Operator Informacji Rynku Energii (OIRE) przykłada dużą wagę do bezpieczeństwa danych osobowych, które są przetwarzane w Centralnym Systemie Informacji Rynku Energii. Celem jest zapewnienie, że dane te są chronione przed nieuprawnionym dostępem, nadużyciami czy przekazywaniem ich niezgodnie z prawem.

W praktyce oznacza to, że:

1.        Dostęp do danych mają tylko upoważnione osoby – każda osoba, która przetwarza dane osobowe w systemie, musi posiadać formalne upoważnienie, nadane w formie pisemnej lub elektronicznej.

Dane odbiorcy końcowego energii elektrycznej, w tym dane pomiarowe, będą udostępnione zgodnie z ustawą Prawo energetyczne m.in.:
- samemu odbiorcy,
- operatom systemu dystrybucyjnego  – w zakresie niezbędnym do realizacji ich praw oraz obowiązków,
- sprzedawcy – w zakresie niezbędnym do dokonywania rozliczeń za energię elektryczną,
- podmiotowi upoważnionemu przez odbiorcę – w zakresie upoważnienia.

2.        Poufność danych jest obowiązkowa – osoby upoważnione do przetwarzania danych są zobowiązane do zachowania ich w tajemnicy, co dodatkowo zwiększa poziom ochrony.

Ponadto, OIRE wdraża odpowiednie środki techniczne i organizacyjne, zgodne z rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. („RODO”). Obejmuje to m.in.:

• Ograniczenie dostępu – tylko niezbędna liczba osób ma prawo dostępu do danych w systemie CSIRE.
• Procedury bezpieczeństwa – opracowane są szczegółowe zasady dotyczące ochrony danych, które regulują sposób ich zabezpieczania i przetwarzania. 

W PSE obowiązują  procedury ochrony danych osobowych, które są elementem Systemu Zarządzania Bezpieczeństwem Informacji. PSE posiadają inspektora ochrony danych i sekcję ochrony danych osobowych. Przy projektowaniu CSIRE uwzględnione zostały wymogi wynikające z RODO, w szczególności w zakresie uwzględnienia prywatności w fazie projektowania i domyślnej ochrony danych,  zapewnienia bezpieczeństwa przetwarzania danych osobowych w oparciu międzynarodowe standardy ISO/IEC 29134:2017, a także zapewnienia realizacji praw osób, których dane będą przetwarzane w CSIRE (np. prawo dostępu do danych, prawo do kopii danych).

Zgodnie z ustawą Prawo energetyczne, dane pomiarowe odbiorcy będą przechowywane przez 7 lat od dnia ich zarejestrowania w CSIRE. Po tym czasie OIRE dokona anonimizacji danych, co oznacza, że nie będzie możliwe przypisanie ich do konkretnego odbiorcy. Dane będą mogły być dalej przechowywane w postaci danych zagregowanych (zbiorczych).

Biorąc pod uwagę powyższe środki, przetwarzanie danych osobowych w CSIRE będzie realizowane w sposób bezpieczny oraz z zapewnieniem ochrony praw osób, których dane będą przetwarzane w tym systemie.