Dla analizy kwestii bezpieczeństwa i ochrony danych osobowych w telekomunikacji podstawowe znaczenie mają dyrektywy: 2002/58/WE – dotycząca przetwarzania danych osobowych i ochrony prywatności w sektorze łączności elektronicznej, 2002/21/WE – odnosząca się do wspólnych ram regulacyjnych sieci i usług łączności elektronicznej tzw. dyrektywa ramowa, dyrektywa 2002/58/WE -o prywatności i łączności elektronicznej oraz „najświeższe” dyrektywy zmieniające: 2009/136/WE – dotycząca praw obywateli do prywatności i łączności elektronicznej oraz 2009/140/WE 140 z 2009 r. w sprawie lepszych uregulowań prawnych o sieci i usługach łączności elektronicznej. Zmiany te znalazły swoje odzwierciedlenie w nowelizacji Prawa telekomunikacyjnego. Wśród ważniejszych zmian wprowadzono m.in. udogodnienia dla korzystających z mobilnego Internetu polegających na obowiązku informowania przez dostawcę usług o przekroczeniu limitu transmisji danych oraz skrócenie o połowę okresu przechowywania danych o naszych połączeniach (zmiana retencji danych z 24 do 12 miesięcy). W zakresie zwiększenia ochrony prywatności i ochrony danych osobowych szczególne znaczenie mają zmiany w przepisach o cookies oraz wprowadzona konstrukcja zgłaszania przypadków naruszenia danych osobowych. W tym ostatnim przypadku na operatorów i dostawców Internetu zostały nałożone określone obowiązki związane z bezpiecznym przechowywaniem danych osobowych oraz działaniami na okoliczność „naruszenia danych osobowych”. Przez naruszenie danych osobowych rozumie się przypadkowe lub bezprawne zniszczenie, utratę (np. kradzież, zagubienie), zmianę, nieuprawnione ujawnienie lub dostęp do danych osobowych przetwarzanych przez przedsiębiorcę telekomunikacyjnego w związku ze świadczeniem publicznie dostępnych usług telekomunikacyjnych. Zdefiniowano również naruszenie danych osobowych, które może wywrzeć niekorzystny wpływ na prawa abonenta lub użytkownika końcowego będącego osobą fizyczną. Rozumiane jest jako naruszenie, które w szczególności może skutkować nieuprawnionym posługiwaniem się danymi osobowymi, szkodą majątkową, naruszeniem dóbr osobistych, ujawnieniem tajemnicy bankowej lub innej ustawowo chronionej tajemnicy zawodowej. W przypadkach takich naruszeń dostawca musi zgłosić ten fakt do właściwego organu krajowego. Jest nim krajowy urząd ochrony danych osobowych lub regulator rynku telekomunikacyjnego. W projekcie zmian Prawa telekomunikacyjnego właściwym organem do przesyłania przez dostawcę publicznie dostępnych usług telekomunikacyjnych informacji o naruszeniach jest Generalny Inspektor Ochrony Danych Osobowych. GIODO został również upoważniony do wystąpień oraz wskazywania okoliczności, formy i sposobu dokonywania powiadomień o naruszeniach. Do sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych kontroli stosuje się przepisy ustawy o ochronie danych osobowych. Natomiast o naruszeniu bezpieczeństwa, integralności sieci lub usług, które miały istotny wpływ na ich funkcjonowanie, przedsiębiorcy telekomunikacyjni są zobowiązani informować Prezesa UKE.
„Techniczne środki wykonawcze” będące zbiorem praktycznych zasad proponowanych przez Komisję Europejską są uzupełnieniem obowiązujących przepisów odnoszących się do okoliczności, wzorów i procedur związanych z obowiązkiem powiadomień, o których była mowa powyżej. Są one przewidziane dla zapewnienia spójnego stosowania zasad dotyczących naruszenia danych osobowych we wszystkich państwach członkowskich a regulowane przez dyrektywę o prywatności i łączności elektronicznej. Kolejne zmiany wynikające z pakietu łączności elektronicznej odnoszą się do plików cookies instalowanych w komputerze użytkownika w czasie korzystania przez niego ze strony internetowej. Ich zastosowanie jest wszechstronne, w tym m.in. potwierdzenie, że użytkownik widział określone treści na danej stronie internetowej, przechowywanie wybranych przez użytkownika ustawień strony czy śledzenie jego ruchów w sieci. Stan prawny poprzedzający zmiany obejmował możliwość przechowywania danych informatycznych, w tym plików tekstowych w urządzeniu końcowym użytkownika z uwzględnieniem obowiązku poinformowania o celu przechowywania danych i o prawie sprzeciwu (opt-out). W projektowanych zmianach Prawa telekomunikacyjnego podmioty świadczące usługi telekomunikacyjne lub przedsiębiorcy telekomunikacyjni mogą przechowywać dane informatyczne (cookies) w urządzeniach użytkownika końcowego lub abonenta jeśli zostaną oni uprzednio w sposób w sposób łatwy i zrozumiały jednoznacznie oraz bezpośrednio poinformowani o celu przechowywania i dostępu do tych danych oraz o sposobach korzystania z ich zawartości. Użytkownik końcowy lub abonent będzie również poinformowany o możliwości określenia przez siebie warunków przetwarzania danych za pomocą ustawień oprogramowania zainstalowanego w wykorzystywanym przez niego urządzeniu końcowym lub konfiguracji usługi. Dopiero po uzyskaniu takich informacji może zostać wyrażona zgoda na cookies.