Akty korporacyjne

Podat.2019.12.17

| Akt nieoceniany
Wersja od: 17 grudnia 2019 r.

UCHWAŁA Nr 821/2019
KRAJOWEJ RADY DORADCÓW PODATKOWYCH
z dnia 17 grudnia 2019 r.
w sprawie zatwierdzenia Kodeksu postępowania Krajowej Izby Doradców Podatkowych w zakresie ochrony danych osobowych oraz złożenia wniosku o jego zatwierdzenie do Prezesa Urzędu Ochrony Danych Osobowych

Na podstawie art. § 21 ust. 3 pkt 13 Statutu Krajowej Izby Doradców Podatkowych w zw. z pkt. 1 pkt g) części II załącznika do uchwały nr 35/2018 V Krajowego Zjazdu Doradców Podatkowych z dnia 13 stycznia 2018 r. w sprawie programu działania Krajowej Izby Doradców Podatkowych na lata 2018-2021, uchwala się co następuje:
§  1.  Krajowa Rada Doradców Podatkowych zatwierdza Kodeks postępowania Krajowej Izby Doradców Podatkowych w zakresie ochrony danych osobowych (dalej: Kodeks), który stanowi ZAŁĄCZNIK do niniejszej uchwały.
§  2.  W związku z przygotowaniem Kodeksu, Krajowa Rada Doradców Podatkowych postanawia o złożeniu do Prezesa Urzędu Ochrony Danych Osobowych wniosku o jego zatwierdzenie.
§  3.  Krajowa Rada Doradców Podatkowych upoważnia do jej reprezentowania przed Prezesem Urzędu Ochrony Danych Osobowych w postępowaniu o zatwierdzenie Kodeksu Pana adw. dr. Jana Prasałka.
§  4.  Krajowa Rada Doradców Podatkowych zobowiązuje Komisję ds. przygotowania kodeksu postępowania Krajowej Izby Doradców Podatkowych w zakresie ochrony danych osobowych do przeprowadzenia i nadzorowania procedury zatwierdzenia Kodeksu, o której mowa w § 2.
§  5.  Uchwała wchodzi w życie z dniem podjęcia.

ZAŁĄCZNIK

KODEKS POSTĘPOWANIA DLA DORADCÓW PODATKOWYCH W SPRAWIE OCHRONY DANYCH OSOBOWYCH

SPIS TREŚCI

ROZDZIAŁ 1. WPROWADZENIE

ROZDZIAŁ 2. DEFINICJE

ROZDZIAŁ 3. ZAKRES PODMIOTOWY I PRZEDMIOTOWY KODEKSU

ROZDZIAŁ 4. OGÓLNE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

ROZDZIAŁ 5. PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH

ROZDZIAŁ 6. DORADCA PODATKOWY JAKO ADMINISTRATOR DANYCH OSOBOWYCH I JAKO PODMIOT PRZETWARZAJĄCY

ROZDZIAŁ 7. DORADCA PODATKOWY JAKO PODMIOT POWIERZAJĄCY PRZETWARZANIE DANYCH OSOBOWYCH

ROZDZIAŁ 8. POWOŁANIE INSPEKTORA OCHRONY DANYCH

ROZDZIAŁ 9. REALIZACJA OBOWIĄZKÓW INFORMACYJNYCH PRZEZ PODMIOTY PRZESTRZEGAJĄCE KODEKSU

ROZDZIAŁ 10. PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE

ROZDZIAŁ 11. NARUSZENIA OCHRONY DANYCH OSOBOWYCH

ROZDZIAŁ 12. PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH

ROZDZIAŁ 13. PROFILOWANIE I ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI

ROZDZIAŁ 14. RETENCJA DANYCH OSOBOWYCH

ROZDZIAŁ 15. ZABEZPIECZENIE PRZETWARZANIA DANYCH OSOBOWYCH

ROZDZIAŁ 16. ANALIZA I OCENY RYZYKA PRZY PRZETWARZANIU DANYCH OSOBOWYCH

ROZDZIAŁ 17. PRZYJĘCIE, ZMIANY I STOSOWANIE KODEKSU

ROZDZIAŁ  1.

WPROWADZENIE

1.1. Niniejszy Kodeks Postępowania dla Doradców Podatkowych w sprawie ochrony danych osobowych (zwany w dalszej części "Kodeksem") ma na celu sprecyzowanie zasad ochrony danych osobowych dla podmiotów uprawnionych do zawodowego wykonywania czynności doradztwa podatkowego, zapewniając adekwatny i proporcjonalny sposób zabezpieczenia danych osobowych przetwarzanych przez takie podmioty.

1.2. Kodeks sporządzony został w celu ułatwienia stosowania Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (zwanego w dalszej części "RODO"), z uwzględnieniem szczególnych cech przetwarzania danych osobowych przez doradców podatkowych oraz szczególnych potrzeb mikroprzedsiębiorstw oraz małych i średnich przedsiębiorstw działających w tej branży.

1.3. Podmiotem tworzącym niniejszy Kodeks w rozumieniu art. 40 RODO jest Krajowa Izba Doradców Podatkowych (zwana w dalszej części "KIDP"), będąca niezależnym samorządem zawodowym doradców podatkowych. KIDP podejmuje działania na rzecz opracowania, zmiany lub rozszerzenia zakresu Kodeksu oraz deklaruje wolę wystąpienia o jego zatwierdzenie do Prezesa Urzędu Ochrony Danych Osobowych zgodnie z procedurą określoną w przepisach prawa i niniejszym Kodeksie.

1.4. KIDP wykonuje zadania poprzez Komitet ds. danych osobowych. Sposób wyboru Komitetu, jego funkcjonowanie oraz szczegółowe kompetencje i procedury określają wewnętrzne uchwały Krajowej Rady Doradców Podatkowych (zwanej w dalszej części "KRDP").

1.5. Stosowanie niniejszego Kodeksu stanowić może okoliczność potwierdzającą wywiązywanie z obowiązków nałożonych przez RODO na doradców podatkowych, działających w roli administratora danych osobowych lub podmiotu przetwarzającego dane osobowe, w szczególności w zakresie określonym w art. 28 ust. 5 RODO oraz art. 32 ust. 3 RODO.

1.6. Kodeks zawiera regulacje mające na celu:

1.6.1. ułatwienie wdrożenia odpowiednich środków zabezpieczenia danych osobowych z uwzględnieniem cech przetwarzania danych osobowych przez doradców podatkowych;

1.6.2. ułatwienie wykazania przestrzegania przepisów prawa dotyczących ochrony danych osobowych, w szczególności jeżeli chodzi o identyfikowanie ryzyka związanego z przetwarzaniem, jego ocenę pod kątem źródła, charakteru, prawdopodobieństwa i wagi zagrożenia oraz o najlepsze praktyki pozwalające zminimalizować to ryzyko;

1.6.3. ograniczenie ryzyka naruszenia praw i wolności osób fizycznych, jakie może wiązać się z przetwarzaniem danych osobowych przez doradców podatkowych;

1.6.4. ułatwienie klientom doradcy podatkowego określenia, czy dany doradca podatkowy stosuje adekwatne mechanizmy zabezpieczenia przetwarzania danych osobowych;

1.6.5. zwiększenie zaufania do doradców podatkowych i podmiotów przestrzegających Kodeksu.

1.7. Kodeks zawiera zbiór zasad precyzujących obowiązki administratorów danych osobowych oraz podmiotów przetwarzających dane osobowe w szczególności w odniesieniu do:

1.7.1. rzetelnego i przejrzystego przetwarzania danych osobowych oraz pozostałych ogólnych zasad dotyczących przetwarzania danych osobowych, określonych w art. 5 RODO;

1.7.2. prawnie uzasadnionych interesów realizowanych przez administratorów w określonych kontekstach w rozumieniu art. 6 ust. 1 lit. f RODO;

1.7.3. zasad zbierania i przetwarzania danych osobowych;

1.7.4. informowania osób, których dane dotyczą o sposobach i zasadach przetwarzania ich danych osobowych oraz przysługujących uprawnieniach w trybie określonym w art. 13-14 RODO;

1.7.5. wykonywania przez osoby, których dane dotyczą, przysługujących im praw określonych w art. 15-20 RODO;

1.7.6. retencji, w tym anonimizacji danych osobowych;

1.7.7. środków i procedur technicznych i organizacyjnych, stosowanych przez doradców podatkowych, zapewniających by przetwarzanie danych osobowych odbywało się zgodnie przepisami prawa, w szczególności zgodnie z zasadami określonymi w art. 24 RODO;

1.7.8. środków i procedur zapewniających stosowanie zasad ochrony danych w fazie projektowania oraz domyślnej ochrony danych, określonych w art. 25 RODO;

1.7.9. środków technicznych i organizacyjnych stosowanych przez doradców podatkowych, zapewniających zabezpieczenia danych osobowych odpowiadające ryzykom naruszenia praw lub wolności osób fizycznych w związku z przetwarzaniem zgodnie z przepisami prawa, w szczególności art. 32 RODO;

1.7.10. zgłaszania organowi nadzorczemu naruszeń ochrony danych osobowych oraz zawiadamiania o takich naruszeniach osób, których dane dotyczą w sposób określony w art. 33-34 RODO;

1.7.11. ogólnych zasad przekazywania danych osobowych do państw trzecich lub organizacji międzynarodowych w sposób określony w art. 44-49 RODO;

1.7.12. postępowań pozasądowych oraz innych trybów rozstrzygania sporów w celu rozstrzygania sporów między administratorami a osobami, których dane dotyczą, w zakresie przetwarzania, w rozumieniu art. 78 RODO;

1.8. Kodeks zawiera przykładową dokumentację wzorcową, pozwalającą na praktyczne wdrożenie zasad zabezpieczenia danych osobowych przez doradców podatkowych w poszczególnych aspektach i obszarach zastosowania RODO i innych przepisów prawa dotyczących danych osobowych.

1.9. Dokumentacja wzorcowa o której mowa powyżej stanowi załączniki do Kodeksu. Dokumentacja każdorazowo powinna zostać przeanalizowana przez doradcę podatkowego pod kątem dostosowania do specyfiki, rodzaju i zakresu prowadzonej działalności. W przypadku wątpliwości doradca podatkowy powinien skonsultować sposób postępowania z osobami posiadającymi wiedzę specjalistyczną w zakresie prawa ochrony danych osobowych.

1.10. Zasady przetwarzania danych osobowych przyjęte przez doradcę podatkowego i zastosowane środki techniczne i organizacyjne zabezpieczające przetwarzanie tych danych każdorazowo powinny zostać dostosowane do charakteru, zakresu, kontekstu i celów przetwarzania oraz związanych z nim ryzyk naruszenia praw lub wolności osób fizycznych.

1.11. Środki o których mowa powyżej są poddawane regularnym przeglądom i uaktualniane. Jeżeli jest to proporcjonalne w stosunku do czynności przetwarzania, środki te obejmują także wdrożenie przez doradcę podatkowego odpowiednich polityk ochrony danych.

1.12. Konkretne środki zastosowane przez doradcę podatkowego, przyjęte w celu zapewnienia zgodności przetwarzania danych osobowych z przepisami prawa, mogą być zróżnicowane i każdorazowo dopasowane do ryzyk związanych z przetwarzaniem tych danych.

1.13. Zasady wskazane w niniejszym Kodeksie powinny być stosowane z uwzględnieniem uwarunkowań związanych z przetwarzaniem oraz skali działalności doradcy podatkowego, ze szczególnym uwzględnieniem doradców podatkowych nieprzetwarzających danych osobowych na dużą skalę.

ROZDZIAŁ  2.

DEFINICJE

Na potrzeby Kodeksu stosuje się następujące definicje:

2.1. "administrator" oznacza administratora danych osobowych w rozumieniu art. 4 pkt 7 RODO, t.j. osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych;

2.2. "anonimizacja" oznacza trwałą i nieodwracalną modyfikację danych osobowych w sposób, który uniemożliwi późniejsze, pośrednie lub bezpośrednie, zidentyfikowanie osoby fizycznej, w szczególności na podstawie imienia, nazwiska, numeru identyfikacyjnego, danych teleadresowych, lub szczególnych czynników określających fizyczną, fizjologiczną, genetyczną tożsamość osoby fizycznej;

2.3. "dane osobowe" oznaczają wszelkie informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"), to jest osobie którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej (art. 4 pkt 1 RODO);

2.4. "dane osobowe dotyczące zdrowia" oznaczają dane osobowe o zdrowiu fizycznym lub psychicznym osoby fizycznej - w tym o korzystaniu z usług opieki zdrowotnej - ujawniające informacje o stanie jej zdrowia (art. 4 pkt 15 RODO);

2.5. "doradca podatkowy" oznacza podmiot prawa uprawniony do wykonywania czynności doradztwa podatkowego w rozumieniu art. 2 ustawy o doradztwie podatkowym, działający w jednej z form prawnych określonych w art. 3 lub art. 4 ustawy o doradztwie podatkowym.

2.6. "KIDP" oznacza Krajową Izbę Doradców Podatkowych;

2.7. "KRDP" oznacza Krajową Radę Doradców Podatkowych;

2.8. "klient doradcy podatkowego" oznacza osobę fizyczną, osobę prawną lub inny podmiot prawa na rzecz którego doradca podatkowy świadczy usługi doradztwa podatkowego, niezależnie od formy prawnej w jakiej działa ten podmiot i formy w jakiej usługa jest świadczona. Za klienta doradcy podatkowego uważa się także przedstawicieli (np. personel administracyjny, pełnomocnicy, pracownicy) wyżej wskazanych podmiotów;

2.9. "Kodeks" oznacza Kodeks Postępowania dla Doradców Podatkowych w sprawie ochrony danych osobowych;

2.10. "Komitet ds. ochrony danych osobowych" oznacza powołany przez Krajową Radę Doradców Podatkowych komitet odpowiedzialny za przygotowanie i zatwierdzenie Kodeksu oraz za wskazane w Kodeksie oraz wewnętrznych uchwałach KRDP inne obszary związane z ochroną danych osobowych i stosowaniem Kodeksu;

2.11. "naruszenie ochrony danych osobowych" oznacza naruszenie bezpieczeństwa danych osobowych prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych (art. 4 pkt 12 RODO);

2.12. "obszar przetwarzania danych" oznacza wszystkie pomieszczenia znajdujące się we wszystkich lokalizacjach, w których doradca podatkowy przetwarza dane osobowe w jakiejkolwiek formie we własnym imieniu (jako administrator lub podmiot przetwarzający dane osobowe);

2.13. "odbiorca" oznacza osobę fizyczną lub prawną, organ publiczny, jednostkę lub inny podmiot, któremu ujawnia się dane osobowe, niezależnie od tego, czy jest stroną trzecią. Organy publiczne, które mogą otrzymywać dane osobowe w ramach konkretnego postępowania zgodnie z prawem Unii Europejskiej lub prawem jej państwa członkowskiego, nie są jednak uznawane za odbiorców (art. 4 pkt 9 RODO);

2.14. "ograniczenie przetwarzania" oznacza odpowiednie oznaczenie przechowywanych danych osobowych w celu ograniczenia ich przyszłego przetwarzania (art. 4 pkt 3 RODO), w tym na żądanie osoby której dane osobowe są przetwarzane na podstawie art. 18 RODO;

2.15. "organ nadzorczy" oznacza niezależny organ publiczny ustanowiony przez państwo członkowskie, to jest w Polsce Prezesa Urzędu Ochrony Danych Osobowych;

2.16. "podmiot monitorujący" oznacza podmiot prawa odpowiedzialny za monitorowanie przestrzegania Kodeksu, wybrany przez KRDP w procedurze określonej w niniejszym Kodeksie spośród podmiotów akredytowanych przez Prezesa Urzędu Ochrony Danych Osobowych, spełniający wymogi określone w art. 41 RODO;

2.17. "podmiot przestrzegający Kodeksu" oznacza doradcę podatkowego w rozumieniu niniejszego Kodeksu, który podjął się dobrowolnie przestrzegania postanowień Kodeksu poprzez złożenie stosownego oświadczenia woli w sposób określony w niniejszym Kodeksie i którego wniosek o przystąpienie do grona doradców podatkowych przestrzegających Kodeksu został pozytywnie rozpatrzony przez KRDP w sposób określony w niniejszym Kodeksie;

2.18. "podmiot przetwarzający" oznacza osobę fizyczną, prawną, organ publiczny lub inny podmiot, który przetwarza dane osobowe w imieniu administratora (art. 4 pkt 8 RODO);

2.19. "profilowanie" oznacza każdą formę zautomatyzowanego przetwarzania danych osobowych, która polega na ich wykorzystaniu do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się (art. 4 pkt 4 RODO);

2.20. "przetwarzanie" oznacza operację lub zestaw operacji wykonywanych na danych osobowych lub zbiorach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie danych osobowych (art. 4 pkt 2 RODO);

2.21. "pseudonimizacja" oznacza przetworzenie danych osobowych w taki sposób, by nie można ich było już przypisać do konkretnej osoby której dotyczą bez użycia dodatkowych informacji, pod warunkiem że takie dodatkowe informacje są przechowywane osobno i są objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej (art. 4 pkt 5 RODO);

2.22. "RODO" oznacza Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych);

2.23. "strona trzecia" oznacza osobę fizyczną lub prawną, organ publiczny lub inny podmiot niebędący osobą, której dane dotyczą, administratorem, podmiotem przetwarzającym bądź osobą, która z upoważnienia administratora lub podmiotu przetwarzającego może przetwarzać dane osobowe (art. 4 pkt 10 RODO);

2.24. "szczególne kategorie danych osobowych" oznacza dane osobowe ujawniające pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych oraz dane genetyczne, dane biometryczne przetwarzane w celu jednoznacznego zidentyfikowania osoby fizycznej oraz dane osobowe dotyczące zdrowia, seksualności lub orientacji seksualnej (art. 9 RODO);

2.25. "tajemnica zawodowa doradcy podatkowego" oznacza ustawowy obowiązek zachowania tajemnicy zawodowej przez doradcę podatkowego co do faktów i informacji, z którym zapoznał się w związku z wykonywaniem zawodu, na zasadach określonych w art. 37 ustawy o doradztwie podatkowym oraz zasadach etyki zawodowej określonych we właściwych uchwałach samorządu zawodowego doradców podatkowych;

2.26. "ustawa o doradztwie podatkowym" oznacza ustawę z dnia 5 lipca 1996 r. o doradztwie podatkowym;

2.27. "ustawa o ochronie danych osobowych" oznacza ustawę z dnia 10 maja 2018 r. o ochronie danych osobowych;

2.28. "współpracownik doradcy podatkowego" oznacza osobę fizyczną zatrudnioną, współpracującą lub wspierającą doradcę podatkowego w świadczeniu usług doradztwa podatkowego, niezależnie od formy współpracy, w tym osoby zatrudnione przez doradcę podatkowego lub świadczący na jego rzecz usługi na podstawie umowy cywilnoprawnej, które przetwarzają dane osobowe z upoważnienia doradcy podatkowego, według określonych przez niego poleceń i instrukcji;

2.29. "zbiór danych" oznacza uporządkowany zestaw danych osobowych dostępnych według określonych kryteriów, niezależnie od tego, czy zestaw ten jest scentralizowany, zdecentralizowany czy rozproszony funkcjonalnie lub geograficznie (art. 4 pkt 6 RODO);

2.30. "zgoda" osoby, której dane dotyczą oznacza dobrowolne, konkretne, świadome i jednoznaczne wyrażenie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, zezwala na przetwarzanie dotyczących jej danych osobowych (art. 4 pkt 11 RODO).

ROZDZIAŁ  3.

ZAKRES PODMIOTOWY I PRZEDMIOTOWY KODEKSU

3.1. Niniejszy Kodeks stosuje się do działalności podmiotów przestrzegających Kodeksu, to jest doradców podatkowych, którzy podjęli się dobrowolnie przestrzegania postanowień Kodeksu poprzez złożenie oświadczenia woli w sposób określony w rozdziale 17 Kodeksu i których wniosek o przystąpienie do grona doradców podatkowych przestrzegających Kodeksu został pozytywnie rozpatrzony przez KRDP w sposób określony w rozdziale 17 Kodeksu.

3.2. Podmiotem przestrzegającym Kodeksu może być podmiot uprawniony do wykonywania czynności doradztwa podatkowego określonych w art. 2 ustawy o doradztwie podatkowym w formie prawnej i na zasadach określonych w obowiązujących przepisach prawa.

3.3. Każdy podmiot przestrzegający Kodeksu zobowiązany jest do przestrzegania przy przetwarzaniu danych osobowych zasad wynikających z RODO, przepisów prawa krajowego oraz zasad wynikających z niniejszego Kodeksu.

3.4. Przystąpienie do stosowania Kodeksu jest dobrowolne. Doradca podatkowy może w każdej chwili zrezygnować z bycia podmiotem przestrzegającym Kodeksu składając stosowne oświadczenie woli do KRDP.

3.5. KRDP prowadzi rejestr podmiotów przestrzegających Kodeksu.

3.6. KRDP upoważnia podmioty przestrzegające Kodeksu do potwierdzenia przestrzegania zasad ochrony danych osobowych określonych w Kodeksie poprzez umieszczanie na stronie internetowej i w materiałach informacyjnych doradcy podatkowego oznaczenia jako podmiot przestrzegający Kodeksu Postępowania dla Doradców Podatkowych w sprawie ochrony danych osobowych lub stosownego znaku graficznego, na zasadach określonych przez stosowne uchwały KRDP.

3.7. Kodeks stosuje się do podmiotów przestrzegających Kodeksu mających swoją siedzibę na terytorium Polski lub świadczących usługi doradztwa podatkowego na terytorium Polski.

3.8. Doradca podatkowy jest obowiązany zachować w tajemnicy fakty i informacje, z którymi zapoznał się w związku z wykonywaniem zawodu na zasadach określonych w art. 37 ustawy o doradztwie podatkowym. Obowiązek zachowania tajemnicy zawodowej nie ustaje w przypadku, gdy z żądaniem ujawnienia informacji uzyskanych przez doradcę podatkowego albo osoby z nim współpracujące, w związku z wykonywaniem doradztwa podatkowego występuje Prezes Urzędu Ochrony Danych Osobowych.

3.9. W zakresie, w jakim przepisy prawa, w szczególności przepisy ustawy o doradztwie podatkowym nakładają na doradców podatkowych obowiązki zachowania tajemnicy zawodowej doradcy podatkowego lub innej tajemnicy zawodowej i obowiązki te przewidują dalej idącą ochronę danych osobowych niż postanowienia RODO lub niniejszego Kodeksu, w pierwszej kolejności stosuje się przepisy dotyczące zachowania takiej tajemnicy. Postanowienia niniejszego Kodeksu stosuje się jedynie uzupełniająco w tych obszarach, w których brak jest przepisów prawa odnoszących się do ochrony danych osobowych, w tym RODO. W przypadku kolizji zasad wynikających z niniejszego Kodeksu z przepisami prawa pierwszeństwo mają przepisy prawa.

3.10. Doradca podatkowy może przetwarzać, w zależności od okoliczności i kontekstu przetwarzania oraz z zachowaniem zasady minimalizacji danych, dane osobowe dotyczące następujących kategorii osób:

3.10.1. dane osobowe klienta doradcy podatkowego;

3.10.2. dane osobowe pracowników bądź współpracowników (personelu) klienta doradcy podatkowego;

3.10.3. dane osobowe członków rodzin pracowników bądź współpracowników (personelu) klienta doradcy podatkowego;

3.10.4. dane osobowe osób uczestniczących w postępowaniach sądowych i administracyjnych prowadzonych przez doradcę podatkowego;

3.10.5. dane osobowe innych osób fizycznych, których przetwarzanie jest niezbędne w celu wykonania obowiązków wynikających z przepisów prawa (np. beneficjentów rzeczywistych, osób zajmujących eksponowane stanowiska polityczne).

3.11. Doradca podatkowy może przetwarzać, w zależności od okoliczności i kontekstu przetwarzania oraz z zachowaniem zasady minimalizacji danych, następujące kategorie danych osobowych osób wskazanych w punkcie 3.10. niniejszego Kodeksu:

3.11.1. imię (imiona);

3.11.2. nazwisko;

3.11.3. nazwisko rodowe

3.11.4. pseudonim (identyfikator);

3.11.5. stanowisko (funkcja);

3.11.6. miejsce urodzenia;

3.11.7. data urodzenia;

3.11.8. obywatelstwo;

3.11.9. nazwa firmy;

3.11.10. numer PESEL;

3.11.11. numer KRS;

3.11.12. numer REGON;

3.11.13. numer NIP;

3.11.14. seria, numer i data ważności dowodu osobistego, paszportu lub innego dokumentu potwierdzającego tożsamość;

3.11.15. adres zamieszkania;

3.11.16. adres zameldowania;

3.11.17. adres do korespondencji;

3.11.18. adres e-mail;

3.11.19. numer telefonu;

3.11.20. numer rachunku bankowego;

3.11.21. dane finansowe pozwalające na identyfikację osoby fizycznej (tzw. identyfikatory);

3.11.22. inne dane finansowe, w tym dotyczące okoliczności przeprowadzonych transakcji, o ile ich przetwarzanie jest niezbędne do wypełnienia obowiązków wynikających z przepisów prawa lub w celu prawidłowego świadczenia usługi;

3.11.23. w przypadku osób zatrudnionych na umowę o pracę - dane osobowe określone w art. 221 ustawy z dnia 26 czerwca 1974 r. Kodeks Pracy;

3.11.24. szczególne kategorie danych osobowych, w szczególności dane osobowe dotyczące zdrowia, w tym dotyczące niepełnosprawności;

3.11.25. dane osobowe, których przetwarzanie jest niezbędne w celu wykonania obowiązków wynikających wprost z przepisów prawa.

3.12. Przetwarzanie danych osobowych innych kategorii osób fizycznych lub innych kategorii danych osobowych wymaga przeprowadzenia każdorazowej analizy pod kątem niezbędności ich przetwarzania, ochrony praw i wolności osób fizycznych oraz przestrzegania zasady minimalizacji przetwarzania danych osobowych.

3.13. Doradca podatkowy, w zależności od kontekstu przetwarzania danych osobowych, może występować w roli administratora, podmiotu przetwarzającego albo współpracownika innego doradcy podatkowego. W tym ostatnim przypadku doradca podatkowy przetwarza dane osobowe w imieniu innego administratora, na podstawie otrzymanego upoważnienia do przetwarzania danych osobowych.

3.14. Kodeks nie ma zastosowania do przetwarzania przez doradców podatkowych danych osobowych pracowników, współpracowników oraz kandydatów do pracy.

ROZDZIAŁ  4.

OGÓLNE ZASADY PRZETWARZANIA DANYCH OSOBOWYCH

4.1. Kodeks sprzyja realizacji ogólnych zasad przetwarzania danych osobowych określonych w art. 5 RODO.

4.2. Przetwarzanie danych osobowych przez doradców podatkowych zawsze następuje zgodnie z zasadą zgodności przetwarzania z prawem, w tym przepisami RODO oraz ustaw krajowych oraz rzetelności i przejrzystości, gwarantującymi transparentność operacji przetwarzania danych osobowych (art. 5 ust. 1 lit. a RODO). Realizacja tej zasady następuje w szczególności poprzez:

4.2.1. każdorazowe zidentyfikowanie podstawy prawnej przetwarzania danych osobowych;

4.2.2. realizację praw klientów doradcy podatkowego oraz praw innych osób, których dane osobowe przetwarza doradca podatkowy;

4.2.3. informowanie klientów doradcy podatkowego oraz innych osób, których dane osobowe są przetwarzane o celach, zasadach i sposobach przetwarzania ich danych osobowych w zwięzłej, przejrzystej, zrozumiałej i łatwo dostępnej formie, jasnym i prostym językiem, z dostosowaniem do danego kanału komunikacji.

4.3. Przetwarzanie danych osobowych następuje zgodnie z zasadą ograniczenia celu przetwarzania określoną w art. 5 ust. 1 lit. b RODO, zgodnie z którą doradca podatkowy zbiera dane osobowe wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach i przetwarza je wyłącznie w sposób zgodny z tymi celami. Wykaz przykładowych celów przetwarzania znajduje się w Załączniku nr 1 do niniejszego Kodeksu.

4.4. Przetwarzanie danych osobowych następuje zgodnie z zasadą minimalizacji ich przetwarzania określoną w art. 5 ust. 1 lit. c RODO, zgodnie z którą doradca podatkowy przetwarza dane osobowe w zakresie adekwatnym, minimalnym i niezbędnym do osiągnięcia celów przetwarzania. Realizacja tej zasady następuje w szczególności w procesach tworzenia nowych i modyfikacji już istniejących usług, procesów, procedur i systemów oraz w procedurach związanych z retencją danych na zasadach określonych w rozdziale 14 Kodeksu.

4.5. Przetwarzanie danych osobowych następuje zgodnie z zasadą prawidłowości określoną w art. 5 ust. 1 lit. d RODO, zgodnie z którą doradca podatkowy podejmuje wszelkie niezbędne działania zapewniające prawidłowość i zgodność ze stanem faktycznym wszelkich przetwarzanych danych osobowych i w razie potrzeby uaktualnia, uzupełnia i prostuje nieprawidłowe dane osobowe, a w razie braku możliwości podjęcia takich działań nieprawidłowe dane usuwa. Realizacja tej zasady następuje w szczególności poprzez umożliwienie realizacji prawa osoby fizycznej do sprostowania lub uzupełnienia danych osobowych (art. 16 RODO), na zasadach określonych w rozdziale 10 Kodeksu.

4.6. Przetwarzanie danych osobowych następuje zgodnie z zasadą ograniczenia przechowywania określoną w art. 5 ust. 1 lit. e RODO, zgodnie z którą doradca podatkowy przetwarza dane osobowe w formie umożliwiającej identyfikację osoby której dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów przetwarzania, z zastrzeżeniem możliwości ich dalszego przetwarzania wyłącznie w celach archiwalnych, statystycznych lub do celów badań naukowych lub historycznych, z zachowaniem przepisów prawa i odpowiednich środków technicznych i organizacyjnych zabezpieczających dane osobowe. Realizacja tej zasady następuje w szczególności poprzez wprowadzenie i stosowanie procedur dotyczących okresowej retencji danych osobowych (na zasadach określonych w rozdziale 14 Kodeksu) oraz realizowania prawa osoby fizycznej do usunięcia jej danych osobowych (art. 17 RODO) na zasadach określonych w rozdziale 10 Kodeksu.

4.7. Przetwarzanie danych osobowych następuje zgodnie z zasadą integralności i poufności określoną w art. 5 ust. 1 lit. f RODO, zgodnie z którą doradca podatkowy przetwarza dane osobowe w sposób zapewniający odpowiednie ich zabezpieczenie, w tym ochronę przed niezgodnym z prawem przetwarzaniem oraz przypadkową utratą, zniszczeniem lub uszkodzeniem. Realizacja tej zasady następuje w szczególności poprzez odpowiednie zabezpieczenie danych osobowych w sposób określony w rozdziale 15 Kodeksu oraz procedury dotyczące naruszeń ochrony danych w zakresie określonym w rozdziale 11 Kodeksu.

4.8. Przetwarzanie danych osobowych następuje zgodnie z zasadą rozliczalności określoną w art. 5 ust. 2 RODO, co oznacza że doradca podatkowy jest zdolny do wykazania przestrzegania przepisów prawa dotyczących ochrony danych osobowych, w tym poprzez wdrożenie odpowiednich procedur i polityk oraz prowadzenie odpowiednich rejestrów, w tym rejestrów czynności przetwarzania (rozdział 6 Kodeksu), rejestru incydentów i naruszeń (rozdział 11 Kodeksu).

4.9. Przystąpienie przez doradcę podatkowego do niniejszego Kodeksu i zobowiązanie się do jego przestrzegania stanowi jeden z przejawów realizacji zasady rozliczalności przetwarzania danych osobowych uregulowanej w art. 5 ust. 2 RODO.

ROZDZIAŁ  5.

PODSTAWY PRZETWARZANIA DANYCH OSOBOWYCH

5.1. Doradca podatkowy jest uprawniony do przetwarzania danych osobowych wyłącznie w przypadku spełnienia co najmniej jednej z przesłanek legalizujących przetwarzanie danych osobowych, określonych w art. 6 RODO. W szczególności dane osobowe mogą być przetwarzane przez doradcę podatkowego jeżeli:

5.1.1. osoba, której dane dotyczą wyraziła zgodę na przetwarzanie swoich danych osobowych w jednym lub większej liczbie określonych celów (podstawa prawna: art. 6 ust. 1 lit. a RODO), przykładowo zgoda osoby rekrutowanej przez doradcę podatkowego na wykorzystanie danych w przyszłych procesach rekrutacyjnych;

5.1.2. przetwarzanie danych osobowych jest niezbędne do wykonania umowy, której stroną jest osoba, której dane dotyczą lub do podjęcia działań na wniosek takiej osoby przed zawarciem umowy (podstawa prawna: art. 6 ust. 1 lit. b RODO), przykładowo kontakt z potencjalnym klientem w ramach negocjacji zmierzających do zawarcia umowy, przesłanie oferty lub wykonanie umowy łączącej doradcę podatkowego z klientem doradcy podatkowego;

5.1.3. przetwarzanie danych osobowych jest niezbędne do wypełnienia obowiązku prawnego ciążącego na doradcy podatkowym (podstawa prawna: art. 6 ust. 1 lit. c RODO), przykładowo obowiązek doradcy podatkowego przechowywania przez okres 5 lat zawierających dane osobowe kopii sporządzanych na piśmie opinii, wystąpień w imieniu podatników, płatników, inkasentów i innych osób w sprawach obowiązków podatkowych, a także udzielonych im porad, na podstawie art. 39 ustawy o doradztwie podatkowym, obowiązek przetwarzania danych w celach zapobiegania i przeciwdziałania oszustwom oraz realizacji obowiązków wynikających z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu;

5.1.4. przetwarzanie jest niezbędne do celów wynikających z prawnie uzasadnionych interesów realizowanych przez doradcę podatkowego lub stronę trzecią, z wyjątkiem sytuacji, w których w świetle rozsądnych oczekiwań osób których dane dotyczą, opartych na ich powiązaniach z administratorem, nadrzędny charakter wobec interesów doradcy podatkowego lub strony trzeciej mają interesy lub podstawowe prawa i wolności osoby, której dane dotyczą, wymagające ochrony danych osobowych (podstawa prawna: art. 6 ust. 1 lit. f RODO), przykładowo: przetwarzanie danych osobowych w celu marketingu bezpośredniego (wysyłanie informacji dotyczących zakresu świadczonych usług, newslettera, kartek okolicznościowych itp. z zachowaniem wymogów wynikających z ustawy o świadczeniu usług drogą elektroniczną lub ustawy Prawo telekomunikacyjne), w celu obrony przed roszczeniami bądź ustalenia lub dochodzenia roszczeń, czy w ramach przetwarzania danych osobowych osób fizycznych działających w imieniu klientów doradcy podatkowego.

5.1.6.1. Aby stwierdzić istnienie prawnie uzasadnionego interesu, należy w każdym przypadku przeprowadzić dokładną ocenę, obejmującą w szczególności to, czy w czasie i w kontekście, w którym przetwarzane są dane osobowe, osoba, której dane dotyczą, ma rozsądne przesłanki by spodziewać się, że może nastąpić przetwarzanie danych w tym celu.

5.2. Doradca podatkowy przetwarza szczególne kategorie danych osobowych określone w art. 9 ust. 1 RODO jednie w wyjątkowych przypadkach gdy jest to niezbędne do prawidłowego wykonywania działalności, wyłącznie w przypadku spełnienia co najmniej jednej z przesłanek legalizujących przetwarzanie danych osobowych, określonych w art. 9 ust. 1 RODO.

5.3. Szczególne kategorie danych osobowych mogą być przetwarzane przez doradcę podatkowego w szczególności jeżeli:

5.3.1. osoba, której dane dotyczą, wyraziła wyraźną zgodę na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii lub prawo państwa członkowskiego przewidują, iż osoba, której dane dotyczą, nie może udzielić takiej zgody (podstawa prawna: art. 9 ust. 2 lit. a RODO);

5.3.2. przetwarzanie jest niezbędne do wypełnienia obowiązków i wykonywania szczególnych praw przez administratora lub osobę, której dane dotyczą, w dziedzinie prawa pracy, zabezpieczenia społecznego i ochrony socjalnej, o ile jest to dozwolone prawem Unii lub prawem państwa członkowskiego (podstawa prawna: art. 9 ust. 2 lit. b RODO);

5.3.3. przetwarzanie dotyczy danych osobowych w sposób oczywisty upublicznionych przez osobę, której dane dotyczą (podstawa prawna: art. 9 ust. 2 lit. e RODO);

5.3.4. przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony roszczeń lub w ramach sprawowania wymiaru sprawiedliwości przez sądy (podstawa prawna: art. 9 ust. 2 lit. f RODO);

5.3.5. przetwarzanie jest niezbędne do celów profilaktyki zdrowotnej lub medycyny pracy, do oceny zdolności pracownika do pracy, diagnozy medycznej, zapewnienia opieki zdrowotnej lub zabezpieczenia społecznego, leczenia lub zarządzania systemami i usługami opieki zdrowotnej lub zabezpieczenia społecznego na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego lub zgodnie z umową z pracownikiem służby zdrowia i z zastrzeżeniem zastosowania odpowiednich warunków i zabezpieczeń określonych w art. 9 ust. 3 RODO (podstawa prawna: art. 9 ust. 2 lit. h RODO).

5.4. Doradca podatkowy przetwarza dane osobowe dotyczące wyroków skazujących i naruszeń prawa określone w art. 10 RODO jednie w przypadkach, gdy ich przetwarzanie jest niezbędne do wykonania obowiązków wynikających z przepisów prawa, przykładowo gdy ustawa stawia wymóg niekaralności na danym stanowisku pracy.

5.5. Przetwarzanie danych osobowych dotyczących wyroków skazujących i naruszeń prawa dopuszczalne jest wyłącznie pod nadzorem władz publicznych lub jeżeli przetwarzanie jest dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego przewidującymi odpowiednie zabezpieczenia praw i wolności osób, których dane dotyczą. Wszelkie kompletne rejestry wyroków skazujących są prowadzone wyłącznie pod nadzorem władz publicznych.

5.6. Przez zgodę osoby, której dane dotyczą, należy rozumieć dobrowolne, konkretne, świadome i jednoznaczne wyrażenie woli, którym osoba, której dane dotyczą, w formie oświadczenia lub wyraźnego działania potwierdzającego, zezwala na przetwarzanie dotyczących jej danych osobowych.

5.7. Jeśli zgoda osoby ma stanowić wyłączną podstawę prawną przetwarzania danych w określonym celu, wyrażenie zgody przez osobę fizyczną powinno nastąpić przed faktycznym rozpoczęciem przetwarzania.

5.8. Zgoda może być wyrażona w dowolnej formie (ustnej, dokumentowej, elektronicznej, pisemnej), w tym w szczególności poprzez złożenie przez osobę podpisu tradycyjnego, złożenie podpisu elektronicznego, zaznaczenie okienek wyboru, oświadczenie o wyrażeniu zgody przesłane w formie dokumentowej np. wiadomością tekstową lub email lub zgoda wyrażona w formie ustnej, pod warunkiem, że doradca podatkowy będzie w stanie wykazać fakt wyrażenia takiej zgody zgodnie z zasadą rozliczalności.

5.9. Doradca podatkowy w każdym czasie umożliwia osobie, która wyraziła zgodę, wycofanie tej zgody w sposób równie łatwy, jak było jej wyrażenie, przy czym cofnięcie zgody może nastąpić również w innej formie niż jej wyrażenie. Cofnięcie zgody nie ma wpływu na legalność i dopuszczalność przetwarzania danych w okresie od jej wyrażenia do wycofania.

ROZDZIAŁ  6.

DORADCA PODATKOWY JAKO ADMINISTRATOR DANYCH OSOBOWYCH I JAKO PODMIOT PRZETWARZAJĄCY

6.1. Doradca podatkowy, w zależności od okoliczności związanych z przetwarzaniem danych osobowych, występować może jako:

6.1.1. administrator danych osobowych;

6.1.2. współadministrator danych osobowych;

6.1.3. podmiot przetwarzający dane osobowe;

6.1.4. współpracownik doradcy podatkowego.

6.2. W zakresie ustalenia statusu doradcy podatkowego decydujące znaczenie ma kryterium funkcjonalne i faktyczna rola doradcy podatkowego w procesach przetwarzania danych osobowych, a nie formalne zapisy umów.

6.3. W przypadku, gdy doradca podatkowy przetwarza dane osobowe w imieniu innego administratora lub podmiotu przetwarzającego, na podstawie uzyskanego upoważnienia do przetwarzania danych osobowych (np. świadcząc pracę lub usługi na rzecz innego doradcy podatkowego) występuje w roli współpracownika doradcy podatkowego. W takim przypadku przetwarza on dane osobowe zgodnie z uzyskanymi poleceniami i instrukcjami, na podstawie obowiązujących u pracodawcy lub zleceniodawcy procedur. Odpowiedzialność za przestrzeganie przepisów RODO ponosi w tym przypadku podmiot, który jest administratorem danych lub podmiotem przetwarzającym a nie współpracownik doradcy podatkowego.

6.4. Doradca podatkowy występuje jako administrator w sytuacji w której samodzielnie ustala cele i sposoby przetwarzania danych osobowych.

6.5. Administrator zobowiązany jest wdrożyć odpowiednie środki techniczne i organizacyjne, uwzględniające charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, aby przetwarzanie danych osobowych odbywało się w sposób zgodny z przepisami prawa i aby móc to wykazać. Środki te mogą polegać w szczególności na wdrożeniu i stosowaniu polityk ochrony danych osobowych i są poddawane regularnym przeglądom i uaktualniane.

6.6. Doradca podatkowy, który zobowiąże się przestrzegać zasad obowiązujących w Kodeksie i w sposób w nim przewidziany zostanie podmiotem przestrzegającym Kodeksu może ten fakt wykorzystywać jako element dla stwierdzenia przestrzegania obowiązków związanych z zapewnieniem bezpieczeństwa danych osobowych.

6.7. Doradca podatkowy w typowych przypadkach działa jako administrator danych osobowych w ramach wykonywania następujących czynności doradztwa podatkowego:

6.7.1. udzielanie klientom doradcy podatkowego będących podatnikami, płatnikami lub inkasentami, na ich zlecenie lub na ich rzecz, porad, opinii i wyjaśnień z zakresu ich obowiązków podatkowych i celnych oraz w sprawach egzekucji administracyjnej związanej z tymi obowiązkami;

6.7.2. reprezentowanie klientów doradcy podatkowego będących podatnikami, płatnikami lub inkasentami w postępowaniu przed organami administracji publicznej i w zakresie sądowej kontroli decyzji, postanowień i innych aktów administracyjnych w zakresie ich obowiązków podatkowych i celnych oraz w sprawach egzekucji administracyjnej związanej z tymi obowiązkami.

6.8. Doradca podatkowy może być także administratorem danych osobowych m.in. własnych pracowników bądź współpracowników oraz członków ich rodzin; klientów doradcy podatkowego oraz pracowników i współpracowników tych klientów i członków ich rodzin; osób, których dane doradca pozyskał w toku reprezentowania klientów w toku postępowań; osób, których dane osobowe są przetwarzane w ramach realizacji obowiązków wynikających z przepisów prawa, np. beneficjentów rzeczywistych.

6.9. Szczegółowy zakres typowych danych osobowych przetwarzanych przez doradców podatkowych określony został w pkt 3.10. i 3.11. niniejszego Kodeksu.

6.10. Jeżeli co najmniej dwóch administratorów wspólnie ustala cele i sposoby przetwarzania, są oni współadministratorami w rozumieniu art. 26 RODO. Przykładowo sytuacja taka może mieć miejsce w przypadku współadministrowania danymi osobowymi przez doradców podatkowych działających w formie spółki cywilnej lub innej formie prawnej przewidującej wspólne ustalanie celów i sposobów przetwarzania.

6.11. W drodze wspólnych uzgodnień współadministratorzy w przejrzysty sposób określają odpowiednie zakresy swojej odpowiedzialności dotyczącej wypełniania obowiązków wynikających RODO w zakresie określonym w art. 26 RODO. W szczególności w uzgodnieniach uwzględnione powinny zostać kwestie związane z realizacją uprawnień przysługujących osobom, których dane są przetwarzane, udzielaniem informacji związanej z przetwarzaniem danych osobowych określonych w art. 13-14 RODO oraz sposobami komunikacji ze współadministratorami.

6.12. Uzgodnienia, o których mowa w powyższym punkcie należycie odzwierciedlają odpowiednie zakresy obowiązków współadministratorów oraz relacje pomiędzy nimi a podmiotami, których dane dotyczą. Zasadnicza treść uzgodnień jest udostępniana podmiotom, których dane dotyczą, przykładowo poprzez ich opublikowanie w sposób powszechnie dostępny, np. na stronie internetowej. Niezależnie od tych uzgodnień, osoba której dane dotyczą może wykonywać przysługujące jej prawa wynikające z RODO wobec każdego z administratorów.

6.13. Z uwagi na fakt, że przetwarzanie danych osobowych przez doradców podatkowych nie ma charakteru sporadycznego i może powodować ryzyko naruszenia praw lub wolności osób fizycznych, doradca podatkowy działający jako administrator danych osobowych, zobowiązany jest do prowadzenia rejestru czynności przetwarzania o którym mowa w art. 30 ust. 1 RODO. Wzór rejestru czynności przetwarzania stanowi Załącznik nr 1 do Kodeksu.

6.14. Doradca podatkowy działa jako podmiot przetwarzający dane osobowe w sytuacji, gdy przetwarza dane osobowe w imieniu innego administratora, będącego zwykle klientem doradcy podatkowego. W takiej sytuacji cele, sposoby i zasady przetwarzania danych osobowych określa administrator, precyzując je w umowie powierzenia przetwarzania danych. Doradca podatkowy przetwarza dane osobowe wyłącznie w określonych w umowie celach i podlega realnemu nadzorowi ze strony podmiotu powierzającego przetwarzanie danych doradcy podatkowemu.

6.15. Doradca podatkowy w typowych przypadkach działa jako podmiot przetwarzający dane osobowe w ramach wykonywania następujących czynności doradztwa podatkowego:

6.15.1. prowadzenie, w imieniu i na rzecz klientów doradcy podatkowego, będących podatnikami, płatnikami lub inkasentami, ksiąg rachunkowych, ksiąg podatkowych i innych ewidencji do celów podatkowych oraz udzielanie im pomocy w tym zakresie;

6.15.2. sporządzanie, w imieniu i na rzecz klientów doradcy podatkowego będących podatnikami, płatnikami lub inkasentami, zeznań i deklaracji podatkowych lub udzielanie im pomocy w tym zakresie.

6.16. Jeżeli przetwarzanie danych osobowych przez doradcę podatkowego jako podmiot przetwarzający jest dokonywane w imieniu administratora, doradca podatkowy zobowiązany jest do zapewnienia wystarczających gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wynikające z przepisów prawa i chroniło prawa osób, których dane dotyczą.

6.17. Stosowanie niniejszego Kodeksu może być wykorzystane jako element dla stwierdzenia przestrzegania przez doradcę podatkowego ciążących na nim obowiązków i wykazania wdrożenia odpowiednich środków technicznych i organizacyjnych.

6.18. Doradca podatkowy, w zakresie w jakim działa jako podmiot przetwarzający, zobowiązany jest do prowadzenia rejestru kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO. Wzór rejestru kategorii czynności przetwarzania stanowi Załącznik nr 2 do Kodeksu.

6.19. Powierzenie przetwarzania danych osobowych doradcy podatkowemu odbywa się na podstawie umowy lub innego instrumentu prawnego o których mowa w art. 28 RODO, zawartych w formie pisemnej lub dokumentowej, które podlegają prawu Unii Europejskiej lub prawu państwa członkowskiego i wiążą podmiot przetwarzający i administratora, określając przedmiot i czas trwania przetwarzania, charakter i cel przetwarzania, rodzaj danych osobowych oraz kategorie osób, których dane dotyczą oraz obowiązki i prawa administratora. Taka umowa lub inny instrument stanowią w szczególności, że podmiot przetwarzający:

6.19.1. przetwarza dane osobowe wyłącznie na udokumentowane polecenie administratora - co dotyczy też przekazywania danych osobowych do państwa trzeciego lub organizacji międzynarodowej - chyba że obowiązek przetwarzania nakłada prawo Unii Europejskiej lub prawo państwa członkowskiego. W takim przypadku przed rozpoczęciem przetwarzania podmiot przetwarzający informuje administratora o tym obowiązku prawnym, o ile przepisy prawa nie zabraniają udzielania takiej informacji z uwagi na ważny interes publiczny;

6.19.2. zapewnia, by osoby upoważnione do przetwarzania danych osobowych zobowiązały się do zachowania tajemnicy lub by podlegały odpowiedniemu ustawowemu obowiązkowi zachowania tajemnicy;

6.19.3. podejmuje wszelkie środki zabezpieczające przetwarzanie danych osobowych, wymagane na mocy art. 32 RODO;

6.19.4. przestrzega warunków korzystania z usług innego podmiotu przetwarzającego, o których mowa w art. 28 ust. 2 i 4 RODO;

6.19.5. biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga administratorowi poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO;

6.19.6. uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO;

6.19.7. po zakończeniu świadczenia usług związanych z przetwarzaniem zależnie od decyzji administratora usuwa lub zwraca mu wszelkie dane osobowe oraz usuwa wszelkie ich istniejące kopie, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego nakazują przechowywanie danych osobowych;

6.19.8. udostępnia administratorowi wszelkie informacje niezbędne do wykazania spełnienia obowiązków określonych w niniejszym artykule oraz umożliwia administratorowi lub audytorowi upoważnionemu przez administratora przeprowadzanie audytów, w tym inspekcji i przyczynia się do nich w zakresie, w jakim audyty i inspekcje nie naruszają przepisów dotyczących zachowania tajemnicy zawodowej doradcy podatkowego;

6.20. Zawierając umowy powierzenia przetwarzania danych osobowych podmioty przestrzegające Kodeksu mogą stosować postanowienia zawarte we wzorze umowy powierzenia przetwarzania danych osobowych, stanowiącym Załącznik nr 3 do Kodeksu. Wzór umowy powierzenia przetwarzania każdorazowo powinien zostać poddany analizie i dostosowany do zakresu, rodzaju i kontekstu powierzenia przetwarzania danych osobowych. Doradca podatkowy może korzystać z własnych wzorów umów powierzenia przetwarzania danych osobowych lub wzorów umów powierzenia posiadanych przez KIDP.

6.21. Doradca podatkowy będący podmiotem przetwarzającym niezwłocznie informuje administratora, jeżeli jego zdaniem wydane mu polecenie stanowi naruszenie RODO lub innych przepisów Unii Europejskiej lub państwa członkowskiego o ochronie danych.

6.22. Doradca podatkowy działający jako podmiot przetwarzający nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej zgody administratora. W przypadku ogólnej zgody, podmiot przetwarzający informuje administratora o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów

przetwarzających, dając tym samym administratorowi możliwość wyrażenia sprzeciwu wobec takich zmian.

ROZDZIAŁ  7.

DORADCA PODATKOWY JAKO PODMIOT POWIERZAJĄCY PRZETWARZANIE DANYCH OSOBOWYCH

7.1. Jeżeli doradca podatkowy przy wykonywaniu czynności korzysta z usług innego podmiotu, któremu powierza przetwarzanie danych osobowych (przykładowo w przypadku zewnętrznego wsparcia w zakresie utrzymania systemów teleinformatycznych, księgowości, kampanii marketingowych, szkoleniowych itp.), taka strona trzecia zobowiązana jest do zapewnienia gwarancji wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi wynikające z RODO i chroniło prawa osób, których dane dotyczą.

7.2. Powierzenie przetwarzania danych osobowych przez doradcę podatkowego odbywa się na podstawie umowy lub innego instrumentu prawnego, na zasadach określonych w punktach 6.19 - 6.22 Kodeksu.

7.3. Podmiot któremu doradca podatkowy powierzył lub podpowierzył przetwarzanie danych osobowych nie korzysta z usług innego podmiotu przetwarzającego bez uprzedniej szczegółowej lub ogólnej zgody doradcy podatkowego. W przypadku ogólnej zgody podmiot, któremu doradca podatkowy powierzył przetwarzanie danych osobowych, informuje doradcę podatkowego o wszelkich zamierzonych zmianach dotyczących dodania lub zastąpienia innych podmiotów przetwarzających, dając tym samym doradcy podatkowemu możliwość wyrażenia sprzeciwu wobec takich zmian.

7.4. Podmiot któremu doradca podatkowy powierzył lub podpowierzył przetwarzanie danych osobowych zobowiązany jest do prowadzenia rejestru kategorii czynności przetwarzania o którym mowa w art. 30 ust. 2 RODO, którego wzór stanowi Załącznik nr 2 do Kodeksu.

7.5. Powierzenie przetwarzania danych osobowych doradca podatkowy zobowiązany jest uwzględnić w treści prowadzonego przez siebie rejestru czynności przetwarzania, o którym mowa w art. 30 ust. 1 RODO. Podpowierzenie przetwarzania danych osobowych doradca podatkowy zobowiązany jest uwzględnić w treści prowadzonego przez siebie rejestru kategorii czynności przetwarzania, o którym mowa w art. 30 ust. 2 RODO.

ROZDZIAŁ  8.

POWOŁANIE INSPEKTORA OCHRONY DANYCH

8.1. Doradca podatkowy wyznacza inspektora ochrony danych w przypadku spełnienia co najmniej jednej z przesłanek określonych w art. 37 RODO, wskazanych poniżej:

8.1.1. główna działalność doradcy podatkowego polega na operacjach przetwarzania, które ze względu na swój charakter, zakres lub cele wymagają regularnego i systematycznego monitorowania osób, których dane dotyczą, na dużą skalę, przykładowo w przypadku świadczenia czynności doradztwa podatkowego na rzecz wielu klientów i z udziałem dużej liczby doradców podatkowych i personelu;

8.1.2. główna działalność doradcy podatkowego polega na przetwarzaniu na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1 RODO oraz danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10 RODO.

8.2. Doradca podatkowy, określając czy przetwarzanie danych osobowych w konkretnym przypadku odbywa się na dużą skalę, uwzględnia liczbę podmiotów danych, zakres przetwarzanych danych, obszar, na którym dane są przetwarzane oraz czas ich przetwarzania. Szczegółowe wytyczne w zakresie interpretacji dostępne są w wytycznych dotyczących inspektorów ochrony danych Grupy Roboczej Art. 29 ds. Ochrony Danych (dostępne na stronie internetowej https://uodo.gov.pl/pl/10/7).

8.2.1. Przetwarzanie danych osobowych na dużą skalę oznacza przetwarzanie znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym.

8.2.2. Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych klientów i jest dokonywane przez pojedynczego doradcę podatkowego.

8.3. W przypadku braku spełnienia którejkolwiek z przesłanek wskazanych w punkcie 8.1., doradca podatkowy może fakultatywnie powołać inspektora ochrony danych, w celu zwiększenia poziomu bezpieczeństwa przetwarzania danych osobowych.

8.4. Podmiot przestrzegający Kodeksu zobowiązany jest do przeprowadzenia analizy zasadności powołania inspektora ochrony danych oraz udokumentowania jej przebiegu zgodnie z zasadą rozliczalności, w formie pisemnej lub dokumentowej (elektronicznej).

8.5. Inspektor ochrony danych jest wyznaczany na podstawie kwalifikacji zawodowych, a w szczególności wiedzy fachowej na temat prawa i praktyk w dziedzinie ochrony danych oraz umiejętności wypełnienia swoich zadań.

8.6. Inspektor ochrony danych może być członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywać zadania na podstawie umowy o świadczenie usług.

8.7. Doradca podatkowy publikuje dane kontaktowe inspektora ochrony danych, w szczególności na stronie internetowej oraz w materiałach informacyjnych dotyczących ochrony danych osobowych oraz zawiadamia o powołaniu inspektora ochrony danych organ nadzorczy, poprzez formularz dostępny na stronie internetowej https://uodo.gov.pl.

8.8. Grupa doradców podatkowych prowadzących działalność w formie odrębnych podmiotów prawa może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej. Przykładowo, powołanie wspólnego inspektora ochrony danych może nastąpić dla kilku doradców podatkowych, powiązanych ze sobą gospodarczo (np. prowadzących działalność w formie spółki cywilnej) lub organizacyjnie (np. mających siedzibę w tej samej lokalizacji).

8.9. Doradca podatkowy zapewnia, by inspektor ochrony danych był właściwie i niezwłocznie włączany we wszystkie sprawy dotyczące ochrony danych osobowych oraz wspiera jego działania, zapewniając zasoby niezbędne do wykonania zadań oraz dostęp do danych osobowych i operacji przetwarzania, a także zasoby niezbędne do utrzymania jego wiedzy fachowej, na zasadach określonych w art. 38 RODO.

8.10. Doradca podatkowy zapewnia, by inspektor ochrony danych nie otrzymywał instrukcji dotyczących wykonywania swoich zadań. Inspektor ochrony danych podlega bezpośrednio doradcy podatkowemu i nie może zostać odwołany lub ukarany przez doradcę podatkowego za wypełnianie swoich zadań.

8.11. Inspektor ochrony danych jest zobowiązany do zachowania tajemnicy i poufności co do wykonywania swoich zadań.

8.12. Inspektor ochrony danych wypełnia swoje zadania z należytym uwzględnieniem ryzyka związanego z operacjami przetwarzania, mając na uwadze charakter, zakres, kontekst i cele przetwarzania.

8.13. Do zadań inspektora ochrony danych, zgodnie z art. 39 RODO, należy:

8.13.1. kontakt z osobami, których dane są przetwarzane we wszystkich sprawach związanych z przetwarzaniem danych osobowych;

8.13.2. informowanie doradcy podatkowego oraz współpracowników doradcy podatkowego którzy przetwarzają dane osobowe o obowiązkach spoczywających na nich na mocy przepisów RODO i innych przepisów prawa dotyczących ochrony danych osobowych oraz doradzanie w tym zakresie;

8.13.3. monitorowanie przestrzegania przepisów RODO, innych przepisów prawa dotyczących ochrony danych osobowych oraz wewnętrznych polityk i procedur obowiązujących u doradcy podatkowego w dziedzinie ochrony danych osobowych, w szczególności w zakresie podziału obowiązków, działań zwiększających świadomość, szkoleń personelów i wewnętrznych audytów;

8.13.4. udzielanie na żądanie zaleceń co do oceny skutków dla ochrony danych oraz monitorowanie jej wykonania zgodnie z art. 35 RODO;

8.13.5. współpraca z organem nadzorczym;

8.13.6. pełnienie funkcji punktu kontaktowego dla organu nadzorczego w kwestiach związanych z przetwarzaniem danych osobowych, w tym z uprzednimi konsultacjami, o których mowa w art. 36 RODO oraz w stosownych przypadkach prowadzenie konsultacji we wszelkich innych sprawach.

8.14. Inspektor ochrony danych może wykonywać inne zadania i obowiązki, pod warunkiem że nie będą one powodowały konfliktu interesów i nie będą utrudniały realizowania zadań określonych w punkcie powyżej.

ROZDZIAŁ  9.

REALIZACJA OBOWIĄZKÓW INFORMACYJNYCH PRZEZ PODMIOTY PRZESTRZEGAJĄCE KODEKSU

9.1. Doradca podatkowy zobowiązany jest do udzielania każdej osobie, której dane są przetwarzane informacji dotyczącej przetwarzania jej danych osobowych w przypadku zbierania danych osobowych dotyczącej takiej osoby lub w przypadku zmiany celu przetwarzania danych osobowych w stosunku do celu, dla którego dane osobowe zostały pierwotnie zebrane.

9.2. Zakres obligatoryjnych informacji, który powinien zostać przekazany przez doradcę podatkowego osobie, której dane dotyczą, zgodnie z art. 13-14 RODO, obejmuje:

9.2.1. tożsamość i dane kontaktowe doradcy podatkowego;

9.2.2. cele przetwarzania danych osobowych;

9.2.3. podstawę prawną przetwarzania danych osobowych;

9.2.4. informacje o odbiorcach danych osobowych lub o kategoriach odbiorców danych osobowych;

9.2.5. oznaczenie okresu, przez który dane osobowe będą przechowywane, a gdy nie jest to możliwe - kryteria ustalania tego okresu;

9.2.6. informacje o prawie do żądania od doradcy podatkowego dostępu do danych osobowych dotyczących osoby, której dane dotyczą, ich sprostowania, usunięcia lub ograniczenia przetwarzania oraz o prawie do wniesienia sprzeciwu wobec przetwarzania, a także o prawie do przenoszenia danych;

9.2.7. informację o prawie wniesienia skargi do organu nadzorczego;

9.2.8. informację, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych;

9.2.9. informację o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu o którym mowa w art. 22 ust. 1 i 4 RODO oraz w przypadku zautomatyzowanego podejmowania decyzji - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą.

9.3. Dodatkowo, w przypadkach wskazanych poniżej, doradca podatkowy zobowiązany jest do przekazania informacji dotyczących:

9.3.1. tożsamości i danych kontaktowych przedstawiciela administratora danych osobowych w rozumieniu art. 4 pkt 17 RODO - jeżeli doradca podatkowy jest zobowiązany do jego powołania;

9.3.2. danych kontaktowych inspektora ochrony danych - jeżeli został on powołany przez doradcę podatkowego;

9.3.3. prawnie uzasadnionych interesów realizowanych przez doradcę podatkowego lub przez stronę trzecią - jeżeli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. f RODO;

9.3.4. źródeł pochodzenia danych osobowych oraz gdy ma to zastosowanie informacji czy pochodzą one ze źródeł publicznie dostępnych - jeżeli dane osobowe zostały pozyskane z innego źródła niż bezpośrednio od osoby, której dane dotyczą;

9.3.5. kategorii przetwarzanych danych osobowych - jeżeli dane osobowe zostały pozyskane z innego źródła niż bezpośrednio od osoby, której dane dotyczą;

9.3.6. zamiaru przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowej oraz o stwierdzeniu lub braku stwierdzenia przez Komisję Europejską odpowiedniego stopnia ochrony lub w przypadku przekazania, o którym mowa w art. 46 RODO, art. 47 RODO lub art. 49 ust. 1 akapit drugi RODO - wzmiankę o odpowiednich lub właściwych zabezpieczeniach oraz o możliwościach uzyskania kopii danych lub o miejscu udostępnienia danych - jeżeli doradca podatkowy zamierza przekazać dane do państwa trzeciego lub organizacji międzynarodowej;

9.3.7. prawa do cofnięcia zgody na przetwarzanie danych osobowych w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem - jeżeli podstawą przetwarzania danych osobowych jest art. 6 ust. 1 lit. a RODO lub art. 9 ust. 2 lit. a RODO;

9.4. Uwzględniając okoliczności zebrania danych osobowych oraz cele, sposoby i zakres przetwarzania danych osobowych, podmiot przestrzegający Kodeksu udziela informacji w zakresie określonym w Załączniku nr 4 do Kodeksu.

9.5. W przypadku zbierania danych osobowych bezpośrednio od osoby, której dane dotyczą, informacja jest przekazywana przed doradcę podatkowego podczas pozyskiwania danych osobowych.

9.6. W przypadku zbierania danych osobowych z innych źródeł niż od osoby, której dane dotyczą (przykładowo w przypadku zbierania informacji z dostępnych rejestrów i ewidencji publicznych i prywatnych) informacja jest przekazywana przed doradcę podatkowego:

9.6.1. w rozsądnym terminie, nie później jednak niż w ciągu miesiąca od dnia pozyskania danych;

9.6.2. najpóźniej przy pierwszej komunikacji z osobą, której dane dotyczą, jeżeli dane osobowe mają być wykorzystywane do komunikacji z taką osobą;

9.6.3. najpóźniej przy pierwszym ujawnieniu danych, jeżeli doradca podatkowy planuje ujawnienie danych osobowych innemu podmiotowi.

9.7. Doradca podatkowy przekazuje informację w zwięzłej, przejrzystej, zrozumiałej i dostępnej formie, jasnym i prostym językiem. Komunikacja w tym zakresie odbywa się w języku polskim, chyba że procedury wewnętrzne obowiązujące w podmiocie przestrzegającym Kodeksu przewidują możliwość komunikacji także w innym języku niż polski.

9.8. Doradca podatkowy przekazuje informację dotyczącą przetwarzania danych osobowych w dowolnej formie pisemnej, dokumentowej (elektronicznej) lub ustnej. W szczególności informacja może być udzielona poprzez:

9.8.1. odrębny dokument przekazany osobie, której dane dotyczą w formie pisemnej lub dokumentowej, w tym w wiadomości tekstowej lub e-mail;

9.8.2. klauzulę informacyjną zawartą w dokumentach przeznaczonych dla osoby, której dane dotyczą;

9.8.3. klauzulę informacyjną zamieszczoną w systemie teleinformatycznym do której dostęp ma osoba, której dane dotyczą;

9.8.4. komunikat głosowy przekazany telefonicznie lub osobiście po potwierdzeniu tożsamości osoby, której dane dotyczą na zasadach określonych w punkcie 15.19. niniejszego Kodeksu.

9.9. Dopuszczalne jest stosowanie przez doradcę podatkowego tzw. warstwowych procedur w celu przekazania osobom, których dane dotyczą informacji dotyczącej przetwarzania danych osobowych. Taka warstwowa procedura informacyjna obejmuje dwa obligatoryjne etapy:

9.9.1. podstawowy komunikat (określający minimum precyzyjne wskazanie administratora oraz miejsce, w którym osoba której dane dotyczą może zapoznać się z zasadami i sposobami przetwarzania danych oraz przysługującymi uprawnieniami) może zostać przekazany w skróconej formie, przykładowo w komunikacie głosowym lub w treści wiadomości e-mail. W takim skróconym komunikacie przekazywana jest informacja o tym, w jaki sposób osoba, której dane dotyczą może zapoznać się z pełną treścią informacji dotyczącej przetwarzania danych osobowych;

9.9.2. pełna informacja dotycząca przetwarzania danych osobowych, do której odsyła skrócony komunikat o którym mowa powyżej, publikowana jest przez doradcę podatkowego w sposób, który umożliwia osobie której dane dotyczą łatwe zapoznanie się z taką informacją. W szczególności może to nastąpić poprzez:

9.9.2.1. zamieszczenie informacji dotyczącej przetwarzania danych osobowych na stronie internetowej doradcy podatkowego;

9.9.2.2. odczytanie pełnego komunikatu głosowego zawierającego informację dotyczącą przetwarzania danych osobowych w toku kontaktu telefonicznego w sytuacji, w której osoba której dane dotyczą podejmie określone działania (np. w formie naciśnięcia odpowiedniego przycisku);

9.9.2.3. przesłanie informacji dotyczącej przetwarzania danych osobowych na wskazany przez osobę, której dane dotyczą adres e-mail, na jej żądanie.

9.10. Niezależnie od formy przekazania informacji dotyczącej przetwarzania danych osobowych doradca podatkowy zapewnia realizację zasady rozliczalności w zakresie realizacji obowiązków informacyjnych, umożliwiającą wykazanie, że informacja została przekazana osobie, której dane dotyczą. Zasada ta może zostać zrealizowana w szczególności poprzez jedno lub więcej z poniższych działań:

9.10.1. zbieranie potwierdzeń przekazania dokumentacji do osoby, której dane dotyczą, przykładowo w formie archiwizacji wysłanych wiadomości e-mail lub klauzuli potwierdzającej otrzymanie informacji w treści umowy;

9.10.2. rejestrację rozmów telefonicznych za zgodą rozmówcy, o ile jest to technicznie możliwe;

9.10.3. kopie bezpieczeństwa systemów teleinformatycznych, w których znajdują się potwierdzenia otrzymania informacji przez jej adresata.

9.11. Doradca podatkowy zobowiązany jest do umożliwienia osobom, których dane są przetwarzane zapoznania się z informacją dotyczącą przetwarzania ich danych. Doradca podatkowy nie ma obowiązku wykazania, że informowane osoby faktycznie zapoznały się z treścią informacji dotyczącej przetwarzania danych osobowych.

9.12. Doradca podatkowy może odstąpić od skierowania do osoby, której dane dotyczą części lub całości informacji dotyczącej przetwarzania danych na podstawie art. 14 ust. 5 RODO, jeżeli jest w stanie wykazać, że spełniona została minimum jedna z poniższych przesłanek:

9.12.1. osoba, której dane dotyczą posiada przekazywane informacje;

9.12.2. udzielenie informacji osobie, której dane dotyczą ze źródeł innych niż ta osoba jest niemożliwe lub wymagałoby niewspółmiernego dużego wysiłku albo wymagałoby pozyskiwania informacji dodatkowych z innych źródeł zewnętrznych. W takiej sytuacji doradca podatkowy podejmuje odpowiednie środki organizacyjne i techniczne w celu ochrony praw i wolności oraz prawnie uzasadnionych interesów osoby, której dane dotyczą, w tym udostępnia informacje publicznie, przykładowo na stronie internetowej doradcy podatkowego lub w siedzibie doradcy podatkowego;

9.12.3. część danych, które miałyby zostać przekazane w informacji dotyczącej przetwarzania danych osobowych objęta jest tajemnicą zawodową doradcy podatkowego, tajemnicą przedsiębiorstwa lub inną tajemnicą prawnie chronioną, wiążącą doradcę podatkowego.

9.13. Jeśli doradca podatkowy przetwarza dane osobowe niepozwalające mu na identyfikację osoby, której dane dotyczą, nie ma on obowiązku pozyskania dodatkowych informacji w celu realizacji obowiązku informacyjnego z innych źródeł (przykładowo poszukiwania adresu korespondencyjnego, adresu e-mail, numeru telefonu itp.).

ROZDZIAŁ  10.

PRAWA OSÓB, KTÓRYCH DANE SĄ PRZETWARZANE

10.1. Doradca podatkowy jest zobowiązany do przyjęcia i rozpoznania żądań i wniosków osób fizycznych których dane przetwarza jako administrator, w zakresie realizacji następujących uprawnień:

10.1.1. prawo dostępu do danych osobowych i otrzymania ich kopii;

10.1.2. prawo do sprostowania i uzupełnienia danych osobowych;

10.1.3. prawo do usunięcia danych osobowych (tzw. prawo do bycia zapomnianym);

10.1.4. prawo do ograniczenia przetwarzania danych osobowych;

10.1.5. prawo do przenoszenia danych osobowych;

10.1.6. prawo do wniesienia sprzeciwu przeciwko przetwarzaniu danych osobowych;

10.2. Osoba, której dane dotyczą może zgłosić żądanie zrealizowania powyższych uprawnień w dowolnej formie, w szczególności w formie pisemnej, dokumentowej (w tym poprzez wiadomość tekstową lub e-mail) oraz w formie ustnej. W tym ostatnim przypadku doradca podatkowy dokumentuje fakt wpłynięcia żądania w formie pisemnej lub dokumentowej.

10.3. W każdym przypadku żądanie osoby, której dane dotyczą musi wskazywać, jakich danych osobowych i czynności dotyczy. W przypadku, gdy żądanie jest nieprecyzyjne, w szczególności nie precyzuje osoby wnoszącej żądanie lub treści samego żądania, doradca podatkowy powinien zwrócić się do osoby wnoszącej żądanie z wnioskiem o uzupełnienie żądania. W przypadku braku uzupełnienia doradca podatkowy ma prawo do wstrzymania się z udzieleniem odpowiedzi do czasu uzupełnienia żądania i uzyskania niezbędnych informacji.

10.4. Doradca podatkowy udziela odpowiedzi na żądanie niezwłocznie, nie później niż w terminie 30 dni od daty uzyskania żądania, informując o podjętych działaniach, w tym uwzględnieniu żądania lub odmowie uwzględnienia żądania.

10.5. W przypadku, w którym dla merytorycznego rozpoznania żądania niezbędne jest uzyskanie dodatkowych dokumentów i informacji pozwalających na ustalenie tożsamości osoby składającej żądanie, sprecyzowanie żądania lub wniesienie opłaty o której mowa w punkcie 10.13. Kodeksu czas na udzielenie odpowiedzi biegnie ponownie od daty uzyskania dokumentów, informacji lub opłaty.

10.6. W przypadku konieczności wydłużenia terminu realizacji żądania osoby, której dane dotyczą, najpóźniej w terminie 30 dni od dnia otrzymania żądania doradca podatkowy udziela informacji o przedłużeniu terminu rozpoznania żądania o okres nie dłuższy niż dwa miesiące oraz o przyczynach opóźnienia. Wydłużenie terminu może nastąpić wyłącznie z uwagi na skomplikowany charakter żądań lub liczbę żądań.

10.7. W przypadku uwzględnienia żądania doradca podatkowy informuje osobę, która je wniosła o podjętych w związku z tym działaniach, w szczególności związanych z zakresem lub formą przetwarzanych danych po uwzględnieniu żądania.

10.8. W przypadku odmowy uwzględnienia żądania doradca podatkowy informuje osobę, która je wniosła o przyczynach odmowy, zakresie przetwarzanych danych osobowych oraz celach i podstawach ich przetwarzania oraz o możliwości wniesienia skargi do organu nadzorczego lub możliwości skorzystania ze środków ochrony prawnej przed sądem.

10.9. Doradca podatkowy udziela odpowiedzi na żądanie w zwięzłej, przejrzystej, zrozumiałej i dostępnej formie, jasnym i prostym językiem. Komunikacja w tym zakresie odbywa się w języku polskim, chyba że procedury wewnętrzne doradcy podatkowego przewidują możliwość komunikacji także w innym języku.

10.10. Odpowiedź na żądanie osoby, której dane dotyczą może zostać udzielona w formie pisemnej lub dokumentowej, w szczególności poprzez wiadomość e-mail, lub w formie ustnej, w szczególności telefonicznie lub osobiście, po potwierdzeniu tożsamości osoby, której dane dotyczą.

10.11. W przypadku udzielenia odpowiedzi w formie ustnej doradca podatkowy dokumentuje datę udzielenia odpowiedzi i jej treść, w szczególności poprzez nagranie rozmowy telefonicznej lub notatkę z przeprowadzonej rozmowy. Jeśli osoba, której dane dotyczą, przekazała swoje żądanie elektronicznie, w miarę możliwości informacje także są przekazywane elektronicznie, chyba że osoba, której dane dotyczą, zażąda innej formy, w szczególności formy pisemnej.

10.12. Jeżeli doradca podatkowy ma wątpliwości co do tożsamości osoby składającej żądanie, może poprosić tę osobę o dodatkowe informacje niezbędne do potwierdzenia jej tożsamości. W przypadku niedostarczenia przez osobę składającą żądanie informacji pozwalających na identyfikację, doradca podatkowy ma prawo odmowy merytorycznego rozpoznania żądania o czym informuję osobę wnoszącą żądanie.

10.13. Udzielanie przez podmiot przestrzegający Kodeksu odpowiedzi na żądania osób, których dane dotyczą jest co do zasady wolne od opłat. Jeżeli żądania osoby której dane dotyczą są ewidentnie nieuzasadnione lub nadmierne, w szczególności ze względu na swój ustawiczny charakter, podmiot przestrzegający Kodeksu może pobrać rozsądną opłatę, uwzględniając administracyjne koszty udzielenia informacji, prowadzenia komunikacji lub podjęcia żądanych działań albo odmówić podjęcia działań w związku z żądaniem. Obowiązek wykazania, że żądanie ma ewidentnie nieuzasadniony lub nadmierny charakter, spoczywa na podmiocie przestrzegającym Kodeksu.

10.14. Podmiot przestrzegający Kodeksu uprawniony jest do odmowy merytorycznego rozpoznania żądania w sytuacji, gdy:

10.14.1. żądanie ma zostać zrealizowane w formacie lub na nośniku nieznanym lub niestosowanym przez podmiot przestrzegający Kodeksu, a osoba która wniosła żądanie nie wyraża zgody na zastosowania alternatywnego formatu lub nośnika;

10.14.2. żądanie jest niejasne lub niepełne, w sposób który uniemożliwia jego realizację, a osoba która wniosła żądanie mimo stosownego wezwania nie wyjaśniła lub nie uzupełniła żądania;

10.14.3. tożsamość osoby wnoszącej żądanie jest niemożliwa do ustalenia, a osoba która wniosła żądanie mimo stosownego wezwania nie przedstawiła informacji umożliwiających ustalenie jej tożsamości;

10.14.4. osoba wnosząca żądanie nie uiściła opłaty, o której mowa w punkcie 10.13. Kodeksu;

10.14.5. realizacja żądania mogłaby spowodować ujawnienie tajemnicy zawodowej doradcy podatkowego, tajemnicy przedsiębiorstwa lub innej tajemnicy prawnie chronionej;

10.14.6. realizacja żądania, z uwagi na uwarunkowania techniczne, nie jest możliwe lub spowodowałaby poniesienia nieracjonalnie wysokich kosztów.

10.15. W przypadku odmowy merytorycznego rozpoznania żądania z uwagi na okoliczności wskazane powyżej, podmiot przestrzegający Kodeksu informuje osobę która wniosła żądanie o takiej odmowie, przedstawiając stosowne uzasadnienie.

10.16. Podmiot przestrzegający Kodeksu zobowiązany jest do poinformowania swoich pracowników i współpracowników o obowiązujących zasadach rejestrowania i rozpoznawania żądań osób, których dane są przetwarzane oraz o odpowiedzialności, w szczególności dyscyplinarnej i odszkodowawczej, w przypadku braku podjęcia określonych w RODO, niniejszym Kodeksie oraz wewnętrznych regulacjach obowiązujących w podmiocie przestrzegającym Kodeksu.

10.17. Zgodnie z art. 15 RODO, osoba, której dane dotyczą jest uprawniona do uzyskania potwierdzenia, czy doradca podatkowy przetwarza jej dane osobowe. Jeżeli doradca podatkowy przetwarza dane osobowe takiej osoby, osoba ta jest uprawniona do uzyskania dostępu do swoich danych.

10.18. Prawo do uzyskania potwierdzenia faktu przetwarzania danych osobowych i dostępu do tych danych przysługuje w zakresie, w jakim nie narusza ono obowiązku zachowania tajemnicy zawodowej doradcy podatkowego o której mowa w art. 37 ustawy o doradztwie podatkowym.

10.19. Prawo dostępu do danych osobowych realizowane jest poprzez udzielenie przez doradcę podatkowego informacji dotyczących:

10.19.1. oznaczenia doradcy podatkowego, informacji czy powołał on inspektora ochrony danych oraz możliwych form kontaktu z doradcą podatkowym i inspektorem ochrony danych;

10.19.2. celu przetwarzania, który powinien być konkretny, wyraźnie określony i prawnie uzasadniony;

10.19.3. podstawie prawnej uzasadniającej przetwarzanie danych osobowych;

10.19.4. kategoriach przetwarzanych danych osobowych;

10.19.5. odbiorcach lub kategoriach odbiorców, którym dane osobowe zostały lub mogą zostać ujawnione, w szczególności o odbiorcach w państwach trzecich lub organizacjach międzynarodowych;

10.19.6. planowanego okresu przetwarzania danych osobowych, a gdy nie jest możliwe - dotyczących kryteriów ustalania tego okresu z zachowaniem zasady ograniczonego do minimum czasu przetwarzania danych osobowych;

10.19.7. przysługujących osobie, której dane są przetwarzane uprawnieniu do wniesienia żądania sprostowania, uzupełnienia lub usunięcia danych, ograniczenia ich przetwarzania, a także wniesienia sprzeciwu wobec przetwarzania oraz skargi do organu nadzorczego;

10.19.8. źródła pozyskania danych osobowych, jeżeli dane osobowe nie zostały zebrane od osoby, której dane dotyczą;

10.19.9. zautomatyzowanego podejmowania decyzji, w tym profilowania o którym mowa w art. 22 ust. 1 i 4 RODO, oraz - przynajmniej w tych przypadkach - istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą;

10.19.10. zabezpieczeń stosowanych przed doradcę podatkowego o których mowa w art. 46 RODO, jeżeli dane osobowe są przekazywane do państwa trzeciego lub organizacji międzynarodowej.

10.20. Doradca podatkowy dostarcza osobie, która wniosła żądanie dostępu do danych osobowych na jej wyraźne żądanie jedną kopię nośnika zawierającego żądane dane osobowe bezpłatnie. Za każdą kolejną kopię, której wydania zażąda osoba, która wniosła żądanie dostępu do danych osobowych, doradca podatkowy może pobrać opłatę w rozsądnej wysokości, wynikającej z kosztów administracyjnych.

10.21. Prawo do uzyskania kopii nośnika zawierającego żądane dane osobowe przysługuje w zakresie, w jakim nie narusza ono obowiązku zachowania tajemnicy zawodowej doradcy podatkowego o której mowa w art. 37 ustawy o doradztwie podatkowym.

10.22. Zgodnie z art. 16 RODO, osoba, której dane dotyczą ma prawo żądania od doradcy podatkowego sprostowania dotyczących jej danych osobowych, które są nieprawidłowe.

10.23. Zgodnie z art. 16 RODO, osoba, której dane dotyczą ma prawo żądania od doradcy podatkowego niezwłocznego uzupełnienia dotyczących jej danych osobowych, które są niepełne, w tym poprzez złożenie dodatkowego oświadczenia uzupełniającego dane osobowe.

10.24. Podmiot przestrzegający Kodeksu wprowadza mechanizmy które zapewniają, że w przypadku sprostowania lub uzupełnienia danych doradca podatkowy lub współpracownik doradcy podatkowego informuje pozostałych współpracowników doradcy podatkowego o zakresie sprostowania lub uzupełnienia, w celu zapewnienia prawidłowości i spójności wszystkich danych osobowych przetwarzanych przez podmiot przestrzegający Kodeksu.

10.25. Zgodnie z art. 17 RODO, osoba, której dane dotyczą ma prawo żądania od doradcy podatkowego usunięcia dotyczących jej danych osobowych (tzw. "prawo do bycia zapomnianym").

10.26. Z zastrzeżeniem punktu 10.27 Kodeksu, doradca podatkowy ma obowiązek niezwłocznego usunięcia przetwarzanych danych osobowych osoby która wniosła żądanie, w przypadku spełnienia co najmniej jednej z przesłanek wskazanych poniżej:

10.26.1. dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;

10.26.2. osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie i nie ma innej podstawy prawnej przetwarzania określonej w art. 6 ust. 1 RODO lub art. 9 ust. 2 RODO;

10.26.3. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 RODO (sprzeciw związany ze szczególną sytuacją) wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania;

10.26.4. osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 RODO wobec przetwarzania danych na potrzeby marketingu bezpośredniego;

10.26.5. dane osobowe były przetwarzane niezgodnie z prawem;

10.26.6. dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii Europejskiej lub prawie państwa członkowskiego któremu podlega doradca podatkowy;

10.26.7. dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1 RODO.

10.27. W przypadku zaistnienia którejkolwiek z przesłanek określonych w punkcie 10.26 Kodeksu obowiązek usunięcia danych osobowych nie występuje, jeżeli przetwarzanie konkretnych danych osobowych osoby która wniosła żądanie usunięcia danych jest niezbędne:

10.27.1. do ustalenia, dochodzenia lub obrony przed roszczeniami;

10.27.2. do korzystania z prawa do wolności wypowiedzi i informacji;

10.27.3. do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii Europejskiej lub prawa państwa członkowskiego któremu podlega doradca podatkowy, w szczególności obowiązku przechowywania dokumentacji przez doradcę podatkowego na podstawie art. 39 ustawy o doradztwie podatkowym.

10.28. Jeżeli doradca podatkowy upublicznił dane osobowe które muszą zostać usunięte wobec wniesienia żądania usunięcia danych osobowych, to biorąc pod uwagę dostępną technologię i koszt realizacji podejmuje rozsądne działania, w tym środki techniczne (w szczególności komunikację elektroniczną), by poinformować innych administratorów przetwarzających te dane osobowe, że osoba, której dane dotyczą żąda, by administratorzy ci także usunęli przedmiotowe dane osobowe.

10.29. Zgodnie z art. 18 RODO osoba której dane dotyczą ma prawo żądania od doradcy podatkowego ograniczenia przetwarzania dotyczących jej danych osobowych, wskazując precyzyjnie przedmiotowy zakres takiego żądania. Prawo do ograniczenia przetwarzania przysługuje w zakresie, w jakim nie narusza ono obowiązku zachowania tajemnicy zawodowej doradcy podatkowego o której mowa w art. 37 ustawy o doradztwie podatkowym.

10.30. Doradca podatkowy ma obowiązek niezwłocznego ograniczenia przetwarzania danych osobowych w żądanym zakresie, w przypadku spełnienia co najmniej jednej z przesłanek wskazanych poniżej:

10.30.1. osoba, której dane dotyczą, kwestionuje prawidłowość danych osobowych - na okres pozwalający doradcy podatkowemu sprawdzić prawidłowość tych danych;

10.30.2. przetwarzanie jest niezgodne z prawem, a osoba, której dane dotyczą, sprzeciwia się usunięciu danych osobowych, żądając w zamian ograniczenia ich wykorzystywania;

10.30.3. doradca podatkowy nie potrzebuje już danych osobowych do celów przetwarzania, ale są one potrzebne osobie, której dane dotyczą, do ustalenia, dochodzenia lub obrony przed roszczeniami;

10.30.4. osoba, której dane dotyczą, wniosła sprzeciw na mocy art. 21 ust. 1 RODO wobec przetwarzania - do czasu stwierdzenia, czy prawnie uzasadnione podstawy po stronie doradcy prawnego są nadrzędne wobec podstaw sprzeciwu osoby, której dane dotyczą.

10.31. W sytuacji, w której doradca podatkowy zobowiązany jest do ograniczenia przetwarzania danych osobowych, przetwarzanie danych osobowych objętych ograniczeniem możliwe jest wyłącznie poprzez ich przechowywanie. Jakakolwiek inna operacja przetwarzania danych osobowych wymaga spełnienia minimum jednej z przesłanek wskazanych poniżej:

10.31.1. osoba, która zażądała ograniczenia przetwarzania jej danych osobowych wyraziła zgodę na przetwarzanie jej danych osobowych podlegających ograniczeniu przetwarzania w określonym zakresie;

10.31.2. przetwarzanie danych osobowych objętych ograniczeniem przetwarzania jest niezbędne w celu ustalenia, dochodzenia lub obrony przed roszczeniami;

10.31.3. przetwarzanie danych osobowych objętych ograniczeniem przetwarzania jest niezbędne w celu ochrony praw innej osoby fizycznej lub prawnej.

10.32. Doradca podatkowy może wykonywać ograniczenie przetwarzania danych osobowych przykładowo poprzez:

10.32.1. odpowiednie oznaczenie danych objętych ograniczeniem przetwarzania w systemie teleinformatycznym lub w prowadzonej dokumentacji papierowej;

10.32.2. przeniesienie danych osobowych objętych ograniczeniem przetwarzania do innego systemu teleinformatycznego lub zbioru dokumentacji papierowej;

10.32.3. uniemożliwienie dostępu współpracownikom doradcy podatkowego do danych osobowych objętych ograniczeniem przetwarzania;

10.32.4. ograniczenie środkami technicznymi możliwości dalszego przetwarzania, w tym zmieniania lub udostępniania danych osobowych objętych ograniczeniem.

10.33. Ograniczenie przetwarzania danych osobowych ma charakter czasowy. Po ustaniu przyczyn ograniczenia przetwarzania, ale przed uchyleniem ograniczenia przetwarzania danych osobowych, doradca podatkowy informuje osobę, która wniosła żądanie ograniczenia przetwarzania danych osobowych o usunięciu danych osobowych lub o zakresie ich dalszego przetwarzania.

10.34. Zgodnie z art. 19 RODO, doradca podatkowy informuje o sprostowaniu, uzupełnieniu, usunięciu danych osobowych lub ograniczeniu ich przetwarzania każdego odbiorcę danych osobowych, któremu ujawnił te dane. Na żądanie osoby, której dane dotyczą, doradca podatkowy przekazuje tej osobie informacje o odbiorcach którym przekazano dane osobowe.

10.35. Obowiązek poinformowania odbiorców danych o których mowa powyżej jest wyłączony w sytuacji, w której naruszałoby to obowiązek zachowania tajemnicy zawodowej doradcy podatkowego o której mowa w art. 37 ustawy o doradztwie podatkowym lub w sytuacji w której okaże się to niemożliwe lub będzie wymagać niewspółmiernie dużego wysiłku, w szczególności w przypadku w którym:

10.35.1. sprostowanie, uzupełnienie, ograniczenie przetwarzania lub usunięcie danych osobowych nie jest widoczne dla danego odbiorcy z uwagi na fakt, że nie przetwarza on danych osobowych objętych tymi operacjami przetwarzania;

10.35.2. odbiorca danych osobowych zakończył działalność lub zmarł;

10.35.3. doradca podatkowy nie ma danych kontaktowych odbiorcy i nie jest ich w stanie uzyskać bez niewspółmiernie dużego wysiłku.

10.36. W sytuacji, w której doradca podatkowy nie dokonuje poinformowania odbiorców o sprostowaniu, uzupełnieniu, ograniczeniu przetwarzania lub usunięciu danych osobowych, dokumentuje on podjęcie racjonalnych działań, z wykorzystaniem dostępnych mu technologii, zmierzających do wypełnienia obowiązków związanych z takim poinformowaniem, przykładowo poprzez opublikowanie stosownej informacji na stronie internetowej oraz w siedzibie doradcy podatkowego.

10.37. Zgodnie z art. 20 RODO osoba której dane dotyczą ma prawo otrzymać od doradcy podatkowego dane osobowe jej dotyczące które dostarczyła doradcy podatkowemu. Osoba taka ma prawo przesłać te dane osobowe innemu administratorowi bez przeszkód ze strony doradcy podatkowego lub zażądać od doradcy podatkowego przesłania takich danych bezpośrednio innemu administratorowi o ile jest to technicznie możliwe, jeżeli spełnione są łącznie przesłanki wskazane poniżej:

10.37.1. przetwarzanie odbywa się na podstawie zgody wyrażonej przez osobę, której dane dotyczą lub w ramach czynności zmierzających do zawarcia lub wykonania umowy, której stroną jest osoba, której dane dotyczą;

10.37.2. przetwarzanie odbywa się w sposób zautomatyzowany.

10.38. Określone w powyższym punkcie prawo do przeniesienia danych osobowych nie może niekorzystnie wpływać na prawa i wolności innych oraz nie może naruszać obowiązków doradcy podatkowego wynikających z obowiązku zachowania tajemnicy zawodowej doradcy podatkowego lub innej tajemnicy zawodowej.

10.39. Zgodnie z art. 21 RODO, osoba, której dane dotyczą, ma prawo wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych z przyczyn związanych z jej szczególną sytuacją (przykładowo jeżeli grozi to poważną stratą majątkową, naruszeniem dóbr osobistych lub naruszeniem praw lub wolności innych osób).

10.39.1. Wniesienie żądania jest możliwe jeżeli przetwarzanie odbywa się na podstawie przesłanek prawnie uzasadnionego interesu doradcy podatkowego lub strony trzeciej (art. 6 ust. 1 lit. f RODO) lub niezbędności do wykonania zadania realizowanego w interesie publicznym lub w ramach sprawowania władzy publicznej powierzonej doradcy podatkowemu (art. 6 ust. 1 lit. e RODO).

10.39.2. W przypadku wniesienia przez osobę, której dane dotyczą sprzeciwu z przyczyn związanych z jej szczególną sytuacją, osoba taka zobowiązana jest do wskazania wobec jakich kategorii danych oraz jakich czynności przetwarzania wnosi sprzeciw oraz jakie są okoliczności związane z jej szczególną sytuacją.

10.40. W przypadku wniesienia przez osobę, której dane dotyczą sprzeciwu z przyczyn związanych z jej szczególną sytuacją doradca podatkowy zaprzestaje przetwarzania danych osobowych i usuwa je, chyba że wykaże istnienie ważnych prawnie uzasadnionych podstaw do przetwarzania, nadrzędnych wobec interesów, praw i wolności osoby, której dane dotyczą, w szczególności konieczność przetwarzania danych osobowych w celu ustalenia, dochodzenia lub obrony roszczeń lub koniecznością dochowania obowiązków wynikających z przepisów prawa.

10.40.1. Odmawiając uwzględnienia sprzeciwu wniesionego z przyczyn związanych ze szczególną sytuacją przez osobę, której dane dotyczą doradca podatkowy w przejrzysty sposób wyjaśnia tej osobie przyczyny, dla których uznał, że interesy, prawa i wolności tej osoby nie mają charakteru nadrzędnego.

10.41. Prawo do wniesienia sprzeciwu wniesionego z przyczyn związanych ze szczególną sytuacją przysługuje osobie fizycznej w zakresie, w jakim nie narusza ono obowiązku zachowania tajemnicy zawodowej doradcy podatkowego o której mowa w art. 37 ustawy o doradztwie podatkowym.

10.42. Osoba, której dane dotyczą ma prawo w dowolnym momencie wnieść sprzeciw wobec przetwarzania dotyczących jej danych osobowych na potrzeby marketingu bezpośredniego. W takim przypadku doradca podatkowy zobowiązany jest do zaprzestanie przetwarzania danych osobowych w tym celu.

10.43. Osoba, której dane dotyczą ma w każdym czasie prawo do wniesienia do organu nadzorczego skargi związanej z przetwarzaniem danych osobowych przez doradcę podatkowego.

ROZDZIAŁ  11.

NARUSZENIA OCHRONY DANYCH OSOBOWYCH

11.1. Naruszenie ochrony danych osobowych następuje w sytuacji, w której z jakiejkolwiek przyczyny doszło do naruszenia bezpieczeństwa danych osobowych prowadzącego do niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do przetwarzanych danych osobowych wskutek czynników wewnętrznych lub zewnętrznych. Przykładowo, wśród zdarzeń mogących stanowić naruszenie ochrony danych osobowych, można wyróżnić:

11.1.1. utratę nośnika danych, na których zapisane zostały dane osobowe (np. teczki z dokumentami, komputera, telefonu komórkowego, nośników elektronicznych);

11.1.2. naruszenie zabezpieczeń systemów teleinformatycznych, prowadzące do nieuprawnionego dostępu osób nieupoważnionych do przetwarzanych danych;

11.1.3. skierowanie wiadomości e-mail lub korespondencji do odbiorcy niebędącego jej adresatem;

11.1.4. naruszenie zabezpieczeń fizycznych prowadzące do nieuprawnionego dostępu do lokalizacji, w których przetwarzane są dane osobowe (np. włamanie do siedziby doradcy podatkowego).

11.2. W przypadku naruszenia ochrony danych osobowych doradca podatkowy działający w charakterze administratora danych osobowych zobowiązany jest do:

11.2.1. podjęcia natychmiastowych działań w celu ustalenia przyczyn, zakresu, skutków naruszenia oraz wielkości szkód, które nastąpiły wskutek naruszenia;

11.2.2. niezwłocznego podjęcia działań zmierzających do uniemożliwienia dalszego zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych;

11.2.3. analizy ryzyka naruszenia praw lub wolności osób fizycznych, których dane są przetwarzane w kontekście naruszenia ochrony ich danych osobowych i podjęcia działań określonych w art. 33-34 RODO i niniejszym rozdziale Kodeksu;

11.2.4. zabezpieczenia dowodów naruszenia ochrony danych osobowych;

11.2.5. ustalenia osób odpowiedzialnych za naruszenie i podjęcia ewentualnych działań dyscyplinarnych lub porządkowych;

11.2.6. przeprowadzenia analizy okoliczności naruszenia, w celu ograniczenia prawdopodobieństwa zaistnienia podobnych zdarzeń w przyszłości.

11.3. W każdym przypadku zaistnienia naruszenia ochrony danych osobowych doradca podatkowy rejestruje okoliczności naruszenia w rejestrze naruszeń. Wzór rejestru naruszeń stanowi Załącznik nr 5 do Kodeksu.

11.4. W przypadku zaistnienia naruszenia ochrony danych osobowych doradca podatkowy zobowiązany jest do przeprowadzenia analizy ryzyka naruszenia praw lub wolności osób fizycznych osób, których dane są przetwarzane w kontekście naruszenia ochrony ich danych osobowych.

11.5. W przypadku, gdy przeprowadzona przez doradcę podatkowego analiza ryzyka o której mowa w punkcie 11.4 prowadzi do wniosku, że prawdopodobieństwo wystąpienia ryzyka naruszenia praw lub wolności osób fizycznych jest wyższe niż pomijalne (przykładowo w sytuacji zagubienia niezaszyfrowanego nośnika danych jak pendrive czy telefon; wysłania niezaszyfrowanej wiadomości e-mail zawierającej dane pracowników klienta doradcy podatkowego do innego adresata; wysłanie pisma zawierającego obszerne dane finansowe w ramach prowadzonego postępowania sądowego do osoby trzeciej; kradzież dokumentacji znajdującej się w siedzibie doradcy podatkowego) doradca podatkowy zobowiązany jest do zawiadomienia organu nadzorczego o naruszeniu. Wzór zawiadomienia organu nadzorczego dostępny jest na stronie internetowej organu nadzorczego (https://uodo.gov.pl/pl/134/233).

11.6. Zawiadomienia organu nadzorczego o naruszeniu można dokonać przez wypełnienie zawiadomienia organu nadzorczego:

11.6.1. w formie elektronicznej, dostępnego bezpośrednio na platformie biznes.gov.pl i przesłanie go poprzez tę platformę;

11.6.2. w formie elektronicznej i wysłanie na elektroniczną skrzynkę podawczą ePUAP organu nadzorczego;

11.6.3. w formie elektronicznej i jego przesłanie za pomocą pisma ogólnie dostępnego na platformie biznes.gov.pl;

11.6.4. w formie pisemnej i jego przesłanie na adres organu nadzorczego pocztą tradycyjną.

11.7. Zawiadomienie organu nadzorczego o naruszeniu ochrony danych osobowych powinno zostać wykonane niezwłocznie, nie później niż w terminie 72 godzin po stwierdzeniu naruszenia przez doradcę podatkowego. To, czy notyfikacji dokonano bez zbędnej zwłoki, należy ustalić z uwzględnieniem w szczególności konieczności ustalenia przyczyn i skutków naruszenia oraz minimalizacji tych skutków, charakteru i wagi naruszenia ochrony danych osobowych, jego konsekwencji oraz niekorzystnych skutków dla osoby, której dane dotyczą.

11.8. W przypadku niedotrzymania terminu określonego w punkcie powyżej, do zawiadomienia organu nadzorczego należy dołączyć wyjaśnienie przyczyny opóźnienia. Jeżeli zawiadomienia organu nadzorczego nie da się udzielić w zakresie wszystkich wymaganych informacji, można je przekazywać sukcesywnie bez zbędnej zwłoki.

11.9. W przypadku gdy przeprowadzona przez doradcę podatkowego analiza ryzyka naruszenia praw lub wolności osób fizycznych prowadzi do wniosku, że prawdopodobieństwo naruszenia praw lub wolności tych osób zostało oszacowane na poziomie wysokim (przykładowo w sytuacji ujawnienia szerokiemu kręgowi osób nieupoważnionych danych osobowych przetwarzanych przez doradcę podatkowego, w tym szczególnych kategorii danych osobowych lub danych finansowych o istotnym znaczeniu), doradca podatkowy zobowiązany jest (poza zawiadomieniem organu nadzorczego o naruszeniu) także do zawiadomienia wszystkich osób fizycznych, których ochrona danych osobowych została naruszona.

11.10. Zawiadomienie osób fizycznych, których ochrona danych osobowych została naruszona nie jest konieczne, jeżeli spełniona została przynajmniej jedna z przesłanek wskazanych poniżej:

11.10.1. doradca podatkowy wdrożył odpowiednie techniczne i organizacyjne zabezpieczenia danych osobowych (w szczególności szyfrowanie uniemożliwiające odczyt osobom nieuprawnionym), które zostały zastosowane do danych osobowych, których dotyczy naruszenie;

11.10.2. doradca podatkowy zastosował inne środki eliminujące prawdopodobieństwo wysokiego ryzyka naruszenia praw lub wolności osoby której dane dotyczą;

11.10.3. zawiadomienie wymagałoby niewspółmiernie dużego wysiłku - w takim przypadku wydany zostaje publiczny komunikat lub zastosowany zostaje podobny środek, za pomocą którego osoby których dane dotyczą zostaną poinformowane w równie skuteczny sposób.

11.11. Jeżeli zawiadomienie osoby fizycznej o naruszeniu nie jest możliwe lub wymagałoby niewspółmiernie dużego wysiłku, doradca podatkowy wydaje publiczny komunikat o naruszeniu, w sposób i w formie adekwatnej do ryzyka naruszenia praw i wolności osób fizycznych których ochrona danych została naruszona.

11.12. Doradca podatkowy zawiadamiając osobę, której dane dotyczą o naruszeniu ochrony danych osobowych informuje w szczególności o:

11.12.1. tożsamości i danych teleadresowych doradcy podatkowego działającego jako administrator oraz danych teleadresowych inspektora ochrony danych, jeżeli został powołany;

11.12.2. godzinie, dacie i miejscu naruszenia ochrony danych osobowych;

11.12.3. zakresie danych osobowych, które podlegały naruszeniu (ujawnieniu);

11.12.4. charakterze naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorii i przybliżonej liczbie osób, których dane zostały ujawnione;

11.12.5. potencjalnych konsekwencji naruszenia ochrony danych osobowych dla osób, których dane zostały ujawnione;

11.12.6. środkach zastosowanych lub proponowanych przez doradcę podatkowego, w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego negatywnych skutków;

11.12.7. przewidywanym terminie usunięcia naruszenia ochrony danych osobowych.

11.13. W przypadku gdy naruszenie ochrony danych osobowych dotyczy danych osobowych, które zostały powierzone do przetwarzania doradcy podatkowemu przez innego administratora (doradca podatkowy jako podmiot przetwarzający), doradca podatkowy zawiadamia niezwłocznie takiego administratora naruszeniu. Zawiadomienie powinno zawierać wyczerpujące informacje dotyczące:

11.13.1. tożsamości doradcy podatkowego jako podmiotu przetwarzającego oraz danych teleadresowych i danych inspektora ochrony danych, jeżeli został powołany;

11.13.2. godzinie, dacie i miejscu naruszenia ochrony danych osobowych;

11.13.3. dacie i okolicznościach naruszenia ochrony danych osobowych;

11.13.4. zakresie danych osobowych, które podlegały naruszeniu (ujawnieniu);

11.13.5. charakterze naruszenia ochrony danych osobowych, w tym w miarę możliwości kategorii i przybliżonej liczbie osób, których dane zostały ujawnione;

11.13.6. potencjalnych konsekwencjach naruszenia ochrony danych osobowych dla osób, których dane zostały ujawnione;

11.13.7. środkach zastosowanych lub proponowanych przez doradcę podatkowego, w celu zaradzenia naruszeniu ochrony danych osobowych lub zminimalizowania jego negatywnych skutków;

11.13.8. systemach teleinformatycznych, w których nastąpiło naruszenie ochrony danych osobowych;

11.13.9. przewidywanym terminie usunięcia naruszenia ochrony danych osobowych.

11.13.10. innych okolicznościach istotnych z punktu widzenia oceny naruszenia ochrony danych osobowych i ustalenia jego przyczyn.

11.14. W przypadku określonym w punkcie 11.13. Kodeksu doradca podatkowy nie dokonuje samodzielnego zawiadomienia o naruszeniu do organu nadzorczego oraz do osób fizycznych, których ochrona danych osobowych została naruszona bez porozumienia z administratorem danych osobowych.

ROZDZIAŁ  12.

PRZEKAZYWANIE DANYCH OSOBOWYCH DO PAŃSTW TRZECICH

12.1. Do transgranicznego przetwarzania danych osobowych (w tym do ich przekazywania do państw spoza Europejskiego Obszaru Gospodarczego, to jest krajów członkowskich Unii Europejskiej oraz Islandii, Lichtensteinu i Norwegii) dochodzi zawsze, gdy zostają one przekazane do przetwarzania poza terytorium Polski, w szczególności w sytuacji w której dane osobowe przetwarzane przez doradcę podatkowego są powierzane do przetwarzania podmiotowi, który będzie przetwarzał je poza terytorium Polski.

12.2. W przypadku przekazywania danych osobowych do państw nienależących do Europejskiego Obszaru Gospodarczego podmiot przestrzegający Kodeksu zobowiązany jest do zastosowania przepisów RODO oraz niniejszego Kodeksu, regulujących kwestie transgranicznego przetwarzania danych osobowych w rozumieniu art. 4 pkt 23 RODO.

12.3. Przekazanie danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego przez doradcę podatkowego następuje wyłącznie jeżeli spełnione zostaną warunki związane z zabezpieczeniem danych osobowych określone w art. 44 - 49 RODO.

12.4. Przekazanie danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego może nastąpić, gdy Komisja Europejska stwierdzi, że dane państwo, terytorium lub określony sektor lub określone sektory w tym państwie zapewniają odpowiedni stopień ochrony. Takie przekazanie nie wymaga specjalnego zezwolenia.

12.5. Wykaz państw, terytoriów i sektorów spoza Europejskiego Obszaru Gospodarczego, co do których Komisja Europejska przyjęła decyzję stwierdzającą odpowiedni stopień ochrony jest publikowany w Dzienniku Urzędowym Unii Europejskiej oraz na stronie internetowej Komisji Europejskiej (https://ec.europa.eu/info/law/law-topic/data-protection/international- dimension-data-protection/adequacy-decisions_en).

12.6. W przypadku braku wydania przez Komisję Europejską decyzji stwierdzającej, że państwo, terytorium lub sektor spoza Europejskiego Obszaru Gospodarczego zapewniają odpowiedni stopień ochrony danych osobowych, doradca podatkowy może przekazać dane osobowe poza obszar Europejskiego Obszaru Gospodarczego jedynie, gdy zapewnione zostaną odpowiednie zabezpieczenia i pod warunkiem, że obowiązują egzekwowalne prawa osób, których dane dotyczą i skuteczne środki ochrony prawnej.

12.7. Odpowiednie zabezpieczenia, o których mowa w punkcie 12.6. Kodeksu można zapewnić - bez konieczności uzyskania specjalnego zezwolenia ze strony organu nadzorczego - za pomocą:

12.7.1. prawnie wiążącego i egzekwowalnego instrumentu między organami lub podmiotami publicznymi;

12.7.2. wiążących reguł korporacyjnych, zgodnie z art. 47 RODO;

12.7.3. standardowych klauzul ochrony danych przyjętych przez Komisję Europejską, zgodnie z procedurą sprawdzającą, o której mowa w art. 93 ust. 2 RODO;

12.7.4. standardowych klauzul ochrony danych przyjętych przez organ nadzorczy i zatwierdzonych przez Komisję, zgodnie z procedurą sprawdzającą o której mowa w art. 93 ust. 2 RODO;

12.7.5. zatwierdzonego kodeksu postępowania, zgodnie z art. 40 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie spoza Europejskiego Obszaru Gospodarczego do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą;

12.7.6. zatwierdzonego mechanizmu certyfikacji zgodnie z art. 42 RODO wraz z wiążącymi i egzekwowalnymi zobowiązaniami administratora lub podmiotu przetwarzającego w państwie spoza Europejskiego Obszaru Gospodarczego do stosowania odpowiednich zabezpieczeń, w tym w odniesieniu do praw osób, których dane dotyczą.

12.8. Odpowiednie zabezpieczenia, o których mowa w punkcie 12.6. Kodeksu można zapewnić - po uzyskaniu zezwolenia ze strony organu nadzorczego - za pomocą:

12.8.1. klauzul umownych między administratorem lub podmiotem przetwarzającym z jednej strony, a administratorem, podmiotem przetwarzającym lub odbiorcą danych osobowych w państwie spoza Europejskiego Obszaru Gospodarczego po drugiej stronie;

12.8.2. postanowień uzgodnień administracyjnych między organami lub podmiotami publicznymi, w których przewidziane będą egzekwowalne i skuteczne prawa osób, których dane dotyczą.

12.9. W przypadku braku wydania przez Komisję Europejską decyzji stwierdzającej, odpowiedni stopień ochrony danych osobowych o której mowa w punkcie 12.4. Kodeksu oraz w przypadku braku możliwości stwierdzenia odpowiednich zabezpieczeń o których mowa w punkcie 12.6. Kodeksu, jednorazowe lub wielokrotne przekazanie danych osobowych do państw spoza Europejskiego Obszaru Gospodarczego może nastąpić wyłącznie pod warunkiem spełnienia minimum jednej z następujących przesłanek:

12.9.1. osoba, której dane dotyczą, poinformowana o ewentualnym ryzyku, z którymi - ze względu na brak decyzji stwierdzającej odpowiedni stopień ochrony oraz na brak odpowiednich zabezpieczeń - może się dla niej wiązać proponowane przekazanie, wyraźnie wyraziła na nie zgodę;

12.9.2. przekazanie jest niezbędne do wykonania umowy między osobą, której dane dotyczą, a doradcą podatkowym lub do podjęcia działań zmierzających do zawarcia umowy na wniosek osoby, której dane dotyczą;

12.9.3. przekazanie jest niezbędne do zawarcia lub wykonania umowy zawartej w interesie osoby, których dane dotyczą, między doradcą podatkowym a inną osobą fizyczną lub prawną;

12.9.4. przekazanie jest niezbędne ze względu na ważne względy interesu publicznego;

12.9.5. przekazanie jest niezbędne do ustalenia, dochodzenia lub ochrony roszczeń;

12.9.6. przekazanie jest niezbędne do ochrony żywotnych interesów osoby, których dane dotyczą, lub innych osób, jeżeli osoba, której dane dotyczą, jest fizycznie lub prawnie niezdolna do wyrażenia zgody;

12.9.7. przekazanie następuje z rejestru, który zgodnie z prawem Unii Europejskiej lub prawem państwa członkowskiego ma służyć za źródło informacji dla ogółu obywateli i który jest dostępny dla ogółu obywateli lub dla każdej osoby mogącej wykazać prawnie uzasadniony interes, na zasadach określonych w art. 49 ust. 1 lit. g RODO.

12.10. W przypadku braku wydania przez Komisję Europejską decyzji stwierdzającej, odpowiedni stopień ochrony danych osobowych o której mowa w punkcie 12.4. Kodeksu, w przypadku braku możliwości stwierdzenia odpowiednich zabezpieczeń o których mowa w punkcie 12.6. Kodeksu oraz w przypadku braku spełnienia którejkolwiek z przesłanek określonych w punkcie 12.9. Kodeksu, przekazanie do państwa spoza Europejskiego Obszaru Gospodarczego może nastąpić wyłącznie w przypadku łącznego spełnienia następujących przesłanek:

12.10.1. przekazanie nie jest powtarzalne;

12.10.2. przekazanie dotyczy tylko ograniczonej liczby osób, których dane dotyczą;

12.10.3. przekazanie jest niezbędne ze względu na ważne prawnie uzasadnione interesy realizowane przez doradcę podatkowego, wobec których charakteru nadrzędnego nie mają interesy ani prawa i wolności osoby, której dane dotyczą;

12.10.4. doradca podatkowy przeprowadził ocenę wszystkich okoliczności przekazania danych i na podstawie tej oceny zapewnił odpowiednie zabezpieczenia w zakresie ochrony danych osobowych;

12.10.5. doradca podatkowy udokumentował ocenę wszystkich okoliczności przekazania danych oraz zastosowanych zabezpieczeń o których mowa powyżej w rejestrze czynności przetwarzania oraz w rejestrze kategorii czynności przetwarzania;

12.10.6. doradca podatkowy poinformował organ nadzorczy o przekazaniu danych do państwa spoza Europejskiego Obszaru Gospodarczego.

12.11. W razie braku decyzji stwierdzającej odpowiedni stopień ochrony o której mowa w punkcie 12.4. Kodeksu, prawo Unii Europejskiej lub prawo państwa członkowskiego może z uwagi na ważne względy interesu publicznego wyraźnie nakładać ograniczenia na przekazywanie konkretnych kategorii danych osobowych do państwa spoza Europejskiego Obszaru Gospodarczego.

ROZDZIAŁ  13.

PROFILOWANIE I ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI

13.1. Profilowanie danych osobowych oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, polegającą na wykorzystaniu danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby fizycznej, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się. Przykładowo formą profilowania są:

13.1.1. automatyczne operacje na zbiorach danych osobowych w celu dopasowania oferty handlowej do preferencji i potrzeb potencjalnych klientów;

13.1.2. przypisanie pracownikom i współpracownikom klientów doradcy podatkowego określonych właściwości i cech, w celu zautomatyzowanego przewidzenia ich zachowań;

13.1.3. przetwarzanie danych osobowych pozyskanych z publicznych rejestrów w celu zautomatyzowanego wyboru podmiotów, które mogą potrzebować świadczenia określonej czynności doradztwa podatkowego.

13.2. Profilowanie danych osobowych stanowi jedną z form przetwarzania danych osobowych i jest dopuszczalne przy zaistnieniu minimum jednej z przesłanek legalizujących przetwarzanie danych osobowych, określonych w art. 6 ust. 1 RODO lub w art. 9 ust. 2 RODO, opisywanych w rozdziale 5 niniejszego Kodeksu.

13.3. Przetwarzanie przez doradcę podatkowego danych osobowych prowadzące do wydania decyzji która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, w tym profilowaniu i wywołuje wobec osoby której dane dotyczą skutki prawne lub w podobny sposób istotnie na nią wpływa jest dozwolone wyłącznie w przypadku spełnienia minimum jednej z przesłanek wskazanych poniżej:

13.3.1. wydanie decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu opiera się na wyraźnej zgodzie osoby której dane dotyczą, o ile doradca podatkowy wdrożył właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów tej osoby, w tym co najmniej prawa do uzyskania interwencji ludzkiej, wyrażenia własnego stanowiska lub kwestionowania zautomatyzowanej decyzji;

13.3.2. wydanie decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu jest niezbędne do zawarcia lub wykonania umowy między osobą której dane dotyczą a doradcą podatkowym, o ile doradca podatkowy wdrożył właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów tej osoby, w tym co najmniej prawa do uzyskania interwencji ludzkiej, wyrażenia własnego stanowiska lub kwestionowania zautomatyzowanej decyzji;

13.3.3. wydanie decyzji opartej wyłącznie na zautomatyzowanym przetwarzaniu jest dozwolone prawem Unii Europejskiej lub prawem państwa członkowskiego, któremu podlega doradca podatkowy i które przewiduje właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą.

13.4. Przetwarzanie przez doradcę podatkowego danych osobowych, prowadzące do wydania decyzji która opiera się wyłącznie na zautomatyzowanym przetwarzaniu, nawet w przypadku zaistnienia jednej z przesłanek określonych w punkcie powyżej, może opierać się na przetwarzaniu szczególnych kategorii danych osobowych o których mowa w art. 9 ust. 1 RODO wyłącznie gdy istnieją właściwe środki ochrony praw, wolności i prawnie uzasadnionych interesów osoby, której dane dotyczą oraz w przypadku zaistnienia minimum jednej z przesłanek wskazanych poniżej:

13.4.1. osoba, której dane dotyczą udzieliła wyraźnej zgody na przetwarzanie tych danych osobowych w jednym lub kilku konkretnych celach, chyba że prawo Unii Europejskiej lub prawo państwa członkowskiego przewidują, iż osoba której dane dotyczą nie może wyrazić takiej zgody;

13.4.2. przetwarzanie jest niezbędne ze względów związanych z ważnym interesem publicznym, na podstawie prawa Unii Europejskiej lub prawa państwa członkowskiego, które są proporcjonalne do wyznaczonego celu, nie naruszają istoty prawa do ochrony danych i przewidują odpowiednie i konkretne środki ochrony praw podstawowych i interesów osoby, której dane dotyczą.

ROZDZIAŁ  14.

RETENCJA DANYCH OSOBOWYCH

14.1. Doradca podatkowy może przetwarzać dane osobowe tak długo, jak istnieją przesłanki legalizujące przetwarzanie określone w art. 6 ust. 1 RODO lub w art. 9 ust. 2 RODO, opisane w rozdziale 5 niniejszego Kodeksu. Dane osobowe przetwarzane są przez okres niezbędny do realizacji celów, dla których zostały pierwotnie zebrane.

14.2. Po osiągnięciu pierwotnych celów przetwarzania w postaci świadczenia czynności doradztwa podatkowego, dane osobowe mogą być przetwarzane przez doradcę podatkowego wyłącznie w przypadku zaistnienia minimum jednej z poniższych przesłanek:

14.2.1. dalsze przetwarzanie danych osobowych jest dopuszczalne lub nakazane w przepisach prawa powszechnie obowiązującego (przykładowo art. 39 ustawy o doradztwie podatkowym, art. 94 pkt 9b ustawy z dnia 26 czerwca 1974 r. Kodeks pracy; art. 16c ustawy z dnia 26 maja 1982 r. Prawo o adwokaturze; art. 5c ustawy z dnia 6 lipca 1982 r. o radcach prawnych; art. 74 ustawy z dnia 29 września 1994 r. o rachunkowości; par. 86 ustawy z dnia 29 sierpnia 1997 r. - Ordynacja podatkowa; art. 47 ustawy z dnia 13 października 1998 r. o systemie ubezpieczeń społecznych; art. 125a ustawy z dnia 17 grudnia 1998 r. o emeryturach i rentach z Funduszu Ubezpieczeń Społecznych; art. 49 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu);

14.2.2. dalsze przetwarzanie danych osobowych służy realizacji prawnie uzasadnionego interesu doradcy prawnego lub osoby trzeciej, w szczególności w celu dochodzenia lub obrony przed roszczeniami, z zastrzeżeniem zasad dotyczących dopuszczalności takiego przetwarzania określonych w punkcie 5.1.6. Kodeksu.

14.3. Przy ocenie tego, czy dane osobowe powinny zostać usunięte, podmiot przestrzegający Kodeksu bierze pod uwagę m.in.:

14.3.1. obowiązek usunięcia kopii sporządzanych na piśmie opinii, wystąpień w imieniu podatników, płatników, inkasentów oraz osób, o których mowa w art. 2 ust. 1a ustawy o doradztwie podatkowym, w sprawach obowiązków podatkowych, a także udzielonych im porad po upływie 5 lat od dnia sporządzenia, przewidziany w art. 39 ustawy o doradztwie podatkowym;

14.3.2. okres przedawnienia roszczeń wynikających ze świadczonych czynności doradztwa podatkowego (przetwarzanie, w tym archiwizacja danych osobowych w celu ustalenia, dochodzenia lub obrony przed roszczeniami);

14.3.3. okres przedawnienia zobowiązań podatkowych;

14.3.4. inne okresy przechowywania dokumentów mogących zawierać dane osobowe określone w przepisach prawa, w szczególności ustawach wskazanych w punkcie 14.2.1. niniejszego Kodeksu.

14.4. Usunięcie danych osobowych może nastąpić poprzez trwałe i nieodwracalne zniszczenie dokumentacji papierowej, przez wykasowanie danych przechowywanych w systemach teleinformatycznych lub przez anonimizację danych osobowych.

14.5. Anonimizacja danych osobowych oznacza trwałą i nieodwracalną zmianę danych osobowych, uniemożliwiającą pośrednie lub bezpośrednie zidentyfikowanie osoby fizycznej, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających cechy osoby fizycznej, pozwalające na jej identyfikację. W szczególności anonimizacja danych może polegać na modyfikacji dokumentacji papierowej lub danych w systemach teleinformatycznych, poprzez usunięcie treści pozwalających na identyfikację osób fizycznych (w tym: imię, nazwisko, nr PESEL i inne numery identyfikacyjne, dane teleadresowe i kontaktowe) i pozostawienie pozostałych informacji (przykładowo dane finansowe, dane dotyczące płci lub wieku) o ile łącznie bądź rozdzielnie nie pozwalają one na identyfikację osoby fizycznej.

14.6. Podmiot przestrzegający Kodeksu zobowiązany jest do okresowego przeglądu przetwarzanych przez siebie danych osobowych pod kątem ich retencji, zasadności dalszego przetwarzania oraz konieczności usunięcia lub anonimizacji danych osobowych. Przegląd ten powinien odbywać się nie rzadziej, niż jeden raz w roku. Przegląd powinien zostać podsumowany w formie pisemnej lub dokumentowej (w tym poprzez zapis w pliku w systemie teleinformatycznym).

ROZDZIAŁ  15.

ZABEZPIECZENIE PRZETWARZANIA DANYCH OSOBOWYCH

15.1. Doradca podatkowy przetwarzając dane osobowe zobowiązany jest do wdrożenia środków organizacyjnych i technicznych zapewniających stopień zabezpieczenia danych osobowych adekwatny do ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia. Zasady zabezpieczenia i ochrony danych zawartych w księgach rachunkowych określają ponadto art. 71-76 ustawy z dnia 29 września 1994 r. o rachunkowości.

15.2. Zakres zastosowanych przez doradcę podatkowego środków organizacyjnych i technicznych zależny jest od stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania danych osobowych. Ustalając zakres i charakter środków doradca podatkowy bierze pod uwagę także skalę prowadzonej działalności i zakres przetwarzanych danych osobowych.

15.3. Podmiot przestrzegający Kodeksu zobowiązany jest do przeprowadzenia wewnętrznej analizy adekwatności i niezbędności środków zabezpieczających przetwarzanie danych osobowych, z uwzględnieniem zasad wynikających z niniejszego Kodeksu.

15.4. Środki zabezpieczenia danych osobowych podzielić można na zabezpieczenia organizacyjne, fizyczne i teleinformatyczne.

15.5. Podmiot przestrzegający Kodeksu zobowiązany jest do przygotowania i wdrożenia procedur przewidujących następujące zabezpieczenia organizacyjne:

15.5.1. przetwarzanie danych osobowych wyłącznie przez osoby pisemnie upoważnione (współpracowników doradcy podatkowego), które złożyły oświadczenie o zachowaniu poufności na zasadach określonych w punktach 15.6. - 15.9. Kodeksu - o ile podmiot przestrzegający Kodeksu współpracuje przy wykonywaniu czynności z innymi osobami;

15.5.2. wyznaczenie obszaru przetwarzania danych osobowych za który odpowiedzialność ponosi doradca podatkowy (działający jako administrator lub pomiot przetwarzający danych osobowe) poprzez wskazanie lokalizacji i pomieszczeń w których następują czynności przetwarzania;

15.5.3. ustalenie zasad przetwarzania danych osobowych poza obszarem przetwarzania danych osobowych, w tym zasad korzystania z urządzeń mobilnych i sposobów zabezpieczenia dostępu do przetwarzanych w tych urządzeniach danych osobowych, na zasadach określonych w punktach 15.10 - 15.11. oraz 15.32. Kodeksu;

15.5.4. ustalenie zasad ograniczonego i nadzorowanego dostępu osób nieupoważnionych do pomieszczeń w których przetwarzane są dane osobowe, na zasadach określonych w punktach 15.12 - 15.13. Kodeksu;

15.5.5. przestrzeganie tzw. "polityki czystych biurek" regulującej kwestię przechowywania na biurku jedynie materiałów niezbędnych do bieżącej pracy oraz zasady ich bezpiecznego przechowywania w przypadku braku obecności doradcy podatkowego lub współpracowników doradcy podatkowego przy stanowisku pracy, na zasadach określonych w punktach 15.14 - 15.16. Kodeksu;

15.5.6. przestrzeganie tzw. "polityki czystego pulpitu" regulującej kwestię zabezpieczenia komputera i innych urządzeń elektronicznych na których znajdują się dane osobowe, w szczególności poprzez blokowanie ekranów komputerów w przypadku braku obecności doradcy podatkowego lub współpracowników doradcy podatkowego przy stanowisku pracy oraz przechowywania danych osobowych w miarę możliwości na dyskach sieciowych zamiast dysku lokalnym danego urządzenia;

15.5.7. weryfikację osób kontaktujących się z podmiotem przestrzegającym Kodeksu, na zasadach określonych w punktach 15.18 - 15.20. Kodeksu;

15.5.8. regularne szkolenia doradcy podatkowego oraz współpracowników doradcy podatkowego z zakresu ochrony danych osobowych, na zasadach określonych w punkcie 15.21 - 15.23. Kodeksu.

15.6. Doradca podatkowy zapewnia, że każda osoba działająca w jego imieniu i mająca dostęp do danych osobowych (współpracownik doradcy podatkowego) przetwarza je wyłącznie na polecenie doradcy podatkowego, chyba że przetwarzania tych danych osobowych wymaga prawo Unii Europejskiej lub prawo państwa członkowskiego.

15.7. Uzyskanie dostępu do danych osobowych przetwarzanych przez doradcę podatkowego przez współpracownika doradcy podatkowego wymaga przyznania takiemu współpracownikowi upoważnienia do przetwarzania danych osobowych.

15.7.1. Upoważnienie do przetwarzania danych osobowych jest sporządzane w formie pisemnej lub dokumentowej w dwóch egzemplarzach i może stanowić fragment umowy ze współpracownikiem. Jeden egzemplarz upoważnienia wydawany jest współpracownikowi doradcy podatkowego, drugi przechowywany jest przez doradcę podatkowego. Przykładowy wzór upoważnienia do przetwarzania danych osobowych stanowi Załącznik nr 6 do Kodeksu.

15.8. Podmiot przestrzegający Kodeksu udziela współpracownikowi doradcy podatkowego upoważnienia do przetwarzania danych osobowych o którym mowa powyżej wyłącznie w przypadku złożenia przez współpracownika doradcy podatkowego oświadczenia o zachowaniu poufności.

15.8.1. Oświadczenie o zachowaniu poufności o którym mowa powyżej może zostać złożone w formie pisemnej lub dokumentowej i może stanowić fragment umowy ze współpracownikiem. Oświadczenie to przechowywane jest przez doradcę podatkowego w dokumentacji dotyczącej współpracownika doradcy podatkowego.

Przykładowy wzór oświadczenia o zachowaniu poufności stanowi Załącznik nr 7 do Kodeksu.

15.9. Podmiot przestrzegający Kodeksu zobowiązany jest do prowadzenia ewidencji osób upoważnionych do przetwarzania danych osobowych. Ewidencja może być prowadzona w formie pisemnej lub dokumentowej. Przykładowy wzór ewidencji osób upoważnionych do przetwarzania danych osobowych stanowi Załącznik nr 8 do Kodeksu.

15.10. Podmiot przestrzegający Kodeksu zobowiązany jest do wyznaczenia obszaru przetwarzania danych osobowych, za które ponosi odpowiedzialność działając jako administrator lub podmiot przetwarzający. Obszar przetwarzania danych osobowych powinien być odpowiednio zabezpieczony oraz powinien zostać opisany jako wykaz lokalizacji i pomieszczeń, w których dochodzi do operacji przetwarzania danych osobowych.

15.11. Przetwarzanie danych osobowych poza obszarem przetwarzania danych osobowych, przykładowo poprzez zabranie dokumentacji zawierającej dane osobowe do klienta lub do domu czy praca zdalna możliwe jest wyłącznie w przypadku łącznego spełnienia następujących przesłanek:

15.11.1. przetwarzanie danych osobowych poza obszarem przetwarzania sprzyja prawidłowemu wykonywaniu czynności przez podmiot przestrzegający Kodeksu;

15.11.2. doradca podatkowy lub osoba przez niego wyznaczona udzieliła wyraźnej zgody na przetwarzanie danych osobowych poza obszarem przetwarzania;

15.11.3. zapewnione zostały wystarczające zabezpieczenia przetwarzanych danych osobowych poza obszarem przetwarzania.

15.12. Podmiot przestrzegający Kodeksu zobowiązany jest do przestrzegania wewnętrznych procedur zapewniających, że przebywanie osób nieupoważnionych do przetwarzania danych osobowych w obszarze przetwarzania danych osobowych jest dopuszczalne tylko w przypadku, gdy jest to niezbędne oraz w obecności i pod nadzorem doradcy podatkowego lub współpracownika doradcy podatkowego.

15.13. Doradca podatkowy lub współpracownik doradcy podatkowego nadzorujący osobę nieupoważnioną przebywającą w obszarze przetwarzania danych osobowych zobowiązany jest do minimalizowania ryzyka nieuprawnionego dostępu takiej osoby do danych osobowych. Może to nastąpić w szczególności poprzez:

15.13.1. nadzór nad działaniami osoby nieupoważnionej w czasie wykonywania przez nią czynności;

15.13.2. zamknięcie pomieszczeń w których znajdują się dane osobowe, do których osoba nieupoważniona nie musi mieć dostępu;

15.13.3. weryfikację przestrzegania przez doradcę podatkowego oraz współpracowników doradcy podatkowego tzw. "polityki czystego biurka" oraz "polityki czystego pulpitu";

15.13.4. pobranie od osoby nieupoważnionej zobowiązania do zachowania poufności.

15.14. Podmiot przestrzegający Kodeksu zobowiązany jest do przestrzegania wewnętrznych procedur zapewniających realizację tzw. "polityki czystego biurka" która oznacza niepozostawianie materiałów zawierających dane osobowe w miejscu umożliwiającym fizyczny dostęp do nich osobom nieupoważnionym. Pozostawianie danych osobowych (np. w formie wydruków czy nośników elektronicznych) w miejscach ogólnodostępnych jest zabronione.

15.15. Podmiot przestrzegający Kodeksu, w przypadku stosowania wydruków z drukarek sieciowych zobowiązany jest do wprowadzenia procedur przewidujących natychmiastowy odbioru wydruku. O ile jest to uzasadnione okolicznościami związanymi z przetwarzaniem możliwe jest zastosowane tzw. wydruków poufnych (odbiór wydruku po wprowadzeniu kodu PIN lub innej formy uwierzytelnienia).

15.16. Obowiązek przestrzegania zasady czystego biurka spoczywa indywidualnie na każdej osobie upoważnionej przez podmiot przestrzegający Kodeksu do przetwarzania danych osobowych.

15.17. W celu minimalizacji możliwości ujawnienia danych osobowych przechowywanych w dokumentacji papierowej osobom nieupoważnionym, podmiot przestrzegający Kodeksu, w przypadku konieczności zniszczenia takiej dokumentacji, stosuje niszczarki lub korzysta z usług zewnętrznego podmiotu wyspecjalizowanego w utylizacji dokumentacji poufnej. Zniszczenie dokumentacji powinno nastąpić w sposób uniemożliwiający jej ponowne odczytanie. O ile jest to uzasadnione skalą działalności rekomendowane jest używanie tzw. niszczarek ścinkowych.

15.18. Podmiot przestrzegający Kodeksu, w przypadku konieczności ujawnienia danych osobowych osobie kontaktującej się w danej sprawie podejmuje działania zmierzające do zweryfikowania tożsamości takiej osoby w celu ustalenia, czy ujawnienie jej danych osobowych jest dopuszczalne i uzasadnione.

15.19. Sposoby weryfikacji tożsamości powinny być dostosowane do posiadanych przez podmiot przestrzegający Kodeksu danych identyfikacyjnych oraz sposobu komunikacji z osobą kontaktującą się w sprawie. W szczególności, podmiot przestrzegający Kodeksu powinien podjąć następujące czynności:

15.19.1. w przypadku kontaktu osobistego weryfikacja tożsamości powinna odbyć się przez okazanie dowodu tożsamości;

15.19.2. w przypadku kontaktu listownego weryfikacja tożsamości powinna odbyć się przez weryfikację imienia i nazwiska osoby kontaktującej się oraz jednej z danych identyfikacyjnych zawartych w piśmie, przykładowo numeru PESEL, NIP, adresu zamieszkania. Pismo powinno być opatrzone własnoręcznym podpisem osoby kontaktującej się;

15.19.3. w przypadku kontaktu za pośrednictwem wiadomości e-mail weryfikacja tożsamości powinna odbyć się przez weryfikację imienia i nazwiska osoby kontaktującej się oraz adresu e-mail z którego podmiot przestrzegający Kodeksu otrzymał wiadomość. W celu umożliwienia weryfikacji tożsamości dla potrzeb kontaktu za pośrednictwem wiadomości e-mail, podmiot przestrzegający Kodeksu w zawieranych umowach powinien uwzględniać adresy e-mail klientów doradcy podatkowego dedykowane do kontaktu;

15.19.4. w przypadku kontaktu telefonicznego weryfikacja tożsamości powinna odbyć się przez weryfikację imienia i nazwiska osoby kontaktującej się oraz jednej z danych identyfikacyjnych, przykładowo numeru PESEL, NIP, adresu zamieszkania. W celu umożliwienia weryfikacji tożsamości dla potrzeb kontaktu telefonicznego, podmiot przestrzegający Kodeksu w zawieranych umowach powinien uwzględniać numery telefonów klientów doradcy podatkowego dedykowane do kontaktu.

15.20. Podmiot przestrzegający Kodeksu może ograniczyć weryfikację tożsamości w przypadku kontaktu za pośrednictwem adresu e-mail lub numeru telefonu zawartego w umowie zawartej z klientem doradcy podatkowego. Weryfikacja tożsamości następuje wówczas w zakresie imienia i nazwiska osoby kontaktującej się oraz adresu e-mail lub numeru telefonu osoby kontaktującej się z doradcą podatkowym.

15.21. Podmiot przestrzegający Kodeksu podejmuje działania mające na celu osiągnięcie i utrzymanie odpowiedniego poziomu kwalifikacji osób upoważnionych do przetwarzania danych osobowych w zakresie przetwarzania danych osobowych, w tym środowiska teleinformatycznego i bezpieczeństwa informacji przetwarzanych w systemach teleinformatycznych.

15.22. Podmiot przestrzegający Kodeksu zobowiązany jest do stałego poszerzania wiedzy i umiejętności z zakresu ochrony danych osobowych, w tym poprzez udział w szkoleniach dostosowanych do skali, zakresu i sposobów przetwarzania danych osobowych oraz roli i uprawnień współpracowników doradcy podatkowego przy przetwarzaniu danych.

15.22.1. W przypadku doradców podatkowych prowadzących działalność w formie jednoosobowej i nieprzetwarzających danych osobowych w skali masowej szkolenia mogą przybierać przykładowo formę udziału w szkoleniach zewnętrznych, wysłuchania materiałów szkoleniowych w formie elektronicznej, zapisania się do newsletter dotyczącego ochrony danych osobowych.

15.22.2. W przypadku doradców zatrudniających współpracowników upoważnionych do przetwarzania danych osobowych szkolenia powinny zostać przeprowadzone minimum jeden raz w roku. Fakt przeprowadzenia szkolenia powinien zostać udokumentowany.

15.23. Podmiot przestrzegający Kodeksu zobowiązany jest do przeszkolenia z zakresu ochrony danych osobowych każdego nowego współpracownika doradcy podatkowego przed upoważnieniem go do przetwarzania danych osobowych. Szkolenie takie powinno obejmować zapoznanie współpracownika z podstawowymi zasadami przetwarzania danych zawartymi w RODO oraz wynikającymi z procedur obowiązujących w podmiocie przestrzegającym Kodeksu. Niniejszy Kodeks może stanowić lub być źródłem materiałów szkoleniowych. Fakt przeprowadzenia szkolenia powinien zostać udokumentowany.

15.24. Podmiot przestrzegający Kodeksu zobowiązany jest do przygotowania i wdrożenia procedur przewidujących mechanizmy fizycznego zabezpieczenia dostępu do obszaru przetwarzania danych osobowych. W szczególności Podmiot przestrzegający Kodeksu:

15.24.1. stosuje zamki mechaniczne lub inne systemy bezpieczeństwa fizycznego, np. system kontroli dostępu, zamek szyfrowy dla dostępu do obszaru przetwarzania danych osobowych. W przypadku stosowania zamków mechanicznych zalecane jest:

15.24.1.1. zabezpieczenie kluczy przed dostępem osób nieuprawnionych;

15.24.1.2. niepozostawianie kluczy w drzwiach i posiadanie procedury przechowywania i zabezpieczenia kluczy zapasowych;

15.24.1.3. zamykanie drzwi na klucze nawet podczas krótkotrwałej nieobecności pracowników w pomieszczeniach w godzinach pracy.

15.24.2. wprowadza procedury zgodnie z którymi dokumenty zawierające dane osobowe będą przechowywane w szafach zabezpieczonych zamkiem lub innymi bezpiecznymi środkami, przykładowo kontrolą dostępu lub zamkiem szyfrowym. Odstąpienie od tego wymogu możliwie jest wyłącznie w sytuacji, w której dostęp do pomieszczenia w którym przechowywane są dane osobowe jest zastrzeżony wyłącznie dla osób upoważnionych do przetwarzania danych osobowych (doradcy podatkowi i ich współpracownicy);

15.24.3. w pomieszczeniach będących obszarem przetwarzania danych osobowych szczególnie narażonych na dostęp osób nieupoważnionych (przykładowo lokale na parterze z łatwym dostępem do okien) wymagane jest stosowanie krat lub folii antywłamaniowej, o ile obiekt nie jest objęty całodobową ochroną lub nie są stosowane inne zabezpieczenia minimalizujące ryzyko dostępu osób nieupoważnionych.

15.25. Podmiot przestrzegający Kodeksu oraz współpracownicy doradcy podatkowego przed opuszczeniem pomieszczenia, w którym przetwarzane są dane osobowe powinni:

15.25.1. zakończyć pracę w systemie teleinformatycznym (wylogować się z aplikacji i zamknąć system);

15.25.2. upewnić się, że pomieszczenie jest odpowiednio zabezpieczone, przykładowo zamknięcie okien, drzwi, wyłączenie urządzeń elektrycznych, weryfikacja zachowania tzw. "polityki czystego biurka".

15.26. Podmiot przestrzegający Kodeksu, jeżeli jest to uzasadnione skalą, zakresem lub sposobem przetwarzania danych osobowych może ponadto wdrożyć procedury przewidujące inne zabezpieczenia fizyczne, w szczególności:

15.26.1. systemy alarmowe sygnalizacji włamania;

15.26.2. systemy monitoringu wizyjnego w miejscach szczególnie wrażliwych (przykładowo wejście do siedziby, wejście do serwerowni, archiwum z dokumentami oznaczonych wyraźnie jako obszar monitorowany), uwzględniające wymogi wynikające z art. 222 - 223 ustawy z dnia 26 czerwca 1974 r. Kodeks Pracy;

15.26.3. zabezpieczenia nośników z kopiami zapasowymi;

15.26.4. szyfrowanie nośników danych zawierających dane osobowe;

15.26.5. stosowanie drzwi o podwyższonej klasie ogniotrwałości w przypadku przechowywania danych osobowych w wewnętrznych serwerowniach.

15.26.6. wprowadzenie zasad przechowywania danych osobowych w chmurze obliczeniowej, przewidujących w szczególności:

15.26.6.1. w przypadku doradców podatkowych korzystających z usług służących do przechowywania i współdzielenia plików zalecane jest korzystanie z usług dostawców posiadających doświadczenie i odpowiednie zaplecze techniczne, którzy odpowiednio zabezpieczyli infrastrukturę chmurową, co może być potwierdzone przykładowo certyfikacją ISO27001;

15.26.6.2. włączenie logowania dwuskładnikowego, przykładowo przez dodatkową wiadomość tekstową;

15.26.6.3. przechowywanie plików w sposób dodatkowo je zabezpieczający, przykładowo poprzez spakowanie ich w archiwum zabezpieczone hasłem;

15.26.6.4. szyfrowanie archiwizowanych zasobów w przypadku korzystania z systemów wykonujących kopie zapasowe (rekomendowany algorytm to AES- 256);

15.26.6.5. zastosowanie fizycznych kluczy bezpieczeństwa (tzw. U2F), jeżeli jest to uzasadnione dużą skalą przetwarzania danych osobowych lub innymi istotnymi okolicznościami;

15.26.6.6. korzystanie z rozwiązań tzw. chmur prywatnych o ile jest to możliwe i w danym przypadku uzasadnione ekonomicznie;

15.27. Podmiot przetwarzający Kodeksu zobowiązany jest do zapewnienia, że wszystkie systemy teleinformatyczne w których przetwarzane są dane osobowe będą chronione równolegle na wielu poziomach poprzez:

15.27.1. adekwatne metody uwierzytelnienia użytkowników poprzez stosowanie mechanizmów kontroli dostępu (identyfikator i hasło);

15.27.2. stosowanie unikalnych identyfikatorów dla każdego konta i nieużywanie identyfikatorów osób, które utraciły upoważnienie do przetwarzania danych osobowych;

15.27.3. oprogramowanie antywirusowe lub oprogramowanie antywirusowe wraz z systemem firewall. Aktualizacja oprogramowania antywirusowego powinna odbywać się cyklicznie, w sposób automatyczny dla wszystkich urządzeń teleinformatycznych;

15.27.4. odpowiednią konfigurację systemu aktualizacji systemu operacyjnego gwarantujące bieżącą aktualizację systemu;

15.27.5. realizację kopii bezpieczeństwa.

15.28. Jeżeli jest to uzasadnione skalą, zakresem i sposobem przetwarzania danych osobowych podmiot przestrzegający Kodeksu może zastosować dodatkowe procedury uwierzytelniające, przykładowo:

15.28.1. certyfikaty cyfrowe;

15.28.2. karty elektroniczne;

15.28.3. tokeny;

15.28.4. uwierzytelnienie dwuskładnikowe;

15.28.5. zastosowanie mechanizmów biometrycznych w celu umożliwienia identyfikacji użytkowników zgodnie z art. 221b ustawy z dnia 26 czerwca 1974 r. Kodeks Pracy.

15.29. Jeżeli jest to uzasadnione skalą, zakresem i sposobami przetwarzania danych osobowych, podmiot przestrzegający Kodeksu, w przypadku przetwarzania danych osobowych w systemach teleinformatycznych, może wprowadzić dodatkowe zabezpieczenia teleinformatyczne, w szczególności:

15.29.1. szyfrowanie zawartości dysków przenośnych (CD, karty pamięci USB, pendrive) oraz dysków w komputerach stacjonarnych;

15.29.2. szyfrowanie zawartości dysków w przypadku przetwarzania danych na komputerach przenośnych oraz innych urządzeniach mobilnych (w tym telefonach komórkowych);

15.29.3. stosowanie haseł dostępu do systemu BIOS, które utrudniają uruchomienie systemu operacyjnego przy użyciu zewnętrznych nośników, przykładowo na CD, USB, kartach pamięci;

15.29.4. stosowanie mechanizmów uniemożliwiających zapis danych na zewnętrznych nośnikach danych, przykładowo na CD, USB, kartach pamięci.

15.29.5. posiadanie tzw. wsparcia serwisowego dla systemów przetwarzających dane osobowe w celu ochrony przed podatnościami, błędami;

15.30. Podmiot przestrzegający Kodeksu odbiera dostęp fizyczny do obszaru przetwarzania danych osobowych oraz uprawnienia i dostępy do systemów teleinformatycznych w których przetwarzane są dane osobowe z chwilą zakończenia współpracy ze współpracownikiem takiego doradcy podatkowego.

15.31. Podmiot przestrzegający Kodeksu zobowiązany jest do wprowadzenia procedur dotyczących stosowania haseł do systemów teleinformatycznych, zakładających że:

15.31.1. prawidłowe hasło składa się z co najmniej 8 znaków (w tym duże i małe litery, cyfry lub znaki specjalne takie jak np.: !@#$%);

15.31.2. użytkownik ma obowiązek zmiany hasła nie rzadziej niż raz na miesiąc, o ile system informatyczny nie wymusi takiej zmiany automatycznie. Kolejne hasła nie mogą się powtarzać. W przypadku gdy system teleinformatyczny nie wymusza zmiany hasła automatycznie użytkownik jest zobowiązany do dokonania takiej zamiany w sposób manualny;

15.31.3. podejrzenie lub stwierdzenie, że z hasłem mogły zapoznać się osoby nieuprawnione powoduje konieczność niezwłocznej jego zmiany.

15.32. Podmiot przestrzegający Kodeksu zobowiązany jest do stosowania podstawowych reguł bezpiecznej pracy w systemach teleinformatycznych, zakładających w szczególności:

15.32.1. zakaz udostępniania loginów i haseł do systemów innym osobom;

15.32.2. korzystanie z urządzeń przenośnych w taki sposób, aby unikać ich zagubienia, zniszczenia lub łatwego dostępu dla osób nieuprawnionych;

15.32.3. aktywowanie blokady ekranu po odejściu od komputera (tzw. "polityka czystego pulpitu");

15.32.4. stosowanie wygaszaczy ekranu, który wymagają hasła w celu odblokowania dostępu;

15.32.5. niepozostawianie aktywnych sesji w aplikacjach i przeglądarkach internetowych po zakończeniu pracy;

15.32.6. jeżeli jest to uzasadnione charakterem i zawartością przesyłanej wiadomości - szyfrowanie podczas przesyłania danych osobowych drogą elektroniczną, przykładowo w formie plików w formacie zip z hasłem lub poprzez szyfrowanie np. kluczami GPG. Hasło do pliku powinno zostać wysłane innym kanałem wymiany informacji, przykładowo przez wiadomość tekstową lub podczas kontaktu telefonicznego.

15.33. Zabezpieczenie danych osobowych przez doradcę podatkowego może nastąpić także poprzez zastosowanie mechanizmów pseudonimizacji, oznaczającej takie przetworzenie danych osobowych, które uniemożliwia ich przypisanie do konkretnej osoby fizycznej bez użycia dodatkowych informacji. Takie dodatkowe informacje powinny być przechowywane osobno i być objęte środkami technicznymi i organizacyjnymi uniemożliwiającymi ich przypisanie zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. Przykładowo pseudonimizacja może polegać na zastąpieniu w niektórych systemach teleinformatycznych danych identyfikacyjnych przez inne oznaczenia sprawy (np. numery wewnętrzne), wprowadzenie oznaczeń skrótowych lub numerycznych na segregatorach lub teczkach z dokumentacją.

ROZDZIAŁ  16.

ANALIZA I OCENA RYZYKA PRZY PRZETWARZANIU DANYCH OSOBOWYCH

16.1. Doradca podatkowy zobowiązany jest do przeprowadzenia oceny ryzyka związanego z przetwarzaniem danych osobowych.

16.2. Ryzyko należy rozumieć jako potencjalną przyczynę niepożądanego incydentu, który może wywołać naruszenie praw lub wolności osób fizycznych. Przykładowe ryzyka mające wpływ na prawa lub wolności osób fizycznych to:

16.2.1. niezgodne z prawem przetwarzanie danych osobowych (brak podstaw do przetwarzania);

16.2.2. utrata kontroli nad danymi osobowymi;

16.2.3. kradzież danych osobowych;

16.2.4. ujawnienie danych osobom nieupoważnionym;

16.2.5. nieuprawniony dostęp do danych osobowych;

16.2.6. incydenty informatyczne mające wpływ na poufność, dostępność lub integralność danych osobowych.

16.2.7. przetwarzanie danych osobowych skutkujące dyskryminacją osób fizycznych z jakiegokolwiek względu;

16.2.8. kradzież tożsamości lub oszustwo dotyczące tożsamości osoby fizycznej mogące skutkować stratą finansową, naruszeniem dobrego imienia;

16.2.9. naruszenie poufności danych chronionych tajemnicą zawodową doradcy podatkowego lub inną tajemnicą zawodową;

16.2.10. pozbawienie osób fizycznych możliwości skorzystania z przysługujących im praw i wolności lub możliwości sprawowania kontroli nad swoimi danymi osobowymi;

16.2.11. ujawnienie szczególnych kategorii danych osobowych o których mowa w art. 9 ust. 1 RODO lub danych o których mowa w art. 10 RODO;

16.2.12. przetwarzanie danych na dużą skalę, mogące prowadzić do uszczerbku fizycznego lub szkód majątkowych lub niemajątkowych po stronie osób fizycznych.

16.3. Ocena ryzyka dotycząca przetwarzania danych osobowych ma na celu:

16.3.1. zapewnienie zdolności do ciągłego zapewnienia poufności, integralności, dostępności przetwarzania danych osobowych;

16.3.2. ustalenie ryzyk związanych z przetwarzaniem danych osobowych, w szczególności wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych;

16.3.3. zdefiniowanie i wdrożenie odpowiednich środków technicznych i organizacyjnych, zapewniających zabezpieczenia adekwatne do ustalonych ryzyk dla zminimalizowania prawdopodobieństwa ich wystąpienia.

16.4. Oceny ryzyka dokonuje się na podstawie określenia prawdopodobieństwa oraz potencjalnych skutków określonych zdarzeń, poprzez określenie dla każdego zidentyfikowanego ryzyka związanego z takim zdarzeniem:

16.4.1. prawdopodobieństwa wystąpienia ryzyka;

16.4.2. przewidywanego (potencjalnego) skutku wystąpienia ryzyka;

16.5. Ocena ryzyka powinna zostać przeprowadzona na etapie projektowania i określania sposobów przetwarzania danych oraz w czasie samych czynności przetwarzania. Ocena ryzyka jest procesem ciągłym, monitorującym adekwatność oraz skuteczność stosowanych zabezpieczeń organizacyjnych i technicznych. Oceniając, czy stopień bezpieczeństwa danych osobowych jest odpowiedni, uwzględnia się w szczególności ryzyko wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.

16.6. Podmiot przestrzegający Kodeksu zobowiązany jest do przeprowadzenia oceny ryzyka związanego z przetwarzaniem danych osobowych w formie pisemnej lub dokumentowej. Przykładowy wzór oceny, poprzez 4-stopniową skalę oceny ryzyk (pomijalne, niewielkie, umiarkowane, poważne) stanowi Załącznik nr 9 do niniejszego Kodeksu.

16.7. Na podstawie oceny ryzyka związanego z przetwarzaniem danych osobowych podmiot przestrzegający Kodeksu dokonuje podziału ryzyk na akceptowalne i nieakceptowalne.

16.8. W wyniku oceny ryzyka podmiot przestrzegający Kodeksu przygotowuje i wdraża rekomendacje dotyczące dalszego postępowania z ryzykiem poprzez:

16.8.1. akceptowani e ryzyka;

16.8.2. zapobieganie ryzyku - jeżeli poziom ryzyka przekracza wyznaczony poziom akceptowalności ryzyka.

16.9. Podmiot przestrzegający Kodeksu w przypadku ustalenia, że poziom ryzyka przekracza wyznaczony poziom akceptowalności ryzyka podejmuje działania które pozwolą na zmniejszenie ryzyka do poziomu akceptowalnego. W szczególności może to nastąpić poprzez:

16.9.1. przeciwdziałanie ryzyku (redukowanie ryzyka) - podejmowanie działań pozwalających na ograniczenie ryzyka do akceptowalnego poziomu, przykładowo poprzez wprowadzenie dodatkowych zabezpieczeń organizacyjnych, fizycznych czy teleinformatycznych, stosowanie pseudonimizacji lub szyfrowania danych lub wzmocnienie mechanizmów kontroli wewnętrznej;

16.9.2. przeniesienie (transfer) ryzyka na inną instytucję, przykładowo poprzez skorzystanie z usług doradczych firm zewnętrznych lub dodatkowe ubezpieczenie;

16.9.3. przesunięcie w czasie (unikanie) ryzyka - zawieszenie działań skutkujących zbyt dużym ryzykiem dla praw i wolności osób fizycznych, np. zaprzestanie przetwarzania szczególnych kategorii danych osobowych, zaprzestanie profilowania lub zautomatyzowanego podejmowania decyzji względem osób fizycznych;

16.9.4. tolerowanie (akceptacja) ryzyka - w przypadku, gdy koszt przeciwdziałania ryzyku jest wyższy niż koszty potencjalnego ziszczenia się ryzyka.

16.10. Doradca podatkowy jest zobowiązany do przeprowadzenia oceny skutków dla ochrony danych w przypadku zaistnienia przesłanek określonych w art. 35 RODO, a więc jeżeli dany rodzaj przetwarzania - w szczególności z użyciem nowych technologii - ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

16.10.1. Ocena skutków dla ochrony danych osobowych jest obowiązkowa, w przypadku wykonywania operacji przetwarzania wymagających dokonania oceny skutków dla ochrony danych określonych w wykazie takich operacji wydawanym przez właściwy organ nadzorczy. Wykaz takich operacji dostępny jest na stronie internetowej Prezesa Urzędu Ochrony Danych Osobowych (https://uodo.gov.pl/424).

16.10.2. Organ nadzorczy może także ustanowić i podać do wiadomości publicznej wykaz rodzajów operacji przetwarzania niepodlegających wymogowi dokonania oceny skutków dla ochrony danych.

16.10.3. Podmiot przestrzegający Kodeksu, analizując obowiązek przeprowadzenia oceny skutków dla ochrony danych osobowych, bierze pod uwagę ponadto następujące kryteria:

16.10.3.1. czy przetwarzanie oznacza systematyczną, kompleksową ocenę czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na taką osobę;

16.10.3.2. czy przetwarzanie danych osobowych obejmuje automatyczne podejmowanie decyzji wywierające znaczący wpływ na prawa osób fizycznych;

16.10.3.3. czy wykonywany jest systematyczny monitoring na dużą skalę miejsc dostępnych publicznie;

16.10.3.4. czy przetwarzane są szczególne kategorie danych osobowych, w tym dane osobowe dotyczące zdrowia;

16.10.3.5. czy przetwarzanie danych osobowych następuje na dużą skalę;

16.10.3.6. czy zbiory przetwarzanych danych osobowych są łączone;

16.10.3.7. czy dane osobowe są przetwarzane z wykorzystaniem innowacyjnych technologii lub z wykorzystaniem innowacyjnych środków organizacyjnych;

16.10.3.8. czy dane osobowe są przekazywane poza obszar Europejskiego Obszaru Gospodarczego.

16.11. Podmiot przestrzegający Kodeksu przeprowadza ocenę skutków dla ochrony danych osobowych zawsze, gdy spełnione są przynajmniej dwie przesłanki wymienione w punkcie 16.10.3. Kodeksu.

16.11.1. Podmiot przestrzegających Kodeksu, w przypadku spełniania jednej z przesłanej wymienionych w punkcie 16.10.3. Kodeksu, przeprowadza dodatkową analizę zasadności przeprowadzenia oceny skutków dla ochrony danych pod kątem ryzyka naruszenia prawi i wolności osób fizycznych, których dane przetwarza. W przypadku uznania, że ryzyka te nie są wysokie podmiot przestrzegający Kodeksu może odstąpić od sporządzenia oceny skutków dla ochrony danych.

16.11.2. Podmiot przestrzegających Kodeksu który nie przetwarza danych osobowych na dużą skalę nie jest zobowiązany do przeprowadzenia oceny skutków dla ochrony danych osobowych.

16.11.2.1. Przetwarzanie danych osobowych na dużą skalę oznacza przetwarzanie znacznej ilości danych osobowych na szczeblu regionalnym, krajowym lub ponadnarodowym.

16.11.2.2. Przetwarzanie danych osobowych nie powinno być uznawane za przetwarzanie na dużą skalę, jeżeli dotyczy danych osobowych klientów i jest dokonywane przez pojedynczego doradcę podatkowego.

16.11.3. W przypadku wątpliwości, co do konieczności przeprowadzenia oceny skutków dla ochrony danych osobowych, podmiot przestrzegający Kodeksu zobowiązany jest do jej przeprowadzenia.

16.12. Podmiot przestrzegający Kodeksu dokonuje oceny skutków dla ochrony danych na podstawie przeprowadzonej oceny ryzyka związanego z przetwarzaniem danych. Ocena skutków dla ochrony danych zawiera co najmniej:

16.12.1. systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie - prawnie uzasadnionych interesów realizowanych przez administratora;

16.12.2. ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;

16.12.3. ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;

16.12.4. środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów osób fizycznych.

16.13. Podmiot przestrzegający Kodeksu oceniając skutki operacji przetwarzania wykonywane jako administrator lub podmiot przetwarzający może uwzględnić przestrzeganie niniejszego Kodeksu jako okoliczność zmniejszającą ryzyko naruszenia praw i wolności osób fizycznych.

16.14. Podmiot przestrzegający Kodeksu w przypadku zmiany ryzyk związanych z operacjami przetwarzania (przykładowo w przypadku zmiany obszaru przetwarzania danych osobowych w tym siedziby, znaczącego zwiększenia skali przetwarzanych danych osobowych, wprowadzenia nowych rozwiązań technologicznych czy systemów teleinformatycznych, rozpoczęcia przetwarzania szczególnych kategorii danych osobowych na dużą skalę) dokonuje przeglądu, by stwierdzić, czy przetwarzanie odbywa się zgodnie z oceną skutków dla ochrony danych i czy ocena ta nie powinna zostać uzupełniona lub przeprowadzona ponownie.

16.15. Jeżeli ocena skutków dla ochrony danych wykaże, że przy braku zabezpieczeń, środków bezpieczeństwa oraz mechanizmów minimalizujących ryzyko przetwarzanie powodowałoby wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a doradca podatkowy działający jako administrator danych osobowych uzna, że ryzyka tego nie da się zminimalizować środkami rozsądnymi z punktu widzenia dostępnych technologii i kosztów wdrożenia, wtedy przed rozpoczęciem czynności przetwarzania doradca podatkowy zobowiązany jest do przeprowadzenia konsultacji z organem nadzorczym na zasadach określonych w art. 36 RODO.

16.16. Doradca podatkowy, przeprowadzając analizę ryzyk związanych z przetwarzaniem oraz oceniając zasadność przeprowadzenia oceny skutków dla ochrony danych oraz przeprowadzając tę ocenę może skorzystać z wytycznych Grupy Roboczej Art. 29 RODO dotyczących oceny skutków dla ochrony danych oraz pomagających ustalić, czy przetwarzanie "może powodować wysokie ryzyko" do celów rozporządzenia 2016/679 (dostępne na stronie https://uodo.gov.pl/pl/10/9) oraz materiały i poradniki Prezesa Urzędu Ochrony Danych Osobowych (dostępne na stronie https://uodo.gov.pl/pl/p/najwazniejsze-tematy/administrator).

ROZDZIAŁ  17.

PRZYJĘCIE, ZMIANY I STOSOWANIE KODEKSU

17.1. KRDP wyznacza spośród swoich członków Komitet ds. ochrony danych osobowych. Zasady powołania, skład i funkcjonowanie Komitetu ds. ochrony danych osobowych określają wewnętrzne uchwały KRDP.

17.2. Do zadań Komitetu ds. ochrony danych osobowych należy w szczególności:

17.2.1. przygotowanie projektu Kodeksu lub zmiany zatwierdzonego Kodeksu lub jego rozszerzenia we współpracy z interesariuszami;

17.2.2. przeprowadzenie procesu konsultacyjnego i wnioskowanie o zatwierdzenie projektu Kodeksu lub zmianę zatwierdzonego Kodeksu do organu nadzorczego;

17.2.3. przedstawianie organowi nadzorczemu opinii w przedmiocie zasadności udzielenia akredytacji podmiotowi ubiegającemu się o akredytację w zakresie monitorowania przestrzegania Kodeksu, zgodnie z art. 41 RODO;

17.2.4. współpraca z organem nadzorczym, w tym opiniowanie dotyczące podmiotu monitorującego;

17.2.5. podejmowanie decyzji dotyczących przynależności do grupy podmiotów przestrzegających Kodeksu;

17.2.6. rozstrzyganie sporów dotyczących stosowania i interpretacji Kodeksu;

17.2.7. promowanie stosowania Kodeksu oraz podejmowanie innych działań zwiększających poziom ochrony danych osobowych wśród doradców podatkowych;

17.2.8. współpraca przy okresowym przeglądzie funkcjonowania Kodeksu;

17.2.9. zbieranie i analizowanie informacji uzyskanych od podmiotów przestrzegających Kodeksu dotyczących ochrony i przetwarzania danych osobowych w związku z wykonywaniem czynności doradztwa podatkowego i rekomendacji dotyczących zmian w Kodeksie.

17.3. Podmiotem monitorującym jest podmiot prawa odpowiedzialny za monitorowanie przestrzegania Kodeksu, wybrany przez KRDP, akredytowany przez organ nadzorczy i spełniający wymogi wskazane w art. 41 RODO. Do zadań podmiotu monitorującego należy w szczególności:

17.3.1. ocena zdolności doradców podatkowych do stosowania Kodeksu;

17.3.2. monitorowanie przestrzegania przepisów Kodeksu;

17.3.3. współpraca przy okresowym przeglądzie funkcjonowania Kodeksu;

17.3.4. rozpatrywanie wniosków i skarg na naruszenie Kodeksu;

17.3.5. podejmowanie odpowiednich działań w przypadku naruszenia Kodeksu;

17.3.6. współpraca z organem nadzorczym i Komitetem ds. ochrony danych osobowych.

17.4. Komitet ds. danych osobowych, na podstawie raportu przedstawianego przez podmiot monitorujący, dokonuje corocznego przeglądu stosowania Kodeksu. Przegląd ten obejmuje w szczególności:

17.4.1. identyfikowanie i analizę zmian regulacyjnych w zakresie danych osobowych;

17.4.2. analizę funkcjonowania Kodeksu w praktyce;

17.4.3. zalecenia dotyczące ewentualnych zmian w Kodeksie.

17.5. Komitet ds. danych osobowych oraz podmiot monitorujący współdziałają w celu zapewnienia sprawnych mechanizmów przystąpienia do Kodeksu oraz weryfikacji prawidłowości przetwarzania danych przez podmioty przestrzegające Kodeksu.

17.6. Doradca podatkowy może przystąpić do Kodeksu, składając w formie pisemnej lub elektronicznej wniosek o przystąpienie do Kodeksu. Wzór wniosku stanowi Załącznik nr 10 do niniejszego Kodeksu. We wniosku doradca podatkowy oświadcza, że:

17.6.1. spełnia wymagania nałożone na niego przez przepisy RODO, prawa krajowego oraz Kodeksu i jest świadom wynikających z nich obowiązków;

17.6.2. zobowiązuje się do przestrzegania tych obowiązków i tym samym chce uzyskać status podmiotu przestrzegającego Kodeksu;

17.6.3. wyraża zgodę na przeprowadzenie audytu przez podmiot monitorujący w formie uzgodnionej między tym podmiotem a doradcą podatkowym, uwzględniając specyfikę funkcjonowania doradców podatkowych nieprzetwarzających danych osobowych na dużą skalę.

17.7. Podmiot monitorujący przeprowadza audyt u doradcy podatkowego, który wystąpił z wnioskiem wskazanym powyżej i na jego podstawie wydaje ocenę zdolności doradcy podatkowego do przestrzegania postanowień RODO, przepisów prawa krajowego oraz niniejszego Kodeksu.

17.8. Przebieg i zasady audytu regulują procedury obowiązujące w podmiocie monitorującym. Audyt nie może naruszać zasad ochrony tajemnicy doradcy podatkowego oraz zasad zachowania innej tajemnicy zawodowej lub tajemnicy przedsiębiorstwa. Audyt obejmuje w szczególności ocenę:

17.8.1. określenia celów i podstaw prawnych przetwarzania danych osobowych;

17.8.2. zakresu przetwarzanych danych osobowych;

17.8.3. identyfikację właściwych statusów podmiotowych podczas procesów przetwarzania danych (administratorzy, odbiorcy, podmioty powierzające i przetwarzające dane);

17.8.4. upoważnień do przetwarzania danych osobowych i dostępu do nich wyłącznie przez osoby upoważnione;

17.8.5. zasad udostępniania i powierzenia przetwarzania danych osobowych;

17.8.6. zasad retencji danych;

17.8.7. środków organizacyjnych i technicznych zapewniających adekwatny stopień zabezpieczenia przetwarzania danych osobowych;

17.8.8. zasadności powołania przez doradcę podatkowego inspektora ochrony danych;

17.8.9. oceny ryzyka związanego z przetwarzaniem danych osobowych dokonanej przez doradcę podatkowego;

17.8.10. poziomu wiedzy i świadomości doradcy podatkowego i współpracowników doradcy podatkowego dotyczącej bezpieczeństwa danych osobowych;

17.8.11. zapewnienia realizacji praw osób, których dane dotyczą;

17.8.12. zapewnienia odpowiedniego wykonywania obowiązków informacyjnych podczas pozyskiwania danych osobowych;

17.8.13. przestrzegania zasad przetwarzania danych osobowych określonych w RODO, przepisach prawa krajowego i niniejszym Kodeksie, w tym w zakresie prowadzonych rejestrów i ewidencji.

17.9. Podmiot monitorujący, na podstawie przeprowadzonego audytu wydaje stanowisko dotyczące możliwości przystąpienia do Kodeksu przez podmiot wnioskujący.

17.9.1. W przypadku negatywnego wyniku audytu podmiot monitorujący wskazuje doradcy podatkowemu uzasadnienie takiej oceny, w tym wskazanie obszarów wymagających ponownej analizy i rekomendacje dotyczące możliwych rozwiązań.

17.9.2. W przypadku pozytywnego wyniku audytu podmiot monitorujący zawiadamia Komitet ds. danych osobowych o możliwości przystąpienia do Kodeksu przez doradcę podatkowego.

17.10. Komitet ds. danych osobowych podejmuje decyzję w sprawie przystąpienia doradcy podatkowego do grona podmiotów przestrzegających Kodeksu według wewnętrznych procedur Komitetu ds. danych osobowych. Komitet ds. danych osobowych zobowiązany jest do prowadzenia rejestru podmiotów przestrzegających Kodeksu oraz jego bieżącej aktualizacji.

17.11. Podmiot przestrzegający Kodeksu ma obowiązek niezwłocznego powiadomienia Komitetu ds. danych osobowych o:

17.11.1. wszelkich decyzjach organu nadzorczego w sprawie ochrony danych osobowych dotyczących takiego podmiotu;

17.11.2. istotnych zmian dotyczących zmiany danych identyfikujących podmiot przestrzegający Kodeksu;

17.11.3. innych istotnych zmianach dotyczących zasad, sposobów i celów przetwarzania danych osobowych.

17.12. Podmiot monitorujący prowadzi obowiązkowe monitorowanie przestrzegania przepisów Kodeksu przez Podmioty przestrzegające Kodeksu, według procedur przewidzianych w wewnętrznych procedurach podmiotu monitorującego. Monitorowanie to realizuje co najmniej następujące zasady:

17.12.1. wykonywanie czynności sprawdzających w sposób cykliczny, nie rzadziej, niż raz do roku;

17.12.2. uwzględnienie specyfiki podmiotów przestrzegających Kodeksu nieprzetwarzających danych osobowych na dużą skalę.

17.13. Podmiot monitorujący jest zobowiązany do analizy otrzymanych zgłoszeń dotyczących nieprawidłowego przetwarzania danych osobowych przez podmioty przestrzegające Kodeksu oraz informowania Komitetu ds. danych osobowych o ewentualnych nieprawidłowościach.

17.14. Komitet ds. danych osobowych może kierować do podmiotu przestrzegającego Kodeksu zalecenia dotyczące przetwarzania danych osobowych. W zaleceniach zawarte są wskazówki dotyczące prawidłowego przetwarzania danych osobowych oraz rekomendacje dotyczące możliwych zmian zapewniających minimalizację ryzyk związanych z przetwarzaniem danych osobowych oraz realizowaniem praw osób, których dane dotyczą.

17.15. W przypadku rażącego naruszenia przez podmiot przestrzegający Kodeksu przepisów RODO, ustaw krajowych lub Kodeksu lub w przypadku uporczywego braku uwzględniania zaleceń o których mowa powyżej, Komitet ds. danych osobowych podejmuje decyzję w sprawie usunięcia doradcy podatkowego z grona podmiotów przestrzegających Kodeksu.

17.16. Wydawanie zaleceń oraz podejmowanie decyzji o których mowa powyżej następują według wewnętrznych procedur Komitetu ds. danych osobowych. Komitet ds. danych osobowych zobowiązany jest to aktualizowania rejestru podmiotów przestrzegających Kodeksu.

17.17. Komitet ds. danych osobowych oraz podmiot monitorujący informują osoby, których dane dotyczą oraz opinię publiczną o zasadach przetwarzania danych określonych w Kodeksie. Podmioty te ustalają także tryb postępowania w zakresie skarg osób, których dane dotyczą na zasady przetwarzania danych osobowych przez podmioty przestrzegające Kodeksu oraz informują opinię publiczną o treści podstawowych zasad rozpoznawania skarg, wniosków i potencjalnych sporów.

17.18. Do czasu powołania podmiotu monitorującego w odniesieniu do niniejszego Kodeksu, wszelkie zadania tego podmiotu określone w niniejszym rozdziale wykonuje Komitet ds. ochrony danych osobowych.

Załącznik Nr  1

- Wzór rejestru czynności przetwarzania

grafika

Przykładowe zapisy oraz wskazówki dotyczące dla poszczególnych kolumn w Rejestrze Czynności Przetwarzania:

1. Nazwa czynności przetwarzania: np. zatrudnienie i rekrutacja współpracowników, prowadzenie akt pracowniczych, ewidencjonowanie czasu pracy, zgłaszanie pracowników i członków ich rodzin do ZUS, ich aktualizacja i przekazywanie danych o zwolnieniach, prowadzenie rozliczeń z pracownikami, wypłata wynagrodzeń, naliczanie obciążeń oraz naliczanie składek do ZUS, prowadzenie ksiąg rachunkowych, reprezentowanie klientów w postępowaniach sądowych i administracyjnych, przygotowanie opinii prawnych, inne czynności doradztwa podatkowego, archiwizacja dokumentacji pracowniczej lub księgowej, prowadzenie działań marketingowych, windykacja należności, obsługa reklamacji, prowadzenie nagrań monitoringu wizyjnego, ewidencjonowanie wejść osób trzecich do siedziby.

2. Jednostka organizacyjna: należy wskazać osobę lub dział odpowiedzialny za daną czynność przetwarzania, w przypadku działalności jednoosobowej rekomendowane jest usunięcie kolumny nr 2

3. Cel przetwarzania: np. zatrudnienie, rekrutacja, należyte wypełnianie obowiązków wobec pracowników, ewidencjonowanie czasu pracy, prowadzenie ksiąg rachunkowych, prawidłowe reprezentowanie klientów w postępowaniach sądowych lub administracyjnych, przygotowanie opinii prawnej, zabezpieczenie dokumentacji wymagającej archiwizacji, marketing, windykacja, prawidłowe rozpoznanie reklamacji, ochrona bezpieczeństwa osób i mienia na terenie siedziby.

4. Kategorie osób: np. pracownicy, współpracownicy, osoby rekrutowane, klienci, kontrahenci, pracownicy klientów i członkowie ich rodzin, strony lub uczestnicy postępowań sądowych lub administracyjnych, pracownicy sądów lub urzędów, pełnomocnicy procesowi, sędziowie, biegli sądowi, osoby składające reklamacje, dłużnicy, adresaci komunikatów marketingowych, odbiorcy newslettera, osoby widniejące na nagraniach monitoringu wizyjnego, osoby wchodzące do siedziby.

5. Kategorie danych: np. dane identyfikacyjne, numery identyfikacyjne, dane adresowe, dane kontaktowe, dane o wykształceniu, stażu pracy, uprawnieniach zawodowych, dane finansowe, dane o przebiegu pracy, absencji (urlopy, zwolnienia lekarskie, rehabilitacyjne,szkoleniowe i inne), dane o zakresie obowiązków, stawce wynagrodzenia, karach i nagrodach oraz inne dane wymagane zgodnie z Kodeksem Pracy, dane wymagane w formularzach zgłoszeń do ZUS, dane kadrowe (wysługa lat pracy, stawka wynagrodzeń), dane o czasie pracy, przyznanych nagrodach, potrąceniach (składki związkowe, zajęcia komornicze itp.) numery kont dla przelewów bankowych pracownika, oświadczenie o wielodzietności rodziny, orzeczenie o potrzebie kształcenia specjalnego wydane ze względu na niepełnosprawność, orzeczenie o niepełnosprawności lub o stopniu niepełnosprawności lub orzeczenie równoważne, prawomocny wyrok sądu rodzinnego orzekający rozwód lub separację lub akt zgonu oraz oświadczenie o samotnym wychowywaniu dziecka oraz niewychowywaniu żadnego dziecka wspólnie z jego rodzicem, dokument poświadczający objęcie dziecka pieczą zastępczą, oświadczenie o dochodzie na osobę w rodzinie kandydata.

6. Podstawa prawna: należy wskazać podstawę prawną z RODO (odpowiednia podstawa z art. 6 ust. 1 RODO lub art. 9 ust. 2 RODO), dodatkowo ewentualnie inną podstawę prawną, np. przepisy ustawy o doradztwie podatkowym, ustawy Kodeks Pracy, ustawy Ordynacja podatkowa, ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. W przypadku wskazania podstawy określonej w art. 6 ust. 1 lit. f RODO należy wskazać konkretny interes prawny administratora lub innej osoby.

7. Źródło danych: np. pracownik, współpracownik, osoba rekrutowana, klient, kontrahent, rejestr publiczny, zakupiona baza mailingowa.

8. Planowany termin usunięcia kategorii danych: np. pięcioletni okres przewidziany w art. 39 ustawy o doradztwie podatkowym; do czasu zakończenia rekrutacji, do czasu wygaśnięcia ustawowego obowiązku przechowywania akt pracowniczych zgodnie z ustawą o narodowym zasobie archiwalnym i archiwach, do czasu przedawnienia roszczeń wynikających z umowy, do czasu cofnięcia zgody na wysyłanie newslettera.

9. Nazwa współadministratora i dane kontaktowe: w przypadku współadministratorów, zobacz punkty 6.10 - 6.12. Kodeksu.

10. Nazwa podmiotu przetwarzającego i dane kontaktowe: należy wskazać wszystkie podmioty, którym w ramach poszczególnych czynności przetwarzania powierzono przetwarzanie danych osobowych, zobacz Rozdział 7 Kodeksu.

11. Kategorie odbiorców: np. ZUS, organy podatkowe i skarbowe, banki, instytucje finansowe, firmy świadczące usługi (np. doradztwo prawne, wsparcie techniczne, usługi transportowe).

12. Nazwa systemu lub oprogramowania: pole nieobowiązkowe, w przypadku pozostawienia należy wskazać wszystkie systemy informatyczne.

13. Ogólny opis technicznych i organizacyjnych środków bezpieczeństwa: zobacz Rozdział 15, możliwość odesłania do właściwych polityk.

14. Ocena skutków dla ochrony danych osobowych: o ile sporządzenie jest obowiązkowe, zobacz punkty 16.10. - 16.13. Kodeksu

15. -16. Transfer do kraju trzeciego lub org. międzynarodowej: zobacz Rozdział 12 Kodeksu, w przypadku braku pole pozostaje puste.

Załącznik Nr  2

-Wzór rejestru kategorii czynności przetwarzania

grafika

Przykładowe kategorie przetwarzań w Rejestrze Kategorii Czynności Przetwarzania:

prowadzenie ksiąg rachunkowych, ksiąg podatkowych i innych ewidencji do celów podatkowych oraz udzielanie im pomocy w tym zakresie;

sporządzanie w imieniu i na rzecz klientów będących podatnikami, płatnikami lub inkasentami, zeznań i deklaracji podatkowych lub udzielanie im pomocy w tym zakresie.

Załącznik Nr  3

- Wzór umowy powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA PRZETWARZANIA DANYCH OSOBOWYCH

zawarta dnia ............................ r. w ........................ (dalej Umowa), pomiędzy:

......................................... z siedzibą w .................. (..-...) przy ul. .........................., wpisaną do

rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy ......................., ............ Wydział

Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS ..............., posługującą się

numerem NIP ......................., REGON .................., reprezentowaną

przez:

................................................................

zwaną w dalszej części "Podmiotem powierzającym"

a

............................ z siedzibą w .................... (..-...) przy ul. ....................................., wpisaną do

rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy ..............., .................... Wydział

Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS ..................., posługującą się

numerem NIP ..........................., REGON ......................., reprezentowaną przez:

..................................................................

zwaną w dalszej części "Podmiotem przetwarzającym",

łącznie zwanymi Stronami, a każda z osobna także Stroną.

PREAMBUŁA

Mając na uwadze fakt, iż Strony łączy umowa o ................................................... zawarta dnia

................................... r., (zwana dalej "Umową główną") dla której wykonania konieczne jest

przetwarzanie danych osobowych, Strony zgodnie postanowiły, co następuje:

§  1.  Definicje

Pojęcia użyte w Umowie mają następujące znaczenie:

1.  Administrator - osoba fizyczna lub prawna, organ publiczny, jednostka lub inny podmiot, który samodzielnie lub wspólnie z innymi ustala cele i sposoby przetwarzania danych osobowych.
2.  Dane osobowe - informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej ("osobie, której dane dotyczą"); możliwa do zidentyfikowania osoba fizyczna to osoba, którą można bezpośrednio lub pośrednio zidentyfikować, w szczególności na podstawie identyfikatora takiego jak imię i nazwisko, numer identyfikacyjny, dane o lokalizacji, identyfikator internetowy lub jeden bądź kilka szczególnych czynników określających fizyczną, fizjologiczną, genetyczną, psychiczną, ekonomiczną, kulturową lub społeczną tożsamość osoby fizycznej.
3.  Naruszenie - naruszenie bezpieczeństwa prowadzące do przypadkowego lub niezgodnego z prawem zniszczenia, utracenia, zmodyfikowania, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
4.  Organ nadzorczy - organ publiczny działający w celu ochrony podstawowych praw i wolności osób fizycznych w związku z przetwarzaniem oraz ułatwiania swobodnego przepływu danych osobowych.
5.  Podpowierzenie - dalsze powierzenie przetwarzania Danych osobowych przez Podmiot przetwarzający.
6.  RODO - Rozporządzenie Parlamentu Europejskiego i Rady 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych).
§  2.  Przedmiot Umowy
1.  W trybie określonym w art. 28 RODO Podmiot powierzający powierza Podmiotowi przetwarzającemu do przetwarzania Dane osobowe na zasadach określonych w Umowie.
2.  Przedmiotem powierzenia przetwarzania są Dane osobowe określone w Załączniku nr 1 do Umowy. Załącznik nr 1 określa kategorie osób, których dane dotyczą, oraz rodzaj Danych osobowych, które zostają powierzone.
3.  Dane osobowe przetwarzane są w celu realizacji Umowy głównej, w niezbędnym minimalnym zakresie do osiągnięcia tego celu.
4.  Powierzenie przetwarzania Danych osobowych następuje na czas realizacji Umowy głównej.
5.  Dane osobowe przetwarzane są przez Podmiot przetwarzający w następującej lokalizacji/następujących lokalizacjach (adres):

.................................................

6.  Przetwarzanie powierzonych Danych osobowych obejmuje następujące czynności przetwarzania: (zbieranie, utrwalanie, organizowanie, porządkowanie, przechowywanie, adaptowanie lub modyfikowanie, pobieranie, przeglądanie, wykorzystywanie, ujawnianie poprzez przesłanie, rozpowszechnianie lub innego rodzaju udostępnianie, dopasowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie - należy wybrać właściwe).
§  3.  Oświadczenia Stron
1.  Podmiot powierzający oświadcza, że jest uprawniony do powierzenia przetwarzania Danych osobowych.
2.  Podmiot przetwarzający będzie przetwarzał dane osobowe wyłącznie na udokumentowane polecenie Podmiotu powierzającego. Udokumentowane polecenie może stanowić w szczególności niniejsza Umowa. Inne polecenia będą mogły być kierowane do Podmiotu przetwarzającego wyłącznie w formie ..........................
3.  Podmiot przetwarzający oświadcza, że zapewnia wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
§  4.  Obowiązki Stron
1.  Podmiot przetwarzający będzie prowadził rejestr wszystkich kategorii czynności przetwarzania dokonywanych w imieniu Podmiotu powierzającego, na zasadach określonych w art. 30 RODO.
2.  Podmiot przetwarzający zobowiązuje się zachować w tajemnicy wszelkie informacje i dane osobowe, do których będzie miał dostęp w związku z wykonywaniem Umowy.
3.  Podmiot przetwarzający będzie prowadził ewidencję osób, którym udostępniono powierzone przez Podmiot powierzający dane osobowe. Osoby te zostaną zobowiązane przez Podmiot przetwarzający do zachowania w tajemnicy wszelkich informacji uzyskanych w związku z przetwarzaniem danych osobowych.
4.  W przypadku stwierdzenia jakiejkolwiek sytuacji stanowiącej naruszenie bezpieczeństwa danych osobowych powierzonych do przetwarzania Podmiot przetwarzający po stwierdzeniu naruszenia ochrony danych osobowych zobowiązany jest niezwłocznie, nie później jednak niż w ciągu 36 godzin:
a) poinformować o tym Podmiot powierzający, podając wszelkie informacje dotyczące naruszenia;
b) ustalić przyczynę naruszenia i podjąć niezwłocznie wszelkie działania w celu usunięcia naruszenia i zabezpieczenia danych osobowych przed dalszymi naruszeniami;
c) zebrać dostępne informacje, które mogą pomóc w ustaleniu okoliczności naruszenia i przeciwdziałaniu podobnym naruszeniom w przyszłości;
5.  Jeżeli informacji, o których mowa w ustępie powyżej nie da się udzielić w tym czasie, Podmiot przetwarzający ma obowiązek udzielać ich sukcesywnie bez zbędnej zwłoki.
6.  Podmiot przetwarzający jest zobowiązany do ścisłej współpracy z Podmiotem powierzającym w zakresie związanym z naruszeniem i eliminacją ryzyk związanych z naruszeniem w przyszłości.
7.  Podmiot przetwarzający zobowiązany jest podjąć wszelkie środki wymagane zgodnie z art. 32 RODO, z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celów przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze zagrożenia, poprzez wdrożenie odpowiednich środków technicznych i organizacyjnych zapewniających stopień bezpieczeństwa odpowiadający temu ryzyku.
8.  Podmiot przetwarzający, biorąc pod uwagę charakter przetwarzania, w miarę możliwości pomaga Podmiotowi powierzającemu poprzez odpowiednie środki techniczne i organizacyjne wywiązać się z obowiązku odpowiadania na żądania osoby, której dane dotyczą, w zakresie wykonywania jej praw określonych w rozdziale III RODO.
9.  Podmiot przetwarzający, uwzględniając charakter przetwarzania oraz dostępne mu informacje, pomaga administratorowi wywiązać się z obowiązków określonych w art. 32-36 RODO.
10.  Podmiot przetwarzający będzie korzystał wyłącznie z usług takich dalszych podmiotów przetwarzających, które zapewniają wystarczające gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych, by przetwarzanie spełniało wymogi RODO i chroniło prawa osób, których dane dotyczą.
11.  Podmiot przetwarzający nie może powierzyć czynności przetwarzania danych osobowych określonych niniejszą Umową innym osobom lub podmiotom, bez uprzedniej pisemnej lub elektronicznej zgody Podmiotu powierzającego. Zgoda taka może być w szczególności wyrażona w formie wiadomości e-mail na adres wskazany w § 8 Umowy.
§  5.  Prawo kontroli
1.  Podmiot powierzający posiada prawo kontroli właściwego przetwarzania Danych osobowych przez Podmiot przetwarzający w zakresie, w jakim kontrola taka nie narusza obowiązków Podmiotu przetwarzającego dotyczących zachowania tajemnicy zawodowej. Podmiot przetwarzający na każdy wniosek Podmiotu powierzającego zobowiązany jest do udzielenia informacji dotyczących przetwarzania Danych osobowych w terminie 7 dni od dnia otrzymania wniosku od Podmiotu powierzającego.
2.  Podmiot przetwarzający umożliwia Podmiotowi powierzającemu lub upoważnionemu przez Podmiot powierzający audytorowi przeprowadzenie audytów, w tym inspekcji, i przyczynia się do nich w zakresie, w jakim audyt nie narusza obowiązków Podmiotu przetwarzającego dotyczących zachowania tajemnicy zawodowej lub tajemnicy przedsiębiorstwa.
3.  Podmiot przetwarzający zapewni w umowach z dalszymi podmiotami przetwarzającymi możliwość skorzystania w stosunku do takich podmiotów przez Podmiot powierzający - bezpośrednio lub za pośrednictwem Podmiotu przetwarzającego - z prawa kontroli określonego w niniejszym paragrafie, w tym prawa do przeprowadzania audytów.
§  6.  Odpowiedzialność
1.  Każda ze Stron odpowiada za szkody wyrządzone drugiej Stronie oraz osobom trzecim w związku z wykonywaniem Umowy.
2.  Podmiot przetwarzający ponosi odpowiedzialność za działania swoich pracowników i innych osób, przy pomocy których przetwarza Dane osobowe, jak za własne działanie i zaniechanie.
§  7.  Czas trwania i wypowiedzenie Umowy
1.  Umowa zostaje zawarta na czas obowiązywania Umowy głównej. W celu uniknięcia wątpliwości, rozwiązanie Umowy głównej skutkuje rozwiązaniem niniejszej Umowy.
2.  Po zakończeniu świadczenia usług związanych z przetwarzaniem Podmiot przetwarzający ma obowiązek usunąć lub zwrócić Podmiotowi powierzającemu - zależnie od decyzji Podmiotu powierzającego - powierzone mu Dane osobowe, jak również usunąć wszelkie ich istniejące kopie, chyba że powszechnie obowiązujące przepisy nakazują przechowywanie tych Danych osobowych.
3.  Na prośbę Podmiotu powierzającego Podmiot przetwarzający przesyła pisemne potwierdzenie zniszczenia Danych osobowych w terminie wskazanym przez Podmiot powierzający.
§  8.  Dane kontaktowe Stron
1.  W sprawach związanych z realizacją Umowy Strony reprezentują Przedstawiciele:
a) Podmiot powierzający: ....................................adres e-mail: ................................
b) Podmiot przetwarzający: ................................ adres e-mail:.................................
2.  Doręczenia i zawiadomienia, dla których Umowa lub powszechnie obowiązujące przepisy nie wymagają formy pisemnej, dokonywane są drogą elektroniczną na adresy e-mail Stron.
3.  O zmianie danych kontaktowych każda ze Stron zawiadomi niezwłocznie drugą Stronę w formie elektronicznej.
§  9.  Postanowienia końcowe
1.  Umowa podlega prawu polskiemu i wchodzi w życie z dniem podpisania.
2.  Załączniki stanowią integralną część Umowy. Zmiana załączników może zostać dokonana w formie komunikacji elektronicznej między stronami na adresy mailowe wskazane w § 8 niniejszej Umowy.
3.  Wszelkie zmiany lub uzupełnienia Umowy wymagają zachowania formy pisemnej pod rygorem nieważności, chyba że Umowa stanowi inaczej.
4.  Umowę sporządzono w dwóch egzemplarzach, po jednym dla każdej ze Stron.

Podmiot powierzający: Podmiot przetwarzający:

Załącznik  1

Przedmiot przetwarzania - zakres Danych osobowych

Kategoria osób, których dane dotyczą: ............................................. (np. klienci, pracownicy,

współpracownicy, kontrahenci, dłużnicy)

Rodzaj Danych osobowych:

Dane zwykłeSzczególne kategorie danych osobowychDane dotyczące wyroków skazujących oraz naruszeń prawa
Przykładowo - należy ustalić właściwe: imię, nazwisko, data urodzenia, numer PESEL, numer NIP, numer rachunku bankowego, numer telefonu, adres zamieszkania, adres zameldowania, adres korespondencyjny, adres e-mailNależy ustalić właściwe zgodnie z art. 9 RODONależy ustalić właściwe zgodnie z art. 10 RODO

Załącznik Nr  4

- Zakres informacji dotyczącej przetwarzania danych osobowych

Zakres informacjiRodzaj informacjiUwagi i przykłady
Nazwa, adres, dane kontaktowe doradcy podatkowegoInformacja

obligatoryjna

Pełna nazwa podmiotu wraz ze wskazaniem minimum adresu kontaktowego oraz adresu e-mail
Tożsamość i dane kontaktowe przedstawiciela administratoraInformacja fakultatywna - wskazywany jeżeli administrator ma obowiązek powołania przedstawiciela - por. art. 27 RODO w zw. z art. 3 ust. 2 RODOPełna nazwa podmiotu wraz ze wskazaniem minimum adresu kontaktowego oraz adresu e-mail
Dane kontaktowe inspektora ochrony danychInformacja fakultatywna - wskazywany wyłącznie, jeżeli powołano inspektora ochrony danych - por. art. 37-39 RODO oraz rozdziale 8 KodeksuNie ma obowiązku podawania imienia i nazwiska inspektora ochrony danych, niezbędne jest podanie minimum adresu email oraz adresu korespondencyjnego inspektora ochrony danych
Cele przetwarzania danych osobowych oraz podstawa prawnaInformacja

obligatoryjna

Przykłady celów przetwarzania i podstaw prawnych:

- zgoda osoby, której dane dotyczą na prowadzenie przyszłych procesów rekrutacyjnych (art. 6 ust. 1 lit. a RODO);

- negocjacje związane z zawarciem umowy (art. 6 ust. 1 lit. b RODO);

- wykonanie umowy zawartej z klientem doradcy podatkowego (art. 6 ust. 1 lit. b RODO);

- rozpatrywanie reklamacji (art. 6 ust. 1 lit. b RODO);

- archiwizowanie danych klientów doradcy podatkowego zgodnie obowiązkiem prawnym zawartym w art. 39 ustawy o doradztwie podatkowym (art. 6 ust. 1 lit. c RODO);

- kierowanie komunikatów marketingu bezpośredniego (art. 6 ust. 1 lit. f RODO);

- ustalanie i dochodzenie roszczeń oraz obrona przed roszczeniami (art. 6 ust. 1 lit. f RODO);

Kategorie danych osobowychInformacja fakultatywna - w przypadku zbierania danych osobowych w inny sposób niż bezpośrednio od osoby, której dane dotycząPrzykłady kategorii danych osobowych:

- dane identyfikacyjne (np. imię, nazwisko, nr PESEL);

- dane adresowe (np. adres zamieszkania, adres zameldowania);

- dane kontaktowe (np. numer telefonu, adres e-mail)

- dane dotyczące stanu zdrowia

Prawnie

uzasadnione

interesy

realizowane przez

doradcę

podatkowego

Informacja fakultatywna - jeżeli podstawą

przetwarzania danych osobowych jest art. 6 ust. 1 lit. f RODO

Przykłady prawnie uzasadnionych interesów realizowanych przez doradców podatkowych:

- ustalenie, dochodzenie roszczeń i obrona przed roszczeniami;

- badanie satysfakcji klientów doradcy podatkowego;

- marketing bezpośredni (wysyłanie informacji o prowadzonej działalności, newslettera itp.);

- prowadzenie wewnętrznych działań analitycznych i statystycznych;

Odbiorcy danych lub kategorie odbiorców danychInformacja obligatoryjna. W przypadku braku odbiorców należy wskazać ten fakt.Przykłady kategorii odbiorców danych:

- pracownicy i współpracownicy doradcy podatkowego;

- podmioty, którym doradca prawny powierzył przetwarzanie danych osobowych;

Informacja o zamiarze przekazania danych osobowych do państwa trzeciego lub organizacji międzynarodowejInformacja obligatoryjna. W przypadku braku przekazania należy wskazać ten fakt.Informacja zamieszczana w przypadku przekazywania danych osobowych do państw spoza terenu Unii Europejskiej. Szczegółowe informacje w tym zakresie zawarte są w rozdziale 12 Kodeksu.
Okres, przez który dane osobowe będą przechowywane lub kryteria ustalenia tego okresuInformacja

obligatoryjna

Przykłady określenia okresu przechowywania danych:

- do czasu zakończenia procesu rekrutacyjnego;

- do czasu zakończenia trwania umowy między stronami;

- do czasu przedawnienia wzajemnych roszczeń;

- przez okres 5 lat w związku z obowiązkiem określonym w art. 39 ustawy o doradztwie podatkowym;

Informacja o uprawnieniach przysługujących osobie, której dane są przetwarzaneInformacja

obligatoryjna

Informacja o prawie:

- dostępu do danych;

- sprostowania lub uzupełnienia danych;

- usunięcia danych;

- ograniczenia przetwarzania danych;

- przeniesienia danych;

- wniesienia sprzeciwu wobec przetwarzania danych;

Należy wskazać sugerowane kanały komunikacyjne do wnoszenia żądań.

Informacja o możliwości wycofania zgody na przetwarzanie danychInformacja fakultatywna - jeżeli przetwarzanie odbywa się na podstawie art. 6 ust. 1 lit. a RODO lub art. 9 ust. 2 lit. a RODOO prawie do cofnięcia zgody w dowolnym momencie osoba powinna zostać poinformowana przed faktycznym wyrażeniem zgody.

Wycofanie zgody nie ma wpływu na zgodność z prawem przetwarzania dokonanego na podstawie zgody przed jej wycofaniem.

Informacja o możliwości wniesienia skargi do organu nadzorczegoInformacja

obligatoryjna

Należy podać nazwę organu nadzorczego. Fakultatywnie można podać dane kontaktowe organu nadzorczego.
Informacja o obligatoryjności podania danychInformacja

obligatoryjna

Należy wskazać, czy podanie danych osobowych jest wymogiem ustawowym lub umownym lub warunkiem zawarcia umowy oraz czy osoba, której dane dotyczą, jest zobowiązana do ich podania i jakie są ewentualne konsekwencje niepodania danych (np. brak możliwości zawarcia albo realizacji umowy, brak możliwości udziału w procesach przyszłych rekrutacji).
Informacja o zautomatyzowanym podejmowaniu decyzji, w tym o profilowaniu.Informacja obligatoryjna. W przypadku braku zautomatyzowanego przetwarzania należy wskazać ten fakt.Należy wskazać czy przetwarzane dane osobowe będą służyły do zautomatyzowanego podejmowania decyzji, w tym profilowania. Jeżeli tak - należy wskazać istotne informacje o zasadach ich podejmowania, a także o znaczeniu i przewidywanych konsekwencjach takiego przetwarzania dla osoby, której dane dotyczą. Szczegółowe informacje w tym zakresie zawarte są w rozdziale 13 Kodeksu.
Źródło pozyskania danych osobowychInformacja fakultatywna - w przypadku zbierania danych osobowych w inny sposób niż bezpośrednio od osoby, której dane dotycząPrzykładowe źródła pozyskania danych:

- strona internetowa;

- powszechnie dostępne rejestry i ewidencje (np. KRS, CEIDG);

- Minister Cyfryzacji (nr PESEL);

- pracodawca osoby, której dane dotyczą.

Załącznik Nr  5

- Wzór rejestru naruszeń ochrony danych osobowych

REJESTR NARUSZEŃ OCHRONY DANYCH OSOBOWYCH
LP.Naruszenie

(stypizowany

opis

naruszenia)

Data i godzina naruszeniaKategoria i liczba osób, których dotyczy naruszenieZakres

danych

i/lub

kategorie

danych,

których

dotyczy

naruszenie

Szczególne kategorie danych (wrażliwe) TAK/NIE Jeśli tak - należy je wymienićMożliwe

konsekwencje

Ryzyko naruszeń praw i wolnościDziałania podjęte po stwierdzeniu naruszenia:Planowane

działania

naprawcze:

Czy zachodzi obowiązek poinformowania Urzędu Ochrony Danych Osobowych (jeśli tak - data i godzina zgłoszenia. W przypadku opóźnienia w powiadomieniu, wyjaśnienie)Zawiadomienie osób, których naruszenie dotyczy TAK/NIE. Jeśli tak - należy wskazać sposób przekazania informacji
Miejsce

naruszenia

Okoliczności

naruszenia

Osoba

odpowiedzialna za wdrożenie środków naprawczych i termin

wprowadzenia

środków

naprawczych

1
2

Załącznik Nr  6

- Wzór upoważnienia do przetwarzania danych osobowych

UPOWAŻNIENIE DO PRZETWARZANIA DANYCH OSOBOWYCH

Działając w imieniu ........................................ z siedzibą w ...............................................(..-...),

ul. .................................(zwaną dalej "Upoważniającym"), na podstawie art. 29 rozporządzenia

Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE,

upoważniam Panią/Pana .........................................., numer PESEL ....................................,

do przetwarzania w imieniu i na rzecz Upoważniającego danych osobowych udostępnionych w zakresie obowiązków służbowych, do celów niezbędnych do ich wykonywania.

..................................................................................

(miejscowość, data, podpis)

Załącznik Nr  7

- Wzór oświadczenia o zachowaniu poufności

OŚWIADCZENIE O ZACHOWANIU POUFNOŚCI

Zobowiązuje się do zachowania poufności i nieujawniania jakimkolwiek osobom trzecim, bez

uprzedniej, wyraźnej zgody ............................................ z siedzibą w ............................. (..-...),

ul. ............................................ (zwanego dalej "Doradcą Podatkowym"), wszelkich informacji

poufnych lub stanowiących dane osobowe, uzyskanych w czasie trwania współpracy z Doradcą Podatkowym.

Zobowiązanie do zachowania poufności dotyczy w szczególności danych osobowych uzyskanych w toku współpracy z Doradcą Podatkowym oraz ...

(można dodatkowo wskazać właściwe zapisy, przykładowo: informacji dotyczących obecnych lub potencjalnych klientów i kontrahentów, systemów, metod, biznesplanów, strategii rynkowych lub innych poufnych bądź zastrzeżonych informacji)

W przypadku zakończenia współpracy z Doradcą Podatkowym zobowiązuje się bezterminowo do nierozpowszechniania i niewykorzystywania danych osobowych i innych poufnych informacji zdobytych w czasie współpracy. Ponadto zobowiązuje się do niezwłocznego zwrócenia wszelkich dokumentów oraz innych materiałów stanowiących własność Doradcy Podatkowego.

........................................................................................................

(miejscowość, data, podpis)

Załącznik Nr  8

- Wzór ewidencji osób fizycznych upoważnionych do przetwarzania danych osobowych

EWIDENCJA OSÓB FIZYCZNYCH UPOWAŻNIONYCH DO PRZETWARZANIA DANYCH OSOBOWYCH
ImięNazwiskoNr PESELData nadania upoważnieniaData i przyczyna cofnięcia upoważnieniaZakres

upoważnienia

Załącznik Nr  9

- Wzór oceny ryzyka związanego z przetwarzaniem danych osobowych

Krok 1

Podmiot przestrzegający Kodeksu dokonuje identyfikacji ryzyk związanych z przetwarzaniem danych osobowych, prawdopodobieństwa ich wystąpienia oraz ich potencjalnych skutków.

Jakie ryzyka związane z przetwarzaniem danych zidentyfikowano?
Opis ryzyka (zdarzenia)Prawdopodobieństwo (1-5)Skutek (1-5)
Skala dla potencjalnych skutków naruszenia:
1 - PomijalneIstnieje niewielka możliwość wystąpienia naruszenia praw i wolności osób fizycznych (np.: przypadkowe ujawnienie małego zakresu danych osobowych pojedynczemu podmiotowi)
2 - NiewielkieIstnieje możliwość wystąpienia naruszenia praw i wolności osób fizycznych, ale ryzyko może zostać zniwelowane (konieczność poniesienia dodatkowych kosztów biznesowych)
3 - UmiarkowaneIstnieje ryzyko naruszenia praw i wolności osób fizycznych, które można zredukować dużym nakładem sił i środków
4 - PoważneIstnieje poważne zagrożenie wystąpienia negatywnych skutków dla praw i wolności osób fizycznych (np.: strata majątku znacznej wartości)
5 - KrytyczneWystąpienie krytycznych zagrożeń dla praw i wolności osób fizycznych

(np.: strata majątku ogromnej wartości, upadłość przedsiębiorstwa)

Skala dla prawdopodobieństwa wystąpienia:
1 - Rzadkie0-20% - Zagrożenie raczej nie wystąpi i nie zostało odnotowane w przeszłości
2 - Mało prawdopodobne21-40% - Zagrożenie występowało sporadycznie w przeszłości i może wystąpić ponownie
3 - Średnie41-60% - Zagrożenie wystąpiło w przeszłości i może wystąpić ponownie
4 - Prawdopodobne61-80% - Zagrożenie wystąpiło w nieodległej przeszłości i istnieją przesłanki by zakładać, że wystąpi ponownie
5 - Prawie pewne81-100% - Jest prawie pewne, że zagrożenie wystąpi w bardzo krótkim czasie

Krok 2

Podmiot przestrzegający Kodeksu dokonujące oceny ryzyka po określeniu prawdopodobieństwa oraz skutków ryzyka, ustalając wartość ryzyka zgodnie z wzorem:

R = P X S

gdzie:

R - ryzyko, P - prawdopodobieństwo, S - skutek.

Skutek
Krytyczny510152025
Poważny48121620
Umiarkowany3691215
Niewielki246810
Nieznaczny12345
RzadkieMało

prawdo

podobne

ŚredniePrawdo

podobne

Prawie

pewne

Prawdo

podobieństwo

Krok 3

Decyzje o akceptacji lub zapobieganiu ryzyku powinny być podejmowane z uwzględnieniem poziomu akceptowalności ryzyka. Poziom akceptowalności ryzyka, stanowiący wielkość ryzyka, jakie Podmiot przestrzegający Kodeksu może przyjąć w celu realizacji celów przetwarzania danych osobowych, wyznacza się w przedziale wartości od 1 do 15.

Na podstawie punktowej oceny ryzyka, Podmiot przestrzegający Kodeksu dokonuje uporządkowania rodzajów ryzyka według ich wagi oraz kryteriów matrycy punktowej, hierarchizując oraz inicjując działania w celu zmniejszenia ryzyk w następujący sposób:

* w przypadku ryzyka wysokiego (o wartości 15-25 pkt) należy objąć szczególnym nadzorem procesy i podjąć działania, które zmniejszą prawdopodobieństwo wystąpienia ryzyka do akceptowalnego poziomu;

* w przypadku ryzyka średniego (o wartości 6-15 pkt) podejmuje działania monitorowania ryzyka w tym obszarze oraz rozważa możliwości wprowadzenia lub modyfikacji mechanizmów kontrolnych;

* w przypadku ryzyka niskiego (o wartości 1-5 pkt) rekomenduje akceptację ryzyka w danym obszarze.

Krok 4:

Wnioski i rekomendacje wynikające z oceny ryzyka:

Załącznik  10

- Wniosek o przystąpienie do Kodeksu Postępowania dla Doradców Podatkowych w sprawie ochrony danych osobowych

.....................................

(data i miejscowość)

Wniosek o przystąpienie do Kodeksu Postępowania dla Doradców Podatkowych w sprawie ochrony danych osobowych

Nazwa Wnioskodawcy: ...............................................................................................................

Adres Wnioskodawcy: ................................................................................................................

Numer NIP Wnioskodawcy: .......................................................................................................

Niniejszym wnoszę o przystąpienie do Kodeksu Postępowania dla Doradców Podatkowych w sprawie ochrony danych osobowych.

Oświadczam, że spełniam wymagania związane z ochroną danych osobowych, wynikające z powszechnie obowiązujących przepisów prawa krajowego oraz prawa Unii Europejskiej i jestem świadomy wynikających z tych przepisów obowiązków oraz zobowiązuje się do ich przestrzegania.

W szczególności oświadczam, że spełniam poniższe wymogi:

Wymóg wynikający z przepisówOpis realizacji wymogu (wypełnia Wnioskodawca)
Określenie podstawy prawnej przetwarzania poszczególnych kategorii danych osobowych
Określenie celów przetwarzania poszczególnych kategorii danych osobowych
Prowadzenie rejestru czynności przetwarzania
Prowadzenie rejestru kategorii czynności przetwarzania
Przetwarzanie danych osobowych w minimalnym niezbędnym zakresie
Wypełnianie obowiązków informacyjnych wobec osób, których dane są przetwarzane
Realizowanie praw przysługujących osobom, których dane są przetwarzane
Prawidłowa identyfikacja podmiotów jako administratorzy / podmioty przetwarzające / współpracownicy doradcy podatkowego
Przetwarzanie danych osobowych w imieniu administratora wyłącznie przez osoby upoważnione do przetwarzania, które złożyły stosowne oświadczenie o zachowaniu poufności
Prowadzenie ewidencji osób upoważnionych do przetwarzania danych osobowych
Prawidłowe zarządzanie zasadami dostępu współpracowników doradcy podatkowego do danych osobowych
Posiadanie procedury reagowania na incydenty i naruszenia ochrony danych osobowych
Prowadzenie rejestru naruszeń ochrony danych osobowych
Posiadanie i przestrzeganie procedur dotyczących bezpieczeństwa danych osobowych, dopasowanych do profilu i skali prowadzonej działalności
Posiadanie i przestrzeganie adekwatnych zabezpieczeń danych osobowych, w tym w systemach teleinformatycznych
Posiadanie i przestrzeganie zasad udostępniania danych osobowych
Powierzanie przetwarzania danych wyłącznie na rzecz podmiotów spełniających wymogi wynikające z przepisów, na podstawie umowy lub innego instrumentu prawnego
Posiadanie i przestrzeganie zasad retencji (usuwania) danych osobowych i cykliczna analiza zasadności usunięcia poszczególnych kategorii danych osobowych
Posiadanie i przestrzeganie zasad związanych z profilowaniem danych osobowych i zautomatyzowanym podejmowaniem decyzji (o ile występuje)
Posiadanie i przestrzeganie zasad związanych z udostępnianiem danych osobowych poza obszar Europejskiego Obszaru Gospodarczego (o ile występuje)
Przeprowadzona analiza zasadności powołania Inspektora Ochrony Danych
Okresowa weryfikacja zasad ochrony danych osobowych (przeglądy roczne)
Odpowiednie przeszkolenie współpracowników doradcy podatkowego w zakresie zasad ochrony danych osobowych

Wyrażam zgodę na przeprowadzenie audytu przez podmiot monitorujący przestrzeganie Kodeksu w zakresie spełniania wymogów wynikających z przepisów prawa i Kodeksu.

.....................................................................................................................

(podpisy osób upoważnionych do reprezentowania Wnioskodawcy)