Obowiązek rejestracyjny zbiorów danych

Ustawa o ochronie danych osobowych (uodo) nakłada na administratorów danych szereg obowiązków, do których zaliczają się m. in. obowiązki rejestracyjne względem GIODO, w tym zgłoszenie zbioru danych do rejestracji (art. 40 uodo) oraz obowiązek zgłoszenia powołania i odwołania Administratora Bezpieczeństwa Informacji (ABI, art. uodo).

Co do zasady, administrator danych jest zobowiązany zgłosić zbiór danych do rejestru Generalnemu Inspektorowi Ochrony Danych. Ustawa jednak przewiduje, w niektórych sytuacjach wyłączenia z tego obowiązku. Obowiązkowi rejestracji zborów danych nie podlegają zatem zbiory:

– zawierające informacje niejawne

– które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;

– przetwarzane przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;

– przetwarzane przez GIODO;

– przetwarzane przez właściwe organy na potrzeby udziału RP w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

– przetwarzane przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich UE;

– dotyczące osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;

– przetwarzane w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;

– dotyczące osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

– tworzone na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;

– dotyczące osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;

– przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

– powszechnie dostępne;

– przetwarzane w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;

– przetwarzane w zakresie drobnych bieżących spraw życia codziennego;

– przetwarzane w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.

 

Ponadto z obowiązku rejestracji zbiorów danych osobowych, za wyjątkiem zbiorów zawierających dane sensytywne, zwolniony jest administrator danych, który powołał Administratora Bezpieczeństwa Informacji i zgłosił go GIODO.

Administrator danych oprócz zgłoszenia zbioru do rejestru GIODO jest zobowiązany do zgłaszania każdej zmiany w zbiorze w terminie 30 dni od dnia dokonania zmiany.
W sytuacji, gdy zmiana dotyczy rozszerzenia zakresu danych o dane z pochodzące z katalogu danych szczególnie chronionych, wówczas administrator  jest zobowiązany do zgłoszenia tej zmiany przed przystąpieniem do przetwarzania.