Rzecznik Praw Obywatelskich zwraca przede wszystkim uwagę na konieczność zagwarantowania nowemu organowi ochrony danych osobowych pełnej niezależności, zgodnie z wymogami wynikającymi z prawa UE. Przedstawiona propozycja procedury, w której Prezesa UODO powoływać będzie Sejm za zgodą Senatu na wniosek Prezesa Rady Ministrów, budzi zastrzeżenia. RPO wskazuje, że przy ocenie ukształtowania pozycji organu jako organu niezależnego muszą być wzięte pod uwagę nie tylko ściśle językowo interpretowane przepisy rodo, ale również ogólne uwarunkowania systemowe istniejące w danym państwie członkowskim. Włączenie Prezesa Rady Ministrów w procedurę powoływania organu, nieznane w dzisiaj obowiązującej ustawie o ochronie danych osobowych, dla Rzecznika Praw Obywatelskich jest nie do zaakceptowania. Oznacza, że organ ochrony danych osobowych będzie wyznaczany w istocie przez władzę wykonawczą. Trzeba przy tym pamiętać, że z przedstawionych projektów wynika, że nowy organ (Prezes Urzędu Ochrony Danych Osobowych) ma być również organem właściwym w sprawach dyrektywy 2016/680, czyli tzw. dyrektywy policyjnej. To ten akt prawny UE reguluje zasady przetwarzania danych osobowych przez policję czy inne służby zajmujące się zwalczaniem przestępczości, a zatem przez służby podlegające bezpośrednio władzy wykonawczej.
Zastrzeżenia RPO budzi również procedura powoływania zastępców Prezesa Urzędu. Chociaż ani rodo ani dyrektywa 2016/680 nie stanowią wprost, że również oni muszą cieszyć się przymiotem niezależności, to jednak bez wątpienia sposób ich wyłaniania i dalszego funkcjonowania ma wpływ na niezależność samego organu. Propozycja przedstawiona w projekcie, polegająca na wskazaniu dwóch zastępców przez Ministra Cyfryzacji i jednego przez Ministra Spraw Wewnętrznych i Administracji jest nie do zaakceptowania, ponieważ oznacza to, że Prezes Urzędu nie będzie miał żadnego wpływu na obsadę stanowisk swoich zastępców. To zaś może skutecznie uniemożliwić mu efektywne działanie.
Rzecznik podnosi również, że projekt nie przesądza - wbrew wcześniejszym zapowiedziom - przyszłości obecnego Generalnego Inspektora Ochrony Danych Osobowych. RPO stoi na stanowisku, że standard wynikający z prawa UE nie pozwala na skrócenie kadencji obecnego GIODO. Obecny GIODO powinien zatem pełnić swoją funkcję (jako Prezes nowego UODO) przez czas pozostały do końca kadencji. Tymczasem przedstawione projekty ustaw tej kwestii nie regulują. Już we wcześniejszym piśmie z czerwca 2017 r. RPO wskazywał na standard wynikający w tym zakresie z prawa UE, w sczególnści z orzecznictwa Trybunału Sprawiedliwości (por. chociażby wyrok w sprawie w sprawie C-288/12 Komisja przeciwko Węgrom).
RPO w swoim stanowisku podkreśla również, że projekt ustawy o ochronie danych przewiduje przyznanie Prezesowi Urzędu realizacji zadań wynikających z dyrektywy 2016/680. Jednocześnie jednak nie jest ciągle znany projekt ustawy, która miałaby wdrażać do polskiego porządku prawnego tę dyrektywę. To zastrzeżenie skierowane jest głównie do Ministra Spraw Wewnętrznych i Administracji. W związku jednak z brakiem szczegółowych informacji trudno jest ocenić, na ile propozycje budżetowe, czy kadrowe są adekwatne do zadań nałożonych na nowy organ.
Zdaniem RPO zaproponowane rozwiązania, o których mowa wyżej, mogą zatem prowadzić do ograniczenia niezależności organu ochrony danych osobowych i rzutować na cały system ochrony. Trudno jest zatem przejść do analizy szczegółowych rozwiązań przedstawionych w projekcie. Rzecznik Praw Obywatelskich stoi na stanowisku, że niezależność organu ochrony danych osobowych jest kwestią kluczową dla całego systemu i to uzasadnia zabranie głosu w sprawie przedłożonych projektów.
Rzecznik w dniu 13 października 2017 r. skierował również wystąpienie do Ministerstwa Spraw Zagranicznych w związku z wątpliwościami dotyczącymi jakości polskiej wersji rozporządzenia ogólnego o ochronie danych osobowych.