Jednym z podstawowych obowiązków, jakie ustawa nakłada na administratorów danych osobowych jest obowiązek zgłoszenia do rejestracji zbiorów, w których dane są przetwarzane. W moich rozmowach z klientami wdrażającymi w swoich organizacjach system ochrony danych osobowych kwestia ta jest, co ciekawe, jedną z kluczowych. Wszystko to związane jest z faktem istnienia dość szerokiego katalogu wyłączeń spod tego obowiązku, co wywołuje jednak w praktyce pewne trudności w podjęciu decyzji o zgłoszeniu.

Zgodnie z art. 40 ustawy o ochronie danych osobowych administrator danych obowiązany jest co do zasady zgłosić Generalnemu Inspektorowi Danych Osobowych do rejestracji zbiory, w których dane są przetwarzane. Zgłoszenie takie zawierać powinno w szczególności:

  1. oznaczenie administratora danych,
  2. cel przetwarzania danych ujętych w zgłaszanym zbiorze,
  3. kategorie osób, których dane dotyczą i zakres przetwarzanych danych,
  4. sposób zbierania danych,
  5. opis środków technicznych i organizacyjnych służących zabezpieczeniu danych.

Na papierze lub elektronicznie

Co oczywiste, zgłoszenie może zostać dokonane tradycyjnie, na papierowym formularzu. Nie jest to jednak jedyna dopuszczona prawem forma.

Administrator może posłużyć się również formą elektroniczną. Oczywiście w grę wchodzi tutaj znany, choć nadal niezbyt popularny certyfikowany podpis elektroniczny. W tym przypadku, procedura zgłoszeniowa jest w zasadzie identyczna z procedurą „papierową”, a jedyną różnicą jest właśnie forma w jakiej dokument – zgłoszenie jest składany.

Przepisy umożliwiają jednak administratorowi dokonanie zgłoszenia drogą elektroniczną bez wykorzystania podpisu certyfikowanego. Niestety, takie zgłoszenie i tak wymagać będzie uzupełnienia dokonanego już w formie papierowej… Ma to jednak istotne znaczenie, z uwagi na fakt, iż przetwarzanie danych może zostać rozpoczęte dopiero w momencie dokonania odpowiedniego zgłoszenia!

Do tego momentu sprawa zgłoszenia zbiorów do rejestracji wydaje się być dość prosta…

Czy zawsze zgłaszać?

W treści przepisu art. 43 ust. 1 ustawy znalazł się katalog zbiorów, które spod obowiązku rejestracyjnego są wyłączone. Znalazły się tam między innymi zbiory:

  1. danych pracowniczych,
  2. danych koniecznych do wystawienia faktur i rachunków,
  3. danych powszechnie dostępnych,
  4. danych przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Jest to spore ułatwienie, choć… czym są drobne bieżące sprawy życia codziennego? O ile wykaz telefonów w recepcji, czy lista klientów, do których z okazji Bożego Narodzenia powinny trafić kartki z życzeniami bez wątpienia zaliczyć należy do tej kategorii, to większy problem sprawiają takie zbiory jak np. księga wejść i wyjść zawierająca imiona i nazwiska, a często również numery dowodów tożsamości osób przebywających na terenie danego zakładu.

ABI pomoże

W wyniku nowelizacji ustawy o ochronie danych osobowych, która weszła w życie z dniem 1 stycznia 2015 r., życie administratora danych zostało nieco ułatwione, o ile zdecydował się on na powołanie w swojej organizacji administratora bezpieczeństwa informacji (ABI). Przepis art. 43 ust. 1a. stanowi wyraźnie, że z obowiązku rejestracji zbiorów zwolnieni są administratorzy danych, którzy ABI powołali, przy czym wyłączenie to dotyczy tylko danych zwykłych. Zbiory danych wrażliwych, w tym np. danych medycznych, obowiązkowi rejestracji wciąż podlegają.

Zbiory niezarejestrowane ujęte być powinny w wewnętrznym, prowadzonym przez ABI rejestrze. Coś za coś… choć ujęcie zbioru w rejestrze przez ABI pozwala przezwyciężyć trudności związane z oceną istnienia lub nieistnienia konieczności rejestracji każdego konkretnego zbioru. Odpada bowiem dylemat związany z kwalifikowaniem zbioru jako posiadającego cechy pozwalające na wyłączenie go spod obowiązku rejestracji na podstawie przepisu art. 43 ust. 1 ustawy.

A co jeśli nie zarejestruję zbioru?

Jak to zwykle bywa w przypadku ochrony danych osobowych, niedopełnienie obowiązku zgłoszenia zbioru do rejestracji zagrożone jest sankcją karną. Kto bowiem będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, stosownie do treści przepisu art. 53 ustawy, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

Wydaje się więc, że nie warto ryzykować niezgłoszenia zbioru, szczególnie w przypadku, gdy całą procedurę ułatwić można powołując ABI, który czuwać będzie nad wewnętrznym rejestrem obejmującym wszystkie zbiory przetwarzanych u danego administratora danych.