Jakie obowiązki?
Na przedsiębiorstwie wod-kan jako ADO ciąży szereg obowiązków dotyczących zagwarantowania odpowiedniego poziomu bezpieczeństwa przetwarzanych przez nie danych osobowych. Przede wszystkim przedsiębiorstwo wod-kan w przypadku zbierania danych osobowych od osoby, której one dotyczą, jest zobowiązane poinformować tę osobę m.in. o celu zbierania tych danych, a także o prawie dostępu do ich treści oraz zmiany danych. Ponadto, przetwarzając dane powinno ono dołożyć szczególnej staranności w celu ochrony interesów osób, których dane dotyczą. Dane powinny być przetwarzane zgodnie z prawem; zbierane dla oznaczonych, zgodnych z prawem celów i niepoddawane dalszemu przetwarzaniu niezgodnemu z tymi celami; merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane, przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania. Ostatni z obowiązków wiąże się z zasadą ograniczenia czasowego przetwarzania danych osobowych. GIODO kontrolując jeden z MZWIK wskazał, że przetwarzanie przez to przedsiębiorstwo danych klientów po rozwiązaniu lub wygaśnięciu umów na dostarczanie wody i odprowadzanie ścieków bez określonego terminu, po upływie którego dane te będą usuwane jest sprzeczne z tą zasadą. W konsekwencji podmiot ten został zmuszony do zmiany praktyki przetwarzania danych poprzez określenie, że dane osobowe klientów będą usuwane po upływie terminu, w którym następuje przedawnienie roszczeń określonych w kodeksie cywilnym.

Przedsiębiorstwa wod-kan powinny dokonać samooceny spełniania przez nie tych obowiązków poprzez przegląd tego, jakie dane są przez nie przetwarzane wraz z określeniem celu tego przetwarzania z uwzględnieniem weryfikacji stanu faktycznego z obowiązującymi przepisami i standardami. Punktem wyjścia powinno być tutaj przeprowadzenie oceny ryzyka związanego z potencjalnym wyciekiem danych, jego konsekwencjami dla osób, których dane są przetwarzane oraz sankcjami grożącymi przedsiębiorstwu wod-kan za dopuszczenie do wycieku danych. Dokonanie tej analizy poprzedza skuteczna weryfikacja stosowanych zabezpieczeń o charakterze organizacyjnym oraz technicznym, ze szczególnym uwzględnieniem bezpieczeństwa systemów informatycznych. Na weryfikacje składają się trzy etapy: 1) weryfikacja zgodności stosowanych procedur przetwarzania danych z przepisami, normami i przyjętymi praktykami, 2) weryfikacja zabezpieczenia wszystkich obszarów wskazanych w aktach prawnych i normach, 3) weryfikacja znajomości i stosowania procedur przetwarzania danych osobowych przez pracowników przedsiębiorstwa.

Unijna reforma
Dodatkowym bodźcem do dokonania tej oceny przez przedsiębiorstwa wod-kan jest przyjęcie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/ WE (dalej: RODO, Dz. Urz. UE L 119 z 5.4.2016). RODO z kompleksowo traktuje o ochronie danych osobowych zarówno przez podmioty prywatne, jak i publiczne, wprowadzając nowe, podwyższone wymagania dotyczące wysokiego poziomu ochrony danych w całej UE przez jego dostosowanie do współczesnych wyzwań ery cyfrowej. Ze względu na to, że nową regulację przyjęto w formie rozporządzenia, obowiązuje ona w sposób bezpośredni we wszystkich państwach Unii Europejskiej bez konieczności jej transpozycji do krajowych porządków prawnych. Rozporządzenie zacznie być jednak stosowane od 25 maja 2018 roku. Nowe regulacje wymagają od podmiotów przetwarzających dane osobowe wyjścia poza ich rutynowo wykonywane obowiązki, świeżego spojrzenia z perspektywy osoby, której dane są przetwarzane, a także, co najważniejsze, zrozumienia ciążącej na nich odpowiedzialności z tytułu samego procesu przetwarzania przez nich danych. RODO sankcjonując tę odpowiedzialność, określa katalog kar i sankcji administracyjnych za naruszenia związane z ochroną danych. Kary te nie są symboliczne i mogą wynieść nawet do 20 000 000 euro lub – w przypadku przedsiębiorców – do 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego. Ich wymiar zależy od tego, jakie dane są przetwarzane,  czy naruszenie miało charakter umyślny, warunków, w jakich do niego doszło, liczby poszkodowanych osób, których dane dotyczą, czy rozmiaru wyrządzonej im szkody. Przedsiębiorstwa wod-kan powinny więc właściwie przygotować się do realizacji zobowiązań w zakresie ochrony danych osobowych, tak by po 28 maja 2018 r. nie musiały obawiać się ryzyka groźnego wycieku.

Cały artykuł opublikowany został w magazynie Kierunek Wod-Kan 1/2017

Fot.: 123rf.com