Prezes Urzędu Ochrony Danych Osobowych zatwierdził plan kontroli w roku 2020. Wśród obszarów, które zamierza poddać analizie znalazły się systemy zdalnego odczytu wodomierzy, używane przez przedsiębiorstwa wodociągowo-kanalizacyjne. Uzasadnieniem dla takiego kierunku działań organu jest możliwość naruszenia przez przedsiębiorstwa przepisów o ochronie danych osobowych w ramach eksploatowanych przez nie systemów.
Jak donosi Serwis Samorządowy PAP „UODO sprawdzi m.in. czy dane pozyskiwane z odczytu inteligentnych liczników przesyłane są w sposób bezpieczny, czy są szyfrowane, czy nie są zbierane przy tym dane nadmiarowe”. Urząd weryfikował będzie ponadto czy „wdrożone zostały środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z ogólnym rozporządzeniem o ochronie danych".
W ocenie UODO, w trakcie kontroli koniecznym będzie ustalenie czy:
- wobec przetwarzania danych, opartego na zdalnym odczycie wodomierzy dochodzi do profilowania danych (zgodnie z art. 4 pkt 4 RODO – „profilowanie" oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się”);
- wdrożono odpowiednie środki techniczne (w tym informatyczne) i organizacyjne (w tym prawne) gwarantujące odpowiednią ochronę (poziom bezpieczeństwa) danych osobowych (w tym wypadku należy sprawdzić m.in. czy polityki związane z ochroną danych osobowych, obowiązujące w danym podmiocie, zawierają stosowne wytyczne dotyczące ochrony oraz zabezpieczenia danych pozyskanych w związku z eksploatowaniem systemu do zdalnego odczytu wodomierzy - np. czy software nakładek jest poddawany okresowym przeglądom pod kątem jego aktualności lub jak długo przechowywane są dane pochodzące z odczytu wodomierzy etc.);
- zostały zawarte umowy powierzenia przetwarzania danych osobowych z podmiotami uzyskującymi dostęp do danych, spełniające wymogi określone w art. 28 RODO (przepisy RODO przewidują, że przetwarzanie danych w imieniu administratora może mieć miejsce jedynie wtedy, gdy podmiot przetwarzający zapewni odpowiednie środki technicznych i organizacyjnych tak aby przetwarzanie danych spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą – mając na względzie, iż „usługa informatyczna” zdalnego odczytu realizowana jest częstokroć przez podmioty trzecie zasadnym wydaje się określenie, czy w danym przypadku koniecznym jest zawarcie takiej umowy);
- w ramach przesyłu danych, z wykorzystaniem zdalnego odczytu wodomierzy, administrator wdrożył odpowiednie metody szyfrowania danych.
Z uwagi na okoliczność, iż będzie to jedna z pierwszych kontroli dotyczących przestrzegania przez podmioty z branży wodociągowo-kanalizacyjnej przepisów dotyczących ochrony danych osobowych, rekomendowanym jest przeprowadzenie szczegółowej analizy ryzyka dot. przetwarzania danych osobowych w ramach zdalnego systemu odczytu wodomierzy, aktualizacji rejestru czynności przetwarzania oraz rejestru kategorii przetwarzania danych osobowych (art. 30 RODO), weryfikacji umów w sprawie wykonania (wdrożenia) zdalnego systemu odczytu wodomierzy z uwzględnieniem (jeżeli dotyczy) treści umów o dofinansowanie, a także weryfikacji obowiązujących w podmiocie polityk dotyczących ochrony danych osobowych.
W kontekście niedawnej decyzji Prezesa UODO z dnia 18 października 2019 roku (nr ZSPU.421.3.2019), nakładającej na podmiot publiczny karę pieniężna w związku ze stwierdzonymi uchybieniami w zakresie ochrony danych osobowych, zasadnym jest również ustalenie czy w przypadku systemu zdalnego odczytu wodomierzy (w danym stanie faktycznym) koniecznym jest zawarcie odrębnej umowy powierzenia przetwarzania danych osobowych tj. pomiędzy administratorem danych osobowych (przedsiębiorstwem wodociągowo-kanalizacyjnym) a (np.) dostawcą nakładki do zdalnego odczytu wodomierzy lub operatorem systemu informatycznego umożliwiającym taki odczyt.
Łukasz Grzybek - prawnik
Kancelaria Radców Prawnych Zygmunt Jerzmanowski i Wspólnicy
