Prawo Dla Samorządu

Przedsiębiorstwa wodociągowe przetwarzają duże ilości danych osobowych, w tym odbiorców wody, pracowników czy dostawców.

Począwszy od dnia 25 maja 2018 r. zaczną obowiązywać nowe przepisy o ochronie danych osobowych. Do zasad ogólnych przetwarzania danych osób fizycznych dodano zasadę rozliczalności. Na czym polega zasada rozliczalności i co oznacza dla przedsiębiorstwa wodociągowego?

Art. 5 ust. 1 RODO[1] określa zasady dotyczące przetwarzania danych osobowych, tj.:

zgodność z prawem, rzetelność i przejrzystość,
ograniczenie celu; minimalizacja danych,
prawidłowość,
ograniczenie przechowywania,
integralność i poufność.

Z kolei zgodnie z art. 5 ust. 2 RODO administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”). Zatem zasada rozliczalności polega na tym, że przedsiębiorstwo wodociągowe – będące administratorem danych osobowych – powinno być w stanie wykazać, że przetwarza dane osobowe w sposób zgodny z prawem, w szczególności postanowieniami RODO i wyżej wskazanymi zasadami ogólnymi danych osobowych. Przyjęte przez przedsiębiorstwo wodociągowe formalne procedury i rozwiązania techniczno-organizacyjne powinny realizować wszystkie cele ochrony danych osobowych wynikające z przepisów prawa.

Obecnie obowiązująca ustawa z dnia 29 sierpnia 1997 r. o ochronie danych osobowych[2] i rozporządzenie wykonawcze[3] precyzują, że przedsiębiorstwo wodociągowe powinno mieć politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym służącym do przetwarzania danych osobowych, a także określają treść tych dokumentów. Tymczasem od dnia 25 maja 2018 r. generalny obowiązek posiadania ww. dokumentów zostanie zastąpiony zasadą rozliczalności rozumianą jako możliwość wykazania (udowodnienia), że przedsiębiorstwo wodociągowe przetwarza dane osób fizycznych w sposób zapewniający ochronę tych informacji.

Trudność przestrzegania zasady rozliczalności w procesie przetwarzania danych osobowych polega na tym, że zasadniczo ani RODO ani projektowana nowa ustawa o ochronie danych osobowych nie narzucają administratorom środków lub metod ochrony danych osobowych, nie nakazują opracowania konkretnych dokumentów czy procedur. Tylko z nielicznych przepisów RODO można wnioskować o bardziej konkretnych aspektach zasady rozliczalności. Przykładowo art. 30 ust. 1 RODO nakazuje każdemu administratorowi prowadzenie rejestru czynności przetwarzania danych osobowych i określa minimalną treść rejestru. Jednocześnie do decyzji przedsiębiorstwa wodociągowego pozostawiono formę rejestru, metodę zakładania i aktualizowania rejestru, poziom szczegółowości tego rejestru itp. Wydaje się więc, że fakt prowadzenia rejestru czynności przetwarzania może stanowić dowód dla potrzeb zasady rozliczalności.

Po wtóre, art. 24 ust. 2 RODO wskazuje, że jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki, o których mowa w ust. 1, obejmują wdrożenie przez administratora odpowiednich polityk ochrony danych. Jednocześnie na podstawie art. 39 ust. 1 lit. b) RODO jednym z zadań inspektora ochrony danych jest monitorowanie przestrzegania polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty. Z cytowanych postanowień wynika, że przedsiębiorstwo wodociągowe może posiadać politykę danych osobowych (rozumianą jako sformalizowany zbiór wytycznych), która uporządkuje zarządzanie kwestią danych osobowych. Wydaje się, że przedsiębiorstwa wodociągowe będą mogły wykorzystywać istniejące polityki bezpieczeństwa i instrukcje przetwarzania pod warunkiem, że dostosują ich treść do wymogów RODO.

Zasada rozliczalności oznacza, że w przypadku kontroli przedsiębiorca wodociągowy ponosi ciężar wykazania, że przetwarzanie danych osobowych jest zgodne z prawem. RODO ani projektowana nowa ustawa o ochronie danych osobowych nie udzielają jednoznacznej odpowiedzi jakie środki potwierdzą taką zgodność. Jak się wydaje, prowadzenie rejestru czynności przetwarzania lub posiadanie polityki ochrony danych osób fizycznych powinno być połączone z doborem właściwych rozwiązań z zakresu szeroko rozumianego zarządzania i IT, wyznaczeniem inspektora ochrony danych, uwzględnianiem zagadnień ochrony danych osób fizycznych na etapie projektowania („privacy by design”) itp. Zasada rozliczalności wymusza na przedsiębiorstwie wodociągowym podjęcie aktywnych działań w zakresie analizy istniejących procedur przetwarzania danych osobowych, opisania przyjętych rozwiązań i ewentualnie wprowadzenia zmian w celu zapewnienia zgodności z RODO.

Reasumując, począwszy od 25 maja 2018 r. przedsiębiorstwo wodociągowe będzie mogło swobodnie organizować przetwarzanie danych osobowych, ustalać własne procedury i wybierać środki techniczne pod warunkiem, że zachowane zostaną zasady ochrony danych osobowych. Zasada zgodności oznacza, że każde przedsiębiorstwo wodociągowe powinno mieć własne, indywidualne podejście do przetwarzania danych osobowych. Rozwiązania przyjęte w jednej organizacji nie muszą bowiem odpowiadać potrzebom innej organizacji w zakresie tych danych.

[1] rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.

[2] tekst jedn. Dz. U. z 2016 r. poz. 922 ze zm.

[3] rozporządzenie Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz. U. Nr 100, poz. 1024 ze zm.).

TAGI: Gospodarka komunalna, Jednostki budżetowe, Ochrona danych osobowych, Prawo europejskie, Wodociągi i kanalizacja,

Zasada rozliczalności w przedsiębiorstwie wodociągowym