Prawidłowe zgłoszenie polega przede wszystkim na właściwym wypełnieniu przez administratora danych formularza rejestracyjnego i przesłaniu go do Generalnego Inspektora Ochrony Danych Osobowych.
Jednym z podstawowych obowiązków administratora danych jest zgłoszenie do rejestracji prowadzonych przez niego zbiorów danych osobowych, obowiązek ten wynika z art. 40 ustawy o ochronie danych osobowych. Administrator ma obowiązek zawrzeć w zgłoszeniu wszystkie informacje o prowadzonym przez siebie zbiorze danych osobowych, które zostały określone w art. 41 ust.1 ustawy o ochronie danych osobowych. Na informacje te składa się m. in.:
oznaczenie administratora danych i adres jego siedziby lub miejsca zamieszkania, w tym numer identyfikacyjny rejestru podmiotów gospodarki narodowej, jeżeli został mu nadany, oraz podstawę prawną upoważniającą do prowadzenia zbioru, a w przypadku powierzenia przetwarzania danych podmiotowi, o którym mowa w art. 31, lub wyznaczenia podmiotu, o którym mowa w art. 31a, oznaczenie tego podmiotu i adres jego siedziby lub miejsca zamieszkania,
cel przetwarzania danych,
opis kategorii osób, których dane dotyczą, oraz zakres przetwarzanych danych,
sposób zbierania oraz udostępniania danych,
informacje o odbiorcach lub kategoriach odbiorców, którym dane mogą być przekazywane,
opis środków technicznych i organizacyjnych zastosowanych w celach określonych w art. 36-39 ustawy,
informacje o sposobie wypełnienia warunków technicznych i organizacyjnych określonych w przepisach, o których mowa w art. 39a ustawy o ochronie danych osobowych.
Powyższe informacje administrator danych ma obowiązek podać w sposób określony w rozporządzeniu wykonawczym do ustawy o ochronie danych osobowych, tj. na formularzu, który stanowi załącznik do rozporządzenia Ministra Spraw Wewnętrznych i Administracji z dnia 11 grudnia 2008 r. w sprawie wzoru zgłoszenia zbioru danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych.
Zgłoszenie zbioru danych do rejestracji nie oznacza przesyłania danych osobowych, które stanowią jego zawartość, ani dokumentów potwierdzających zawarte w nim oświadczenia (np. polityki bezpieczeństwa). Generalny Inspektor Ochrony Danych Osobowych nie przetwarza bowiem danych osobowych gromadzonych w ramach zbiorów danych, podlegających obowiązkowi rejestracji, a jedynie dysponuje informacjami o takich zbiorach.
Zgłaszając zbiór do rejestracji administrator danych powinien również pamiętać, iż w formularzu zgłoszenia zbioru danych do rejestracji należy podać tylko informacje o jednym zbiorze danych osobowych, czyli zasadą jest, że jedno zgłoszenie powinno obejmować jeden zbiór danych osobowych, a złamanie tej zasady, tj. wypełnienie jednego formularza zgłoszenia dla kilku zbiorów danych osobowych nie pozwala w sposób właściwy scharakteryzować poszczególnych zbiorów objętych zgłoszeniem. Tym samym nie można dla każdego z nich wskazać elementów decydujących o jego tożsamości, tj. np. podstawy prawnej przetwarzania danych, zakresu przetwarzanych danych, celu przetwarzania danych w zbiorze, a co za tym idzie nie jest możliwe stwierdzenie, jakie informacje, o których mowa w art. 41 ust. 1 ustawy, dotyczą każdego ze zbiorów.
Administrator danych może przesłać zgłoszenie za pośrednictwem poczty bądź złożyć w Biurze GIODO (ul. Stawki 2, 00-193 Warszawa). Należy jednak pamiętać, że obowiązek rejestracyjny może zostać spełniony również drogą elektroniczną, za pośrednictwem „Elektronicznej platformy komunikacji z Generalnym Inspektorem Ochrony Danych Osobowych” (E-Giodo) dostępnej na stronie internetowej: www.giodo.gov.pl.
Należy również dodać, iż przepisy o rejestracji mają odpowiednie zastosowanie do zgłoszenia zmian w zbiorze (art. 41 ust. 4 ustawy). Oznacza to, iż zgłoszenia zmian w zbiorze administrator danych winien dokonać również na powyżej określonym formularzu.