Nawet najlepsze przepisy są tylko tak dobre, jak efektywna jest procedura ich stosowania. Stąd gdy mówimy o zmianach, jakie czekają nas w prawie ochrony danych osobowych w 2018 r. w związku z rozpoczęciem stosowania ogólnego rozporządzenia o ochronie danych (RODO; rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r., które zakłada m.in. powoływanie w firmach inspektorów ochrony danych) nie możemy zapominać, że akt ten nie reguluje sposobu postępowania przed krajowymi organami ochrony danych osobowych.
Innymi słowy, ujednolicone w całej Unii przepisy prawa materialnego będą stosowane w każdym kraju członkowskim na podstawie procedury przyjętej przez ten kraj. Jej określenie czeka również nas w Polsce.
Jak powinien funkcjonować organ, który po 25 maja 2018 r. zastąpi GIODO? Przede wszystkim efektywnie. Rozporządzenie podkreśla, że każdy organ nadzorczy powinien zostać wyposażony w zasoby, pomieszczenia i infrastrukturę niezbędne do skutecznego wykonywania zadań. Sama procedura postępowania powinna natomiast być przede wszystkim szybka – w dzisiejszych czasach organ nadzorczy zajmujący się ochroną naszych danych musi działać sprawnie, bo tylko wtedy ta ochrona ma jakikolwiek sens. Procedura, ale także wewnętrzna organizacja nowego urzędu, muszą więc zapewniać szybkie rozpatrywanie skarg, szybkie prowadzenie postępowań (na czele z nowymi postępowaniami uprzednich konsultacji, które zastąpią rejestrację zbiorów danych osobowych) i stosowanie uprawnień organu nadzorczego przyznanych mu przez rozporządzenie.
W Ministerstwie Cyfryzacji trwają obecnie prace nad nowym ustrojem organu nadzorczego. Kształt projektu nie jest na razie znany, pozostaje więc tylko mieć nadzieję, że postulaty w zakresie zapewnienia mu odpowiednich środków zostaną w praktyce zrealizowane. W przestrzeni publicznej pojawił się natomiast projekt przepisów regulujących procedurę postępowania przed organem nadzorczym, pochodzący od samego GIODO. I projekt ten, z jednym wyjątkiem, rozczarowuje.