Zgłoszenie zbioru

Do 1 stycznia 2015r. obowiązek rejestracji zbioru był jednym z podstawowych obowiązków, jakie nakładała na administratora danych osobowych ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych.

Ustawodawca wyliczał szereg wyjątków od tej zasady. Z obowiązku rejestracji zbiorów zwolnieni byli administratorzy danych:

  • zawierających informacje niejawne,
  • danych które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
  • przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
  • przetwarzanych przez Generalnego Inspektora Informacji Finansowej,
  • przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
  • przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej,
  • dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
  • przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
  • dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
  • tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
  • dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
  • przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
  • powszechnie dostępnych,
  • przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
  • przetwarzanych w zakresie drobnych bieżących spraw życia codziennego,

Jedną z kluczowych zmian w ustawie wprowadzonych 1 stycznia 2015r. jest zwolnienie z obowiązku rejestracji:

  • zbiorów administratorów danych, którzy  powołali i zgłosili Generalnemu Inspektorowi Danych Osobowych administratora bezpieczeństwa informacji. Nie dotyczy to jednak zbiorów, w których przetwarzane są dane wrażliwe;
  • „tradycyjnych” zbiorów danych (które nie są prowadzone z wykorzystaniem systemów informatycznych), o ile nie będą zawierały danych wrażliwych;

Należy jednak pamiętać, iż zwolnienie z obowiązku rejestracji zbioru nie zwalnia administratora danych z innych, nałożonych przepisami ustawy obowiązków, takich jak dołożenie szczególnej staranności przy przetwarzaniu danych, a w szczególności przestrzeganie zasad legalności, celowości, adekwatności, czasowego ograniczenia przetwarzania danych osobowych, oraz obowiązku informacyjnego.
Zgodnie z art. 46 ust. 1 ustawy administrator danych może rozpocząć przetwarzanie danych w zbiorze po zgłoszeniu tego zbioru do rejestracji Generalnemu Inspektorowi z zastrzeżeniem sytuacji, gdy administrator danych osobowych zamierza przetwarzać w zbiorze tzw. „dane wrażliwe” czyli dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym, wówczas zbieranie tego typu danych może rozpocząć dopiero po zarejestrowaniu zbioru (art. 46 ust. 2 ustawy).

Stosownie do art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:

  • wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych,
  • oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
  • cel przetwarzania danych,
  • opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
  • sposób zbierania oraz udostępniania danych,
  • informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
  • opis środków technicznych i organizacyjnych zastosowanych w celach zabezpieczenia danych osobowych,
  • informację o sposobie wypełniania warunków technicznych i organizacyjnych jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych,
  • informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.

Zgłoszenie takie powinno zostać podpisane przez administratora danych lub inną osobę upoważnioną do reprezentowania wnioskodawcy. Zgłoszenia należy dokonać na formularzu, którego wzór stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536). Zgłoszenie można przesłać pocztą lub złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych (ul. Stawki 2, 00-193 Warszawa). Od lipca 2006 r. zgłoszenia można dokonać także drogą elektroniczną, z użyciem bezpiecznego podpisu elektronicznego. Zgłoszenia można również dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie złożyć zgłoszenie w formie tradycyjnej uzupełnione o podpis wnioskodawcy.

Zgodnie z art. 41 ust. 2 ustawy administrator danych jest obowiązany zgłaszać Generalnemu Inspektorowi każdą zmianę informacji zawartych w zgłoszeniu, w terminie 30 dni od dnia dokonania zmiany, z zastrzeżeniem „danych wrażliwych” przy zmianie których zgłoszenie zmiany powinno poprzedzać jakiekolwiek zmiany w zbiorze. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbioru danych

Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych natomiast w przypadku „danych wrażliwych, Generalny Inspektor z urzędu wydaje administratorowi danych zaświadczenie o zarejestrowaniu zbioru niezwłocznie po dokonaniu rejestracji.

Ustawa o ochronie danych osobowych określa również przesłanki, których zaistnienie skutkuje wydaniem przez GIODO decyzji o odmowie rejestracji zbioru danych. Sytuacja taka ma miejsce gdy zgłoszenie nie zawiera wszystkich wymaganych informacji, przetwarzanie danych naruszałoby podstawowe zasady np.: legalności i adekwatności, gdy nie został dopełniony obowiązek informacyjny gdy administrator nie ma podstawy prawnej do przetwarzania danych itd. W przypadku zaistnienia takich sytuacji Generalny Inspektor nakazuje:
1.    Ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wyłącznie do ich przechowywania lub
2.    Zastosowanie innych środków tj.:
a.    usunięcie uchybień,
b.    uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
c.    zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
d.    wstrzymanie przekazywania danych osobowych do państwa trzeciego,
e.    zabezpieczenie danych lub przekazanie ich innym podmiotom,
f.    usunięcie danych osobowych.