Cyberlekcje 2025: czego nauczyły nas ataki i awarie chmury?

W 2025 roku seria głośnych i zakłócających działalność incydentów po raz kolejny pokazała, że ryzyko cybernetyczne rzadko ogranicza się wyłącznie do utraty danych lub technicznych wyzwań związanych z odtworzeniem systemów. Incydenty te wpływają na przychody, reputację oraz zdolność organizacji do wywiązywania się ze zobowiązań umownych i regulacyjnych.

Niniejszy artykuł analizuje, czego nauczyły nas incydenty z ubiegłego roku oraz na czym organizacje powinny się skupić przed kolejnym cyklem audytów i certyfikacji.

Przegląd wybranych kluczowych incydentów z 2025 roku: co się wydarzyło i dlaczego ma to znaczenie

EuroCert

EuroCert padł ofiarą cyberataku typu ransomware w nocy 12 stycznia 2025 r. Atak polegał na użyciu złośliwego oprogramowania szyfrującego pliki na serwerach, co według komunikatu firmy wiązało się z naruszeniem ochrony danych osobowych oraz „z dużym prawdopodobieństwem” także ich kradzieżą. Spółka informowała o działaniach minimalizujących skutki incydentu i współpracy ze służbami/instytucjami, a sprawa była szeroko komentowana również w kontekście ryzyk dla klientów korzystających z usług firmy (np. obszaru podpisu kwalifikowanego).

To kolejny przykład, że atak ransomware to nie tylko „problem IT”, ale realne ryzyko przestoju operacyjnego i konsekwencji prawno-wizerunkowych. Zwłaszcza gdy firma przetwarza wrażliwe dane klientów.

SMYK

Grupa SMYK poinformowała o cyberataku na część swoich systemów informatycznych w marcu 2025 r. Z dostępnych informacji wynikało, że incydent miał charakter poważny i spowodował czasowe zakłócenia w funkcjonowaniu usług, w tym systemów wspierających sprzedaż oraz procesy operacyjne. Firma podejmowała działania naprawcze i zabezpieczające, a incydent był szeroko komentowany w mediach branżowych. Pojawiały się również informacje o ryzyku naruszenia danych, co wiązało się z dodatkowymi obowiązkami organizacyjnymi i prawnymi.

Przypadek SMYK pokazuje, że cyberatak w sektorze handlu detalicznego bardzo szybko przestaje być wyłącznie problemem technicznym i przekłada się bezpośrednio na ciągłość działania, obsługę klientów oraz koszty operacyjne, a reakcja organizacji musi obejmować nie tylko IT, ale również obszary prawne, komunikacyjne i biznesowe.

Awarie AWS, Cloudflare i Microsoft Azure

W listopadzie awaria Cloudflare spowodowała niedostępność znacznej części Internetu, w tym dużych serwisów, platform korporacyjnych oraz usług publicznych.

Ironią losu było to, że nawet Downdetector – platforma dostarczająca informacji w czasie rzeczywistym o awariach usług – również była przez pewien czas niedostępna.

Biorąc pod uwagę, że Cloudflare znajduje się przed znaczącą częścią globalnego ruchu internetowego (według firmy około 20% stron internetowych na świecie) zakłócenia miały szeroki zasięg.

Nie był to jednak incydent odosobniony. Około miesiąc wcześniej awaria AWS (Amazon Web Services) spowodowała podobne zakłócenia dla tysięcy zależnych usług, a kilka dni później doszło do mniejszej awarii Microsoft Azure.

Incydenty te uwypuklają ten sam zasadniczy problem: większość organizacji obsługuje dziś usługi zależne od długich łańcuchów komponentów chmurowych. Gdy jeden z tych komponentów zawiedzie, może to wywołać awarie w systemach, które pozornie nie mają ze sobą związku.

Szerszy kontekst: cyberzagrożenia w polskich firmach

Incydenty takie jak ataki na SMYK czy EuroCert nie są w Polsce odosobnionymi przypadkami. Z Raportu KPMG „Barometr cyberbezpieczeństwa 2025” wynika, że aż 83% badanych firm deklaruje, iż doświadczyło co najmniej jednej próby cyberataku. Skala zagrożeń znajduje potwierdzenie również w raporcie „Cyberbezpieczeństwo w polskich firmach” opublikowanym w styczniu 2025 przez VECTO, z którego wynika, że 8 na 10 organizacji deklaruje gotowość zapłaty okupu w przypadku ataku ransomware. Dane te jasno pokazują, jak poważne mogą być skutki cyberincydentów, zarówno operacyjne, jak i finansowe oraz jak istotne staje się pytanie: co organizacje mogą zrobić, aby realnie ograniczyć ryzyko stania się kolejną ofiarą?

Lekcja 1: Kluczowe lekcje dla organizacji

Awarie usług chmurowych pokazały, że nawet niewielki problem techniczny może doprowadzić do poważnych przestojów w działalności firmy, jeśli wszystko jest oparte na jednym rozwiązaniu. Dzieje się tak zwłaszcza wtedy, gdy:

systemy działają tylko w jednym regionie chmury,
dostęp do systemów opiera się na jednym wspólnym mechanizmie logowania,
logi, monitoring, obsługa incydentów i komunikacja są realizowane u tego samego dostawcy chmury,
organizacja nie ma realnego planu wyjścia z chmury lub nigdy nie testowała scenariuszy awaryjnych.

W takiej sytuacji awaria jednego elementu może „pociągnąć za sobą” wiele innych systemów, nawet takich, które pozornie nie są ze sobą powiązane.

Jak powinno to wyglądać w 2026 roku?

Dobrze przygotowana organizacja:

korzysta z więcej niż jednego regionu chmurowego dla kluczowych systemów,
posiada awaryjny, niezależny dostęp administracyjny, na wypadek gdy główne systemy logowania nie działają,
przechowuje kluczowe procedury, kontakty i scenariusze decyzyjne także offline,

Lekcja 2: Ataki na handel detaliczny i łańcuch dostaw nadal są opłacalne dla atakujących

Sektor handlu detalicznego działa w bardzo złożonym środowisku: obsługuje dużą liczbę transakcji, korzysta z wielu systemów i urządzeń, a zmiany w systemach i procesach są wprowadzane bardzo często. To sprawia, że jest on szczególnie narażony na cyberataki.

Jak pokazały ostatnie incydenty, zakłócenie działania firmy wcale nie wymaga skomplikowanego ataku. Wystarczy słaba kontrola dostępu lub niewystarczający nadzór nad dostawcami i partnerami, aby atakujący mogli spowodować poważne problemy operacyjne.

Jak powinno to wyglądać w 2026 roku?

Dobrze przygotowana organizacja:

dokładnie kontroluje dostęp dostawców i partnerów, jasno określając zasady nadawania, zmiany i odbierania uprawnień,
oddziela systemy biznesowe od systemów technicznych, tam gdzie ma to znaczenie dla bezpieczeństwa,
potrafi szybko ograniczyć skutki incydentu, dzięki wcześniej ustalonym i przetestowanym procedurom izolacji zagrożonych systemów.

Lekcja 3: Zgodność to punkt wyjścia, a nie tarcza

Spełnienie wymagań norm takich jak ISO/IEC 27001 jest ważne, ale samo w sobie nie gwarantuje, że usługi zawsze będą dostępne, systemy szybko wrócą do działania, ani że firma uniknie strat wizerunkowych po incydencie. Cyberbezpieczeństwo to proces ciągły, zabezpieczenia muszą być regularnie rozwijane i dostosowywane do zmieniających się zagrożeń.

Dlatego organizacja powinna być przygotowana na sytuacje kryzysowe i mieć realne plany ciągłości działania, które pozwolą szybko zareagować, gdy dojdzie do incydentu.

Jak powinno to wyglądać w 2026 roku?

Dobrze przygotowana organizacja:

potrafi pokazać, że zabezpieczenia faktycznie działają, a nie tylko że są opisane w dokumentach,
ma przetestowane procedury reagowania na incydenty i zapewnienia ciągłości działania,
jasno określiła, w jakim czasie kluczowe systemy muszą zostać przywrócone, zgodnie z realnymi potrzebami biznesu.

Lekcja 4: Phishing wciąż działa, bo zabezpieczenia „rozjeżdżają się” w czasie

Większość firm prowadzi dziś szkolenia z bezpieczeństwa, a mimo to pracownicy nadal padają ofiarą phishingu. Problemem zazwyczaj nie jest brak wiedzy, lecz to, że zabezpieczenia z czasem przestają być stosowane tak, jak powinny.

Często pojawiają się takie sytuacje jak:

konta, które dawno powinny zostać usunięte, nadal są aktywne,
użytkownicy mają więcej uprawnień, niż faktycznie potrzebują,
uwierzytelnianie wieloskładnikowe (MFA) nie jest stosowane wszędzie,
procedury szybkiego przywracania dostępu są słabo zabezpieczone.

To właśnie takie luki sprawiają, że ataki phishingowe nadal są skuteczne.

Jak powinno to wyglądać w 2026 roku?

Dobrze przygotowana organizacja:

stosuje MFA wszędzie tam, gdzie ma to realne znaczenie, w tym dla kont administracyjnych i dostępu partnerów zewnętrznych,
prowadzi symulacje phishingowe, które realnie przekładają się na lepsze zachowania użytkowników, a nie tylko „odhaczenie szkolenia”,
wymaga rzetelnej weryfikacji tożsamości przy resetach haseł i zgłoszeniach dotyczących dostępu, zarówno od pracowników, jak i dostawców.

Lekcja 5: Gotowość do audytu to dziś gotowość organizacji na kryzys

Dziś nie wystarczy już powiedzieć, że „mamy wdrożone procedury”. Regulatorzy, klienci i ubezpieczyciele oczekują konkretnych dowodów, i to takich, które można szybko przedstawić. Odpowiedzialność oznacza więc nie tylko działania, ale także dobrze uporządkowaną dokumentację i jasne decyzje, za które ktoś realnie odpowiada.

Co ważne, gotowość audytowa przestaje być wyłącznie tematem dla IT lub bezpieczeństwa, to kwestia odporności całej organizacji, którą coraz częściej interesuje się zarząd.

Jak powinno to wyglądać w 2026 roku?

Dobrze przygotowana organizacja:

prowadzi aktualny rejestr ryzyk, w którym jasno wskazane są zabezpieczenia i osoby odpowiedzialne,
wie dokładnie, którzy dostawcy są kluczowi dla działania najważniejszych usług i ma wobec nich realne mechanizmy kontroli,
posiada przejrzyste mapy danych osobowych, pokazujące kto, gdzie i w jakim celu dane przetwarza (także u podwykonawców).

Lekcja 6: Podstawowe błędy techniczne wciąż prowadzą do incydentów

Wiele cyberincydentów nadal zaczyna się od drobnych, ale krytycznych zaniedbań. Najczęściej są to systemy bez aktualizacji, zasoby, o których nikt nie ma pełnej wiedzy, źle skonfigurowane usługi chmurowe lub urządzenia, które nie są objęte bieżącym zarządzaniem.

To pokazuje, że nawet najlepsze strategie bezpieczeństwa zawodzą, jeśli podstawy nie są dopilnowane.

Jak powinno to wyglądać w 2026 roku?

Dobrze przygotowana organizacja:

posiada aktualną i kompletną listę wszystkich systemów, urządzeń i usług,
jasno określiła, w jakim czasie i w jakiej kolejności instalowane są poprawki, w zależności od poziomu ryzyka,
stosuje spójne ustawienia bezpieczeństwa i na bieżąco sprawdza, czy nie pojawiają się od nich niekontrolowane odstępstwa.

Co to oznacza dla ISO 27001 w 2026 roku?

Rok 2025 jasno pokazał, że bezpieczeństwo chmury i współpraca z dostawcami nie są już dodatkiem, ale jednym z fundamentów systemu zarządzania bezpieczeństwem informacji.

Norma ISO/IEC 27001 wyraźnie to podkreśla w załączniku A, m.in. poprzez wymagania dotyczące:

A.5.23 - bezpiecznego korzystania z usług chmurowych – od ich wyboru, przez codzienne użytkowanie, aż po zakończenie współpracy,
A.5.21 - zarządzania bezpieczeństwem w łańcuchu dostaw ICT,
A.5.30 - gotowości systemów ICT na wypadek przerwania działalności,
A.5.19 - jasnych zasad współpracy z dostawcami i partnerami.

Na czym należy się skupić przed audytem w 2026 roku?

Przygotowanie do audytu nie powinno ograniczać się do posiadania polityk i procedur „na papierze”. Audytorzy coraz częściej oczekują realnych dowodów, że:

scenariusze awaryjne i ciągłość działania są regularnie testowane w praktyce.
chmura jest faktycznie zarządzana i nadzorowana,
dostawcy są objęci rzeczywistą kontrolą bezpieczeństwa,

Praktyczne rekomendacje, czyli co warto zrobić w praktyce?

1. Sprawdź nie tylko zgodność, ale też realną odporność organizacji

Nie ograniczaj się do sprawdzenia, czy „wszystko jest zgodne z ISO”. Zobacz:

czy zabezpieczenia ISO/IEC 27001 faktycznie chronią konkretne usługi i procesy biznesowe,
czy w obszarze RODO potrafisz pokazać dowody działań, a nie tylko oświadczenia i polityki,
czy plany ciągłości działania mają sens w sytuacji realnej awarii chmury, a nie tylko na papierze.

2. Przyjrzyj się umowom chmurowym i planom awaryjnym

Sprawdź, czy zapisy w umowach faktycznie chronią Twoją firmę:

porównaj oferowane rekompensaty za awarie z rzeczywistymi stratami biznesowymi,
upewnij się, że masz jasno określone zasady wyjścia z chmury, przeniesienia danych i przełączenia systemów,
sprawdź, czy korzystanie z wielu regionów faktycznie zmniejsza ryzyko, czy tylko wygląda dobrze na papierze.

3. Myśl w kategoriach wpływu na biznes

Zamiast ogólnych zagrożeń, analizuj konkretne scenariusze, np.:

dostawca chmury jest niedostępny przez pół dnia,
kluczowy dostawca traci dostęp administracyjny,
atak ransomware blokuje systemy logowania,
wyciekają dane kontaktowe klientów.

Takie podejście ułatwia realne przygotowanie organizacji.

4. Testuj reagowanie na incydenty

Plany reagowania powinny być sprawdzane w praktyce:

organizuj ćwiczenia z udziałem kierownictwa,
sprawdzaj, czy da się podejmować decyzje przy niepełnych informacjach,
upewnij się, że firma potrafi działać nawet wtedy, gdy część narzędzi lub systemów nie działa.

5. Traktuj phishing i zarządzanie dostępem jako elementy zabezpieczeń, a nie tylko temat szkoleń

Szkolenia są ważne, ale to za mało:

wzmocnij sposób potwierdzania tożsamości przy resetach haseł i prośbach o dostęp,
ogranicz stałe uprawnienia i dostęp administracyjny tylko do niezbędnego minimum,
regularnie sprawdzaj, czy konta i ustawienia nie „rozjechały się” w czasie.

6. Zadbaj o bezpieczeństwo urządzeń i danych

Upewnij się, że:

dane na urządzeniach są szyfrowane i możesz to udowodnić,
wiesz, kto odpowiada za jakie urządzenie,
potrafisz szybko zdalnie usunąć dane i odebrać dostęp w razie zgubienia sprzętu.

Szkolenia jako praktyczne wsparcie we wdrażaniu i doskonaleniu ISMS

Wnioski płynące z opisanych incydentów i rekomendacji pokazują, że skuteczne zarządzanie bezpieczeństwem informacji wymaga nie tylko znajomości wymagań normy ISO/IEC 27001, ale także umiejętności ich praktycznego zastosowania w realnych warunkach organizacyjnych. W odpowiedzi na te potrzeby ISOQAR prowadzi szkolenia otwarte i zamknięte z zakresu ISO/IEC 27001:2022, skierowane zarówno do osób odpowiedzialnych za ISMS, jak i kadry zarządzającej.

Podczas szkoleń omawiane są aktualne wymagania normy, w tym nowe i zmienione zabezpieczenia, takie jak zarządzanie usługami chmurowymi czy bezpieczeństwo w łańcuchu dostaw. Nasi trenerzy – doświadczeni audytorzy systemów zarządzania – dzielą się praktycznymi przykładami z audytów oraz wskazówkami, jak przygotować organizację do certyfikacji, audytów nadzoru i rzeczywistych sytuacji kryzysowych. Sprawdź szczegóły.

Polityka prywatności

W związku z prowadzoną przez siebie działalnością gospodarczą, Administrator zbiera i przetwarza dane osobowe zgodnie z właściwymi przepisami, w tym przede wszystkim z Rozporządzeniem Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – dalej jako RODO. Przetwarzając dane, Administrator zapewnia ich bezpieczeństwo i poufność oraz dostęp do informacji o tym przetwarzaniu dla osób, których dane dotyczą.

1. Administrator danych osobowych
Administratorem Państwa danych osobowych jest ISOQAR CEE sp. z o.o z siedzibą w Warszawie, adres: ul. Wąwozowa 11, 02-796 Warszawa, NIP 9512091016, wpisana do Krajowego Rejestru Sądowego prowadzonego przez Sąd Rejonowy w dla m.st. Warszawy, XIII Wydział Gospodarczy Krajowego Rejestru Sądowego pod numerem KRS: 0000178492. Administrator wyznaczył Inspektora Ochrony Danych Krzysztofa Radtke, z którym można się skontaktować drogą elektroniczną: iod@isoqar.pl

2. Pozyskiwanie danych osobowych, cele przetwarzania.
W zależności od łączących nas z Państwem relacji, przetwarzamy dane osobowe w n/w celach i zakresach:

>> Potencjalni klienci, w tym osoby które wypełniły formularz kontaktowy na naszej stronie:
Dane osobowe (najczęściej imię, nazwisko, adres mail, nr telefonu), przetwarzamy w celu odpowiedzi na Państwa zapytania i prośby, co jest prawnie uzasadnionym interesem Administratora (podstawa z art. 6 ust. 1 lit. f RODO) – do czasu zgłoszenia przez Państwa sprzeciwu, w celach marketingowych na podstawie dodatkowych zgód (podstawa z art. 6 ust. 1 lit. a RODO) – do czasu cofnięcia przez Państwa zgody. Na podstawie naszego prawnie uzasadnionego interesu możemy przetwarzać Państwa dane także w celu dochodzenia ewentualnych roszczeń, w celach statystycznych, a także dla ciągłego doskonalenia jakości świadczonych przez nas usług. Podanie przez Państwa danych osobowych w formularzu kontaktowym nie jest obowiązkiem prawnym, lecz jest konieczne w celu odpowiedzi na Państwa zapytania.

>> Potencjalni klienci, w tym osoby które wypełniły formularz zapytania ofertowego
Dane osobowe (najczęściej osoba kontaktowa, nazwa firmy, adres i kod pocztowy, strona www, adres mail, nr telefonu), przetwarzamy w celu przygotowania i przesłania oferty, co jest prawnie uzasadnionym interesem Administratora (podstawa z art. 6 ust. 1 lit. f RODO) – do czasu zgłoszenia przez Państwa sprzeciwu, w celach marketingowych na podstawie dodatkowych zgód (podstawa z art. 6 ust. 1 lit. a RODO) – do czasu cofnięcia przez Państwa zgody. Na podstawie naszego prawnie uzasadnionego interesu możemy przetwarzać Państwa dane także w celu dochodzenia ewentualnych roszczeń, w celach statystycznych, a także dla ciągłego doskonalenia jakości świadczonych przez nas usług. Podanie przez Państwa danych osobowych w formularzu kontaktowym nie jest obowiązkiem prawnym, lecz jest konieczne w celu odpowiedzi na Państwa zapytania.

>> Odbiorcy newslettera
Państwa dane osobowe przetwarzane są w celu marketingu produktów i usług Administratora, tj. przesyłania informacji o charakterze marketingowym (podstawa z art. 6 ust. 1 lit. a RODO) – zgoda osoby, której dane dotyczą. Osoba, której dane dotyczą, ma prawo w dowolnym momencie wycofać zgodę. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej wycofaniem. Dane osobowe będą przechowywane do czasu wycofania zgody na przetwarzanie danych osobowych.

>> Klienci - zawarcie i realizacja umowy w związku z prowadzoną przez nas działalnością
W przypadku gdy jesteś naszym klientem lub kontrahentem i zawierasz umowę, przetwarzamy niezbędne dla tego celu dane osobowe w celu zawarcia i realizacji tej umowy, czyli na podstawie art. 6 ust. 1 lit. b RODO. Jeżeli jesteś reprezentantem lub osobą kontaktową występującą w imieniu naszego klienta lub kontrahenta, Twoje dane osobowe przetwarzamy w celu kontaktu służbowego, co stanowi nasz prawnie uzasadniony interes (art. 6 ust. 1 lit. f RODO). Kontaktem służbowym jest dla nas wszelka korespondencja (elektroniczna, papierowa), jak też kontakt telefoniczny dotyczący zawartej współpracy i realizowanej usługi, w szczególności: dokonywanie uzgodnień, umawianie spotkań służbowych, udzielenie odpowiedzi na pytania, kierowanie informacji z naszej strony. Naszym prawnie uzasadnionym interesem jest również kontakt z osobami kontaktowymi po stronie klienta dotyczący opinii na temat realizacji umowy, przy czym z inicjatywą takiego kontaktu może się do nas zwrócić zarówno klient, jak i my.

Takie dane osobowe przetwarzamy także w celach podatkowych i rachunkowych, gdy przepisy prawa obligują nas do ich przechowywania lub ujawniania odpowiednim podmiotom. Podstawą prawną przetwarzania przez nas danych osobowych w celach podatkowo – księgowych jest art. 6 ust. 1 lit. c RODO. Takie dane przechowujemy przez czas niezbędny dla realizacji umowy, a następnie do czasu przedawnienia roszczeń, jakie mogą wynikać z takiej umowy, bądź przez czas wymagany przepisami prawa. Dane związane z zawartymi umowami przechowujemy przez taki okres czasu w celach dowodowych, zabezpieczenia roszczeń lub obrony przed nimi, co stanowi nasz prawnie uzasadniony interes o jakim mowa w art. 6 ust. 1 lit. f RODO.

>> Prowadzenie korespondencji e-mailowej oraz tradycyjnej:
Przekazane przez Państwa dane (najczęściej imię, nazwisko, adres mailowy, adres korespondencyjny), w przypadku skierowania do nas korespondencji e-mailowej lub drogą tradycyjną, są przetwarzane wyłącznie w celu komunikacji i załatwienia sprawy, której dotyczy ta korespondencja. W takim przypadku podstawą prawną przetwarzania jest uzasadniony interes Administratora na podstawie art. 6 ust. 1 lit f RODO, polegający na prowadzeniu korespondencji kierowanej do niego w związku z prowadzoną działalnością gospodarczą.
Podanie danych osobowych jest dobrowolne, jednakże niezbędne do udzielenia odpowiedzi na Państwa zapytanie. Dane będziemy przetwarzać w czasie wykonania umowy, a po upływie tego okresu przedawnienia roszczeń wynikających z łączącego nas stosunku prawnego.

>> O soby odwiedzające naszą stronę internetową:
Informujemy Państwa, że podczas korzystania z naszej strony internetowej, mogą być pobierane dodatkowe informacje wysyłane przez Państwa przeglądarkę internetową oraz zawarte w logach systemowych, w szczególności: adres IP przypisany do komputera użytkownika lub zewnętrzny adres IP dostawcy Internetu, nazwa domeny, rodzaj przeglądarki, czas dostępu, typ systemu operacyjnego; od użytkowników naszej strony www, mogą być także gromadzone dane nawigacyjne, w tym informacje o linkach i odnośnikach, w które zdecydują się kliknąć lub innych czynnościach, podejmowanych na Stronie. Podstawą prawną tego rodzaju czynności jest prawnie uzasadniony interes Administratora (art. 6 ust. 1 lit. f RODO), polegający na ułatwieniu korzystania z usług świadczonych drogą elektroniczną oraz na poprawie funkcjonalności tych usług. Dane wykorzystywane będą wyłącznie w celach statystycznych (analiza ruchu na naszej stronie www) oraz w celach marketingowych (by lepiej dopasować treść Serwisu do preferencji użytkowników).

>> Uczestnicy organizowanych przez nas szkoleń i webinariów:
Zapisując się na nasze wydarzenia prowadzone w formie on-line (szkolenia, webinaria), Państwa dane osobowe będą przetwarzane w następujących celach: zawarcie umowy (realizacja Twojego zamówienia udziału w wydarzeniu, w tym przyjęcie rejestracji, wysłanie zaproszenia na wydarzenie (podstawa: wykonanie umowy o przeprowadzenie wydarzenia lub żądanie uczestnika przed jej zawarciem – art. 6 ust. 1 lit. b RODO), realizacja obowiązku prawnego dotyczącego wystawiania i księgowania faktur (jeżeli podajesz dane osobowe do faktury) a także prowadzenie sprawozdawczości finansowej (podstawa: art. 6 ust. 1 lit. c w zw. z ustawą z dnia 29 września 1994 r. o rachunkowości, ustawą z dnia 29 sierpnia 1997 r. Ordynacja podatkowa oraz ustawą z dnia 11 marca 2004 r. o podatku od towarów i usług) i ponadto: bieżący kontakt, rozpatrzenie ewentualnych reklamacji, zabezpieczenie roszczeń – te cele są naszymi prawnie uzasadnionymi interesami (podstawa: art. 6 ust. 1 lit. f RODO). W przypadku chęci otrzymywania newslettera dane będą przetwarzane za zgodą (art. 6 ust. 1 lit. a RODO).

Dane dla powyższych celów będą przetwarzane przez następujący okres: dane niezbędne dla realizacji umowy / rozpatrzenia reklamacji przetwarzane są przez czas niezbędny do jej realizacji, a następnie do czasu przedawnienia roszczeń, jakie mogą wynikać z tytułu zawarcia umowy; dane przetwarzane w celach kontaktowych przechowujemy przez czas niezbędny dla realizacji kontaktu / odpowiedzi na pytania, a następnie do końca roku kalendarzowego, następującego po roku, w którym nastąpiło rozwiązanie sprawy lub zakończenie kontaktu; dane niezbędne do realizacji wydarzenia płatnego przechowywane będą do maksymalnie 5 lat liczonych od zakończenia roku obrachunkowego, w którym wystawiono dokument księgowy; dane przetwarzane w przypadku wyrażenia zgody na newsletter – do czasu jej odwołania.

3. Odbiorcy danych osobowych
Administrator może przekazać Państwa dane osobowe wyłącznie w przypadku, jeśli jest to niezbędne do realizacji celów przetwarzania: podmiotom świadczącym dla nas usługi informatyczne, wspomagającym naszą działalność, firmom doradczym, audytorskim, a także prawniczym, podwykonawcom niektórych naszych funkcjonalności, firmom dostarczającym narzędzia komunikacji (np. hosting poczty e-mail), firmom dostarczającym narzędzia analityczne, przedsiębiorstwom pocztowym i kurierskim, bankom, ZUS, US, także innym, w ramach spoczywających na Administratorze obowiązków prawnych.

4. Okres przetwarzania
Okres przetwarzania danych przez Administratora zależy od rodzaju świadczonej usługi i celu przetwarzania. Okres przetwarzania danych określony może także wynikać z przepisów, w przypadku, gdy stanowią one podstawę przetwarzania. W przypadku przetwarzania danych na podstawie uzasadnionego interesu Administratora, wówczas dane przetwarzane są przez okres umożliwiający jego realizację lub do zgłoszenia skutecznego sprzeciwu względem przetwarzania danych. Jeśli przetwarzanie odbywa się na podstawie zgody, dane przetwarzane są do jej wycofania. W przypadku, gdy podstawę przetwarzania stanowi niezbędność do zawarcia i wykonania umowy, dane będą przetwarzane do momentu jej rozwiązania. Okres przetwarzania danych może być przedłużony w przypadku, gdy przetwarzanie jest niezbędne do ustalenia, dochodzenia lub obrony przed ewentualnymi roszczeniami, a po tym okresie, jedynie w przypadku i w zakresie, w jakim będą wymagać tego przepisy prawa. Po upływie okresu przetwarzania, dane są nieodwracalnie usuwane lub anonimizowane.

5. PRAWO KONTROLI, DOSTĘPU DO TREŚCI WŁASNYCH DANYCH ORAZ ICH POPRAWIANIA,
Osoba, której dane dotyczą, ma prawo dostępu do treści swoich danych osobowych oraz prawo ich sprostowania, usunięcia (chyba, że na Administratorze będzie spoczywał obowiązek ich dalszego przetwarzania), ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania, którego dokonano na podstawie zgody przed jej cofnięciem.

>> Podstawy prawne żądania Użytkownika:
Dostęp do danych – art. 15 RODO.
Sprostowanie danych – art. 16 RODO.
Usunięcie danych (tzw. prawo do bycia zapomnianym) – art. 17 RODO.
Ograniczenie przetwarzania – art. 18 RODO.
Przeniesienie danych – art. 20 RODO.
Sprzeciw – art. 21 RODO
Cofnięcie zgody – art. 7 ust. 3 RODO.

W przypadku stwierdzenia, że przetwarzanie danych osobowych narusza przepisy obowiązującego prawa, osoba, której dane dotyczą, ma prawo wnieść skargę do Prezesa Urzędu Ochrony Danych Osobowych z siedzibą w Warszawie.

6. PLIKI „COOKIES”

Informacje ogólne o plikach cookies

Strona Administratora używa plików „cookies”. Instalacja plików „ cookies ” jest konieczna do prawidłowego świadczenia usług na stronie internetowej. W plikach „ cookies ” znajdują się informacje niezbędne do prawidłowego funkcjonowania strony, a także dają one możliwość opracowywania ogólnych statystyk odwiedzin strony internetowej. W ramach strony stosowane są następujące rodzaje plików „cookies”:

Rodzaje plików cookies ze względu na czas przechowywania

>> Pliki cookies sesyjne – pliki tymczasowe, które przechowywane są w urządzeniu końcowym Użytkownika wyłącznie do momentu wylogowania się, opuszczenia strony internetowej lub zamknięcia przeglądarki internetowej.

>> Pliki cookies stałe – pliki przechowywane w urządzeniu końcowym Użytkownika przez czas określony w parametrach plików cookies lub do momentu ich usunięcia przez Użytkownika.

Rodzaje plików cookies ze względu na cel

>> Niezbędne – umożliwiające prawidłowe działanie strony, bez których niektóre funkcjonalności mogą być niedostępne.

>> Funkcjonalne – pozwalające na zapamiętanie wybranych przez Użytkownika ustawień (np. języka, rozmiaru czcionki, wyglądu strony), personalizację interfejsu Użytkownika i poprawę wygody korzystania z serwisu.

>> Statystyczne – służące do zbierania danych o sposobie korzystania ze strony, tworzenia statystyk i raportów dotyczących funkcjonowania strony (bez identyfikacji konkretnego Użytkownika). Pomagają zrozumieć, w jaki sposób Użytkownicy korzystają z serwisu, co umożliwia ulepszanie jego struktury i zawartości.

>> Wydajnościowe – umożliwiające zbieranie informacji o wydajności i szybkości działania strony, pozwalają na rozpoznawanie problemów technicznych oraz optymalizację działania serwisu.

>> Marketingowe – umożliwiające profilowanie i targetowanie reklam dopasowanych do zainteresowań Użytkowników, a także personalizację treści marketingowych wyświetlanych na stronie i w sieciach reklamowych.

Wykorzystywanie plików cookies przez Administratora

Własne pliki cookies
Administrator wykorzystuje własne pliki cookies, aby lepiej poznać sposób interakcji Użytkowników z treściami znajdującymi się na stronie. Pozwala to na:

> zapewnienie prawidłowego funkcjonowania strony,

> dostosowanie ustawień serwisu do preferencji Użytkownika,

> zbieranie anonimowych danych statystycznych (np. liczba odwiedzin i czas spędzony na stronie),

> realizację celów marketingowych, w tym personalizację treści reklamowych oraz targetowanie odbiorców (m.in. we współpracy z usługami Google Ads).

Zewnętrzne pliki cookies

>> Google Analytics
Na naszej stronie internetowej wdrożono usługę Google Analytics, udostępnianą przez Google Ireland Limited („Google”). Google Analytics wykorzystuje pliki cookies w celach statystycznych, które umożliwiają analizę sposobu korzystania przez Użytkowników ze strony. Zbierane dane to m.in. informacje o czasie wizyty i rodzaju przeglądarki, z wyłączeniem prywatnych adresów IP czy dokładnej geolokalizacji. Szczegółowe informacje o tym, jak Google przetwarza dane, dostępne są pod adresem:
https://policies.google.com/terms?hl=en&gl=b

>> Google Ads
Na naszej stronie mogą być wykorzystywane kody śledzące (tzw. tagi) Google Ads w celu prowadzenia kampanii marketingowych (m.in. remarketingu), personalizacji reklam i targetowania Użytkowników. Pliki cookies mogą służyć do identyfikowania preferencji Użytkownika i wyświetlania reklam dostosowanych do jego zainteresowań.

>> Facebook Pixel
W serwisie może być zaimplementowany Facebook Pixel, narzędzie służące do analizy ruchu i optymalizowania kampanii reklamowych w serwisie Facebook. Facebook Pixel pozwala na wyświetlanie Użytkownikom spersonalizowanych reklam w serwisie Facebook, a także mierzenie skuteczności tych reklam.

>> LinkedIn
Na stronie mogą znajdować się wtyczki lub linki odsyłające do serwisu LinkedIn. Po kliknięciu w taką wtyczkę, dane Użytkownika (np. informacje o aktywności na stronie) mogą być przetwarzane przez właściciela LinkedIn w celach analitycznych lub marketingowych.

>> Callback24
W celu usprawnienia kontaktu z Użytkownikiem i usprawnienia obsługi zapytań wykorzystujemy narzędzie Callback24, które może zapisywać pliki cookies. Służą one do analizowania aktywności Użytkowników oraz optymalizacji komunikacji.

Sieci reklamowe (w szczególności sieć Google) mogą również wykorzystywać pliki cookies do zbierania ogólnych, anonimowych danych statystycznych, a przede wszystkim do personalizacji i targetowania reklam, w tym do określania, czy dany Użytkownik wyświetlał już określoną reklamę.

Zarządzanie plikami cookies

Użytkownik może w każdej chwili zadecydować o zakresie dostępu plików cookies do swojego urządzenia. Zmian w tym zakresie można dokonać poprzez konfigurację ustawień w przeglądarce internetowej. Brak zmiany tych ustawień oznacza akceptację dla stosowania plików cookies.

Instrukcje dotyczące zarządzania plikami cookies w najpopularniejszych przeglądarkach:

Dodatkowe informacje

Więcej informacji na temat plików cookies można znaleźć na stronach:

> w języku polskim: http://wszystkoociasteczkach.pl

> w języku angielskim: https://www.aboutcookies.org

Podczas korzystania z naszej strony mogą znajdować się odnośniki do zewnętrznych serwisów, takich jak Facebook czy LinkedIn. Po kliknięciu w link i aktywowaniu wtyczki społecznościowej, dane Użytkownika mogą być przetwarzane bezpośrednio przez właściciela danego portalu (np. Facebooka, LinkedIn).

>> Szczegółowe informacje o sposobie przetwarzania danych przez Facebook: https://www.facebook.com/privacy/explanation

>> Szczegółowe informacje o sposobie przetwarzania danych przez LinkedIn: https://pl.linkedin.com/legal/user-agreement

Jeżeli Użytkownik nie chce, aby jego dane dotyczące aktywności na naszej stronie były zbierane i przetwarzane przez wyżej wymienione portale, powinien wylogować się z kont (profili) w tych portalach przed kliknięciem w dany link.

Informacje dodatkowe

Na stronie internetowej Administratora znajdują się odnośniki (linki) do serwisu społecznościowego Facebook i Linkedin – zewnętrznych portali społecznościowych.. Jeśli podczas wizyty na naszej stronie internetowej użytkownik kliknie w wybrany link, poprzez aktywację tzw. wtyczki społecznościowej (plug-in) portalu społecznościowego dochodzi do przekazania przez Użytkownika jego danych oraz ich przetwarzania przez portal społecznościowy. Cel oraz zakres przetwarzania danych osobowych przez portal społecznościowy oraz związane z tym prawa i obowiązki Administratora takiego portalu służące ochronie prywatności Użytkowników dostępne są w zakładce dotyczącej ochrony danych osobowych tego portalu. Za przetwarzanie danych, które następuje po kliknięciu na dany link odpowiedzialny jest właściciel portalu społecznościowego.

Szczegółowa informacja o tym, jak Google wykorzystuje dane Użytkowników dostępna jest na stronie:
https://policies.google.com/terms?hl=en&gl=b

Szczegółowa informacja o tym, jak Facebook wykorzystuje dane Użytkowników dostępna jest na stronie:
https://www.facebook.com/privacy/explanation.

Szczegółowa informacja o tym, jak Linkedin wykorzystuje dane Użytkowników dostępna jest na stronie:
https://pl.linkedin.com/legal/user-agreement.

Jeżeli Użytkownik nie chce by jego dane o aktywności na stronie internetowej należącej do Isoqar sp. z o.o. były gromadzone przez wyżej wskazane portale powinien wylogować się z konta (profilu) na danym portalu przed kliknięciem w określony link.

7. PRZEKAZYWANIE DANYCH DO PAŃSTW TRZECICH
Państwa dane osobowe mogą być przekazywane poza Europejski Obszar Gospodarczy (dalej: EOG) – jednostce certyfikującej Alcumus ISOQAR Ltd., której siedziba mieści się w Wielkiej Brytani .

8. ZAUTOMATYZOWANE PRZETWARZANIE DANYCH
Administrator nie dokonuje automatycznego przetwarzania – profilowania w rozumieniu RODO polegającego na wykorzystaniu danych osobowych podanych przez Użytkownika do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy jej sytuacji ekonomicznej, osobistych preferencji, wiarygodności oraz zachowania Użytkownika

9. POSTANOWIENIA KOŃCOWE
Administrator stosuje środki techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed ich udostępnieniem osobom nieupoważnionym, zabraniem przez osobę nieuprawnioną, przetwarzaniem z naruszeniem obowiązujących przepisów oraz zmianą, utratą, uszkodzeniem lub zniszczeniem.
Administrator udostępnia odpowiednie środki techniczne zapobiegające pozyskiwaniu modyfikowaniu przez osoby nieuprawnione, danych osobowych przesyłanych drogą elektroniczną.
W sprawach nieuregulowanych niniejszą Polityką prywatności stosuje się odpowiednio przepisy RODO oraz inne właściwe przepisy prawa polskiego.

Od naruszeń w handlu detalicznym po awarie chmury: kluczowe cyberlekcje 2025 roku

Przegląd wybranych kluczowych incydentów z 2025 roku: co się wydarzyło i dlaczego ma to znaczenie

Szerszy kontekst: cyberzagrożenia w polskich firmach

Praktyczne rekomendacje, czyli co warto zrobić w praktyce?

Szkolenia jako praktyczne wsparcie we wdrażaniu i doskonaleniu ISMS

Skontaktuj się z nami

Mapa strony