Z art. 40 i 43 Ustawy wynika, że na ADO spoczywa obwiązek zgłoszenia zbioru danych osobowych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych (jawny rejestr zbiorów) lub zamiennie – zgłoszenia ABI (jawny rejestr ABI).
Przedmiotem zgłoszenia i rejestracji jest zbiór danych jako taki. Nie jest nim ani samo przetwarzanie danych prowadzone w oparciu o jeden czy więcej zbiorów, ani zawartość (treść) zbioru.
Zgłoszenia zbioru danych dokonuje się przez złożenie wypełnionego formularza, którego wzór opublikowany został w Rozporządzeniu do Ustawy.
Odmowa rejestracji zbiorów danych osobowych
Generalny Inspektor Ochrony danych Osobowych (GIODO) wydaje decyzję o odmowie rejestracji zbioru danych, jeżeli:
- nie zostały spełnione wymogi określone w art. 41 ust. 1 Ustawy, tj. zgłoszenie nie zawiera wszystkich wymaganych informacji,
- przetwarzanie danych naruszałoby zasady określone w art. 23 – 30 Ustawy, czyli np. brak przesłanki legalności przetwarzania danych (art. 23 Ustawy), niedopełnienie obowiązku informacyjnego (art. 24 i 25 Ustawy), nieadekwatność przetwarzanych danych w stosunku do celu ich przetwarzania (art. 26 ust. 1 pkt 3 Ustawy), przetwarzanie danych szczególnie chronionych bez podstawy prawnej (art. 27 Ustawy),
- urządzenia i systemy informatyczne służące do przetwarzania zbioru danych zgłoszonego do rejestracji nie spełniają podstawowych warunków technicznych i organizacyjnych.
Odmawiając rejestracji zbioru danych osobowych, GIODO nakazuje:
- ograniczenie przetwarzania wszystkich albo niektórych kategorii danych wyłącznie do ich przechowywania lub
- zastosowanie innych środków, o których mowa w art. 18 ust. 1 ustawy, tj.:
- usunięcie uchybień,
- uzupełnienie, uaktualnienie, sprostowanie, udostępnienie lub nieudostępnienie danych osobowych,
- zastosowanie dodatkowych środków zabezpieczających zgromadzone dane osobowe,
- wstrzymanie przekazywania danych osobowych do państwa trzeciego,
- zabezpieczenie danych lub przekazanie ich innym podmiotom,
- usunięcie danych osobowych.