Klauzula informacyjna dotycząca danych osobowych
§ 1. Administrator danych osobowych
Administratorem danych osobowych Odbiorców (Kupujących) jest Szczecińska Energetyka Cieplna Sp. z o.o. (zwana dalej „SEC”), ul. Zbożowa 4, 70-653 Szczecin, KRS 131910, NIP 851-010-94-44, www.sec.com.pl, bok@sec.com.pl, tel. +48 91 450 99 99 Z Inspektorem ochrony danych osobowych (Sebastianem Zagórskim) Szczecińskiej Energetyki Cieplnej Sp. z o.o. można się kontaktować pisząc na adres pocztowy, lub adres elektroniczny: iod@sec.com.pl, z dopiskiem: “Inspektor danych osobowych”.
§ 2. Cele i podstawy przetwarzania
Dane osobowe Odbiorców przetwarzane będą na podstawie przepisów prawa – w szczególności art. 6 ust. 1 lit. a-f RODO, zawartych umów oraz na podstawie udzielonej zgody w celach:
- zawarcia i realizacji umowy na korzystanie z naszych usług na podstawie zainteresowania Odbiorców naszymi usługami,
- marketingu i promocji usług oferowanych przez SEC,
- badania satysfakcji klientów i określania jakości naszej obsługi, co jest naszym prawnie uzasadnionym interesem,
- dochodzenia należności, co jest naszym prawnie uzasadnionym interesem,
- ewentualnych sporów sądowych, w tym ustalenia, dochodzenia lub obrony przed roszczeniami, co jest naszym prawnie uzasadnionym interesem,
- archiwalnych (dowodowych) dla zabezpieczenia informacji na wypadek prawnej potrzeby wykazania faktów, co jest naszym prawnie uzasadnionym interesem,
- wywiązania się z obowiązków prawnych, np. obowiązku wystawienia faktury lub innego dokumentu wymaganego przepisami prawa,
- spełnienie ciążących na nas obowiązków prawnych wynikających z prawa Unii lub prawa polskiego (np. wobec Prezesa Urzędu Regulacji Energetyki lub urzędów skarbowych) – ponieważ przetwarzanie w tym przypadku jest niezbędne do wypełnienia wymogów prawnych, którym podlegamy.
W pozostałych przypadkach dane osobowe Odbiorców przetwarzane są wyłącznie na podstawie wcześniej udzielonej zgody w zakresie i celu określonym w treści zgody.
§ 3. Kategorie danych, które przetwarzamy
Aby realizować dla Państwa usługi, przetwarzamy poniższe dane:
dane niezbędne do zawarcia, realizacji, a także rozwiązania umów zawartych z SEC – m.in. nazwa, numer KRS, numer REGON, numer NIP, adres siedziby, dane dotyczące reprezentacji, dane kontaktowe, dane dotyczące nieruchomości, których dotyczy umowa,
nagrania wizerunku – dane nagrywane w siedzibie SEC związane z zabezpieczeniem mienia,
dane audio – dane związane z nagrywaniem rozmów pracowników SEC z klientami dzwoniącymi do SEC.
Szczegółowe i pełne informacje na temat przetwarzania danych osobowych przekazywane są Klientom podczas zawierania umowy lub udzielania odpowiedzi na zapytanie skierowane do Inspektorem danych osobowych.
§ 4. Odbiorcy danych
Dane osobowe mogą być przekazywane do podmiotów, którym przekazanie danych jest niezbędne do realizacji umowy – są to m.in. podmioty z naszej grupy kapitałowej, podmiotom świadczącym na rzecz sprzedawcy usługi informatyczne, usługi w zakresie dochodzenia należności z umowy oraz w zakresie wystawiania i dostarczania faktur. Odbiorcą danych osobowych Odbiorców będą również organy państwowe w zakresie wykonywanych zadań.
§ 5. Przekazywanie danych do państw trzecich lub organizacji międzynarodowych
Dane osobowe Odbiorców nie będą przekazywane do państwa trzeciego lub organizacji międzynarodowej.
§ 6. Okres przechowywania danych
(okres, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe, kryteria ustalania tego okresu)
Dane osobowe Odbiorców będą przetwarzane przez okres niezbędny do realizacji wskazanych w pkt 2 celów przetwarzania, tj.:
- w zakresie realizacji zawartej przez Odbiorców umowy, przez okres do czasu zakończenia jej obowiązywania, a po tym czasie przez okres w zakresie wymaganym przez przepisy prawa lub dla zabezpieczenia ewentualnych roszczeń, a w przypadku wyrażenia przez Odbiorców zgody na przetwarzanie danych po wygaśnięciu umowy do celów archiwalnych, do czasu wycofania tej zgody,
- w zakresie marketingu i promocji oferowanych usług, przez okres do czasu wycofania przez Odbiorców zgody na takie przetwarzanie,
- w zakresie badania satysfakcji klientów i określania, jakości naszej obsługi, przez okres obowiązywania umowy,
- w zakresie dochodzenia należności – przez okres 5 lat od zakończenia umowy,
- w zakresie sporów sądowych przez okres 10 lat od dnia wydania prawomocnego orzeczenia kończącego postępowanie.
§ 7. Prawa dotyczące danych osobowych
Odbiorcy posiadają prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu wobec przetwarzania danych osobowych Odbiorców, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania (jeżeli przetwarzanie odbywa się na podstawie zgody), którego dokonano na podstawie zgody przed jej cofnięciem. Odbiorcom przysługuje prawo wniesienia skargi do organu nadzorczego właściwego w sprawach ochrony danych osobowych, gdy Odbiorcy uznają, że przetwarzanie danych osobowych Odbiorców narusza przepisy RODO. Administrator danych zastrzega sobie prawo do odmowy usunięcia danych użytkownika, jeżeli ich zachowanie jest niezbędne w celu realizacji roszczeń lub jeżeli wymagają tego obowiązujące przepisy prawa.
§ 8. Informacja o wymogu/dobrowolności podania danych
Podanie przez Odbiorców danych ma charakter dobrowolny, jednak konsekwencją nieprzekazania wymaganych danych niezbędnych do realizacji umowy – uniemożliwi jej zawarcie oraz realizację.
§ 9. Przetwarzanie zautomatyzowane i profilowanie
Dane osobowe Odbiorców nie będą przetwarzane w sposób zautomatyzowany, w tym również w formie profilowania.
§ 10. Google reCAPTCHA
Na naszych stronach korzystamy z usługi „Google reCAPTCHA“ (dalej „reCAPTCHA“), dostarczanej przez Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irlandia (“Google”).
Funkcja reCAPTCHA umożliwia sprawdzenie, czy dane na naszych stronach (np. w formularzu kontaktowym) zostały wprowadzone przez człowieka, czy przez automat. W tym celu reCAPTCHA w oparciu o różne cechy analizuje zachowanie użytkownika strony. Analiza ta rozpoczyna się automatycznie po wejściu na stronę. W ramach analizy reCAPTCHA uwzględnia różne informacje (np. adres IP, ilość czasu spędzonego przez użytkownika na stronie lub wykonywane przez niego ruchy myszą). Dane zgromadzone w ramach analizy przesyłane są do Google.
Analiza reCAPTCHA przebiega całkowicie w tle. Użytkownik strony nie jest informowany o tym, że odbywa się taka analiza.
Przetwarzanie danych odbywa się na podstawie art. 6 ust. 1 lit. f ogólnego rozporządzenia o ochronie danych. Operator strony internetowej ma uzasadniony interes w ochronie swojej oferty internetowej przed nadużyciami wynikającymi ze zautomatyzowanego przechwytywania danych oraz przed spamem.
Więcej informacji na temat Google reCAPTCHA oraz deklarację dotyczącą ochrony danych osobowych firmy Google znajdą Państwo pod adresem: https://policies.
Regulamin polityki plików cookies na stronie SEC
- W związku z udostępnianiem zawartości serwisu internetowego www.sec.com.pl stosuje się tzw. cookies, tj. informacje zapisywane przez serwery na urządzeniu końcowym użytkownika, które serwery mogą odczytać przy każdorazowym połączeniu się z tego urządzenia końcowego, może także używać innych technologii o funkcjach podobnych lub tożsamych z cookies. W niniejszym dokumencie, informacje dotyczące cookies mają zastosowanie również do innych podobnych technologii stosowanych w ramach naszych serwisów internetowych. Pliki cookies (tzw. “ciasteczka”) stanowią dane informatyczne, w szczególności pliki tekstowe, które przechowywane są w urządzeniu końcowym użytkownika serwisu internetowego www.sec.com.pl. Cookies zazwyczaj zawierają nazwę domeny serwisu internetowego, z którego pochodzą, czas przechowywania ich na urządzeniu końcowym oraz unikalny numer.
- Pliki cookies wykorzystywane są w celu:
dostosowania zawartości stron serwisu internetowego do preferencji użytkownika oraz optymalizacji korzystania ze stron internetowych; w szczególności pliki te pozwalają rozpoznać urządzenie użytkownika serwisu internetowego i odpowiednio wyświetlić stronę internetową, dostosowaną do jego indywidualnych potrzeb, tworzenia statystyk, które pomagają zrozumieć, w jaki sposób użytkownicy serwisu korzystają ze stron internetowych, co umożliwia ulepszanie ich struktury i zawartości, utrzymania sesji użytkownika serwisu internetowego (po zalogowaniu), dzięki której użytkownik nie musi na każdej podstronie serwisu ponownie wpisywać loginu i hasła, dostarczania użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań. - W ramach serwisu internetowego www.sec.com.pl możemy stosować następujące rodzaje plików cookies:
“niezbędne” pliki cookies, umożliwiające korzystanie z usług dostępnych w ramach serwisu internetowego, np. uwierzytelniające pliki cookies wykorzystywane do usług wymagających uwierzytelniania w ramach serwisu, pliki cookies służące do zapewnienia bezpieczeństwa, np. wykorzystywane do wykrywania nadużyć w zakresie uwierzytelniania w ramach serwisu, pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych serwisu, “funkcjonalne” pliki cookies, umożliwiające “zapamiętanie” wybranych przez użytkownika ustawień i personalizację interfejsu użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi użytkownik, rozmiaru czcionki, wyglądu strony internetowej itp., “reklamowe” pliki cookies, umożliwiające dostarczanie użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań. - W wielu przypadkach oprogramowanie służące do przeglądania stron internetowych (przeglądarka internetowa) domyślnie dopuszcza przechowywanie plików cookies w urządzeniu końcowym użytkownika. Użytkownicy serwisu mogą dokonać w każdym czasie zmiany ustawień dotyczących plików cookies. Ustawienia te mogą zostać zmienione w szczególności w taki sposób, aby blokować automatyczną obsługę plików cookies w ustawieniach przeglądarki internetowej bądź informować o ich każdorazowym zamieszczeniu w urządzeniu użytkownika serwisu internetowego. Szczegółowe informacje o możliwości i sposobach obsługi plików cookies dostępne są w ustawieniach oprogramowania (przeglądarki internetowej). Niedokonanie zmiany ustawień w zakresie cookies oznacza, że będą one zamieszczone w urządzeniu końcowym użytkownika, a tym samym będziemy przechowywać informacje w urządzeniu końcowym użytkownika i uzyskiwać dostęp do tych informacji.
- Wyłączenie stosowania cookies może spowodować utrudnienia korzystanie z niektórych usług w ramach naszych serwisów internetowych, w szczególności wymagających logowania. Wyłączenie opcji przyjmowania cookies nie powoduje natomiast braku możliwości czytania lub oglądania treści zamieszczanych w serwisie internetowym www.sec.com.pl z zastrzeżeniem tych, do których dostęp wymaga logowania.
- Pliki cookies mogą być zamieszczane w urządzeniu końcowym użytkownika serwisu internetowego www.sec.com.pl, a następnie wykorzystywane przez współpracujących z serwisem reklamodawców, firmy badawcze oraz dostawców aplikacji multimedialnych.
Deklaracja stosowania niezbędnych zabezpieczeń przez Szczecińską Energetykę Cieplną
Aktywa/systemy/procesy | Zabezpieczenia | Wdrożenie |
---|---|---|
Polityka Bezpieczeństwa Informacji (PBI), Polityka Ciągłości Działania (PCD) | Polityka Bezpieczeństwa Informacji, Polityka Ciągłości Działania zostały opracowane oraz zatwierdzone, są przeglądane oraz wydawane przez osoby kompetentne. | |
Organizacja wewnętrzna | Ustanowiono strukturę zarządzania w celu zainicjowania oraz nadzorowania wdrażania i eksploatacji bezpieczeństwa informacji w organizacji (role i odpowiedzialność za bezpieczeństwo informacji, rozdzielenie obowiązków, kontakty z organami władzy, kontakty z grupami zainteresowanych specjalistów, bezpieczeństwo informacji w zarządzaniu projektami. | |
Urządzenia mobilne i telepraca | PBI w rozdziałach: Kompetencje i świadomość, zasady pracy zdalnej, Przenośne nośniki danych. | |
Organizacyjne bezpieczeństwo zasobów ludzkich | PBI w zakresie dotyczącym RODO, Dokumenty: Regulamin Pracy SEC, Zarządzanie wynikami pracy, Zasady podnoszenia kwalifikacji, Regulaminorganizacyjny przedsiębiorstwa. | |
Zarządzanie aktywami | SEC posiada zidentyfikowane aktywa – załącznik do PBI. Organizacja posiada regulacje dotyczące postępowania z nośnikami – Przenośne nośniki danych, Zasady niszczenia danych na nośnikach elektronicznych, Zasady niszczenia danych na nośnikach papierowych oraz Regulamin korzystania z urządzeń mobilnych. | |
Kontrola dostępu | W PBI posiada ustalone zasady dotyczące: Nadawania uprawnień i ewidencji osób uprawnionych, Dostępu uprzywilejowanego, Polityki haseł, Polityki kluczy. | |
Kryptografia | W PBI są zamieszczone Zasady ochrony kryptograficzne, Polityka kluczy. | |
Bezpieczeństwo fizyczne i środowiskowe | W PBI umieszczono informacje dotyczące: Obszarów bezpiecznych i obszarów podwyższonego bezpieczeństwa, Zabezpieczenia sieci, systemów, aplikacji, baz danych, maszyn i urządzeń. | |
Bezpieczna eksploatacja | PBI zawiera informacje dotyczące ww kwestii: Ewidencja sprzętu i oprogramowania, Zabezpieczenia sieci, maszyn i urządzeń, systemów operacyjnych, aplikacji, baz danych, Polityka archiwizacji, kopii zapasowych i usuwania informacji, Incydenty. Określono podatności dotyczące aktywów, opracowano instrukcje eksploatacyjne. | |
Bezpieczeństwo komunikacji | W PBI ustalono zasady Zabezpieczenia sieci, Sposób przepływu danych pomiędzy poszczególnymi systemami, Regulamin publikowania informacji w Internecie, Zasady zamieszczania treści w intranecie. | |
Pozyskiwanie, rozwój i utrzymanie systemów | PBI posiada informacje dotyczące bezpieczeństwa systemów: Zabezpieczenia systemów operacyjnych. SEC posiada umowy z dostawcami systemów. | |
Relacje z dostawcami | Organizacja ustanowiła Regulamin postępowania przy udzielaniu zamówień, Instrukcję dotyczącą prac zleconych wykonawcy zewnętrznemu. | |
Zarządzanie incydentami związanymi z bezpieczeństwem informacji | PBI zawiera Zasady postępowania z incydentami: Incydenty, oraz procedurę Niezgodności i działania korygujące. W SEC opracowano Politykę Ciągłości Działania. | |
Aspekty bezpieczeństwa informacji w zarządzaniu ciągłością działania | Polityka Ciągłości Działania, Instrukcja Zarządzania Kryzysowego. | |
Zgodność | Wymagania prawne i inne wymagania – identyfikacja, analiza ryzyka i ocena zgodności. Wymagania KSC uzupełniono o wymagania wynikające z normy ISO 27001 oraz 22301 | |
wdrożono | Niezbędne zabezpieczenia, w tym techniczne zostały wybrane przez osoby kompetentne, posiadające niezbędną wiedzę techniczną. Zabezpieczenia techniczne zostały opisane w ustalonych Politykach, procedurach oraz instrukcjach. | |
nie wdrożono |
Rekomendacje dla klientów, kontrahentów
W związku z tym, że w kontaktach z naszymi klientami i kontrahentami wykorzystujemy również elektroniczne środki komunikacji, chcemy przedstawić 10 zasad, które zwiększają poziom cyberbezpieczeństwa w Internecie:
- Na bieżąco aktualizuj swój sprzęt i oprogramowanie, stosuj oprogramowanie antywirusowe.
- Używaj haseł mocnych haseł, trudnych do odgadnięcia. Staraj się używać różnych haseł i loginów w różnych serwisach.
- Nie udostępniaj nikomu swoich danych uwierzytelniających (pinów, loginów, haseł).
- Odwiedzaj bezpieczne strony sprawdzając adresy stron www. oraz czy korzystają z protokołu https.
- Nie działaj pod wpływem emocji, nie otwieraj niezaufanych załączników maili oraz nie klikaj w podejrzane linki.
- Unikaj zewnętrznych nośników danych. Stosuj je jeżeli jesteś pewien ich bezpieczeństwa.
- Korzystaj tylko z zaufanych sieci. Unikaj darmowych hot spotów.
- Blokuj konto odchodząc od komputera, wyloguj się na zakończenie pracy.
- Przeczytaj uważnie, na co się zgadzasz. Dbaj o swoją prywatność.
- Weryfikuj nr konta do płatności faktur w sytuacji jego zmiany.
Informacje dotyczące naruszenia zasad cyberbezpieczeństwa prosimy przesyłać na adres: iod@sec.com.pl