Na początku bieżącego roku Prezes Urzędu Ochrony Danych Osobowych ogłosił plan kontroli sektorowych w 2020 r. Kontrolom mają podlegać m.in. przedsiębiorstwa wodociągowo-kanalizacyjne korzystające z systemu zdalnego odczytu wodomierzy, o czym pisaliśmy w artykule pt. "Zdalne odczytywanie wodomierzy pod lupą UODO". Przedsiębiorstwa, jako administratorzy danych osobowych, powinny zatem ze szczególną uwagą podejść do obowiązków wynikających z RODO, w tym do oceny skutków operacji przetwarzania dla ochrony danych osobowych (czyli DPIA, od ang. data protection impact assessment).
art. 35 ust. 1 RODO
„Jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.”
Przywołany przepis nie przewiduje bezwzględnego obowiązku przeprowadzenia DPIA przez każdego administratora danych osobowych. Obowiązek ten aktualizuje się wówczas, gdy administrator stwierdzi, że zachodzi duże prawdopodobieństwo, iż konkretny rodzaj przetwarzania danych osobowych wiąże się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych. Problem w tym, że RODO nie konkretyzuje pojęć „dużego prawdopodobieństwa” oraz „wysokiego ryzyka”.
Powyższe oznacza w praktyce, że administrator danych osobowych przed przeprowadzeniem DPIA musi samodzielnie wstępnie oszacować ryzyko dla każdego rodzaju operacji przetwarzania. Warto przy tym zwrócić uwagę, że zgodnie z wytycznymi zatwierdzonymi przez Europejską Radę Ochrony Danych, w przypadkach, w których nie jest jasne, czy wymagane jest przeprowadzenie DPIA, zaleca się jednak przeprowadzenie takiej oceny.
Dla omawianej tutaj kwestii istotne znaczenie ma również Komunikat Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Wykaz ten jest urzędowym dokumentem, którego obowiązek ustanowienia i opublikowania przewiduje art. 35 ust. 4 RODO oraz art. 54 ust. 1 pkt 1 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych.
Zgodnie z poz. 10 wykazu, jednym z rodzajów przetwarzania, dla których wymagane jest przeprowadzenie oceny (DPIA) jest innowacyjne wykorzystanie rozwiązań technologicznych oraz organizacyjnych. Co istotne, ten rodzaj przetwarzania danych Prezes Urzędu Ochrony Danych Osobowych przypisał m.in. do sprzedawców mediów, w tym wody, a jako przykład okoliczności, w których może wystąpić wysokie ryzyko naruszenia wskazał stosowanie systemów zdalnego opomiarowania, które, biorąc pod uwagę zakres i częstość zbierania danych, umożliwiają profilowanie osób lub grupy osób.
Warto zauważyć, że zawarte w wykazie przykłady operacji i okoliczności, w których może wystąpić wysokie ryzyko naruszenia, jak podkreśla sam Prezes Urzędu Ochrony Danych Osobowych, mają charakter pomocniczy i w żadnym wypadku nie są katalogiem zamkniętym, a nadto nie zwalniają z obowiązku przeprowadzenia DPIA w innych wypadkach, o ile zachodzą ku temu przesłanki określone w RODO.
Co to wszystko oznacza dla przedsiębiorstw wodociągowo-kanalizacyjnych?
Wniosek jaki się nasuwa po zestawieniu planu kontroli sektorowych Prezesa UODO ze wspomnianym powyżej wykazem jest taki, że zdecydowanie bezpieczniejszym podejściem z punktu widzenia przedsiębiorstw wodociągowo-kanalizacyjnych jest przeprowadzenie DPIA, a przynajmniej wstępnej oceny ryzyka. Brak DPIA, w przypadku gdy jest ona wymagana, w razie ewentualnej kontroli UODO może zostać uznane za naruszenia skutkujące nałożeniem kary.