en
Raport Roczny 2020Zrównoważony rozwójOdpowiedzialny pracodawca i partner biznesowyPolityka ochrony danych osobowych

Polityka ochrony danych osobowych

Polityka BHP Przeciwdziałanie korupcji i łapownictwu
Kapitał społeczny Kapitał społeczny

Od 25 maja 2018 r. na terenie Unii Europejskiej obowiązuje Rozporządzenie o Ochronie Danych Osobowych (RODO). Wejście w życie tego Rozporządzenia zmieniło podejście do ochrony danych osobowych, nakładając na administratorów danych szereg nowych obowiązków, takich jak wprowadzenie nowych procedur bezpieczeństwa danych lub informowanie polskiego organu nadzoru (Prezes Urzędu Ochrony Danych Osobowych) oraz podmiotów praw RODO (np. klientów Grupy) o naruszeniu danych osobowych.

Grupa TAURON w ramach projektu RODO podjęła wiele działań implementujących wymogi Rozporządzenia z uwagi na konieczność:

  • zapewnienia ochrony danych osobowych niezależnie od miejsca ich przetwarzania,
  • powołania Inspektora Ochrony Danych Osobowych w spółkach Grupy TAURON (IOD),
  • obowiązkowej notyfikacji naruszeń ochrony danych osobowych,
  • zapewnienia domyślnej ochrony danych osobowych i ochrony prywatności w fazie projektowania (privacy by design),
  • realizacji uprawnień dla klientów i kontrahentów, których dane dotyczą (np. „prawa do bycia zapomnianym”),
  • aktualizacji treści klauzul informacyjnych i zgód w zakresie przetwarzania danych osobowych,
  • dostosowania systemów informatycznych do nowych wymagań bezpieczeństwa przetwarzania danych osobowych.

W Grupie TAURON przestrzegane są następujące zasady:

  • Legalność przetwarzania danych osobowych: przetwarzamy dane osobowe zgodnie z powszechnie obowiązującym prawem, na podstawie ustalonej podstawy prawnej;
  • Rzetelność: dane osobowe przetwarzane są w sposób rzetelny, adekwatnie, stosownie oraz niezbędnie do celów ich przetwarzania;
  • Celowość: dane osobowe przetwarzane są w konkretnych celach;
  • Rozliczalność: Grupa TAURON skutecznie dokumentuje postępowanie z danymi osobami, tak aby rozliczyć się ze spełnienia obowiązków prawnych ich przetwarzania;
  • Minimalizacja: Grupa TAURON minimalizuje przetwarzanie danych osobowych, udostępniamy je tylko w celach niezbędnych, o których wcześniej informujemy;
  • Prawidłowość: z najwyższą starannością dbamy o prawidłowość danych, dokonując ich weryfikacji i umożliwiając ich właścicielom (podmiotom praw RODO), np. aktualizację;
  • Bezpieczeństwo: szczególny nacisk kładziemy na bezpieczeństwo przetwarzania danych osobowych w systemach IT, implementując narzędzia i procedury zwiększenia cyberbezpieczeństwa. Wdrażamy i aktualizujemy procedury, optymalizując bezpieczeństwo danych osobowych oraz szkolimy personel w tym zakresie.

W Grupie TAURON obowiązuje Polityka ochrony danych osobowych dla podmiotów Grupy TAURON. Uwzględniając przetwarzanie danych osobowych, dokument wyznacza zasady i obowiązki bezpieczeństwa i poufności tych danych oraz dostęp do informacji o ich przetwarzaniu osób, których dane dotyczą. W przypadku, gdyby, pomimo stosowanych środków bezpieczeństwa, doszło do naruszenia ochrony danych osobowych (np. wycieku danych lub ich utraty), Administratorzy Ochrony Danych Osobowych w Grupie TAURON, na specjalnie przygotowanych formularzach, informują o takim zdarzeniu osoby, których dane osobowe dotyczą, czyniąc to w sposób zgodny z przepisami prawa.

 

PROCEDURY NALEŻYTEJ STARANNOŚCI I WEWNĘTRZNE REGULACJE

Do procedur należytej staranności zawartych w opisywanej Polityce należą w szczególności:

  1. Ogólne zasady przetwarzania danych osobowych określonych w art. 5 RODO.2. Zasady zapewniające, aby dane przetwarzane były zgodnie z prawem – art. 6-11 RODO.3.
  2. Obowiązki Administratorów przestrzegania praw osób, których dane są przetwarzane – art. 12-23 RODO.
  3. Regulacje wypełniania ogólnych obowiązków w zakresie przetwarzania danych ciążących na Administratorze i Podmiocie przetwarzającym (m. in. wzorzec umowy powierzenia przetwarzania danych osobowych) – art. 24-31 RODO.
  4. Niezbędne działania bezpieczeństwa przetwarzania danych, uwzględniające charakter, zakres, kontekst i cele przetwarzania danych – art. 32-36 RODO.
  5. Mechanizmy kontroli nad przetwarzaniem danych w postaci monitorowania przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych – art. 27-43.
  6. Wymagania w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44-49 RODO.

W Polityce, zgodnie z art. 24 oraz art. 32 RODO, przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności, zaimplementowano działania uwzględniające stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania, a także ryzyka, na jakie są narażone przetwarzane dane.

PODJĘTE DZIAŁANIA I UZYSKANE REZULTATY

Grupa TAURON w 2020 r. podjęła dalsze intensywne działania w zakresie wykazania dbałości o bezpieczeństwo przetwarzanych danych osobowych poprzez:

  1. Zapewnienie aktualizacji regulacji wewnętrznych, w tym Polityki, w zakresie dotyczącym zmieniającego się otoczenia.
  2. Utrzymanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.
  3. Przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmując działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy.
  4. Podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji.
  5. Bezzwłoczne zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4.
  6. Zapewnienie szkoleń osób zaangażowanych w proces przetwarzania informacji, ze szczególnym uwzględnieniem takich zagadnień, jak:
    1. zagrożenia bezpieczeństwa informacji,
    2. skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    3. stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich.
  7. Zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami poprzez:
    1. monitorowanie dostępu do informacji,
    2. czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
    3. zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji.
  8. Ustanowienie i przestrzeganie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość.
  9. Zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie.
  10. Zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji.
  11. Wyznaczenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych.
  12. Zaimplementowanie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    1. dbałości o aktualizację oprogramowania,
    2. minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    3. ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    4. stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    5. zapewnieniu bezpieczeństwa plików systemowych,
    6. redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    7. niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    8. kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa, w tym wdrożenia retencji danych.
  13. Wdrożenie systemu bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.
  14. Audyt wewnętrzny w zakresie bezpieczeństwa informacji, w tym szczególnie audyt systemów IT, w których dochodzi do przetwarzania danych osobowych.

Wzrost dynamiki łącznej liczby stwierdzonych wycieków, kradzieży lub przypadków utraty danych klienta (+39,2%) wynika ze wzrostu przetwarzania skali danych osobowych klientów w 2020 r. w czasie pandemicznym. Spadła (o 250%) liczba uzasadnionych skarg dotyczących naruszenia prywatności klienta otrzymanych od organów regulacyjnych.

418-1. Istotne skargi dotyczące naruszenia prywatności klientów i utraty danych klienckich w Grupie TAURON w 2020 r.

Eksportuj do Excela
Skargi
Łączna liczba stwierdzonych wycieków, kradzieży lub przypadków utraty danych klienta 341
Liczba uzasadnionych skarg dotyczących naruszenia prywatności klienta otrzymanych od podmiotów zewnętrznych i uznanych przez organizację 63
Liczba uzasadnionych skarg dotyczących naruszenia prywatności klienta otrzymanych od organów regulacyjnych 1
Łączna liczba uzasadnionych skarg dotyczących naruszenia prywatności klienta 64

Centrum powstawania istotnych skarg naruszeń prywatności klientów i utraty danych klienckich w 2020 r. są spółki: TAURON Sprzedaż, TAURON Sprzedaż GZE oraz TAURON Dystrybucja. Stanowią one 100% wszystkich stwierdzonych wycieków i skarg w Grupie TAURON.

W 2021 r. zostanie dokonana szczegółowa analiza struktury podmiotowej i czynników wzrostu przedmiotowych wskaźników wraz z rekomendacjami zatrzymania ich wzrostu.

 

PRZECZYTAJ TAKŻE:

Zarządzanie głównymi ryzykami

Kapitał ludzki