RAPORT ESG
Grupy Kapitałowej ENEA
2022 rok

GRI:[ ]

Bezpieczeństwo danych Klientów

  • 3-3
  • WSKAŹNIK WŁASNY 10
  • G-S1
  • 2-23
  • 2-24
  • 2-25

Szanujemy prywatność Klientów oraz dbamy o bezpieczeństwo przechowywanych przez siebie ich danych, kierując się w tym zakresie obowiązującymi przepisami prawa oraz wewnętrznymi procedurami. W obszarze bezpieczeństwa danych osobowych korzystamy z usług spółki ENEA Centrum, która zapewnia nam kompleksową obsługę procesów IT, w tym administruje systemami mającymi kluczowe znaczenie dla obszaru cyberbezpieczeństwa. Spółki Grupy ENEA spełniają wymogi nałożone przez RODO, zaś operatorzy usługi kluczowej działają zgodnie z Ustawą o Krajowym Systemie Cyberbezpieczeństwa. W Grupie Kapitałowej zaimplementowano zaawansowane rozwiązania techniczne i organizacyjne umożliwiające szybką i sprawną obsługę incydentów cyberbezpieczeństwa. Powstałe struktury przeciwdziałają potencjalnej materializacji ryzyk., ze szczególnym uwzględnieniem obecnie występujących zagrożeń, generowanych w związku z koniecznością dostosowania bezpieczeństwa systemów teleinformatycznych i automatyki przemysłowej do hybrydowego trybu świadczenia pracy oraz związanych z zagrożeniami wynikającymi z obecnej sytuacji geopolitycznej na świecie.

Zgodnie z wymogami RODO, w spółkach Grupy zostali wyznaczeni Inspektorzy Ochrony Danych. Monitorują oni przestrzeganie przepisów o ochronie danych osobowych i są punktem kontaktowym we wszystkich sprawach z tego obszaru, także dla Klientów.

  • Polityka Bezpieczeństwa Grupy ENEA,
  • Polityka Ochrony Danych Osobowych w Grupie ENEA,
  • Zasady Bezpieczeństwa Teleinformatycznego w Grupie ENEA,
  • Zasady przetwarzania informacji w Grupie ENEA,
  • Zasady przetwarzania danych osobowych w Grupie ENEA,
  • Metodyka Zarządzania Ryzykiem Cyberbezpieczeństwa Usług Kluczowych w Grupie ENEA,
  • Metodyka zarządzania ryzkiem przetwarzania danych osobowych w Grupie ENEA.

Ponadto, spółki przyjmują własne regulacje, czego przykładem może być Polityka Bezpieczeństwa Informacji w systemach teleinformatycznych w spółce Lubelski Węgiel „Bogdanka” S.A.

Zarówno z Pracownikami, jak i podmiotami zewnętrznymi, z którymi spółki Grupy podejmują współpracę, zawierane są umowy o poufności (lub stosowane klauzule zachowania poufności) oraz umowy powierzenia przetwarzania danych osobowych. Dostęp Pracowników do danych osobowych Klientów jest ograniczony do niezbędnego zakresu, wynikającego z pełnionych funkcji; ograniczeniom podlega także fizyczny dostęp do pomieszczeń, w których przechowywane są dokumenty z danymi osobowymi. Dokumenty zawierające dane osobowe w przypadku przesyłania za pośrednictwem poczty elektronicznej zabezpieczane są hasłem, a w przypadku korespondencji tradycyjnej – nadawane listem poleconym za potwierdzeniem odbioru. Systemy informatyczne przetwarzające dane osobowe działają tylko w wewnętrznych sieciach typu Intranet (bez dostępu z Internetu) i posiadają niezbędne zabezpieczenia dla ochrony tych danych.

Bezpieczeństwo systemów informatycznych jest przedmiotem regularnych audytów wewnętrznych i zewnętrznych, które obejmują także identyfikację i mitygację zagrożeń związanych z zachowaniem poufności danych. W spółkach realizowane są szkolenia z zakresu ochrony danych osobowych i bezpieczeństwa informacji – dla Pracowników, stażystów i praktykantów oraz osób współpracujących ze spółkami na podstawie umów cywilnoprawnych.

W 2022 r. służby odpowiedzialne za bezpieczeństwo fizyczne, informacji i teleinformatyczne skoncentrowały się na procesie zwiększania kompetencji Pracowników w obszarze szeroko rozumianego bezpieczeństwa. Pracownicy wzięli udział w dedykowanych szkoleniach zarówno zewnętrznych, jak i wewnętrznych. Ponadto, w 2022 r.  zostały przeprowadzone wewnętrzne kampanie bezpieczeństwa, polegające na zwiększeniu świadomości Pracowników w odniesieniu do ataków typu phishing.

W 2022 r. zespół CERT GK ENEA, którego zadaniem jest reagowanie na zdarzenia naruszające bezpieczeństwo w sieci, uzyskał akredytację GÉANT TF-CSIRT Trusted Introducer, potwierdzającą wysokie standardy profesjonalizmu. Zespół stale monitoruje zagrożenia z cyberprzestrzeni i odpowiednio reaguje, np. poprzez wprowadzanie zmian w systemach bezpieczeństwa Grupy. Pozostaje ponadto w stałym kontakcie z krajowymi i europejskimi zespołami CERT/CSIRT oraz wdraża ich zalecenia.

Jacek Kij Dyrektor Departamentu Bezpieczeństwa Grupy Kapitałowej
  • 418-1
Eksportuj do Excela

Naruszenia przepisów o ochronie danych osobowych w 2022 r. Kwalifikowanych do PUODO

Niekwalifikowanych do PUODO

 Łącznie
Łącznie przez spółki GK ENEA: 0 254 254
w tym przez ENEA S.A. 0 45 45

21 lutego 2022 r. Wojewódzki Sąd Administracyjny utrzymał w mocy decyzję Prezesa Urzędu Ochrony Danych Osobowych, który decyzją z 11 lutego 2021 r. nałożył na ENEA S.A. administracyjną karą pieniężną w wysokości 136 437 zł w związku ze stwierdzeniem naruszenia przepisu art. 33 ust. 1 Rozporządzenia 2016/679, polegającego na niezgłoszeniu PUODO naruszenia ochrony danych osobowych bez zbędnej zwłoki, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia. Kara została zapłacona 15 marca 2022 r.

Wybrane inicjatywy w 2022 r. zwiększające bezpieczeństwo danych osobowych

  • WSKAŹNIK WŁASNY 10

W ENEA Operator przeprowadzono audyt w zakresie ochrony danych osobowych w procesie przyłączania Klientów do sieci elektroenergetycznej. W wyniku podjętych działań zminimalizowano zakres danych związanych z dostępem do nieruchomości, które są pozyskiwane od Klientów na potrzeby budowy i utrzymania infrastruktury elektroenergetycznej.

W LWB miał miejsce przegląd i aktualizacja wewnętrznej polityki w zakresie bezpieczeństwa informacji, wdrożenie automatycznej retencji wiadomości w systemie służbowej poczty elektronicznej oraz podniesienie bezpieczeństwa dostępu zdalnego z wykorzystaniem usługi VPN poprzez wprowadzenie logowania wieloskładnikowego.

Poprzednia strona

Jakość obsługi

Następna strona

Komunikacja i badania satysfakcji

Wyniki wyszukiwania