Zarządzanie ochroną danych osobowych
Grupa PGE w sposób odpowiedzialny i kompleksowy podchodzi do bezpieczeństwa i ochrony danych osobowych.
PGE Polska Grupa Energetyczna S.A., jako centrum korporacyjne, zapewnia:
Funkcjonowanie spójnej organizacji obszaru ochrony danych osobowych
w Grupie PGE
Budowanie standardów ochrony danych osobowych w Grupie PGE
Minimalizowanie ryzyka naruszeń ochrony danych przy zachowaniu wymaganych standardów jakościowych i interesu Grupy PGE
Zgodność z przepisami o ochronie danych osobowych, w tym przede wszystkim odrębność i niezależność poszczególnych spółek w Grupie PGE jako administratorów danych osobowych
Rozliczalność procesów przetwarzania danych osobowych poprzez prowadzenie stałych kontroli zgodności w obszarze ochrony danych osobowych
Proces przetwarzania i ochrony danych osobowych odbywa się zgodnie z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”) i innymi przepisami powszechnie obowiązującego prawa. W Grupie PGE wprowadzone zostały zabezpieczenia i procedury chroniące przetwarzane dane osobowe. Na bieżąco analizowane jest ryzyko przetwarzania danych, a pracownicy przechodzą cykliczne szkolenia.
Podstawowe cele w zarządzaniu ochroną danych osobowych w Grupie PGE to:
- zapewnienie efektywności w obszarze ochrony danych osobowych poprzez identyfikację strategicznych obszarów zarządzania ochroną danych osobowych w spółkach Grupy PGE i ich właściwe zarządzanie,
- podejmowanie działań optymalizujących proces ochrony danych osobowych,
- organizacja pracy spółek w zakresie realizacji ich obowiązków jako administratora lub podmiotu przetwarzającego,
- ustandaryzowanie regulacji wewnętrznych obszaru ochrony danych osobowych w Grupie PGE uwzględniających specyfikę funkcjonowania poszczególnych spółek i gwarantujących transparentność procesu ochrony danych osobowych,
- budowanie świadomości w obszarze danych osobowych na poziomie Grupy PGE z wykorzystaniem narzędzi komunikacji wewnętrznej,
- współpraca między Inspektorami Ochrony Danych Osobowych (IOD) w poszczególnych spółkach w formie Forum IOD Grupy Kapitałowej PGE,
- podział ról i odpowiedzialności w obszarze zarządzania ochroną danych, w tym podział obowiązków pomiędzy IOD, a administratorem danych osobowych w celu spełniania wymagań wynikających z RODO,
- opracowanie i wdrożenie w Grupie Kapitałowej PGE narzędzi teleinformatycznych umożliwiających realizację obowiązków, wynikających z przepisów o ochronie danych osobowych, aby w jednolity sposób, na określonym poziomie i według określonej metodyki zapewnić ciągłość i spójność działania w obszarze ochrony danych osobowych.
Całkowita liczba uzasadnionych skarg dotyczących naruszenia prywatności klientów oraz utraty danych w 2023 roku
| Skargi otrzymane od instytucji zewnętrznych i uznane przez organizację |
Skargi otrzymane od regulatora |
Całkowita liczba zidentyfikowanych wycieków, kradzieży bądź utraty danych klientów |
|
|---|---|---|---|
| PGE S.A.1 | 0 | 0 | 0 |
| PGE Obrót | 0 | 32 | 8843 |
| PGE Energia Ciepła | 0 | 0 | 0 |
| PGE Dystrybucja | 0 | 0 | 8 |
- 1dotyczy przetwarzania danych kategorii „Klient” w roli administratora danych osobowych ↩︎
- 2dodatkowo jedna decyzja UODO, w której udziela spółce PGE Obrót S.A. upomnienia za naruszenie przepisów RODO ↩︎
- 338 – liczba zgłoszeń zakwalifikowanych jako naruszenia z notyfikacją do Urzędu Ochrony Danych Osobowych (UODO), (cztery wewnętrzne); 846 – liczba zgłoszeń zakwalifikowanych jako naruszenia bez notyfikacji do UODO ↩︎
Zgodnie z art. 33 ust. 1 RODO: „W przypadku naruszenia ochrony danych osobowych, administrator bez zbędnej zwłoki – w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia – zgłasza je organowi nadzorczemu właściwemu zgodnie z art. 55, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych.” Notyfikacja do UODO następuje wtedy, gdy analiza zgłoszenia naruszenia ochrony danych osobowych wskazuje, że dane, które zostały ujawnione mogą zostać wykorzystane przez osobę trzecią nieuprawnioną i mogą spowodować szkodę materialną lub niematerialna dla osoby, której dane zostały ujawnione.
W celu zminimalizowana ryzyka naruszenia ochrony danych spółki podejmują odpowiednie środki zaradcze, dostosowane do wagi i zakresu incydentu lub naruszenia.
W PGE środki zaradcze obejmują:
- rozmowy z pracownikami, przypominające zasady ochrony danych osobowych oraz obowiązujące procedury dotyczące bezpieczeństwa informacji,
- przypomnienia o zasadach bezpieczeństwa danych osobowych w komunikatach kierowanych do pracowników za pośrednictwem poczty korporacyjnej oraz publikacji w intranecie. Inspektor Ochrony Danych (IOD) przekazuje w nich m.in. rekomendacje dotyczące zasad i środków ochrony danych osobowych w spółce,
- przypominające działania szkoleniowe,
- aktualizacje obowiązujących procedury i regulacji z zakresu ochrony danych osobowych,
- stały kontakt z Inspektorem Ochrony Danych, zarówno dla pracowników, jak i klientów oraz kontrahentów spółki.
W PGE Obrót środki zaradcze obejmują:
- szyfrowanie dokumentacji zawierającej numer PESEL, która przesyłana jest drogą elektroniczną,
- ograniczenie zakresu danych osobowych przesyłanych w korespondencji elektronicznej i papierowej (elektroniczne wezwania do zapłaty, korespondencja tradycyjna związana ze zmiana sposobu rozliczenia – prosument),
- maksymalizowanie wysyłki korespondencji do klientów drogą elektroniczną szczególnie z danymi wrażliwymi (umowy),
- aktualizacja danych klientów,
- kontakt z operatorem pocztowym w sprawie dołożenia wszelkiej staranności podczas realizacji zadań służbowych przez pracowników operatora,
- cykliczne szkolenia dla pracowników spółki z zakresu ochrony danych osobowych,
- podjęcie działań w zakresie uregulowania kwestii związanych z monitoringiem poczty elektronicznej w Regulaminie Pracy, zgodnie z ustawą Kodeks Pracy,
- opracowanie dokumentu: „Zasady bezpiecznego doręczania umów o pracę i innej dokumentacji kadrowej” dla Departamentu HR,• zalecenie dołożenia wszelkiej staranności przy wykonywaniu zadań służbowych przez pracowników spółki, szczególnie w zakresie weryfikacji poprawności danych adresowych oraz załączników przed wysłaniem korespondencji e-mail/tradycyjnej.