Ocena Skutków Przetwarzania Dla Ochrony Danych

DPIA- zdalny odczyt wodomierzy

Art. 35 RODO ust. 1 RODO wskazuje, że jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków dla ochrony danych (DPIA). Prezes Urzędu Ochrony Danych Osobowych w Komunikacie z dnia 12.03.2021 wskazał rodzaje operacji przetwarzania wymagających oceny skutków. Pkt. 10 tabeli dotyczy innowacyjnego wykorzystania lub zastosowania rozwiązań technologicznych lub organizacyjnych. Grupą docelową są dostawcy i dystrybutorzy wody wdrażający inteligentne liczniki. Przykładem operacji przetwarzania są systemy zdalnego opomiarowania.

I. Opis przetwarzania

Tabela nr 1

Lp. Dane do identyfikacji procesu Opis przetwarzania

Opis czynności przetwarzania Zdalny odczyt wodomierzy

Cel czynności przetwarzania Bezobsługowe wystawienie faktury

Podstawa prawna przetwarzania Art. 6 ust. 1 lit. b RODO

Administrator danych Wodociągi Miejskie Sp. z o.o.

Podmioty przetwarzające Firma Informatyczna "AquaTech" S.A.

Umowy powierzenia przetwarzania danych osobowych Tak

Systemy wspierające przetwarzanie AquaBilling v. 3.0

Planowane przepływy danych Pomiędzy Wodociągami Miejskimi a AquaTech S.A.

Charakter przetwarzania • W jaki sposób dane będą gromadzone, wykorzystywane, przechowywane i usuwane? Dane będą gromadzone automatycznie, wykorzystywane do wystawiania faktur, przechowywane na zabezpieczonych serwerach i usuwane po 5 latach.

• Jakie jest źródło danych? Wodomierze z modułem radiowym.

• Czy dane będą komuś udostępniane? Nie.

Zakres przetwarzania: • Jakie dane są przetwarzane w związku z odczytem- czy tylko zużycie, czy dodatkowe? Tylko zużycie wody.

• Ile danych będzie gromadzonych i wykorzystywanych? Dane o zużyciu wody w m3.

• Jak często? Codziennie.

• Ilu osób dotyczy przetwarzanie? 10 000 osób.

• Okres przechowywania danych: 5 lat.

• Obszar przetwarzania danych np. Miasto Wrocław.

Kontekst przetwarzania: • Kontekst wewnętrzny – obejmujący czynniki wewnętrzne AquaTech S.A., Wodociągi Miejskie, jej organizacji

• Kontekst zewnętrzny – obejmujący czynniki zewnętrzne, w których działa AquaTech S.A., Wodociągi Miejskie

• Kontekst powinien definiować elementy związane ze środowiskiem prawnym, geograficznym, politycznym oraz społecznym, w jakim funkcjonuje Wodociągi Miejskie i przetwarzane są dane osobowe. Należy określić takie elementy jak: lokalne lub branżowe regulacje prawne na podstawie, których działa Wodociągi Miejskie, obszar przetwarzania danych (Wrocław), inwentaryzacja aktywów dla dokładności oraz skuteczności procesu szacowania ryzyka.

II. Opis procesu konsultacji wewnętrznych i zewnętrznych

Tabela nr 2

Opinie wewnętrzne np.: Kierownik Działu IT, zespół programistów, specjalista do spraw bezpieczeństwa, pracownicy działów

Opinia Radcy Prawnego- „Pod względem zasady legalności- nie wnoszę uwag”

Kierownik Działu IT- „sprawdzono, że system zawiera szyfrowanie i uniemożliwia atak i łamanie wyłącznie techniką brute force.”

Opinie podmiotów zewnętrznych

Opinia AquaTech S.A. nt. zastosowanych zabezpieczeń: „dostarczone urządzenia pozwala aby Odczyt odbywa się w systemie dwukierunkowym. Moduł zawiera alarm, a więc sposób wykrywania nielegalnego demontażu. Powyższe zostało przebadane w ten sposób aby użycie licznika SmartWater, tj licznika SmartWater nie wpływało na poprawną komunikację. Sama transmisja została szyfrowana.”

III. Określenie niezbędności oraz proporcjonalności danych art. 35 ust. 7 lit b RODO

Tabela nr 3

Środki, których podjęcie jest planowane w celu zapewnienia przestrzegania RODO

Pytanie Odpowiedź

Czy cele przetwarzania są konkretne, wyraźne i prawnie uzasadnione (art. 5 ust. 1 lit. b)? Tak

Jaka jest podstawa prawna przetwarzania danych? Art. 6 ust 1 lit b RODO

Czy Administrator zbiera dane wyłącznie w zakresie niezbędnym do określonego celu (minimalizacja danych) (art. 5 ust. 1 lit. c)? Technologia zdalnego odczytu polega na automatycznym pobieraniu danych z wodomierzy i liczników SmartWater oraz przesyłaniu ich do głównej bazy danych w celu analizy i dokonania rozliczeń. Pobierane są dane potrzebne do wystawienia faktury tj. zużycie wody w m3.

Czy dane są przechowywane wyłącznie przez czas niezbędny do ich przetwarzania (art. 5 ust. 1 lit. e) Tak, dotyczą tylko danych przesłanych

W jaki sposób Administrator weryfikuje prawidłowość danych i je uaktualnia (art. 5 ust. 1 lit. d)? W sytuacji gdy brak jest oznak zakłóceń sygnału, włamania do sieci etc. Wodociągi Miejskie uznaje, że dane są prawidłowe. W sytuacji oznak dysfunkcji przesyłania lub uszkodzenia wodomierza pracownicy są wysyłani na miejsce.

Czy Administrator weryfikuje podmiot przetwarzający w sposób zapewniający, że procesor będzie przetwarzał powierzone dane zgodnie z przepisami RODO? Tak, zgodnie z zaleceniami Prezesa UODO.

Czy dane będą przekazywane poza Europejski Obszar Gospodarczy, jeśli tak to, w jaki sposób dane zostaną zabezpieczone? Nie, wykorzystywane serwery znajdują się na terenie Polski.

Tabela nr 4

Środki przyczyniające się do zachowania praw osób, których dane dotyczą

Pytanie Odpowiedź

Czy Administrator realizuje obowiązki informacyjne z art. 13 i 14 RODO? Tak, w związku z montażem, lub wymianą licznika SmartWater.

Czy obowiązek informacyjny jest przekazywany w zwięzłej, przejrzystej łatwo dostępnej formie oraz napisany jest prostym językiem? (art. 12 ust. 1 RODO) Tak, Radca Prawny zadbał o to by obowiązek informacyjny był możliwe zwięzły i przejrzysty.

W jaki sposób osoba fizyczna może realizować prawo dostępu do danych osobowych? (art. 15 ust. 1 RODO) Poprzez kontakt z Wodociągami Miejskimi.

Jakie środki podejmuje Administrator, aby zapewnić osobie fizycznej prawo realizacji uzyskania kopii danych? (art. 15 ust. 3 RODO) ul. Wodna 1, 50-001 Wrocław, kontakt z Inspektorem Ochrony Danych.

W jaki sposób osoba fizyczna może sprostować swoje dane? (art. 16 RODO) Kontaktując się z Wodociągami Miejskimi. Wielopłaszczyznowe możliwości kontaktu zostały wskazane w obowiązku informacyjnym.

Czy osobie fizycznej przysługuje prawo do usunięcia danych? (art. 17 RODO) Nie. Stanowią one wyniki pomiarowe, lub dowód na próbę ingerencji lub próbę włamania do systemu.

W jaki sposób osoby fizyczne mogą wyegzekwować prawo do ograniczenia przetwarzania i prawo do sprzeciwu? (art. 18 i art. 21 RODO) Kontaktując się z Wodociągami Miejskimi.

Czy Administrator informuje o sprostowaniu lub usunięciu lub ograniczeniu przetwarzania każdego odbiorcę, któremu ujawniono dane osobowe? (art. 19 RODO) Tak, przy montażu licznika SmartWater.

Czy osobie fizycznej przysługuje prawo do przenoszenia danych? (art. 20 RODO) Wodociągi Miejskie zapewnia takie prawo.

IV. Identyfikacja i ocena ryzyka

Poziom ryzyka wyznaczono według wzoru: R = P x S gdzie: R –poziom ryzyka P – wartość przypisana prawdopodobieństwu materializacji zagrożenia S – wartość skutków

METODA OCENY RYZYKA POTENCJALNEGO ORAZ SZCZĄTKOWEGO

PRAWDOPODOBIEŃSTWO WYSTĄPIENIA ZAGROŻENIA

ISTOTNOŚĆ (WAGA) ZAGROŻENIA pomijalne (1) niskie (2) średnie (3) wysokie (4) krytyczne (5)

pomijalna (1) 1 2 3 4 5

niska (2) 2 4 6 8 10

średnia (3) 3 6 9 12 15

wysoka (4) 4 8 12 16 20

krytyczna (5) 5 10 15 20 25

STOPIEŃ RYZYKA niski (1-7) średni (8-14) wysoki (15-25)

Tabela nr 5

Analiza ryzyka

Źródło ryzyka i charakter Prawdopodobieństwo Skutek - dotkliwość dla Poziom ryzyka Identyfikacja negatywnych Wpływ zdarzenia na Wpływ na osobę

potencjalnego wpływu na osób fizycznych skutków zdarzenia atrybuty fizyczną

osoby

Nieautoryzowany dostęp do 3 3 9 • Nieautoryzowana modyfikacja danych Poufność - • Utrata poufności i integralności danych

wodomierza za pomocą urządzeń elektronicznych • Wyciek danych (z Integralność przy wystawianiu faktury / rozliczeń/

wykorzystaniem metody brute force • Dostępność - • Wyciek danych od osób trzecich

do systemu) • Przerwanie działania systemu, które Poufność mieszkań Wrocławia

• Modyfikacja danych przy pomocy urządzeń elektronicznych, uniemożliwia odczytywanie danych

które modyfikują dane

osobowe

Próba włamania w celu kradzieży 3 4 12 • Wyciek danych z systemu Integralność - • Straty finansowe dla

danych Dostępność mieszkańców Wrocławia

• Utrudniony dostęp do usług wodociągowych

• Negatywny wpływ na reputację firmy

V. Identyfikacja środków redukujących ryzyko

Tabela nr 6

Środki zmniejszające ryzyko

Ryzyko Środki zaradzenia ryzyku Wpływ na ryzyko Ryzyko szczątkowe Środek zatwierdzony

Nieautoryzowany dostęp prowadzący do Porównanie zdalnych odczytów z Ocena czy ryzyko zostało: Wskazanie poziomu ryzyka: TAK

modyfikacji wodomierza danymi na z faktycznym stanem na • wyeliminowane • niski

wodomierzu wodomierzu • zredukowane • średni

Sposób organizacji odczytów z Ocena czy ryzyko zostało: Wskazanie poziomu ryzyka: TAK

wodomierza – okresowy/ • wyeliminowane • niski

tylko kontrolny odczyt danego • zredukowane • średni

wodomierza • zaakceptowane • wysoki

Elementy systemu pochodzą z Ocena czy ryzyko zostało: Wskazanie poziomu ryzyka: TAK

zaufanego źródła • wyeliminowane • niski

• zredukowane • średni

• zaakceptowane • wysoki

Próba włamania Szyfrowanie oparte Ocena czy ryzyko zostało: Wskazanie poziomu ryzyka: TAK

katalog danych • wyeliminowane • niski

• zredukowane • średni

• zaakceptowane • wysoki

Regularne audyty i testowania Ocena czy ryzyko zostało: Wskazanie poziomu ryzyka: TAK

wodomierza ze zdalną komunikacją • wyeliminowane • niski

w zakresie bezpieczeństwa odczytu • zredukowane • średni

i transmisji • zaakceptowane • wysoki

VI. Podsumowanie oceny skutków

Tabela nr 7

Wnioski i akceptacja oceny skutków dla ochrony danych

Zagadnienie Jan Kowalski, Inspektor Ochrony Danych, 2023-10-27, Podpis Uwagi

Wdrożenie środków redukujących ryzyko Zatwierdzone środki należy uwzględnić w procesie planowania przetwarzania danych osobowych oraz wskazać terminy i osoby odpowiedzialne

Akceptacja ryzyka szczątkowego W przypadku wysokiego ryzyka naruszenia praw i wolności osób, których dane dotyczą i próby jego minimalizacji nie prowadzą do jego obniżenia - przed rozpoczęciem czynności przetwarzania należy skonsultować się z Urzędem Ochrony Danych Osobowych

Opinia Inspektora ochrony danych, jeśli został Inspektor Ochrony Danych powinien doradzać w sprawie zgodności, środków z tabeli nr 6 oraz wyrazić opinię czy przetwarzanie jest możliwe

wyznaczony

Opinia IOD przyjęta lub odrzucona przez Uzasadnienie decyzji o odrzuceniu opinii IOD

Zapoznanie się z opiniami zewnętrznymi Jeżeli decyzja Administratora odbiega od poglądów poszczególnych ekspertów, należy ją uzasadnić

Przeglądy oceny skutków dla ochrony danych IOD i Administrator powinni dokonywać przeglądu oceny skutków