Privacy Protection Policy and the Regulations

Personal Data Information Clause

§ 1. Personal data controller

The controller of the personal data of the Customers (Buyers) is Szczecińska Energetyka Cieplna Sp. z o.o. (hereinafter referred to as SEC), ul. Zbożowa 4, 70 653 Szczecin, entered under the No. KRS 131910, NIP 851 010 94 44, www.sec.com.pl, bok@sec.com.pl, tel. +48 91 450 99 99 You can contact the personal data protection inspector of Szczecińska Energetyka Cieplna Sp. z o.o. by writing at the postal or e-mail address iod@sec.com.pl, with a note “Personal data inspector”.

§ 2. The purpose of and legal basis for personal data processing

Personal data of Customers shall be processed on the basis of legal provisions, especially Art. 6 para 1, a-f of GDPR, concluded agreements and the consent given for the following purposes:

  • to conclude and perform an agreement on using our services on the basis of the Customers’ interest in our services,
  • marketing and promotion of the services offered by SEC,
  • to measure customers’ satisfaction and the quality of our services, which is our legitimate interest,
  • to recover debts, which is our legitimate interest,
  • possible litigious proceedings, including establishment, exercise of and defence against claims, which is our legitimate interest,
  • archiving (providing evidence) to secure information if a legal need arises to ascertain facts, which is our legitimate interest,
  • to fulfil our legal obligations, e.g. obligation to issue an invoice or other documents required by law,
  • to fulfil our legal obligations resulting from the EU or Polish law (e.g. towards the President of the Energy Regulatory Office or tax administration), because in this case data processing is necessary to meet legal requirements that we are subject to.

In other cases, Customers’ personal data are processed exclusively on the basis of a prior consent, to the extent and for the purpose specified in the consent.

§ 3. Categories of data that are processed

In order to provide you with our services, we process the following data: data necessary to conclude, perform and terminate agreements made with SEC, such as, among others, KRS number, REGON number, NIP number, registered office address, representation, contact data, data about the property that the agreement covers, image recordings – data recorded in SEC’s registered office related to securing the property, audio data – data related to recording talks of SEC employees with customers calling SEC. Detailed and full information on personal data protection is provided to Customers when the agreement is concluded or in a reply from the Personal Data Inspector.

§ 4. Data recipients

Personal data can be transferred to the entities which need it to perform the agreement, such as for example entities from our capital group, entities providing IT services for the seller, as well as services related to the recovery of debt resulting from the agreement or to the issuance and delivery of invoices. To the extent that they perform their tasks, state bodies shall also be recipients of Customers’ personal data.

§ 5. Transfer of data to third countries of international organisations

Personal data of Customers shall not be transferred to third countries or international organisations.

§ 6. Personal data storage period

(period for which personal data will be stored, and if not possible, criteria for setting the period)

Personal data of Customers will be processed for the period necessary to achieve the processing purposes specified in point 2., i.e.

  • with regard to the performance of the agreement made by the Customers – during the term of the agreement, and afterwards, for the period required by law or to secure possible claims; if Customers had given consent for the data to be processed after the agreement termination for archiving purposes, until the consent is withdrawn,
  • with regard to marketing and promotional purposes of the services offered – for the period until Customers withdraw their consent for data processing,
  • with regard to customer satisfaction and quality measurement – for the term of the agreement,
  • with regard to debt recovery – for 5 years after the end of the agreement,
  • with regard to litigious proceedings – for 10 years from the day of issuance of a final ruling terminating the proceeding.

§ 7. Rights related to personal data

Customers have a right of access to the content of their data, as well as the right to rectification, to erasure, to restriction of processing, to data portability, to object to personal data processing, and to withdraw consent at any time, without affecting the lawfulness of processing based on consent before its withdrawal. Customers have a right to lodge a complaint with a supervisory authority competent in personal data protection, if they decide that personal data protection breached GDPR. Data controller has a right to refuse to erase the Customer’s data, if data storage is necessary for the exercise of legal claims or if it is required by law.

§ 8. Information on the requirement/freedom to transfer data

The Customer transfers the data freely, but if the data required for the performance of the agreement is not transferred, it will not be possible to conclude and perform the agreement.

§ 9. Automatic processing and profiling

Personal data of Customers shall not be processed in an automatic way, including profiling.

Regulation of cookies at SEC website

  1. The content of www.sec.com.pl is made available so cookies are used, that is information stored by the servers on the user’s final device that the servers can read out every time the final device connects itself. Other technologies with the same or similar functions like cookies can be used as well. In the document, information on cookies can also be applied to other similar technologies used on our websites. Cookies are information data, especially text files, stored on the final device of the user of the website www.sec.com.pl. Cookies usually contain the name of the their website domain, the time of storage on the final device and a unique number.
  2. Cookies are used for the following purposes:
    adjusting the content of the website to the preferences of the user and optimizing the use of webpages; these files allow to recognise the device of the website user and display the webpage accordingly, adjusted to their individual needs; to create statistics which help understand how website users use it, which improves their structure and content; to maintain the session of the website user (after logging-in), so that the user does not need to enter the login and password at each web page; to provide advertising content adjusted to their interests.
  3. Under www.sec.com.pl, the following cookies can be used:
    “necessary” cookies which allow to use services available on the website, such as authorizing cookies used for services requiring authentication on the website, cookies providing security, e.g. used to detect authentication fraud on the website, cookies which make it possible to collect information about the way webpages of the website are used; “functional” cookies which “remember” specific settings and allow personalisation of the user’s interface, e.g. with regard to a given language or region that they come from, font size, website appearance, etc.; “advertising” cookies, which make it possible to deliver to the users advertising content in accordance with their interests.
  4. Very often software for browsing through websites (browser) by default makes it possible to store cookies on the final device of the user. Service users can change their cookies settings at any time. These settings can be changed so that an automatic cookies service is blocked in the browser settings or to inform about every case of cookies stored on the user’s device. Detailed information about the cookies is available in software settings (web browser). If no changes in cookies settings are made, they will be stored on the final device of the user, and we will have access to this information.
  5. Stopping the use of cookies can make it more difficult to use some of our websites, especially those that require logging-in. Turning off the option of accepting cookies will not make it impossible to read or have access to the contents on the website www.sec.com.pl, subject to those that require logging-in.
  6. Cookies can be stored on the final device of the www.sec.com.pl user and next used by advertisers, scientific companies and multimedia application suppliers that work with the service.

Deklaracja stosowania niezbędnych zabezpieczeń przez Szczecińską Energetykę Cieplną

Aktywa/systemy/procesy Zabezpieczenia Wdrożenie

Polityka Bezpieczeństwa Informacji (PBI),
Polityka Ciągłości Działania (PCD)

Polityka Bezpieczeństwa Informacji, Polityka Ciągłości Działania zostały opracowane oraz zatwierdzone, są przeglądane oraz wydawane przez osoby kompetentne.

 

Organizacja wewnętrzna

Ustanowiono strukturę zarządzania w celu zainicjowania oraz nadzorowania wdrażania i eksploatacji bezpieczeństwa informacji w organizacji (role i odpowiedzialność za bezpieczeństwo informacji, rozdzielenie obowiązków, kontakty z organami władzy, kontakty z grupami zainteresowanych specjalistów, bezpieczeństwo informacji w zarządzaniu projektami.

 

Urządzenia mobilne
i telepraca

PBI w rozdziałach: Kompetencje i świadomość,  zasady pracy zdalnej, Przenośne nośniki danych.

 

Organizacyjne bezpieczeństwo zasobów ludzkich

PBI w zakresie dotyczącym RODO, Dokumenty: Regulamin Pracy SEC, Zarządzanie wynikami pracy, Zasady podnoszenia kwalifikacji, Regulaminorganizacyjny przedsiębiorstwa.

 

Zarządzanie aktywami

SEC posiada zidentyfikowane aktywa – załącznik do PBI.
Organizacja posiada regulacje dotyczące postępowania z nośnikami – Przenośne nośniki danych, Zasady niszczenia danych na nośnikach elektronicznych, Zasady niszczenia danych na nośnikach papierowych oraz Regulamin korzystania z urządzeń mobilnych.

 

Kontrola dostępu

W PBI posiada ustalone zasady dotyczące: Nadawania uprawnień i ewidencji osób uprawnionych, Dostępu uprzywilejowanego, Polityki haseł, Polityki kluczy.

 

Kryptografia

W PBI są zamieszczone  Zasady ochrony kryptograficzne, Polityka kluczy.

 

Bezpieczeństwo fizyczne i środowiskowe

W PBI umieszczono informacje dotyczące: Obszarów bezpiecznych i obszarów podwyższonego bezpieczeństwa, Zabezpieczenia sieci, systemów, aplikacji, baz danych, maszyn i urządzeń.

 

Bezpieczna eksploatacja

PBI zawiera informacje dotyczące ww kwestii: Ewidencja sprzętu i oprogramowania, Zabezpieczenia sieci, maszyn i urządzeń, systemów operacyjnych, aplikacji, baz danych, Polityka archiwizacji, kopii zapasowych i usuwania informacji, Incydenty. 
Określono podatności dotyczące aktywów, opracowano instrukcje eksploatacyjne.

 

Bezpieczeństwo komunikacji

W PBI ustalono zasady Zabezpieczenia sieci, Sposób przepływu danych pomiędzy poszczególnymi systemami, Regulamin publikowania informacji w Internecie, Zasady zamieszczania treści w intranecie.

 

Pozyskiwanie, rozwój i utrzymanie systemów

PBI posiada informacje dotyczące bezpieczeństwa systemów: Zabezpieczenia systemów operacyjnych. SEC posiada umowy z dostawcami systemów.

 

Relacje z dostawcami

Organizacja ustanowiła Regulamin postępowania przy udzielaniu zamówień, Instrukcję dotyczącą prac zleconych wykonawcy zewnętrznemu.

 

Zarządzanie incydentami związanymi z bezpieczeństwem informacji

PBI zawiera Zasady postępowania z incydentami: Incydenty, oraz procedurę Niezgodności i  działania korygujące. W SEC opracowano Politykę Ciągłości Działania.

 

Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania

Polityka Ciągłości Działania, Instrukcja Zarządzania Kryzysowego.

 

Zgodność

Wymagania prawne i inne wymagania – identyfikacja, analiza ryzyka i ocena zgodności.
Wymagania KSC uzupełniono o wymagania wynikające z normy ISO 27001 oraz 22301

 

wdrożono

Niezbędne zabezpieczenia, w tym techniczne zostały wybrane przez osoby kompetentne, posiadające niezbędną wiedzę techniczną. Zabezpieczenia techniczne zostały opisane w ustalonych Politykach, procedurach oraz instrukcjach.

     nie wdrożono

Rekomendacje dla klientów, kontrahentów

W związku z tym, że w kontaktach z naszymi klientami i kontrahentami wykorzystujemy również elektroniczne środki  komunikacji, chcemy przedstawić 10 zasad, które zwiększają poziom cyberbezpieczeństwa w Internecie:

  1. Na bieżąco aktualizuj swój sprzęt i oprogramowanie, stosuj oprogramowanie antywirusowe.
  2. Używaj haseł mocnych haseł, trudnych do odgadnięcia. Staraj się używać różnych haseł i loginów w różnych serwisach.
  3. Nie udostępniaj nikomu swoich danych uwierzytelniających (pinów, loginów, haseł).
  4. Odwiedzaj bezpieczne strony sprawdzając adresy stron www. oraz czy korzystają z protokołu https.
  5. Nie działaj pod wpływem emocji, nie otwieraj niezaufanych załączników maili oraz nie klikaj w podejrzane linki.
  6. Unikaj zewnętrznych nośników danych. Stosuj je jeżeli jesteś pewien ich bezpieczeństwa.
  7. Korzystaj tylko z zaufanych sieci. Unikaj darmowych hot spotów.
  8. Blokuj konto odchodząc od komputera, wyloguj się na zakończenie pracy.
  9. Przeczytaj uważnie, na co się zgadzasz. Dbaj o swoją prywatność.
  10. Weryfikuj nr konta do płatności faktur w sytuacji jego zmiany.

Informacje dotyczące naruszenia zasad cyberbezpieczeństwa prosimy przesyłać na adres: iod@sec.com.pl