Zagadnienia związane z ochroną danych osobowych reguluje przede wszystkim ustawa z 29 sierpnia 1997r. o ochronie danych osobowych (dalej: ODOU) oraz wydane na jej podstawie rozporządzenia.
System sankcji związanych z naruszeniem przepisów ODOU oparty został na przepisach karnych. Penalizowane jest przetwarzanie danych przez nieuprawnionego, udostępnianie danych osobom nieuprawnionym, naruszenie obowiązku zabezpieczenia danych, niezgłoszenie danych do rejestru, niedopełnienie obowiązków informacyjnych oraz udaremnianie czynności kontrolnych. W zależności od rodzaju naruszenia – ustawa przewiduje karę grzywny, ograniczenia wolności, a nawet – pozbawienia wolności do lat trzech.
Odpowiedzialności karnej podlegają konkretne osoby fizyczne, którym ta odpowiedzialność może zostać przypisana, według zasad przewidzianych w prawie karnym materialnym i procesowym. W związku z charakterem wykonywanej pracy, opierającej się w znaczącym stopniu na przetwarzaniu i dostępie do danych osobowych - osobami najbardziej narażonymi na poniesienie odpowiedzialności karnej są m.in. administratorzy bezpieczeństwa informacji, pracownicy działów sprzedaży, czy też działów HR. W praktyce przepisy te nie są jednak zasadniczo stosowane.
Zgodnie z art. 23 Kodeksu cywilnego jednym z podlegających ochronie dóbr osobistych jest prawo do prywatności. W pojęciu tym mieści się prawo do ochrony danych osobowych. Prawo to realizowane może być (zgodnie z art. 24 k.c.) m.in. poprzez żądanie zaniechania naruszenia, żądanie dopełnienia czynności, mających na celu usunięcie jego skutków, żądanie zadośćuczynienia pieniężnego lub naprawienie powstałej szkody.
Teraz jest grzywna
Finansowa odpowiedzialność administracyjnoprawna przewidziana za naruszenie ustawy o ochronie danych osobowych jest obecnie ograniczona. Generalny inspektor ochrony danych osobowych może nałożyć tzw. grzywnę przymuszającą na przedsiębiorcę jedynie, gdy stwierdzi niewykonanie przez przedsiębiorcę obowiązków nałożonych na niego w decyzji wydanej uprzednio przez GIODO. Wysokość grzywny reguluje ustawa z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji. Każdorazowo nałożona grzywna nie może przekraczać kwoty 10 tys. zł w stosunku do osób fizycznych, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej - kwoty 50 tys. zł. Grzywny nakładane wielokrotnie nie mogą łącznie przekroczyć kwoty 50 tys. zł, a w stosunku do osób prawnych i jednostek organizacyjnych nieposiadających osobowości prawnej – kwoty 200 tys. zł.