Prezes Urzędu Ochrony Danych Osobowych, dalej nazywany Prezesem Urzę-du, jest organem nadzorczym właściwym w sprawach związanych z ochroną danych osobowych na terytorium Polski353. Zadania Prezesa Urzędu skierowa-ne są na ochronę podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem ochrony danych oraz ułatwieniem swobodnego przepływu tych danych w Unii Europejskiej354. Prezesa Urzędu powołuje i odwołuje Sejm Rzeczypospolitej Polskiej za zgodą Senatu Rzeczypospolitej Polskiej355. Pre-zesem Urzędu może zostać jedynie osoba posiadające kwalifikacje, doświad-czenie i umiejętności, zwłaszcza w dziedzinie ochrony danych osobowych, umożliwiające mu wypełnienie jego obowiązków i uprawnień356.
Organ ten jest niezależny wobec innych podmiotów publicznych357. Przepisy prawa w tym celu: określają, że Prezes Urzędu, wykonując
swo-353 W świetle art. 4 pkt 21 RODO organ nadzorczy jest niezależnym organem publicz-nym ustanowiopublicz-nym przez państwo członkowskie. W myśl art. 34 ust. 2 u.o.d.o. Prezes Urzę-du Ochrony Danych Osobowych jest organem nadzorczym w rozumieniu RODO. Art. 7 ust. 1 u.o.d.o. wprowadza domniemanie kompetencji Prezesa Urzędu w sprawach nieuregulowanych w u.o.d.o. Zgodnie z art. 34 ust. 1 u.o.d.o. Prezes Urzędu jest organem właściwym w spra-wie ochrony danych osobowych. Zgodnie z motywem 122 zd. 1 RODO organ nadzorczy jest właściwy do wykonywania uprawnień i zadań powierzonych na podstawie rozporządzenia 2016/679, na terytorium państwa członkowskiego, przez które został utworzony.
354 Artykuł 51 ust. 1 RODO. Zgodnie z motywem 123 zd. 1 RODO Prezes Urzędu jako or-gan nadzorczy monitoruje stosowanie rozporządzenia 2016/679 oraz przyczynia się do jego spójnego stosowania w całej Unii, w celu zapewnienia ochrony danych osobowych oraz swo-bodnego przepływu tych danych na rynku wewnętrznym.
355 Artykuł 34 ust. 3 u.o.d.o. W świetle art. 4 pkt 21 RODO organ nadzorczy jest ustanawia-ny przez państwo członkowskie. Przepis ten stanowi wykonanie regulacji art. 53 ust. 1 RODO, w świetle którego państwo członkowskie powinno zapewnić, aby każdy członek ich organów nadzorczych był powoływany w drodze przejrzystej procedury np. przez parlament.
356 Artykuł 53 ust. 2 RODO. Wymagania te zostały wyszczególnione w art. 34 ust. 4 u.o.d.o., w świetle którego na stanowisko Prezesa Urzędu może być powołana osoba, która spełnia łącz-nie przesłanki: posiadałącz-nie obywatelstwa polskiego, wyższego wykształcenia, łącz- nieposzkalowa-nej opinii, wyróżnianie się wiedzą prawniczą i doświadczeniem z zakresu ochrony danych oso-bowych, korzystaniem z pełni praw publicznych, a także nieskazanie prawomocnym wyrokiem za umyślne przestępstwo lub umyślne przestępstwo skarbowe.
357 W świetle art. 52 ust. 1 RODO organ nadzorczy powinien w sposób niezależny wypeł-niać swoje zadania i wykonywać swoje uprawnienia zawarte w RODO. Zgodnie z motywem 117
je zadania, podlega jedynie ustawom358, i wskazują kadencyjność jego funkcji359. Niezależność Prezesa Urzędu ma zapewnić także obowiązek powstrzymania się od wszelkich czynności sprzecznych ze swoimi obo-wiązkami, w tym podejmowania zajęć zarobkowych lub niezarobkowych sprzecznych z tymi obowiązkami360. Jednocześnie Prezes Urzędu podczas wypełniania swoich zadań i uprawnień pozostaje wolny od bezpośred-nich i pośredbezpośred-nich wpływów zewnętrznych, nie może realizować niczy-ich instrukcji361. W celu prawidłowego wykonania swoich zadań Prezes Urzędu powinien mieć zapewnione możliwości kadrowe, techniczne, or-ganizacyjne i finansowe362. Niezależność Prezesa Urzędu ma jednak
czę-zd. 1 RODO Prezes Urzędu jako organ nadzorczy powinien być uprawniony do wykonywania swoich zadań i uprawnień w sposób całkowicie niezależny.
358 Artykuł 34 ust. 5 u.o.d.o.
359 W świetle art. 34 ust. 6‒7 u.o.d.o. kadencja Prezesa Urzędu trwa 4 lata, a jednocześnie ograniczono liczbę kadencji do dwóch. W świetle art. 34 ust. 9 u.o.d.o. prawodawca ograniczył przesłanki odwołania Prezesa Urzędu przed upływem kadencji do: zrzeczenia się stanowiska, powstania trwałej niezdolności do pełnienia obowiązków na skutek choroby stwierdzonej orze-czeniem lekarskim, sprzeniewierzenia się ślubowaniu, skazaniu prawomocnym wyrokiem sądu za popełnienie umyślnego przestępstwa lub umyślnego przestępstwa skarbowego oraz pozba-wienia praw publicznych. Przepis ten stanowi wykonanie regulacji art. 53 ust. 4 RODO: pia-stun organu nadzoru może zostać odwołany ze stanowiska jedynie wówczas, gdy dopuścił się poważnego uchybienia lub przestał spełniać warunki niezbędne do pełnienia obowiązków.
360 Artykuł 52 ust. 3 RODO. Zgodnie z art. 37 ust. 1 u.o.d.o. Prezes Urzędu oraz jego zastęp-cy nie mogą zajmować innego stanowiska, z wyjątkiem stanowiska dydaktycznego, naukowo-dy-daktycznego lub naukowego w szkole wyższej, Polskiej Akademii Nauk, instytucie badawczym lub innej jednostce naukowej. W świetle tego przepisu Prezes Urzędu nie powinien także wykony-wać innych zajęć zarobkowych lub niezarobkowych sprzecznych ze swoimi obowiązkami. W myśl art. 37 ust. 2 u.o.d.o. Prezes Urzędu oraz jego zastępcy nie mogą także należeć do partii politycz-nej, związku zawodowego ani prowadzić działalności publicznej niedającej się pogodzić z god-nością tego urzędu. W myśl motywu 121 zd. 2 RODO Prezes Urzędu jako organ nadzorczy powi-nien działać uczciwie, powstrzymywać się od czynności niezgodnych z jego obowiązkami oraz nie podejmować zajęć zarobkowych i niezarobkowych niezgodnych z tymi obowiązkami.
361 Artykuł 52 ust. 2 RODO. Zob. P. Litwiński, P. Barta, Komentarz do art. 52, [w:] P. Li-twiński (red.), Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem
danych osobowych i w sprawie swobodnego przepływu takich danych. Komentarz, Warszawa
2018, s. 669‒670.
362 W świetle art. 52 ust. 4 RODO państwa członkowskie mają obowiązek zapewnienia or-ganowi nadzorczemu odpowiednich zasobów kadrowych, technicznych i finansowych, oraz pomieszczeń i infrastruktury niezbędnych do skutecznego wypełniania jego zadań i
wykony-ściowo względny charakter, podlega on bowiem kontroli finansowej oraz kontroli sądowej363.
Można wyróżnić kilka grup zadań Prezesa Urzędu, do których zali-czają się zadania: informacyjne; związane ze stosowaniem środków ochro-ny; mające na celu rozpoczęcie i prowadzenie współpracy z innymi orga-nami oraz związane z prowadzeniem postępowań.
Zadania informacyjne mają charakter indywidualny oraz generalny. Indywidualne zadania informacyjne, które są skierowane wobec indywi-dualnego adresata, obejmują udzielenie informacji na żądanie osoby, któ-rej dane dotyczą, o wykonywaniu praw przysługujących jej na mocy roz-porządzenia 2016/679364, a także konsultacje z administratorem w sprawie ograniczenia wysokiego ryzyka ochrony danych365. Generalnymi zada-niami informacyjnymi, skierowanymi wobec niezidentyfikowanych adre-satów lub grupy indywidulanych adreadre-satów, są: upowszechnienie w spo-łeczeństwie wiedzy o ochronie danych, w tym uświadamianie ryzyka, zasad, zabezpieczeń i praw związanych z przetwarzaniem tych danych366; upowszechnienie wśród administratorów i podmiotów przetwarzających wiedzę o obowiązkach spoczywających na nich na mocy rozporządze-nia 2016/679367. Zadania informacyjne o charakterze generalnym mają na
wania jego uprawnień, w tym w zakresie wzajemnej pomocy, współpracy i uczestnictwa w pra-cach Europejskiej Rady Ochrony Danych. Zgodnie z art. 52 ust. 5 RODO państwo członkowskie ma także obowiązek zapewnić organowi nadzorczemu własnego personelu, wybranego przez piastuna tego organu, działającego pod wyłącznym swoim kierownictwem. W świetle motywu 120 RODO Prezes Urzędu jako organ nadzorczy powinien być wyposażony w zasoby finanso-we i kadrofinanso-we, pomieszczenia i infrastrukturę niezbędne do skutecznego wykonywania zadań, a także dysponować odrębnym, publicznym budżetem rocznym. Zgodnie z motywem 121 zd. 3 RODO Prezes Urzędu jako organ nadzorczy powinien dysponować pracownikiem personalnym działającym pod jego wyłącznym kierownictwem.
363 W świetle motywu 118 RODO Prezes Urzędu jako organ nadzorczy powinien podlegać mechanizmowi kontroli lub monitorowania pod kątem wydatków oraz kontroli sądowej. Zob. P. Litwiński, P. Barta, Komentarz do art. 52…, s. 670.
364 Artykuł 57 ust. 1 lit. e RODO.
365 Artykuł 36 ust. 1 RODO.
366 Artykuł 57 ust. 1 lit. b RODO; motyw 122 zd. 3 RODO.
celu efektywne stosowanie przepisów o ochronie danych. Przykładem ich wykonania jest m.in. upowszechnienie wykazu rodzajów operacji prze-twarzania podlegających wymogowi dokonania oceny skutków ochrony danych368, wykazu rodzajów operacji przetwarzania danych osobowych niewymagających oceny skutków369oraz udostępnienia na stronie pod-miotowej BIP Prezesa Urzędu standardowych klauzul umownych, za-twierdzonych kodeksów postępowania, przyjętych standardowych klau-zul ochrony danych oraz rekomendacje określające środki techniczne i organizacyjne stosowane w celu zapewnienia bezpieczeństwa przetwa-rzania danych osobowych370.
Zadania Prezesa Urzędu są również związane ze stosowaniem środ-ków ochrony; a w tym zakresie przyjmuje on standardowe klauzule umow-ne371; ustanawia i prowadzi wykaz rodzajów operacji przetwarzania podle-gających wymogowi dokonania oceny skutków ochrony danych372; udziela zaleceń dotyczących operacji przetwarzania373; zachęca do sporządzania kodeksów postępowania, wydaje opinie na ich temat oraz zatwierdza te kodeksy, w których znajdują się odpowiednie zabezpieczenia374; zachęca do ustanawiania mechanizmów certyfikacji w dziedzinie ochrony danych oraz znaków jakości i oznaczeń z tej dziedziny, a także zatwierdza kryteria certyfikacji375; dokonuje okresowego przeglądu udzielonych certyfikacji376; opracowuje i publikuje wymogi akredytacji podmiotu monitorującego
ko-368 Artykuł 54 ust. 1 pkt 1 u.o.d.o. w zw. z art. 35 ust. 4 RODO.
369 Artykuł 54 ust. 1 pkt 2 u.o.d.o. w zw. z art. 35 ust. 5 RODO.
370 Artykuł 53 ust. 1 u.o.d.o.
371 Artykuł 57 ust. 1 lit. j w zw. z art. 28 ust. 8 i art. 46 ust. 2 lit. d RODO.
372 Artykuł 57 ust. 1 lit. k w zw. z art. 35 ust. 4 RODO.
373 Artykuł 57 ust. 1 lit. l w zw. z art. 36 ust. 2 RODO.
374 Artykuł 57 ust. 1 lit. m w zw. z art. 40 ust. 1 oraz art. 40 ust. 5 RODO. W świetle art. 40 ust. 1 RODO Prezes Urzędu zachęca do sporządzania kodeksów postępowania, a w myśl art. 40 ust. 5 zd. 2 RODO organ ten wydaje opinię o zgodności kodeksu, jego zmianie i rozszerzenia z rozpo-rządzeniem 2016/679, a także zatwierdza taki projekt kodeksu, jego zmianę lub rozszerzenie.
375 Artykuł 57 ust. 1 lit. n w zw. z art. 42 ust. 5 RODO.
deksy postępowania oraz podmiotu certyfikującego377; akredytuje podmiot monitorujący kodeksy postępowania oraz podmiot certyfikujący378; wyda-je zezwolenia na klauzule umowne i przepisy stanowiące odpowiednie za-bezpieczenia gwarantujące przekazywanie danych osobowych poza Unię Europejską379; zatwierdza wiążące reguły korporacyjne380.
Prezes Urzędu wykonuje także zadania mające na celu rozpoczęcie i prowadzenie współpracy m.in. z innymi organami nadzorczymi w po-zostałych państwach członkowskich381, organami i władzami Rzeczpo-spolitej Polskiej382 oraz organami Unii Europejskiej383.
Do zadań Prezesa Urzędu należy także prowadzenie postępowań, w tym związanych z rozpatrzeniem skarg wniesionych przez osobę, której dane dotyczą384, oraz wszczętych na podstawie informacji otrzymanych od innych organów administracji publicznej, w tym od organów nadzorczych z innych państw członkowskich385. Prezes Urzędu prowadzi postępowa-nie nadzorcze zgodpostępowa-nie z regulacjami Kodeksu postępowania
administra-377 Artykuł 57 ust. 1 lit. p w zw. z art. 41 oraz art. 43 RODO.
378 Artykuł 57 ust. 1 lit. q w zw. z art. 41 oraz art. 43 RODO.
379 Artykuł 57 ust. 1 lit. r w zw. z art. 46 ust. 3 RODO.
380 Artykuł 57 ust. 1 lit. s w zw. z art. 47 RODO.
381 W świetle art. 57 ust. 1 lit. g RODO Prezes Urzędu współpracuje z innymi organami nad-zorczymi w celu zapewnienia spójnego stosowania i egzekwowania rozporządzenia 2016/679. W świetle art. 59 ust. 1 u.o.d.o. Prezes Urzędu współpracuje z niezależnymi organami nadzor-czymi w sprawach ochrony danych osobowych. W świetle motywu 123 zd. 2 RODO Prezes Urzędu powinien współpracować z innymi organami nadzorczymi oraz Komisją Europejską, nawet wówczas, gdy nie ma zawartej umowy o wzajemnej pomocy lub współpracy pomiędzy państwami członkowskimi.
382 Zgodnie z art. 57 ust. 1 lit. c RODO Prezes Urzędu doradza, zgodnie z prawem państwa polskiego, parlamentowi narodowemu, rządowi oraz innym instytucjom i organom w sprawie ak-tów prawnych i administracyjnych środków ochrony praw i wolności osób fizycznych w związ-ku z przetwarzaniem. Zgodnie z art. 52 ust. 1 u.o.d.o. Prezes Urzędu może kierować m.in. do organów państwowych, organów samorządu terytorialnego wystąpienia zmierzające do zapew-nienia skutecznej ochrony danych osobowych.
383 W myśl art. 57 ust. 1 lit. t RODO Prezes Urzędu bierze udział w pracach Europejskiej Rady Ochrony Danych. Zgodnie z art. 51 ust. 2 zd. 2 RODO Prezes Urzędu ma obowiązek współpra-cy z innymi organami nadzorczymi w państwach członkowskich oraz z Komisją Europejską.
384 Artykuł 57 ust. 1 lit. f RODO; motyw 122 zd. 3 RODO.
cyjnego386. Ustawa o ochronie danych osobowych wprowadza jednakże częściowe odrębności, szczególnie w zakresie postępowania dowodowe-go, związanego z ponoszeniem kosztów tłumaczenia dokumentacji na język polski387 oraz prowadzeniem postępowania kontrolnego, jeżeli zaj-dzie konieczność uzupełnienia dowodów388. Organ ten ma także z zasa-dy prawo dostępu do informacji objętych tajemnicą prawnie chronioną, także objętych tajemnicą przedsiębiorstwa389.
Przepisy prawa wprowadzają również inne zadania Prezesa Urzę-du, do jakich należą m.in.390: monitoring rozwoju nowych technologii in-formacyjno-komunikacyjnych i praktyk handlowych391; prowadzenie we-wnętrznego rejestru naruszeń rozporządzenia 2016/679 i zastosowania uprawnień przez Prezesa Urzędu392.
Prezes Urzędu w celu wykonywania tych zadań wykonuje czynności kontrolne nad procesem przetwarzania danych osobowych393. Prawa tego organu związane z prowadzeniem kontroli obejmują głównie prawo do uzy-skania informacji m.in. od administratora lub podmiotu przetwarzającego. Prawa te wynikają wprost z rozporządzenia 2016/679 lub wymagają kon-kretyzacji ze strony Prezesa Urzędu. Prawem wynikającym wprost z
roz-386 Artykuł 60 w zw. z art. 7 ust. 1 u.o.d.o.
387 W świetle art. 63 u.o.d.o. Prezes Urzędu może żądać od strony przedstawienia tłumacze-nia na język polski sporządzonej w języku obcym dokumentacji przedłożonej przez stronę na jej koszt.
388 Artykuł 68 ust. 1 u.o.d.o.
389 Artykuł 64 u.o.d.o. W świetle art. 65 ust. 1‒3 u.o.d.o. strona postępowania nadzorczego jest obowiązana do przedstawienia Prezesowi Urzędu wersji dokumentu niezawierającego in-formacji objętych zastrzeżeniem tajemnicy przedsiębiorstwa, jeżeli strona złożyła takie zastrze-żenie, a Prezes Urzędu, w drodze decyzji, nie uchylił tego zastrzeżenia.
390 Wymienione zadania nie są wszystkimi zadaniami Prezesa Urzędu, na co wskazuje otwar-ty charakter ich katalogu. Zob. art. 57 ust. 1 lit. v RODO.
391 Artykuł 57 ust. 1 lit. i RODO.
392 Artykuł 57 ust. 1 lit. u w zw. z art. 58 ust. 2 RODO.
393 Jak zauważyła M. Sakowska-Baryła, w toku analizy starych przepisów dotyczących ochro-ny daochro-nych wyrażoochro-nych w u.o.d.o.97, skutkiem kontroli sprawowanej przez Generalnego Inspektora Ochrony Danych Osobowych (organ, który jest poprzednikiem Prezesa Urzędu), może być wład-cza ingerencja w proces przetwarzania danych osobowych. M. Sakowska-Baryła, Kontrolowanie
porządzenia 2016/679 jest uzyskanie informacji na podstawie zgłoszenia naruszenia ochrony danych osobowych394. Prawa wymagające konkrety-zacji przez Prezesa Urzędu obejmują m.in.: prawo żądania udostępnienia rejestru czynności przetwarzania danych osobowych395; prawo dostępu do wszystkich pomieszczeń administratora i podmiotu przetwarzającego, w tym do sprzętu i środków służących do przetwarzania danych; prawo dostępu do informacji objętych tajemnicą prawnie chronioną396 oraz dostę-pu do wszelkich danych osobowych i wszelkich informacji niezbędnych temu organowi do realizacji swoich zadań397. Prezes Urzędu jest też upraw-niony do prowadzenia postępowań w formie audytów ochrony danych398; dokonywania przeglądu udzielonych certyfikacji pod kątem wypełniania kryteriów certyfikacji przez administratora lub podmiot przetwarzający399. Istotnym elementem kontroli jest przedstawianie jej wyników podmioto-wi kontrolowanemu. W tym celu Prezesopodmioto-wi Urzędu nadano uprawnienie do zawiadamiania administratora lub podmiotu przetwarzającego o po-dejrzeniu naruszenia rozporządzenia 2016/679400.