Breaking news
Zapraszamy do współpracy w 2024 r.! Po więcej informacji skontaktuj się z nami mailowo: [email protected]

Prezes Urzędu Ochrony Danych Osobowych zatwierdził plan kontroli sektorowych na rok 2020. Zgodnie z nim w tym roku zostaną przeprowadzone kontrole sektorowe m.in. w podmiotach korzystających z systemu zdalnego odczytu wodomierzy. O przyczynach podjętej decyzji, celu i formie kontroli z Adamem Sanockim, Rzecznikiem Prasowym UODO rozmawiała Izabela Żylińska.

 

Adam Sanocki, Rzecznik Prasowy UODO

 Rozmawiała: Izabela Żylińska

 

Dlaczego zdecydowali się Państwo na kontrolę podmioty korzystające z systemu zdalnego odczytu wodomierzy?

W ramach kontroli sektorowych dotyczących tzw. inteligentnych liczników kontrolerzy UODO dokonają sprawdzenia sposobu prowadzenia i obsługi systemu zdalnego odczytu wodomierzy przez spółdzielnie mieszkaniowe, przedsiębiorstwa wodociągowe, urzędy miast i operatorów, zajmujących się obsługą infrastruktury tego systemu.

Jakiego typu zagrożenia naruszania przepisów o ochronie danych osobowych upatruje UODO w przypadku podmiotów korzystających z systemu zdalnego odczytu wodomierzy?

Celem wskazanych kontroli jest m.in. określenie zagrożeń płynących z przetwarzania danych w ramach systemu zdalnego odczytu wodomierzy. Podkreślenia wymaga, że obecnie obowiązujące przepisy prawa nie regulują kwestii częstotliwości odczytów danych pochodzących z tzw. inteligentnych liczników, natomiast zakres przetwarzanych danych może różnić się w zależności od przyjętego przez operatora lub przedsiębiorstwa wodociągowego sposobu odczytu. Tym samym niezbędnym w trakcie kontroli będzie ustalenie, czy wobec przetwarzania danych, opartego na zdalnym odczycie wodomierzy dochodzi do profilowania danych, o którym mowa w art. 4 pkt 4 ogólnego rozporządzenia o ochronie danych, czyli RODO.

Niemniej istotne jest również wykazanie przez administratora danych zagrożeń i ryzyk płynących z przetwarzania takich danych, tj. weryfikacja czy wdrożone zostały środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z ogólnym rozporządzeniem o ochronie danych.

Należy podkreślić, że dane osobowe, które są przetwarzane w powyższym zakresie, są przekazywane podmiotom zewnętrznym, takim jak operatorzy dokonujący odczytu czy przedsiębiorstwa wodociągowe. W tym przypadku konieczne jest zweryfikowanie, czy przekazywanie danych takim podmiotom odbywa się w sposób bezpieczny, tj. czy stosowane są metody szyfrowania przesyłanych danych oraz czy dane osobowe nie są przesyłane w nadmiarowym zakresie. Tym samym kluczowa będzie ocena zgodności przekazywania ww. danych w oparciu o wymogi określone w art. 28 ogólnego rozporządzenia o ochronie danych.

Czy mają Państwo w planach również kontrolę podmiotów korzystających z systemu zdalnego odczytu inteligentnych liczników energii elektryczne oraz inteligentnych gazomierzy?

Problemów, które Urząd Ochrony Danych Osobowych chętnie gruntownie by zbadał, zwłaszcza w dobie rozwoju nowoczesnych technologii, jest bardzo dużo. Planując kontrole sektorowe, zawsze konieczne było dokonywanie wyboru spośród wielu tematów i zagadnień. Realizowane były i są te najistotniejsze, mające największe znaczenie dla ochrony danych osobowych wielu osób.

Jak będzie przebiegał proces kontroli w takich przedsiębiorstwach?

Kontrole Prezesa UODO odbywają się według procedur określonych w art. 78–91 ustawy z 10 maja 2018 r. o ochronie danych osobowych. Zgodnie z tymi regulacjami kontrola rozpoczyna się w momencie okazania przez kontrolera upoważnienia wydanego przez Prezesa UODO i może trwać 30 dni. Kończy się ona  podpisaniem protokołu z kontroli przez administratora danych bądź odnotowaniem przez pracownika Urzędu wzmianki, iż kontrolujący odmówił podpisania tego dokumentu.

Czynności kontrolne mogą odbywać się od 6 rano do godziny 22. Kontrolerzy mają m.in. prawo  wglądu do dokumentów mających związek z kontrolą, oględzin np. miejsc i urządzeń, żądania złożenia wyjaśnień. Mogą również przesłuchiwać pracowników kontrolowanego.

Czy do UODO wpłynęły już skargi na działanie podmiotów korzystających z systemu zdalnego odczytu inteligentnych liczników?

Jeżeli chodzi o skargi, to do Prezesa UODO wpłynęły dwie sprawy, które dotyczyły pozyskiwania danych z tzw. inteligentnych wodomierzy.

Jak należy poprawnie zabezpieczyć systemu zdalnego odczytu, aby sprostać obowiązującym regulacjom?

Co się zaś tyczy kwestii zabezpieczeń, to RODO nie określa minimalnych wymagań w tym zakresie. Wskazuje administratorom danych, że przy doborze odpowiednich środków technicznych i organizacyjnych powinni oni uwzględnić m.in. ryzyko wystąpienia naruszeń, istniejące zagrożenia oraz stan wiedzy technicznej. Ponadto RODO nakazuje im regularnie testować stosowane rozwiązania, co jest bardzo istotne z uwagi na nieustannie zmieniającą się technologię i pojawiające się nowe zagrożenia.

Dziękuję za rozmowę.

 


Treść przytoczonych w wywiadzie artykułów z Ogólnego rozporządzenia o ochronie danych można znaleźć w dokumencie dostępnym pod linkiem: https://www.uodo.gov.pl/pl/file/727.


 

O komentarz odnośnie kontroli UODO poprosiłam również przedstawicieli wodociągów. Poniżej odpowiedzi.

 

mgr inż. Dawid Borkowski, Prezes Zarządu Wodociągi Kościańskie Sp. z o.o.:

– Nie mieliśmy jeszcze kontroli UODO w spółce. Mamy system nakładek, które działają na GSM. Z firmą obsługującą podpisaliśmy umowę o powierzenie danych. Nakładka zna tylko swój numer seryjny oraz stan wodomierza. Dane są personalizowane dopiero na serwerze, do którego dostęp zabezpieczony jest hasłem i loginem. Pracownicy spółki mają dostęp z poziomu administratora, gdzie widać tylko dane personalne. Serwis, firma obsługująca ma tylko dostęp do numeru nakładki, stanów i alarmów.

 

Janusz Tomasz Czarnogórski, Prezes Zarządu
Przedsiębiorstwo Wodociągów i Kanalizacji w Ząbkach Sp. z o.o.:

– W październiku 2019 r. zespół inspektorów z UODO przeprowadził kontrolę w zakresie przetwarzania przez nasze przedsiębiorstwo danych osobowych w związku z planowanym uruchomieniem systemu monitoringu infrastruktury wodociągowej. Kontroli podlegały m.in. podstawy prawne, źródła pozyskiwania oraz sposób zbierania i udostępniania danych osobowych. Sprawdzano także czy zostały wdrożone odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z RODO. Uwaga kontrolujących szczególnie była skierowana na aspekty ewentualnego profilowania odbiorców naszych usług, które w przypadku PWiK w Ząbkach nie występuje.

Na kontrolę byliśmy w pełni przygotowani, tj. posiadaliśmy wszystkie wymagane dokumenty oraz mieliśmy wdrożone wszystkie niezbędne procedury.

W związku z tym, że kontrola była przeprowadzona w fazie badawczo-rozwojowej projektu, kontrolerzy zapowiedzieli swoją ponowną wizytę za dwa lata, gdy system odczytów wodomierzy będzie w fazie użytkowej.

Jak wypełniamy przepisy o ochronie danych osobowych podczas korzystania z systemu zdalnego odczytu wodomierz?

Po pierwsze dane wysyłane przez wodomierze za pośrednictwem stacji bazowych do serwera danych, są odpowiednio zabezpieczone – każdy wodomierz posiada unikalne klucze szyfrujące, do których dostęp posiada ściśle określona i ograniczona ilość pracowników.

Po drugie powiązanie danych o zużyciu wody wodomierza z konkretnym odbiorcą odbywa się dopiero na serwerze w Systemie ERP. Na całej drodze przesyłania danych nie występują żadne dane osobowe. Ewentualne przechwycenie pakietu danych i jego odszyfrowanie nie pozwoli hakerowi na pozyskanie jakichkolwiek danych osobowych.

Po trzecie nie prowadzimy profilowania naszych odbiorców. W żaden sposób nie analizujemy stylu życia poszczególnych mieszkańców naszego Miasta w oparciu o dane zużycia wody. Analizy danych prowadzone w Systemie GIS odbywają się bezosobowo w oparciu o schematy infrastruktury, a punkty końcowe są wyłącznie daną adresową.

I na koniec wdrożone procedury w naszym przedsiębiorstwie ściśle regulują zakres dostępu i przetwarzania pozyskanych danych, a częste szkolenia kadry pracowniczej zapewniają właściwy poziom świadomości i poczucia odpowiedzialności podczas przetwarzania danych.

 

 

Zobacz także:

 

© Materiał chroniony prawem autorskim - wszelkie prawa zastrzeżone.
Dalsze rozpowszechnianie artykułu tylko za zgodą wydawcy ARTSMART Izabela Żylińska.