POLITYKA OCHRONY DANYCH OSOBOWYCH
wprowadzona w Biurze Rachunkowym „Etna”
z dniem 25.05.2018
Niniejsza Polityka jest polityką ochrony danych osobowych w rozumieniu RODO – rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27.04.2016r. W sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119, s.1).
§ 1
Ochrona danych osobowych w Biurze Rachunkowym „Etna” realizowana jest przez:
procedury organizacyjne
oprogramowanie systemowe
aplikacje
użytkowników
Dane osobowe są:
a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą;
b) zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami; dalsze przetwarzanie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych nie jest uznawane w myśl art. 89 ust. 1 RODO za niezgodne z pierwotnymi celami;
c) adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane;
d) prawidłowe i w razie potrzeby uaktualniane;
e) przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
Przetwarzanie danych osobowych;
Utrzymanie bezpieczeństwa przetwarzanych danych osobowych w Biurze Rachunkowym „Etna” rozumiane jest jako zapewnienie ich poufności, integralności, rozliczalności oraz dostępności na odpowiednim poziomie. Miarą bezpieczeństwa jest wielkość ryzyka związanego z ochroną danych osobowych.
Zastosowane zabezpieczenia mają służyć osiągnięciu powyższych celów i zapewnić;
a) poufność danych – rozumianą jako właściwość zapewniającą, że dane nie są udostępniane nieupoważnionym osobom;
b) integralność danych – rozumianą jako właściwość zapewniającą, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany;
c) rozliczalność danych – rozumianą jako właściwość zapewniającą, że działania osoby mogą być przypisane w sposób jednoznaczny tylko tej osobie;
d) integralność systemu – rozumianą jako nienaruszalność systemu, niemożność jakiejkolwiek manipulacji, zarówno zamierzonej jak i przypadkowej;
e) dostępność informacji – rozumianą jako zapewnienie, że osoby upoważnione mają dostęp do informacji i związanych z nią zasobów tylko wtedy, gdy jest to potrzebne
f) zarządzanie ryzykiem – rozumiane jako proces identyfikowania, kontrolowania i minimalizowania lub eliminowania ryzyka dotyczącego bezpieczeństwa, które może dotyczyć systemów informacyjnych służących do przetwarzania danych osobowych.
Biuro Rachunkowe „Etna” dokumentuje podstawy prawne przetwarzania danych wskazując ogólną podstawę prawną (zgoda, umowa, obowiązek prawny, żywotne interesy, zadanie publiczne/władza publiczna, uzasadniony cel biura. Firma określa podstawę w czytelny sposób, gdy jest to potrzebne np. dla zgody wskazując na jej zakres, gdy podstawą jest prawo – wskazując na konkretny cel, np. marketing własny, dochodzenie roszczeń.
Podmiot powierzający przetwarzanie danych (klient)do Biura Rachunkowego ,,Etna”pozostaje administratorem danych osobowych i wdraża metody zarządzania zgodami umożliwiające rejestrację i weryfikację posiadania zgody osoby na przetwarzanie jej konkretnych danych w konkretnym celu, zgody na komunikację na odległość (email, telefon, sms itp.) oraz rejestrację odmowy zgody, cofnięcia zgody i podobnych czynności (sprzeciw, ograniczenie itp.).
Na żądanie administratora biuro wydaje w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego lub przekazuje innemu podmiotowi, jeśli jest to możliwe, przetwarzane dane tego podmiotu, który dostarczyła je firma, przetwarzane na podstawie zawartej z nim umowy.
§ 2
Osobą, która odpowiada za prawidłowe przetwarzanie danych osobowych jest Biuro Rachunkowe „Etna”
Polityka jest przechowywana w formie papierowej/elektronicznej i dostępna dla każdej osoby zainteresowanej
Biuro zapewnia przestrzeganie niniejszej polityki w relacjach z kontrahentami, pracownikami oraz innymi podmiotami, które mają dostęp do danych przetwarzanych w biurze.
W zakresie dostępu do danych osobowych, Biuro Rachunkowe „Etna” zapewnia profilowanie dostępu, upoważnienia pracowników i innych podmiotów do przetwarzania danych oraz ograniczenia w dostępie do danych i ich przetwarzania.
§ 3
Biuro Rachunkowe „Etna” przetwarza następujące zbiory danych osobowych:
– Zbiór danych kontrahentów klienta: faktury,rachunki,umowy,inne dokumenty sprzedaży/zakupu.
– Zbiór danych pracowników i zleceniobiorców klienta:
– dane osobowe pracowników,
– dane osobowe zleceniobiorców i wykonawców,
– dokumentacja ubezpieczeniowa ZUS.
– Zbiór danych w postaci dokumentów księgowych klienta:
dziennik,księgi,sprawozdania finansowe,sprawozdania GUS,deklaracje podatkowe,rejestry VAT,dodatkowe ewidencje księgowe.
-Zbiór danych klientów biura rachunkowego:
Przykładowo są to:umowy,faktury,upoważnienia.
Dane przetwarzane są:
a) W siedzibie firmy – „Biuro Rachunkowe Etna”, Ul. Chyliczkowska 4C, 05-500 Piaseczno
Biuro nie podejmuje przetwarzania danych osobowych, które mogłyby wiązać się z istotnym ryzykiem naruszenia praw i wolności osób, których dane osobowe dotyczą.
§ 4
Biuro zapewnia środki techniczne i organizacyjne niezbędne a zapewnienia zgodności z prawem przetwarzanych danych osobowych.
Zabezpieczenia organizacyjne;
a) sporządzono i wdrożono Politykę Ochrony Danych;
b) do przetwarzania danych zostały dopuszczone wyłącznie osoby posiadające upoważnienia nadane przez Administratora danych bądź osobę przez niego upoważnioną;
c) stworzono procedurę postępowania w sytuacji naruszenia ochrony danych osobowych;
d) osoby zatrudnione przy przetwarzaniu danych zostały zaznajomione z przepisami dotyczącymi ochrony danych osobowych oraz w zakresie zabezpieczeń systemu informatycznego;
e) osoby zatrudnione przy przetwarzaniu danych osobowych zobowiązane zostały do zachowania ich w tajemnicy;
f) przetwarzanie danych osobowych dokonywane jest w warunkach zabezpieczających dane przed dostępem osób nieupoważnionych
g) przebywanie osób nieuprawnionych w pomieszczeniach, gdzie przetwarzane są dane osobowe jest dopuszczalne tylko w obecności osoby zatrudnionej przy przetwarzaniu danych osobowych oraz w warunkach zapewniających bezpieczeństwo danych;
h) dokumenty i nośniki informacji zawierające dane osobowe, które podlegają zniszczeniu, neutralizuje się za pomocą urządzeń do tego przeznaczonych lub dokonując takiej ich modyfikacji, która nie pozwoli na odtworzenie ich treści, aby po dokonaniu usunięcia danych niemożliwa była identyfikacja osób.
Zabezpieczenie techniczne;
a) wewnętrzną sieć komputerową zabezpieczono poprzez odseparowanie od sieci publicznej za pomocą (np. rozwiązania zapewniające bezpieczeństwo np. FireWall itp.)
b) stanowiska komputerowe wyposażono w indywidualną ochronę antywirusową
c) komputery zabezpieczono przed możliwością użytkowania przez osoby nieuprawnione do przetwarzania danych osobowych, za pomocą indywidualnego identyfikatora użytkowania i cykliczne wymuszanie zmiany hasła,
Środki ochrony fizycznej:
a) urządzenia służące do przetwarzania danych osobowych umieszcza się w zamykanych pomieszczeniach.
§ 5
Biuro prowadzi Rejestr Kategorii Czynności Przetwarzania Danych Osobowych,jeżeli przetwarza dane osobowe jej powierzone. Za pośrednictwem Rejestru dokumentowane są dane osobowe oraz dane kontaktowe podmiotu przetwarzającego lub podmiotów przetwarzających oraz każdego administratora , w imieniu którego działa podmiot przetwarzający oraz inwentaryzuje i monitoruje kategorie przetwarzań dokonywanych w imieniu każdego administratora.
§ 6
Jeżeli dane mają być przetwarzane w imieniu administratora, korzystać on będzie wyłącznie z usług takich podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi niniejszego rozporządzenia i chroniło prawa osób, których dane dotyczą.
Na potrzeby weryfikacji, administrator otrzyma oświadczenie od podmiotu przetwarzającego o posiadanych procedurach bezpieczeństwa przetwarzania danych oraz ponoszonej w związku z tym odpowiedzialności.
§ 7
Każdy pracownik bądź jakakolwiek inna osoba, w przypadku stwierdzenia zagrożenia lub naruszenia ochrony danych osobowych, zobowiązany jest poinformować administratora danych.
Do typowych zagrożeń bezpieczeństwa danych osobowych należą:
a) niewłaściwe zabezpieczenie fizyczne pomieszczeń, urządzeń i dokumentów,
b) niewłaściwe zabezpieczenie sprzętu, oprogramowania przed wyciekiem, kradzieżą i utratą danych osobowych,
c) nieprzestrzeganie zasad ochrony danych osobowych przez pracowników.
Do typowych incydentów bezpieczeństwa danych osobowych należą:
a) zdarzenia losowe zewnętrzne ( pożar obiektu/pomieszczenia, zalanie wodą, utrata zasilania, utrata łączności)
b) zdarzenia losowe wewnętrzne (awarie serwera, komputerów, twardych dysków, oprogramowania, pomyłki informatyków, utrata/zagubienie danych)
c) umyślne incydenty (włamanie do systemu informatycznego lub pomieszczeń, kradzież danych/sprzętu, wyciek informacji, ujawnienie danych osobom nieupoważnionym, świadome zniszczenie dokumentów/danych, działanie wirusów i innego szkodliwego oprogramowania)
W przypadku stwierdzenia wystąpienia zagrożenia, administrator danych prowadzi postępowanie wyjaśniające w toku, którego:
a) ustala zakres i przyczyny zagrożenia oraz jego ewentualne skutki,
b) inicjuje ewentualne działania dyscyplinarne
c) rekomenduje działanie prewencyjne (zapobiegawcze) zmierzające do eliminacji podobnych zagrożeń w przyszłości
d) dokumentuje prowadzone postępowania,
e) dokonuje zgłoszeń, zgodnie z zapisami §6 niniejszej polityki.
W przypadku stwierdzenia incydentu (naruszenia) administratora danych prowadzi postępowanie wyjaśniające w toku, którego:
a) ustala czas wystąpienia naruszenia, jego zakres, przyczyny, skutki oraz wielkość szkód, które zaistniały,
b) zabezpiecza ewentualne dowody
c) ustala osoby odpowiedzialne za naruszenie
d) podejmuje działania naprawcze (usuwa skutki incydentu i ogranicza szkody)
e) inicjuje działania dyscyplinarne
f) wyciąga wnioski i rekomenduje działania korygujące zmierzające do eliminacji podobnych incydentów w przyszłości
g) dokumentuje prowadzone postępowania
§ 8
Corocznie administrator danych lub upoważniony pracownik administratora danych dokonuje przeglądu i analizy stosowanych środków w ramach polityki ochrony danych osobowych
Przegląd, o którym mowa powyżej, ma na celu uaktualnianie procedur, w tym również dostosowanie ich do obowiązujących przepisów prawa.