RODO, czyli nowe zobowiązania dla dystrybutorów energii (ANALIZA)
O skutkach dla branży energetycznej, przyjętego przez rząd projekt ustawy o ochronie danych osobowych w komentarzu dla portalu BiznesAlert.pl, pisze Hubert Kutkiewicz, aplikant radcowski z Kancelarii Prawnej RKKW – KWAŚNICKI, WRÓBEL & Partnerzy.
W dniu 27.03.2018 r. rząd przyjął projekt ustawy o ochronie danych osobowych („Projekt UODO”). Wspomniany akt prawny zastąpi nadal obowiązującą Ustawę z dnia 29.08.1997 r. o ochronie danych osobowych. Nowa ustawa jak i jej przepisy wprowadzające, dotyczące ochrony danych osobowych w poszczególnych sektorach gospodarki (projekt Ustawy o zmianie niektórych ustaw w związku z zapewnieniem stosowania rozporządzenia 2016/679), mają na celu dostosowanie polskiego prawodawstwa do nadchodzących zmian związanych ze zbliżającym się terminem obowiązywania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) („RODO”), który ostatecznie nastąpi w dniu 25.04.2018 r. Poniżej ujęto najważniejsze zmiany.
GIODO do likwidacji
Jedną z głównych zmian na gruncie nowej ustawy o ochronie danych osobowych będzie zastąpienie urzędu Generalnego Inspektora Ochrony Danych Osobowych przez Prezesa Urzędu Ochrony Danych Osobowych, o znacznie zwiększonych kompetencjach. Prezes UODO będzie miał możliwość nakładania na administratorów oraz podmioty przetwarzające dane na zlecenie, administracyjnych kar pieniężnych za naruszenie przepisów o ochronie danych osobowych. W dalszej kolejności należy wskazać, iż Prezes UODO będzie władny do wszczynania postępowań kontrolnych dotyczących przestrzegania przepisów o ochronie danych osobowych oraz postępowań w sprawie naruszeń przepisów o ochronie danych osobowych.
Certyfikacja
Kolejną nowością będzie ustalenie warunków oraz trybu udzielania certyfikacji. Zgodnie z przepisami RODO mechanizm certyfikacji świadczyć ma o zgodności przetwarzania danych osobowych przez administratora oraz podmiot przetwarzający z wymaganiami RODO. Zgodnie z projektem UODO certyfikacji będzie dokonywać Prezes UODO lub podmiot certyfikujący – jest to duża zmiana względem poprzedniego projektu ustawy, gdzie certyfikacji mógł dokonywać tylko i wyłącznie Prezes UODO. Podmiotem certyfikującym może być jednostka posiadająca odpowiednią, fachową wiedzę z zakresu ochrony danych osobowych legitymujący się akredytacją Polskiego Centrum Akredytacji.
Administracyjne kary pieniężne oraz odpowiedzialności karna
Z perspektywy przedsiębiorcy-administratora kluczowe znaczenie będzie miała kwestia nakładania administracyjnych kar pieniężnych przez Prezesa OUDO za naruszenia przepisów RODO. W ramach przypomnienia warto wskazać, że zgodnie z art. 83 RODO krajowy organ nadzorczy może nakładać sankcję pieniężne za naruszenie przepisów o ochronie danych osobowych w wysokości do 20 mln EUR lub 4% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego ewentualnie do 10 mln EUR lub 2% całkowitego rocznego światowego obrotu z poprzedniego roku obrotowego przy czym zastosowanie ma kwota wyższa. Krajowy organ nadzorczy przy wymierzaniu oraz określaniu wysokości kary będzie musiał brać pod uwagę szereg przesłanek szczegółowo takich jak: charakter, wagę i czas trwania naruszenia czy też działania podjęte przez administratora w celu zminimalizowania szkody poniesionej przez osoby, których dane dotyczą.
Projekt UODO wprowadza również odpowiedzialność karną za przypadki niedopuszczalnego lub nieuprawnionego przetwarzania danych osobowych. W sytuacji takiej osobie przetwarzającej dane grozić będzie kara grzywny, kara ograniczenia wolności albo kara pozbawienia wolności do lat dwóch.
Odpowiedzialność cywilnoprawna
Na gruncie projektu UODO możliwe będzie ponadto dochodzenie odpowiedzialności cywilnoprawnej od administratora przez podmiot danych, niezależnie od odpowiedzialności administracyjnej w postaci sankcji pieniężnych. Do roszczeń z tytułu naruszenia przepisów o ochronie danych osobowych, zastosowanie mają znaleźć przepisy Kodeksu cywilnego. Oznacza to, że każdy, którego prawo do ochrony danych osobowych zostało naruszone będzie dysponować skutecznym środkiem ochrony prawnej przed sądem, a co za tym idzie prawem do uzyskania stosownego odszkodowania od administratora lub podmiotu przetwarzającego za wyrządzoną szkodę majątkową jak i niemajątkową. Powództwa na rzecz osoby, której dane dotyczą, będzie mógł wytaczać za jej zgodą Prezes UODO, a w sytuacji gdy będzie za tym przemawiać interes publiczny Prezes UODO przedstawi sądowi istotny pogląd w sprawie o roszczenie z tytułu naruszenia przepisów o ochronie danych osobowych.
Co to oznacza dla branży energetycznej
Projektowane zmiany będą również dotyczyć podmiotów z sektora energetycznego. Na gruncie ustawy wprowadzającej ustawę o ochronie danych osobowych dojdzie do znowelizowania szeregu przepisów Ustawy z dnia 10.04.1997 r. – Prawo energetyczne. Najważniejsza zmiana dotyczy art. 9c ust. 5a zgodnie z którym operator systemów dystrybucyjnych instalujący u odbiorców końcowych połączonych do ich sieci liczniki zdalnego odczytu zobowiązany jest do ochrony danych pomiarowych dotyczących odbiorców, na zasadach określonych w przepisach o ochronie danych osobowych. W dalszej kolejności należy wskazać, iż zgodnie z nowelizacją wykreślenie podmiotu przywożącego z rejestru podmiotów przywożących skutkuje usunięciem jego danych z rejestru. Jak można wyczytać w uzasadnienia do ustawy, proponowana zmiana wynika z konieczności doprecyzowania skutku wykreślenia danych z rejestru poprzez wyraźne określenie, że wykreślenie z danego rejestru jest równoznaczne z fizycznym usunięciem z tego rejestru danych wykreślanego podmiotu. Zdaniem ustawodawcy pozwoli to na uniknięcie wątpliwości pojawiających się w związku z obecnym brzmieniem przepisu czy dane podmiotu wykreślonego są nadal widoczne, ale np. z adnotacją „wykreślony” lub odpowiadającym jej oznaczeniem graficznym.
Niezależnie od powyższego spółki z branży energetycznej od 25.05.2018 r. będą zobligowane do realizacji obowiązków jakie nakłada na nie RODO w związku z przetwarzaniem danych osobowych osób fizycznych zarówno występując jako administrator tych danych jak i podmiot przetwarzający.
