Zarówno w nowym jak i poprzednim stanie prawnym, co do zasady każdy administrator danych osobowych jest zobowiązany zgłosić zbiory danych do rejestracji GIODO (art. 40 ustawy z 29.8.1997 r. o ochronie danych osobowych t.j. Dz.U. 2015 r. poz. 2135 ze zm.; dalej: OchrDanychU ). Z obowiązku rejestracji zwolnieni są administratorzy danych enumeratywnie wymienionych w art. 43 OchrDanychU.

Obowiązujące od 1 stycznia 2015 r. znowelizowane przepisy ustawy o ochronie danych osobowych wprowadzają dodatkowe ułatwienia. Zmiana przepisów ustawy o ochronie danych osobowych w odniesieniu do rejestracji zbiorów danych osobowych polegała bowiem m.in. na dodaniu dwóch nowych wyłączeń z obowiązku rejestracji.

Ze zwolnienia skorzystać zatem mogą administratorzy danych także w sytuacji gdy:

1) zbiór dotyczy wyłącznie danych „zwykłych” i prowadzony jest tylko w wersji papierowej;

2) zbiór dotyczy wyłącznie danych „zwykłych” i administrator danych zgłosił GIODO powołanie administratora bezpieczeństwa informacji.

Powyższe wynika z faktu, że katalog zwolnień z obowiązku rejestracji określony w art. 43 ust. 1 OchrDanychU w wyniku nowelizacji z 7.11.2014 r. został rozszerzony o zwolnienie administratorów przetwarzających dane w zbiorach, które nie są prowadzone z wykorzystaniem systemów informatycznych (pkt 12). Zwolnienie to dotyczy tzw. zbiorów tradycyjnych (w formie papierowej). Zakres tego zwolnienia jest jednak ograniczony wyłącznie do zbiorów, w których przetwarzane są tzw. dane ”zwykłe”, natomiast nie obejmuje zbiorów, w których administrator danych przetwarza dane szczególnie chronione (dane wskazane w art. 27 ust. 1 OchrDanychU tj. dane ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub filozoficzne, przynależność wyznaniową, partyjną lub związkową, dane o stanie zdrowia, kodzie genetycznym, nałogach lub życiu seksualnym oraz dane dotyczące skazań, orzeczeń o ukaraniu i mandatów karnych, a także o innych orzeczeniach wydanych w postępowaniu sądowym lub administracyjnym).

Ważne
Zatem, aby skorzystać z tego zwolnienia konieczne jest spełnienie łącznie dwóch warunków: po pierwsze – dane w zbiorze nie są przetwarzane przy użyciu systemu informatycznego (forma papierowa), po drugie -zbiór nie zawiera danych wrażliwych (wymienionych w art. 27 OchrDanychU).

Kolejnym nowym zwolnieniem z obowiązku rejestracyjnego, wprowadzonym nowelizacją z 7.11.2014 r., jest zwolnienie związane z powołaniem administratora bezpieczeństwa informacji (ABI) i zgłoszeniem go do rejestracji GIODO (art. 43 ust. 1a OchrDanychU). Należy jednak zaznaczyć, iż omawiane zwolnienie nie obejmuje zbiorów zawierających dane szczególnie chronione (art. 27 ust. 1 OchrDanychU). Co istotne, ustawa dla możliwości skorzystania z tego zwolnienia wymaga nie tylko powołania ABI, ale także zgłoszenia tego faktu GIODO.