Przetwarzanie danych osobowych wiąże się z obowiązkiem stosowania określonych procedur mających na celu ochronę osób, których te dane dotyczą. To czy procedury te są przestrzegane podlega kontroli Generalnego Inspektora Ochrony Danych Osobowych. W ramach przeprowadzanej kontroli ma on m. in. prawo wglądu do zbioru zawierającego dane osobowe za pośrednictwem upoważnionego przedstawiciela kontrolowanej jednostki organizacyjnej. Może on również żądać wyjaśnień, przesłuchiwać osoby oraz uzyskać wgląd do dokumentów i danych mających bezpośredni związek z przedmiotem kontroli. Z przeprowadzanych czynności sporządzany jest protokół kontroli, który może zostać zakwestionowany przez podmiot kontrolowany poprzez odmowę jego podpisania oraz przedstawienie na piśmie w terminie 7 dni swojego stanowiska na temat kontroli GIODO.
W przypadku stwierdzenia przez GIODO naruszenia prawa, z urzędu bądź na wniosek podmiotu zainteresowanego (np. osoby, której dane osobowe zostały w sposób niezgodny z prawem wykorzystane), nakazuje on przywrócenie stanu zgodnego z prawem. Może to polegać m. in. na usunięciu uchybień, uzupełnieniu przetwarzanych danych czy też usunięciu określonych danych osobowych ze zbioru. GIODO może również w celu zapewnienia realizacji obowiązków o charakterze niepieniężnym nałożyć na podmioty zobowiązane środki egzekucyjne przewidziane przez ustawę o postępowaniu egzekucyjnym w administracji. Wśród sankcji przewidzianych przez ten akt prawny znajduje się m. in. grzywna w celu przymuszenia. W przypadku osób fizycznych grzywna taka może wynieść maksymalnie 10 000 zł, a gdy jest nakładana wielokrotnie nie może łącznie przekroczyć kwoty 50 000 zł. Dla osób prawnych oraz jednostek organizacyjnych nieposiadających osobowości prawnej górna granica grzywny jest wyższa i wynosi 50 000 zł, a w przypadku, gdy jest ona nakładana wielokrotnie, łącznie nie może wynieść więcej niż 200 000 zł. Nieprzestrzeganie przepisów dotyczących przetwarzania danych osobowych może również skutkować odpowiedzialnością karną. Przepisy karne przewidują za to karę grzywny, karę ograniczenia wolności oraz karę pozbawienia wolności do lat 2.
W 2012 roku Państwowa Inspekcja Pracy oraz Biuro Generalnego Inspektora Ochrony Danych Osobowych zawarły porozumienie, którego celem jest podniesienie skuteczności działań na rzecz ochrony danych osobowych. Zgodnie z jego treścią, jeżeli w ramach przeprowadzanej kontroli PIP dostrzeże nieprawidłowości przy przetwarzaniu danych osobowych, zobowiązana jest o tym zawiadomić GIODO. Również GIODO w ramach przeprowadzanej kontroli jest zobowiązany zawiadomić PIP o dostrzeżonych nieprawidłowościach w zakresie przestrzegania przepisów prawa pracy. W związku z tym, że liczba kontroli przeprowadzanych przez GIODO była wielokrotnie mniejsza niż tych przeprowadzanych przez PIP, sytuacja ta doprowadziła zwiększenia prawdopodobieństwa nieprawidłowości przy przetwarzaniu danych osobowych.