Najczęściej zgłaszane zbiory do rejestracji GIODO przez podmioty publiczne w roku 2009

Files in the storage room

Zagadnienia ogólne

Zgodnie z art. 40 u.o.d.o., zwanej dalej także ustawą, administrator danych ma obowiązek zgłosić zbiór danych osobowych do rejestracji GIODO, chyba że zachodzi jedna z przesłanek określonych w art. 43 ust. 1 u.o.d.o. – zwalniających administratora danych z powyższego obowiązku. Oznacza to, iż obowiązkowi rejestracji, co do zasady, podlegają wszystkie zbiory danych osobowych, a wyjątki od tej zasady określone zostały w art. 43 ust. 1 u.o.d.o. Jeżeli zatem określony zbiór danych osobowych nie spełnia żadnej z przesłanek wymienionych w art. 43 ust. 1 u.o.d.o., powinien on zostać zgłoszony do rejestracji GIODO. Dla lepszego zrozumienia powyższych przepisów należy podkreślić, iż zbiorem danych – w rozumieniu u.o.d.o. – jest każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie, natomiast administratorem danych jest organ, jednostka organizacyjna, podmiot lub osoba, o których mowa w art. 3 u.o.d.o., decydujące o celach i środkach przetwarzania danych osobowych.

W świetle art. 3 ust. 1 u.o.d.o. administratorami danych w sektorze publicznym mogą być organy państwowe, organy samorządu terytorialnego oraz państwowe i komunalne jednostki organizacyjne.

O powadze obowiązku rejestracji świadczy fakt, iż jego niedopełnienie jest przestępstwem określonym w art. 53 u.o.d.o., zgodnie z którym „kto, będąc do tego obowiązany, nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.

Administrator danych może rozpocząć przetwarzanie danych w zbiorze po jego zgłoszeniu GIODO, a w przypadku przetwarzania tzw. danych wrażliwych, o których mowa w art. 27 ust. 1 u.o.d.o., po zarejestrowaniu zbioru.

Zgłoszenia zbioru danych osobowych do rejestracji należy dokonać na urzędowym formularzu określonym w załączniku do rozporządzenia w sprawie rejestracji.

W przypadku podmiotów publicznych przepisy prawa stanowią, co do zasady, przesłankę upoważniającą te podmioty do przetwarzania danych osobowych w związku z wykonywaniem przez nie zadań określonych przepisami prawa. Dlatego też nie ma potrzeby spełniania przez te podmioty dodatkowej przesłanki, np. w postaci uzyskania zgody osoby, której dane dotyczą, na przetwarzanie jej danych. Wynika to przede wszystkim z Konstytucji, która w art. 7 stanowi, że organy władzy publicznej działają na podstawie i w granicach prawa, ale także z k.p.a., który w art. 6 stanowi, że ograny administracji publicznej działają na podstawie przepisów prawa. Mając powyższe na uwadze, podmioty publiczne powinny, we wnioskach rejestracyjnych, wskazywać konkretne akty prawne lub przepisy prawa upoważniające do prowadzenia określonego zbioru danych bądź przetwarzania konkretnych danych osobowych w zgłaszanym do rejestracji zbiorze. Dotyczy to zarówno przetwarzania zwykłych danych osobowych, jak i tzw. danych wrażliwych.
Analiza ogólnokrajowego rejestru zbiorów danych osobowych prowadzonego przez GIODO wskazuje, że zdecydowana większość zbiorów danych osobowych z sektora publicznego została zgłoszona do rejestracji przez jednostki samorządu terytorialnego, w szczególności przez gminy oraz powiaty. Trzeba przy tym odnotować duże rozbieżności w ilości zbiorów danych osobowych zgłoszonych przez te jednostki. W rezultacie – niektóre z nich zgłosiły kilkadziesiąt zbiorów danych, podczas gdy inne – zaledwie kilka. Jednocześnie należy podkreślić, że ostateczna liczba zbiorów danych osobowych prowadzonych w gminie czy powiecie zależy od samego administratora danych, który może zdecydować, czy w związku z wykonywaniem określonego zadania publicznego prowadzi jeden czy kilka zbiorów danych. Przykładowo, w związku z wymiarem i poborem podatków (rolnego, leśnego, podatków i opłat lokalnych), gmina może prowadzić jeden zbiór danych dotyczący powyższych podatków i opłat lub trzy zbiory danych (jeden dotyczący podatku rolnego, drugi dotyczący podatku leśnego, trzeci dotyczący podatków i opłat lokalnych), a nawet jeszcze większą liczbę zbiorów, tworząc osobne zbiory dla każdego podatku i opłaty lokalnej. Poza tym administrator danych, w związku z wykonywaniem zadań określonych w jednej konkretnej ustawie, może prowadzić jeden zbiór danych obejmujący wszystkie te zadania lub kilka zbiorów danych (każdy dotyczący innego zadania). Poza gminami i powiatami na szczeblu samorządowym znaczną ilość zbiorów danych osobowych zgłaszają do rejestracji gminne ośrodki pomocy społecznej, powiatowe centra pomocy rodzinie oraz województwa.

Prawidłowe wywiązanie się z obowiązku zgłoszenia zbioru danych osobowych do rejestracji sprawia administratorom danych wiele problemów. Przyczyną tego jest przede wszystkim rozbudowany wniosek zgłoszeniowy, ale także ciągle niska świadomość konieczności rejestracji zbiorów danych czy obowiązywania samej u.o.d.o. i niewielka wiedza na temat wymogów, jakie stawia u.o.d.o. Wniosek zgłoszeniowy zawiera pola, których uzupełnienie wymaga wiedzy prawniczej oraz informatycznej.

Końcowym skutkiem nieprawidłowości występujących w zgłoszeniach jest niezarejestrowanie zbioru danych osobowych. Najczęściej GIODO odmawia rejestracji zbioru danych w formie decyzji administracyjnej wydawanej na podstawie art. 44 ust. 1 u.o.d.o. 1. Jedynie w przypadku zgłoszeń niepodpisanych lub podpisanych przez osoby nieuprawnione decyzja administracyjna nie jest wydawana, a zgłoszenie pozostawiane jest bez rozpoznania (po uprzednim wezwaniu do uzupełnienia braków formalnych). W 2008 r. wydane zostały 163 decyzje o odmowie rejestracji zbioru danych, a już w 2009 r. takich decyzji wydano 419. Przed wydaniem decyzji o odmowie rejestracji lub pozostawieniem zgłoszenia bez rozpoznania GIODO wskazuje stronom stwierdzone uchybienia oraz umożliwia wypowiedzenie się co do zebranych dowodów i materiałów. W 2008 r. w toku prowadzonych postępowań rejestracyjnych organ ochrony danych skierował do wnioskodawców 2037 pism wskazujących braki w nadesłanych zgłoszeniach2 .

Reasumując, należy podkreślić, iż specyfika działania administratorów danych ze sfery publicznej stwarza konieczność zgłoszenia do rejestracji GIODO dużej (w stosunku do administratorów danych z sektora prywatnego) ilości zbiorów danych osobowych. Analizując prowadzony przez GIODO ogólnokrajowy rejestr zbiorów danych osobowych w zakresie realizacji obowiązku rejestracyjnego przez podmioty ze sfery publicznej, stwierdzić należy, iż obowiązek ten nie jest w pełni wykonywany. Niektóre podmioty zgłosiły bowiem do rejestracji więcej zbiorów danych, inne mniej (np. Gmina Miasta Łódź ma 126 zarejestrowanych zbiorów danych, podczas gdy Gmina Ropa – jedynie 4). Pewne zbiory danych zostały zgłoszone do rejestracji tylko przez niektórych administratorów danych, inni administratorzy wcale nie zgłosili analogicznych zbiorów, chociaż właściwe przepisy prawa są jednakowe dla wszystkich (np. znaczna liczba gmin i powiatów nie zgłosiła do rejestracji zbioru danych osobowych swoich radnych). Z dużą dozą prawdopodobieństwa należy założyć, iż istnieją takie podmioty ze sfery publicznej, które nie zgłosiły do rejestracji żadnego zbioru danych osobowych. Z drugiej strony – podmioty, które wykonały obowiązek rejestracyjny, często mają problemy z poprawnym wypełnieniem wniosków zgłoszeniowych, co może skutkować odmową rejestracji zgłaszanego zbioru danych. W związku z powyższym, wskazana i niezbędna wydaje się szczegółowa weryfikacja wszystkich zbiorów danych prowadzonych przez podmioty publiczne pod kątem obowiązku ich zgłoszenia do rejestracji GIODO.

W 2008 r. podmioty z sektora administracji publicznej zgłosiły do rejestracji 3602 zbiory danych osobowych, co stanowi 62% ogólnej liczby zgłoszeń dokonanych w tym okresie. Dla porównania, w roku 2007 r. podmioty z tego sektora zgłosiły do rejestracji 3149 zbiorów danych osobowych3 .

Na koniec warto postawić sobie pytanie, czy sama instytucja rejestracji wpływa w sposób znaczący na stan ochrony danych osobowych? Moim zdaniem, obowiązek w takiej postaci i w tym wymiarze jest na chwilę obecną anachronizmem, ale trzeba go przestrzegać i, jak widać, istnieje nawet tendencja do wzmocnienia jego roli. To już jednak materiał bardziej do wzięcia pod uwagę przy kolejnej nowelizacji przepisów, gdyż nie we wszystkich krajach w ten sposób realizuje się w praktyce zasady ochrony danych, a rola edukacyjna samego obowiązku rejestracji nie jest już tak istotna.

Artykuł pochodzi z książki : „Ochrona danych osobowych – wybór zagadnień” w oryginale tytuł: „Zbiory danych osobowych najczęściej zgłaszane do rejestracji generalnemu inspektorowi ochrony danych osobowych przez wybrane podmioty ze sfery administracji publicznej.”

Autor: Tomasz Osiej, radca prawny


 1. Zgodnie z tym przepisem GIODO wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1,
2) przetwarzanie danych naruszałoby zasady określone w art. 23-30,
3) urządzenia i systemy informatyczne, służące do przetwarzania zbioru danych zgłoszonego do rejestracji, nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a.
2. Źródło danych: Sprawozdanie z Działalności Generalnego Inspektora Ochrony Danych Osobowych w roku 2008.
3. Źródło danych: Sprawozdanie z Działalności Generalnego Inspektora Ochrony Danych Osobowych w roku 2008.

About Redakcja 299 Articles
Omni Modo to po łacinie „na każdy sposób”. Nazwa naszej firmy to nie przypadek. Na każdy sposób chcemy bowiem pokazywać klientom nasze doświadczenie, profesjonalizm i sukcesy w dziedzinie ochrony danych osobowych.