POLITYKA OCHRONY DANYCH OSOBOWYCH W BIURZE RACHUNKOWYM MOJE PODATKI

wprowadzona w 2018 r.

 

 

 

Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).

 

 

§ 1

1.      Ochrona danych osobowych w Biurze Rachunkowym Moje Podatki realizowana jest poprzez:

·        zabezpieczenia fizyczne,

·        procedury organizacyjne,

·        oprogramowanie systemowe,

·        aplikacje oraz

·        użytkowników;

·        ………

 

2.      Dane osobowe są:

a)      przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;

b)      zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami;

c)       adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
d) prawidłowe i w razie potrzeby uaktualniane;

d)      przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.

3.      Przetwarzanie danych osobowych Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w nazwa podmiotu rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.

4.      Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić:

a)      poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;

b)      integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;

c)       rozliczalność danych - rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;

d)      integralność systemu - rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej, jak i przypadkowej;

e)      dostępność informacji - rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;

f)       zarządzanie ryzykiem - rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.

5.      Biuro Rachunkowe Moje Podatki]dokumentuje podstawy prawne przetwarzania danych wskazując ogólną podstawę prawną (zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie publiczne/władza publiczna, uzasadniony cel. Biuro Rachunkowe Moje Podatki dookreśla podstawę w czytelny sposób, gdy jest to potrzebne. Np. dla zgody wskazując na jej zakres, gdy podstawą jest prawo – wskazując na konkretny przepis i inne dokumenty, np. umowę, porozumienie administracyjne, żywotne interesy – wskazując na kategorie zdarzeń, w których się zmaterializują, uzasadniony cel – wskazując na konkretny cel, np. marketing własny, dochodzenie roszczeń.

6.      […] wdraża metody zarządzania zgodami umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu, zgody na komunikację na odległość (email, telefon, sms, in.) oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności (sprzeciw, ograniczenie itp.).

7.      Na żądanie administratora Biuro Rachunkowe Moje Podatki wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, przetwarzane dane tego podmiotu, który dostarczył je Biuru Rachunkowemu Moje Podatki, przetwarzane na podstawie zawartej z nim umowy.

 

§ 2

1.      Osobą, która odpowiada za prawidłowe przetwarzanie danych osobowych jest Włodzimierz Bożym

2.      Polityka jest przechowywana w formie papierowej/elektronicznej i dostępna dla każdej osoby zainteresowanej.

3.      Biuro Rachunkowe Moje Podatki zapewnia przestrzeganie niniejszej polityki w relacjach z kontrahentami, pracownikami oraz innymi podmiotami, które mają dostęp do danych przetwarzanych w naszym Biurze

4.      W zakresie dostępu do danych osobowych, Biuro Rachunkowe Moje Podatki zapewnia profilowanie dostępu, upoważnienia pracowników i innych podmiotów do przetwarzania danych oraz ograniczenia w dostępie do danych i ich przetwarzania.

 

§ 3

1.      Biuro Rachunkowe Moje Podatki przetwarza następujące zbiory danych osobowych:

a)     Imię, nazwisko, adres, nr Pesel, nr Nip, adresy i telefony

8.      Dane przetwarzane są:

a)     W lokalu Biura - ul. Prymasa Tysiąclecia 18, 05-270 Nadma

b)     Za pomocą licencjonowanych systemów informatycznych

c)      Przez pracownikówi licencjonowane osoby współpracujące

9.      Biuro Rachunkowe Moje Podatki nie podejmuje przetwarzania danych osobowych, które mogłyby wiązać się z istotnym ryzykiem naruszenia praw i wolności osób, których dane osobowe dotyczą.

§ 4

1.      Biuro Rachunkowe Moje Podatki zapewnia środki techniczne i organizacyjne niezbędne dla zapewnienia zgodności z prawem przetwarzanych danych osobowych.

2.      Zabezpieczenia organizacyjne

a)      sporządzono i wdrożono Politykę Ochrony Danych;

b)      do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez Administratora danych bądź osobę przez niego upoważnioną;

c)       stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych;

d)      osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;

e)      osoby zatrudnione przy przetwarzaniu danych osobowych obowiązane zostały do zachowania ich w tajemnicy;

f)       przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;

g)      przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;

h)      dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonując takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści, aby po dokonaniu usunięcia danych niemożliwa była identyfikacja osób.

3.      Zabezpieczenia techniczne

a)      wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą (np. rozwiązania zapewniające bezpieczeństwo np. FireWall itp.)

b)      stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową,

c)       komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła,

4.      Środki ochrony fizycznej:

a)      obszar, na którym przetwarzane są dane osobowe, poza godzinami pracy, chroniony jest alarmem,

b)      obszar, na którym przetwarzane są dane osobowe objęty jest całodobowym monitoringiem,

c)       urządzenia służące do przetwarzania danych osobowych umieszcza się w zamykanych pomieszczeniach.

§ 5

1.      Biuro Rachunkowe Moje Podatki  prowadzi Rejestr Czynności Przetwarzania Danych Osobowych. Za pośrednictwem Rejestru dokumentowane są czynności przetwarzania danych osobowych oraz inwentaryzuje i monitoruje sposób, w jaki wykorzystuje te dane.

2.      Biuro Rachunkowe Moje Podatki  prowadzi Rejestr Kategorii Czynności Przetwarzania, jeżeli przetwarza dane osobowe jej powierzone.

3.      Rejestr obejmuje:

Oznaczenie zbioru danych osobowych, kategorie czynność, kategorie osób, czynności przetwarzania i wzajemne powiązania.

 

§ 6

1.      Na żądanie właściciela danych oraz w przypadkach określonych przepisami prawa są one usuwane.

2.      Dane są usuwane w przypadku wniesienia sprzeciwu przez właściciela tych danych.

3.      W przypadku przetwarzania danych żądanie usunięcia jest przekazywane niezwłocznie do administratora danych.

4.      Za naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych uważa się w szczególności:

a)     Naruszenie bezpieczeństwa systemów informatycznych, w których przetwarzane są dane osobowe;

b)     udostępnienie danych osobowych osobom nieupoważnionym;

c)      przetwarzanie danych osobowych niezgodnie z założonym zakresem i celem ich przetwarzania;

d)     nieuprawnione lub przypadkowe uszkodzenie, utratę, zniszczenie lub zmianę danych osobowych.

5.      W przypadku stwierdzenia naruszenia ochrony danych osobowych Biuro Rachunkowe Moje Podatki dokonuje oceny, czy zaistniałe naruszenie mogło powodować ryzyko naruszenia praw lub wolności osób fizycznych oraz szacuje skalę ryzyka.

6.      W przypadku naruszenia ochrony danych osobowych, Biuro Rachunkowe Moje Podatki bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu, chyba że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia praw lub wolności osób fizycznych. Informacje przekazywane obejmują:

a)     charakter naruszenia ochrony danych osobowych, w tym wskazanie kategorii i przybliżonej liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów danych osobowych, których dotyczy naruszenie;

b)     oznaczenie osoby kontraktowej w Biuro Rachunkowym Moje Podatki od którego można uzyskać więcej informacji;

c)      opis możliwych konsekwencji naruszenia ochrony danych osobowych;

d)     określenie środków zastosowanych lub proponowane przez administratora w celu zaradzenia naruszeniu ochrony danych osobowych.

7.      Jeżeli naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.

8.      Niezależnie od obowiązków wskazanych powyżej, Biuro Rachunkowe Moje Podatki dokumentuje wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.

 

§ 7

1.      Jeżeli dane mają być przetwarzane w imieniu administratora, korzystać on będzie wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.

2.      Na potrzeby weryfikacji, administrator otrzyma oświadczenie od podmiotu przetwarzającego o posiadanych procedurach bezpieczeństwa przetwarzania danych oraz ponoszonej w związku z tym odpowiedzialności.

3.      Brak wskazanego powyżej oświadczenia oznaczać będzie brak nawiązania współpracy z podmiotem przetwarzającym dane.

 

§ 8

1.      Każdy pracownik  bądź jakakolwiek inna osoba, w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest poinformować administratora danych.

2.      Do typowych zagrożeń bezpieczeństwa danych osobowych należą:

a)     niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,

b)     niewłaściwe zabezpieczenie sprzętu, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,

c)      nieprzestrzeganie zasad ochrony danych osobowych przez pracowników.

3.      Do typowych incydentów bezpieczeństwa danych osobowych należą:

a)     zdarzenia losowe zewnętrzne (pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),

b)     zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/ zagubienie danych),

c)      umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania).

4.      W przypadku stwierdzenia wystąpienia zagrożenia, administrator danych prowadzi postępowanie wyjaśniające w toku, którego:

a)     ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,

b)     inicjuje ewentualne działania dyscyplinarne,

c)      rekomenduje działania prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości,

d)     dokumentuje prowadzone postępowania,

e)     dokonuje zgłoszeń, zgodnie z zapisami § 6 niniejszej polityki.

5.      W przypadku stwierdzenia incydentu (naruszenia), administratora danych prowadzi postępowanie wyjaśniające w toku, którego:

a)     ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,

b)     zabezpiecza ewentualne dowody,

c)      ustala osoby odpowiedzialne za naruszenie,

d)     podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody),

e)     inicjuje działania dyscyplinarne,

f)      wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości,

g)     dokumentuje prowadzone postępowania.

 

§ 9

1.       Corocznie administrator danych lub upoważniony pracownik dokonuje przeglądu i analizy stosowanych środków w ramach polityki ochrony danych osobowych w Biurze Rachunkowym Moje Podatki.

2.       Przegląd, o którym mowa powyżej, ma na celu uaktualnianie procedur, w tym również dostosowanie ich do obowiązujących przepisów prawa.