Prowadzący serwisy internetowe nie wiedzą, czy powinni zgłaszać do rejestracji jeden zbiór danych osobowych, czy kilka. Wszystko przez to, że generalny inspektor ochrony danych osobowych do każdej sprawy podchodzi indywidualnie.

Jeden z czytelników DGP prowadzi blog internetowy poświęcony aparatom ortodontycznym. Postanowił rozszerzyć działalność i przekształcić go w bardziej profesjonalny serwis. Ponieważ jego prowadzenie będzie się wiązało z przetwarzaniem danych osobowych, złożył wniosek do GIODO o rejestrację zbioru. Ten odmówił. Uznał bowiem, że zgłoszenie dotyczy różnych celów i zakresów przetwarzania w oparciu o różne przesłanki ustawowe. To zaś oznacza konieczność rejestracji nie jednego, ale kilku zbiorów.
Rzeczywiście właściciel serwisu wpisał we wniosku kilka różnych celów przetwarzania, m.in.: prowadzenie dyskursu publicznego, realizację umów i zobowiązań, weryfikację opinii, przeprowadzanie konkursów i działań marketingowych. Pytanie, czy rzeczywiście oznacza to konieczność rejestracji kilku zbiorów danych?
Doktor Paweł Litwiński, adwokat w kancelarii Barta Litwiński i ekspert Instytutu Allerhanda, uważa, że nie. Odwołuje się do definicji zbioru danych zwartej w ustawie o ochronie danych osobowych (t.j. Dz.U. z 2016 r. poz. 922 ze zm.).
– Ustawa wymienia trzy cechy zbioru danych. Musi on zawierać zestaw danych osobowych, dane te muszą być uporządkowane i dostęp do nich musi być możliwy według określonych kryteriów uporządkowania. Nie ma tu mowy o celu przetwarzania danych – zauważa dr Paweł Litwiński, adwokat w kancelarii Barta Litwiński i ekspert Instytutu Allerhanda.
– Cel rzeczywiście jest podawany we wniosku, ale po to, żeby GIODO mógł ocenić adekwatność, czyli to, czy zakres danych jest adekwatny do celu. W mojej ocenie nie ma żadnych podstaw prawnych, żeby twierdzić, że dane w zbiorze nie mogą być przetwarzane w różnych celach – dodaje adwokat.
GIODO przyznaje, że różne cele przetwarzania danych nie przesądzają jeszcze o konieczności rejestracji kilku zbiorów. Mogą jednak na nią wskazywać.
– Analiza przetwarzania danych w zbiorze jest dokonywana na podstawie wielu elementów, takich jak: podstawa prawna upoważniająca administratora do przetwarzania danych, kategoria osób, których dane przetwarzane są w zbiorze, zakres przetwarzanych danych w stosunku do wskazanego przez administratora celu czy też celów przetwarzania. Wymienione elementy ujęte łącznie decydują o tożsamości zbioru i w konsekwencji pozwalają na merytoryczną ocenę zgłoszonej operacji przetwarzania danych osobowych – tłumaczy Agnieszka Świątek-Druś, rzecznik prasowy GIODO.
Co ciekawe jednak, w rejestrze prowadzonym przez GIODO bez trudu można znaleźć zbiory danych, w których wskazano różne cele i różne podstawy prawne ich przetwarzania. Przykładowo jeden z banków zarejestrował zbiór, w którym wskazał prowadzenie działalności bankowej i marketing a duży serwis internetowy – obsługę transakcji, świadczenie usług reklamowych i wysyłanie informacji handlowych.
GIODO tłumaczy, że porównywanie tych zbiorów nie jest miarodajne. Część bowiem rejestrowano w innym stanie prawnym, a po powołaniu administratorów bezpieczeństwa informacji nie ma już obowiązku ich aktualizacji. Przede wszystkim jednak każdą z sytuacji należy rozpoznawać indywidualnie.
Nasz czytelnik zastanawiał się nad zaskarżeniem decyzji GIODO, jednak prawdopodobnie zdecyduje się na przesłanie osobnych zgłoszeń dotyczących kilku odrębnych zbiorów danych. Będą one ważne tylko przez kilka miesięcy, gdyż 25 maja 2018 r. zacznie być stosowane unijne rozporządzenie dotyczące ochrony danych osobowych, które zniesie obowiązek rejestracji zbiorów.