Kształtowanie się statusu prawnego Inspektora Ochrony Danych w Polsce

Abstract

Status prawny inspektora ochrony danych ewoluował na przestrzeni poszczególnych lat obowiązywania przepisów o ochronie danych osobowych. Artykuł omawia, w jaki sposób się on kształtował i zmieniał od wprowadzenia funkcji administratora bezpieczeństwa informacji w przepisach prawa polskiego aż po wprowadzenie bezpośrednio obowiązujących na szczeblu unijnym przepisów RODO regulujących status prawny inspektora ochrony danych. Od 2018 roku kwestie dotyczące ochrony danych osobowych są bowiem głównie regulowane przez prawo unijne. Artykuł omawia kwestie dotyczące powołania, zadań oraz innych wymogów mających na celu zapewnienie prawidłowego ich wykonywania przez osoby pełniące tę funkcję. Za hipotezę badawczą przyjęto założenie, że status prawny inspektora ochrony danych ewoluował w czasie, a jego status obecnie ma charakter mieszany (wewnętrzno-zewnętrzny). Artykuł przedstawia istotne wytyczne w zakresie wykładni przepisów prawa dotyczących ochrony danych osobowych w omawianym zakresie oraz dobre praktyki w zakresie stosowania przepisów prawa w praktyce. W artykule wykorzystano metody dogmatycznoprawną i historycznoprawną oraz metodę analizy orzecznictwa, decyzji organu nadzorczego oraz wytycznych i opinii wydawanych przez organy zajmujące się ochroną danych osobowych w Polsce i w Unii Europejskiej, które miały na celu weryfikację hipotezy badawczej przedstawionej w artykule. Artykuł ma istotne znaczenie dla prawidłowego określenia statusu prawnego inspektora ochrony danych, co wpływa na interesy osób wykonujących ten zawód, ale także ma wpływ na realizację obowiązków nałożonych na administratorów danych osobowych oraz podmioty przetwarzające, które zatrudniają takie osoby.

The legal status of the Data Protection Officer has evolved since the introduction of personal data protection regulations. This article discusses how this role has developed and changed since the introduction of the Information Security Administrator function in Polish law, up to the introduction of the directly applicable GDPR regulations governing the legal status of the Data Protection Officer. Since 2018, issues relating to personal data protection have been mainly regulated by EU law. The article discusses issues related to the appointment, tasks and other requirements aimed at ensuring the proper performance of their tasks by persons holding this position. The research hypothesis assumes that the legal status of the Data Protection Officer has evolved over time and is currently of a mixed nature (internal­‑external). It presents important guidelines for interpreting legal provisions concerning the protection of personal data in the discussed area, as well as good practices for applying legal provisions in practice. The article employs dogmatic­‑legal, historical­‑legal and case law analysis methods, as well as analysing decisions made by supervisory authorities, and guidelines and opinions issued by bodies responsible for personal data protection in Poland and the European Union. These methods were employed to verify the research hypothesis presented in the article. This article is of significant importance in determining the legal status of Data Protection Officers, affecting the interests of those in this profession and the fulfilment of obligations imposed on Personal Data Controllers and Processors who employ them.