Art. 40 ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2002 r. nr 101, poz. 926 ze zm.) nakazuje administratorowi danych osobowych zgłoszenie prowadzonych zbiorów tych danych do rejestracji generalnemu inspektorowi ochrony danych osobowych (GIODO). Zgłoszenie musi spełniać kilka wymogów, określonych w art. 41 ust. 1 ww. ustawy, m.in. cel przetwarzania danych, sposób ich zbierania i udostępniania, informację o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane.
GIODO nie w każdej sytuacji zarejestruje zgłoszony zbiór. Ustawa o ochronie danych osobowych przewiduje przypadki odmowy rejestracji. Zgodnie z art. 44 ust. 1 ww. ustawy generalny inspektor ochrony danych osobowych wydaje decyzję o odmowie rejestracji zbioru danych:
- jeżeli nie zostały spełnione wymogi określone w art. 41 ust. ustawy,
- ?jeżeli przetwarzanie danych naruszałoby zasady określone ?w art. 23–38 ustawy oraz
- ?jeżeli urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych, określonych ?w przepisach.
GIODO może odmówić rejestracji zgłoszonego zbioru danych
Wymagane zasady przetwarzania danych, których naruszenie skutkuje odmową rejestracji zbioru, to m.in. brak adekwatności danych osobowych w stosunku do celów ich przetwarzania, przetwarzanie danych ujawniających pochodzenie rasowe czy danych o stanie zdrowia bez spełnienia warunków wymaganych przez ustawę, niezapewnienie należytej ochrony interesów osób, których dane dotyczą, czy niepoinformowanie tych osób o zbieraniu danych.
Z kolei wymagane warunki techniczne i organizacyjne, których niespełnienie skutkuje odmową rejestracji zbioru, określone są w rozporządzeniu ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (DzU z 2004 r. nr 100, poz. 1024). Do warunków tych zalicza się np. zastosowanie odpowiedniego poziomu bezpieczeństwa danych.
Administrator danych może ponownie zgłosić zbiór danych do rejestracji po usunięciu wad, które były powodem odmowy rejestracji tego zbioru.
