Політика конфіденційності

1. Юридичне повідомлення (Legal Notice)

Контролер: Finoditax Spółka z ograniczoną odpowiedzialnością, ul. Kawia 23, 42-202 Częstochowa, Polska · NIP: 9492250781 · REGON: 520205981 · KRS: 0000927391 · e-mail: info@finoditax.com.

Правова база: Регламент (ЄС) № 2016/679 («GDPR»); Ustawa z dnia 10 maja 2018 r. o ochronie danych osobowych; Ustawa o rachunkowości; Ordynacja podatkowa; Prawo telekomunikacyjne (art. 173–174); Kodeks pracy; Kodeks cywilny.

Застосовність: Політика є обов’язковою для finoditax.com і субдоменів: my.finoditax.com, billing.finoditax.com, support.finoditax.com, help.finoditax.com. У разі суперечностей пріоритет має положення, що надає більший захист суб’єкту даних.

2. Преамбула та правові основи

Ця Політика встановлює правила обробки персональних даних у Finoditax, включно зі збором, записом, систематизацією, зберіганням, адаптацією, витягом, переглядом, використанням, розкриттям, зіставленням, обмеженням, видаленням і знищенням (art. 4(2) GDPR). Обробка здійснюється на законних підставах (art. 6), з дотриманням принципів (art. 5), із впровадженням заходів безпеки (art. 32), реєстрів (art. 30), DPIA (art. 35–36), повідомлень (art. 33–34), обмежень передачі (гл. V), а також підзвітності (art. 5(2), 24).

3. Визначення (art. 4 GDPR)

Термін	Визначення
Персональні дані	Інформація про ідентифіковану/ідентифіковану фізичну особу (art. 4(1)).
Обробка	Будь-яка операція з даними (art. 4(2)).
Контролер	Визначає цілі та засоби обробки (art. 4(7)).
Обробник	Діє за дорученням контролера (art. 4(8), 28).
Спільні контролери	Спільно визначають цілі/засоби (art. 26).
Порушення даних	Подія, що спричинила втрату конфіденційності/цілісності/доступності (art. 4(12)).
DPIA	Оцінка впливу на захист даних (art. 35).
ROPA	Реєстр операцій обробки (art. 30).
TOMs	Технічні та організаційні заходи (art. 32).

4. Принципи та законність (art. 5–6)

законність, добросовісність, прозорість;
обмеженість метою та мінімізація;
точність і актуальність;
обмеженість строком зберігання;
цілісність і конфіденційність;
підзвітність контролера.

Підстави: art. 6(1)(a–f); спеціальні категорії — art. 9(2); автоматизація — art. 22.

5. Сфера дії та субдомени

finoditax.com — корпоративний сайт (контент, форми, маркетинг, cookies).
my.finoditax.com — кабінет клієнта (акаунти, звітність, документообіг).
billing.finoditax.com — білінг і платежі (інвойси, транзакції).
support.finoditax.com — тікети підтримки, SLA, листування.
help.finoditax.com — база знань, поведінкові метрики.

Потоки даних між субдоменами

Взаємна передача здійснюється за принципом необхідності, наскрізна автентифікація обмежена; використовується шифрування TLS 1.3 та журналювання. Для крос-доменних сценаріїв виконується DPIA і мінімізація наборів даних.

6. Ролі контролера та обробника

Finoditax виступає контролером персональних даних користувачів сайтів і клієнтів; обробником — під час виконання договорів бухгалтерського/кадрового обслуговування від імені клієнтів. У другому випадку діє договір доручення (art. 28), що включає цілі, тривалість, категорії даних, TOMs, субобробку, аудит і повернення/видалення даних.

7. Категорії та класифікація даних

Ідентифікаційні: ім’я, прізвище, фірма, NIP, REGON, KRS, PESEL, підпис.
Контактні: адреса, e-mail, телефон, адреса для кореспонденції.
Фінансові/бухгалтерські: реквізити, інвойси, VAT/PIT/CIT, ZUS, звіти.
Кадрові (клієнтів): договори, зарплата, відпустки, лікарняні, рахунок працівника.
Технічні: IP, cookies, user-agent, логи, токени, параметри з’єднання.
Листування/підтримка: тікети, листи, записи дзвінків (за повідомленням).
Маркетинг/аналітика: підписки, події, відгуки, ідентифікатори.

8. Матриця цілей і правових підстав

Мета	Категорії даних	Підстава (GDPR)	Коментар
Виконання договору	ідентиф., контактні, бухгалтерські	art. 6(1)(b)	створення акаунта, обслуговування, кабінет клієнта
Юридичні обов’язки	бухгалтерські, податкові, кадрові	art. 6(1)(c)	Ustawa o rachunkowości; Ordynacja podatkowa; ZUS
Законні інтереси	технічні, листування	art. 6(1)(f)	безпека, підтримка, доказ комунікацій
Маркетинг	контактні, аналітика	art. 6(1)(a)/(f)	згода на cookies/розсилки
Безпека	лог-дані, IP, токени	art. 6(1)(f), 32	журнали, IDS/IPS, розслідування інцидентів

9. Джерела даних і правова інформація (art. 13–14)

безпосередньо від суб’єкта даних (форми, договори, кабінет клієнта);
від клієнтів Finoditax (у межах доручення за art. 28 для кадрових/бухгалтерських процесів);
публічні реєстри (KRS, CEIDG, GUS);
держ. системи (ePUAP, PUE ZUS, KAS, e-Deklaracje);
автоматично — cookies, логи, SDK, мітки в листах.

Інформація за art. 13 надається в момент збору; за art. 14 — не пізніше 30 днів або під час першого контакту, або під час першого розкриття адресату.

10. Строки зберігання (розширена таблиця)

Категорія	Строк	Підстава
Бухгалтерські документи	5 років після звітного року	Ustawa o rachunkowości, art. 74
Податкові записи	5 років після податкового року	Ordynacja podatkowa, art. 70 §1
Кадрові/зарплатні	10 років	Kodeks pracy
Договори та листування	3 роки після завершення обслуговування	art. 6(1)(f), Kodeks cywilny
Маркетингові	до відкликання/макс. 3 роки	art. 6(1)(a)/(f)
Логи безпеки	до 12 міс.	art. 6(1)(f)
Резервні копії	до 90 днів	art. 5(1)(e)

Після закінчення строків застосовується безпечне видалення/анонімізація; знищення резервних копій — за регламентом зберігання.

11. Отримувачі, обробники та субобробники

Держоргани: KAS, ZUS, Urząd Skarbowy, суди (на підставі закону).
ІТ-провайдери (хостинг, CDN, поштові сервіси), банки/платіжні оператори, юридичні/аудиторські компанії.
Аналітичні/маркетингові платформи — лише за чинної згоди.
Внутрішні отримувачі Finoditax — за принципом мінімально необхідного доступу.

Договори за art. 28(3) GDPR передбачають: предмет/тривалість, цілі та характер, категорії даних/суб’єктів, TOMs, субобробку з дозволом, допомогу у виконанні прав суб’єктів (art. 12–23), повернення/видалення, аудит.

12. Міжнародна передача (гл. V GDPR, SCC/DPF)

Передача до третіх країн допускається за: рішенням про адекватність (art. 45), відповідними гарантіями (SCC — art. 46) або у винятках (art. 49). Для США — участь постачальника в EU–US Data Privacy Framework та/або SCC, з мінімізацією даних і криптографічним захистом.

13. TOMs: технічні та організаційні заходи (art. 32)

Шифрування TLS 1.3 під час передачі; AES-256 «у стані спокою»; управління ключами.
Багатофакторна автентифікація, RBAC, принцип найменших привілеїв.
Журналювання дій (≥ 12 міс.), контроль цілісності логів.
IDS/IPS, антивірус, CSP; захист від XSS/CSRF/SQLi; ізоляція середовищ.
Резервне копіювання (до 90 днів), регулярні тести відновлення.
Навчання персоналу, NDA, політика паролів, симуляції фішингу.

14. Cookies, аналітика і маркетинг — розширена таблиця

Згода на cookies запитується банером (art. 173–174 Prawo telekomunikacyjne). Керування категоріями доступне в «Налаштуваннях cookies».

Категорія	Призначення	Приклади	Строк	Підстава
Необхідні	сесії, безпека, авторизація	session_id, XSRF-TOKEN	сесія	art. 6(1)(b)/(f)
Функціональні	налаштування інтерфейсу	ui_theme, locale	до 12 міс.	art. 6(1)(f)
Аналітичні	метрики, конверсії	_ga, _ga_*, _gid	до 24 міс.	art. 6(1)(a)
Маркетингові	ремаркетинг, ефективність реклами	_fbp, _gcl_au	до 180 днів	art. 6(1)(a)

15. Процедури DSAR (права суб’єктів даних)

Подання запиту: e-mail info@finoditax.com або пошта (ul. Kawia 23, 42-202 Częstochowa).
Верифікація особи: уточнення даних/методів зв’язку.
Строк відповіді: 30 днів; продовження до 60 при складності (art. 12(3)).
Форма надання: електронна/письмова, машиночитна (за перенесеністю).
Відмова/обмеження: за наявності правових перешкод з повідомленням і правом скарги до UODO.

Доступ: art. 15; виправлення: art. 16; видалення: art. 17; обмеження: art. 18; перенесеність: art. 20; заперечення: art. 21; автоматизація: art. 22 (не застосовується).

16. Інциденти, 72-годинне повідомлення, реєстр

Фіксація та ізоляція інциденту; оцінка ризику і масштабу.
Повідомлення UODO ≤ 72 годин (art. 33); повідомлення суб’єктів за високого ризику (art. 34).
Усунення причин, профілактика, навчання, оновлення TOMs.
Ведення реєстру порушень (Breach Register) та звітності.

17. DPIA/ROPA та підзвітність

Finoditax веде ROPA (art. 30), проводить DPIA (art. 35) для процесів із високим ризиком (масштабна обробка, крос-доменні інтеграції, дані працівників клієнтів), документує ризики, заходи та залишковий ризик; за потреби консультується з UODO (art. 36). Підзвітність — art. 5(2), 24.

18. Зміни, колізії, пріоритети

Нова редакція набирає чинності з публікації. У разі колізій пріоритет має положення, що забезпечує більший захист суб’єкта даних. Недійсність окремого положення не впливає на чинність решти документу (severability).

19. Контакти та наглядовий орган

Finoditax Sp. z o.o. · ul. Kawia 23, 42-202 Częstochowa, Polska · NIP: 9492250781 · REGON: 520205981 · KRS: 0000927391 · e-mail: info@finoditax.com · finoditax.com

UODO — Urząd Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa · +48 22 531 03 00 · uodo.gov.pl