Fajgielski Paweł, Rejestracja zbioru danych osobowych

Rejestracja zbioru danych osobowych

Zgodnie z art. 175 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), art. 1, art. 2, art. 3 ust. 1, art. 4-7, art. 14-22, art. 23-28, art. 31 oraz rozdziały 4, 5 i 7 ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723) zachowują moc w odniesieniu do przetwarzania danych osobowych w celu rozpoznawania, zapobiegania, wykrywania i zwalczania czynów zabronionych, prowadzenia postępowań w sprawach dotyczących tych czynów oraz wykonywania orzeczeń w nich wydanych, kar porządkowych i środków przymusu w zakresie określonym w przepisach stanowiących podstawę działania służb i organów uprawnionych do realizacji zadań w tym zakresie, w terminie do dnia wejścia w życie przepisów wdrażających dyrektywę Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylającą decyzję ramową Rady 2008/977/WSiSW (Dz. Urz. UE L 119 z 04.05.2016, str. 89).

Zgodnie z art. 166 ust. 1 i 2 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych (Dz. U. poz. 1000), z dniem wejścia w życie przedmiotowej ustawy Generalny Inspektor Ochrony Danych Osobowych staje się Prezesem Urzędu Ochrony Danych Osobowych. Osoba, która została powołana na stanowisko Generalnego Inspektora Ochrony Danych Osobowych, na podstawie ustawy z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (Dz. U. z 2016 r. poz. 922 oraz z 2018 r. poz. 138 i 723), pozostaje na stanowisku do czasu upływu kadencji, na którą została powołana.

Ustawa o ochronie danych osobowych (art. 40) nakłada na administratora danych obowiązek zgłoszenia zbioru danych do rejestracji. W przepisach określone zostały kwestie dotyczące: zawartości zgłoszenia rejestracyjnego, zwolnień z obowiązku rejestracji oraz procedury rejestracyjnej.

Rejestracja zbiorów danych osobowych przez Generalnego Inspektora Ochrony Danych Osobowych ma służyć jawności procesów przetwarzania danych oraz umożliwić organowi wstępną kontrolę zgodności przetwarzania danych z prawem.

Zgłoszenie rejestracyjne dokonane być może przy wykorzystaniu formularza stanowiącego załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536), istnieje także możliwość wypełnienia elektronicznego formularza zgłoszeniowego na stronie internetowej GIODO, pod adresem https://egiodo.giodo.gov.pl.

Generalny Inspektor prowadzi jawny rejestr zbiorów danych osobowych, do którego wpisywane są zbiory zarejestrowane przez GIODO. Rejestr jest dostępny na stronie internetowej GIODO, pod adresem https://egiodo.giodo.gov.pl.

Wskutek nowelizacji u.o.d.o., która weszła w życie z dniem 1 stycznia 2015 r., do art. 43 u.o.d.o. dodano nowe zwolnienia, przez co obowiązek rejestracji zbiorów został ograniczony.

Jeżeli administrator danych ma zamiar przetwarzać dane osobowe, to powinien sprawdzić, czy ciąży na nim obowiązek zgłoszenia zbioru danych do rejestracji.

Wyłączenia z obowiązku rejestracyjnego określone zostały w art. 43 ust. 1 oraz ust. 1a u.o.d.o. Wskutek nowelizacji u.o.d.o., która weszła w życie z dniem 1.01.2015 r. zwolnione z rejestracji zostały zbiory danych, które nie są prowadzone z wykorzystaniem systemów informatycznych (zbiory tradycyjne, papierowe), jednakże z wyłączeniem zbiorów zawierających dane sensytywne (o których mowa w art. 27 ust. 1 u.o.d.o). Ponadto, zgodnie z przepisem art. 43 ust 1a u.o.d.o., administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go do GIODO nie musi zgłaszać prowadzonych przez siebie zbiorów do rejestracji. Zwolnienie to nie dotyczy jednak zbiorów zawierających dane sensytywne, które to zbiory nadal podlegają rejestracji.

Jeśli administrator nie został zwolniony z tego obowiązku, to powinien zgłosić zamiar przetwarzania danych w zbiorze do GIODO. Skoro przepisy u.o.d.o. uzależniają możliwość rozpoczęcia przetwarzania danych w zbiorze od zgłoszenia zbioru do rejestracji (bądź zarejestrowania zbioru w przypadku danych, o których mowa w art. 27 ust. 1 u.o.d.o.) należy przyjąć, iż zgłoszenie powinno zostać dokonane przed rozpoczęciem przetwarzania danych w zbiorze (na etapie planowania bądź gromadzenia danych z zamiarem włączenia ich do zbioru).

Przedmiotem zgłoszenia rejestracyjnego jest zbiór danych (rozumiany zgodnie z art. 7 pkt 1 u.o.d.o.), a nie sam fakt przetwarzania danych. Zgłoszenie obejmuje opis zbioru, natomiast nie przekazuje się do GIODO samego zbioru. Do zgłoszenia w obecnym stanie prawnym nie dołącza się także dokumentacji przetwarzania danych (polityki i instrukcji).

Wniosek o zarejestrowanie zbioru powinien zostać dokonany z wykorzystaniem formularza stanowiącego załącznik do Rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (Dz. U. Nr 229, poz. 1536). W celu dokonania zgłoszenia można również wykorzystać formularz elektroniczny, dostępny na stronie internetowej GIODO, pod adresem https://egiodo.giodo.gov.pl.

Wniosek powinien być podpisany przez administratora danych, w przypadku gdy jest on osobą fizyczną, bądź przez osobę uprawnioną do reprezentowania administratora danych.

Elementy zgłoszenia wskazane zostały w przepisie art. 41 ust. 1 u.o.d.o.

Zgłoszenie można złożyć w biurze GIODO lub przesłać pocztą na adres: ul. Stawki 2, 00-193 Warszawa. Zgłoszenia elektronicznego można dokonać za pośrednictwem strony internetowej GIODO, pod adresem https://egiodo.giodo.gov.pl.

Zgłoszenie zbioru danych do rejestracji u GIODO nie podlega opłacie skarbowej.