W tegorocznym planie kontroli organ nadzorczy ujął podmioty korzystające z urządzeń umożliwiających zdalny odczyt liczników wody. Eksperci radzą, by w ramach przygotowań do wizyty inspektorów sprawdziły one zakres przetwarzanych danych oraz umowy z podmiotami zewnętrznymi.
Prezes Urzędu Ochrony Danych Osobowych przedstawił w początkach roku plan kontroli sektorowych na 2020 r. Pod lupę mają trafić między innymi podmioty, które korzystają z systemów tzw. inteligentnych liczników wody, które umożliwiają zdalny odczyt parametrów z danego budynku lub lokalu z wykorzystaniem nowoczesnych technologii. Urządzenia te automatycznie przesyłają odczyty z urządzeń do bazy danych. Tego typu liczniki są wykorzystywane nie tylko przez przedsiębiorstwa wodociągowe, lecz także np. spółdzielnie mieszkaniowe. To właśnie te grupy podmiotów mogą spodziewać się kontroli UODO w tym zakresie.
UODO sprawdzi, czy administrator danych osobowych jest w stanie wskazać zagrożenia i ryzyko płynące z przetwarzania przez niego pozyskanych informacji. – Będziemy weryfikować, czy wdrożone zostały środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z ogólnym rozporządzeniem o ochronie danych (RODO) – informuje Adam Sanocki, rzecznik prasowy UODO. I dodaje, że zakres przetwarzanych danych może różnić się od przyjętego przez administratora sposobu odczytu. Tym samym niezbędne w trakcie kontroli będzie ustalenie, czy w związku z owym przetwarzaniem danych dochodzi do profilowania, o którym mowa w art. 4 pkt 4 RODO.
Reklama
Obecnie obowiązujące przepisy prawa nie regulują kwestii częstotliwości odczytów z wodomierzy. Jednak organ nadzorczy może surowszym okiem spojrzeć na podmioty, które dokonują częstych pomiarów.
Dlatego zdaniem Ewy Derc, wspólnika w Kancelarii Derc Pałka Kancelaria Radców Prawnych w Warszawie, do rozliczenia niezbędne wydaje się dokonywanie odczytów tylko raz w miesiącu. Z drugiej strony niekiedy uzasadnione będzie przeprowadzanie odczytów z większą częstotliwością – np. w celu sprawdzenia, czy system prawidłowo funkcjonuje. Tym bardziej, że coraz częściej zdarzają się przypadki hakowania i manipulowania odczytami z inteligentnych liczników.
Kolejna kwestia, która może być kontrolowana, to sposób przekazywania danych osobowych przez spółdzielnie podmiotom zewnętrznym, takim jak operatorzy dokonujący odczytu czy przedsiębiorstwa wodociągowe. – W takim przypadku konieczne jest zweryfikowanie, czy owo przekazywanie danych takim podmiotom odbywa się w sposób bezpieczny, tj. czy stosowane są metody szyfrowania przesyłanych danych oraz czy dane osobowe nie są przesyłane w nadmiarowym zakresie. Tym samym kluczowa będzie ocena zgodności przekazywania ww. danych z wymogami określonymi w art. 28 RODO – wskazuje rzecznik UODO. Przypomnijmy – artykuł ten określa, jakie wymogi powinien spełnić podmiot przetwarzający.
Pod lupę organu niewątpliwie trafią również umowy powierzenia. Mecenas Ewa Derc wyjaśnia, że co do zasady administratorem danych z inteligentnych wodomierzy jest spółdzielnia mieszkaniowa. Jeżeli jednak chce ona przekazać przetwarzanie danych do podmiotu zewnętrznego, to musi z nim zawrzeć właśnie umowę powierzenia. – Zdarzają się sytuacje, w których podmiot zewnętrzny na tyle ingeruje w cele i sposoby przetwarzania danych, że staje się administratorem danych osobowych. Przykładem może być dostawa wody zimnej przez wodociągi – mówi prawniczka. Radzi, by spółdzielcy dokładnie prześledzili swoje umowy z podmiotami zewnętrznymi, zanim do ich drzwi zapuka organ nadzorczy. – Można spodziewać się, że UODO sprawdzi, czy spółdzielnie zawarły odpowiednie umowy i czy właściwie wskazały zakres przekazywanych danych (np. czy nie przekazują zbyt wiele informacji o członkach spółdzielni). Ponadto czy nie jest łamana zasada minimalizacji danych (czy przetwarzane są tylko niezbędne dane) – podsumowuje mec. Ewa Derc.
Co nowoczesne liczniki mają wspólnego z RODO
Urządzenia wchodzące w skład systemu zdalnego odczytu wodomierzy mogą dokładnie wskazywać, ile pobiera się energii w określonym momencie doby. – Na podstawie takich danych można więc wywnioskować, o której lokatorzy wstają, czy korzystają z ekspresu do kawy, kiedy robią pranie, a także kiedy wychodzą z domu i do niego wracają. Takie informacje w przypadku ich powiązania z określonymi osobami fizycznymi, zamieszkującymi dany lokal, niewątpliwie stanowią dane osobowe – wyjaśnia radca prawny Ewa Derc.