Jak ISO/IEC 27001 wspiera zgodność z dyrektywą NIS2

Czym jest dyrektywa NIS2?

Nowa dyrektywa NIS 2, stanowiąca rozwinięcie i aktualizację oryginalnej dyrektywy NIS (Network and Information Systems) z 2016 roku, stanowi kluczowy element legislacyjny w dziedzinie cyberbezpieczeństwa w Unii Europejskiej. Celem tej dyrektywy jest wzmocnienie odporności cybernetycznej kluczowych sektorów gospodarki i usług cyfrowych państw członkowskich UE. Znaczenie dyrektywy NIS2 wynika z rosnącej zależności społeczeństw i gospodarek od sieci i systemów informatycznych, a także z rosnącej liczby i skali zagrożeń cybernetycznych.

Kogo obejmie NIS2?

Wprowadzona 16 stycznia 2023 roku Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 z dnia 14 grudnia 2022 r. w sprawie środków na rzecz wysokiego wspólnego poziomu cyberbezpieczeństwa na terytorium Unii, nazywana w skrócie NIS2 rozszerza zakres swojego poprzednika poprzez obejmowanie większej liczby sektorów i typów usług, w tym dostawców usług cyfrowych i krytycznej infrastruktury, takich jak energia, transport, zdrowie, i finanse. Wprowadza ona bardziej rygorystyczne wymagania dotyczące zarządzania zagrożeniami cybernetycznymi, zgłaszania incydentów bezpieczeństwa, a także wprowadza ostrzejsze sankcje za niezastosowanie się do przepisów. Nowe przepisy wejdą w życie już od 17 października 2024 roku.

Znaczącą zmianą wprowadzoną przez NIS 2 jest podział na podmioty kluczowe i ważne. Zastępuje on poprzednią kategoryzację, która obejmowała operatorów usług kluczowych, dostawców usług cyfrowych oraz podmioty publiczne.

Zgodnie z nową dyrektywną za podmioty kluczowe uznawane są podmioty z sektorów:

energetyka,
transport,
bankowość,
infrastruktura rynków finansowych,
zdrowie,
woda pitna,
ścieki,
infrastruktura cyfrowa,
zarządzanie usługami ICT,
administracja publiczna,

Z kolei w kategorii podmiotów ważnych znajdują się:

usługi pocztowe i kurierskie,
zarządzanie odpadami,
produkcja (w tym wyroby medyczne, produkty komputerowe, elektroniczne i optyczne, sprzęt elektryczny, maszyny i wyposażenie, pojazdy samochodowe, przyczepy i naczepy, oraz inny sprzęt transportowy),
produkcja i dystrybucja chemikaliów,
produkcja, przetwarzanie i dystrybucja żywności
dostawcy usług cyfrowych.

Kary za niedostosowanie się do nowych przepisów NIS 2

Wprowadzenie dyrektywy NIS2 niesie ze sobą rygorystyczne konsekwencje finansowe dla tych, którzy nie dostosują się do jej wymogów. Dla podmiotów kluczowych, które nie stosują się do przepisów dotyczących zarządzania ryzykiem lub zgłaszania incydentów, przewidziane są znaczące kary administracyjne, które mogą osiągnąć poziom do 10 mln euro lub 2% całkowitego rocznego obrotu. Tymczasem podmioty uznane za ważne mogą zostać obciążone grzywną do 7 mln euro lub 1,4% ich całkowitego rocznego obrotu.

Główne cele i zakres dyrektywy NIS2

1. Rozszerzenie zakresu i zasięgu: NIS 2 poszerza zakres dyrektywy NIS, obejmując szerszą gamę sektorów i usług, które są teraz uważane za kluczowe z punktu widzenia cyberbezpieczeństwa. Oprócz tradycyjnych sektorów infrastruktury krytycznej, jak energetyka, transport i zdrowie, dyrektywa NIS2 obejmuje także nowe sektory, takie jak sektor cyfrowy (np. platformy mediów społecznościowych, centra danych), administracja publiczna, oraz przedsiębiorstwa o szczególnym znaczeniu gospodarczym lub społecznym.

2. Zwiększenie wymogów dotyczących bezpieczeństwa: Jednym z kluczowych elementów dyrektywy jest zaostrzenie wymogów dotyczących środków bezpieczeństwa i zarządzania ryzykiem. Organizacje z sektorów objętych dyrektywą muszą stosować odpowiednie środki techniczne i organizacyjne, aby zarządzać ryzykami cybernetycznymi i zapewnić wysoki poziom bezpieczeństwa sieci i informacji.

3. Obowiązek zgłaszania incydentów: Dyrektywa NIS 2 nakłada na organizacje obowiązek szybkiego zgłaszania poważnych incydentów cybernetycznych do właściwych krajowych organów. Zwiększa to przejrzystość i pozwala na lepszą koordynację reakcji na incydenty na poziomie krajowym i unijnym.

4. Wzmocnienie nadzoru i egzekwowania: Dyrektywa przewiduje zwiększenie uprawnień krajowych organów nadzorczych w zakresie kontroli i egzekwowania przepisów. Wprowadza również bardziej rygorystyczne kary za naruszenia, co ma na celu zapewnienie większej skuteczności przepisów.

5. Współpraca i koordynacja: NIS 2 promuje lepszą współpracę między państwami członkowskimi oraz między sektorami publicznym i prywatnym w dziedzinie cyberbezpieczeństwa. Ma to na celu nie tylko szybszą reakcję na incydenty, ale także wymianę najlepszych praktyk i wiedzy eksperckiej.

6. Edukacja i świadomość: Dyrektywa podkreśla również znaczenie edukacji i podnoszenia świadomości na temat zagrożeń cybernetycznych, zarówno wśród decydentów, jak i użytkowników końcowych.

Wymagania dotyczące zarządzania ryzykiem w dyrektywie NIS2

Zarządzanie ryzykiem stanowi ważny element dyrektywy NIS 2, która nakłada na podmioty kluczowe szereg wymagań w tym zakresie. Te wymagania odnoszą się do sposobu identyfikacji, oceny i zarządzania ryzykiem cybernetycznym. Poniżej szczegółowo opisano te wymagania:

Identyfikacja Ryzyka: Organizacje są zobowiązane do regularnej identyfikacji zagrożeń i podatności, które mogą wpłynąć na ich sieci i systemy informatyczne. Obejmuje to zarówno wewnętrzne, jak i zewnętrzne zagrożenia, a także te wynikające z łańcucha dostaw.
Ocena Ryzyka: Po zidentyfikowaniu ryzyka, organizacje muszą dokonać oceny, w jakim stopniu każde z nich może wpłynąć na ich działalność. Ocena ta powinna uwzględniać potencjalny wpływ na prywatność, integralność, dostępność oraz poufność informacji.
Zarządzanie Ryzykiem: Po ocenie ryzyka, organizacje są zobowiązane do wdrożenia odpowiednich środków zarządzania ryzykiem. Obejmuje to zarówno środki techniczne, jak i organizacyjne, mające na celu zapobieganie, wykrywanie, reagowanie i minimalizowanie skutków incydentów bezpieczeństwa.
Planowanie Odporności i Ciągłości Działania: Organizacje muszą opracować i utrzymywać plany zapewnienia ciągłości działania i odporności na incydenty, aby zminimalizować zakłócenia w usługach i szybko przywrócić normalne działanie po incydencie.
Testowanie i Przeglądanie Środków Bezpieczeństwa: Wymagane jest regularne testowanie i przeglądanie skuteczności środków bezpieczeństwa, co obejmuje zarówno audyty wewnętrzne, jak i ewentualne inspekcje zewnętrzne.
Szkolenia i Świadomość Personelu: Dyrektywa podkreśla również znaczenie edukacji i podnoszenia świadomości wśród personelu na wszystkich poziomach organizacji w zakresie cyberbezpieczeństwa i zarządzania ryzykiem.
Dokumentacja i Raportowanie: Organizacje są zobowiązane do dokumentowania swoich procesów zarządzania ryzykiem oraz do regularnego raportowania o stanie bezpieczeństwa i zarządzania ryzykiem do odpowiednich organów nadzorczych.

Te wymagania dyrektywy NIS 2 mają na celu nie tylko zapewnienie odpowiednich środków technicznych i organizacyjnych dla ochrony przed zagrożeniami cybernetycznymi, ale także stworzenie kultury bezpieczeństwa i świadomego zarządzania ryzykiem wśród organizacji operujących w sektorach krytycznych dla funkcjonowania społeczeństwa i gospodarki.

Norma ISO/IEC 27001

ISO/IEC 27001 to międzynarodowa norma określająca wymagania dla systemów zarządzania bezpieczeństwem informacji (ISMS). Jest to szeroko stosowany standard, który pomaga organizacjom zabezpieczyć przetwarzane informacje poprzez wdrożenie odpowiednich procedur i polityk.

System Zarządzania Bezpieczeństwem Informacji (ISMS) według ISO/IEC 27001 opiera się na szeregu kluczowych elementów, które są niezbędne do efektywnego zarządzania bezpieczeństwem informacji w organizacji. Te elementy obejmują m.in.:

Ocena ryzyka: Centralnym elementem ISO/IEC 27001:2022 jest proces oceny ryzyka, gdzie organizacja musi zidentyfikować, ocenić i zarządzać ryzykami bezpieczeństwa informacji.
Polityka bezpieczeństwa informacji: Wymaga od organizacji opracowania jasnej polityki bezpieczeństwa informacji, która określa, jak informacje będą chronione.
Zabezpieczenia organizacyjne: Norma wymaga określenia struktur odpowiedzialności, w tym ról i obowiązków dotyczących bezpieczeństwa informacji.
Zarządzanie zasobami: Wskazuje na potrzebę właściwego zarządzania zasobami niezbędnymi do utrzymania ISMS.
Kontrole bezpieczeństwa: Wprowadzenie odpowiednich środków bezpieczeństwa, dostosowanych do zidentyfikowanych ryzyk.

Zarządzanie ryzykiem jest fundamentalnym elementem ISO/IEC 27001 i odgrywa kluczową rolę w zapewnieniu efektywnego Systemu Zarządzania Bezpieczeństwem Informacji (ISMS). Proces ten obejmuje kilka krytycznych kroków:

Etap identyfikacji ryzyka: Rozpoznanie potencjalnych zagrożeń dla informacji oraz identyfikacja aktywów, które wymagają ochrony.
Ocena ryzyka: Analiza i ocena ryzyka, w tym prawdopodobieństwa wystąpienia i potencjalnego wpływu na organizację.
Postępowanie z ryzykiem: Wybór odpowiednich środków zarządzania ryzykiem, w tym środków zapobiegawczych, redukujących, przenoszących lub akceptujących ryzyko.

W ramach ISO/IEC 27001, procedury bezpieczeństwa informacji są zasadniczymi elementami Systemu Zarządzania Bezpieczeństwem Informacji (ISMS). Procedury te są zaprojektowane, aby zarządzać i minimalizować różne ryzyka związane z bezpieczeństwem informacji. Poniżej przedstawiono i krótko opisano wybrane procedury:

Kontrola dostępu: Ustanowienie procedur, które określają, kto ma dostęp do informacji i systemów informacyjnych.
Zarządzanie incydentami bezpieczeństwa informacji: Opracowanie i wdrożenie procedur reagowania na incydenty bezpieczeństwa informacji.
Ciągłość działania: Zapewnienie, że operacje biznesowe mogą kontynuować działanie w przypadku poważnych incydentów lub awarii.
Szkolenia i świadomość: Edukowanie pracowników na temat polityk bezpieczeństwa informacji i dobrych praktyk.

Jak ISO/IEC 27001 wspiera zgodność z NIS2

Wdrożenie normy ISO/IEC 27001 stanowi istotny krok w kierunku zgodności z wymaganiami dyrektywy NIS 2, oferując strukturalne i procesowe wsparcie dla organizacji. Norma ta, koncentrując się na szczegółowym zarządzaniu ryzykiem i wdrażaniu odpowiednich środków kontrolnych, zapewnia solidną podstawę dla efektywnego zarządzania bezpieczeństwem informacji, co jest również kluczowym elementem NIS 2.

Zarządzanie ryzykiem, będące rdzeniem ISO/IEC 27001, harmonizuje się z naciskiem dyrektywy NIS 2 na efektywne zarządzanie ryzykiem cybernetycznym. Procesy i strategie identyfikacji, oceny i postępowania z ryzykiem zgodnie z ISO/IEC 27001 mogą być stosowane do spełnienia specyficznych wymagań NIS 2, co umożliwia organizacjom efektywne dostosowanie się do obu dokumentów.

Ponadto, ISO/IEC 27001 zawiera rekomendacje dotyczące środków kontrolnych i polityk bezpieczeństwa, które są zgodne z oczekiwaniami dotyczącymi ochrony sieci i systemów informatycznych w NIS 2. Wdrożenie tych środków może pomóc w osiągnięciu zgodności z dyrektywą, szczególnie w zakresie ochrony infrastruktury krytycznej i usług cyfrowych.

Procedury reagowania na incydenty, wymagane przez ISO/IEC 27001, są również kluczowe dla spełnienia obowiązków zgłaszania incydentów w ramach NIS 2. Skuteczne procedury reagowania na incydenty i ich komunikacji z odpowiednimi organami regulacyjnymi są istotne zarówno dla ISO/IEC 27001, jak i NIS 2.

Ponadto, zarówno ISO/IEC 27001, jak i NIS 2 podkreślają znaczenie dokumentacji i raportowania. Implementacja ISO/IEC 27001 umożliwia organizacjom efektywne prowadzenie szczegółowej dokumentacji ich systemów zarządzania bezpieczeństwem informacji, co jest w pełni zgodne z wymaganiami dokumentacyjnymi określonymi w NIS 2.

Wreszcie, zarówno ISO/IEC 27001, jak i NIS 2 podkreślają znaczenie ciągłego doskonalenia w zarządzaniu bezpieczeństwem informacji i reagowaniu na zmieniające się zagrożenia cybernetyczne. Przyjęcie podejścia do ciągłego doskonalenia, zalecanego przez ISO/IEC 27001, może pomóc organizacjom w spełnianiu nowych wymagań NIS 2 i adaptacji do ewoluującego krajobrazu cyberbezpieczeństwa.

Podsumowując, wdrożenie ISO/IEC 27001 może znacząco wspierać organizacje w dążeniu do zgodności z dyrektywą NIS2, oferując dobrze zdefiniowane ramy do zarządzania ryzykiem, środkami kontrolnymi, reagowaniem na incydenty oraz procesami dokumentacyjnymi i raportowania. Jest to szczególnie istotne w kontekście rosnącej złożoności zagrożeń cybernetycznych i zwiększających się wymagań regulacyjnych w dziedzinie bezpieczeństwa informacji.

Jeśli są Państwo zainteresowani pogłębieniem swojej wiedzy na temat certyfikacji ISO/IEC 27001 i chcieliby Państwo dowiedzieć się, jak nasza firma może pomóc w osiągnięciu zgodności i wzmocnieniu bezpieczeństwa informacji, zapraszamy do zapoznania się z naszą ofertą. Nasz zespół ekspertów oferuje kompleksowe wsparcie w procesie certyfikacji, dostosowane do indywidualnych potrzeb każdej organizacji, zapewniając, że każdy krok w tym procesie jest jasny i skuteczny. Skontaktuj się z nami, aby dowiedzieć się więcej o tym, jak możemy wspierać Państwa organizację w osiąganiu zgodności z wymaganiami dyrektywy NIS2.

Zapraszamy również do zapoznania się z ofertę szkoleń w zakresie wymagań normy ISO/IEC 27001 oraz na audytora wewnętrznego ISO/IEC 27001.

Polityka prywatności

W związku z prowadzoną przez siebie działalnością gospodarczą, Administrator zbiera i przetwarza dane osobowe zgodnie z właściwymi przepisami, w tym przede wszystkim z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej jako RODO. Przetwarzając dane, Administrator zapewnia ich bezpieczeństwo i poufność oraz dostęp do informacji o tym przetwarzaniu dla osób, których dane dotyczą.

1. Administrator danych osobowych
Administratorem Państwa danych osobowych jest ISOQAR CEE sp. z o.o z siedzibą w Warszawie, adres: ul. Wąwozowa 11, 02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Radtke, z którym można się skontaktować drogą elektroniczną: iod@isoqar.pl

2. Pozyskiwanie danych osobowych, cele przetwarzania.
W zależności od łączących nas z Państwem relacji, przetwarzamy dane osobowe w n/w celach i zakresach:

>> Potencjalni klienci, w tym osoby które wypełniły formularz kontaktowy na naszej stronie:
Dane osobowe (najczęściej imię, nazwisko, adres mail, nr telefonu), przetwarzamy w celu odpowiedzi na Państwa zapytania i prośby, co jest prawnie uzasadnionym interesem Administratora (podstawa z art. 6 ust. 1 lit. f RODO) – do czasu zgłoszenia przez Państwa sprzeciwu, w celach marketingowych na podstawie dodatkowych zgód (podstawa z art. 6 ust. 1 lit. a RODO) – do czasu cofnięcia przez Państwa zgody. Na podstawie naszego prawnie uzasadnionego interesu możemy przetwarzać Państwa dane także w celu dochodzenia ewentualnych roszczeń, w celach statystycznych, a także dla ciągłego doskonalenia jakości świadczonych przez nas usług. Podanie przez Państwa danych osobowych w formularzu kontaktowym nie jest obowiązkiem prawnym, lecz jest konieczne w celu odpowiedzi na Państwa zapytania.

>> Potencjalni klienci, w tym osoby które wypełniły formularz zapytania ofertowego
Dane osobowe (najczęściej osoba kontaktowa, nazwa firmy, adres i kod pocztowy, strona www, adres mail, nr telefonu), przetwarzamy w celu przygotowania i przesłania oferty, co jest prawnie uzasadnionym interesem Administratora (podstawa z art. 6 ust. 1 lit. f RODO) – do czasu zgłoszenia przez Państwa sprzeciwu, w celach marketingowych na podstawie dodatkowych zgód (podstawa z art. 6 ust. 1 lit. a RODO) – do czasu cofnięcia przez Państwa zgody. Na podstawie naszego prawnie uzasadnionego interesu możemy przetwarzać Państwa dane także w celu dochodzenia ewentualnych roszczeń, w celach statystycznych, a także dla ciągłego doskonalenia jakości świadczonych przez nas usług. Podanie przez Państwa danych osobowych w formularzu kontaktowym nie jest obowiązkiem prawnym, lecz jest konieczne w celu odpowiedzi na Państwa zapytania.

>> Odbiorcy newslettera
Państwa dane osobowe przetwarzane są w celu marketingu produktów i usług Administratora, tj. przesyłania informacji o charakterze marketingowym (podstawa z art. 6 ust. 1 lit. a RODO) – zgoda osoby, której dane dotyczą. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Dane osobowe będą przechowywane do czasu wycofania zgody na przetwarzanie danych osobowych.

>> Klienci - zawarcie i realizacja umowy w związku z prowadzoną przez nas działalnością
W przypadku gdy jesteś naszym klientem lub kontrahentem i zawierasz umowę, przetwarzamy niezbędne dla tego celu dane osobowe w celu zawarcia i realizacji tej umowy, czyli na podstawie art. 6 ust. 1 lit. b RODO. Jeżeli jesteś reprezentantem lub osobą kontaktową występującą w imieniu naszego klienta lub kontrahenta, Twoje dane osobowe przetwarzamy w celu kontaktu służbowego, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO). Kontaktem służbowym jest dla nas wszelka korespondencja (elektroniczna, papierowa), jak też kontakt telefoniczny dotyczący zawartej współpracy i realizowanej usługi, w szczególności: dokonywanie uzgodnień, umawianie spotkań służbowych, udzielenie odpowiedzi na pytania, kierowanie informacji z naszej strony. Naszym prawnie uzasadnionym interesem jest również kontakt z osobami kontaktowymi po stronie klienta dotyczący opinii na temat realizacji umowy, przy czym z inicjatywą takiego kontaktu może się do nas zwrócić zarówno klient, jak i my.

Takie dane osobowe przetwarzamy także w celach podatkowych i rachunkowych, gdy przepisy prawa obligują nas do ich przechowywania lub ujawniania odpowiednim podmiotom. Podstawą prawną przetwarzania przez nas danych osobowych w celach podatkowo – księgowych jest art. 6 ust. 1 lit. c RODO. Takie dane przechowujemy przez czas niezbędny dla realizacji umowy, a następnie do czasu przedawnienia roszczeń, jakie mogą wynikać z takiej umowy, bądź przez czas wymagany przepisami prawa. Dane związane z zawartymi umowami przechowujemy przez taki okres czasu w celach dowodowych, zabezpieczenia roszczeń lub obrony przed nimi, co stanowi nasz prawnie uzasadniony interes o jakim mowa w art. 6 ust. 1 lit. f RODO.

>> Prowadzenie korespondencji e-mailowej oraz tradycyjnej:
Przekazane przez Państwa dane (najczęściej imię, nazwisko, adres mailowy, adres korespondencyjny), w przypadku skierowania do nas korespondencji e-mailowej lub drogą tradycyjną, są przetwarzane wyłącznie w celu komunikacji i załatwienia sprawy, której dotyczy ta korespondencja. W takim przypadku podstawą prawną przetwarzania jest uzasadniony interes Administratora na podstawie art. 6 ust. 1 lit f RODO, polegający na prowadzeniu korespondencji kierowanej do niego w związku z prowadzoną działalnością gospodarczą.
Podanie danych osobowych jest dobrowolne, jednakże niezbędne do udzielenia odpowiedzi na Państwa zapytanie. Dane będziemy przetwarzać w czasie wykonania umowy, a po upływie tego okresu przedawnienia roszczeń wynikających z łączącego nas stosunku prawnego.

>>O soby odwiedzające naszą stronę internetową:
Informujemy Państwa, że podczas korzystania z naszej strony internetowej, mogą być pobierane dodatkowe informacje wysyłane przez Państwa przeglądarkę internetową oraz zawarte w logach systemowych, w szczególności: adres IP przypisany do komputera użytkownika lub zewnętrzny adres IP dostawcy Internetu, nazwa domeny, rodzaj przeglądarki, czas dostępu, typ systemu operacyjnego; od użytkowników naszej strony www, mogą być także gromadzone dane nawigacyjne, w tym informacje o linkach i odnośnikach, w które zdecydują się kliknąć lub innych czynnościach, podejmowanych na Stronie. Podstawą prawną tego rodzaju czynności jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na ułatwieniu korzystania z usług świadczonych drogą elektroniczną oraz na poprawie funkcjonalności tych usług. Dane wykorzystywane będą wyłącznie w celach statystycznych (analiza ruchu na naszej stronie www) oraz w celach marketingowych (by lepiej dopasować treść Serwisu do preferencji użytkowników).

>> Uczestnicy organizowanych przez nas szkoleń i webinariów:
Zapisując się na nasze wydarzenia prowadzone w formie on-line (szkolenia, webinaria), Państwa dane osobowe będą przetwarzane w następujących celach: zawarcie umowy (realizacja Twojego zamówienia udziału w wydarzeniu, w tym przyjęcie rejestracji, wysłanie zaproszenia na wydarzenie (podstawa: wykonanie umowy o przeprowadzenie wydarzenia lub żądanie uczestnika przed jej zawarciem – art. 6 ust. 1 lit. b RODO), realizacja obowiązku prawnego dotyczącego wystawiania i księgowania faktur (jeżeli podajesz dane osobowe do faktury) a także prowadzenie sprawozdawczości finansowej (podstawa: art. 6 ust. 1 lit. c w zw. z ustawą z dnia 29 września 1994 r. o rachunkowości, ustawą z dnia 29 sierpnia 1997 r. Ordynacja podatkowa oraz ustawą z dnia 11 marca 2004 r. o podatku od towarów i usług) i ponadto: bieżący kontakt, rozpatrzenie ewentualnych reklamacji, zabezpieczenie roszczeń – te cele są naszymi prawnie uzasadnionymi interesami (podstawa: art. 6 ust. 1 lit. f RODO). W przypadku chęci otrzymywania newslettera dane będą przetwarzane za zgodą (art. 6 ust. 1 lit. a RODO).

Dane dla powyższych celów będą przetwarzane przez następujący okres: dane niezbędne dla realizacji umowy / rozpatrzenia reklamacji przetwarzane są przez czas niezbędny do jej realizacji, a następnie do czasu przedawnienia roszczeń, jakie mogą wynikać z tytułu zawarcia umowy; dane przetwarzane w celach kontaktowych przechowujemy przez czas niezbędny dla realizacji kontaktu / odpowiedzi na pytania, a następnie do końca roku kalendarzowego, następującego po roku, w którym nastąpiło rozwiązanie sprawy lub zakończenie kontaktu; dane niezbędne do realizacji wydarzenia płatnego przechowywane będą do maksymalnie 5 lat liczonych od zakończenia roku obrachunkowego, w którym wystawiono dokument księgowy; dane przetwarzane w przypadku wyrażenia zgody na newsletter – do czasu jej odwołania.

3. Odbiorcy danych osobowych
Administrator może przekazać Państwa dane osobowe wyłącznie w przypadku, jeśli jest to niezbędne do realizacji celów przetwarzania: podmiotom świadczącym dla nas usługi informatyczne, wspomagającym naszą działalność, firmom doradczym, audytorskim, a także prawniczym, podwykonawcom niektórych naszych funkcjonalności, firmom dostarczającym narzędzia komunikacji (np. hosting poczty e-mail), firmom dostarczającym narzędzia
analityczne, przedsiębiorstwom pocztowym i kurierskim, bankom, ZUS, US, także innym, w ramach spoczywających na Administratorze obowiązków prawnych.

4. Okres przetwarzania
Okres przetwarzania danych przez Administratora zależy od rodzaju świadczonej usługi i celu przetwarzania. Okres przetwarzania danych określony może także wynikać z przepisów, w przypadku, gdy stanowią one podstawę przetwarzania. W przypadku przetwarzania danych na podstawie uzasadnionego interesu Administratora, wówczas dane przetwarzane są przez okres umożliwiający jego realizację lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania danych. Jeśli przetwarzanie odbywa się na podstawie zgody, dane przetwarzane są do jej wycofania. W przypadku, gdy podstawę przetwarzania stanowi niezbędność do zawarcia i wykonania umowy, dane będą przetwarzane do momentu jej rozwiązania. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami, a po tym okresie, jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania, dane są nieodwracalnie usuwane lub anonimizowane.

5. PRAWO KONTROLI, DOSTĘPU DO TREŚCI WŁASNYCH DANYCH ORAZ ICH POPRAWIANIA,
Osoba, której dane dotyczą, ma prawo dostępu do treści swoich danych osobowych oraz prawo ich sprostowania, usunięcia (chyba, że na Administratorze będzie spoczywał obowiązek ich dalszego przetwarzania), ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

>> Podstawy prawne żądania Użytkownika:
Dostęp do danych – art. 15 RODO.
Sprostowanie danych – art. 16 RODO.
Usunięcie danych (tzw. prawo do bycia zapomnianym) – art. 17 RODO.
Ograniczenie przetwarzania – art. 18 RODO.
Przeniesienie danych – art. 20 RODO.
Sprzeciw – art. 21 RODO
Cofnięcie zgody – art. 7 ust. 3 RODO.

W przypadku stwierdzenia, że przetwarzanie danych osobowych narusza przepisy obowiązującego prawa, osoba, której dane dotyczą, ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych z siedzibą w Warszawie.

6. PLIKI „COOKIES”

>> Strona Administratora używa plików „cookies”. Instalacja plików „ cookies ” jest konieczna do prawidłowego świadczenia usług na stronie internetowej. W plikach „ cookies ” znajdują się informacje niezbędne do prawidłowego funkcjonowania strony, a także dają one możliwość opracowywania ogólnych statystyk odwiedzin strony internetowej. W ramach strony stosowane są dwa rodzaje plików „cookies”: „sesyjne” oraz „stałe”.„Cookies sesyjne” są plikami tymczasowymi, które przechowywane są w
urządzeniu końcowym Użytkownika do czasu wylogowania (opuszczenia strony).
„Stałe” pliki „cookies” przechowywane są w urządzeniu końcowym Użytkownika przez
czas określony w parametrach plików „cookies” lub do czasu ich usunięcia przez
Użytkownika.
wydajnościowe" pliki cookies, umożliwiające zbieranie informacji o sposobie korzystania ze stron internetowych Serwisu;
„funkcjonalne" pliki cookies, umożliwiające „zapamiętanie" wybranych przez Użytkownika ustawień i personalizację interfejsu Użytkownika, np. w zakresie wybranego języka lub regionu, z którego pochodzi Użytkownik, rozmiaru czcionki, wyglądu strony internetowej itp.;
„reklamowe" pliki cookies, umożliwiające dostarczanie Użytkownikom treści reklamowych bardziej dostosowanych do ich zainteresowań.

>> Administrator wykorzystuje własne pliki cookies w celu lepszego poznania sposobu interakcji Użytkowników w zakresie zawartości strony. Pliki gromadzą informacje o sposobie korzystania ze strony internetowej przez Użytkownika, typie strony, z jakiej Użytkownik został przekierowany oraz liczbie odwiedzin i czasie wizyty Użytkownika na stronie internetowej. Informacje te nie rejestrują konkretnych danych osobowych Użytkownika, lecz służą do opracowania statystyk korzystania ze strony.

>> Administrator wykorzystuje zewnętrzne pliki cookies w celu zbierania ogólnych i
anonimowych danych statycznych za pośrednictwem narzędzi analitycznych Google Analytics (administrator cookies zewnętrznego: Google Inc.).

>> Pliki cookies mogą być również wykorzystywane przez sieci reklamowe, w szczególności sieć Google. W tym celu mogą zachować informację o ścieżce nawigacji Użytkownika lub czasie pozostawania na danej stronie.

>> Użytkownik ma prawo zadecydowania w zakresie dostępu plików „ cookies ” do swojego komputera poprzez ich uprzedni wybór w oknie swojej przeglądarki. Szczegółowe informacje o możliwości i sposobach obsługi plików „ cookies ” dostępne są w ustawieniach oprogramowania (przeglądarki internetowej). Informacja dla wybranych, najpopularniejszych przeglądarek:

Google Chrome: https://support.google.com/chrome/answer/95647?hl=pl
Mozilla Firefox: https://support.mozilla.org/pl/kb/ciasteczka
Safari: https://help.opera.com/pl/latest/security-and-privacy/#deleteData
Opera: https://help.opera.com/pl/latest/web-preferences
Microsoft Edge: https://support.microsoft.com/pl-pl/help/10607/microsoft-edge-viewdelete-browser-history
Internet Explorer: https://support.microsoft.com/pl-pl/help/17442/windows-internetexplorer-deletemanage-cookies

Więcej informacji o tym czym są pliki cookies można znaleźć pod następującymi linkami:
– język polski: http://wszystkoociasteczkach.pl
– język angielski: https://www.aboutcookies.org

Nasza strona internetowa korzysta z Google Analytics tj. usługi analizy internetowej udostępnianej przez Google Ireland Limited (poniżej: Google). Google Analytics używa plików cookie (zbiera dane dotyczące adresów IP, lokalizacji sieci, daty wizyty, systemu operacyjnego, typu przeglądarki). Użytkownik ma prawo uniemożliwić przechowywanie plików cookie za pomocą odpowiedniego ustawienia oprogramowania przeglądarki.

Informacje dodatkowe

Na stronie internetowej Administratora znajdują się odnośniki (linki) do serwisu społecznościowego Facebook i Linkedin – zewnętrznych portali społecznościowych.. Jeśli podczas wizyty na naszej stronie internetowej użytkownik kliknie w wybrany link, poprzez aktywację tzw. wtyczki społecznościowej (plug-in) portalu społecznościowego dochodzi do przekazania przez Użytkownika jego danych oraz ich przetwarzania przez portal społecznościowy. Cel oraz zakres przetwarzania danych osobowych przez portal społecznościowy oraz związane z tym prawa i obowiązki Administratora takiego portalu służące ochronie prywatności Użytkowników dostępne są w zakładce dotyczącej ochrony danych osobowych tego portalu. Za przetwarzanie danych, które następuje po kliknięciu na dany link odpowiedzialny jest właściciel portalu społecznościowego.

Szczegółowa informacja o tym, jak Google wykorzystuje dane Użytkowników dostępna jest na stronie:
https://policies.google.com/terms?hl=en&gl=b

Szczegółowa informacja o tym, jak Facebook wykorzystuje dane Użytkowników dostępna jest na stronie:
https://www.facebook.com/privacy/explanation.

Szczegółowa informacja o tym, jak Linkedin wykorzystuje dane Użytkowników dostępna jest na stronie:
https://pl.linkedin.com/legal/user-agreement.

Jeżeli Użytkownik nie chce by jego dane o aktywności na stronie internetowej należącej do Isoqar sp. z o.o. były gromadzone przez wyżej wskazane portale powinien wylogować się z konta (profilu) na danym portalu przed kliknięciem w określony link.

7. PRZEKAZYWANIE DANYCH DO PAŃSTW TRZECICH
Państwa dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy (dalej: EOG) – jednostce certyfikującej Alcumus ISOQAR Ltd., której siedziba mieści się w Wielkiej Brytani .

8. ZAUTOMATYZOWANE PRZETWARZANIE DANYCH
Administrator nie dokonuje automatycznego przetwarzania – profilowania w rozumieniu RODO polegającego na wykorzystaniu danych osobowych podanych przez Użytkownika do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy jej sytuacji ekonomicznej, osobistych preferencji, wiarygodności oraz zachowania Użytkownika

9. POSTANOWIENIA KOŃCOWE
Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator udostępnia odpowiednie środki techniczne zapobiegające pozyskiwaniu modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną.
W sprawach nieuregulowanych niniejszą Polityką prywatności stosuje się odpowiednio przepisy RODO oraz inne właściwe przepisy prawa polskiego.