Jednym z podstawowych, przewidzianych ustawą prawną (art. 12 ust. 3) zadań Generalnego Inspektora Ochrony Danych Osobowych (GIODO) jest prowadzenie ogólnokrajowego rejestru zbiorów danych osobowych oraz udzielanie informacji o tego rodzaju zarejestrowanych zbiorach. W praktyce GIODO przyjmuje zgłoszenia baz danych osobowych do rejestracji, rozpatruje nadesłane wnioski pod względem spełnienia wymogów ustawowych, po czym gdy są one spełnione, dopisuje dany zbiór do Ogólnokrajowego rejestru zbiorów danych osobowych. Rejestr prowadzony przez GOPDO jest jawny. Oznacza to, że udostępnia się go publicznie do wglądu – m.in. za pomocą elektronicznej platformy e-GIODO, która umożliwia przeszukiwanie bazy danych według różnych kryteriów wyboru.
Kiedy nie trzeba rejestrować bazy danych w GIODO…
Nie każda baza danych wymaga rejestracji. Zbiory danych osobowych niewymagające rejestracji w GIODO to m.in. bazy związane z dokumentacją osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, rzecznika patentowego, doradcy podatkowego, biegłego rewidenta, oraz zbiory podmiotów uczących się lub studiujących. Rejestracja nie jest też wymagana w przypadku danych przetwarzanych w związku z zatrudnieniem, w celu wystawienia faktury lub rachunku, zrzeszonych w stowarzyszeniach, i tzw. danych powszechnie dostępnych. Warto jednak pamiętać, że brak konieczności rejestracji takich danych w GIODO nie zwalnia ich administratora z przestrzegania pozostałych obowiązków wynikających z przepisów ustawy o ochronie danych osobowych, w szczególności tych związanych z poufnością i bezpieczeństwem.
…a kiedy jest to konieczne?
Rejestracji w GIODO podlegają w szczególności wszelkie bazy danych osobowych związane ze sklepami internetowymi. Baza klientów takiego sklepu jest w sposób ciągły przetwarzana w różnych celach (powiadomienia, realizacja i monitorowanie zamówień, marketing i inne) i przez to jest zbiorem danych w rozumieniu Ustawy o Ochronie Danych Osobowych. Baza taka zwykle nie może jednak być zgłoszona do rejestracji w GIODO jako jeden ciągły zbiór danych osobowych, ponieważ dla realizacji różnych celów przeprowadza się na niej przetwarzanie danych w różnych zakresach. W praktyce oznaczać to będzie, że zgłoszenie do rejestracji będzie obejmować kilka powiązanych ze sobą zbiorów danych osobowych, prowadzonych w różnych celach, przy czym jedno konkretne zgłoszenie zbioru może obejmować tylko jeden zbiór danych (zgodnie z art. 41 w.w. Ustawy).
Administrator danych, dokonując zgłoszenia zbioru danych do rejestracji, powinien mieć na uwadze, iż poszczególne zbiory danych osobowych różnią się między sobą m.in. zakresem przetwarzanych danych, celem przetwarzania danych, podstawą prawną prowadzenia zbioru. Dlatego, wypełnienie jednego zgłoszenia dla kilku zbiorów danych osobowych nie pozwala na jednoznaczne scharakteryzowanie ich podzbiorów wydzielonych ze względu na różne kryteria, takie jak REGON, miasto, nazwisko itp., przez co trudno jest wskazać dla nich charakterystyczne elementy decydujące o ich tożsamości i w efekcie nie jest możliwe stwierdzenie, jaki zakres informacji dotyczy każdego z tych zbiorów.
W przypadku dość typowej, ogólnie rozumianej bazy danych personalnych sklepu internetowego mamy do czynienia z wieloma typami danych i relacji – takich jak realizacja zamówień, prowadzenie statystyk sprzedaży, czy baza danych umów cywilnoprawnych. Związane są z nimi różne zbiory danych, prowadzonych w różnych celach. W praktyce sprowadza się do do tego, że każdy z nich powinien zostać zgłoszony na oddzielnym formularzu zgłoszeniowym. Należy wówczas poprawnie określić i wpisać w nim zakres gromadzonych informacji i cele, dla jakich są one gromadzone i przetwarzane.