Dotychczasowa praktyka wskazuje, że administratorzy danych nie zdają sobie sprawy z konsekwencji zgłoszenia podlegających im zbiorów danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.

Ustawa o ochronie danych osobowych wprowadziła obowiązek zgłoszenia do rejestracji zbioru danych (art. 40 ustawy). Zwolnieni z obowiązku są administratorzy określonych w art. 43 ust. 1 kategorii danych (m.in. powszechnie dostępnych, dotyczących pracowników i osób korzystających z usług medycznych, obsługi notarialnej, adwokackiej lub radcowskiej administratora danych). Termin dokonania zgłoszenia uzależniony jest od tego, czy administrator danych prowadził zbiór w dniu wejścia w życie ustawy (tj. 30 kwietnia 1998 r.). Wówczas trzeba go zgłosić do końca października 1999 r. Natomiast w przypadku uruchomienia zbioru danych po wejściu w życie ustawy wniosek rejestracyjny należy złożyć przed dokonaniem pierwszej operacji na danych osobowych - najlepiej w czasie projektowania bazy danych.

Wymogi zgłoszenia określone zostały w art. 41 ust. 1 ustawy o ochronie danych osobowych, a zgłoszenia należy dokonać według wzoru określonego w załączniku numer 2 do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 3 czerwca 1998 r. (Dz.U. Nr 80, poz. 522). Po dokonaniu czynności zgłoszenia administrator danych może rozpocząć przetwarzanie danych.

Prawidłowe wypełnienie wniosku rejestracyjnego ma zasadnicze znaczenie dla postępowania rejestracyjnego. W przypadku bowiem, gdy zgłoszenie nie zawiera elementów określonych w art. 41 ust. 1 ustawy (tj. wniosku o rejestrację, oznaczenia podmiotu, określenia podstawy prawnej upoważniającej do prowadzenia zbioru, zakresu i celu przetwarzania danych, sposobu zbierania i udostępniania danych, a także opisu środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 oraz informacji o spełnieniu warunków, o których mowa w ministerialnym rozporządzeniu wykonawczym) Generalny Inspektor Ochrony Danych Osobowych odmawia rejestracji zbioru i równocześnie wydaje nakaz wstrzymania dalszego przetwarzania danych w tym zbiorze lub ich usunięcia. Nakaz podlega natychmiastowemu wykonaniu z mocy prawa. Po dokonaniu operacji wskazanej w nakazie dalsze prowadzenie zbioru danych jest niedopuszczalne. W przypadku odmowy wpisu do rejestru podmiot może, po usunięciu wad, stanowiących podstawę wydania decyzji, ponownie zgłosić zbiór do rejestracji, ale w tym przypadku przetwarzanie można rozpocząć dopiero po wpisie do rejestru, a nie po dokonaniu zgłoszenia.

Przestrzegać warunków

Generalny Inspektor Ochrony Danych Osobowych odmawia również rejestracji, jeżeli przetwarzanie danych osobowych w tym zbiorze naruszałoby zasady, określone w art. 23-30 ustawy o ochronie danych osobowych oraz gdy administrator danych nie wypełnia wymogów, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 3 czerwca 1998 r. w sprawie określenia podstawowych warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. (Dz.U. Nr 80, poz. 521).

Właśnie ta przesłanka wydania decyzji odmownej wzbudza szczególne wątpliwości administratorów danych. W obowiązującym wzorcu zgłoszenia pozostawiono bowiem wypełniającemu formularz miejsce na opis w punkcie dotyczącym wspomnianego wymogu, bez wskazania konkretnych wymogów i jednoznacznych pól odpowiedzi (część F formularza). Tego typu rozwiązanie zastosowano w pozostałej części formularza.

Nie zwalnia to jednak zgłoszeniodawcy od obowiązku udzielenia informacji na temat wypełnienia przez niego wszystkich wymagań technicznych i organizacyjnych, o których mowa w rozporządzeniu, a tym samym nie można uznać za wystarczające lakonicznego oświadczenia administratora danych, że "zostały spełnione warunki techniczne i organizacyjne określone w rozporządzeniu". Jeżeli chodzi o wymagania organizacyjne, należy w szczególności określić "administratora bezpieczeństwa informacji", czyli osobę odpowiedzialną za bezpieczeństwo danych osobowych w systemie informatycznym oraz załączyć "instrukcję postępowania w sytuacji naruszenia ochrony danych osobowych" i "instrukcję określającą sposób zarządzania systemem informatycznym służącym do przetwarzania danych osobowych". Wymogi dotyczące instrukcji określone są odpowiednio w §6 i §11 rozporządzenia.