Na straży ochrony danych osobowych stoi organ nadzorczy – Urząd Ochrony Danych Osobowych z Prezesem Urzędu na czele. RODO oraz krajowa ustawa jasno określają zadania i uprawnienia nowego urzędu.

Urząd Ochrony Danych Osobowych – co to takiego?

Zgodnie z nowymi przepisami unijnego rozporządzenia o ochronie danych osobowych RODO każde państwo członkowskie musi zapewnić właściwe monitorowanie przestrzegania przepisów. Ustawodawca unijny pozostawia krajom członkowskim dużą swobodę w tworzeniu organów nadzorczych. Zastrzega jednak, że musi to być co najmniej jeden, niezależny, organ publiczny. W Polsce, 25 maja 2018 roku, powstał Urząd Ochrony Danych Osobowych (UODO).

Niezależność organu nadzorczego jest jednym z fundamentów europejskiego systemu ochrony danych osobowych. Dlatego tak ważne jest, aby członkowie UODO byli wolni od bezpośrednich i pośrednich wpływów zewnętrznych. Wynika to wprost z rozporządzenia unijnego RODO (art. 52 oraz motyw 121 preambuły do RODO), którego przepisy mówią, że członkowie powinni powstrzymywać się od wszelkich czynności niezgodnych ze swoimi obowiązkami i nie powinni podczas swojej kadencji podejmować innych zajęć zarobkowych i niezarobkowych.

Zadaniem państwa jest zapewnienie Urzędowi Ochrony Danych Osobowych możliwości dysponowania zasobami kadrowymi, technicznymi i finansowymi, pomieszczeniami i infrastrukturą niezbędnymi do wykonywania swoich obowiązków. Prezes Urzędu samodzielnie decyduje o wyborze odpowiedniego personelu UODO.

Urząd Ochrony Danych Osobowych monitoruje przetwarzanie danych osobowych na terytorium Polski, gdy:

  • przetwarzanie danych osobowych dokonują organy publiczne Polski;
  • przetwarzanie danych osobowych dokonują podmioty prywatne, a przetwarzanie jest niezbędne do wypełnienia obowiązku prawnego ciążącego na administratorze;
  • przetwarzania danych osobowych dokonują podmioty prywatne, a przetwarzanie jest niezbędne do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej takiemu administratorowi.

Urząd Ochrony Danych Osobowych – najważniejsze zadania:

Najważniejsze zadania Urzędu Ochrony Danych Osobowych:

  • monitorowanie i egzekwowanie stosowania przepisów o ochronie danych osobowych;
  • upowszechnianie w społeczeństwie wiedzy o ryzyku, przepisach, zabezpieczeniach i prawach związanych z przetwarzaniem oraz rozumienie tych zjawisk (szczególnie działania dotyczące dzieci);
  • upowszechnianie wśród administratorów i podmiotów przetwarzających wiedzy dotyczącej przepisów o ochronie danych osobowych;
  • doradzanie (zgodnie z przepisami krajowymi) parlamentowi narodowemu, rządowi oraz innym instytucjom i organom w sprawie aktów prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związku z przetwarzaniem;
  • udzielanie informacji osobom, których dane dotyczą o ich prawach przysługujących z mocy przepisów prawa i kiedy zachodzi taka konieczność, współpraca z organami nadzorczymi z innych państw członkowskich;
  • rozpatrywanie skarg wnoszonych przez osoby, których dane dotyczą lub przez inne podmioty, organizacje, zrzeszenia;
  • współpraca z innymi organami nadzorczymi, świadczenie wzajemnej pomocy, wymiana informacji w celu egzekwowania rozporządzenia unijnego RODO;
  • prowadzenie postępowań w sprawie stosowania przepisów o ochronie danych osobowych, również na podstawie otrzymanych informacji od innego organu nadzorczego lub innego organu publicznego;
  • monitorowanie zmian w stosownych dziedzinach mających wpływ na ochronę danych osobowych, w szczególności monitorowanie rozwoju technologii informacyjno-komunikacyjnych i praktyk handlowych;
  • prowadzenie wykazu rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych (DPIA) oraz udzielanie zaleceń w procedurze wcześniejszych konsultacji;
  • zachęcanie do tworzenia kodeksów postępowania, wydawanie na ich temat opinii oraz zatwierdzanie tych kodeksów;
  • zachęcanie do ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń z tej dziedziny, a także zatwierdzanie kryteriów certyfikacji;
  • opracowywanie i publikowanie kryteriów akredytacji podmiotów monitorujących kodeksy postępowania oraz podmiotów certyfikujących;
  • prowadzenie wewnętrznego rejestru naruszeń na podstawie przekazywanych informacji przez administratorów;
  • branie udziału w pracach Europejskiej Rady Ochrony Danych (EROD) oraz współpraca z innymi organami nadzorczymi;

Urząd Ochrony Danych Osobowych – uprawnienia

  • weryfikowanie w trakcie postępowania, czy działania administratora danych lub podmiotu przetwarzającego są zgodne z przepisami prawa. W przypadku stwierdzenia nieprawidłowości UODO ma możliwość sformułowania odpowiedniego wniosku;
  • nakazanie administratorowi danych i podmiotowi przetwarzającemu lub ich przedstawicielom dostarczenia informacji potrzebnych UODO do wykonywania swoich zadań;
  • prowadzenie postępowania w formie audytów ochrony danych osobowych;
  • dokonywanie przeglądu udzielonych certyfikacji (dot. certyfikacji udzielonej na podstawie art. 42 RODO). W czasie dokonywania przeglądu certyfikacji UODO może cofnąć udzielenia jej w sytuacji, kiedy podmiot przetwarzający nie spełnia lub przestał spełniać wymogi certyfikacji;
  • zawiadomienie administratora danych lub podmiotu przetwarzającego o podejrzeniu naruszenia rozporządzenia o ochronie danych osobowych RODO;
  • uzyskanie od administratora danych lub podmiotu przetwarzającego dostępu do wszelkich danych osobowych i wszelkich informacji niezbędnych do pełnienia zadań Urzędu. Zakres przedmiotowy obowiązku wyznaczany jest każdorazowo przez Urząd;
  • uzyskanie dostępu do pomieszczeń administratora danych i podmiotu przetwarzającego oraz do sprzętu i środków służących do przetwarzania danych osobowych. Zakres przedmiotowy obowiązku wyznaczany jest każdorazowo przez Urząd.

Urząd Ochrony Danych Osobowych posiada również tzw. uprawnienia naprawcze:

  • wydawanie ostrzeżenia – dotyczące możliwości naruszenia przepisów RODO;
  • udzielanie upomnień – w przypadku naruszenia przepisów RODO. Motyw 148 preambuły do RODO rozszerza informacje dotyczące możliwości udzielenia upomnienia: “jeżeli naruszenie jest niewielkie lub jeżeli grożąca kara pieniężna stanowiłaby dla osoby fizycznej nieproporcjonalne obciążenie, można zamiast tego udzielić upomnienia. Powinno się jednak zwrócić należytą uwagę na charakter, wagę oraz czas trwania naruszenia, na to, czy naruszenie nie było umyślne, na działania podjęte dla zminimalizowania szkody, na stopień odpowiedzialności lub wszelkie mające znaczenie wcześniejsze naruszenia, na sposób w jaki organ nadzorczy dowiedział się o naruszeniu, na przestrzeganie środków nałożonych na administratora lub podmiot przetwarzający, na stosowanie kodeksów postępowania oraz wszelkie inne czynniki obciążające lub łagodzące”;
  • nakazanie spełnienia żądania osoby, której dane dotyczą – na mocy prawa tych osób, wynikającego wprost z RODO;
  • nakazanie dostosowania przetwarzania do RODO;
  • nakazanie zawiadomienia osoby, której dane dotyczą o naruszeniu ochrony danych osobowych;
  • nakazanie sprostowania lub usunięcia danych osobowych lub ograniczenia ich przetwarzania  lub nakazanie powiadomienia o tych czynnościach odbiorców, którym dane osobowe ujawniono;
  • nakazanie zawieszenia przepływu danych do odbiorcy w państwie trzecim lub do organizacji międzynarodowej;
  • zastosowanie kary pieniężnej, na mocy art. 83 RODO.

Urząd Ochrony Danych Osobowych  może wydawać szereg zezwoleń oraz porad:

  • udzielanie porad administratorowi zgodnie z procedurą uprzednich konsultacji;
  • zezwolenie na przetwarzanie;
  • zatwierdzenie projektów kodeksów postępowania;\
  • akredytowanie podmiotów certyfikujących;
  • udzielanie certyfikacji i zatwierdzanie kryteriów certyfikacji;
  • przyjmowanie standardowych klauzul ochrony danych;
  • zezwolenie na klauzule umowne;
  • zezwolenie na uzgodnienia administracyjne;
  • zatwierdzenie wiążących reguł korporacyjnych;
  • wydawanie opinii związanych z ochroną danych osobowych dla parlamentu europejskiego, rządu państwa członkowskiego lub innych instytucji i organów oraz dla całego społeczeństwa.

Urząd Ochrony Danych Osobowych ma obowiązek sporządzania corocznego sprawozdania ze swojej działalności.

Szef Urzędu Ochrony Danych Osobowych

Na czele Urzędu Ochrony Danych Osobowych stoi Prezes Urzędu, którego powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu Rzeczypospolitej Polskiej.

Przepisy ogólnego rozporządzenia unijnego o ochronie danych osobowych RODO zastrzegają jednak, żeby osoba stojąca na czele organu nadzorczego musiała posiadać odpowiednie kwalifikacje, doświadczenie oraz umiejętności w szeroko pojętej dziedzinie ochrony danych osobowych, które są niezbędne do wykonywania swoich obowiązków i uprawnień.

Szerzej na temat funkcji Prezesa Urzędu mówi ustawa z 10 maja 2018 roku o ochronie danych osobowych, zgodnie z którą…

Szefem UODO może być osoba, która:

  • posiada polskie obywatelstwo;
  • posiada wyższe wykształcenie;
  • wyróżnia się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych osobowych;
  • korzysta z pełni praw publicznych;
  • nie była skazana prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
  • posiada nieposzlakowaną opinię;
  • nie może zajmować innego stanowiska, z wyjątkiem stanowiska dydaktycznego, naukowo-dydaktycznego lub naukowego w szkole wyższej, Polskiej Akademii Nauk, instytucie badawczym lub innej jednostce naukowej, ani wykonywać innych zajęć zarobkowych lub niezarobkowych sprzecznych z obowiązkami Prezesa Urzędu;
  • nie może  należeć do partii politycznej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z godnością jego urzędu;
  • nie może być, bez uprzedniej zgody Sejmu Rzeczypospolitej Polskiej, pociągnięta do odpowiedzialności karnej ani pozbawiona wolności;
  • nie może być zatrzymana lub aresztowana, z wyjątkiem ujęcia jej na gorącym uczynku przestępstwa i jeżeli zatrzymanie jest niezbędne do zapewnienia prawidłowego toku postępowania.

Przy Prezesie Urzędu działa organ opiniodawczo-doradczy – Rada do Spraw Ochrony Danych, której zadaniem jest:

  • opiniowanie projektów dokumentów organów i instytucji Unii Europejskiej dotyczących spraw ochrony danych osobowych;
  • opiniowanie przekazanych przez Prezesa Urzędu projektów aktów prawnych i innych dokumentów dotyczących spraw ochrony danych osobowych;
  • opracowywanie propozycji kryteriów certyfikacji;
  • opracowywanie propozycji rekomendacji określających środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych;
  • inicjowanie działań w obszarze ochrony danych osobowych oraz przedstawianie Prezesowi Urzędu propozycji zmian prawa w tym obszarze;
  • wyrażanie opinii w sprawach przedstawionych Radzie przez Prezesa Urzędu;
  • wykonywanie innych zadań zleconych przez Prezesa Urzędu.

Opinie, protokoły posiedzeń oraz inne dokumenty Rady są udostępniane na stronie internetowej w Biuletynie Informacji Publicznej Prezesa Urzędu. Rada przedstawia Prezesowi Urzędu sprawozdanie z działalności za każdy rok kalendarzowy w terminie do dnia 31 marca następnego roku. Rada składa się z 8 członków. Prezes Urzędu powołuje skład Rady, na dwuletnią kadencję.

Przed upływem kadencji członkostwo w Radzie wygasa z powodu:

  • rezygnacji złożonej na piśmie przewodniczącemu Rady;
  • śmierci;
  • niemożności sprawowania funkcji z powodu długotrwałej choroby stwierdzonej zaświadczeniem lekarskim;
  • skazania prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe;
  • pozbawienie praw publicznych;

Prezes Urzędu Ochrony Danych Osobowych – najważniejsze zadania

Przed Urzędem Ochrony Danych Osobowych stoją liczne wyzwania, a w rękach Prezesa spoczywa wielka odpowiedzialność.

Najważniejsze zadania Prezesa Urzędu:

  • kierowanie wystąpień zmierzających do zapewnienia skutecznej ochrony danych osobowych do organów państwowych, organów samorządu terytorialnego, państwowych i komunalnych jednostek organizacyjnych, podmiotów niepublicznych realizujących zadania publiczne, osób fizycznych i prawnych, jednostek organizacyjnych niebędących osobami prawnymi oraz innych podmiotów;
  • występowanie do właściwych organów z wnioskami o podjęcie inicjatywy ustawodawczej albo o wydanie lub zmianę aktów prawnych w sprawach dotyczących ochrony danych osobowych;
  • żądanie wszczęcia postępowania dyscyplinarnego lub innego przewidzianego prawem postępowania przeciwko osobom, które dopuściły się naruszeń przepisów o ochronie danych osobowych;
  • prowadzenie postępowania w sprawach naruszenia przepisów o ochronie danych osobowych. Realizacja zadań umożliwia dostęp do informacji objętych tajemnicą prawnie chronioną (jeśli nie wykluczają tego przepisy szczególne);
  • informowanie o wydaniu decyzji na swojej stronie podmiotowej w Biuletynie Informacji Publicznej (w sytuacji, kiedy Prezes uzna, że opublikowanie takiej decyzji jest w interesie publicznym)
  • współpracowanie z organami nadzorczymi innych państw członkowskich w ramach europejskiej współpracy administracyjnej – organy nadzorcze ustalają wspólne operacje i niezwłocznie sporządzają wykaz tych ustaleń;
  • kontrolowanie przestrzegania przepisów o ochronie danych osobowych. (Kontrola prowadzona jest zgodnie z zatwierdzonym przez Prezesa Urzędu planem kontroli na podstawie uzyskanych przez Prezesa Urzędu informacji lub w ramach przestrzegania ogólnego rozporządzenia RODO);
  • Prezes Urzędu może nałożyć na podmioty zobowiązane do przestrzegania RODO kary pieniężnej. Środki z administracyjnej kary pieniężnej stanowią dochód budżetu państwa.


Jan Nowak – nowy Prezes Urzędu Ochrony Danych Osobowych

16 maja 2019 roku Jan Nowak  wypowiadając słowa:

“Obejmując stanowisko Prezesa Urzędu Ochrony Danych Osobowych uroczyście ślubuję dochować wierności postanowieniom Konstytucji Rzeczypospolitej Polskiej, strzec prawa do ochrony danych osobowych, a powierzone mi obowiązki wypełniać sumiennie i bezstronnie. Tak mi dopomóż Bóg.”

złożył ślubowanie przed Sejmem Rzeczypospolitej Polskiej i tym samym rozpoczął swoją kadencję na stanowisku Prezesa Urzędu Ochrony Danych Osobowych.

Co wiemy o nowym prezesie Urzędu Ochrony Danych Osobowych?

  • absolwent Politechniki Warszawskiej, Wydziału Mechaniki Precyzyjnej;
  • absolwent studiów podyplomowych w Wyższej Szkole Menedżerskiej w Warszawie;
  • od 2008 roku Dyrektor Biura Generalnego Inspektora Ochrony Danych Osobowych;
  • od 25 maja 2018 roku Dyrektor Urzędu Ochrony Danych Osobowych;
  • pracował w Ośrodku Badawczo Rozwojowym “PREDOM”;
  • pracował w Centralnym Ośrodku Badawczym Normalizacji;
  • pracował w Zakładzie Gospodarowania Nieruchomościami Dzielnicy Śródmieście m.st. Warszawy;
  • był wiceprezesem zarządu w spółce ELEWARR;
  • w 2008 roku został odznaczony Złotym Medalem za długoletnią służbę przez prezydenta Lecha Kaczyńskiego;
  • w 2017 roku został wyróżniony Odznaką Honorową za zasługi dla samorządu terytorialnego przyznaną przez szefa resortu MSWiA.

Kandydatura Jana Nowaka od samego początku budziła spore kontrowersje głównie wśród specjalistów zajmujących się ochroną danych osobowych i bezpieczeństwem informacji. Jeszcze przed głosowaniem w parlamencie przeciwko wyborowi Nowaka zaprotestowały Helsińska Fundacja Praw Człowieka oraz Fundacja Panoptykon. Podstawowe “zarzuty” kierowane w stronę Nowaka to brak wyróżniania się wiedzą prawniczą oraz partyjna przynależność:

„Sygnalizowane przez media wątpliwości dotyczące niezależności oraz kompetencji merytorycznych kandydata budzą obawy ze strony obywateli i prywatnych firm, których działania są regulowane przez UODO. Naruszenie wymogu niezależności może także stanowić naruszenie prawa Unii Europejskiej, co – biorąc pod uwagę znaczenie współpracy i wzajemnego zaufania między organami ochrony danych osobowych w państwach członkowskich – może spowodować podjęcie działań przez Komisję Europejską”

– informowała Helsińska Fundacja Praw Człowieka.

Posłowie Prawa i Sprawiedliwości, którzy zgłosili kandydaturę Nowaka, w swoim uzasadnieniu nie mieli wątpliwości co do swojego wyboru:

„Pełniąc obowiązki zawodowe i funkcje społeczne wykazuje się rzetelną wiedzą merytoryczną i ogromnym zaangażowaniem. Powyższe wskazuje, że kandydat Pan Jan Nowak posiada niezbędną wiedzę i doświadczenie oraz będzie odpowiedzialnie i aktywnie wykonywał obowiązki Prezesa Urzędu Ochrony Danych Osobowych” 

Jan Nowak pracuje w Urzędzie od 2008 roku  (GIODO / UODO). Wcześniej odpowiadał za sprawy administracyjne Urzędu. Specjaliści zajmujący się ochroną danych osobowych zarzucają Nowakowi nie tyle brak odpowiedniego wykształcenia, co brak doświadczenia. Drugą kwestią budzącą kontrowersje jest przynależność do partii politycznej. Nowak od 2012 zasiada w Radzie dzielnicy Warszawa Wola i aktywnie działa w partii Prawa i Sprawiedliwości. Ustawa o ochronie danych osobowych wyraźnie tego zabrania – Prezes Urzędu Ochrony Danych Osobowych powinien być niezależny, ponieważ ma służyć całemu społeczeństwu a nie partii rządzącej.

Nowy Prezes Urzędu Ochrony Danych Osobowych przez 4 lata

Z całą pewnością funkcja Prezesa Urzędu wymaga nie tylko wiedzy ale również doświadczenia w pracy z danymi osobowymi. Czas pokaże, czy nowy prezes z całym urzędem sprostają nowym wyzwaniom. Bo w ochronie danych osobowych najważniejszy jest człowiek i jego bezpieczeństwo.
Kadencja Prezesa Urzędu Ochrony Danych Osobowych trwa 4 lata. Po upłynięciu kadencji Prezes wykonuje swoje obowiązki do czasu objęcia stanowiska przez swojego następcę. Prezes Urzędu może zostać odwołany przed upływem kadencji, wyłącznie w przypadku, gdy:

  • zrzekł się stanowiska;
  • stał się trwale niezdolny do pełnienia obowiązków na skutek choroby stwierdzonej orzeczeniem lekarskim;
  • sprzeniewierzył się ślubowaniu;
  • został skazany prawomocnym wyrokiem sądu za popełnienie umyślnego przestępstwa lub umyślnego przestępstwa skarbowego;
  • został pozbawiony praw publicznych.

W przypadku wygaśnięcia kadencji Prezesa Urzędu jego obowiązki pełni zastępca Prezesa Urzędu wskazany przez Marszałka Sejmu.

Kandydatura Jana Nowaka była jedyną na stanowisko Prezesa Urzędu Ochrony Danych Osobowych. Jan Nowak jest drugim Prezesem Urzędu. Zastąpił on Edytę Bielak-Jomaę, której kadencja minęła 22 kwietnia 2019 roku. Była szefowa UODO ukończyła studia prawnicze na Wydziale Prawa i Administracji Uniwersytetu Łódzkiego. Jest autorką licznych publikacji naukowych z zakresu ochrony danych osobowych. Od 2015 roku do 2018 roku pełniła funkcję Generalnego Inspektora Ochrony Danych Osobowych, a 25 maja 2018 roku w związku z wejściem w życie nowej ustawy o ochronie danych osobowych, została z mocy prawa Prezesem nowo utworzonego Urzędu Ochrony Danych Osobowych.