POLITYKA OCHRONY DANYCH OSOBOWYCH W BIURZE
RACHUNKOWYM MOJE PODATKI
wprowadzona
w 2018 r.
Niniejsza Polityka
jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia
Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016 r. w sprawie ochrony
osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie
swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne
rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s. 1).
§ 1
1. Ochrona danych osobowych w Biurze
Rachunkowym Moje Podatki realizowana jest poprzez:
·
zabezpieczenia
fizyczne,
·
procedury
organizacyjne,
·
oprogramowanie
systemowe,
·
aplikacje
oraz
·
użytkowników;
·
………
2. Dane osobowe są:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby,
której dane dotyczą;
b)
zbierane
w konkretnych, wyraźnych i prawnie
uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami;
dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów
badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane
w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami;
c) adekwatne,
stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
d) prawidłowe i w razie potrzeby
uaktualniane;
d) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez
okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są
przetwarzane.
3. Przetwarzanie danych osobowych Utrzymanie
bezpieczeństwa przetwarzanych danych osobowych w nazwa podmiotu rozumiane jest
jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności
na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z
ochroną danych osobowych.
4. Zastosowane zabezpieczenia mają służyć
osiągnięciu powyższych celów i zapewnić:
a)
poufność
danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane
nieupoważnionym osobom;
b)
integralność
danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały
zmienione lub zniszczone w sposób nieautoryzowany;
c)
rozliczalność
danych - rozumianą jako właściwość zapewniającą, że działania osoby mogą być
przypisane w sposób jednoznaczny tylko tej osobie;
d)
integralność
systemu - rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek
manipulacji, zarówno zamierzonej, jak i przypadkowej;
e)
dostępność
informacji - rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do
informacji i związanych z nią zasobów wtedy, gdy jest to potrzebne;
f)
zarządzanie
ryzykiem - rozumiane jako proces identyfikowania, kontrolowania
i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa,
które może dotyczyć systemów informacyjnych służących do przetwarzania danych
osobowych.
5.
Biuro
Rachunkowe Moje Podatki]dokumentuje podstawy prawne przetwarzania danych
wskazując ogólną podstawę prawną (zgoda, umowa, obowiązek prawny, żywotne
interesy, zadanie publiczne/władza publiczna, uzasadniony cel. Biuro Rachunkowe
Moje Podatki dookreśla podstawę w czytelny sposób, gdy jest to potrzebne. Np. dla
zgody wskazując na jej zakres, gdy podstawą jest prawo – wskazując na konkretny
przepis i inne dokumenty, np. umowę, porozumienie administracyjne, żywotne
interesy – wskazując na kategorie zdarzeń, w których się zmaterializują,
uzasadniony cel – wskazując na konkretny cel, np. marketing własny, dochodzenie
roszczeń.
6. […] wdraża metody zarządzania zgodami
umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie
jej konkretnych danych w konkretnym celu, zgody na komunikację na odległość
(email, telefon, sms, in.) oraz rejestrację odmowy zgody, cofnięcia zgody i
podobnych czynności (sprzeciw, ograniczenie itp.).
7.
Na
żądanie administratora Biuro Rachunkowe Moje Podatki wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym
się do odczytu maszynowego lub
przekazuje innemu podmiotowi, jeśli jest to możliwe, przetwarzane dane tego
podmiotu, który dostarczył je Biuru Rachunkowemu Moje Podatki, przetwarzane na
podstawie zawartej z nim umowy.
§ 2
1.
Osobą,
która odpowiada za prawidłowe przetwarzanie danych osobowych jest Włodzimierz
Bożym
2.
Polityka
jest przechowywana w formie papierowej/elektronicznej i dostępna dla każdej
osoby zainteresowanej.
3.
Biuro
Rachunkowe Moje Podatki zapewnia przestrzeganie niniejszej polityki w relacjach
z kontrahentami, pracownikami oraz innymi podmiotami, które mają dostęp do
danych przetwarzanych w naszym Biurze
4.
W
zakresie dostępu do danych osobowych, Biuro Rachunkowe Moje Podatki zapewnia
profilowanie dostępu, upoważnienia pracowników i innych podmiotów do
przetwarzania danych oraz ograniczenia w dostępie do danych i ich
przetwarzania.
§ 3
1. Biuro Rachunkowe Moje Podatki przetwarza
następujące zbiory danych osobowych:
a)
Imię,
nazwisko, adres, nr Pesel, nr Nip, adresy i telefony
8. Dane przetwarzane są:
a)
W lokalu Biura - ul. Prymasa Tysiąclecia
18, 05-270 Nadma
b) Za
pomocą licencjonowanych systemów informatycznych
c) Przez
pracownikówi licencjonowane osoby współpracujące
9. Biuro Rachunkowe Moje Podatki nie
podejmuje przetwarzania danych osobowych, które mogłyby wiązać się z istotnym
ryzykiem naruszenia praw i wolności osób, których dane osobowe dotyczą.
§ 4
a)
sporządzono i wdrożono Politykę Ochrony Danych;
b)
do przetwarzania danych zostały dopuszczone wyłącznie
osoby posiadające upoważnienia nadane przez Administratora danych bądź osobę
przez niego upoważnioną;
c)
stworzono procedurę postępowania w sytuacji naruszenia
ochrony danych osobowych;
d)
osoby zatrudnione przy przetwarzaniu danych zostały
zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie
zabezpieczeń systemu informatycznego;
e)
osoby zatrudnione przy przetwarzaniu danych osobowych
obowiązane zostały do zachowania ich w tajemnicy;
f)
przetwarzanie danych osobowych dokonywane jest w
warunkach zabezpieczających dane przed dostępem osób nieupoważnionych;
g)
przebywanie osób nieuprawnionych w pomieszczeniach,
gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby
zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach
zapewniających bezpieczeństwo danych;
h)
dokumenty i nośniki informacji zawierające dane osobowe,
które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego
przeznaczonych lub dokonując takiej ich modyfikacji, która nie pozwoli na
odtworzenie ich treści, aby po dokonaniu usunięcia danych niemożliwa była
identyfikacja osób.
3.
Zabezpieczenia techniczne
a)
wewnętrzną sieć komputerową zabezpieczono poprzez
odseparowanie od sieci publicznej za pomocą (np. rozwiązania zapewniające
bezpieczeństwo np. FireWall itp.)
b)
stanowiska komputerowe wyposażono w indywidualną ochronę
antywirusową,
c)
komputery zabezpieczono przed możliwością użytkowania
przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą
indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła,
4.
Środki ochrony fizycznej:
a)
obszar, na którym przetwarzane są dane osobowe, poza
godzinami pracy, chroniony jest alarmem,
b)
obszar, na którym przetwarzane są dane osobowe objęty
jest całodobowym monitoringiem,
c)
urządzenia służące do przetwarzania danych osobowych
umieszcza się w zamykanych pomieszczeniach.
§ 5
1. Biuro Rachunkowe Moje Podatki prowadzi Rejestr Czynności Przetwarzania
Danych Osobowych. Za pośrednictwem Rejestru dokumentowane są czynności
przetwarzania danych osobowych oraz inwentaryzuje i monitoruje sposób, w jaki
wykorzystuje te dane.
2. Biuro Rachunkowe Moje Podatki prowadzi Rejestr Kategorii Czynności
Przetwarzania, jeżeli przetwarza dane osobowe jej powierzone.
3. Rejestr obejmuje:
Oznaczenie zbioru
danych osobowych, kategorie czynność, kategorie osób, czynności przetwarzania i
wzajemne powiązania.
§ 6
1. Na żądanie właściciela danych oraz w
przypadkach określonych przepisami prawa są one usuwane.
2. Dane są usuwane w przypadku wniesienia
sprzeciwu przez właściciela tych danych.
3. W przypadku przetwarzania danych żądanie
usunięcia jest przekazywane niezwłocznie do administratora danych.
4.
Za
naruszenie lub próbę naruszenia zasad przetwarzania i ochrony danych osobowych
uważa się w szczególności:
a)
Naruszenie
bezpieczeństwa systemów informatycznych, w których przetwarzane są dane
osobowe;
b)
udostępnienie
danych osobowych osobom nieupoważnionym;
c)
przetwarzanie
danych osobowych niezgodnie z założonym zakresem i celem ich przetwarzania;
d)
nieuprawnione
lub przypadkowe uszkodzenie, utratę, zniszczenie lub zmianę danych osobowych.
6.
W
przypadku naruszenia ochrony danych osobowych, Biuro Rachunkowe Moje Podatki
bez zbędnej zwłoki - w miarę możliwości, nie później niż w terminie 72 godzin
po stwierdzeniu naruszenia - zgłasza je organowi nadzorczemu właściwemu, chyba
że jest mało prawdopodobne, by naruszenie to skutkowało ryzykiem naruszenia
praw lub wolności osób fizycznych. Informacje przekazywane obejmują:
a)
charakter
naruszenia ochrony danych osobowych, w tym wskazanie kategorii i przybliżonej
liczby osób, których dane dotyczą, oraz kategorii i przybliżonej liczby wpisów
danych osobowych, których dotyczy naruszenie;
b)
oznaczenie
osoby kontraktowej w Biuro Rachunkowym Moje Podatki od którego można uzyskać
więcej informacji;
c)
opis
możliwych konsekwencji naruszenia ochrony danych osobowych;
d)
określenie
środków zastosowanych lub proponowane przez administratora w celu zaradzenia
naruszeniu ochrony danych osobowych.
7.
Jeżeli
naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia
praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia
osobę, której dane dotyczą, o takim naruszeniu.
8.
Niezależnie
od obowiązków wskazanych powyżej, Biuro Rachunkowe Moje Podatki dokumentuje
wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia
ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.
§ 7
1. Jeżeli dane mają być przetwarzane w imieniu administratora, korzystać on będzie wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
2.
Na
potrzeby weryfikacji, administrator otrzyma oświadczenie od podmiotu
przetwarzającego o posiadanych procedurach bezpieczeństwa przetwarzania danych
oraz ponoszonej w związku z tym odpowiedzialności.
3.
Brak
wskazanego powyżej oświadczenia oznaczać będzie brak nawiązania współpracy z
podmiotem przetwarzającym dane.
1.
Każdy pracownik
bądź jakakolwiek inna osoba, w przypadku stwierdzenia zagrożenia lub
naruszenia ochrony danych osobowych, zobowiązany jest poinformować
administratora danych.
2.
Do typowych zagrożeń bezpieczeństwa danych osobowych
należą:
a)
niewłaściwe zabezpieczenie fizyczne pomieszczeń,
urządzeń i dokumentów,
b)
niewłaściwe zabezpieczenie sprzętu, oprogramowania przed
wyciekiem, kradzieżą i utratą danych osobowych,
c)
nieprzestrzeganie zasad ochrony danych osobowych przez
pracowników.
3.
Do typowych incydentów bezpieczeństwa danych osobowych
należą:
a)
zdarzenia losowe zewnętrzne (pożar
obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności),
b)
zdarzenia losowe wewnętrzne (awarie serwera, komputerów,
twardych dysków, oprogramowania, pomyłki informatyków, użytkowników, utrata/
zagubienie danych),
c)
umyślne incydenty (włamanie do systemu informatycznego
lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych
osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie
wirusów i innego szkodliwego oprogramowania).
4.
W przypadku stwierdzenia wystąpienia zagrożenia,
administrator danych prowadzi postępowanie wyjaśniające w toku, którego:
a)
ustala zakres i przyczyny zagrożenia oraz jego
ewentualne skutki,
b)
inicjuje ewentualne działania dyscyplinarne,
c)
rekomenduje działania prewencyjne (zapobiegawcze)
zmierzające do eliminacji podobnych zagrożeń w przyszłości,
d)
dokumentuje prowadzone postępowania,
e)
dokonuje zgłoszeń, zgodnie z zapisami § 6 niniejszej
polityki.
5.
W przypadku stwierdzenia incydentu (naruszenia),
administratora danych prowadzi postępowanie wyjaśniające w toku, którego:
a)
ustala czas wystąpienia naruszenia, jego zakres, przyczyny,
skutki oraz wielkość szkód, które zaistniały,
b)
zabezpiecza ewentualne dowody,
c)
ustala osoby odpowiedzialne za naruszenie,
d)
podejmuje działania naprawcze (usuwa skutki incydentu i
ogranicza szkody),
e)
inicjuje działania dyscyplinarne,
f)
wyciąga wnioski i rekomenduje działania korygujące
zmierzające do eliminacji podobnych incydentów w przyszłości,
g)
dokumentuje prowadzone postępowania.
§ 9
1.
Corocznie
administrator danych lub upoważniony
pracownik dokonuje przeglądu i analizy stosowanych środków w ramach polityki
ochrony danych osobowych w Biurze Rachunkowym Moje Podatki.
2.
Przegląd, o którym mowa powyżej, ma na celu
uaktualnianie procedur, w tym również dostosowanie ich do obowiązujących
przepisów prawa.