Działania GIODO w zakresie usunięcia niezgodnego z prawem przetwarzania danych osobowych wynikają bezpośrednio z ustawy i uprawnienia GIODO nie budą większych wątpliwości interpretacyjnych. Odmiennie przedstawia się sytuacja w przypadku wykrycia przez osobę trzecią niezgodnego z prawem przetwarzania danych osobowych. Osoba taka sama może bowiem narazić się na odpowiedzialność za przetwarzanie danych osobowych w sposób niezgodny z prawem w przypadku przypadkowego pozyskania zbioru danych. Dotyczy to szczególnie podmiotów, które zajmują się wykrywaniem i zwalczaniem zagrożeń cybernetycznych. Podczas swoich działań w Internecie napotykają one na fragmenty, a nawet całe bazy danych, mogące zawierać dane osobowe. Bazy takie udostępniane są niezgodnie z prawem na forach lub sieciach znanych określonemu kręgowi osób. Problem nie powstaje, gdy informacja o przetwarzaniu danych osobowych niezgodnym z prawem zostaje natychmiast przekazana administratorowi danych, podmiotowi danych, GIODO lub organom ścigania, a przypadkowo pozyskane dane są usuwane. W przypadku jednak, gdy administrator danych nie reaguje na zgłoszenie problemu, a poinformowanie wszystkich osób z rozległej bazy danych o niezgodnym z prawem przetwarzaniu ich danych osobowych jest praktycznie niemożliwe, to pozostaje przekazanie informacji o takim przetwarzaniu organom ścigania lub GIODO. Zwykle jednak taka baza danych może nie być dostępna dla GIODO czy organów ścigania albo jej lokalizacja uległa zmianie, a dowodów na nielegalne działanie brak, poza bazą danych, którą pozyskał podmiot podczas swoich działań operacyjnych w Internecie.
Samo przechowywanie dowodu w postaci bazy danych osobowych i jej dalsze udostępnienie administratorowi tych danych, GIODO, czy organom ścigania stanowi również przetwarzanie tych danych. Dopóki mamy do czynienia z danymi osobowymi innymi niż tzw. wrażliwe dane osobowe, np. informacja o stanie zdrowia, przekonaniach religijnych, to w zasadzie podstawę do ich choćby chwilowego przetwarzania stanowić może art. 23 ust. 3 Ustawy o ochronie danych osobowych („UODO"). W myśl tego przepisu można przetwarzać dane osobowe bez zgody osoby, której one dotyczą do czasu, gdy uzyskanie zgody będzie możliwe, o ile przetwarzanie danych jest niezbędne dla ochrony żywotnych interesów osoby, której dane dotyczą, a uzyskanie zgody jest niemożliwe. Ochrona samych danych osobowych, a nawet szerzej – dobra osobistego w postaci prywatności przemawiają w takiej sytuacji za dopuszczalnością przetwarzania danych osobowych w powyższym zakresie.
Wyłączeń takich nie zawiera art. 27 UODO, dotyczący danych osobowych wrażliwych, a niestety często takie dane dostępne są nielegalnie w Internecie. Na podstawie art. 49 UODO, gdy dochodzi do przetwarzania w zbiorze danych osobowych, których przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony ów podmiot, a przetwarzanie dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, podmiot ten podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Dopóki podmiot, który przypadkowo pozyskał bazę danych i nie ma wiedzy na temat tego, co się w niej znajduje, bądź w sytuacji, gdy dane te znajdują się w postaci nieuporządkowanej niepozwalającej na przyjęcie, że mamy do czynienia ze zbiorem danych, to trudno mówić o odpowiedzialności za nielegalne przetwarzanie danych osobowych. Dopiero po zmianie tych okoliczności mamy do czynienia z ewentualną odpowiedzialnością karną. W przypadku, gdy świadomość o pozyskaniu zbioru danych osobowych istniała od samego początku, to niedopuszczalne będzie jakiekolwiek przechowywanie takiego zbioru. Zbiór taki najlepiej przekazać organom ścigania i usunąć ze swoich zasobów.
W sytuacjach wątpliwych można rozważać zastosowanie do wyłączenia odpowiedzialności karnej osoby, która przypadkowo pozyskała zbiór danych, na podstawie art. 116 Kodeksu karnego, przepisów ogólnych Kodeksu karnego. W szczególności na podstawie art. 30 Kodeksu karnego nie popełnia przestępstwa, kto dopuszcza się czynu zabronionego w usprawiedliwionej nieświadomości jego bezprawności. Według niektórych poglądów doktryny prawa karnego, błąd co do prawa wyłącza winę i odpowiedzialność karną, jeśli jest usprawiedliwiony; „dla dokonania takiej oceny należy posłużyć się kryterium miarodajnego obywatela, który - będąc w sytuacji sprawcy - także nie miałby świadomości bezprawności czynu; wówczas błąd taki można by usprawiedliwić" (tak: Ćwiąkalski, Błąd co do bezprawności). Sytuacje pozwalające na zastosowanie takiego wyłączenia będą mogły mieć zastosowanie wyjątkowo.
Inne wyłączenie odpowiedzialności dotyczy tzw. stanu wyższej konieczności. W myśl art.. 26 Kodeksu karnego nie popełnia przestępstwa, kto działa w celu uchylenia bezpośredniego niebezpieczeństwa grożącego jakiemukolwiek dobru chronionemu prawem, jeżeli niebezpieczeństwa nie można inaczej uniknąć, a dobro poświęcone przedstawia wartość niższą od dobra ratowanego." W wielu sytuacjach łatwo będzie wykazać, że dane osobowe i prywatność została narażona na zagrożenie ujawnienia wobec braku reakcji ze strony administratora lub braku możliwości poinformowania podmiotów danych, stąd działanie podmiotu, który pozyskał nielegalnie udostępniane w Internecie dane było konieczne, aby chronić tę prywatność przed dalszymi naruszeniami.
Według informacji publikowanych przez GIODO na 462 zawiadomienia do prokuratury złożone przez GIODO tylko 58 zakończyło się wysłaniem aktów oskarżenia do sądu (dane sprzed dwóch / trzech lat). W 2013 roku GIODO wysłał tylko 16 zawiadomień do organów ścigania, zaś w 2014 zaledwie 10. Liczby te nie są znaczące między innymi ze względu na brak po stronie organów ścigania i GIODO wystarczającej informacji na temat wykrytych przez osoby trzecie naruszeń w Internecie. Świadomość możliwości wyłączenia odpowiedzialności karnej w przypadku zgłoszenia takich przypadków z pewnością może wpłynąć na zwiększenie liczby zgłoszeń i tym samym większą skuteczność działania organów ścigania.