Art. 1 w/w aktu prawnego wyraźnie wskazuje, że każdy ma prawo do ochrony dotyczących go danych osobowych. Z drugiej jednak strony przetwarzanie danych osobowych może mieć miejsce ze względu na dobro publiczne, dobro osoby, której dane dotyczą, lub dobro osób trzecich w zakresie i trybie określonym ustawą. Zgodnie z wyrokiem WSA w Warszawie z dnia 20 kwietnia 2006 r. (sygn. akt II SA/Wa 2227/05), zadaniem ustawy o ochronie danych osobowych nie jest jedynie stanie na straży interesów tych, których przetwarzane dane osobowe dotyczą. Naczelną zasadą ustawy nie jest zakaz przetwarzania danych osobowych, lecz przestrzeganie zakresu i trybu ich przetwarzania. Odmienna wykładnia prowadziłaby do tego, że w oparciu o ustawę o dostępie do informacji publicznej legalnie można byłoby uzyskać dostęp do danych chronionych ustawą o ochronie danych osobowych. Dobrem publicznym może być ochrona dobrego imienia, prestiżu uczelni (obrona przed zarzutami stawianymi władzom uczelni). Jeżeli zatem sam skarżący publicznie podważa autorytet uczelni i jej władz, to informacja publiczna podana w obronie tych wartości zawierająca dane o procesach pracowniczych, może być uznana jako obrona dobrego imienia uczelni realizowana dla dobra publicznego.
Ustawa dosyć restrykcyjnie odnosi do kwestii nadużywania czy wręcz bezprawnego korzystania z cudzych danych osobowych. Jak stanowi art. 49 i n. – każdy kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli czyn taki dotyczy danych ujawniających pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, danych o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym, sprawca podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 3. Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2. Jeżeli sprawca działa nieumyślnie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku. Kto administrując zbiorem danych nie dopełnia obowiązku poinformowania osoby, której dane dotyczą, o jej prawach lub przekazania tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.
Wszystkie powyższe przestępstwa należą do kategorii przestępstw ściganych z urzędu, wystarczy zatem w przypadku naruszenia naszych danych zgłosić całą sprawę właściwym organom ściąganie – Policji lub Prokuraturze. Odpowiedzialność karna nie jest jednak jedynym rodzajem odpowiedzialności jaką może ponieść każdy kto bezprawnie przetwarza nasze dane osobowe. W praktyce możemy bowiem dosyć skutecznie dochodzić odszkodowania na gruncie przepisów Kodeksu cywilnego (dane osobowe należą do kategorii dóbr osobistych). Zgodnie z treścią art. 24 KC, ten, czyje dobro osobiste zostaje zagrożone cudzym działaniem, może żądać zaniechania tego działania, chyba że nie jest ono bezprawne. W razie dokonanego naruszenia może on także żądać, ażeby osoba, która dopuściła się naruszenia, dopełniła czynności potrzebnych do usunięcia jego skutków, w szczególności ażeby złożyła oświadczenie odpowiedniej treści i w odpowiedniej formie. Na zasadach przewidzianych w kodeksie może on również żądać zadośćuczynienia pieniężnego lub zapłaty odpowiedniej sumy pieniężnej na wskazany cel społeczny. Jeżeli wskutek naruszenia dobra osobistego została wyrządzona szkoda majątkowa, poszkodowany może żądać jej naprawienia na zasadach ogólnych. Z kolei art. 448 KC stanowi, że w razie naruszenia dobra osobistego sąd może przyznać temu, czyje dobro osobiste zostało naruszone, odpowiednią sumę tytułem zadośćuczynienia pieniężnego za doznaną krzywdę lub na jego żądanie zasądzić odpowiednią sumę pieniężną na wskazany przez niego cel społeczny, niezależnie od innych środków potrzebnych do usunięcia skutków naruszenia.