Przepisy Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej: Rozporządzenie RODO) nakładają na niektóre podmioty przetwarzające dane osobowe obowiązek wyznaczenia inspektora ochrony danych (data protection officer). Obecnie w polskim systemie ochrony danych osobowych instytucja ta funkcjonuje pod nazwą administratora ochrony danych osobowych (ABI), a po rozpoczęciu obowiązywania Rozporządzenia RODO zostanie zastąpiona przez inspektora ochrony danych osobowych.
Na wstępie należy podkreślić, iż Rozporządzenie RODO nie przesądza jednoznacznie czy spółka zajmująca się obrotem energią lub gazem ma obowiązek wyznaczyć inspektora ochrony danych osobowych.
Zgodnie z art. 37 ust. 1 Rozporządzenia RODO inspektora danych osobowych należy wyznaczyć w przypadku spełnienia jednej z poniższych przesłanek:
a) jeżeli przetwarzania dokonują organ lub podmiot publiczny;
b) jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę; lub
c) jeżeli główna działalność administratora lub podmiotu przetwarzającego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
Jak wynika z art. 37 Rozporządzenia RODO przesłanki do powołania inspektora ochrony danych osobowych są dosyć ocenne i niejednoznaczne. Po samej lekturze ww. przepisu spółka obrotu energią lub gazem nie ma możliwości jednoznacznie przesądzić stosowania obowiązku powołania inspektora ochrony danych osobowych, a należy podkreślić, że przesądzenie o występowaniu takiego obowiązku będzie zgodnie z Rozporządzeniem RODO spoczywać na zainteresowanym jako element wdrożenia RODO.
To zgodnie z zasadą rozliczalności, która jest jedną z głównych zasad Rozporządzenia RODO, na zainteresowanym podmiocie ciąży w ramach wdrożenia RODO obowiązek wykazania, że przeprowadzona została ocena czy zastosowanie znajdzie obowiązek powołania inspektora ochrony danych. Zgodnie z komentarzami doktryny termin rozliczalność – „Oznacza (..) obowiązek przyjęcia na siebie przez administratora danych odpowiedzialności za przestrzeganie zasad ochrony danych osobowych (..) oraz zobowiązanie do wykazania przestrzegania tych przepisów.”[1]
Czyli w sytuacji gdy spółka obrotu energią elektryczną lub gazem nie może jednoznacznie określić czy występuje obowiązek powołania inspektora ochrony danych osobowych, powinna przeprowadzić uprzednią wewnętrzną ocenę w tym zakresie, która będzie stanowić element wdrożenia RODO.
W ramach wdrożenia RODO obowiązek przeprowadzenia oceny czy na podstawie Rozporządzenia RODO powołanie inspektora ochrony danych osobowych będzie obowiązkowe potwierdza treść Wytycznych dotyczących inspektorów ochrony danych, Grupy Roboczej Art. 29 ds. ochrony danych[2] (dalej: „Wytyczne”).
„Grupa Robocza Art. 29 zaleca, aby – poza przypadkami, w których dana organizacja z oczywistych względów nie jest zobowiązana wyznaczyć DPO (inspektora ochrony danych – przyp. wł.) – administratorzy i podmioty przetwarzające dokumentowali przebieg prowadzonej przez siebie analizy wewnętrznej w celu ustalenia, czy w danym przypadku należy wyznaczyć DPO (inspektora ochrony danych), aby mogli wykazać, że należycie uwzględnili stosowne czynniki”.
Wytyczne ws. inspektorów danych potwierdzają, iż ww. analiza stanowi jeden z elementów procesu wdrożenia RODO oraz dokumentowania zgodnie z zasadą rozliczalności. Tak więc każda spółka obrotu zajmująca się sprzedażą energii elektrycznej lub gazu, w szczególności gdy sprzedaż prowadzona jest do odbiorców końcowych, w tym gospodarstw domowych powinna przed datą rozpoczęcia obowiązywania RODO przeprowadzić w ramach wdrożenia RODO wewnętrzną ocenę w zakresie obowiązku powołania inspektora ochrony danych na podstawie art. 37 Rozporządzenia RODO. Jest to o tyle istotne, że naruszenie obowiązków związanych z wyznaczeniem inspektora ochrony danych, zgodnie z art. 37 Rozporządzenia RODO, stanowi przesłankę do nałożenia kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a Rozporządzenia RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).
W ramach niniejszej publikacji nie przeprowadziliśmy analizy przesłanki przetwarzania danych wrażliwych (art. 9 ust. 1 Rozporządzenia RODO) oraz przetwarzania wyroków skazujących (art. 10 Rozporządzenia RODO) przez spółkę obrotu energią lub gazem, natomiast sygnalizujemy, że przeprowadzając w ramach wdrożenia RODO ocenę na potrzeby określenia obowiązku z art. 37 Rozporządzenia RODO każda ze spółek obrotu powinna wziąć pod uwagę również te przesłanki.
„przetwarzania dokonuje organ lub podmiot publiczny”
Jeżeli przetwarzania danych osobowych dokonuje organ lub podmiot prawa publicznego, to zgodnie z art. 37 Rozporządzenia RODO powołanie inspektora ochrony danych osobowych jest obowiązkowe. Na pierwszy rzut oka wydaje się, że ta przesłanka w żaden sposób nie będzie dotyczyć przetwarzania danych osobowych przez spółkę obrotu energią, w tym sprzedawcę energii lub gazu do odbiorców końcowych.
Zgodnie z Wytycznymi „Za organy i podmioty publiczne uznaje się zatem organy na szczeblu krajowym, regionalnym i lokalnym, ale zgodnie z obowiązującymi przepisami krajowymi pojęcie to obejmuje również zazwyczaj szereg innych podmiotów podlegających przepisom prawa publicznego”. Sięgając do przepisów krajowych, tj. zgodnie z polską ustawą o ochronie danych osobowych art. 3 ust. 1 i 2 pkt 1, oraz poglądami doktryny „można przyjąć, że zakres podmiotowy zastosowania obowiązku z art. 37 ust. 1 lit. a Rozporządzenia RODO odpowiada zakresowi zastosowania ustawy, wskazanemu w art. 3 ust. 1 i 2 pkt 1 ustawy o ochronie danych osobowych, tj. organów państwowych(…) a także podmiotów niepublicznych realizujących zadania publiczne”.[3]
W tym kontekście szczególnie warto zastanowić się czy np. sprzedawca energii lub gazu będący sprzedawcą z urzędu w rozumieniu art. 3 pkt 29 ustawy prawo energetyczne nie będzie po wejściu w życie Rozporządzenia RODO uznawany za podmiot niepubliczny realizujący zadania publiczne. Szczególnie, że nie ma większych wątpliwości że sprzedawca z urzędu może realizować obowiązki o charakterze publicznym oraz realizuje je na podstawie umowy – patrz np. komentarz do ustawy prawo energetyczne, „Ustawodawca powierzył (sprzedawcy z urzędu – przyp. wł) pewne obowiązki o charakterze publicznoprawnym w odniesieniu do pewnej grupy odbiorców wymagających szczególnej ochrony ze względu na słabszą pozycję na rynku, mianowicie odbiorców w gospodarstwach domowych.”[4]
Sprzedawca z urzędu jest zobowiązany do świadczenia usługi kompleksowej i zawarcia umowy kompleksowej z odbiorcami w gospodarstwach domowych, czyli zapewnienia dostarczania energii elektrycznej i gazu do tych kategorii odbiorców.
Niezależnie od uznania sprzedawcy z urzędu za podmiot podlegający obowiązkowi wyznaczenia inspektora danych osobowych na podstawie art. 37 ust. 1 Rozporządzenia RODO, warto również zwrócić uwagę na zapisy Wytycznych, które wskazują, że wyznaczenie inspektora danych osobowych w sytuacji sprzedawcy z urzędu (nawet w przypadku braku stwierdzenia takiego obowiązku) powinno być dobrą praktyką.
„Zadanie wykonywane w interesie publicznym może być realizowane, (…) nie tylko przez organy lub podmioty publiczne, ale również przez inne osoby fizyczne lub prawne podlegające przepisom prawa publicznego lub prywatnego w sektorach takich jak (..) sektor usług transportu publicznego, sektor zaopatrzenia w wodę i energię. (…) Choć wyznaczenie inspektora ochrony danych nie jest obowiązkowe w takich przypadkach, Grupa Robocza Art. 29 zaleca, aby organizacje prywatne realizujące zadania wykonywane w interesie publicznym lub sprawujące władzę publiczną wyznaczały inspektora ochrony danych na zasadzie dobrej praktyki.”
„główna działalność administratora lub podmiotu przetwarzającego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę”
Kolejną przesłanką, której spełnienie determinuje obowiązek powołania inspektora ochrony danych i która powinna być brana pod uwagę przy wdrożeniu RODO, związana jest z systematycznym i regularnym przetwarzaniem danych na dużą skalę. Przesłanka ta jest jeszcze bardziej ocenna aniżeli ta opisana powyżej. W ramach przygotowania do RODO dokonując analizy czy spółka obrotu energią lub gazem spełnia tę przesłankę warto posiłkować się Wytycznymi, zgodnie z którymi oceniając pojęcie głównej działalności należy brać pod uwagę poniższe kwestie.
„Pojęcie „główna działalność” nie powinno jednak być interpretowane jako wykluczające czynności, w przypadku których przetwarzanie danych stanowi nieodłączny element działalności prowadzonej przez administratora lub podmiot przetwarzający. Na przykład główną działalnością szpitala jest świadczenie usług w zakresie opieki zdrowotnej. Szpital nie mógłby jednak świadczyć tych usług w bezpieczny i skuteczny sposób, gdyby nie przetwarzał danych dotyczących zdrowia, takich jak dokumentacja medyczna pacjentów. Z tego względu przetwarzanie takich danych powinno zostać uznane za jeden z elementów głównej działalności każdego szpitala, co oznacza, że szpitale są zobowiązane wyznaczyć inspektora ochrony danych”[5].
Analizując powyższe można znaleźć analogię do spółki obrotu sprzedającej energię lub gaz do odbiorców końcowych w gospodarstwach domowych. Podobnie jak w powyższym przykładzie przetwarzanie danych odbiorców końcowych przez sprzedawcę energii lub gazu będzie „nieodłącznym elementem prowadzonej działalności”. Bez przetwarzania danych dotyczących klientów (imię, nazwisko, dane pomiarowe, itp.) nie ma możliwości dokonania rozliczeń z odbiorcą energii lub gazu. W przypadku sprzedawcy gazu lub energii do odbiorców końcowych nie można tych czynności uznać za czynności wspierające, za które uznaje się zgodnie z Wytycznymi „ Wszystkie organizacje podejmują natomiast określonego rodzaju działania, na przykład przy wypłacaniu wynagrodzeń swoim pracownikom lub przy podejmowaniu standardowych czynności w zakresie wsparcia IT. Są to przykłady funkcji wspierających, które mają kluczowe znaczenie dla głównej działalności lub głównego obszaru zainteresowań danej organizacji. Choć działania w tym zakresie są niezbędne i kluczowe, zazwyczaj uznaje się je za działania pomocnicze, a nie za element głównej działalności.”
Biorąc powyższe pod uwagę wydaje się że w przypadku sprzedawcy energii lub gazu do odbiorców końcowych (gospodarstw domowych) przetwarzanie danych tych odbiorców będzie spełniało kryterium głównej działalności określone w art. 37 ust. 1 lit. b Rozporządzenia RODO.
„przetwarzanie danych na dużą skalę”
Kolejnym elementem przesłanki określonej w art. 37 ust. 1 lit. b Rozporządzenia RODO będzie przetwarzanie danych na dużą skalę, które również stanowi przesłankę ocenną.
Jak wskazał dr Paweł Litwiński „Jedną z najtrudniejszych do interpretacji przesłanek zastosowania art. 37 ust. 1 lit. b i c Rozporządzenia RODO jest ocena, czy w przypadku działalności konkretnego podmiotu będzie dochodziło do przetwarzania danych „na dużą skalę” (…)”
Należy również się zgodzić z tezą, „że do takiego przetwarzania danych osobowych (na główną skalę) nie będzie dochodzić w sytuacji dokonywania tych operacji na szczeblu lokalnym (tj. niższym niż regionalnym) w odniesieniu do niskiego wolumenu danych – ocenianych jako konkretna liczba lub procent populacji w danym regionie.”[6]
Przy ocenie przetwarzania danych na dużą skalę, Grupa Robocza Art. 29 rekomenduje wziąć pod uwagę w szczególności następujące czynniki:
– liczbę osób, których dane dotyczą – wyrażoną jako konkretna wartość albo jako odsetek populacji odniesienia;
– ilość danych lub zakres poszczególnych przetwarzanych pozycji danych;
– czas trwania lub trwałość czynności przetwarzania danych;
– zakres geograficzny czynności przetwarzania[7].
Biorąc powyższe pod uwagę można postawić generalną tezę, że czym większy zakres działalności spółki obrotu zajmującej się sprzedażą energii lub gazu do odbiorców końcowych, tym większe będzie prawdopodobieństwo spełnienia przesłanki przetwarzania danych na dużą skalę. Wydaje się że szczególnie sprzedawcy z urzędu i tzw. zasiedziali sprzedawcy energii lub gazu (incumbent supplier), posiadający bardzo duży udział sprzedaży do odbiorców końcowych w danym regionie mogą spełniać powyższe kryteria.
„regularne i systematyczne monitorowanie”
Kolejnym elementem przesłanki określonej w art. 37 ust. 1 lit. b Rozporządzenia RODO jest również regularne i systematyczne monitorowania osób, których dane dotyczą. Zgodnie z Wytycznymi pojęcie monitorowania nie ogranicza się jednak wyłącznie do aktywności prowadzonej w Internecie, a zjawisko śledzenia w Internecie należy traktować wyłącznie jako przykładową metodę monitorowania zachowania osób.
Co ważne, Wytyczne w pkt. 2.1.4 (str. 11) za przykłady wprost uznają działania, które można uznać za działania stanowiące regularne i systematyczne monitorowanie osób, których dane dotyczą. W tym:
– „urządzenia podłączone do Internetu, np. inteligentne liczniki”.
Biorąc powyższe pod uwagę, w sytuacji w której sprzedawca energii lub gazu będzie otrzymywał od OSD dane pomiarowe z inteligentnych liczników można uznawać, że spełniona będzie przesłanka regularnego i systematycznego monitorowania. W sytuacji udostępniania danych pomiarowych z tradycyjnych urządzeń pomiarowych przy ocenie spełniania ww. przesłanki warto ponownie posiłkować się Wytycznymi. Zdaniem Grupy Roboczej Art. 29
„regularnie” oznacza dokonywanie tych operacji w sposób powtarzający się, w sposób stały lub czasowy, w jakimś okresie lub w jakiś ustalonych odstępach czasu. Natomiast „systematycznie” oznacza ich wykonywanie w sposób usystematyzowany, z góry zaplanowany, zorganizowany i metodyczny, jako element ogólnego planu podmiotu w zakresie zbierania danych i wynikający ze strategii”.
Biorąc pod uwagę, iż dane klientów są przetwarzane przez sprzedawców energii i gazu na bieżąco, w przypadku braku inteligentnych liczników (gdzie spełnienie przesłanki regularnego monitorowania można uznać za spełnione) do oceny pozostaje w jakim stopniu posiadane przez sprzedawcę energii lub gazu dane klientów mogą być uznane za monitorowanie osób. W każdym przypadku kwestia ta powinna być przedmiotem oceny w ramach przygotowania do RODO sporządzanej przez sprzedawcę energii lub gazu przy określaniu obowiązku powołania inspektora ochrony danych osobowych.
Podsumowanie
– przesłanki z art. 37 Rozporządzenia RODO do powołania inspektora ochrony danych są dosyć ocenne i niejednoznaczne;
– zgodnie z zasadą rozliczalności każda ze spółek obrotu energią lub gazem powinna w ramach wdrożenia RODO przeprowadzić wewnętrzną ocenę w zakresie obowiązku powołania inspektora ochrony danych na podstawie art. 37 Rozporządzenia RODO. Ze względu na zagrożenie sankcją (patrz powyżej), ocena ta przy przygotowaniu do RODO powinna być przeprowadzona niezwykle starannie;
– w odniesieniu do spółek obrotu energią lub gazem skoncentrowanych na obrocie hurtowym lub posiadających bardzo niewielką ilość odbiorców w gospodarstwach domowych wydaje się że w ramach wdrożenia RODO ocena w zakresie obowiązku powołania inspektora ochrony danych może wykazać brak obowiązku powołania inspektora ochrony danych;
– w odniesieniu do spółek obrotu prowadzących sprzedaż energii lub gazu do większej ilości odbiorców końcowych, w szczególności zasiedziałych sprzedawców z urzędu, lub korzystania z inteligentnych liczników, wydaje się że w ramach wdrożenia RODO ocena w zakresie obowiązku powołania inspektora ochrony danych może wykazać konieczność powołania inspektora ochrony danych;
– zgodnie z Wytycznymi, nawet w sytuacji gdy z oceny przygotowanej w ramach wdrożenia RODO nie będzie wynikać obowiązek powołania inspektora ochrony danych to Grupa Robocza Art. 29 zachęca do dobrowolnego wyznaczania odpowiednika inspektora ochrony danych;
– naruszenie obowiązków związanych z wyznaczeniem inspektora ochrony danych, zgodnie z art. 37 Rozporządzenia RODO, stanowi przesłankę do nałożenia kary pieniężnej, o której mowa w art. 83 ust. 4 lit. a Rozporządzenia RODO (w wysokości do 10 000 000 euro, a w przypadku przedsiębiorstwa do 2% jego całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego).
[1] RODO P. Litwiński 2018 wyd. 1 / Litwiński/Barta/Kawecki, Legalis 2018, Komentarz do Art. 5 str. 6 pkt. 24.
[2]przyjęte w dniu 13.12.2016 r., w wersji zmienionej i przyjętej w dniu 5.4.2017, 16/EN WP 243 rew. 01 – http://ec.europa.eu/newsroom/just/item-detail.cfm?item_id=50083
[3] RODO P. Litwiński 2018 wyd. 1 / Litwiński/Barta/Kawecki, Legalis 2018, Komentarz do Art. 37.
[4] Z. Muras, Komentarz do ustawy Prawo energetyczne, Lex 2016, Komentarz do Art. 3.
[5] Wytyczne dotyczące inspektorów ochrony danych, Grupy Roboczej Art. 29 ds. ochrony danych.
[6] RODO P. Litwiński 2018 wyd. 1 / Litwiński/Barta/Kawecki, Legalis 2018, Komentarz do Art. 37.
[7] Wytyczne dotyczące inspektorów ochrony danych, Grupy Roboczej Art. 29 ds. ochrony danych.
