Obowiązujące przepisy prawa nie regulują kwestii prowadzenia zdalnych odczytów stanu wodomierzy. Zdalne odczyty wskazań wodomierzy skutkują możliwością przetwarzania większej ilości informacji niż gdyby odczyty odbywały się w sposób tradycyjny. Zbieranie i przechowywanie danych pozyskanych w ten sposób może oznaczać, że będą one przetwarzane w szerszym zakresie.  Zakres przetwarzanych danych może różnić się w zależności od przyjętego sposobu odczytu. W przypadku, gdy dane przekazywane są podmiotom zewnętrznym, takim jak operatorzy zajmujący się obsługą infrastruktury takiego systemu przekazywanie danych takim podmiotom powinno odbywać się w bezpieczny sposób, tj. powinny być zastosowane metody szyfrowania przesyłanych danych, a ponadto dane osobowe nie mogą być przesyłane w nadmiarowym zakresie.

Spółdzielnia mieszkaniowa korzystająca z usług operatora zobowiązana jest do zawarcia umowy powierzenia przetwarzania danych osobowych. Umowa taka musi spełniać wymogi art. 28 RODO.

Stosownie do art. 28 ust. 3 RODO Przetwarzanie przez podmiot przetwarzający odbywa się na podstawie umowy która, określa przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą, obowiązki i prawa administratora. Ta umowa stanowi w szczególności, że podmiot przetwarzający:

a) przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora – co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej – chyba że obowiązek taki nakłada na niego prawo Unii lub prawo państwa członkowskiego, któremu podlega podmiot przetwarzający; w takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile prawo to nie zabrania udzielania takiej informacji z uwagi na ważny interes publiczny;

b) zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

c) podejmuje wszelkie środki wymagane na mocy art. 32 RODO;

d) przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w ust. 2 i 4 art. 28 RODO;

e) biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;

f) uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32–36 RODO;

g) po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

h) udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji, i przyczynia się do nich.

W związku z obowiązkiem określonym w akapicie pierwszym lit. h) podmiot przetwarzający niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie niniejszego rozporządzenia lub innych przepisów Unii lub państwa członkowskiego o ochronie danych.

WZORCOWA UMOWA POWIERZENIA PRZETWARZNIA LINK

Stosowanie i obsługa systemu zdalnego odczytu stanu wodomierzy była przedmiotem kontroli przez Prezesa Urzędu Ochrony Danych Osobowych w 2020 roku. Kontrole w przedmiotowym zakresie przeprowadzone zostały w dwóch spółdzielniach mieszkaniowych i u operatora zajmującego się obsługą infrastruktury takiego systemu. Kontrole miały na celu zweryfikowanie zgodności przetwarzania danych osobowych z przepisami rozporządzenia 2016/679 oraz ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych, RODO.

„Zakres przeprowadzonych kontroli obejmował ustalenie m.in. podstawy prawnej przetwarzania danych osobowych, źródła pozyskania danych osobowych, zakresu, celu i rodzaju przetwarzanych danych osobowych, sposobu dopełnienia obowiązków administratora danych wynikających z art. 13 i art. 14 RODO (przypis autora - obowiązków informacyjnych), sposobu zapewnienia realizacji praw osób, których dane dotyczą, określonych w ogólnym rozporządzeniu o ochronie danych, a także sposobu i celu zbierania oraz udostępniania danych osobowych. Ponadto upoważnieni kontrolerzy w ramach prowadzonych czynności sprawdzali, czy zostały wdrożone odpowiednie środki techniczne i organizacyjne, aby przetwarzanie danych osobowych odbywało się zgodnie z RODO oraz z uwzględnieniem charakteru, zakresu, kontekstu, celów przetwarzania i ryzyka naruszenia praw i wolności osób fizycznych, a także czy środki te były w razie potrzeby poddawane przeglądom i uaktualniane.

Sprawdzono również, czy zostały wdrożone polityki ochrony danych, o których mowa w art. 24 ust. 2 RODO, czy wyznaczony został inspektor ochrony danych (art. 37 RODO), czy administrator powierza przetwarzanie danych podmiotom przetwarzającym, a jeżeli tak, to czy powierzenie to nastąpiło przy spełnieniu warunków określonych w art. 28 RODO. Kontroli poddano również kwestie podjęcia działań w celu zapewnienia, by każda osoba fizyczna działająca z upoważnienia administratora, która ma dostęp do danych osobowych, przetwarzała je na polecenie administratora zgodnie z art. 29 i art. 32 ust. 4 RODO.

Kontrolerzy UODO zbadali ponadto, czy została przeprowadzona ocena skutków dla ochrony danych, w związku z wprowadzeniem systemu zdalnego odczytu wodomierzy (art. 35 RODO), czy dokumentowane były wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze (art. 33 ust. 5 rozporządzenia RODO), a także czy prowadzony był rejestr czynności przetwarzania danych osobowych, w którym zamieszczono wszystkie informacje określone w art. 30 ust. 1 RODO. Zakresem kontroli objęte były również systemy informatyczne wykorzystywane do przetwarzania danych osobowych, w tym w związku ze stosowaniem systemu zdalnego odczytu stanu wodomierzy oraz ustalenie, w jakim zakresie, jakie dane pozyskiwano, gdzie je przekazywano i jak długo były archiwizowane. Na skutek przeprowadzonych kontroli wszczęte zostały postępowania administracyjne wobec dwóch administratorów.” (źródło www.uodo.gov.pl)

ZAPRASZAMY DO ZAPOZNANIA SIĘ Z NASZYMI WZORAMI W SKLEPIE RODO

Znajdziesz tu między innymi:

• Wzorcową umowę powierzenia przetwarzania

• Zestaw wzorów rejestrów na potrzeby RODO

• Procedurę postępowania w przypadku naruszenia ochrony danych osobowych i komunikacji z organem nadzoru