W odniesieniu do obecnie obowiązujących przepisów ustawy o ochronie danych osobowych należy wskazać, że istnieją przepisy statuujące odpowiedzialność karną administratora bezpieczeństwa informacji w szczególności w odniesieniu do przestępstw stypizowanych w:

- art. 49 ustawy o ochronie danych osobowych (przetwarzanie danych osobowych w zbiorze danych choć ich przetwarzanie jest niedopuszczalne albo nie posiada się uprawnień do tego przetwarzania),

- art. 51 ustawy o ochronie danych osobowych (umożliwienie dostępu do zbioru danych osobowych/danych osobowych osobom nieupoważnionym),

- art. 52 ustawy o ochronie danych osobowych (naruszenie, choćby nieumyślne, obowiązku zabezpieczenia ich przed zabraniem przez osobą nieuprawnioną, uszkodzeniem lub zniszczeniem),

- art. 54a ustawy o ochronie danych osobowych (udaremnianie lub utrudnianie wykonania czynności kontrolnej inspektorowi),  

W odniesieniu do pozostałych przestępstw stypizowanych w ustawie o ochronie danych osobowych a to w:

- art. 53 ustawy (niezgłoszenie zbioru danych osobowych do rejestru danych osobowych przez osobę administrującą danymi osobowymi),

- art. 54 ustawy (brak poinformowania przez osobę administrującą zbiorem danych osobę, której dane dotyczą, o jej prawach, lub przekazanie tej osobie informacji umożliwiających korzystanie z praw przyznanych jej w niniejszej ustawie),

przyjmuje się zasadniczo, że odpowiedzialność karna dotyczy wyłącznie administratora danych osobowych (zatem nie administratora bezpieczeństwa informacji).

Kary przewidziane za wskazane wyżej przestępstwa to:

- kara grzywny,

- kara ograniczenia wolności,

- kara pozbawienia wolności (maksymalna przewidziana przez ustawę wynosi pozbawienie wolności do lat 3).