Zbiór danych osobowych – zgłoszenie GIODO
Przetwarzanie danych osobowych może wiązać się z powstaniem zbioru danych osobowych. W takim wypadku na administratorze danych osobowych ciąży obowiązek zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Danych Osobowych (GIODO). W jakim trybie powinno to nastąpić i jakie grożą konsekwencje za uchybienie temu obowiązkowi?
Zgodnie z definicją zawartą w ustawie o ochronie danych osobowych, zbiór danych to “posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie”. A zatem, zbiór danych to taki zestaw, który umożliwia wyszukanie konkretnych danych przy zastosowaniu konkretnego kryterium wyszukiwania. Kryterium może być różne – wymienić tu można imię, nazwisko, pesel, miejscowość. Jeśli takie kryterium istnieje, należy przyjąć, że zestaw danych ma charakter uporządkowany, co oznacza, że mamy do czynienia ze zbiorem danych osobowych.
W konsekwencji, administratora danych osobowych ujętych w zbiorze danych zobowiązany jest zgłosić ten zbiór do rejestracji. Zgłoszenia dokonuje się Generalnemu Inspektorowi Danych Osobowych, który to organ prowadzi jawny, ogólnopolski rejestr zbiorów danych osobowych.
Zgłoszenie zbioru danych do rejestracji wiąże się z koniecznością udzielenia GIODO wielu informacji nt. posiadanego zbioru danych, w tym m. in. sposobu zbierania i przetwarzania danych oraz zastosowanych przez administratora środków technicznych i organizacyjnych, mających na celu zabezpieczenie danych osobowych. Wszystkie informacje powinny zostać ujęte na specjalnym druku zgłoszeniowym, stanowiącym załącznik do Rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11.12.2008 r. (Dz.U. Nr 229, poz. 1536).
W razie niespełnienia wymagań formalnych związanych ze zgłoszeniem, niedozwolonego przetwarzania danych bądź nie posiadania odpowiednich środków technicznych mających zapewnić bezpieczeństwo danych osobowych, GIODO wydaje decyzję o odmowie rejestracji zbioru danych.
Podkreślić należy, że administrator danych osobowych może rozpocząć ich przetwarzanie dopiero po zgłoszeniu zbioru danych do rejestracji.
Oczywiście, ustawa o ochronie danych osobowych przewiduje przypadki, gdy zgłoszenie zbioru danych do rejestracji nie jest konieczne. Katalog tych przypadków jest dość liczny (art. 43 omawianej ustawy).
Na koniec należy dodać, iż niezgłoszenie zbioru danych do rejestracji, gdy jest to wymagane, podlega penalizacji. Administratorowi danych grozi wówczas grzywna, kara ograniczenia wolności albo pozbawienia wolności do roku.