Rejestr zbiorów danych osobowych jest prowadzony przez Generalnego Inspektora Danych Osobowych (GIODO), który udostępnia również wyszukiwarkę zbiorów danych osobowych, które zostały do niego zgłoszone. Wyszukiwarka umożliwia odnajdywanie po nazwie administratora danych, miejscowości, nazwie zgłoszonego zbioru, numerze księgi rejestrowej oraz numerze zgłoszenia zbioru. Ponieważ te kryteria wyszukiwania mogą być czasem niewystarczające, GIODO udostępniło również wyszukiwanie szczegółowe obejmujące ponadto siedzibę administratora danych (nazwę miejscowości, ulicy, kod pocztowy) oraz numer REGON.
Zarówno wniosek o zgłoszenie zbioru danych jak i wniosek aktualizacyjny można przesłać drogą elektroniczną. Przy czym pamiętać należy, że jeśli wniosek opatrujemy bezpiecznym podpisem elektronicznym, wówczas wystarczy go przesłać wyłącznie drogą elektroniczną, jeśli natomiast nie jest podpisywany w ten sposób, należy go dodatkowo wydrukować, opieczętować, podpisać i wysłać pocztą tradycyjną.
Na stronie GIODO znajduje się „przejście” do obu wyszukiwarek oraz do rejestracji zbiorów.
Kto powinien zarejestrować zbiór danych osobowych?
Odpowiedź jest prosta – administrator, czyli osoba decydująca o celach i środkach przetwarzania danych osobowych. Najczęściej administratorem jest przedsiębiorca, ale także różnego rodzaju organizacje, instytucje, stowarzyszenia, itp. Przy czym należy pamiętać, że ustawa o ochronie danych osobowych przewiduje również odpowiedzialność karną za nienależyte wywiązywanie się z obowiązków, która dotyczy konkretnych osób, które dopuściły do zaniedbań.
Jakie zbiory danych podlegają rejestracji?
Zgodnie z ustawą, zbiorem danych jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie. GIODO wyjaśnia na swojej stronie, że „żeby jakikolwiek zestaw danych zaklasyfikować jako zbiór w rozumieniu przepisów ustawy o ochronie danych osobowych, wystarczające jest kryterium umożliwiające odnalezienie danych osobowych w zestawie. Możliwość wyszukania według jakiegokolwiek kryterium osobowego (np. imię, nazwisko, data urodzenia, PESEL) lub nieosobowego (np. data zamieszczenia danych w zbiorze) przesądza o uporządkowanym charakterze zestawu danych i tym samym umożliwia zakwalifikowanie tego zestawu jako zbioru danych osobowych”.
Jeśli zatem posiadamy zestaw danych osobowych, który odpowiada powyższemu opisowi, najprawdopodobniej powinniśmy go zarejestrować jako zbiór danych osobowych, o ile nie istnieją przesłanki zwalniające nas od tego obowiązku, o czym poniżej.
Które zbiory danych są zwolnione z obowiązku rejestracji?
Na podstawie w art. 43 ust. 1 ustawy o ochronie danych osobowych zwolnione są zbiory:
1. zawierające informacje niejawne,
2. które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności,
3. przetwarzane przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym,
4. przetwarzane przez Generalnego Inspektora Informacji Finansowej,
5. przetwarzane przez właściwe organy na potrzeby udziału RP w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym,
6. dotyczące osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego,
7. przetwarzane w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się,
8. dotyczące osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta,
9. tworzone na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego,
10. dotyczące osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności,
11. przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej,
12. powszechnie dostępne,
13. przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego,
14. przetwarzane w zakresie drobnych bieżących spraw życia codziennego.
Kiedy możemy przetwarzać dane osobowe?
To zależy. W prawie polskim funkcjonują dwie „kategorie” danych osobowych. Zwykłe dane osobowe możemy przetwarzać po zgłoszeniu zbioru danych do GIODO. I tu wyjaśnijmy dwie kwestie. Pierwsza to ta, że przez zgłoszenie należy rozumieć przesłanie zgłoszenia do GIODO a nie samą rejestrację, która może trochę potrwać. Druga to ta, że przez przetwarzanie danych należy rozumieć jakiekolwiek operacje wykonywane na danych osobowych (zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te, które wykonuje się w systemach informatycznych), a zatem zgłoszenie należy wykonać przed rozpoczęciem zbierania danych.
Drugi rodzaj danych osobowych to tzw. dane wrażliwe, sensytywne, bardziej chronione. Należą do nich, zgodnie z art. 27 ust. 1 ustawy o ochronie danych osobowych dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące
skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym. Takie dane można przetwarzać dopiero po zarejestrowaniu zbioru przez GIODO.
Należy również pamiętać, że w przypadku zmiany danych objętych rejestracją, w ciągu 30 dni od chwili zaistnienia tych zmian, należy zgłosić aktualizację.
To ważne:
1. GIODO „z automatu” nie nakłada żadnych kar za nie zgłoszenie zbioru. Wszelkie maile rozsyłane w tej sprawie o większych czy mniejszych sankcjach karnych mają na celu wyłącznie wprowadzenie w błąd przedsiębiorców (i prawdopodobnie wymuszenie zakupu usługi),
2. samo zgłoszenie zbioru to tylko część pracy, która może okazać się trudna zwłaszcza dla osób, które same prowadzą firmę, ale posiadają lub raczej zamierzają posiadać taki zbiór. Poza zgłoszeniem należy stworzyć również dokumentację przetwarzania danych osobowych (często zwaną polityką przetwarzania danych osobowych), z uwzględnieniem warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (jeśli oczywiście dane są przetwarzane w systemach informatycznych). Politykę tę należy stworzyć w oparciu o rozporządzenie MSWiA w tej sprawie.
Podstawa prawna: ustawa o ochronie danych osobowych, rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych.
Artykuł uwzględnia stan prawny na dzień 03.03.2014 r.