Przepisy ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych przewidują określoną odpowiedzialność karną za naruszenie zasad bezpieczeństwa ochrony danych osobowych. Szczegółowo zostało to wyszczególnione w rozdziale 8 ustawy.
Każdy kto przetwarza zawarte w zbiorze dane osobowe, choć ich przetwarzanie nie jest dopuszczalne może zostać ukarany karą grzywny, ograniczenia wolności bądź też pozbawienia wolności do 2 lat. Te same sankcje mają zastosowanie, w przypadku, gdy dana osoba przetwarza dane osobowe, do których przetwarzania nie jest uprawniona. Kara pozbawienia wolności może zostać rozszerzona do lat 3, w przypadku, gdy dane dotyczą m.in.: pochodzenia rasowego, etnicznego, przekonań religijnych, politycznych, stanu zdrowia, życia seksualnego. Jest to przestępstwo formalne, które jest ścigane z urzędu.
W przypadku, gdy osoba administrująca zbiorem danych, czy też będąca zobowiązana do ochrony danych osobowych udostępnia bądź umożliwia dostęp do danych innym osobom nieupoważnionym również podlega karze ograniczenia wolności, pozbawienia wolności do 2 lat lub grzywnie. Ustawodawca przewiduje niższą karę pozbawienia wolności do roku, w sytuacji gdy sprawca działał nieumyślnie.
Niedopełnienie obowiązku poinformowania osoby, której dane dotyczą, o przysługujących jej prawach czy też przekazanie jej informacji umożliwiających korzystanie z praw, również podlega karze. Karalne jest również nie zgłoszenie zbioru danych do rejestracji.
Przestępstwa określone w rozdziale 8 ustawy o ochronie danych osobowych mogą być popełnione zarówno poprzez działanie jak i zaniechanie.