Ochrona danych osobowych w kancelariach podatkowo

54
ARTUKUŁ SPONSOROWANY
Ochrona danych osobowych
w kancelariach podatkowo-księgowych
Wraz z rozwojem technologii informatycznych, coraz chętniej podmioty gospodarcze korzystają z outsourcingu usług podatkowo-księgowych czy kadrowo-płacowych. Pojawia się problem zapewnienia bezpieczeństwa oraz kontroli dostępu do informacji wrażliwych nie tylko z punktu widzenia prawa, ale również
z punktu widzenia biznesu. Informacje będące w posiadaniu Kancelarii podatkowych realizujących działalność usługową na rzecz innych podmiotów posiadają ogromną wartość i mogą być podatne na zagrożenia
takie jak: kradzież, zniszczenie czy zafałszowanie. Informacje przetwarzane przez każdą kancelarię podlegają prawnej ochronie, a to oznacza, że należy je w sposób szczególny zabezpieczać, zarówno w trakcie
przetwarzania, jak i przechowywania oraz archiwizowania.
WARTOŚĆ INFORMACJI
Patrząc przez pryzmat zasad budowania relacji Doradca – Klient oraz
znając wartość ekonomiczną zaufania
Klienta do Doradcy, informacje przetwarzane przez Kancelarie podatkowo-księgowe wymagają zabezpieczenia
z zachowaniem najwyższej staranności
a często udzielenia nawet gwarancji ich
ochrony.
Informacje chronione obejmują, ale
nie ograniczają się do danych osobowych. Dane osobowe – to termin
prawny, który w prawie polskim został
zdefiniowany w ustawie z dnia 29
sierpnia 1997 roku o ochronie danych
osobowych (tekst pierwotny Dz. U.
1997 Nr 133 poz. 883; tekst jednolity:
Dz. U. 2002 r. Nr 101 poz. 926).
Ustawa o ochronie danych osobowych, która weszła w życie z dniem 29
sierpnia 1997 roku, przyznaje każdemu prawo do ochrony dotyczących
go danych osobowych. W rozumieniu ustawy (Art. 6) za dane osobowe
uważa się wszelkie informacje dotyczące zidentyfikowanej lub możliwej
do zidentyfikowania osoby fizycznej.
Osoba możliwa do zidentyfikowania
jest osobą, której tożsamość można
określić bezpośrednio lub pośrednio,
w szczególności przez powołanie się na
numer identyfikacyjny albo jeden lub
kilka specyficznych czynników określających jej cechy fizyczne, fizjologiczne,
umysłowe, ekonomiczne, kulturowe lub
społeczne. Informacji nie uważa się za
umożliwiającą określenie tożsamości
osoby, jeżeli wymagałoby to nadmiernych kosztów, czasu lub działań. Z wieloma przykładami danych osobowych
mamy do czynienia w każdej instytucji.
Właściciel Kancelarii podatkowej, jako
Administrator Danych jest obowiązany zastosować środki techniczne
i organizacyjne zapewniające ochronę
przetwarzanych danych osobowych
odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności powinien zabezpieczyć dane
przed ich udostępnieniem osobom
nieupoważnionym, zabraniem przez
osobę nieuprawnioną, przetwarzaniem
z naruszeniem ustawy oraz zmianą,
utratą, uszkodzeniem lub zniszczeniem
(Art. 36 ust. 1).
Administrator Danych w myśli ustawy (Art. 36 ust 3) może przekazać część
zadań, na powołanego przez siebie
pisemnie, Administratora Bezpieczeństwa Informacji (ABI). Administrator
danych nie ma obowiązku powoływania
ABI tylko, gdy sam pełni takie obowiązki. Administrator Bezpieczeństwa
Informacji odpowiada za nadzorowanie
przestrzegania zasad zabezpieczenia
technicznego i organizacyjnego zapewniających ochronę przetwarzanych
danych osobowych.
Do podstawowych obowiązków organizacyjnych każdego Administratora
Danych należy opracowanie dokumentacji wymaganej Ustawą, czyli:
ŠŠ Polityki bezpieczeństwa
ŠŠ Instrukcji zarządzania systemem informatycznym służącym do przetwarzania danych osobowych
Wymogiem jest też, aby każda
z osoba przetwarzająca dane osobowe w Kancelarii posiadała stosowne
„Upoważnienie do przetwarzania
danych osobowych” i aby Administrator Danych prowadził „Ewidencję
upoważnień”.
Powyższe dokumenty dają gwarancję Klientom Kancelarii podatkowych,
że przetwarzane dane osobowe, które
powierzają są w sposób prawidłowy
zabezpieczane. Co ważne, kiedy otrzymujecie Państwo zestaw informacji
o charakterze osobowym od swoich
partnerów biznesowych, posiadając
zestaw dokumentacji z zakresu ochrony
danych osobowych, możecie Państwo
podpisać Umowę o powierzaniu przetwarzania danych osobowych, dając
swoim Klientom gwarancję prawidłowego zabezpieczania ich danych.
Mówiąc o bezpieczeństwie informacji w kontekście szeroko rozwiniętej i skomplikowanej teleinformatyki
nie można pominąć tak istotnego
aspektu jakim jest bezpieczeństwo
infrastruktury teleinformatycznej.
Ochrona infrastruktury teleinformatycznej jest procesem ciągłym podlegającym nieustannym iteracjom
Doradca Podatkowy ♦ Nr 1/2014 ♦ www.kidp.pl
ARTUKUŁ SPONSOROWANY
uwzględniającym coraz to nowsze
zagrożenia. W dobie globalizacji czas
reakcji infrastruktury teleinformatycznej, a zwłaszcza narzędzi programowych, jak i sprzętowych mających za
zadanie ochronę przed zagrożeniem,
zarówno wewnętrznym, jak i zewnętrznym, znacznie się skraca. W obecnej
sytuacji rynkowej, praktycznie nie ma
takiej Kancelarii podatkowej, która
nie wykorzystywałaby infrastruktury
do prowadzenia swojej działalności;
począwszy od telefonów komórkowych,
poprzez komputery stacjonarne i mobilne, a na drukarkach kończąc
BEZPIECZEŃSTWO TO PROCES
Bezpieczeństwo informacji oznacza,
że informacja jest chroniona przed
wieloma różnymi zagrożeniami w taki
sposób, aby zapewnić ciągłość prowadzenia działalności oraz zminimalizować straty spowodowane zniszczeniem,
utratą bądź „wyciekiem” informacji do
osób i instytucji nieuprawnionych.
Bezpieczeństwo informacji oznacza
zachowanie:
ŠŠ poufności: zapewnienie dostępu do informacji tylko osobom upoważnionym;
ŠŠ integralności: zapewnienie dokładności i kompletności informacji oraz
metod jej przetwarzania;
ŠŠ dostępności: zapewnienie, że osoby
upoważnione mają dostęp do informacji i związanych z nią aktywów
wtedy, gdy jest to potrzebne.
Wartym rozważenia przez każdą
Kancelarię podatkową jest przygotowa-
Doradca Podatkowy ♦ Nr 1/2014 ♦ www.kidp.pl
nie i wdrożenie Systemu Zarządzania
Bezpieczeństwem Informacji zgodnym z wytycznymi norm ISO 27000.
System Zarządzania Bezpieczeństwem
Informacji to element kompleksowego systemu zarządzania organizacją,
oparty na podejściu wynikającym
z ryzyka biznesowego, odnoszący się do
ustanawiania, wdrażania, eksploatacji,
monitorowania, utrzymywania i doskonalenia bezpieczeństwa informacji
w organizacji.
Przygotowanie i wdrożenie dokumentacji wymaganej zapisami Ustawy
o ochronie danych osobowych, może
być dla Kancelarii podatkowej znakomitym rozpoczęciem prac z zakresu
szeroko rozumianego bezpieczeństwa
informacji. Pamiętajmy, wdrażając
dokumentację wymaganą prawem, dajecie Państwo swoim Klientom wartość
dodaną i wskazujecie, iż informacje
Waszych Klientów są nie mniej ważne
od informacji własnych.
STUDIUM PRZYPADKU
W Kancelarii Doradztwa Podatkowego Adama Pankowskiego projekt
w zakresie budowy polityki bezpieczeństwa i ochrony danych osobowych zajął
kilka dni. W ramach zadania eksperci
spółki Proximus S.A. dokonali oceny stosowanej polityki na zgodność
z zapisami Ustawy z dnia 29 sierpnia
1997 o ochronie danych osobowych
oraz z wytycznymi normy PN-ISO/
IEC 27001:2007, zaimplementowanych
w Kancelarii rozwiązań.
Audyt był prowadzony zgodnie z wytycznymi normy PN-EN/ISO 19011:2010
„Wytyczne dotyczące audytowania
systemów zarządzania jakością i zarządzania środowiskiem”. W wyniku prac
audytoryjnych opracowano dokumentację wymaganą zapisami w/w Ustawy,
w tym Politykę Bezpieczeństwa i Instrukcję Zarządzania Systemem Informatycznym, służącym do przetwarzania
danych osobowych wraz z niezbędnymi
załącznikami. Przygotowano zalecenia
dla dalszego doskonalenia bezpieczeństwo informacji w Kancelarii oraz
przeprowadzono niezbędne warsztaty dla
pracowników.
Jednym z filarów działalności integratora Proximus jest świadczenie usług
podnoszących bezpieczeństwo danych
oraz infrastruktury IT. Firma świadczy
usługi audytu i kontroli z zakresu polityki
bezpieczeństwa i ochrony danych osobowych, zapewnia przeglądy zgodności
posiadanych licencji oraz wdraża narzędzia bezpieczeństwa infrastruktury IT
m.in.: opcje bezpieczeństwa baz danych,
aplikacji, systemów, serwerów, zarządzanie tożsamością. ❖
AU TO R
Irena Petrykowska
Kierownik Projektów
w Proximus S.A.
55