Ministerstwo Cyfryzacji 13 września 2017 r. zaprezentowało projekt przepisów aktów prawnych, które w zamierzeniu miały dostosować polski system prawny do wymogów ogólnego rozporządzenia o ochronie danych (RODO). To bowiem ten akt prawny wprowadza reformę systemu ochrony danych i zawiera nowe rozwiązania prawne gwarantujące większe bezpieczeństwo naszych danych osobowych w dobie wyzwań technologicznych XXI wieku. Przepisy przygotowane przez Ministerstwo Cyfryzacji powinny jedynie doprecyzować postanowienia RODO oraz dostosować krajowy porządek prawny do zawartych w nim regulacji i zasad.
Istotą reformy było wprowadzenie skutecznych mechanizmów ochrony naszej prywatności w świecie nowych technologii, wzmocnienie praw obywateli i ustanowienie silnego organu stojącego na straży tych praw. Tymczasem, w opinii Generalnego Inspektora Ochrony Danych Osobowych (GIODO), w projektach przepisów zaprezentowanych przez Ministerstwo Cyfryzacji dochodzi do rozluźniania tych nowych zasad i obniżania poziomu ochrony naszych danych osobowych. To bardzo niepokojąca tendencja, na którą GIODO zwraca uwagę w przedłożonych uwagach. Są one bardzo obszerne i odnoszą się do wielu kwestii – od fundamentalnych po proceduralne. W piśmie przewodnim do nich GIODO uwypuklił te kwestie, które budzą największy sprzeciw i wątpliwości organu ds. ochrony danych osobowych. W odniesieniu do proponowanych przepisów ustawy o ochronie danych osobowych w dużej mierze zostały one już podniesione w piśmie skierowanym do Ministra Cyfryzacji 28 lipca 2017 r. Niestety, jedynie niewielka część zgłoszonych w nim zastrzeżeń i wątpliwości GIODO została uwzględniona w projekcie ustawy z września 2017 r.
GIODO po raz kolejny wskazuje, że przepisy ogólnego rozporządzenia o ochronie danych nie wymaga od polskiego ustawodawcy zmiany dotychczasowych rozwiązań instytucjonalnych w tym zakresie i tworzenia zupełnie nowego organu nadzorczego. Zaproponowany przez Ministra Cyfryzacji model powoływania osoby pełniącej funkcję organu nadzorczego przez Sejm RP na wniosek Prezesa Rady Ministrów RP, w powiązaniu z innymi rozwiązaniami umożliwiającymi wkraczanie Rządu RP w sferę funkcjonowania organu nadzorczego, znacznie obniża dotychczasowy standard ustrojowy, który w polskim systemie prawnym efektywnie zapewniał gwarancje niezależności organu ochrony danych osobowych. Co więcej, zaproponowane w projekcie ustawy wyłączne uprawnienie Prezesa Rady Ministrów do powoływania zastępców organu na wniosek dwóch ministrów: cyfryzacji oraz spraw wewnętrznych i administracji stanowi naruszenie wysokich standardów niezależności organów nadzorczych określonych w przepisach prawa unijnego (art. 16 Traktatu o funkcjonowaniu Unii europejskiej) oraz bogatym orzecznictwie Trybunału Sprawiedliwości UE (vide wyrok w sprawie C-288/12 z 8 kwietnia 2014 r. – Komisja Europejska przeciwko Węgrom).
Niedopuszczalny z punktu widzenia zagwarantowania niezależności organu ochrony danych osobowych jest również przepis projektu ustawy, który pozwala na wskazanie przez Prezesa Rady Ministrów zastępcy Prezesa Urzędu, który pełniłby obowiązki Prezesa Urzędu, w przypadku jego odwołania.
W świetle przepisów ogólnego rozporządzenia oraz dotychczasowego orzecznictwa Trybunału Sprawiedliwości UE wprowadzenie zmian instytucjonalnych polegających na powołaniu nowego organu nadzorczego działającego na podstawie nowych przepisów o ochronie danych osobowych nie może prowadzić do skrócenia kadencji osoby wcześniej pełniącej tę funkcję. Niestety proponowane przez Ministra Cyfryzacji rozwiązania prowadzą do takiej sytuacji, co bezpośrednio będzie naruszało prawo unijne.