Kluczowe polityki, kodeksy i zasady obowiązujące w Grupie

Polityka antykorupcyjna Grupy TAURON

Podstawowym dokumentem regulującym obszar przeciwdziałania korupcji w Grupie Kapitałowej TAURON jest Polityka antykorupcyjna Grupy TAURON, której celem jest określenie jednolitych zasad i standardów postępowania, które pozwolą na zidentyfikowanie, przeciwdziałanie oraz mitygowanie ryzyka wystąpienia działań korupcyjnych, a także innych nadużyć w spółkach.

Wdrożenie i przestrzeganie Polityki antykorupcyjnej ma zapewnić zgodność działalności spółek Grupy Kapitałowej TAURON z obowiązującym prawem, regulacjami wewnętrznymi i wewnątrzkorporacyjnymi, a także standardami etyki, zapewniając tym samym należytą ochronę interesów, renomy oraz wizerunku spółek oraz całej Grupy Kapitałowej TAURON, a także transparentność działań wobec podmiotów zewnętrznych.

Polityka obowiązuje wszystkich pracowników, członków zarządu i organów nadzorczych spółek, a także prokurentów i pełnomocników. Grupa TAURON wymaga również przestrzegania standardów zachowania określonych w Polityce przez podmioty zewnętrze.

Celem Polityki jest przeciwdziałanie nie tylko działaniom korupcyjnym, ale także innym nadużyciom, do których można zaliczyć np.:

  • kradzież lub przywłaszczenie mienia spółki (środków pieniężnych, materiałów, produktów, narzędzi, sprzętu) lub mienia podmiotów zewnętrznych, z którymi łączą pracownika relacje biznesowe,
  • umyślne fałszowanie dokumentów spółki lub wprowadzanie nieprawdziwych informacji i danych do ich treści,
  • prowadzenie dokumentacji spółki w sposób nierzetelny lub niezgodny z prawdą, w szczególności niszcząc, usuwając, ukrywając, przerabiając lub podrabiając dokumenty dotyczące działalności spółki,
  • umyślne podawanie informacji niezgodnych ze stanem faktycznym w sprawozdaniach finansowych,
  • wykorzystywanie zasobów spółki do prywatnych celów.

Określono następujące sposoby realizacji Polityki antykorupcyjnej przez Grupę Kapitałową TAURON:

  1. Grupa dochowuje należytej staranności, aby kontakty z podmiotami zewnętrznymi były otwarte i transparentne, tak by wykluczyć możliwość wystąpienia działań korupcyjnych i innych nadużyć.
  2. Zobowiązuje się do podejmowania właściwych (w szczególności zgodnych z przepisami prawa), adekwatnych i proporcjonalnych działań w odniesieniu do zaistniałych przypadków działań korupcyjnych i innych nadużyć. W szczególności spółka powiadamia organy ścigania o wszelkich potencjalnych naruszeniach przepisów prawa w przypadku zaistnienia uzasadnionego podejrzenia takich naruszeń.
  3. Zachęca się pracowników i podmioty zewnętrzne do przekazywania informacji w zakresie naruszeń Polityki antykorupcyjnej, a także innych nieprawidłowych zachowań.
  4. Zapewnia się podnoszenie świadomości pracowników w zakresie identyfikowania działań korupcyjnych i innych nadużyć poprzez działania informacyjne, szkolenia, inicjatywy dotyczące eliminacji zdarzeń o charakterze korupcyjnym, umożliwiające właściwe zrozumienie Polityki oraz wykorzystanie jej zasad w codziennej pracy.
  5. Współpraca z podmiotami zewnętrznymi w celu eliminowania działań korupcyjnych i innych nadużyć.

Pełnomocnik ds. Compliance oraz Koordynatorzy ds. Compliance w Grupie Kapitałowej TAURON opierają swoje działania na wytycznych przedstawionych w Standardach rekomendowanych dla systemu zarządzania zgodnością w zakresie przeciwdziałania korupcji oraz systemu ochrony sygnalistów w spółkach notowanych na rynkach organizowanych przez Giełdę Papierów Wartościowych w Warszawie S.A., przyjętych 8 października 2018 r.

W 2021 roku w Grupie TAURON prowadzono monitoring ryzyk Compliance. W ramach comiesięcznego monitoringu ryzyk, raportowane jest ryzyko nadużyć wewnętrznych, ryzyko nadużyć zewnętrznych, ryzyko zachowań nieetycznych, ryzyko braku zgodności z tytułu nieprzestrzegania przepisów prawa oraz ryzyko korupcji.

Wśród działań podjętych w ramach Polityki antykorupcyjnej Grupy TAURON kluczową rolę odgrywa badanie i wyjaśnianie działań korupcyjnych i innych nadużyć.

Każdy pracownik jest zobowiązany do zapoznania się z postanowieniami Polityki antykorupcyjnej Grupy TAURON, bezwzględnego stosowania się do jej treści oraz podpisania stosownego oświadczenia o zapoznaniu się z regulacją. Oświadczenia takie najczęściej przechowywane są w aktach osobowych pracownika.

Również nowoprzyjęci pracownicy zapoznawani są z Polityką antykorupcyjną.

W 2021 roku pracownicy działów/obszarów Compliance w Spółce Usług Górniczych oraz TAURON Wydobycie podjęli działania mające na celu poszerzenie zakresu szkoleń okresowych BHP o zagadnienia związane z Compliance oraz RODO.

Ponadto, TAURON Polska Energia zapewnia monitorowanie procedur postępowania oraz regulacji wewnętrznych i wewnątrzkorporacyjnych obowiązujących w Grupie Kapitałowej TAURON, także pod kątem doskonalenia oraz rozwijania systemu przeciwdziałania działaniom korupcyjnym i innym nadużyciom.

Korporacyjna Polityka Zakupowa Grupy TAURON

Obowiązująca od 2010 roku Korporacyjna Polityka Zakupowa Grupy Kapitałowej TAURON realizuje priorytety określone w Strategii Grupy, dotyczące zapewnienia stabilności finansowej.

Głównym celem wdrożenia Korporacyjnej Polityki Zakupowej była potrzeba utworzenia transparentnej, konkurencyjnej oraz efektywnej organizacji zakupowej, funkcjonującej w ramach całej Grupy Kapitałowej TAURON. Do tej pory  wdrożono wspólne drzewo kategorii zakupowych, wyznaczono kategorie skonsolidowane w Grupie TAURON oraz kategorie kluczowe w spółkach dla których istnieje obowiązek sporządzania strategii zakupu czy platformę zakupową.

Korporacyjna Polityka Zakupowa Grupy TAURON ma służyć realizacji celów strategicznych Obszaru Zakupów, w szczególności w zakresie:

  • poprawy efektywności procesów zakupowych poprzez wdrożenie mierników efektywności,
  • wzrostu wykorzystania narzędzi elektronicznych w zakupach, poprzez opracowanie i wdrożenie założeń do funkcjonowania i dalszego rozwoju Systemu Wsparcia Organizacji Zakupowej.

Do procedur należytej staranności w zakresie Korporacyjnej Polityki Zakupowej należy zaliczyć wszelkie działania mające na celu stałe usprawnianie procesów zakupowych, zarówno w obszarze pozyskiwania dóbr, jak i w zakresie operacyjnej obsługi zamówień. Aby móc pełniej realizować powyższy cel, wdrożone zostały Regulamin Udzielania Zamówień oraz Strategie Zakupu.

Regulamin Udzielania Zamówień

W 2015 roku wdrożono jeden wspólny regulamin zakupowy dla wszystkich spółek Grupy, wraz ze wzorcami dokumentacji przetargowych. Regulamin określa zasady planowania, przygotowywania oraz sposób procedowania i udzielania Zamówień. Dzięki temu proces zakupowy w całej Grupie Kapitałowej jest transparentny i nieskomplikowany z punktu widzenia potencjalnych wykonawców. Należy  podkreślić, że wspólna regulacja zakupowa jest sukcesywnie aktualizowana  w oparciu o zmieniające się przepisy prawa. Kolejne aktualizacje stanowią odpowiedź na zmieniające się otoczenie rynkowe. Warto również wspomnieć, że  obszar zakupów ściśle współpracuje z obszarami Compliance, audytu czy podatków w celu doskonalenia  procesu zakupowego.

Strategie Zakupu

Dzięki przygotowanym Strategiom zakupu możliwa jest budowa Bazy Wiedzy w Systemie Wsparcia Organizacji Zakupów (SWOZ) w zakresie optymalizacji zakupowych zastosowanych dla danej kategorii zakupowej.

Powyższe działania mają na celu przede wszystkim obniżenie ryzyka w obszarze łańcucha dostaw oraz uzyskanie dostępu do rozwiązań i innowacji stosowanych przez dostawców.

Zarządzanie kategoriami nierozerwalnie wiąże się z centralizacją zakupów, co pozwala między innymi
na wzmocnienie pozycji zakupowej zamawiającego, możliwość bezpośredniej komunikacji z dostawcami
na poziomie strategicznym, standaryzację procesów zakupowych w ramach całej organizacji, zunifikowanie warunków współpracy z dostawcami pomiędzy poszczególnymi spółkami oraz efektywne planowanie potrzeb.

Strategie zakupu ułatwiają również wymianę wiedzy w przypadku ewentualnej rotacji menadżerów kategorii zakupowej oraz umożliwiają długoterminowe gromadzenie wiedzy i doświadczeń miedzy nimi.

Wszystkie powyższe działania mają na celu uproszczenie i standaryzację procesu zakupowego. Zwiększenie konkurencyjności jest kluczowym zadaniem dla obszaru zakupów. Konkurencyjność jest gwarantem redukcji kosztów, obniżenia ryzyka w obszarze łańcucha dostaw oraz uzyskania dostępu do najlepszych rozwiązań na rynku. Wyższa konkurencyjność ofert, to także pozytywny wizerunek zamawiającego na rynku, jako podmiotu transparentnego i profesjonalnego.

Kodeks Postępowania dla Kontrahentów Spółek Grupy TAURON

Ważną inicjatywą wdrożoną w Grupie Kapitałowej TAURON w ramach odpowiedzialnego łańcucha dostaw jest włączenie kryteriów zrównoważonego rozwoju do standardu zarządzania procesami zakupowymi. Grupa TAURON promuje ideę odpowiedzialności społecznej wśród swoich dostawców. Oczekuje współpracy z kontrahentami, którzy przestrzegają praw człowieka i działają zgodnie z regulacjami prawnymi, zapewniają bezpieczne i godne warunki pracy oraz stosują nie tylko najwyższe standardy etyczne, ale także dbają o środowisko naturalne i klimat.

Kryteria dotyczące społecznej odpowiedzialności biznesu w stosunku do kontrahentów Grupy TAURON zostały zdefiniowane i zebrane w jeden dokument, tj. Kodeks Postępowania dla Kontrahentów Spółek Grupy TAURON. Od grudnia 2017 roku jest on obowiązkowym kryterium stosowanym w procesie kwalifikacji kontrahentów. Kodeks stanowi obowiązujący standard w Grupie Kapitałowej, promując odpowiedzialność wśród interesariuszy oraz zachęcając do wdrażania odpowiedzialnych praktyk wśród dostawców.

Celem Kodeksu Postępowania dla Kontrahentów Spółek Grupy TAURON jest określenie jednolitych standardów oraz transparentnych zasad postępowania w ramach prowadzonej przez spółki działalności biznesowej, w szczególności w zakresie relacji z kontrahentami. Kodeks obejmuje również zasady z zakresu obszaru pracownika (m.in. bezpieczeństwo i higiena prac, dyskryminacja, polityka personalna, praca przymusowa, zatrudnianie dzieci i nieletnich), środowiska naturalnego (ochrona środowiska, odpowiedzialne gospodarowanie zasobami, dbałość o klimat), kontaktów z otoczeniem (m.in. uczciwa konkurencja, zwalczenie nadużyć, bezpieczeństwo i ochrona informacji, relacje inwestorskie).

Kodeks stosowany jest w relacjach z kontrahentami spółek należących do Grupy TAURON i obowiązuje wszystkich pracowników, członków zarządu i organów nadzorczych spółek, a także prokurentów i pełnomocników.

Kodeks jest powiązany z innymi dokumentami w Grupie Kapitałowej TAURON:

  • Kodeksem Odpowiedzialnego Biznesu Grupy TAURON,
  • Polityką Poszanowania Praw Człowieka w Grupie TAURON,
  • Polityką Antykorupcyjną Grupy TAURON,
  • Procedurą oceny wiarygodności kontrahentów TAURON Polska Energia S.A.,
  • Zasadami dotyczącymi organizowania przedsięwzięć we współpracy z podmiotami zewnętrznymi w Grupie TAURON,
  • Regulaminem Udzielania Zamówień w Grupie TAURON.

Kontrahent, który bierze udział w postępowaniu organizowanym przez spółki Grupy Kapitałowej TAURON, zobligowany jest do złożenia oświadczenia potwierdzającego zapoznanie się z Kodeksem Odpowiedzialnego Biznesu Grupy TAURON i przestrzegania jego postanowień. Powyższe oświadczenie zostało zamieszczone na stronie internetowej Spółki, pod adresem: https://swoz.tauron.pl/swoz2/platform/application?MP_action=publicFilesList&folder=000f0003&MP_module=main

Polityka Compliance Grupy TAURON

Polityka Compliance Grupy TAURON określa podstawowe zasady funkcjonowania Systemu zarządzania zgodnością w Grupie TAURON, w szczególności: cel, strukturę, narzędzia, etapy oraz obszary zarządzania zgodnością.

Polityka Compliance obowiązuje wszystkich pracowników, członków zarządu i organów nadzorczych spółek,  a także prokurentów i pełnomocników Grupy TAURON.

System zarządzania zgodnością służy ograniczeniu ryzyka sankcji, strat finansowych, a także utraty reputacji, przyczyniając się jednocześnie do budowy i utrwalenia pozytywnego wizerunku Grupy TAURON. System ten został stworzony z uwzględnieniem potrzeb i specyfiki całej organizacji oraz obejmuje działalność wszystkich jednostek organizacyjnych spółek Grupy TAURON.

  • Pełnomocnik ds. Compliance,
  • Koordynatorzy ds. Compliance,
  • Komisja Etyki.
  • przyjęcia i stosowania Kodeksu Odpowiedzialnego Biznesu Grupy TAURON,
  • przyjęcia i stosowania Polityki Compliance Grupy TAURON,
  • uregulowania funkcji zarządzania zgodnością w Grupie TAURON,
  • przyjęcia i stosowania Polityki antykorupcyjnej Grupy TAURON,
  • przeprowadzania szkoleń i kampanii informacyjno-edukacyjnych z zakresu Compliance,
  • wdrożenia klauzul antykorupcyjnych do stosowania w umowach,
  • przyjęcia i stosowania Zasad przyjmowania i wręczania upominków w Grupie TAURON,
  • uregulowania i wdrożenia Systemu Zgłaszania Nadużyć w Grupie TAURON oraz prowadzenia postępowań wyjaśniających,
  • wdrożenia i stosowania Procedury Oceny Wiarygodności Kontrahentów w Grupie TAURON,
  • wdrożenia i stosowania Zasad postępowania w przypadku kontroli w spółkach Grupy TAURON,
  • wdrożenia i stosowania Procedury przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu w Grupie TAURON.

Zasady przeciwdziałania konfliktowi interesów w Grupie TAURON

Kodeks Odpowiedzialnego Biznesu Grupy TAURON stanowi: „Unikamy sytuacji, które mogłyby wywołać konflikt interesów. Konflikt interesów w przypadku pracownika Grupy TAURON ma miejsce wtedy, gdy działając w interesie własnym lub w interesie dowolnego podmiotu, pracownik ten działa jednocześnie wbrew interesom Grupy TAURON. Otwarcie komunikujemy przypadki, które stanowią lub mogą stanowić źródło konfliktu interesów, oraz podejmujemy działania mające na celu zminimalizowanie ryzyka wystąpienia konfliktu interesów”.

Z tego względu Grupa TAURON prowadzi działalność w sposób transparentny z poszanowaniem przepisów prawa, postanowień regulacji wewnętrznych i wewnątrzkorporacyjnych oraz standardów etyki, co przekłada się na działania mające na celu wyeliminowanie sytuacji mogących prowadzić do wystąpienia konfliktu interesów.

W Grupie TAURON obowiązują także Zasady przeciwdziałania konfliktowi interesów. Ich celem jest: wskazanie okoliczności, które stanowią konflikt interesów lub mogą powodować jego powstanie, określenie zasad zapobiegania, identyfikowania oraz zarządzania konfliktem interesów oraz podnoszenie poziomu świadomości wśród pracowników w zakresie identyfikowania, unikania oraz ujawniania konfliktu interesów.

Pracownicy Grupy TAURON są zobowiązani do zgłaszania możliwości wystąpienia potencjalnego lub rzeczywistego konfliktu interesów.

W celu udokumentowania okoliczności lub zdarzeń mogących skutkować lub skutkujących powstaniem konfliktu interesów w spółkach, prowadzone są rejestry konfliktu interesów.

Dodatkowo wskazać należy, że praktycznym przejawem przeciwdziałania konfliktowi interesów w Grupie TAURON jest składanie przez członków komisji przetargowych oraz biegłych, na potrzeby danego postępowania zakupowego, oświadczeń o nie pozostawianiu z wykonawcą w stosunku prawnym lub faktycznym, który mógłby budzić uzasadnione wątpliwości co do jego bezstronności.

Co więcej, zgodnie z obowiązującym w TAURON Polska Energia S.A. Regulaminem Pracy, jednym z podstawowych obowiązków pracownika jest poinformowanie swojego przełożonego o podjęciu dodatkowego zatrudnienia, działalności gospodarczej lub realizacji zleceń, których zakres może prowadzić do konfliktu interesów pomiędzy pracodawcą a pracownikiem.

Polityka ochrony danych osobowych dla podmiotów w Grupie TAURON

W Grupie Kapitałowej TAURON obowiązuje Polityka ochrony danych osobowych dla podmiotów Grupy TAURON.

Dokument określa obowiązujące w Grupie TAURON zasady bezpieczeństwa oraz poufności danych, a także reguluje kwestie dostępu do informacji o ich przetwarzaniu dla osób, których dane dotyczą. W przypadku, gdyby pomimo stosowanych środków bezpieczeństwa, doszło do naruszenia ochrony danych osobowych (np. wycieku danych lub ich utraty), Administratorzy Ochrony Danych Osobowych w Grupie TAURON, na specjalnie przygotowanych formularzach, informują, w sposób zgodny z przepisami prawa, o takim zdarzeniu osoby, których dane osobowe dotyczą.

  1. Ogólne zasady przetwarzania danych osobowych określonych w art. 5 RODO.2. Zasady zapewniające, aby dane przetwarzane były zgodnie z prawem – art. 6 – 11 RODO.3;
  2. Obowiązki Administratorów przestrzegania praw osób, których dane są przetwarzane – art. 12-23 RODO;
  3. Regulacje wypełniania ogólnych obowiązków w zakresie przetwarzania danych ciążących na Administratorze i Podmiocie przetwarzającym (m. in. wzorzec umowy powierzenia przetwarzania danych osobowych) – art. 24 – 31 RODO;
  4. Niezbędne działania bezpieczeństwa przetwarzania danych uwzględniając charakter zakres, kontekst i cele przetwarzania danych – art. 32- 36 RODO;
  5. Mechanizmy kontroli nad przetwarzaniem danych w postaci monitorowania przestrzegania przepisów i przyjętych procedur przetwarzania przez Inspektora Ochrony Danych – art. 27- 43;
  6. Wymagania w zakresie przekazywania danych do państw trzecich i instytucji międzynarodowych – art. 44 – 49 RODO.

W 2021 roku Grupa TAURON roku kontynuowała aktualizację implementacji wymogów Rozporządzenia z uwagi na konieczność:

  • zapewnienia ochrony danych osobowych niezależnie od miejsca ich przetwarzania,
  • realizacji analiz ryzyka dla oceny skutków ochrony danych osobowych,
  • obowiązkowej notyfikacji naruszeń ochrony,
  • zapewnienia domyślnej ochrony danych osobowych i ochrony prywatności w fazie projektowania (privacy by design),
  • realizacji uprawnień dla klientów i kontrahentów, których dane dotyczą (np. „prawa do bycia zapomnianym”),
  • aktualizacji treści klauzul informacyjnych i zgód w zakresie przetwarzania danych osobowych,
  • dostosowania systemów informatycznych do nowych wymagań bezpieczeństwa przetwarzania danych osobowych.

W Polityce, zgodnie z art. 24 oraz art. 32 RODO, przy wykonywaniu wyżej wymienionych obowiązków w zakresie zapewniania zgodności, zaimplementowano działania uwzględniające stan wiedzy technicznej, koszty, charakter, zakres, kontekst, cele przetwarzania, a także ryzyka, na jakie są narażone przetwarzane dane.

W Grupie Kapitałowej TAURON przestrzegane są następujące zasady:

  • Legalność przetwarzania danych osobowych: dane osobowe przetwarzane są zgodnie z powszechnie obowiązującym prawem, na podstawie ustalonej podstawy prawnej;
  • Rzetelność: dane osobowe przetwarzane są w sposób rzetelny, adekwatnie, stosownie oraz niezbędnie do celów ich przetwarzania;
  • Celowość: dane osobowe przetwarzane są w konkretnych celach;
  • Rozliczalność: Grupa TAURON skutecznie dokumentuje postępowanie z danymi osobami, tak aby rozliczyć się ze spełnienia obowiązków prawnych ich przetwarzania;
  • Minimalizacja: Grupa TAURON minimalizuje przetwarzanie danych osobowych, udostępniając je tylko w celach niezbędnych, o których wcześniej informuje;
  • Prawidłowość: Grupa TAURON z najwyższą starannością dba o prawidłowość danych, dokonując ich weryfikacji i umożliwiając ich właścicielom (podmiotom praw RODO) np. aktualizację;
  • Bezpieczeństwo: szczególny nacisk kładzie się na bezpieczeństwo przetwarzania danych osobowych w systemach IT, implementując narzędzia i procedury zwiększenia cyberbezpieczeństwa. Procedury optymalizujące bezpieczeństwo danych są wdrażane i aktualizowane, a pracownicy Grupy TAURON szkoleni w przedmiotowym zakresie.

Grupa Kapitałowa TAURON w 2021 roku podjęła dalsze intensywne działania wykazania dbałości o bezpieczeństwo przetwarzanych danych osobowych, poprzez:

  1. Zapewnienie aktualizacji regulacji wewnętrznych, w tym przygotowania zmian do Polityki, w zakresie dotyczącym zmieniającego się otoczenia.
  2. Utrzymanie aktualności inwentaryzacji sprzętu i oprogramowania służącego do przetwarzania informacji obejmującej ich rodzaj i konfigurację.
  3. Przeprowadzanie okresowych analiz ryzyka utraty integralności, dostępności lub poufności informacji oraz podejmując działania minimalizujące to ryzyko, stosownie do wyników przeprowadzonej analizy.
  4. Podejmowanie działań zapewniających, że osoby zaangażowane w proces przetwarzania informacji posiadają stosowne uprawnienia i uczestniczą w tym procesie w stopniu adekwatnym do realizowanych przez nie zadań oraz obowiązków mających na celu zapewnienie bezpieczeństwa informacji.
  5. Bezzwłoczne zmiany uprawnień, w przypadku zmiany zadań osób, o których mowa w pkt 4.
  6. Zapewnienie szkoleń osób zaangażowanych w proces przetwarzania informacji, ze szczególnym uwzględnieniem takich zagadnień, jak:
    1. zagrożenia bezpieczeństwa informacji,
    2. skutki naruszenia zasad bezpieczeństwa informacji, w tym odpowiedzialność prawna,
    3. stosowanie środków zapewniających bezpieczeństwo informacji, w tym urządzenia i oprogramowanie minimalizujące ryzyko błędów ludzkich,
  7. Zapewnienie ochrony przetwarzanych informacji przed ich kradzieżą, nieuprawnionym dostępem, uszkodzeniami lub zakłóceniami, poprzez:
    1. monitorowanie dostępu do informacji,
    2. czynności zmierzające do wykrycia nieautoryzowanych działań związanych z przetwarzaniem informacji,
    3. zapewnienie środków uniemożliwiających nieautoryzowany dostęp na poziomie systemów operacyjnych, usług sieciowych i aplikacji.
  8. Ustanowienie i przestrzeganie podstawowych zasad gwarantujących bezpieczną pracę przy przetwarzaniu mobilnym i pracy na odległość.
  9. Zabezpieczenie informacji w sposób uniemożliwiający nieuprawnionemu jej ujawnienie, modyfikacje, usunięcie lub zniszczenie.
  10. Zawieranie w umowach serwisowych podpisanych ze stronami trzecimi zapisów gwarantujących odpowiedni poziom bezpieczeństwa informacji.
  11. Wyznaczenie zasad postępowania z informacjami, zapewniających minimalizację wystąpienia ryzyka kradzieży informacji i środków przetwarzania informacji, w tym urządzeń mobilnych.
  12. Zaimplementowanie odpowiedniego poziomu bezpieczeństwa w systemach teleinformatycznych, polegającego w szczególności na:
    1. dbałości o aktualizację oprogramowania,
    2. minimalizowaniu ryzyka utraty informacji w wyniku awarii,
    3. ochronie przed błędami, utratą, nieuprawnioną modyfikacją,
    4. stosowaniu mechanizmów kryptograficznych w sposób adekwatny do zagrożeń lub wymogów przepisu prawa,
    5. zapewnieniu bezpieczeństwa plików systemowych,
    6. redukcji ryzyk wynikających z wykorzystania opublikowanych podatności technicznych systemów teleinformatycznych,
    7. niezwłocznym podejmowaniu działań po dostrzeżeniu nieujawnionych podatności systemów teleinformatycznych na możliwość naruszenia bezpieczeństwa,
    8. kontroli zgodności systemów teleinformatycznych z odpowiednimi normami i politykami bezpieczeństwa, w tym wdrożenia retencji danych.
  13. Wdrożenie systemu bezzwłocznego zgłaszania incydentów naruszenia bezpieczeństwa informacji w określony i z góry ustalony sposób, umożliwiający szybkie podjęcie działań korygujących.
  14. Audyt wewnętrzny w zakresie bezpieczeństwa informacji, w tym szczególnie audyt systemów IT, w których dochodzi do przetwarzania danych osobowych.

W 2021 nie odnotowano uzasadnionej skargi dotyczącej naruszenia prywatności klienta otrzymanej od organów regulacyjnych, natomiast liczba uzasadnionych skarg dotyczących naruszenia prywatności podmiotu danych RODO otrzymanych od podmiotów zewnętrznych  i uznanych przez spółki Grupy TAURON uległa obniżeniu z 341 skarg w 2020 roku do 2 skarg w 2021. Powyższe jest wynikiem podjętych działań naprawczych oraz optymalizujących poufność i integralność danych osobowych przetwarzanych przez administratorów, jak również zwiększenia jakości i  skrócenia czasu udzielania odpowiedzi na żądania podmiotów RODO (osób, których dane przetwarzano).

Wzrost łącznej liczby stwierdzonych wycieków, kradzieży lub przypadków utraty danych klienta do poziomu 674 przypadków w 2021 roku (dynamika w stosunku do roku poprzedniego na poziomie ponad 1000%) wynika z wycieku danych u Procesorów TAURON Sprzedaż Sp. z o.o.(kontrahent przetwarzający dane osobowe klientów w imieniu administratora) w wyniku niezabezpieczenia serwera.

W celu zapewnienia bezpieczeństwa danych objętych wyciekiem, bezpośrednio po zdarzeniu, w Grupie TAURON wdrożono stały monitoring oraz działania naprawcze polegające przede wszystkim na:

  • przekazywaniu osobom, których dotyczyła możliwość nieuprawnionego dostępu do danych, informacji o incydencie oraz jego możliwych konsekwencjach,
  • zapewnieniu klientom narażonym na ryzyko nieuprawnionego dostępu do danych osobowych możliwości bezpłatnego korzystania z usługi „Alert BIK”,
  • utworzeniu dedykowanej zdarzeniu skrzynki e-mail: odo@tauron.pl, za pośrednictwem której klienci mogli zgłaszać wszelkie zagadnienia związane ze sprawą,
  • prowadzeniu na stronie internetowej tauron.pl akcji informacyjnej, w ramach której udostępniono klientom sekcję kluczowych informacji dotyczących możliwego naruszenia bezpieczeństwa danych osobowych odnoszących się do przedmiotowego incydentu.

Ponadto, w trakcie dwóch kolejnych weekendów po incydencie, funkcjonowała dedykowana infolinia obsługowa Grupy TAURON odpowiadająca na pytania klientów, których dane mogły być przedmiotem naruszenia.

Poniższa tabela przedstawia istotne skargi dotyczące naruszenia prywatności klientów i utraty danych klienckich w Grupie TAURON w 2021 roku.

Tabela nr 10. GRI 418-1. Istotne skargi dotyczące naruszenia prywatności klientów i utraty danych klienckich w Grupie Kapitałowej TAURON w 2021 roku

Istotne dane dotyczące prywatności klientów w 2021 roku
Łączna liczba stwierdzonych wycieków, kradzieży lub przypadków utraty danych klienta 674
Liczba uzasadnionych skarg dotyczących naruszenia prywatności klienta otrzymanych od podmiotów zewnętrznych i uznanych przez organizację 2
Liczba uzasadnionych skarg dotyczących naruszenia prywatności klienta otrzymanych od organów regulacyjnych 0
Łączna liczba uzasadnionych skarg dotyczących naruszenia prywatności klienta 2

Centrum powstawania istotnych skarg naruszeń prywatności klientów i utraty danych klienckich (wycieku danych) w 2021 roku są spółki: TAURON Sprzedaż, TAURON Sprzedaż GZE

Polityka Systemu Zarządzania Bezpieczeństwem w Grupie TAURON

Polityka Systemu Zarządzania Bezpieczeństwem w Grupie TAURON została wdrożona w lipcu 2018 roku i obowiązuje we wszystkich spółkach Grupy TAURON. Obecnie trwa proces aktualizacji jej postanowień, którego zakończenie jest przewidywane na 1 Q 2022 roku.

Polityka Bezpieczeństwa oraz powiązane z nią regulacje szczegółowe tworzą w  ramach Grupy TAURON jednolity, spójny i kompleksowy System Zarządzania Bezpieczeństwem, który:

  • zapewnia optymalny, adekwatny do występujących zagrożeń poziom Bezpieczeństwa,
  • uwzględnia identyfikowane ryzyka,
  • zapewnia ustrukturyzowaną reakcję na zagrożenia minimalizujące skutki lub eliminujące ryzyko ich wystąpienia,
  • zapewnia, że podejmowane działania mają charakter systemowy, ukierunkowany na dążenie do osiągniecia planowanych celów bezpieczeństwa.

Polityka Bezpieczeństwa określa podejście Grupy TAURON do zapewnienia bezpieczeństwa w ramach prowadzonej działalności biznesowej oraz opisuje działanie w ramach Systemu Zarządzania Bezpieczeństwem, który będzie utrzymywany przez Grupę TAURON.

Polityka określa standardy, zasady postępowania oraz struktury organizacyjne w zakresie bezpieczeństwa w ramach Grupy TAURON, z przypisaniem kompetencji i odpowiedzialności.

Zarządzanie bezpieczeństwem w ramach wdrożonego Systemu Zarządzania Bezpieczeństwem podzielono na merytoryczne obszary i są to m.in.:

  1. Zarządzanie Systemem Zarządzania Bezpieczeństwem,
  2. Zarządzanie bezpieczeństwem informacji,
  3. Zarządzanie bezpieczeństwem systemów IT/OT,
  4. Zarządzanie bezpieczeństwem fizycznym,
  5. Zarządzanie bezpieczeństwem osobowym,
  6. Zarządzanie incydentami bezpieczeństwa.

W ramach każdego obszaru utworzone są szczegółowe regulacje wewnętrzne i wewnątrzkorporacyjne.

System Zarządzania Bezpieczeństwem oparto o międzynarodowe standardy w zakresie zarządzania bezpieczeństwem informacji takie jak norma ISO 27001 oraz standardy NIST.

W ramach Systemu Zarządzania Bezpieczeństwem powołano szereg regulacji wewnątrzkorporacyjnych szczegółowo regulujących określone aspekty bezpieczeństwa w danym obszarze działania:

  1. Polityka Systemu Zarządzania Bezpieczeństwem w Grupie TAURON – dokument generalny,
  2. Polityka Klasyfikacji i Postępowania z Informacją w Grupie TAURON,
  3. Polityka Bezpieczeństwa Fizycznego w Grupie TAURON, wraz z ze zbiorem wymagań szczegółowych dla Bezpieczeństwa fizycznego,
  4. Zasady Zarządzania Systemami IT w Grupie TAURON,
  5. Obszerny zbiór standardów bezpieczeństwa dla obszaru IT/OT,
  6. Zasady Zarządzania Incydentami w Grupie TAURON.

Na potrzeby doprecyzowania aspektów zarządzania bezpieczeństwem spółki mogą tworzyć wewnętrzne regulacje, stosując zasadę, że regulacje te nie mogą obniżać poziomu bezpieczeństwa usankcjonowanego regulacjami wewnątrzkorporacyjnymi.

W ramach Systemu Zarządzania Bezpieczeństwem funkcjonuje zbiór procesów odpowiedzialnych za różne aspekty zarządzania bezpieczeństwem, które realizowane są odpowiednio w całej Grupie TAURON.

Z uwagi na to, że bezpieczeństwo Grupy TAURON to w dużej mierze postawy i zachowania pracowników i współpracowników, prowadzi się szereg działań edukacyjnych, mających na celu podnoszenie świadomości i kompetencji w zakresie szeroko rozumianego bezpieczeństwa:

  1. Szkolenia e-learningowe obowiązkowe dla wszystkich pracowników,
  2. Obowiązkowe szkolenia wstępne z podstawowych aspektów bezpieczeństwa dla nowozatrudnionych,
  3. Szkolenia merytoryczne, dla pracowników odpowiedzialnych za różne aspekty bezpieczeństwa (bezpieczeństwo informacji, bezpieczeństwo IT/OT, audyty bezpieczeństwa),
  4. Ponadto zasady obowiązujące w Polityce są przypominane poprzez akcje informacyjne oraz treści dostępne na stronie intranetowej Grupy,
  5. Alerty i informacje bezpieczeństwa, jako reakcje na bieżące i pojawiające się zagrożenia dla Grupy TAURON.

Grupa TAURON podejmuje szereg działań w zakresie zapewnienia bezpieczeństwa infrastruktury Grupy TAURON, m.in. poprzez:

  1. Utrzymywanie rozbudowanej infrastruktury monitorowania bezpieczeństwa, bezpieczeństwa fizycznego oraz IT/OT,
  2. Stosowanie zabezpieczeń technicznych i organizacyjnych (bezpieczeństwo fizyczne, bezpieczeństwo teleinformatyczne),
  3. Utrzymywanie struktur odpowiedzialnych za wykrywanie i szybką reakcję na incydenty bezpieczeństwa (własny CSIRT, SOC, SMA),
  4. Współpracę z organami i służbami państwa w zakresie identyfikowania, neutralizowania zagrożeń i ataków na systemy i infrastrukturę Grupy TAURON,
  5. Przeprowadzanie audytów i testów bezpieczeństwa,
  6. Stosowanie pryncypiów security by design oraz security by default w projektowaniu, zamawianiu, utrzymywaniu systemów, infrastruktury mających wpływ na bezpieczeństwo,
  7. Partycypowanie w strukturach Krajowego Systemu Cyberbezpieczeństwa,
  8. Budowanie planów ciągłości działania w oparciu o wewnątrzkorporacyjne regulacje dotyczące zarządzania ciągłością działania,
  9. Współpracę z podmiotami sektora eletro-energetycznego w zakresie wymiany informacji o zagrożeniach, reakcji na incydenty, opiniowania i uzgadniania wspólnych standardów bezpieczeństwa.

Grupa TAURON podejmuje szereg działań w zakresie zapewnienia bezpieczeństwa i podniesienia świadomości klientów Grupy TAURON, m.in. poprzez:

  1. Przekazywanie informacji do klientów o zagrożeniach bezpośrednio ich dotyczących, np.: wyłudzenia, phishing, podszywanie się pod Grupę TAURON, fałszywe SMS-y, itd.,
  2. Utrzymywanie i aktualizację informacji o zagrożeniach bezpośrednio dotyczących klientów na witrynie Grupy TAURON.
Ryzyka związane z ESG
Ryzyka związane ze zrównoważonym rozwojem Grupy TAURON klasyfikowane są zgodnie z Modelem ryzyk opisanym w punkcie G 4.4.6. Na tej podstawie wydzielono następujące kategorie ryzyk:
Ochrona klimatu w strategii i modelu biznesowym
Mając świadomość postępujących zmian klimatu i ich skutków, jak również ważnej roli i zadań sektora elektroenergetycznego w szeroko rozumianym przechodzeniu na gospodarkę niskoemisyjną, Grupa TAURON podejmuje działania dążące do zmniejszenia negatywnego oddziaływania na klimat i środowisko oraz możliwie dużego wykorzystania szans z tym związanych.

Wyniki wyszukiwania