The Development of the Legal Status of the Data Protection Officer in Poland
Keywords:
personal data, Data Protection Officer, legal status, personal data protectionAbstract
The legal status of the Data Protection Officer has evolved since the introduction of personal data protection regulations. This article discusses how this role has developed and changed since the introduction of the Information Security Administrator function in Polish law, up to the introduction of the directly applicable GDPR regulations governing the legal status of the Data Protection Officer. Since 2018, issues relating to personal data protection have been mainly regulated by EU law.
The article discusses issues related to the appointment, tasks and other requirements aimed at ensuring the proper performance of their tasks by persons holding this position. The research hypothesis assumes that the legal status of the Data Protection Officer has evolved over time and is currently of a mixed nature (internal‑ external). It presents important guidelines for interpreting legal provisions concerning the protection of personal data in the discussed area, as well as good practices for applying legal provisions in practice.
The article employs dogmatic‑ legal, historical legal and case law analysis methods, as well as analysing decisions made by supervisory authorities, and guidelines and opinions issued by bodies responsible for personal data protection in Poland and the European Union. These methods were employed to verify the research hypothesis presented in the article. This article is of significant importance in determining the legal status of Data Protection Officers, affecting the interests of those in this profession and the fulfilment of obligations imposed on Personal Data Controllers and Processors who employ them.
References
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. L 2016 nr 119, poz. 1).
Dyrektywa 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych (Dz.U. L 1995 nr 281, poz. 31).
Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz.U. 1997 nr 133, poz. 882 i 883, z późn. zm.).
Ustawa z dnia 7 listopada 2014 r. o ułatwieniu wykonywania działalności gospodarczej (Dz.U. 2014, poz. 1662).
Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych (tj. Dz.U. 2019, poz. 1781).
Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 10 grudnia 2014 r. w sprawie wzorów zgłoszeń powołania i odwołania administratora bezpieczeństwa informacji (Dz.U. 2014, poz. 1934, z późn. zm.).
Rozporządzenie Ministra Administracji i Cyfryzacji z dnia 11 maja 2015 r. w sprawie trybu i sposobu realizacji zadań w celu zapewniania przestrzegania przepisów o ochronie danych osobowych przez administratora bezpieczeństwa informacji (Dz.U. 2015, poz. 745, z późn. zm.).
Wyrok TSUE z dnia 9 lutego 2023 r., C-453/21 ws. X-FAB DRESDEN GMBH & CO. KG v. FC, LEX nr 3483231.
Wyrok Naczelnego Sądu Administracyjnego z dnia 7 lutego 2025 r., III OSK 6801/21, LEX nr 3833096.
Wyrok Wojewódzkiego Sądu Administracyjnego w Warszawie z dnia 17 kwietnia 2024 r., II SA/Wa 1342/23, LEX nr 3790155.
Wyrok Wojewódzkiego Sądu Administracyjnego z dnia 4 kwietnia 2024 r., II SA/Wa 1805/23, LEX nr 3764924.
Decyzja PUODO z dnia 12 września 2025 r., DKN.5131.7.2025, https://orzeczenia.uodo.gov.pl/search (dostęp: 26.10.2025).
Decyzja PUODO z dnia 2 kwietnia 2025 r., DKN.5110.14.2022, https://orzeczenia.uodo.gov.pl/search (dostęp: 20.06.2025).
Decyzja PUODO z dnia 18 grudnia 2024 r., DKN.5112.14.2022, https://orzeczenia.uodo.gov.pl/search (dostęp: 26.10.2025).
Decyzja PUODO z dnia 18 października 2024 r., DKN.5131.7.2024, https://orzeczenia.uodo.gov.pl/search (dostęp: 26.10.2025).
Decyzja PUODO z dnia 22 września 2020 r., ZWAD.405.31.331.2019, https://orzeczenia.uodo.gov.pl/search (dostęp: 16.06.2025).
Decyzja PUODO z dnia 21 sierpnia 2020 r., ZSOŚS.421.25.2019, https://orzeczenia.uodo.gov.pl/search (dostęp: 26.10.2025).
Bielak-Jomaa Edyta, Komentarz do art. 38, [w:] RODO. Ogólne rozporządzenie o ochronie danych. Komentarz, red. Dominik Lubasz, Warszawa 2018, LEX.
Borowicz Jacek, Z problematyki zatrudnienia administratora bezpieczeństwa informacji, „Praca i Zabezpieczenie Społeczne” 2016, nr 12, 16–25.
Brodzik Robert, Komentarz do art. 158, [w:] Ustawa o ochronie danych osobowych. Komentarz, red. Bartosz Marcinkowski, Warszawa 2018, LEX.
Byczkowski Maciej, Zapewnianie przestrzegania przepisów o ochronie danych osobowych w sferze wewnętrznej bez powołania administratora bezpieczeństwa informacji, „Monitor Prawniczy” 2015, dodatek do nr 6, s. 1008–1012.
Chodorowski Maciej, Nowe prawa i obowiązki administratorów bezpieczeństwa informacji (inspektorów ochrony danych) w świetle najnowszych opinii wydanych przez Grupę Roboczą Art. 29, [w:] Ogólne rozporządzenie o ochronie danych osobowych. Wybrane zagadnienia, red. Maciej Kawecki, Tomasz Osiej, Warszawa 2017, s. 141–158.
Fajgielski Paweł, [w:] Komentarz do ustawy o ochronie danych osobowych, [w:] Ogólne rozporządzenie o ochronie danych. Ustawa o ochronie danych osobowych. Komentarz, wyd. II, Warszawa 2022, LEX.
Fajgielski Paweł, Pozycja prawna i zadania administratora bezpieczeństwa informacji po nowelizacji ustawy o ochronie danych osobowych, „Monitor Prawniczy” 2015, dodatek do nr 6, s. 1003–1007.
Kozik Patrycja, Zakres swobody regulacyjnej państw członkowskich przy wdrażaniu ogólnego rozporządzenia o ochronie danych osobowych do prawa krajowego, „Europejski Przegląd Sądowy” 2017, nr 5, s. 18–22.
Kupny Weronika, Rola inspektora ochrony danych w strukturze organizacji, „Roczniki Administracji i Prawa” 2019, nr 19(1), s. 295–310.
Kuźnicka-Błaszkowska Dominika, Organy samorządu gminnego a organ publiczny i podmiot publiczny w RODO, „Finanse Komunalne” 2024, nr 4, s. 7–14.
Lubasz Dominik, Góral Urszula, Komentarz do art. 1, [w:] Edyta Bielak-Jomaa, Iwona Bogucka, Witold Chomiczewski, Piotr Drobek, Maciej Gawroński, Katarzyna Kloc, Joanna Łuczak-Tarka, Paweł Punda, Natalia Zawadzka, Michał Żmijewski, Dominik Lubasz, Urszula Góral, Ustawa o ochronie danych osobowych. Komentarz, Warszawa 2019, LEX.
Młotkiewicz Monika, IOD jako punkt kontaktowy, „ABI EXPERT” 2018, nr 2, s. 20–21.
Odlanicka-Poczobutt Monika, Szyszka-Schuppik Aleksandra, Bezpieczeństwo danych osobowych w świetle nowych przepisów (RODO) – przegląd historyczny, „Zeszyty Naukowe Politechniki Śląskiej” 2018, z. 118, s. 419–432.
Sibiga Grzegorz, Dopuszczalny zakres polskich przepisów o ochronie danych osobowych po rozpoczęciu obowiązywania ogólnego rozporządzenia o ochronie danych – wybrane zagadnienia, [w:] Ogólne rozporządzenie o ochronie danych. Aktualne problemy prawnej ochrony danych osobowych 2016, red. Grzegorz Sibiga, Warszawa 2016, s. 16–21.
Sibiga Grzegorz, Rejestracja administratorów bezpieczeństwa informacji. Postępowanie rejestracyjne Generalnego Inspektora Ochrony Danych Osobowych, „Monitor Prawniczy” 2015, dodatek do nr 6, s. 13–19.
Sibiga Grzegorz, O formalnej i faktycznej niezależności inspektora ochrony danych oraz jej gwarancjach. Wybrane zagadnienia [w:] Administracja publiczna wobec procesów zmian w XXI wieku: Księga jubileuszowa Profesora Jerzego Korczaka, red. Piotr Lisowski, Renata Kusiak Winter, Wrocław 2024, s. 707–716.
Wygoda Krzysztof, Administrator Bezpieczeństwa Informacji a Inspektor Ochrony Danych na tle regulacji krajowych i unijnych – wybrane zagadnienia, „Przegląd Prawa i Administracji” 2016, nr 105, s. 219–236.
Wygoda Krzysztof, Powoływanie Administratora Bezpieczeństwa Informacji jako zasada bezpiecznego przetwarzania danych na gruncie ustawy o ochronie danych osobowych, „Przegląd Prawa i Administracji” 2015, nr 100, s. 337–352.
Vademecum Inspektora Ochrony Danych, red. Maciej Kołodziej, Warszawa 2020.
Szałowski Ryszard, Administrator bezpieczeństwa informacji, „Ius Novum” 2016, nr 4, s. 208–224.
Czy administrator musi podać imię i nazwisko IOD na stronie internetowej?, https://uodo.gov.pl/pl/495/2345 (dostęp: 16.06.2025).
Czy dane kontaktowe IOD muszą być łatwo dostępne?, https://uodo.gov.pl/pl/495/2342 (dostęp: 16.06.2025).
Czy inspektor ochrony danych powinien być wyznaczany na podstawie takich samych kwalifikacji jak było to w przypadku administratora bezpieczeństwa informacji?, https://uodo.gov.pl/pl/497/200 (dostęp: 16.06.2025).
Jakie gwarancje niezależności zostały przyznane IOD w przepisach RODO?, https://uodo.gov.pl/pl/495/2407 (dostęp: 26.10.2025).
Kto może, a kto musi wyznaczyć IOD?, https://uodo.gov.pl/pl/495/2364 (dostęp: 16.06.2025).
Poradnik na gruncie RODO. Obowiązki administratorów związane z naruszeniami ochrony danych osobowych, v. 2, https://uodo.gov.pl/pl/138/3561 (dostęp: 26.10.2025).
Ocena skutków regulacji do projektu ustawy o ochronie danych osobowych z dnia 27 marca 2018 r., druk 2410, https://www.sejm.gov.pl/sejm8.nsf/PrzebiegProc.xsp?nr=2410 (dostęp: 15.06.2025).
Sibiga Grzegorz, Opinia prawna – Konflikt interesów w wykonywaniu funkcji inspektora ochrony danych i jego unikanie. Problemy zaistniałe w praktyce i sposoby ich rozwiązania, Warszawa 2024, https://sabi.org.pl/wp-content/uploads/2024/04/Opinia_Konflikt-interesow-IOD_SABI_ZFODO.pdf (dostęp: 26.10.2025).
Wytyczne Grupy Roboczej Art. 29 dotyczące inspektorów ochrony danych (WP 243), wersja po zmianach z dnia 5 kwietnia 2017 r., s. 9–10, https://ec.europa.eu/newsroom/article29/items/612048/en (dostęp: 16.06.2025).
Downloads
Published
Issue
Section
License
Copyright (c) 2025 Uniwersytet w Białymstoku (entire issue as a whole); Katarzyna Siemion (article)
This work is licensed under a Creative Commons Attribution-ShareAlike 4.0 International License.
