Ustawa o ochronie danych osobowych przewiduje kilka sytuacji, kiedy stosowanie jej jest ograniczone lub zupełnie wyłączone. Ograniczone stosowanie ustawy następuje w przypadku:

a)     Zbiorów danych osobowych sporządzonych doraźnie wyłącznie ze względów technicznych, szkoleniowych lub w związku z dydaktyką w szkołach wyższych, a po ich wykorzystaniu niezwłocznie usuwanych lub poddanych anonimizacji (art. 2 ust. 3);

Przywilejem GIODO jest uczestniczenie w posiedzeniach Sejmu i zajmowanie głosu z pierwszeństwem przed innymi mówcami w sprawach objętych zakresem jego ustawowej działalności. W toku wykonywania zadań GIODO podlega wyłącznie ustawie. Oznacza to, że nie pozostaje w stosunku podległości służbowej (nie ma przełożonego, którego polecenia musiałby wykonywać). Ponadto przysługuje mu immunitet i jest objęty zakazem łączenia stanowisk i funkcji (incompatibilitas)[1].

Na mocy art. 8 ust. 4 u.o.d.o. Generalny Inspektor w zakresie wykonywania swoich działań podlega tylko ustawie. Postanowienie to łudząco przypomina konstytucyjną gwarancję niezawisłości sędziowskiej z art. 178 Konstytucji, stąd mówić można równie o niezawisłości GIODO. Niezawisłość ta w ścisły sposób koresponduje z ustrojową pozycją tego organu. GIODO jest bowiem centralnym organem administracji państwowej, usytułowanym poza administracją rządową i niezależnym od niej.

Organ ochrony danych osobowych

Administratorzy danych, którzy mają siedzibę, albo miejsce zamieszkania w państwie trzecim i przetwarzają dane osobowe przy użyciu środków technicznych znajdujących się na terytorium RP, są zobowiązani do ustanowienia przedstawiciela w Rzeczypospolitej Polskiej (art. 31a w zw. z art. 3 ust. 2 pkt 2). Obowiązek dotyczy wyznaczenia przedstawiciela na terytorium RP, w związku z czym nie jest wystarczające wyznaczenie go na terenie państw EOG[1].

Podmiot przetwarzający (ang. procesor) jest podmiotem prawnie odrębnym od administratora danych, który na podstawie umowy, w imieniu administratora danych i na jego rzecz przetwarza dane osobowe. Zgodnie bowiem z art. 31 ust. 1 uodo administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych.

Administratorem danych osobowych jest podmiot zobowiązany do przestrzegania ustawy, decydujący o celach i środkach przetwarzania danych osobowych (art. 7 pkt 4 ustawy). Wymaga podkreślenia, że warunki te (tj. zaliczenie do zakresu podmiotowego ustawy i decydowanie o celu i zakresie przetwarzania danych) muszą być spełnione łącznie[1].

Kolejną przesłanką wskazaną w art. 23 ust. 1 pkt 2) jest realizacja uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa. Przesłanka uległa zmianie wskutek nowelizacji ustawy z dnia 22 stycznia 2004 r. W pierwotnym brzmieniu przesłanka ta uznawała dopuszczalność przetwarzania danych osobowych, gdy zezwalały na to przepisy prawa. Analizując polską ustawę pod kątem zgodności z dyrektywą 95/46/WE, Komisja Europejska oceniła, że wskazana przesłanka ujęta została zbyt szeroko[1].

Przesłanki przetwarzania danych osobowych zwykłych ustawodawca umieścił w art. 23 Ustawy. Nazywa się je ogólnymi materialnymi przesłankami przetwarzania danych osobowych[1] Przesłanki te mają charakter generalny, odnoszą się do wszelkich form przetwarzania danych, w tym zarówno do przetwarzania "na własne potrzeby" administratora, jak i "na zewnątrz"; odmiennie kształtują się jedynie przesłanki usprawiedliwiające przetwarzanie danych wrażliwych (zob. art. 27 ust.