Datatillsynet har publicerat riktlinjer för besökarregistrering och smittspårning med anledning av COVID-19. Av riktlinjerna framgår bland annat att de mest relevanta rättsliga grunderna för behandling av besökares personuppgifter är att behandlingen är nödvändig för att utföra en uppgift av allmänt intresse eller att behandlingen är nödvändig för den personuppgiftsansvariges berättigade intressen. Datatilsynet betonade vidare att samtycke från den enskilda besökaren också kan vara en aktuell rättslig grund för behandling, men att samtycket då måste vara helt frivilligt, vilket innebär att ett samtycke som ges under påtryckning eller för att undvika negativa konsekvenser är inte giltigt.
Därutöver betonar Datatilsynet vikten av uppgiftsminimering (att namn, kontaktuppgifter och den tidsperiod som enskilda personer har vistats i verksamheten normalt är tillräckligt), informationssäkerhet (att den enskilda verksamheten måste säkerställa att behandlad information lagras säkert, att obehöriga inte kan komma åt informationen och att informationen, om tillämpligt, måste överföras på ett säkert sätt till aktuella myndigheter), och att varje personuppgiftsansvarig måste se till att personuppgifter inte lagras längre än vad som är nödvändigt för smittspårningen (vilket normalt inte överstiger 10 dagar och att undantag till denna lagringsperiod måste vara särskilt motiverad).