Nowe zwolnienia z rejestracji zbiorów danych osobowych

Powszechność rejestracji zbiorów danych osobowych wynika głównie z treści jednego z przepisów karnych ustawy o ochronie danych osobowych:

„Art. 53. Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”.

W praktyce rzeczywiste zagrożenie wynikające z tego przepisu jest niewielkie. Organy ścigania najczęściej umarzają postępowanie ze względu na niską szkodliwość społeczną czynu lub w ogóle nikt nie zgłasza takiego przestępstwa. Mimo to istnieje powszechna opinia, że rejestracja zbiorów jest najważniejszym obowiązkiem wynikającym z ustawy o ochronie danych osobowych. A jest to tak naprawdę ostatni etap tworzenia systemu ochrony danych osobowych w każdej organizacji.

Zgłaszanie zbioru danych osobowy bez przygotowanej i wdrożonej dokumentacji ochrony danych osobowych jest co najmniej nieodpowiedzialne. Tym bardziej że jedna z części wniosku zgłoszeniowego zawiera pytania w tym zakresie (część E pkt 16d i e).

Katalog zwolnień z obowiązku rejestracji zbiorów został określony w art. 43 ustawy. Jest to 16 przypadków, w których wyodrębnione zbiory nie podlegają rejestracji.

Najpowszechniej wykorzystywanym i najbardziej pojemnym zwolnieniem jest pkt 4. Pozwala on uniknąć rejestracji zbiorów danych osobowych pracowników i osób zatrudnionych na podstawie umów cywilnoprawnych, jak również uczniów i np. członków spółdzielni lub stowarzyszeń.

Tu należy jednak być ostrożnym, gdyż zbiór pracowników zatrudnianych przez agencje pracy do wykonywania pracy na rzecz podmiotów trzecich podlega już rejestracji w GIODO.

Kolejnym zwolnieniem najczęściej wykorzystywanym w praktyce są zbiory danych prowadzone jedynie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Chodzi tu o wszelkie samoistne dokumenty księgowe zawierające dane osobowe – jako wyodrębniony zbiór nie podlegają rejestracji. Warto wiedzieć, że dane znajdujące się w tych dokumentach mogą być częścią innego zbioru danych, który podlega rejestracji np. zbioru danych osobowych klientów lub przedstawicieli kontrahentów.

Następnym często wykorzystywanym zwolnieniem jest powszechna dostępność danych przetwarzanych w zbiorze. Innymi słowy, jeżeli dane osobowe przez nas przetwarzane są powszechnie dostępne, np. opublikowane w Internecie, wtedy zbiór ten nie podlega rejestracji. Jednak gdy dane te z różnych względów stracą charakter powszechnej dostępności, zajdzie konieczność ich rejestracji.

Ostatnim najbardziej ogólnym i subiektywnym zwolnieniem z rejestracji jest zwolnienie zbiorów przetwarzanych w bieżących sprawach życia codziennego. Zwolnienie to w praktyce najczęściej dotyczy gromadzenia i przetwarzania danych z wizytówek i mniej lub bardziej relacji osobistych oraz okazjonalnego przetwarzania danych, które nie stanowi przedmiotu bieżącej działalności naszego podmiotu, np. jednorazowo przeprowadzony konkurs.

Od 1 stycznia 2015 roku pojawiły się dodatkowo najszersze w swoim zakresie zwolnienia z rejestracji. Przewidują one, że rejestracji nie podlegają zbiory danych tzw. zwykłych, które są prowadzone tylko w wersji tradycyjnej (pisemnej). Dodatkowo podmioty, które zarejestrowały administratora bezpieczeństwa informacji (ABI) w GIODO, nie muszą rejestrować żadnych zbiorów poza tzw. zbiorami danych osobowych wrażliwych.