Coraz mniej firm lekceważy obowiązek rejestracji zbioru danych

Mimo wzrostu świadomości prawnej wśród przedsiębiorców w dalszym ciągu część z nich nie rejestruje prowadzonych przez siebie zbiorów danych. Najczęściej podawanym powodem jest uciążliwość tego obowiązku lub też obawa przed ewentualną kontrolą ze strony generalnego inspektora ochrony danych osobowych (GIODO).

Zacznij od zgłoszenia

Przewidziana w art. 40 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (t.j. Dz.U. z 2002 r. nr 101, poz. 926 z późn. zm., dalej: u.o.d.o.) konieczność zgłoszenia do rejestracji zbioru danych jest jednym z podstawowych obowiązków każdego administratora. Nie jest on oczywiście jedyny i trzeba o tym pamiętać. Część przedsiębiorców prowadzących zbiory danych niepodlegające rejestracji zapomina, że u.o.d.o. przewiduje tych obowiązków znacznie więcej, a brak konieczności rejestracji nie wyłącza stosowania pozostałych jej przepisów.

Zgłoszenie zbioru danych jest zadaniem administratora, a więc podmiotu, który decyduje o celach i środkach przetwarzania danych osobowych. Stwierdzenie to jest o tyle istotne, że inny podmiot, np. przetwarzający dane na zlecenie, nie może zarejestrować zbioru danych za administratora. Chodzi tu oczywiście o zgłoszenie zbioru w rozumieniu materialnym, a nie o samą czynność polegającą na złożeniu wniosku o rejestrację zbioru, ta bowiem może być dokonana przez pełnomocnika. W sytuacji więc, gdy przedsiębiorca zleca zbieranie danych firmie zewnętrznej, która dodatkowo przechowuje zebrane dane, zgłoszenia musi dokonać administrator, a nie ta firma.

Dla realizacji omawianego obowiązku nie ma znaczenia, czy dane są przetwarzane w formie papierowej, czy elektronicznej - albo czy są rozproszone. Istotne jest to, że zgłoszenie rejestracyjne musi nastąpić w przypadku przetwarzania danych w zbiorze. W istocie chodzi więc o zgłoszenie procesu przetwarzania danych, który odbywa się w zbiorze danych. Wniosek taki wynika z treści art. 46 u.o.d.o., który stanowi, że administrator może rozpocząć przetwarzanie danych w zbiorze po zgłoszeniu go GIODO. Obowiązek rejestracji nie dotyczy więc administratorów przetwarzających dane poza zbiorem. W praktyce jednak sytuacje przetwarzania danych poza zbiorem danych będą rzadkością.

Im szybciej, tym lepiej

Z treści przywołanego powyżej art. 46 u.o.d.o. wynika, że zgłoszenie rejestracyjne powinno nastąpić jeszcze przed rozpoczęciem przetwarzania danych. Jak należy interpretować ten przepis? Pamiętając, że zgodnie z u.o.d.o. przetwarzaniem danych jest jakakolwiek operacja na nich wykonywana (łącznie z ich zbieraniem), dochodzimy do wniosku, że administrator zamierzający przetwarzać dane w zbiorze powinien dokonać zgłoszenia jeszcze przed zebraniem danych. Data zgłoszenia zbioru do rejestracji będzie więc momentem, od którego administrator będzie uprawniony do przetwarzania danych w zbiorze, a więc również ich zbierania.

Powyższa reguła nie znajduje zastosowania w przypadku przetwarzania w zbiorze danych wrażliwych, a więc danych ujawniających np. informacje o stanie zdrowia. Ustawodawca przyjął bowiem, że przetwarzanie tego rodzaju danych w zbiorze może się rozpocząć dopiero po zarejestrowaniu zbioru. Jeżeli więc administrator przetwarza w zbiorze zarówno dane zwykłe, jak i wrażliwe, chwilą, w której może rozpocząć ich przetwarzanie, będzie dzień zarejestrowania (a nie zgłoszenia do rejestracji) zbioru danych przez GIODO.

Samo zgłoszenie zbioru do rejestracji jest czynnością o charakterze formalnym i informacyjnym. Wypełniając wniosek, administrator nie podaje informacji ze zbioru, a jedynie informuje GIODO m.in. o tym, jakie dane i w jakich celach będą przetwarzane, kogo one dotyczą, jaka jest podstawa prawna ich przetwarzania, czy powierzył lub powierzy ich przetwarzanie podmiotowi trzeciemu albo czy zamierza przekazać dane ze zbioru do krajów spoza Europejskiego Obszaru Gospodarczego. GIODO dokonuje oceny formalnej wniosku, ale również na podstawie przekazanych informacji może ocenić np., czy administrator przestrzega zasady adekwatności (czyli czy zakres przetwarzanych danych jest adekwatny do celu ich przetwarzania) lub czy wprowadzone zostały odpowiednie rozwiązania mające na celu zabezpieczenie danych. Zarejestrowanie zbioru przez GIODO nie stanowi jednak gwarancji, że przetwarzanie danych w zbiorze jest zgodne z prawem.

Kiedy nie zgłaszać

Ustawowy obowiązek rejestracji zbioru danych jest regułą. Zamknięty katalog wyjątków został przewidziany w art. 43 u.o.d.o. I tak, nie muszą rejestrować zbiorów między innymi administratorzy danych przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się, danych przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej albo danych powszechnie dostępnych.

Ocena, czy zachodzi jeden z ustawowych przypadków, w których nie jest konieczna rejestracja zbioru, należy do administratora. Trzeba jednak pamiętać, że brak obowiązku rejestracji jest wyjątkiem, a wyjątków, zgodnie z zasadami wykładni prawa, nie należy interpretować rozszerzająco. Jaka powinna być decyzja administratora przetwarzającego w zbiorze między innymi dane ogólnie dostępne, podczas gdy znajdują się tam również dane osobowe nieposiadające takiego charakteru? Otóż właściwym będzie zgłoszenie takiego zbioru do rejestracji, aby bowiem skorzystać z przywołanego wyjątku, wszystkie dane przetwarzane w zbiorze musiałyby mieć charakter ogólnie dostępny, a nie tylko część z nich. Podobnie będzie w sytuacji, w której przetwarzane w zbiorze dane są wykorzystywane do wystawienia faktury lub rachunku, ale nie jest to jedyny cel ich przetwarzania. Wystawienie faktury lub rachunku musiałoby być jedynym (wyłącznym) celem przetwarzania danych w takim zbiorze, aby obowiązek rejestracji nie zaistniał.

Co w przypadku odmowy

Jeżeli po weryfikacji wniosku o rejestrację GIODO stwierdzi, że zachodzi jedna z przyczyn nie pozwalających zarejestrować takiego zbioru, wyda decyzję o odmowie rejestracji. Odmowa nie ma charakteru definitywnego i administrator po usunięciu zaistniałych uchybień ponownie może zgłosić go do rejestracji, jednak przetwarzanie danych w tym zbiorze będzie mógł on rozpocząć dopiero w momencie zarejestrowania tego zbioru danych.

Poinformuj o zmianach

Jeżeli zbiór danych został już zarejestrowany, administrator ma obowiązek zgłosić GIODO każdą zmianę informacji w nim zawartych w terminie 30 dni od dnia dokonania zmiany. Jeżeli więc administrator danych zacznie np. zbierać więcej danych niż dotychczas albo obok pierwotnego celu ich przetwarzania pojawi się kolejny cel lub też administrator powierzy przetwarzanie danych innemu podmiotowi, powinien to zgłosić. Do zgłaszania zmian stosuje się odpowiednio przepisy o rejestracji zbiorów danych. W praktyce wygląda ono w ten sposób, że administrator wypełnia formularz wniosku służący również do zgłaszania zbiorów, zaznaczając jednak, że składa go w celu aktualizacji informacji, a następnie wypełnia wyłącznie te części wniosku, których dotyczą wprowadzone zmiany, i pozostałą część formularza pozostawia pustą.

Inaczej sytuacja wygląda w przypadku zgłaszania pewnych zmian w zbiorze, w którym przetwarzanie są dane wrażliwe. Jeżeli bowiem administrator chce dokonać zmian dotyczących kategorii osób, których dane są przetwarzane w takim zbiorze, albo zakresu przetwarzanych danych, musi zgłosić GIODO te zmiany jeszcze przez ich dokonaniem.

Lepiej nie zapomnieć

Spółka wspomniana na wstępie powinna zatem zarejestrować zbiór danych zawierający adresy poczty elektronicznej klientów sklepu internetowego. Zgłoszenia można dokonać na dwa sposoby: wypełniając formularz wniosku o rejestrację i składając go w biurze GIODO lub też wypełniając formularz online dostępny za pośrednictwem strony internetowej www.giodo.gov.pl. Brak zgłoszenia rejestracyjnego może prowadzić do poważnych konsekwencji. U.o.d.o. przewiduje karę grzywny, ograniczenia wolności albo pozbawienia wolności do roku w sytuacji, gdy administrator nie zgłosił do rejestracji zbioru danych podlegającemu takiemu obowiązkowi.

Nieco statystyki

W 2011 roku administratorzy danych zgłosili do rejestracji GIODO blisko 15,5 tys. zbiorów danych, z czego ponad 30 proc. (ok. 5 tys.) stanowiły zbiory zgłoszone przez administratorów z sektora prywatnego. W stosunku do roku 2010 liczba zbiorów zgłaszanych przez te podmioty wzrosła o ok. 38 proc. Fakt ten bez wątpienia świadczy o zwiększaniu się świadomości prawnej przedsiębiorców w zakresie obowiązków przewidzianych w u.o.d.o. Na systematyczny wzrost liczby zgłaszanych co roku do rejestracji zbiorów wpływ ma także uproszczenie samego formularza wniosku oraz wprowadzenie możliwości złożenia takiego wniosku online.

@RY1@i02/2013/015/i02.2013.015.215000700.802.jpg@RY2@

Łukasz Czynienik, aplikant radcowski, Hogan Lovells

Łukasz Czynienik

aplikant radcowski, Hogan Lovells