« Powrót

Paragraf 5. Wniosek w sprawie rejestracji zbioru



Poza ściśle określonymi wyjątkami administrator danych obowiązany jest zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Zgodnie bowiem z art. 46 ustawy administrator danych może rozpocząć ich przetwarzanie w zbiorze danych po zgłoszeniu go Generalnemu Inspektorowi Ochrony Danych Osobowych, chyba że ustawa zwalnia go z tego obowiązku. Należy zatem podkreślić, że dopuszczalne jest rozpoczęcie przetwarzania danych osobowych po zgłoszeniu zbioru do rejestracji (w sytuacji, gdy jej wymóg spoczywa na administratorze danych).
Wobec powyższego administrator danych powinien zgłosić zbiór do rejestracji jeszcze przed rozpoczęciem przetwarzania danych, czyli przed pierwszą czynnością, jaka może być na nich wykonywana (przed pozyskaniem ich do zbioru).

W literaturze przedmiotu zauważono, iż od powyższej zasady istnieją trzy wyjątki. Dotyczą one:
1) zbiorów, które są zwolnione z obowiązku rejestracji;
2) zbiorów, które istnieją w chwili wejścia w życie ustawy;
3) zbiorów, które zawierają dane osobowe wrażliwe .
Przepis art. 43 ust. 1 ustawy zawiera katalog przesłanek, które zwalniają administratorów danych z obowiązku rejestracji zbioru (o czym szczegółowo poniżej).

Zgodnie natomiast z art. 61 ustawy wszelkie podmioty objęte zakresem jej działania (art. 3 ustawy), które prowadziły w dniu wejścia w życie ustawy zbiory danych osobowych w systemach informatycznych, miały obowiązek złożenia wniosków o zarejestrowanie tych zbiorów w trybie określonym w art. 41 ustawy, w terminie 18 miesięcy od dnia jej wejścia w życie, chyba że zwolniła ich z tego obowiązku. Do czasu rejestracji zbioru danych osobowych w trybie określonym w art. 41 ustawy powyższe podmioty mogły prowadzić te zbiory bez rejestracji.
Bardzo ważne jest także, iż administratorzy danych wrażliwych mogą rozpocząć ich przetwarzanie w zbiorze danych dopiero po zarejestrowaniu zbioru. W powyższym przypadku administratorzy danych mogą rozpocząć przetwarzanie danych osobowych wrażliwych w zbiorze po uzyskaniu pozytywnej decyzji Generalnego Inspektora Ochrony Danych Osobowych. Obowiązek ten nie dotyczy tych administratorów danych, którzy są zwolnieni z obowiązku zgłoszenia zbioru do rejestracji, na podstawie art. 43 ust. 1 ustawy.

Wniosek w sprawie zgłoszenia danych osobowych do rejestru
W myśl art. 41 ust. 1 ustawy zgłoszenie zbioru danych do rejestracji powinno zawierać:
1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;
2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania;
3) numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany;
4) podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31 ustawy, lub wyznaczenia podmiotu, o którym mowa w art. 31a ustawy, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania;
5) cel przetwarzania danych;
6) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;
7) sposób zbierania oraz udostępniania danych;
8) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
9) opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36–39 ustawy;
10) informację o sposobie wypełnienia warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy;
11) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Należy także podkreślić, że administrator danych jest zobowiązany zgłaszać Generalnemu Inspektorowi Ochrony Danych Osobowych każdą zmianę informacji, o której mowa powyżej, w terminie 30 dni od dnia dokonania zmiany w zbiorze danych.

Jeżeli natomiast zmiana informacji, o której mowa w pkt 6, dotyczy rozszerzenia zakresu przetwarzanych danych o dane wrażliwe, tj. ujawniające:
a) pochodzenie rasowe lub etniczne;
b) poglądy polityczne;
c) przekonania religijne lub filozoficzne;
d) przynależność wyznaniową;
e) przynależność partyjną;
f) przynależność związkową;
g) informacje o stanie zdrowia;
h) informacje o kodzie genetycznym;
i) informacje o nałogach;
j) informacje o życiu seksualnym;
k) informacje dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym;
– administrator danych jest obowiązany do jej zgłoszenia przed dokonaniem zmiany w zbiorze.
Należy także pamiętać, że do zgłaszania zmian Generalnemu Inspektorowi Ochrony Danych Osobowych stosuje się odpowiednio przepisy o rejestracji zbiorów danych.
Szczegółowe informacje w sprawie rejestracji zbioru zostały określone w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych . Powyższe rozporządzenie zawiera wzór formularza, na którym należy dokonać zgłoszenia.

Zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych może dotyczyć:
1) zgłoszenia zbioru danych na podstawie art. 40 ustawy;
2) zgłoszenia zmian na podstawie art. 41 ust. 2 ustawy;
3) zgłoszenia zbioru, w którym będą przetwarzane dane określone w art. 27 ust. 1 ustawy (dane osobowe wrażliwe).

Zgłoszenie zbioru danych do rejestracji dzieli się na:
1) Część A. Wniosek.
2) Część B. Charakterystyka administratora danych.
3) Część C. Cel przetwarzania danych, opis kategorii osób, których dane dotyczą, oraz zakres przetwarzania danych.
4) Część D. Sposób zbierania oraz udostępniania danych.
5) Część E. Opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36–39 ustawy.
6) Część F. Informacja o sposobie wypełnienia warunków technicznych i organizacyjnych, o których mowa w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych .

Część A wniosku
W tej części administrator danych powinien określić nazwę zbioru danych, który ma być wpisany do Rejestru Zbioru Danych Osobowych.

Część B wniosku
W tej części należy dokładnie określić administratora danych (wnioskodawcę).
Przede wszystkim należy wskazać:
a) nazwę administratora danych;
b) adres siedziby;
c) w przypadku gdy administrator danych jest osobą fizyczną, należy wskazać jego imię i nazwisko oraz adres miejsca zamieszkania;
d) numer REGON.
W przypadku przetwarzania danych osobowych przez podmioty mające siedzibę albo miejsce zamieszkania w państwie trzecim administrator danych jest obowiązany wyznaczyć swojego przedstawiciela w Polsce. W takiej sytuacji we wniosku należy wskazać:
a) nazwę przedstawiciela administratora danych;
b) adres jego siedziby;
c) jeżeli przedstawicielem jest osoba fizyczna – jego imię i nazwisko oraz adres miejsca zamieszkania.

We wniosku należy zaznaczyć, czy:
a) na podstawie art. 31 ustawy administrator danych powierzył w drodze umowy zawartej na piśmie przetwarzanie danych osobowych innemu podmiotowi;
b) administrator danych osobowych przewiduje powierzenie przetwarzania tych danych innemu podmiotowi.
Jeżeli administrator danych powierzył przetwarzanie danych innemu podmiotowi, we wniosku należy podać nazwę i adres siedziby lub imię i nazwisko oraz adres zamieszkania tego podmiotu.
Administrator danych powinien także wskazać podstawę prawną, upoważniającą go do prowadzenia zbioru danych. Powinien on zatem wyjaśnić, czy:
a) zbiór danych przetwarzany jest na podstawie zgody osoby, której dane dotyczą;
b) przetwarzanie zbioru danych jest niezbędne do zrealizowania uprawnienia lub spełnienia obowiązku wynikającego z przepisu prawa;
c) przetwarzanie zbioru danych jest konieczne do realizacji umowy, gdy osoba, której dane dotyczą, jest jej stroną lub gdy jest to niezbędne do podjęcia działań przed zawarciem umowy na żądanie osoby, której dane dotyczą;
d) przetwarzanie zbioru danych jest niezbędne do wykonania określonych prawem zadań realizowanych dla dobra publicznego. W tym przypadku administrator danych powinien szczegółowo opisać te zadania;
e) przetwarzanie zbioru danych jest niezbędne do wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą.

Część C wniosku
W tej części administrator danych zobowiązany jest do dokładnego opisania celu przetwarzania danych osobowych w zbiorze. Poprawne opisanie tego celu jest ważne ze względu na zasadę związania w celu przetwarzania oraz kontroli jej przestrzegania.
W tej części należy także opisać kategorię osób, których dane dotyczą.
Ponadto administrator danych zobowiązany jest wskazać zakres przetwarzanych w zbiorze danych o osobach. Na powyższy zakres mogą się składać:
a) nazwiska i imiona;
b) imiona rodziców;
c) data urodzenia;
d) miejsce urodzenia;
e) adres zamieszkania;
f) adres pobytu;
g) numer ewidencyjny PESEL;
h) Numer Identyfikacji Podatkowej;
i) miejsce pracy;
j) zawód;
k) wykształcenie;
l) seria i numer dowodu osobistego;
m) numer telefonu.
We wniosku należy wskazać, czy w zbiorze przetwarzane są jeszcze inne dane osobowe niż te, które zostały wymienione powyżej.

Administrator danych zobowiązany jest określić, czy dane w zbiorze ujawniają bezpośrednio lub w kontekście:
a) pochodzenie rasowe;
b) pochodzenie etniczne;
c) poglądy polityczne;
d) przekonania religijne;
e) przekonania filozoficzne;
f) przynależność wyznaniową;
g) przynależność partyjną;
h) przynależność związkową;
i) stan zdrowia;
j) kod genetyczny;
k) nałogi;
l) życie seksualne.

Ponadto należy oznaczyć, czy dane przetwarzane w zbiorze dotyczą:
a) skazań;
b) mandatów karnych;
c) orzeczeń o ukaraniu;
d) innych orzeczeń wydanych w postępowaniu sądowym lub administracyjnym.

Jeżeli w zbiorze przetwarzane są wyżej wymienione dane osobowe wrażliwe, administrator danych powinien wskazać podstawę prawną przetwarzania tych danych, na którą może się składać:
a) pisemna zgoda osoby, której dane dotyczą;
b) przepis szczególny innej ustawy zezwalający na przetwarzanie bez zgody osoby, której dane dotyczą, jej danych osobowych. W tym przypadku należy odnieść się do konkretnego przepisu;
c) przetwarzanie danych jest niezbędne do ochrony żywotnych interesów osoby, której dane dotyczą, lub innej osoby, gdy osoba, której dane dotyczą, nie jest fizycznie lub prawnie zdolna do wyrażenia zgody, do czasu ustanowienia opiekuna prawnego lub kuratora;
d) przetwarzanie jest niezbędne do wykonania statutowych zadań Kościoła, innego związku wyznaniowego, stowarzyszenia, fundacji lub innej niezarobkowej organizacji lub instytucji o celach politycznych, naukowych, religijnych, filozoficznych lub związkowych, a przetwarzanie danych dotyczy wyłącznie członków tej organizacji lub instytucji albo osób utrzymujących z nią stałe kontakty w związku z jej działalnością i zapewnione są pełne gwarancje ochrony przetwarzanych danych. W tym przypadku należy dokładnie określić te zadania;
e) przetwarzanie dotyczy danych, które są niezbędne do dochodzenia praw przed sądem;
f) przetwarzanie jest niezbędne do wykonania zadań administratora danych odnoszących się do zatrudnienia pracowników i innych osób, a zakres przetwarzanych danych jest określony w ustawie;
g) przetwarzanie jest prowadzone w celu ochrony stanu zdrowia, świadczenia usług medycznych lub leczenia pacjentów przez osoby trudniące się zawodowo leczeniem lub świadczeniem innych usług medycznych, zarządzania udzielaniem usług medycznych i są stworzone pełne gwarancje ochrony danych osobowych;
h) przetwarzanie dotyczy danych, które zostały podane do wiadomości publicznej przez osobę, której dane dotyczą;
i) przetwarzanie jest niezbędne do prowadzenia badań naukowych, w tym do przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego, a publikowanie wyników badań naukowych uniemożliwia identyfikację osób, których dane zostały przetworzone;
j) przetwarzanie danych jest prowadzone przez stronę w celu realizacji praw i obowiązków wynikających z orzeczenia wydanego w postępowaniu sądowym lub administracyjnym.

Część D wniosku
W tej części wniosku administrator powinien wskazać, czy dane do zbioru będą zbierane:
a) od osób, których dotyczą;
b) z innych źródeł niż osoba, której dane dotyczą.
Administrator danych powinien również wyjaśnić, czy dane ze zbioru będą udostępniane innym podmiotom niż upoważnione na podstawie przepisów prawa.
Ponadto należy wskazać odbiorców lub kategorie odbiorców, którym dane osobowe mogą być przekazywane. Administrator danych zobowiązany jest podać nazwę i adres siedziby lub imię i nazwisko oraz adres zamieszkania tych odbiorców.
Niezbędne jest także wskazanie, czy dane osobowe będą przekazywane do państwa trzeciego. W takim przypadku należy podać nazwę państwa trzeciego.

Część E wniosku
W tej części administrator danych powinien wyjaśnić, czy zbiór danych osobowych jest prowadzony:
a) centralnie;
b) w architekturze rozproszonej;
c) wyłącznie w postaci papierowej;
d) z użyciem systemu informatycznego;
e) z użyciem co najmniej jednego urządzenia systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internetem);
f) bez użycia żadnego z urządzeń systemu informatycznego służącego do przetwarzania danych osobowych połączonego z siecią publiczną (np. Internetem).
Nadto administrator danych powinien wyjaśnić, czy zostały spełnione wymogi określone w art. 36–39 ustawy, tj. czy:
a)został wyznaczony administrator bezpieczeństwa informacji nadzorujący przestrzeganie zasad ochrony przetwarzanych danych osobowych;
b)administrator danych sam wykonuje czynności administratora bezpieczeństwa informacji;
c)do przetwarzania danych zostały dopuszczone osoby posiadające upoważnienie nadane przez administratora danych;
d)prowadzona jest ewidencja osób upoważnionych do przetwarzania danych;
e)została opracowana i wdrożona polityka bezpieczeństwa;
f)została opracowana i wdrożona instrukcja zarządzania systemem informatycznym;
g)inne środki, oprócz wymienionych powyżej, zostały zastosowane w celu zabezpieczenia danych. W tym przypadku należy dokładnie opisać zastosowane środki bezpieczeństwa.

Część F wniosku
W tej części administrator danych powinien wskazać, czy zastosowano środki bezpieczeństwa na poziomie:
a)podstawowym;
b)podwyższonym;
c)wysokim.
Część F wniosku dotyczy tych administratorów, którzy przetwarzają dane osobowe w systemie informatycznym. Jeżeli administrator przetwarza dane osobowe wrażliwe, powinien zastosować środki bezpieczeństwa przynajmniej na poziomie podwyższonym. Natomiast w przypadku gdy co najmniej jedno urządzenie systemu informatycznego służącego do przetwarzania danych osobowych połączone jest z siecią publiczną (Internetem), należy zastosować środki bezpieczeństwa na poziomie wysokim. W innych przypadkach wystarczające jest zastosowanie środków na poziomie podstawowym.

Zgłoszenie zbioru danych Generalnemu Inspektorowi Ochrony Danych Osobowych należy dokonać wyłącznie na formularzu. Zgłoszenie można:
a) przesłać pocztą na adres Generalnego Inspektora Ochrony Danych Osobowych;
b) złożyć w Biurze Generalnego Inspektora Ochrony Danych Osobowych;
c) dokonać drogą elektroniczną z użyciem bezpiecznego podpisu elektronicznego ;
d) dokonać drogą elektroniczną bez użycia podpisu elektronicznego, a następnie uzupełnić zgłoszenie w formie papierowej.
Generalny Inspektor Ochrony Danych Osobowych prowadzi ogólnokrajowy, jawny rejestr zbiorów danych osobowych. Jawność oznacza, że każdy ma prawo przeglądać rejestr. W tym celu osoba zainteresowana nie musi wykazywać interesu prawnego ani spełniać żadnych warunków formalnych.

Rejestr powinien zawierać następujące informacje:
1) wniosek o wpisanie zbioru do rejestru zbiorów danych osobowych;
2) oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31 ustawy, lub wyznaczenia podmiotu, o którym mowa w art. 31a ustawy, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania;
3) cel przetwarzania danych osobowych;
4) opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych;
5) sposób zbierania oraz udostępniania danych;
6) informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane;
7) informację dotyczącą ewentualnego przekazywania danych do państwa trzeciego.
Na żądanie administratora danych może być wydane zaświadczenie o zarejestrowaniu zgłoszonego przez niego zbioru danych.

Nader istotne jest, że Generalny Inspektor Ochrony Danych Osobowych powinien wydać administratorowi, który zamierza przetwarzać dane osobowe wrażliwe, zaświadczenie o zarejestrowaniu owego zbioru niezwłocznie po dokonaniu rejestracji. Dopiero na jego podstawie administrator może przetwarzać dane osobowe wrażliwe.
Wzór oraz sposób prowadzenia rejestru określa zarządzenie (niepublikowane) Generalnego Inspektora Ochrony Danych Osobowych nr 7 z dnia 15 lipca 2004 r. w sprawie rejestru zbiorów danych osobowych. Zgodnie z powyższym zarządzeniem rejestr prowadzony jest w formie ksiąg rejestrowych. Dla każdego zbioru prowadzi się odrębną księgę. Z kolei dla każdej księgi rejestrowej prowadzi się osobne akta rejestrowe, które obejmują dokumenty stanowiące podstawę wpisów dokonywanych w rejestrze. Powyższe zarządzenie zostało zmienione zarządzeniem Generalnego Inspektora Ochrony Danych Osobowych nr 10/2006 z dnia 7 lipca 2006 r. Zgodnie z tym zarządzeniem rejestr może być prowadzony także w formie elektronicznej (forma ta stanowi jedynie formę uzupełniającą prowadzenie rejestru).

Generalny Inspektor Ochrony Danych Osobowych wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
1) nie zostały spełnione wymogi określone w art. 41 ust. 1 ustawy;
2) przetwarzanie danych naruszałoby zasady określone w art. 23–28 ustawy;
3) urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych w przepisach, o których mowa w art. 39a ustawy.

Odmawiając rejestracji zbioru danych, Generalny Inspektor Ochrony Danych Osobowych w drodze decyzji administracyjnej nakazuje:
1) ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wyłącznie do ich przechowywania;
2) zastosowanie innych środków, o których mowa w art. 18 ust. 1 ustawy.
Należy mieć na względzie, że administrator danych może zgłosić ponownie zbiór danych do rejestracji po usunięciu wad, które były powodem odmowy rejestracji zbioru. W razie ponownego zgłoszenia zbioru do rejestracji administrator danych może rozpocząć ich przetwarzanie po zarejestrowaniu zbioru.

Istotne jest również, że wykreślenie z rejestru zbiorów danych osobowych jest dokonywane w drodze decyzji administracyjnej, jeżeli:
1) zaprzestano przetwarzania danych w zarejestrowanym zbiorze;
2) rejestracji dokonano z naruszeniem prawa.

Z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych:
1) zawierających informacje niejawne;
2) które zostały uzyskane w wyniku czynności operacyjno-rozpoznawczych przez funkcjonariuszy organów uprawnionych do tych czynności;
3) przetwarzanych przez właściwe organy dla potrzeb postępowania sądowego oraz na podstawie przepisów o Krajowym Rejestrze Karnym;
4) przetwarzanych przez Generalnego Inspektora Informacji Finansowej;
5) przetwarzanych przez właściwe organy na potrzeby udziału Rzeczypospolitej Polskiej w Systemie Informacyjnym Schengen oraz Wizowym Systemie Informacyjnym;
6) przetwarzanych przez właściwe organy na podstawie przepisów o wymianie informacji z organami ścigania państw członkowskich Unii Europejskiej;
7) dotyczących osób należących do Kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego Kościoła lub związku wyznaniowego;
8) przetwarzanych w związku z zatrudnieniem u nich, świadczeniem im usług na podstawie umów cywilnoprawnych, a także dotyczących osób u nich zrzeszonych lub uczących się;
9) dotyczących osób korzystających z ich usług medycznych, obsługi notarialnej, adwokackiej, radcy prawnego, rzecznika patentowego, doradcy podatkowego lub biegłego rewidenta;
10) tworzonych na podstawie przepisów dotyczących wyborów do Sejmu, Senatu, Parlamentu Europejskiego, rad gmin, rad powiatów i sejmików województw, wyborów na urząd Prezydenta Rzeczypospolitej Polskiej, na wójta, burmistrza, prezydenta miasta oraz dotyczących referendum ogólnokrajowego i referendum lokalnego;
11) dotyczących osób pozbawionych wolności na podstawie ustawy, w zakresie niezbędnym do wykonania tymczasowego aresztowania lub kary pozbawienia wolności;
12) przetwarzanych wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej;
13) powszechnie dostępnych;
14) przetwarzanych w celu przygotowania rozprawy wymaganej do uzyskania dyplomu ukończenia szkoły wyższej lub stopnia naukowego;
15) przetwarzanych w zakresie drobnych bieżących spraw życia codziennego.

Warto zauważyć, że w odniesieniu do zbiorów, o których mowa w pkt 1 i 7, oraz zbiorów, o których mowa w pkt 2, przetwarzanych przez:
a) Agencję Bezpieczeństwa Wewnętrznego;
b) Agencję Wywiadu;
c) Służbę Kontrwywiadu Wojskowego;
d) Służbę Wywiadu Wojskowego;
e) Centralne Biuro Antykorupcyjne;
– Generalnemu Inspektorowi Ochrony Danych Osobowych nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3–5 oraz art. 15–18 ustawy.
Wojewódzki Sąd Administracyjny w Warszawie w wyroku z dnia 26 października 2012 r. orzekł, że dokumenty kościelne nie podlegają ustawie o ochronie danych osobowych . Natomiast w uzasadnieniu wyroku z dnia 20 marca 2012 r. Wojewódzki Sąd Administracyjny wyjaśnił, że: „zgodnie z brzmieniem art. 43 ust. 1 pkt 3 ustawy o ochronie danych osobowych, z obowiązku rejestracji zbioru danych zwolnieni są administratorzy danych dotyczących osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego. Z kolei w myśl art. 43 ust. 2 ww. ustawy, w odniesieniu do zbiorów, o których mowa w ust. 1 pkt 1 i 3, oraz zbiorów, o których mowa w ust. 1 pkt 1a, przetwarzanych przez Agencję Bezpieczeństwa Wewnętrznego, Agencję Wywiadu, Służbę Kontrwywiadu Wojskowego, Służbę Wywiadu Wojskowego oraz Centralne Biuro Antykorupcyjne, Generalnemu Inspektorowi Ochrony Danych Osobowych nie przysługują uprawnienia określone w art. 12 pkt 2, art. 14 pkt 1 i 3–5 oraz art. 15–18. Z przepisów tych wynika, że nie jest dopuszczalna merytoryczna ingerencja Generalnego Inspektora Ochrony Danych Osobowych w sprawach przetwarzania danych osobowych osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego. Innymi słowy, organ ochrony danych osobowych nie może badać legalności przetwarzania danych osobowych osób należących do kościoła lub innego związku wyznaniowego, o uregulowanej sytuacji prawnej, przetwarzanych na potrzeby tego kościoła lub związku wyznaniowego” .
Analizując punkt 8, należy wyjaśnić, że odnosi się on do zbiorów dotyczących osób aktualnie zatrudnionych, jak również byłych pracowników. To samo dotyczy zleceniobiorców, osób zrzeszonych oraz osób uczących się.
Ponadto z obowiązku rejestracji zbioru danych zwolnieni są administratorzy, którzy przetwarzają dane wyłącznie w celu wystawienia faktury, rachunku lub prowadzenia sprawozdawczości finansowej. Niemniej jednak wymaga podkreślenia, że jeżeli zbiór danych miałby być wykorzystywany również w innych celach (np. marketingowych), administrator danych powinien zgłosić go do rejestracji.
Przypisy
Bibliografia
Lista publikacji dotycząca tematyki artykułu
1) J. Barta, P. Fajgielski, R. Markiewicz, Ochrona danych osobowych. Komentarz, wydanie 4, Wydawnictwo Lex a Wolters Kluwer business, Kraków 2007.
2) A. Drozd, Ustawa o ochronie danych osobowych. Komentarz. Wzory pism i przepisy, Wydawnictwo Prawnicze LexisNexis, Warszawa 2008.
3) E. Kulesza, G. Sibiga, Wykonanie obowiązku rejestracji zbiorów danych osobowych przez Kasy Chorych, „Prawo i Medycyna” 2000, nr 6–7.
4) G. Sibiga, Zgłoszenie zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, w: „Monitor Prawniczy” 1999, nr 8.
5) A. Michalak, Dozwolony użytek baz danych, „Przegląd Prawa Handlowego” 2004, nr 4.

Lista adresów internetowych dotycząca tematyki artykułu, [data odczytu 11.11.2013]
1) http://www.giodo.gov.pl/ - strona zawiera informacje na temat procedury zgłaszania zbiorów danych do rejestracji.
2) http://ochronadanychosobowych.info/ – strona zawiera szereg praktycznych porad związanych z rejestracją zbiorów danych osobowych.
3) http://www.bankier.pl/wiadomosc/Kiedy-zbior-danych-osobowych-nalezy-zglosic-do-GIODO-2661828.html – artykuł poświęcony tematyce zgłoszenia zbioru danych do rejestracji.
4) http://mamstartup.pl/poradnik/2656/rejestracja-zbiorow-danych-osobowych-w-giodo-krok-po-kroku – artykuł poświęcony procedurze zgłaszania danych osobowych do rejestracji.
5) http://www.frog.org.pl/ncrm/poradnik.pdf – na stronie został zamieszczony poradnik dotyczący m.in. wniosku o zarejestrowanie zbioru danych osobowych.