1. Przepis art. 25 ustawy z dnia 22 maja 2003 r. o działalności ubezpieczeniowej nie stanowi podstawy prawnej dla udostępniania danych osobowych ubezpieczonego innym podmiotom, szczególnie w zakresie imienia, nazwiska, adresu zamieszkania w połączeniu z informacją o stopniu inwalidztwa. Po pierwsze dlatego, iż przepis ten dotyczy udzielania informacji zakładom ubezpieczeń przez inne podmioty, nie zaś przez zakład ubezpieczeń innym podmiotom. Po drugie art. 19 ust. 2 wskazanej ustawy, nie wymienia ww. podmiotów, jako tych, którym zakład ubezpieczeń może udzielać tego typu informacji przy jednoczesnym spełnieniu warunków wskazanych w tym przepisie.
2. W przypadku, gdy wyniki działania kontrolnego wskazują na to, iż działanie lub zaniechanie kierownika jednostki, jej pracownika lub innej osoby fizycznej będącej administratorem danych nosi znamiona przestępstwa, organ ma obowiązek skierowania zawiadomienia o popełnieniu przestępstwa do organu powołanego do ścigania przestępstw. Nie dokonuje tego jednak, jak w przypadku art. 18 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych w drodze decyzji administracyjnej, lecz w drodze wystąpienia, które stanowi realizację jego kompetencji w tej sprawie”.
