Czy RODO ma wpływ na gospodarkę odpadami komunalnymi?
Zgodnie z zatwierdzonym przez Prezesa UODO rocznym planem kontroli sektorowych, w 2019 roku organ nadzoru zweryfikuje przetwarzanie danych osobowych m.in. w takich obszarach, jak telemarketing, czy też profilowanie w sektorze bankowym i ubezpieczeniowym. Szczególną uwagę kontrolujący mają poświęcić również podmiotom związanym z gospodarką odpadami – analizie zostanie poddany monitoring odpadów. Nie ulega bowiem wątpliwościom, że przy stosowaniu nowoczesnych technologii w zarządzaniu odpadami może dochodzić do gromadzenia danych osobowych. Za nami pierwsze w Polsce kary na gruncie RODO, zatem czy branża „śmieciowa” ma się czego obawiać? Na co należy zwrócić szczególną uwagę?
System monitoringu odpadów
Od 1 lipca 2017 roku obowiązują regulacje w sprawie szczegółowego sposobu selektywnego zbierania wybranych frakcji odpadów, a jednocześnie wprowadzony został jednakowy model selektywnego zbierania śmieci na terenie całego kraju. W celu zapewnienia ochrony środowiska, określone odpady muszą być znakowane, a wymóg selektywnego zbierania odpadów jest obwarowany określonymi sankcjami.
Obecnie stosowane są technologie, które zapewniają szeroki wachlarz skutecznego zarządzania odbiorem i transportem odpadów. Jednym z takich systemów jest RFID (Radio-Frequency Identification – technika wykorzystująca fale radiowe do przesyłania danych). Podmioty, które zdecydowały się na wprowadzenie technologii opartej na wykorzystaniu fal radiowych do przesyłania danych, stoją przed dużymi wyzwaniami – szczególnie w świetle RODO.
Wszelkie rozwiązania, które odnoszą się do wprowadzania technik mogących wpływać na ograniczenie sfery prywatności osób i ich danych muszą być odpowiednio wcześnie oszacowane. W praktyce oznacza to, że już w fazie projektowania rozwiązań trzeba uwzględniać ochronę danych osobowych. Przedstawiciele Urzędu Ochrony Danych Osobowych sygnalizują, że będą oczekiwali od podmiotów zajmujących się gospodarką odpadów udokumentowania i udowodnienia, że wymogi z RODO zostały spełnione, a ryzyko właściwie przeanalizowane.
Na co zwrócić szczególną uwagę?
Przy podejmowaniu wszelkich decyzji w zakresie przetwarzania danych osobowych należy mieć na względzie przede wszystkim zasadę rozliczalności, której emanacją w przedsiębiorstwie będą przykładowo: wdrożone wewnętrzne regulacje, polityki w zakresie prywatności, audyty ochrony danych osobowych, programy szkoleń dla personelu, przestrzeganie zasady privacy by design/by default, czy też udokumentowane przeprowadzenia oceny skutków planowanych operacji przetwarzania danych osobowych. Przy czym RODO zostawia dużą elastyczność w zakresie praktycznego realizowania rzeczonej zasady. Na co jednak podmioty gromadzące odpady powinny zwrócić szczególną uwagę?
W pierwszej kolejności należałoby zbadać, czy dane nie są pozyskiwane w nadmiernej ilości, czy nie są nieadekwatne, tzn. niepotrzebne dla osiągnięcia określonego celu. W kontekście korzystania z systemu RFID istotne jest wskazanie jakie dane są gromadzone i przetwarzane – czy są to dane o samych odpadach, czy będą może one nakierowane na monitorowanie osób. Dodatkowo należałoby zastanowić się nad opracowaniem oraz wdrożeniem procedur w zakresie pseudonimizacji, czy też automatycznego usuwania danych osobowych.
Nie możemy jednak przyjmować, że stosowanie systemów monitoringu opadów automatycznie prowadzi do naruszenia ochrony danych osobowych. Każda sytuacja musi być badana odrębnie. Zarówno gmina, jak i firma transportowa muszą wykazać, czy w ogóle zbierają dane osobowe. Jeżeli tak, muszą wskazać, na jakiej podstawie prawnej to robią. Dlatego też, zgodnie z Komunikatem Prezesa Urzędu Ochrony Danych Osobowych w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony, systemy RFID obligatoryjnie muszą zostać poddane ocenie DPIA. Przy czym przeprowadzenie oceny musi być udokumentowane wraz ze wskazaniem efektu, jaki przyniosła. W tym kontekście mogą pojawić się przesłanki do wdrożenia środków w celu zminimalizowania ryzyka naruszenia ochrony danych osobowych, czy też skorzystania z tzw. uprzednich konsultacji z organem nadzoru.
Ponadto, określone dane właścicieli lokali składających deklaracje o wysokości opłaty gmina pozyskuje na podstawie obowiązujących przepisów prawa, ale nie należą do nich dane wrażliwe. Dlatego też konieczna jest analiza wszelkich rozwiązań techniczno-organizacyjnych przyjmowanych i w gminie, i w firmach odpowiedzialnych za powyższe działania.
Branża „śmieciowa” w grupie ryzyka
Podsumowując, podmioty odpowiedzialne za gospodarkę odpadami komunalnymi muszą pamiętać, że ochrona danych dotyczy również prowadzonej przez nich działalności, a jako branża objęta planem kontroli Urzędu Ochrony Danych Osobowych znajduje się w grupie szczególnego ryzyka przeprowadzenia czynności sprawdzających ze strony organu nadzoru.
W przypadku jakichkolwiek pytań dotyczących opisanych powyżej zagadnień, zapraszamy do kontaktu mailowego z naszym specjalistą w zakresie ochrony danych r. pr. Grzegorzem Rutkowskim pod adresem . Z chęcią odpowiemy na wszystkie Państwa pytania.