Bezpieczeństwo i ochrona danych
W PGNiG obowiązuje System Zarządzania Bezpieczeństwem Informacji (SZBI), który ma certyfikację zgodności z normą PN-EN ISO/IEC 27001:2017-06.
Jego podstawę stanowią dokumenty: Polityka Bezpieczeństwa Informacji (PBI) oraz Polityka Bezpieczeństwa Teleinformatycznego (PBT). Określają one ramy zasad przetwarzania informacji, w tym szczególnie danych osobowych w Spółce. Dodatkowo PGNiG kompleksową ochronę danych osobowych w PGNiG i wybranych podmiotach z GK PGNiG zapewnia obowiązująca Polityka Ochrony Danych GK PGNiG.
Bezpieczeństwo informacji dla PGNiG oznacza:
- ochronę zasobów informacji oraz środków służących do jej przetwarzania;
- zapewnienie bezpieczeństwa i ciągłości przetwarzania informacji;
- systematyczne zarządzanie ryzykiem poprzez identyfikację zasobów, zagrożeń z nimi związanych i wyborem działań zabezpieczających zasoby;
- analizę wprowadzanych zmian w Spółce i ich wypływu na bezpieczeństwo zasobów informacji.
Głównymi celami wdrożenia SZBI jest zapewnienie bezpieczeństwa danych oraz zapewnienie ciągłości świadczonych usług. Realizuje się je przez:
- zapewnienie zgodności działań z obowiązującym prawem;
- ochronę wykorzystywanych systemów informatycznych przed nieupoważnionym dostępem, fizycznym zniszczeniem oraz działalnością szkodliwego oprogramowania;
- podnoszenie świadomości pracowników w zakresie bezpieczeństwa i zaangażowanie ich w ochronę informacji;
- zapewnienie ciągłej analizy ryzyka utraty informacji;
- zapewnienie doskonalenia Systemu Zarządzania Bezpieczeństwem Informacji.
Szczególnym rozwiązaniem są zasady zarządzania incydentami zdefiniowane w ramach PBT, które skupiają zasady reagowania na incydenty teleinformatyczne z uwzględnieniem koordynacji realizacji działań wynikających z incydentów przez Pełnomocnika Zarządu ds. SZBI.
Reguły obowiązujące w ramach SZBI podlegają ciągłemu monitorowaniu i zarządzaniu zmianami zgodnie z certyfikowanymi regułami nadzorowania dokumentacji zintegrowanych systemów zarządzania.
Wszystkie osoby posiadające dostęp do zasobów informacyjnych PGNiG zobowiązane są do przestrzegania przyjętych w Systemie zasad oraz dbałości o jego rozwój i skuteczność wdrażanych rozwiązań.
Uzasadnione skargi dotyczące naruszenia prywatności klienta i utraty danych
W 2021 r. PGNiG i większości spółek z Grupy nie odnotowano żadnych uzasadnionych skarg dotyczących naruszeń prywatności klientów i utraty danych.
Jedynie w przypadku PGNiG OD (spółka obsługuje najliczniejszą grupę klientów w GK PGNiG – ponad 7 mln) Inspektor Ochrony Danych spółki zarejestrował 308 przypadków naruszeń ochrony danych osobowych. 307 z nich uzyskało poziom ryzyka niewymagający informowania o naruszeniu Urzędu Ochrony Danych Osobowych (UODO), ani podmiotów danych. Jednakże w jednym przypadku dotyczącym działań pracownika PGNiG OD (obecnie byłego – umowa o pracę została z nim niezwłocznie rozwiązana) na szkodę spółki oraz jej klientów, poziom ryzyka oceniono jako wysoki. Sprawa prowadzona przez Prokuraturę, po sporządzeniu aktu oskarżenia została przez organy ścigania skierowana do sądu. Po uzyskaniu przez IOD PGNiG OD z Prokuratury informacji o ustaniu okoliczności uniemożliwiających PGNiG OD wywiązanie się z obowiązków wynikających z art. 33 i 34 RODO, PGNiG OD dokonał w styczniu 2022 r. formalnego powiadomienia UODO o naruszeniu (w lutym 2021 r. spółka przekazała UODO wstępną informację w tej sprawie) oraz poinformował 4 klientów PGNiG OD o naruszeniu ich danych.
W odniesieniu do każdego przypadku naruszenia, przeprowadzano oceny ryzyka naruszenia praw i wolności osób, których dane podlegały naruszeniu, w tym pod kątem obowiązku poinformowania UODO lub podmiotu danych o naruszeniu, bazując na metodologii ENISA.
Przypadki niezgodności z regulacjami
W 2021 roku Grupa PGNiG nie odnotowała wpływu powiadomień lub skarg dot. niezgodności z regulacjami i dobrowolnie stosowanymi kodeksami związanymi z wpływem produktów i usług na zdrowie i bezpieczeństwo.