Nie każdy zbiór danych osobowych podlega rejestracji

Aby informacja lub grupa informacji stanowiła zbiór danych osobowych w rozumieniu ustawy:

• musi to być zestaw danych o charakterze osobowym;
• zestaw ten powinien mieć postać struktury;
• informacje są dostępne według określonych kryteriów;

Nie ma znaczenia czy zestaw jest rozproszony lub podzielony funkcjonalnie (tzn. według jakiej struktury wewnętrznej jest on zorganizowany). Przykładem zbioru danych osobowych jest lista klientów, książka adresowa (korespondencyjna) lub katalog czynności serwisowych, jeżeli wskazuje, np. kto potwierdzał odbiory itp. Jest nim także wykaz wdrożeń sporządzonych w danym przedsiębiorstwie, jeżeli znajdują się w nim dane pracowników. Takie bazy danych są często elementem programu kadrowego, systemu CRM czy CMS albo platformy wymiany informacji lub platformy handlowej. Zbiór danych może także powstać w wyniku wypełniania formularza na stronie internetowej (np. przy rejestracji użytkownika).

Nawet jeżeli zostanie ustalone, że mamy do czynienia z zbiorem danych, nie oznacza to jeszcze, iż musi on być rejestrowany. Chodzi przede wszystkim o zbiory danych:

• zawierające informacje niejawne;
• przetwarzane przez właściwe organy na potrzeby postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
• przetwarzane w związku z zatrudnieniem u administratora danych, świadczeniem usług na podstawie umów cywilnoprawnych, a także dotyczące osób zrzeszonych lub uczących się administratora danych;
• dotyczące osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta świadczonych przez administratora danych;
• przetwarzane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
• powszechnie dostępne;
• przetwarzane w zakresie drobnych bieżących spraw życia codziennego.

W związku z tym nie ma konieczności rejestrowania np. zbioru bazy danych osobowych kandydatów do pracy czy uczestników jednorazowego konkursu na wymyślenie logo czy nazwy programu. Zwolnienie z obowiązku zgłoszenia zbioru danych do rejestracji w żadnym razie nie może być uważane za zwolnienie z obowiązku przestrzegania innych obowiązków związanych z ochroną danych osobowych.