Ministerstwo Cyfryzacji opublikowało 14 września 2017 r. kompletny projekt nowej ustawy o ochronie danych osobowych i projekt ustawy wprowadzającej.
Dziś skupię uwagę na projekcie ustawy Przepisy wprowadzające ustawę o ochronie danych osobowych z dnia 12 września 2017 r. w związku z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (RODO).
Projektowana ustawa ma na celu dostosowanie przepisów polskich ustaw sektorowych do wymagań RODO. Pośród licznych zmian w szeregu przepisów innych ustaw znalazła się również propozycja zmiany ustawy Prawo energetyczne w zakresie objęcia przepisami nowej ustawy o ochronie danych osobowych również danych pomiarowych pochodzących z liczników zdalnego odczytu (inteligentnych liczników).
Zgodnie z art. 31 ustawy wprowadzającej operatorzy systemów dystrybucyjnych instalujący u odbiorców końcowych przyłączonych do ich sieci liczniki zdalnego odczytu są obowiązani chronić dane pomiarowe dotyczące tych odbiorców, na zasadach określonych w przepisach o ochronie danych osobowych.
Mogłoby się wydawać, że ten projektowany przepis tylko powiela już funkcjonujące rozwiązanie przewidziane w art. 9c ust. 5a ustawy Prawo energetyczne z tą jednak różnicą, że obecne przepisy referują wyłącznie do polskiej ustawy o ochronie danych osobowych a nie do RODO. Powstaje więc pytanie jak do danych pomiarowych zastosować obsługę praw jednostki, w tym prawo do bycia zapomnianym oraz co zapewne najtrudniejsze odpowiednie mechanizmy reagowania na incydenty bezpieczeństwa.
Jak trafnie ujął naturę RODO mec. Maciej Gawroński, Partner Zarządzający kancelarii Gawroński & Partners:
RODO – Ogólne Rozporządzenie EU o Ochronie Danych Osobowych jest najbardziej restrykcyjnym aktem prawnym spośród znanych mi przepisów. Wprowadza drakońskie kary za niezrealizowanie niesprecyzowanych i niekiedy nierealizowalnych obowiązków, tworząc w ten sposób potencjalny raj dla urzędników, którzy mogą dowolnie interpretować tak wysokopoziomową normę.
Według danych operatorów na koniec 2016 roku w Polsce zainstalowano następującą liczbę liczników inteligentnych:
- Energa Operator – 832 tys. liczników,
- Tauron Dystrybucja – 331 tys. liczników,
- PGE Dystrybucja – 50 tys. liczników,
- RWE Stoen Operator – 60 tys. liczników.
W Unii Europejskiej do 2020 roku co najmniej 80% liczników energii elektrycznej powinno zostać wymienione na inteligentne, jeżeli jest to uzasadnione ekonomicznie. Szacuje się, że w Polsce wymagających wymiany jest ok. 12, 5 miliona liczników.
Przytoczona skala liczników inteligentnych w świetle niedoskonałości samego RODO oraz np. obowiązku notyfikacji naruszenia bezpieczeństwa w ciągu 72 godzin przez wszystkich 5 największych operatorów w Polsce wymagać będzie bardzo dogłębnych analiz ryzyka systemów IT tychże operatorów by byli oni w stanie dowieść swojej należytej staranności. A tylko to może ich ochronić przed drakońskimi karami przewidzianymi w RODO.
I to jest wyzwanie dla całego sektora energetycznego.