Jednym z istotnych obowiązków nałożonych ustawą z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (uodo) jest obowiązek zgłoszenia do rejestracji zbiorów danych osobowych Generalnemu Inspektorowi Ochrony Danych Osobowych.
Obowiązek ten jest o tyle istotny, że dotyczy (z pewnymi wyjątkami) wszystkich administratorów danych osobowych, a jego dopełnienie warunkuje możliwość rozpoczęcia przetwarzania danych w zbiorze.
Przepis ustawy w tym zakresie wydaje się pozornie jasny.
Zgodnie bowiem z art. 40 uodo administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi, z wyjątkiem przypadków, o których mowa w art. 43 ust. 1 i 1a.
Z zastrzeżeniem zatem pewnych wyjątków przewidzianych ustawą (które wymagają odrębnego omówienia) wskazany obowiązek dotyczy nie tylko wszystkich administratorów, ale także wszystkich prowadzonych przez nich zbiorów danych.
Jeżeli administrator danych prowadzi więcej niż jeden zbiór danych, to obowiązek zgłoszenia zbioru danych do rejestracji dotyczy każdego ze zbiorów przez niego prowadzonych. Bez znaczenia jest natomiast „liczba” danych przetwarzanych w konkretnym zbiorze danych. Dlatego również wtedy, gdy obok informacji dotyczących przedsiębiorców w zbiorze jest przetwarzana nieznaczna „liczba” danych osobowych, administrator ma obowiązek zgłosić taki zbiór do rejestracji. Ustawodawca bowiem nie określił minimalnej „liczby” danych osobowych decydującej o uznaniu danego zestawu za zbiór danych (wyrok WSA w Warszawie, II SA/Wa 1086/04, „Rzeczpospolita”)
Z tego względu istotne jest, co należy rozumieć przez „zbiór danych„. Ustawa o ochronie danych osobowych zawiera definicję tego pojęcia wskazując, że zbiór danych oznacza każdy posiadający strukturę zestaw danych o charakterze osobowym, dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest rozproszony lub podzielony funkcjonalnie (art 7 pkt 1 uodo). Definicja ta ma zasadnicze znaczenie dla stosowania ustawy o ochronie danych osobowych, jej interpretacja nie powinna zatem nastręczać trudności. W praktyce jednak tak nie jest, na co wskazuje choćby lektura wpisów dokonanych w rejestrze zbiorów danych GIODO (https://egiodo.giodo.gov.pl/personal_data_register.dhtml). Przykładowo na rzecz niektórych administratorów zarejestrowany jest wyłącznie jeden zbiór, ze wskazaniem na wiele celów przetwarzania danych, na rzecz innych zaś kilka lub nawet bardzo wiele zbiorów wydzielonych według kryterium podmiotowego (np. zbiór danych klientów, zbiór danych kontrahentów, zbiór danych osób zainteresowanych ofertą), funkcjonalnego (ze względu na cel przetwarzania) lub obu tych kryteriów. Świadczy to o tym, że dla potrzeb rejestracji za zbiory danych uznawane są przez administratorów najróżniejsze zestawy danych osobowych.
W praktyce pojawiać się mogą problemy w rozstrzyganiu kwestii, czy w konkretnym przypadku mamy do czynienia z jednym zbiorem, w skład którego wchodzi wiele mniejszych podzbiorów, czy też z wielością zbiorów, które łączy pewien związek funkcjonalny (J. Barta, Komentarz do ustawy o ochronie danych osobowych). Pojawia się zatem pytanie, czy w konkretnej sytuacji administrator powinien dokonać zgłoszenia do rejestru kilku odrębnych zbiorów, czy też przetwarzane przez niego dane składają się na jeden zbiór podlegający rejestracji.
Ponieważ zbiorem danych jest każdy „zestaw danych” dostępny wobec „określonego kryterium” bez wątpienia dane określonych osób zbierane w różnym zakresie, pozwalającym na dostęp do nich według różnych kryteriów (np. w jednym przypadku wyłącznie imię i nazwisko, w drugim zaś imię nazwisko i adres), przesądzają o istnieniu kilku zbiorów danych podlegających zgłoszeniu. Z tego względu odrębne zbiory stanowić będą również zbiory danych różnych kategorii osób (np. klienci sklepu, uczestnicy konkursów, kontrahenci itp.).
Wskazać jednak należy, o czym w praktyce często się zapomina, że o wielości zbiorów przesądzać powinny też różne cele przetwarzania określonych danych osobowych. Jak potwierdza również GIODO dla realizacji różnych celów konieczne będzie przetwarzanie danych osobowych w różnych zakresach, a to oznacza, że zgłoszenie zbioru do rejestracji dotyczy de facto nie jednego, lecz kilku zbiorów prowadzonych w różnych celach. Jedno zgłoszenie powinno obejmować przy tym jeden zbiór danych (odpowiedzi na zapytania interpetacyjne, www.giodo.gov.pl)
Teoretycznie można by rozważać, czy ten sam zakres danych osobowych może być przetwarzany na różne cele w jednym zbiorze (tj. czy różne cele przetwarzania danych koniecznie muszą przesądzać o różnych zbiorach, jeśli zakres przetwarzanych danych się nie zmieni). Taka analiza w praktyce powinna prowadzić jednak do negatywnej odpowiedzi na tak postawione pytanie, a to ze względu na obowiązującą w systemie ochrony danych osobowych zasadę adekwatności. Zgodnie z tą zasadą administrator powinien przetwarzać tylko takiego rodzaju dane i tylko o takiej treści, które są niezbędne ze względu na cel zbierania danych (wyroki NSA: z dnia 27 listopada 2003 r., II SA 209/2003, z dnia 19 grudnia 2001 r., II SA 2869/00, także ABC wybranych zagadnień z ustawy o ochronie danych osobowych, GIODO. Wydawnictwo Sejmowe Warszawa, grudzień 2011 r.). W praktyce zaś trudno sobie wyobrazić różne cele (np. wykonanie umowy i cele marketingowe) uzasadniające przetwarzanie dokładnie takich samych (tych i tylko tych) danych osobowych