Nieprzestrzeganie przepisów prawa wynikających z ustawy o ochronie danych osobowych może być powodem znacznych dolegliwości finansowych. Ustawa przewiduje też kary ograniczenia, czy też nawet pozbawienia wolności. W 2000 roku w Łodzi tamtejszu Sąd Okręgowy wydał wyrok, który nazywano wówczas precedensowym. Za niezgodne z prawem przetwarzanie danych osobowych sędziowie skazali LG Petro Bank. Poszkodowanymi w tej sprawie byli niedoszli klienci banku. Starali się oni o kredyt w tym banku. Po długotrwałych zabiegach o pozyskanie tego kredyta i odmownej odpowiedzi banku, zażądali oni zwrotu wszelkich przekazanych wcześniej przez siebie dokumentów. Bank tego żądania nie był w stanie spełnić, więc niedoszli klienci zażądali zniszczenia swoich danych osobowych. Do zniszczenia tych danych nie doszło, ponieważ bank przesłał kilka miesięcy później byłym klientom życzenia świąteczne. Najprawdopodobniej doszło do tego wskutek zaniedbań i niedociągnięć w banku. Państwo D. Złożyli więc skargę w Generalnych Inspektoracie Ochrony Danych Osobowych, a także złożyli cywilny pozew do sądu. Sąd przyznał rację niedoszłym klientom. Nakazał bankowi wypłatę 20 tysięcy złotych zadośćuczynienia, oraz zobligował bank do przeproszenia państwa D. na łamach prasy.1 Bank zapowiedział wówczas odwołanie od tej decyzji sądu. To doskonały przykład tego, że prawo stanowiące o ochronie danych osobowych w Polsce nie jest prawem tylko na papierze, a swoich praw zapisanych w ustawie można domagać się za pomocą sądów. Ostatnie lata przyniosły nowelizację ustawy o ochronie danych osobowych w kwestii karania podmiotów niezgodnie z prawem przetwarzających dane osobowe. Zgodnie ze zmianami, od 7. marca 2011 roku Generalny Inspektorat Ochrony Danych Osobowych może za pomocą grzywien zmuszać wszelkie podmioty do wykonywania decyzji administracyjnych. Błędy w dokumentacji, jej brak czy naruszenie przepisów ustawy o ochronie danych osobowych może skutkować nałożeniem grzywny:

• dla osób prawnych do 50 000 zł za uchybienie (nie więcej niż 200 000 zł w jednym postępowaniu egzekucyjnym)
• dla osób fizycznych do 10 000 zł za uchybienie (nie więcej niż 50 000 zł w jednym postępowaniu egzekucyjnym)2  O przepisach karnych związanych z ochroną danych osobowych mówi ósmy rozdział ustawy. „Kto przetwarza w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne albo do których przetwarzania nie jest uprawniony, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.” To pierwszy artykuł tegoż rozdziału, regulujący najważniejsze możliwości ukarania podmiotu, który dopuścił się łamania przepisów prawa. Kara pozbawienia wolności za to przestępstwo może wzrosnąć nawet do trzech lat, w przypadku jeśli dane osobowe (udostępnione lub przetwarzane niezgodnie z prawem, bez uprawnień) ujawniają pochodzenie etniczne lub rasowe, przekonania religijne, filozoficzne, polityczne, przynależność związkowe, lub też dane o stanie zdrowia, nałogach, życiu seksualnym. Ustawodawca przewidział bardziej surową karę dla korzystających niezgodnie z prawem z posiadania danych osobowych szczególnie intymnych czy też wstydliwych. Kolejne artykuły ustawy o ochronie danych osobowych to informacja na temat wysokości grożącej kary za poszczególne przewinienia. Grzywna, kara ograniczenia wolności lub jej pozbawienia do roku grozi administratorowi danych, który przechowuje w zbiorze dane niezgodnie z celem utworzenia zbioru. Przykładem może być sytuacja, w której firma zebrała dane od kandydatów do pracy w danej firmie, a wykorzystała później te dane w celach marketingowych czy promocyjnych. Natomiast za udostępnianie danych osobom nieupoważnionym, administrator danych może liczyć się z karą nawet dwóch lat więzienia. Kara ta jest o połowę niższa w przypadku takiego samego zdarzenia, ale popełnionego nieumyślnie lub nieświadomie. Kary, które szczegółowo reguluje ustawa dotyczą też niezgłoszenia do rejestru zbioru danych swojej bazy, mimo ustawowego obowiązku, oraz niepoinformowania osoby, której dane dotyczą, o jej prawach czy też nieprzekazania jej informacji o swoich prawach. Najczęściej powtarzającym się zagrożeniem kary w ustawie o ochronie danych osobowych jest grzywna, kara ograniczenia lub pozbawienia wolności do roku. Wykrywaniem nieprawidłowości przy przechowywaniu czy przetwarzaniu danych osobowych zajmują się omówione już wcześniej służby Generalnego Inspektora Ochrony Danych Osobowych. Wymierzenie kary to już natomiast kwestia innych instytucji. Inspekcja, na wniosek osoby poszkodowanej czy też z urzędu, może nakazać:
• usunięcie uchybień,
• uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
• zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
• zabezpieczenie danych lub przekazanie ich innym podmiotom- usunięcie danych osobowych.3 Generalny Inspektor Ochrony Danych Osobowych nie ma uprawnień do karania podmiotów za przestępstwa wynikające z ustawy o ochronie danych osobowych. Karanie osób nieprzestrzegających przepisów zajmuje się sąd. Inspekcja natomiast, w przypadku stwierdzenia nieprawidłowości (wyczerpujących znamiona przestępstwa, zgodnie z ustawą) zawiadamia o uzasadnionym podejrzeniu popełnienia przestępstwa prokuraturę. Do zawiadomienia dołączone muszą być dowody dokumentujące owe podejrzenie. Tax Care – pierwsza w Polsce firma podpowiadająca małym i średnim przedsiębiorstwom innowacyjne rozwiązania finansowe informuje, że niewielkie firmy często wychodzą z założenia, że kwestia ochrony danych osobowych ich nie dotyczy.4 To istotny błąd, który bardzo często kończy się nałożeniem kar na te podmioty. Dotyczy to nawet jednoosobowych działalności gospodarczych. Ustawa o ochronie danych osobowych zastrzega, że jej przepisy dotyczą nie tylko instytucji publicznych, ale też podmiotów sektora prywatnego. To natomiast nie tylko spółki prawa handlowego czy duże korporacje, ale też niewielkie, rodzinne firmy. Jednoosobowe przedsiębiorstwo, które nie zatrudnia pracowników, wydaje się być miejscem gdzie nie ma tematu ochrony danych osobowych. W rzeczywistości, nawet tak mała firma ma listę np. stałych klientów czy kontrahentów. Ta lista to już zbiór danych w rozumieniu ustawy, należy więc ją w sposób szczególny chronić Nie tylko w Polsce, ale na całym świecie, wysokość kar za nieprzestrzeganie przepisów o ochronie danych osobowych budzi wiele emocji. Zdaniem części komentatorów, kary są zbyt wysokie, zdaniem innych – zbyt niskie. Komisja Europejska jest bliższa tej drugiej opinii. Trwają bowiem pracą nad zmianą przepisów, zaostrzającą dziś obowiązujące kary. Za nieprzestrzegania przepisów ustawowych grzywna miałaby wynosić nawet milion euro lub 5% rocznego dochodu firmy. To propozycja, która ma stać się aktem prawnym w całej Unii Europejskiej w ciągu pięciu lat.5 Dziś jeszcze kary te są niższe, ale mimo to branżowe media przestrzegają i uczą rodzimych przedsiębiorców prawidłowej ochrony danych osobowych. Eksperci mówią o karach dla przedsiębiorców w wysokości do dwustu tysięcy złotych, za nieodpowiednie zabezpieczenie danych przed wyciekiem do internetu. Konsekwencje finansowe dla firmy to tylko jedna strona tego zagadnienia. Kolejne, co może być nie mniej bolesne, to strata wizerunkowa. Klienci mogą bowiem nie chcieć korzystać z usług firm, które nie są w stanie zapewnić bezpieczeństwa dla posiadanych danych osobowych.