Czy każdy zakład wodociągowy powinien zrobić ocenę skutków dla ochrony danych?

Generalny Inspektor Ochrony Danych Osobowych przekazał do konsultacji projekt wykazu przykładowych operacji przetwarzania, w których może wystąpić obowiązek oceny skutków dla ochrony danych. Zgodnie z tym dokumentem ocena skutków dla ochrony danych może być wymagana także w procesie przetwarzania w systemach zdalnego opomiarowania, które biorąc pod uwagę zakres i częstotliwość zbierania danych umożliwiają profilowanie osób lub grupy osób, a więc np. zdalnego odczytu wodomierzy mieszkaniowych.

Zasada ogólna

Począwszy od dnia 25 maja 2018 r. zaczną obowiązywać nowe przepisy o ochronie danych osobowych. Ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn. Dz. U. z 2016 r. poz. 922 ze zm.) zostanie zastąpiona rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (dalej: RODO). W wyniku tej zmiany ochrona danych osobowych zostanie ujednolicona w całej Unii Europejskiej. Podkreślić należy, że ww. rozporządzenie Parlamentu Europejskiego i Rady będzie obowiązywać bezpośrednio i nie wymaga transponowania do polskiego systemu prawnego w drodze ustawy (odmiennie niż dyrektywa).

W art. 35 ust. 1 RODO wprowadza nowy obowiązek oceny skutków planowanych operacji przetwarzania dla ochrony danych jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Na podstawie art. 35 ust. 3 RODO, ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku:

a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;

b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub

c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Analiza art. 35 ust. 1 i 3 RODO prowadzi do wniosku, że większość zakładów wodociągowych prawdopodobnie nie będzie zobowiązana do przeprowadzania oceny skutków dla ochrony danych.

Wykaz GIODO przykładowych operacji przetwarzania

RODO nie zawiera przykładowego katalogu lub innych wytycznych jakie konkretne operacje przetwarzania danych osobowych powinny być objęte oceną skutków dla ochrony danych. Jednocześnie zgodnie z art. 35 ust. 4 RODO, organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych.

GIODO przygotował projekt wykazu przykładowych operacji przetwarzania, zgodnie z którym ocena skutków dla ochrony danych może być wymagana dla procesu przetwarzania m.in.:

• rozbudowane systemy monitoringu przestrzeni publicznej umożliwiających śledzenie osób i pozyskiwanie danych wykraczających poza dane niezbędne do świadczenia usługi (np. środki komunikacji miejskiej, miasta oferujące systemy wypożyczania rowerów, samochodów oraz wyznaczające strefy płatnego parkowania);
• mobilny system monitoringu wykorzystywany przez funkcjonariuszy publicznych, m.in. policji, straży pożarnej, straży miejskiej, straży granicznej itd.;
• przetwarzanie danych z dużą częstotliwością umożliwiającą obserwację stylu życia, prywatnych aspektów życia codziennego, przemieszczania się w terenie, intensywności korzystania z mediów, energii itp.;
• przetwarzanie danych spoza zbioru określonego w Kodeksie pracy na podstawie zgody pracownika;
• dokumentacji nauczania, czyli np. w szkołach i uczelniach w zakresie oceny charakteru i zdolności osób uczących się;
• systemy zdalnego opomiarowania, które biorąc pod uwagę zakres i częstotliwość zbierania danych umożliwiają profilowanie osób lub grupy osób.

Powstaje pytanie czy rzeczywiście wszystkie istniejące dziś w zakładach wodociągowych systemy zdalnego opomiarowania umożliwiające profilowanie osób lub grupy osób, są procesami, gdzie może powstać na tyle duże ryzyko naruszenia praw i wolności osób, których dane dotyczą, z art. 35 ust. 1 RODO, że będzie potrzeba oceny skutków dla ochrony danych. Czy zakład wodociągowy tylko testujący takie oprogramowanie musi wykonać ocenę skutków dla ochrony danych? Wobec nieprecyzyjności zapisów w analizowanych dokumencie większość zakładów wodociągowych, działając z daleko posuniętej ostrożności, zmuszona będzie wykonać ocenę skutków dla ochrony danych nawet jeżeli system zdalnego opomiarowania np. dot. tylko 1% odbiorców wody. Jednocześnie szeroko rozumiana działalność wodociągowa jest dziedziną bardzo szczegółowo uregulowaną w przepisach prawa, które określają m.in. sposób działalności zakładów wodociągowych. Czy w świetle powyższego zasadne jest nakładanie na branżę wodociągową dodatkowego obowiązku?

Termin konsultacji

Projekt wykazu przykładowych operacji przetwarzania, w których może wystąpić obowiązek oceny skutków dla ochrony danych, jest opublikowany na stronie internetowej GIODO pod adresem: https://www.giodo.gov.pl/pl/1520281/10430. Zgodnie z informacją zamieszczoną na stronie internetowej GIODO zainteresowane podmioty mogą przesyłać swoje opinie najpóźniej do 30 kwietnia 2018 r. na adres: dif@giodo.gov.pl.

Urszula Szefler

radca prawny w Kancelarii Prawnej Dr Krystian Ziemski & Partners w Poznaniu, specjalizuje się w prowadzeniu sporów sądowych i bieżącej obsłudze przedsiębiorców ze szczególnym uwzględnieniem prawa pracy

Tekst pochodzi z portalu Prawo Dla Samorządu