Ustawa o Policji nie wyłącza generalnie stosowania przepisów ustawy o ochronie danych osobowych. Decyzje wydane przez policję podlegają kontroli generalnego inspektora ochrony danych osobowych i sądu. Tak orzekł Naczelny Sąd Administracyjny w dwóch wyrokach dotyczących przetwarzania danych osobowych przez policję.
Zgodnie z art. 20 ust. 2a ustawy o Policji może ona uzyskiwać i wykorzystywać informacje, w tym dane o osobach podejrzanych o popełnienie przestępstw, ściganych z oskarżenia publicznego, nieletnich dopuszczających się czynów zabronionych, o zaginionych i poszukiwanych. Może je też przechowywać w Krajowym Systemie Informacyjnym Policji (KSIP). Równolegle z tym przepisem funkcjonuje jednak art. 33 ust. 1 ustawy o ochronie danych osobowych. Przewiduje, że na wniosek osoby zainteresowanej administrator danych jest obowiązany udzielić informacji o celu, zakresie i sposobie ich przetwarzania.
Powołując się na ten przepis, Roman P. (dane zmienione) wystąpił do komendanta głównego policji o informację, czy policja przetwarza, i w jakim celu, jego dane. KGP odmówił, ale GIODO nakazał udostępnić te informacje. W ocenie GIODO komendant główny policji nie wskazał konkretnych powodów uzasadniających odmowę udzielenia informacji.
W drugiej sprawie GIODO zobowiązał organy policji do usunięcia danych osobowych Pawła Z. (dane zmienione) z KSIP. Paweł Z. został skazany na ograniczenie wolności. W 2011 r. nastąpiło zatarcie skazania, ale jego dane wciąż figurowały w KSIP.
Wojewódzki Sąd Administracyjny w Warszawie uwzględnił skargi KGP i uchylił decyzje GIODO. Naczelny Sąd Administracyjny, przed którym radca prawny Piotr Wójcik bronił skarg kasacyjnych GIODO wniesionych w obu sprawach, uznał wyroki WSA za zgodne z prawem. W ocenie NSA przepisy ustawy o Policji są lex specialis w stosunku do ustawy o ochronie danych osobowych.