważnionych.
Postępowanie z listą obecności ma być określone w taki sposób, by trafiała ona bezpośrednio do osoby odpowiedzialnej za przetwarzanie informacji w tej liście.