Zgodnie z art. 2 ustawy z dnia 29 sierpnia 1997r. o ochronie danych osobowych- zwanej dalej „ustawą”, jej treścią określone są zasady postępowania przy przetwarzaniu danych osobowych oraz prawa osób fizycznych, których dane osobowe są lub mogą być przetwarzane w zbiorach danych.

Zbiór danych został zdefiniowany w art. 7 pkt 1) ustawy. I tak, zbiór danych w rozumieniu ustawy to każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie.

Stosownie do art. 7 pkt 2) przetwarzanie danych stanowią jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie i usuwanie, a zwłaszcza te które wykonuje się w systemach informatycznych.

Zgodnie z art. 6 ust.1 ustawy za dane osobowe uważane są wszelkie informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej. W myśl ust. 2 ww. artykułu, osobą możliwą do zidentyfikowania jest osoba, której tożsamość można określić bezpośrednio lub pośrednio, w szczególności przez powołanie się na numer identyfikacyjny albo jeden lub kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne, umysłowe, ekonomiczne, kulturowe lub społeczne.

Ustawa posługuje się także sformułowaniem administratora danych osobowych, definiując go w art. 7 pkt 4) jako organ, jednostkę organizacyjną, podmiot lub osobę, o których mowa w art. 3, decydujące o celach i środkach przetwarzania danych osobowych.

W myśl art.3 ustawy, który wyznacza zakres podmiotowy ustawy, podmiotem, będącym administratorem danych osobowych, do którego zarazem stosuje się przepisy ustawy są :

- organy państwowe, organy samorządu terytorialnego, państwowe i komunalne jednostki organizacyjne, a także

- podmioty niepubliczne, realizujące zadania publiczne, osoby fizyczne i osoby prawne oraz jednostki organizacyjne niebędące osobami prawnymi, jeżeli przetwarzają dane osobowe w związku z działalnością zarobkową, zawodową lub dla realizacji celów statutowych, które mają siedzibę albo miejsce zamieszkania na terytorium Rzeczypospolitej Polskiej, albo w państwie trzecim, o ile przetwarzają dane osobowe przy wykorzystaniu środków technicznych znajdujących się na terytorium Rzeczypospolitej Polskiej.

Stosownie do art. 40 ustawy, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych ( dalej : GIODO), z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a.ustawy

W myśl art. 43 ust.1 i 1a ustawy, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:

- zawierających informacje niejawne;

- które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;

- przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;

- przetwarzanych przez Generalnego Inspektora Informacji Finansowej;

- przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;

- przetwarzanych przez właściwie organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;

- dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego;

- przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;

- dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;

- tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;

- dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;

- przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;

- powszechnie dostępnych;

- przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;

- przetwarzanych w zakresie drobnych bieżących spraw życia codziennego;

- przetwarzanych w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1.

W myśl ust.1a ww. art.43 ustawy, obowiązkowi rejestracji zbiorów danych osobowych, z wyjątkiem zbiorów zawierających dane, o których mowa w art. 27 ust. 1, nie podlega administrator danych, który powołał administratora bezpieczeństwa informacji i zgłosił go Generalnemu Inspektorowi do rejestracji, z zastrzeżeniem art. 46e ust. 2.

Z powyższego wynika, że adresatami normy i obowiązku wyrażonego w art. 40 ustawy są wszyscy administratorzy dysponujący zbiorami danych osobowych, a więc wszystkie podmioty decydujące o celach i środkach przetwarzania takich danych, o ile tylko podlegają reżimowi ustawy w świetle jej art. 3, i nie są zwolnieni z obowiązku rejestracji zbioru danych stosownie do art. 43 ust.1. i 1a ustawy. Istotne jest, że aby mieć status administratora danych nie trzeba wykonywać wszystkich operacji składających się na pojęcie przetwarzania danych. Wystarczy, że dany podmiot będzie wykonywać jakąkolwiek operację na danych osobowych wymienioną w art. 7 pkt 2) ustawy. Stąd obowiązek rejestracyjny spoczywa też na tych, którzy zajmują się jedynie zbieraniem i przechowywaniem danych czy jedynie ich opracowywaniem albo udostępnieniem. Oznacza to np., iż jeżeli podmiot, który jedynie zbiera i przechowuje dane, decyduje również o celach i środkach dla ich przetwarzania, wówczas ma on status administratora danych łącznie z wszystkimi płynącymi z tego faktu obowiązkami. Należy także podkreślić, że w odniesieniu do rozmaitych pól eksploatacji zbioru danych działać mogą niezależnie różni administratorzy.

Należy zauważyć, iż co prawda w przepisie art. 43 ust.1 jest mowa o tym, że zwalnia się z obowiązku rejestracji administratorów przetwarzających dane wyłącznie w celach rozliczeniowych (wystawienia faktury) lub sprawozdawczości finansowej, należy jednak podkreślić, że w przypadku gdyby zbiory danych tworzone w celach rozliczeniowych miały być wykorzystywane także w innych celach (np. marketingowych, w celu dochodzenia roszczeń), zbiory te powinny zostać zgłoszone do rejestracji. Konieczność rejestracji danych w celu egzekucji roszczeń znalazła swoje odzwierciedlenie np. w pozycji pt. Sprawozdanie GIODO za rok 2000, s. 266, jak również w orzecznictwie sądowo -administracyjnym – patrz: wyrok WSA Warszawa z dnia 09 lutego 2005, I SA/Wa 1340/04, gdy zaś chodzi o dane osobowe klientów gromadzone w związku z prowadzeniem postępowania reklamacyjnego – patrz: wyrok NSA w Warszawie z 21.4.2006 r., OSK 726/05, niepubl. Przy czym , jak wskazuje się w orzecznictwie, gdy chodzi np. o postępowania reklamacyjne wystarczy sama możliwość prowadzenia takich postępowań ( tak: wyrok NSA, I OSK 741/05, LexPolonica nr 405891, „Rzeczpospolita” z 27 kwietnia 2006 r., nr 99, s. C3, LexPolonica nr 405891).

Z powyższego wynika, ze ustawodawca zwolnił tylko tych administratorów danych osobowych od obowiązku rejestracji tych zbiorów danych, które przetwarzane są wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej a nie zaś w innych celach. Zatem przedsiębiorstwo wodociągowo-kanalizacyjne działające w formie spółki prawa handlowego ma obowiązek zgłosić do GIODO zbiór danych osobowych utworzony na potrzeby świadczenia usług dostawy wody i odbioru ścieków. Nie można bowiem wykluczyć dalszego wykorzystania tych danych osobowych klientów, będących w dyspozycji spółki, do dochodzenia roszczeń w postępowaniu sądowym przez administratora danych. Mogą się również pojawić kwestie związane z egzekucją ewentualnych wierzytelności wynikających z postępowania reklamacyjnego.

Stosownie do art. 43 ust.1a zwolnienie z obowiązku rejestracji zbioru danych dotyczy tych administratorów danych, którzy powołali administratora bezpieczeństwa informacji ( dalej : ABI) i zgłosili go GIODO do rejestracji, z zastrzeżeniem art. 46e ust. 2. Wyznaczenie ABI jest zatem fakultatywne. W przypadku niepowołania ABI, czynności jemu przypisane wykonuje administrator danych osobowych. ABI, który został powołany i zgłoszony do GIODO, niejako przejmuje od organu zadania związane z prowadzeniem rejestru zbiorów danych. Jednak w sytuacji, gdy administrator przetwarza w zbiorze dane sensytywne (o których mowa w art. 27 ust. 1 ustawy, tj. ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, jak również dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.), nie może skorzystać ze zwolnienia rejestracyjnego i - jeżeli nie może powołać się na inne zwolnienie przewidziane w art. 43 ust. 1 ustawy - nadal ma obowiązek rejestracji (aktualizacji) tego rodzaju zbioru u GIODO. Administratorzy bezpieczeństwa informacji zgłoszeni do rejestracji są wpisywani do prowadzonego przez GIODO ogólnokrajowego, jawnego rejestru ABI (art. 46c ustawy). Rejestr jest dostępny pod adresem:

https://egiodo.giodo.gov.pl/search_results_advanced_ado.dhtml

i zawiera informacje, o których mowa w art. 46b ust. 2 pkt 1 i pkt 2 lit. a i c ustawy, tj. oznaczenie ABI i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany; imię i nazwisko ABI oraz adres do korespondencji, jeżeli jest inny niż adres, o którym mowa powyżej.

Na koniec należy wskazać, iż stosownie do art. 53 ustawy: „Kto będąc do tego obowiązany nie zgłasza do rejestracji zbioru danych, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku”. Na tle tego przepisu zauważyć trzeba, że przestępstwo z ww. artykułu może zostać popełnione wyłącznie podmiot obowiązany do zgłoszenia zbioru danych osobowych do rejestracji, a więc administrator danych (jeżeli jest osobą fizyczną) albo osoba działającą w imieniu administratora danych (jeżeli jest osobą prawną), w szczególności członkowie organów osoby prawnej. Przestępstwo stypizowane w przedmiotowym przepisie może zostać popełnione wyłącznie przez zaniechanie, przy czym karalnym jest zaniechanie wykonania obowiązku rejestracyjnego na zasadach określonych w przepisach ustawy o ochronie danych osobowych.

Główny Specjalista ds. Prawnych - Magdalena Borowczyk-Zalewska