Polityka ochrony danych osobowych dla podmiotów w Grupie TAURON

Wejście w życie tego rozporządzenia zmieniło podejście do ochrony danych osobowych, nakładając na administratorów danych szereg nowych obowiązków, takich jak wprowadzenie nowych procedur bezpieczeństwa danych lub informowanie polskiego organu nadzoru (PUODO) oraz podmiotów praw RODO (np. klientów Grupy TAURON) o naruszeniu danych osobowych. Grupa TAURON w ramach projektu RODO podjęła wiele działań implementujących wymogi Rozporządzenia z uwagi na konieczność:

• zapewnienia ochrony danych osobowych niezależnie od miejsca ich przetwarzania,
• powołania Inspektora Ochrony Danych Osobowych w spółkach Grupy TAURON (IOD),
• obowiązkowej notyfikacji naruszeń ochrony danych osobowych,
• zapewnienia domyślnej ochrony danych osobowych i ochrony prywatności w fazie projektowania (privacy by design),
• realizacji uprawnień dla klientów i kontrahentów, których dane dotyczą (np. „prawa do bycia zapomnianym”),
• aktualizacji treści klauzul informacyjnych i zgód w zakresie przetwarzania danych osobowych,
• dostosowania systemów informatycznych do nowych wymagań bezpieczeństwa przetwarzania danych osobowych.

W Grupie TAURON przestrzegane są następujące zasady:

• Legalność przetwarzania danych osobowych: przetwarzamy dane osobowe zgodnie z powszechnie obowiązującym prawem, na podstawie ustalonej podstawy prawnej;
• Rzetelność: dane osobowe przetwarzane są w sposób rzetelny, adekwatnie, stosownie oraz niezbędnie do celów ich przetwarzania;
• Celowość: dane osobowe przetwarzane są w konkretnych celach;
• Rozliczalność: Grupa TAURON skutecznie dokumentuje postępowanie z danymi osobami, tak aby rozliczyć się ze spełnienia obowiązków prawnych ich przetwarzania;
• Minimalizacja: Grupa TAURON minimalizuje przetwarzanie danych osobowych, udostępniamy je tylko w celach niezbędnych, o których wcześniej informujemy;
• Prawidłowość: z najwyższą starannością dbamy o prawidłowość danych, dokonując ich weryfikacji i umożliwiając ich właścicielom (podmiotom praw RODO) np. aktualizację;
• Bezpieczeństwo: szczególny nacisk kładziemy na bezpieczeństwo przetwarzania danych osobowych w systemach IT, implementując narzędzia i procedury zwiększenia cyberbezpieczeństwa. Wdrażamy i aktualizujemy procedury, optymalizując bezpieczeństwo danych osobowych oraz szkolimy personel w tym zakresie.

W TAURONIE obowiązuje Polityka ochrony danych osobowych dla podmiotów Grupy TAURON. Uwzględniając przetwarzanie danych osobowych dokument wyznacza zasady i obowiązki bezpieczeństwa i poufności tych danych oraz dostęp do informacji o ich przetwarzaniu osób, których dane dotyczą. W przypadku, gdyby pomimo stosowanych środków bezpieczeństwa, doszło do naruszenia ochrony danych osobowych (np. wycieku danych lub ich utraty), Administratorzy Ochrony Danych Osobowych w Grupie TAURON, na specjalnie przygotowanych formularzach, informują o takim zdarzeniu osoby, których dane osobowe dotyczą, czyniąc to w sposób zgodny z przepisami prawa.

Do procedur należytej staranności zawartych w opisywanej Polityce należą w szczególności:

1. Ogólne zasady przetwarzania danych osobowych określonych w art. 5 RODO.2. Zasady zapewniające, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO.3.
2. Obowiązki Administratorów przestrzegania praw osób, których dane są przetwarzane – art. 12-23 RODO.
3. Regulacje wypełniania ogólnych obowiązków w zakresie przetwarzania danych ciążących na Administratorze i Podmiocie przetwarzającym (m. in. wzorzec umowy powierzenia przetwarzania danych osobowych) – art. 24 – 31 RODO.
4. Niezbędne działania bezpieczeństwa przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO.
5. Mechanizmy kontroli nad przetwarzaniem danych w postaci monitorowania przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych – art. 27- 43.
6. Wymagania w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

W Polityce, zgodnie z art. 24 oraz art. 32 RODO, przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności, zaimplementowano działania uwzględniające stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania, a także ryzyka, na jakie są narażone przetwarzane dane.

Grupa TAURON w 2019 r. podjęła intensywne działania wykazania dbałości o bezpieczeństwo przetwarzanych danych osobowych, poprzez:

1. Zapewnienie aktualizacji regulacji wewnętrznych, w tym Polityki, w zakresie dotyczącym zmieniającego się otoczenia.
2. Utrzymanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.
3. Przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmując działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy.
4. Podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji.
5. Bezzwłoczne zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4.
6. Zapewnienie szkoleń osób zaangażowanych w proces przetwarzania informacji, ze szczególnym uwzględnieniem takich zagadnień, jak:
   1. zagrożenia bezpieczeństwa informacji,
   2. skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
   3. stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich,
7. Zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, poprzez:
   1. monitorowanie dostępu do informacji,
   2. czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
   3. zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji.
8. Ustanowienie i przestrzeganie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość.
9. Zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie.
10. Zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji.
11. Wyznaczenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych.
12. Zaimplementowanie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    1. dbałości o aktualizację oprogramowania,
    2. minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    3. ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    4. stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    5. zapewnieniu bezpieczeństwa plików systemowych,
    6. redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    7. niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    8. kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa.
13. Wdrożenie systemu bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.
14. Okresowy audyt wewnętrzny w zakresie bezpieczeństwa informacji, nie rzadziej niż raz na rok.

W Grupie TAURON w 2019 r. w porównaniu z rokiem 2018 (w 2018 roku pomiar od maja) obniżyła się o 50% liczba uzasadnionych skarg, dotyczących naruszeń prywatności klienta otrzymanych od podmiotów zewnętrznych, jednakże wzrosła o 100% liczba uzasadnionych skarg dotyczących naruszenia prywatności klienta otrzymanych od organów regulacyjnych. .

Tabela przedstawia istotne skargi dotyczące naruszenia prywatności klientów i utraty danych klienckich w Grupie TAURON w 2019 roku.

Głównym miejscem powstawania istotnych skarg naruszeń prywatności klientów i utraty danych klienckich w 2019 r. są spółki TAURON Sprzedaż i TAURON Sprzedaż GZE (jest to 92%). Wzrost dynamiki łącznej liczby stwierdzonych wycieków, kradzieży lub przypadków ich utraty (+355%) wynika ze wzrostu przetwarzania skali danych osobowych klientów w 2019 r., w tym szczególnie w nowych projektach w porównaniu do 2018 r.

W 2020 roku zostanie dokonana szczegółowa analiza struktury podmiotowej i czynników wzrostu przedmiotowych wskaźników, wraz z rekomendacjami obniżenia ich skali.