CHECKLISTA ADO
KSeF + RODO
I. Analiza ryzyka i rozliczalność
☐ Przeprowadzono analizę ryzyka
związaną z wdrożeniem KSeF
☐ Uwzględniono pracę zdalną i dostęp
zewnętrznych współpracowników
☐ Zweryfikowano, czy wymagane jest OSOD (DPIA)
☐ Udokumentowano zastosowane środki
techniczne i organizacyjne
II. Rejestr czynności przetwarzania
☐ KSeF został uwzględniony w
rejestrze czynności przetwarzania (czynność przetwarzania → Księgowość i
rachunkowość)
☐ Określono
kategorie danych (kontrahenci, osoby fizyczne, pełnomocnicy)
☐ Wskazano odbiorców
danych i okresy przechowywania
☐ Zaktualizowano podstawy prawne przetwarzania
III. Dostęp i uprawnienia w KSeF
☐ Nadano dostęp wyłącznie osobom
faktycznie obsługującym faktury
☐ Zastosowano zasadę
minimalnych uprawnień
☐ Prowadzona jest ewidencja osób
posiadających dostęp
do KSeF
☐ Istnieje procedura nadawania i odbierania uprawnień
☐ Dostępy są okresowo weryfikowane
IV. Tokeny, certyfikaty i uwierzytelnianie
☐ Określono zasady bezpiecznego
przechowywania tokenów i certyfikatów
☐ Zakazano udostępniania
danych dostępowych między
użytkownikami
☐ Istnieje procedura natychmiastowego unieważniania dostępu
☐ Osoby z dostępem
do KSeF zostały poinformowane o odpowiedzialności
V. Sprzęt i środowisko pracy
☐ Dostęp do KSeF odbywa się
wyłącznie z zatwierdzonego sprzętu
☐ Sprzęt jest
zabezpieczony (hasła, szyfrowanie, blokada ekranu)
☐ Zakazano korzystania z publicznych,
niezabezpieczonych sieci Wi-Fi
☐ Uregulowano zasady pracy zdalnej z KSeF
VI. Pobieranie i przechowywanie faktur
☐ Ograniczono pobieranie faktur
z KSeF do minimum
☐ Zakazano trwałego
przechowywania faktur na nośnikach
lokalnych
☐ Określono zasady
usuwania plików po zakończeniu
pracy
☐ Eksport danych do systemów
księgowych odbywa się wyłącznie zatwierdzonymi narzędziami
VII. Komunikacja i narzędzia IT
☐ Wskazano zatwierdzone kanały
przesyłania dokumentów
☐ Zakazano używania
prywatnych skrzynek e-mail i chmur
☐ Uwzględniono KSeF
w polityce bezpieczeństwa informacji
☐ Zidentyfikowano i ograniczono ryzyko shadow IT [systemy,
aplikacje ( w tym AI), oprogramowanie lub usługi (często chmurowe), z których
pracownicy korzystają do celów służbowych, ale bez wiedzy, zgody i kontroli
firmowego działu IT]
VIII. Szkolenia i świadomość
☐ Przeprowadzono szkolenie RODO
dla osób obsługujących KSeF
☐ Pracownicy znają zagrożenia związane z KSeF
☐ Udostępniono
instrukcję pracy z KSeF
☐ Szkolenia są okresowo
powtarzane
IX. Naruszenia ochrony danych
☐ Procedura naruszeń obejmuje
zdarzenia związane z KSeF
☐ Zdefiniowano incydenty typowe dla KSeF (token,
uprawnienia, błędny dostęp)
☐ Pracownicy wiedzą,
jak i komu zgłosić
incydent
☐ Zapewniono możliwość realizacji obowiązków z art. 33 i 34 RODO
X. Odpowiedzialność i nadzór
☐ ADO jasno określił swoją
odpowiedzialność za dane w KSeF
☐ Rozróżniono rolę MF (system) i ADO (przetwarzanie danych)
☐ Procedury są okresowo
przeglądane i aktualizowane
☐ Checklistę stosuje się przy audytach i zmianach organizacyjnych
Wskazówka ekspercka
Jeżeli nie możesz uczciwie odhaczyć któregoś punktu – ryzyko
naruszenia RODO już istnieje. KSeF to nie tylko system podatkowy, ale nowy
obszar przetwarzania danych osobowych, za który odpowiada ADO.
Brak komentarzy:
Prześlij komentarz