Polityka prywatności Mazowieckiego Przedsiębiorstwa Energetycznego

1. Postanowienia ogólne

Niniejsza Polityka prywatności określa zasady przetwarzania i ochrony danych osobowych przez Mazowieckie Przedsiębiorstwo Energetyczne (dalej: „Spółka”, „Administrator”) z siedzibą w Rzeczypospolitej Polskiej, działające w sektorze energetycznym. Polityka ma zastosowanie do wszystkich osób, których dane przetwarza Spółka, w szczególności klientów, potencjalnych klientów, użytkowników serwisów internetowych, kontrahentów oraz ich przedstawicieli.

Administrator przetwarza dane osobowe zgodnie z obowiązującymi przepisami prawa, w szczególności z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. (RODO), ustawą o ochronie danych osobowych oraz ustawami sektorowymi z obszaru energetyki obowiązującymi na terytorium Polski.

2. Dane Administratora

Administratorem danych osobowych jest Mazowieckie Przedsiębiorstwo Energetyczne.

We wszystkich sprawach związanych z ochroną danych osobowych można skontaktować się z Administratorem:

• listownie: na adres siedziby Spółki (z dopiskiem „Ochrona danych osobowych”),
• drogą elektroniczną: na adres e-mail wskazany w informacjach kontaktowych Spółki,
• telefonicznie: pod numerem wskazanym na oficjalnej stronie internetowej Spółki.

Jeżeli Spółka wyznaczy Inspektora Ochrony Danych, jego dane kontaktowe zostaną podane na stronie internetowej Spółki oraz w innych materiałach informacyjnych.

3. Zakres przetwarzanych danych osobowych

Zakres przetwarzanych danych może obejmować w szczególności:

• dane identyfikacyjne: imię, nazwisko, PESEL lub inny numer identyfikacyjny, seria i numer dokumentu tożsamości (tam, gdzie wymagają tego przepisy prawa), NIP/REGON (w przypadku klientów biznesowych),
• dane kontaktowe: adres korespondencyjny, adres punktu poboru energii, adres e-mail, numery telefonów,
• dane dotyczące umów: numer i szczegóły umowy, informacje o rodzaju świadczonych usług energetycznych, dane dotyczące sposobu rozliczeń, salda, należności,
• dane dotyczące zużycia energii: odczyty liczników, dane pomiarowe, profil zużycia,
• dane dotyczące płatności: numer rachunku bankowego, informacje o dokonanych wpłatach, formie płatności,
• dane związane z obsługą reklamacji, zapytań i wniosków: treść korespondencji, nagrania rozmów (jeśli rozmowy są nagrywane – z odpowiednią informacją),
• dane techniczne i eksploatacyjne związane z korzystaniem z serwisu internetowego: adres IP, identyfikatory plików cookie, dane o urządzeniu i przeglądarce, logi systemowe.

Podanie danych może być dobrowolne, ale w niektórych przypadkach jest konieczne do zawarcia i realizacji umowy, spełnienia obowiązków ustawowych lub skorzystania z określonych funkcjonalności.

4. Cele i podstawy prawne przetwarzania danych

Administrator przetwarza dane osobowe w następujących celach i na następujących podstawach prawnych:

1) Zawarcie i wykonanie umowy o świadczenie usług energetycznych oraz powiązanych umów (art. 6 ust. 1 lit. b RODO):

• przygotowanie oferty,
• zawarcie, realizacja i rozliczenie umowy,
• obsługa zgłoszeń i wniosków, w tym przyłączeniowych,
• obsługa serwisowa i techniczna.

2) Wypełnienie obowiązków prawnych ciążących na Administratorze (art. 6 ust. 1 lit. c RODO):

• obowiązki wynikające z przepisów prawa energetycznego oraz przepisów wykonawczych,
• obowiązki podatkowe i księgowe (np. wystawianie i przechowywanie faktur, prowadzenie dokumentacji księgowej),
• przechowywanie dokumentacji wymaganej przez prawo powszechnie obowiązujące.

3) Realizacja prawnie uzasadnionych interesów Administratora (art. 6 ust. 1 lit. f RODO):

• dochodzenie lub obrona przed roszczeniami,
• zapewnienie bezpieczeństwa infrastruktury technicznej, sieci energetycznej i systemów teleinformatycznych,
• monitorowanie i analiza zużycia energii w celu optymalizacji działania systemu,
• prowadzenie wewnętrznych statystyk, analiz i raportowania,
• zapewnienie bezpieczeństwa osób i mienia (np. monitoring wizyjny – jeśli jest stosowany, z odpowiednim oznaczeniem),
• działania marketingu bezpośredniego do klientów w granicach dopuszczonych prawem.

4) Przetwarzanie danych na podstawie zgody osoby, której dane dotyczą (art. 6 ust. 1 lit. a RODO):

• marketing bezpośredni z wykorzystaniem środków komunikacji elektronicznej (e-mail, SMS, telefon) oraz profilowanie marketingowe,
• przekazywanie informacji handlowych,
• inne cele wskazane w treści udzielonej zgody.

Zgoda może zostać w każdej chwili cofnięta, co nie wpływa na zgodność z prawem przetwarzania dokonanego przed jej cofnięciem.

5. Odbiorcy danych osobowych

Dane osobowe mogą być przekazywane następującym kategoriom odbiorców:

• podmiotom upoważnionym do otrzymywania danych na mocy przepisów prawa (m.in. organy administracji publicznej, organy regulacyjne, organy ścigania, sądy),
• operatorom systemów i sieci energetycznych, innym przedsiębiorstwom energetycznym, gdy wymagają tego przepisy prawa energetycznego lub jest to niezbędne do realizacji umowy,
• podmiotom świadczącym na rzecz Administratora usługi pomocnicze, w szczególności: informatyczne, telekomunikacyjne, billingowe, serwisowe, doradcze, prawne, księgowe, windykacyjne, kurierskie oraz pocztowe,
• podmiotom upoważnionym na podstawie stosownych umów powierzenia przetwarzania danych, zobowiązanym do zachowania poufności i wdrożenia odpowiednich środków bezpieczeństwa,
• bankom i instytucjom płatniczym – w zakresie niezbędnym do realizacji płatności,
• innym podmiotom współpracującym ze Spółką, jeśli osoba, której dane dotyczą, wyraziła na to stosowną zgodę lub jeśli istnieje inna zgodna z prawem podstawa.

Dane co do zasady nie są przekazywane do państw trzecich (poza Europejski Obszar Gospodarczy) ani organizacjom międzynarodowym, chyba że będzie to wymagane przepisami prawa lub niezbędne do realizacji określonej usługi. W takim przypadku Administrator zastosuje odpowiednie zabezpieczenia, przewidziane przez RODO.

6. Okres przechowywania danych

Dane osobowe są przechowywane przez okres niezbędny do realizacji celów, dla których zostały zebrane, w tym:

• przez czas trwania umowy oraz po jej zakończeniu – przez okres wymagany przepisami prawa oraz przez czas niezbędny do dochodzenia lub obrony przed roszczeniami (z uwzględnieniem terminów przedawnienia roszczeń),
• przez okres wymagany przepisami prawa podatkowego i rachunkowego (co do zasady do 5 lat licząc od końca roku kalendarzowego, w którym powstał obowiązek podatkowy),
• w przypadku danych przetwarzanych na podstawie zgody – do czasu jej cofnięcia lub osiągnięcia celu, dla którego została udzielona,
• w przypadku monitoringu wizyjnego – przez okres wynikający z wewnętrznych regulacji Spółki, nie dłuższy niż jest to niezbędne do realizacji celu monitoringu, chyba że przepisy prawa stanowią inaczej.

Po upływie odpowiednich okresów dane są usuwane lub poddawane anonimizacji.

7. Prawa osób, których dane dotyczą

Osobom, których dane dotyczą, przysługują następujące prawa, wykonywane w granicach określonych przepisami RODO i innymi przepisami prawa:

• prawo dostępu do danych – uzyskania informacji, czy Administrator przetwarza dane oraz otrzymania ich kopii,
• prawo sprostowania (poprawiania) danych – jeśli dane są nieprawidłowe lub niekompletne,
• prawo usunięcia danych („prawo do bycia zapomnianym”) – w przypadkach określonych w art. 17 RODO,
• prawo ograniczenia przetwarzania – np. gdy kwestionowana jest prawidłowość danych lub podstawa prawna ich przetwarzania,
• prawo przenoszenia danych – w zakresie przewidzianym przez art. 20 RODO, tj. gdy dane są przetwarzane na podstawie zgody lub umowy w sposób zautomatyzowany,
• prawo sprzeciwu wobec przetwarzania – w szczególności wobec przetwarzania opartego na prawnie uzasadnionym interesie Administratora, w tym wobec marketingu bezpośredniego,
• prawo cofnięcia zgody – w dowolnym momencie, jeśli przetwarzanie odbywa się na podstawie zgody,
• prawo wniesienia skargi do organu nadzorczego – Prezesa Urzędu Ochrony Danych Osobowych (UODO), jeśli osoba uzna, że przetwarzanie jej danych narusza przepisy RODO lub inne przepisy o ochronie danych osobowych.

Skorzystanie z praw następuje poprzez kontakt z Administratorem w sposób wskazany w niniejszej Polityce. Administrator może zweryfikować tożsamość osoby wnoszącej żądanie.

8. Pliki cookies i technologie śledzące

Serwisy internetowe prowadzone przez Mazowieckie Przedsiębiorstwo Energetyczne mogą wykorzystywać pliki cookies oraz inne podobne technologie (np. lokalne przechowywanie, piksele śledzące) w celu:

• zapewnienia prawidłowego funkcjonowania serwisów (cookies niezbędne),
• dostosowania zawartości stron do preferencji użytkownika i optymalizacji korzystania z serwisów,
• tworzenia statystyk i analiz, które pomagają zrozumieć, w jaki sposób użytkownicy korzystają ze stron,
• prowadzenia działań marketingowych – w przypadku wyrażenia odpowiedniej zgody.

Użytkownik może zarządzać ustawieniami cookies poprzez odpowiednią konfigurację przeglądarki internetowej lub narzędzia udostępnione w serwisie (np. baner cookies). Ograniczenie stosowania plików cookies może wpłynąć na niektóre funkcjonalności serwisu.

9. Zabezpieczenia danych osobowych

Administrator stosuje odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający ryzyku naruszenia praw lub wolności osób fizycznych, w szczególności:

• środki kontroli dostępu do systemów przetwarzających dane,
• szyfrowanie transmisji danych (np. z wykorzystaniem protokołu SSL/TLS),
• regularną aktualizację oprogramowania i systemów teleinformatycznych,
• procedury zarządzania incydentami bezpieczeństwa,
• szkolenia personelu z zakresu ochrony danych osobowych i bezpieczeństwa informacji,
• wewnętrzne polityki i instrukcje regulujące przetwarzanie danych.

10. Zautomatyzowane podejmowanie decyzji i profilowanie

Administrator może wykorzystywać narzędzia analityczne i systemy wspomagające podejmowanie decyzji, jednak co do zasady nie podejmuje wobec osób fizycznych decyzji wywołujących skutki prawne wyłącznie w oparciu o zautomatyzowane przetwarzanie, w tym profilowanie, bez udziału człowieka.

Jeśli w szczególnych przypadkach doszłoby do zautomatyzowanego podejmowania decyzji lub profilowania, osoba, której dane dotyczą, zostanie o tym wyraźnie poinformowana, wraz z podaniem podstawy prawnej, zasad podejmowania decyzji oraz znaczenia i przewidywanych konsekwencji takiego przetwarzania, a także przysługujących jej praw.

11. Ochrona danych w sektorze energetycznym

Z uwagi na specyfikę działalności w sektorze energetycznym Administrator może przetwarzać dane dotyczące zużycia energii elektrycznej, cieplnej lub innych mediów energetycznych, w tym dane pozyskiwane z liczników zdalnego odczytu (tzw. liczników inteligentnych). Dane te są przetwarzane w szczególności w celu:

• prawidłowego rozliczania zużycia energii,
• planowania i zapewnienia stabilności dostaw,
• monitorowania i utrzymania bezpieczeństwa sieci energetycznych,
• realizacji obowiązków sprawozdawczych wobec organów regulacyjnych.

Przetwarzanie danych w tym zakresie odbywa się wyłącznie w granicach określonych przepisami prawa oraz z zachowaniem odpowiednich zabezpieczeń.

12. Zmiany Polityki prywatności

Administrator zastrzega sobie prawo do wprowadzania zmian w niniejszej Polityce prywatności w przypadku zmiany przepisów prawa, wytycznych organów nadzorczych lub zmian w stosowanych procesach i technologiach przetwarzania danych.

Zaktualizowana wersja Polityki będzie publikowana na stronie internetowej Spółki, z oznaczeniem daty wejścia w życie. W przypadku istotnych zmian osoby, których dane dotyczą, mogą zostać poinformowane w odpowiedni sposób (np. poprzez komunikat na stronie internetowej, w korespondencji lub na fakturach).

13. Kontakt

W sprawach związanych z przetwarzaniem danych osobowych oraz korzystaniem z praw opisanych w niniejszej Polityce można kontaktować się z Mazowieckim Przedsiębiorstwem Energetycznym w sposób wskazany w sekcji „Dane Administratora” lub w innych informacjach kontaktowych publikowanych przez Spółkę.