Obowiązek zarejestrowania zbiorów danych osobowych

Zbiór danych osobowych należy zgłosić do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (GIODO). Zmiany w ustawie o ochronie danych osobowych, które weszły w życie 1 stycznia 2015 r., nie wprowadziły ogólnego zwolnienia z obowiązku rejestracji takich zbiorów.

Zbiory nadal więc należy rejestrować w GIODO – chyba, że w firmie powołano administratora bezpieczeństwa informacji (ABI) i zgłoszono tego administratora do rejestracji w GIODO. Wówczas to ABI prowadzi rejestr zbiorów danych osobowych na potrzeby firmy – takich zbiorów nie rejestruje się wtedy w GIODO.

Obowiązek zarejestrowania zbiorów danych osobowych – które dane są zwolnione z obowiązku rejestracji?

Od 1 stycznia 2015 r. nie trzeba już zgłaszać do rejestracji zbiorów, które nie są prowadzone z wykorzystaniem systemów informatycznych. Wyjątkiem są zbiory, zawierające tzw. dane wrażliwe, o których mowa w art. 27 ust. 1 ustawy). Gdyby więc Czytelnik przetwarzał dane wyłącznie w zbiorze „papierowym”, to nie musiałby takiego zbioru zgłaszać do rejestracji. W praktyce zbiory danych klientów zapisuje się w formie elektronicznej. Trzeba więc je albo rejestrować w GIODO, albo powołać administratora bezpieczeństwa informacji. Następnie należy zarejestrować go w GIODO i wciągnąć zbiór do rejestru zbiorów prowadzonego przez ABI.

Zwolnienie z obowiązku rejestracji dotyczy również m. in zbiorów danych:

• przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
• danych osób fizycznych prowadzących działalność gospodarczą w związku ze świadczeniem administratorowi danych przez te osoby usług na podstawie umów cywilnoprawnych (np. umowy zlecenia, umowy o dzieło);
• osób korzystających u administratora danych z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
• powszechnie dostępnych, przetwarzanych w zakresie drobnych bieżących spraw życia codziennego (np. lista kontaktów w telefonie).

W opisanej sytuacji należy zatem, albo zgłosić zbiór danych do rejestracji GIODO, albo powołać i zarejestrować w GIODO administratora bezpieczeństwa informacji. Administrator ten wciągnie zbiór do prowadzonego przez siebie rejestru.

Jak zgłosić zbiór danych do rejestracji?

Zgłoszenia zbioru danych do rejestracji można dokonać w formie papierowej lub elektronicznej (z bezpiecznym podpisem elektronicznym). Pośrednim sposobem dokonania zgłoszenia jest wysłanie go drogą elektroniczną, bez użycia podpisu elektronicznego. Następnie należy uzupełnić zgłoszenia w formie papierowej. Aplikacja do elektronicznego zgłoszenia znajduje się na stronie internetowej GIODO.

Za naruszenie obowiązku zgłoszenia zbioru do rejestracji grozi odpowiedzialność karna. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku (art. 53 ustawy).