W kwietniu 2016 r. Parlament Europejski przyjął ogólne rozporządzenie o ochronie danych osobowych (dalej: RODO albo rozporządzenie). Wejdzie ono w życie 25 maja 2018 r. i stanie się prawem bezpośrednio obowiązującym w Polsce, tak jak we wszystkich innych krajach Unii Europejskiej

Prace nad RODO trwały ponad cztery lata i wiązały się z intensywnymi negocjacjami, lobbingiem, interwencjami biznesu, państw członkowskich Unii Europejskiej oraz organizacji prokonsumenckich. RODO będzie miało wpływ nie tylko na działalność podmiotów zlokalizowanych na terenie Unii Europejskiej, ale także wszystkich podmiotów, które przetwarzają dane osobowe obywateli Unii lub których usługi i produkty skierowane są na rynek wspólnotowy.
Z natury rzeczy świadczenie usług wodno-kanalizacyjnych wiąże się z przetwarzaniem danych osobowych odbiorców tych usług. Zakresem przetwarzania objęte są informacje ? identyfikujące kontrahenta (imię, nazwisko, adres), ale także dane pomiarowe dotyczące zużycia wody i odprowadzania ścieków. RODO będzie więc bardzo istotne także dla przedsiębiorstw z branży wodno-kanalizacyjnej.
Jak jest teraz?
Czy regulacja dotycząca ochrony danych osobowych jest czymś nowym? Z całą pewnością nie. W Polsce obowiązuje Ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (DzU z 2016 r. poz. 922). Stanowi ona w dużej mierze implementację dyrektywy 95/46/WE. Polska ustawa była i jest jedną z bardziej restrykcyjnych regulacji w zakresie danych osobowych w Europie. Na przykład polscy konsumenci przez lata przyzwyczaili się do tego, że zgoda na przetwarzanie danych nie może być dorozumiana, lecz musi zostać wyrażona wprost. 
Dlaczego więc ustawa z 1997 r. nie wzbudzała tylu emocji, ile obecnie wywołuje RODO? Przede wszystkim dlatego, że organy powołane do nadzoru i kontroli prawidłowości przetwarzania danych osobowych w Polsce nie miały odpowiednich narzędzi, aby w sposób restrykcyjny egzekwować przestrzeganie przepisów. Główny inspektor ochrony danych osobowych starał się raczej upominać i wyznaczać termin usunięcia nieprawidłowości niż wszczynać postępowania i karać. Urząd głównego inspektora był ceniony za przyjazność, kompetencje i rozsądek przy wydawaniu decyzji oraz stanowisk prezentowanych w wyniku zapytań. Organem, który w części przejął funkcje egzekucyjne przestrzegania przepisów ustawy, był prezes Urzędu Ochrony Konkurencji i Konsumentów, uznający naruszenie przepisów o ochronie danych osobowych za naruszenie zbiorowych interesów konsumentów i na tej podstawie nakładający kary na przedsiębiorców. 
Internet zmienia sytuację
Nasuwa się zatem kolejne pytanie ? czy trzeba było coś zmieniać? Zmiany w przepisach o ochronie danych osobowych są konsekwencją bardzo szybko rozwijających się technologii, przede wszystkim tych wykorzystujących Internet. Rozwiązania informatyczne pozwalają na nieograniczone przetwarzanie danych osobowych w przeróżnych celach. W czasie prac nad dyrektywą 95/46/WE i ustawą z 1997 r. główny nacisk położono na kontrolę zbiorów danych przez ich rejestrację oraz ograniczenie do nich dostępu fizycznego. Większość spraw, o których donosiły media, dotyczyła np. znalezienia segregatorów z nazwiskami i adresami klientów jakiejś firmy. W tamtym czasie nikt nie przypuszczał, że największym zagrożeniem dla danych będzie możliwość ich błyskawicznego przetwarzania w systemach komputerowych, co pozwala na odtworzenie naszych zwyczajów, preferencji, potrzeb itp. Jest to szczególne istotne w przypadku danych pomiarowych, w tym pozyskiwanych i przetwarzanych przez przedsiębiorstwa wodno-kanalizacyjne. Także w tej branży nieuniknione wydaje się stopniowe wdrażanie inteligentnych liczników zużycia wody, które będą zdolne do przekazywania w czasie rzeczywistym bądź w niewielkich odstępach danych o aktualnym zużyciu wody. Tego rodzaju dane z jednej strony pozwolą na bardziej racjonalne zarządzanie siecią i w dalszej perspektywie mogą zachęcać odbiorców do oszczędzania wody oraz prowadzić do obniżenia cen. Jednak z drugiej strony na ich podstawie można odtworzyć dzienny cykl funkcjonowania danej osoby, i to w obrębie jej gospodarstwa domowego, a więc sfery najbardziej prywatnej. Potencjalnie będziemy więc mieli do czynienia z istotną ingerencją w prawo do prywatności. Możliwość poznania zwyczajów i upodobań, w tym m.in. na podstawie danych o zużyciu mediów, doprowadzą do magazynowania i kontrolowania ogromnej ilości danych osobowych 
(w połączeniu z innymi informacjami), co zapewni dużą przewagę rynkową i konkurencyjną. A zatem przy założeniu, że dane osobowe traktujemy jako coś ważnego, zasługującego na ochronę, zmiany były konieczne. 
Czy RODO to odpowiedź na te potrzeby? Wydaje się, że po części tak, ale, jak zawsze, prawo nie nadąża za technologią, stąd głosy, że powinny nastąpić kolejne zmiany, i to szybciej niż myślimy. 
Wejściu w życie RODO towarzyszy ogromny szum medialny. Wielu przedsiębiorców zastanawia się, czy rozporządzenie ich dotyczy. Co muszą zrobić? Czego się obawiać? Z całą pewnością można powiedzieć, że RODO dotyczy wszystkich, ale w różnym stopniu. Część przedsiębiorców przetwarza dane wyłącznie swoich pracowników, część swoich kontrahentów, a jeszcze inni klientów. Niektóre firmy przetwarzają dane wyłącznie w celu realizacji umów, inne korzystają z nich, aby rozwijać swoje produkty i usługi oraz poszerzać ofertę. Każda z tych firm będzie musiała zacząć myśleć o danych osobowych jako o aktywach, które trzeba chronić, ale także jako o potencjalnym ryzyku. Wydaje się bowiem, że tym, co na pewno ulegnie zmianie, jest sposób i zakres egzekwowania prawidłowości przetwarzania danych osobowych za pomocą systemu wysokich kar. Za ryzyko trzeba także uznać świadomość konsumentów odnośnie ich uprawnień, a także potencjalne naruszenie renomy przedsiębiorcy w wyniku wycieku danych lub innego ich naruszenia. W tym kontekście, w celu zyskania zaufania odbiorców, istotne jest zapewnienie najwyższych standardów w zakresie ochrony i bezpieczeństwa tych danych, w tym danych pomiarowych dotyczących zużycia wody. Jak bowiem dowodzą zagraniczne doświadczenia, tylko zdobycie takiego zaufania pozwalało np. na wdrożenie systemu inteligentnego opomiarowania, co, jak wskazano, z natury rzeczy wiąże się z zagrożeniem dla prywatności.
Wewnętrzne regulacje
Co ulegnie zmianie w funkcjonowaniu przedsiębiorców? Każdy podmiot we własnym zakresie (samodzielnie) będzie odpowiedzialny za prawidłowość przetwarzania danych i może być z tego rozliczany. Przede wszystkim wymusza to konieczność zdefiniowania i wyodrębnienia różnych procesów przetwarzania danych. Co to oznacza? Przede wszystkim przedsiębiorcy będą musieli opracować wewnętrzne mapy umiejscowienia i przepływu danych osobowych. Chodzi o wiedzę o tym, jakie dane są gromadzone, przez kogo, w jakim celu, gdzie te dane są przechowywane, kto ma do nich dostęp, do kiedy można je wykorzystywać i przechowywać. Następnie dla każdego z tych procesów trzeba przygotować procedurę, ewentualne treści zgód, a także informacje, które powinny trafiać do podmiotu danych itp. W dalszej kolejności przedsiębiorcy będą musieli określić ryzyko, jakie może pojawić się w procesie przetwarzania danych. W ramach RODO szczególną uwagę zwraca się na konieczność ciągłego
szkolenia pracowników w zakresie danych osobowych. RODO wprowadza wymóg, że każdy nowy produkt lub usługa muszą, już w momencie tworzenia, uwzględniać regulacje chroniące dane, a ochrona taka musi być co do zasady domyślna. Twórcy rozporządzenia uznali, że każda branża jest inna, a przedsiębiorcy w sposób odmienny prowadzą swoje działalności, a zatem oni sami mają najlepsze kompetencje do tworzenia zasad i procedur, które będą optymalnie chronić dane osobowe. Nie wystarczą już, tak jak dotychczas, zgłoszenie zbioru danych do rejestru (ten obowiązek w ogóle zostaje zniesiony), wdrożenie procedury techniczne wymaganej przez przepisy wykonawcze czy powołanie administratora bezpieczeństwa danych. RODO wymaga proaktywnego, konkretnego i zapobiegliwego zachowania przedsiębiorcy, które w konsekwencji może być przedmiotem kontroli i analizy regulatora. Elementem przeniesienia ciężaru odpowiedzialności za uregulowanie sposobu przetwarzania danych w przedsiębiorstwie będzie obowiązek notyfikowania wszelkich naruszeń i wycieków. 
RODO wprowadza szereg nowych pojęć związanych z przetwarzaniem danych osobowych. Są to m.in. ?prawo do zapomnienia?, ?prawo do żądania przeniesienia danych?, ?prawo do ograniczenia przetwarzania? oraz ?prawo do ograniczenia w zakresie profilowania?. Z punktu widzenia działalności przedsiębiorstw wodno-kanalizacyjnych nie wydaje się, by szczególne znaczenie miało prawo do żądania przeniesienia danych, jako że z natury rzeczy na określonym obszarze działa jedno przedsiębiorstwo. Prawo to zostało opracowane głównie w celu zwiększenia konkurencji przez ułatwienie klientom zmiany dostawcy towarów czy usług. W praktyce zmiana dostawcy usług wodno-kanalizacyjnych nastąpi więc raczej tylko w razie zmiany miejsca zamieszkania. Jednak wówczas dane dotyczące zużycia danego klienta pozyskane w jednej lokalizacji będą mieć raczej ograniczoną przydatność dla przedsiębiorstwa świadczącego usługi wodno-kanalizacyjne w innym miejscu. W takim przypadku dużą rolę odegra ?prawo do zapomnienia?, gdyż odbiorca może zażądać, aby wszelkie dane na jego temat zostały usunięte przez dotychczasowego dostawcę. Dlatego firmy wod-kan będą musiały być przygotowane na taką okoliczność. Również ?prawo do ograniczenia przetwarzania? znajdzie zastosowanie w branży wodno-kanalizacyjnej, niemniej nie stanowi ono całkowitej nowości, gdyż częściowo obowiązywało dotychczas na podstawie art. 35 Ustawy z 29 sierpnia 1997 r. o ochronie danych osobowych. Warto jednak przyjrzeć się ?prawu do ograniczenia w zakresie profilowania?. Choć czas pokaże, na ile regulacja ta znajdzie praktyczne zastosowanie w branży wodno-kanalizacyjnej, to jednak wydaje się, że z punktu widzenia gospodarczej doniosłości w dobie automatyzacji jest ona niezwykle istotna. 
Zakaz profilowania?
Profilowanie, bo tak w skrócie nazywane jest zautomatyzowane podejmowanie decyzji dotyczących danej osoby w oparciu o jej dane, to popularne narzędzie wykorzystywane w wielu dziedzinach gospodarki, a w szczególności w marketingu. Innymi słowy, profilowanie to kategoryzowaniem osób na podstawie różnych cech osobniczych, społecznych albo zawodowych. Dane takie pozwalają np., przy zastosowaniu odpowiednich algorytmów, na precyzyjne dobranie oferty marketingowej czy też ograniczenie ryzyka przedsiębiorcy.  
W Ustawie z 29 sierpnia 1997 r. o ochronie danych osobowych brakuje rozbudowanych rozwiązań dotyczących profilowania. Wraz z wejściem w życie rozporządzenia taki stan rzeczy ulegnie zmianie. Profilowanie zostało w ramach RODO zdefiniowane i szczegółowo uregulowane. Zgodnie z rozporządzeniem, profilowanie to: dowolna forma zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu danych osobowych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Podstawowymi elementami tej definicji są zatem: automatyzacja procesu, dokonywanie go z użyciem danych osobowych oraz cel w postaci np. analizy lub prognozy aspektów wymienionych w definicji. 
RODO wprowadza generalny zakaz profilowania, ale z trzema wyjątkami. Profilowanie uznaje się za dozwolone, jeśli okazuje się niezbędne do zawarcia lub wykonywania umowy, gdy jest dozwolone prawem UE lub prawem wewnętrznym państwa, któremu podlega administrator, z zastrzeżeniem, że przewiduje ono właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą. Ostatnią przesłanką dopuszczalności profilowania jest wyraźna zgoda osoby, której dane dotyczą. 
Przepisy RODO wymagają, aby osoby, których dane podlegają profilowaniu, były o tym informowane. Podmiot danych musi zostać poinformowany o konsekwencjach takiej działalności, a administrator danych będzie zobowiązany do wyjaśnienia zasad podejmowania zautomatyzowanych decyzji na podstawie profilowania. Tak jak w każdym innym przypadku, właściciel danych musi mieć zagwarantowane prawo dostępu do zgromadzonych na jego temat informacji (w tym do tych zawartych w ramach profilu).
Przepisy rozporządzenia przewidują, że osoby podlegające profilowaniu mają prawo żądać, aby decyzja podejmowana przez administratora nie wynikała wyłącznie ze zautomatyzowanego procesu, co wywołuje dla tej osoby skutki prawne lub w podobny sposób istotnie na nią wpływają z zastrzeżeniem wskazanych powyżej wyjątków. Osoba fizyczna, której dane dotyczą, może również wnieść sprzeciw wobec profilowania. Od tego momentu administrator nie będzie mógł przetwarzać danych, chyba że wskaże ważne, prawnie uzasadnione podstawy ku temu. Reguły są jeszcze bardziej kategoryczne w odniesieniu do marketingu bezpośredniego, w przypadku którego ustalono, że zgłoszony sprzeciw wobec przetwarzania danych, w tym profilowania, nie podlega żadnym ograniczeniom. W takiej sytuacji od momentu sprzeciwu bezwzględnie należy zaprzestać jakiegokolwiek przetwarzania danych takiej osoby.
W przypadku przedsiębiorców wykorzystujących profilowanie w swojej działalności istotnym obowiązkiem jest konieczność korzystania z takich matematycznych lub statystycznych procedur oraz środków technicznych oraz organizacyjnych, które zminimalizują ryzyko błędów.
Profilowanie jest tylko przykładem tego, jak bardzo RODO zmienia podejście do przetwarzania danych oraz ich legalności. Wskazane zagadnienia pokazują, jak ogromną pracę mają do wykonania przedsiębiorcy (w sensie filozoficznym, a także praktycznym), aby przygotować się do wejścia w życie przepisów rozporządzenia. 
Agnieszka Wiercińska-Krużewska
dr Marek Porzeżyński
Adam Frąckowiak 
Kancelaria WKB
Wierciński Kwieciński Baehr
Źródło
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE.