Правові документи

Політика конфіденційності

Версія 2.2

Ця Політика конфіденційності виконує інформаційний обов'язок, що випливає зі ст. 13 та ст. 14 Регламенту (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016 р. („GDPR"). Стосується обробки персональних даних у зв'язку з користуванням інтернет-сервісом biurko.io („Biurko", „Сервіс").

Політика також враховує:

  • Закон про надання послуг електронним шляхом,
  • ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203) — щодо передачі даних Фактур до KSeF,
  • Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 (AI Act) — щодо можливих функцій на основі AI, у тому числі обов'язків прозорості зі ст. 50, що застосовуються з 2 sierpnia 2026 r.,
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) wdrożona ustawą o krajowym systemie cyberbezpieczeństwa (KSC 2.0) та польський Закон про національну систему кібербезпеки (KSC), чинний з 3 kwietnia 2026 r., щодо безпеки інформації,
  • рекомендації UODO від грудня 2024 р. та Opinion 28/2024 Європейської ради із захисту даних (EDPB) від 17 грудня 2024 р. щодо обробки персональних даних у контексті моделей AI.

Зміст

1. Контролер даних

Контролером персональних даних є:

ITCompass - ARTEM SHEVCHENKO що здійснює діяльність у формі działalność jednoosobowa Zawiszy Czarnego 6, 40-872 Katowice, Polska NIP: 6343060594 · REGON: 542705577 e-mail: contact@itcompass.io · тел.: +48 732 959 892

Далі: „Контролер" або „ми".

У питаннях, пов'язаних із захистом персональних даних, можна звертатися до Контролера за адресою contact@itcompass.io.

Контролер не призначив Інспектора з захисту даних (IOD), оскільки не виконуються умови ст. 37 ч. 1 GDPR (основна діяльність не полягає на регулярному та систематичному моніторингу осіб у великому масштабі або на обробці спеціальних категорій даних). Контакт у питаннях GDPR: contact@itcompass.io.

2. Категорії оброблюваних даних

2.1 Дані Користувачів (осіб, які створюють Обліковий запис)

Ім'я та прізвище, e-mail, номер телефону (за бажанням), пароль (зберігається у формі хешу — bcrypt), мова інтерфейсу, часовий пояс, IP-адреса, ідентифікатор сесії, дані про пристрій/браузер, налаштування, статус верифікації 2FA.

2.2 Дані Компаній Користувача

Назва, NIP, REGON, KRS (за бажанням), адреса місцезнаходження, номери банківських рахунків, контактні дані Компанії, сертифікати та приватні ключі, що використовуються для автентифікації в KSeF (зберігаються в зашифрованому вигляді — AES-256, в окремому сховищі/vault).

2.3 Дані Контрагентів (покупців)

Дані, що вносяться Користувачем до Сервісу з метою виставлення Фактур: назва або ім'я та прізвище, NIP/PESEL, адреса, e-mail, номер телефону, номер банківського рахунку, дані, необхідні на Фактурі. У цій частині Контролер діє як процесор за дорученням Користувача (ст. 28 GDPR).

2.4 Дані Фактур та документів

Номери Фактур, дати, позиції, ставки ПДВ, суми, валюти, описи, вкладення (у тому числі вкладення, що передаються до KSeF), статус відправки до KSeF (онлайн / offline24 / аварійний режим), підтвердження UPO, QR-коди offline.

2.5 Дані платежів за Абонемент

Обраний Тариф (FREE / SOLO / TEAM / SCALE), розрахунковий цикл, статус платежу, токени оператора платежів (Stripe), дані для виставлення фактури з ПДВ за Абонемент. Контролер не зберігає повних даних платіжних карток — вони обробляються виключно Stripe Payments Europe, Limited відповідно до стандарту PCI DSS.

2.6 Технічні дані та дані безпеки

Журнали активності (audit log), журнали автентифікації KSeF (у тому числі IP-адреси, user-agent, зміст запитів та відповідей в обсязі, необхідному для діагностики), ідентифікатори сесій, підписки на Web Push (endpoint браузера, публічні ключі p256dh та auth — за бажанням, з окремою згодою, вираженою в браузері).

2.7 Маркетингові дані

E-mail адреса, згода на маркетингову комунікацію (підтверджена в режимі double opt-in), дата та IP надання згоди, версія Політики конфіденційності на момент надання згоди, історія розсилок.

2.8 Дані повідомлень DSA

У разі повідомлення, що направляється до Контактного пункту DSA, Контролер обробляє: контактні дані особи, яка повідомляє, зміст повідомлення, кореспонденцію щодо розгляду повідомлення. Правова підстава: ст. 6 ч. 1 літ. c GDPR у зв'язку зі ст. 11–17 DSA.

3. Цілі та правові підстави обробки

Мета Правова підстава (GDPR) Приклади даних
Надання Послуг відповідно до Регламенту (ведення Облікового запису, обслуговування Фактур) ст. 6 ч. 1 літ. b — виконання договору дані Користувача, Компанії, Фактур
Виставлення та передача структурованих фактур до KSeF ст. 6 ч. 1 літ. c — правовий обов'язок (ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. 2025 poz. 775 z późn. zm.), ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203)) дані Фактур, NIP, дані Контрагентів
Розрахунки та виставлення фактур з ПДВ за Абонемент ст. 6 ч. 1 літ. c — правовий обов'язок (Податковий кодекс, Закон про ПДВ) розрахункові дані, дані Компаній
Обслуговування платежів ст. 6 ч. 1 літ. b — виконання договору дані платежів, токени Stripe
Сервісна комунікація (сповіщення, відповіді на запити) ст. 6 ч. 1 літ. b / літ. f — правомірний інтерес e-mail, зміст повідомлень
Власний маркетинг (newsletter блог/changelog) ст. 6 ч. 1 літ. a — згода (double opt-in) e-mail, налаштування
Безпека, запобігання зловживанням, журнали аудиту ст. 6 ч. 1 літ. f — правомірний інтерес IP-адреса, user-agent, журнали
Розгляд повідомлень DSA ст. 6 ч. 1 літ. c — правовий обов'язок (ст. 11–17 DSA) контактні дані повідомлювача, зміст повідомлення
Відстоювання вимог та захист від них ст. 6 ч. 1 літ. f — правомірний інтерес дані транзакцій, кореспонденція
Ведення технічної статистики Сервісу (без профілювання) ст. 6 ч. 1 літ. f — правомірний інтерес технічні дані

4. Строки зберігання

Категорія даних Строк
Дані Облікового запису протягом строку дії Договору + 30 днів grace після видалення Облікового запису
Фактури, виставлені Користувачем 5 років (60 місяців) з моменту деактивації Облікового запису — строк відповідає мінімуму зі ст. 70 § 1 Податкового кодексу, ст. 112 Закону про ПДВ та ст. 74 ч. 2 п. 8 Закону про бухгалтерський облік (рахуючи від кінця облікового року). Копія в KSeF доступна 10 років на стороні Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej
Фактури з ПДВ за Абонемент відповідно до ст. 70 Податкового кодексу — 5 років + поточний рік
Журнали безпеки та автентифікації 12 місяців
Сесії користувача до 120 хвилин неактивності, максимально до закінчення сесії
Маркетингові згоди та дані newsletter'а до відкликання згоди або скасування підписки
Повідомлення DSA та модераційна кореспонденція 6 років з моменту закриття повідомлення
Дані, необхідні для відстоювання вимог до закінчення строку давності (зазвичай 3–6 років)

Після закінчення зазначених строків дані остаточно видаляються або незворотно анонімізуються (наприклад, обнулення особистих полів в архіві Фактур). Користувач у будь-який час має право завантажити повну копію Фактур у структурованому форматі через функцію експорту даних.

5. Одержувачі даних

5.1 Процесори, що діють за дорученням Контролера

Контролер користується послугами таких іменно вказаних процесорів:

  1. Stripe Payments Europe, Limited (номер CRO 513174) — 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, D02 H210, Ірландія (ЄС). Мета: обробка платежів за Абонемент. Політика конфіденційності: https://stripe.com/privacy · DPA: https://stripe.com/legal/dpa. Глобальні системи Stripe, Inc. (510 Townsend Street, San Francisco, CA 94103, США) на підставі EU-US Data Privacy Framework (Рішення ЄК C(2023)4745 від 10 липня 2023 р.) та SCC 2021/914.
  2. Mailgun Technologies, Inc. (частина групи Sinch AB) — 112 E Pecan St #1135, San Antonio, TX 78205, США. Мета: доставка електронних повідомлень (транзакційних і маркетингових). Операційна обробка повідомлень та метаданих Користувача відбувається в європейському регіоні Mailgun („EU region" — AWS eu-central-1, Франкфурт, Німеччина). Управлінський рівень (підтримка, системні журнали, адміністративна панель) може оброблятися в США. Політика конфіденційності: https://www.mailgun.com/legal/privacy-policy/ · DPA: https://www.mailgun.com/legal/dpa/.
  3. HOSTINGER operations, UAB (литовський реєстраційний номер 306308157) — Švitrigailos g. 34, LT-03230 Vilnius, Литва (ЄС). Мета: хостинг серверів застосунку, баз даних PostgreSQL та резервних копій. Дата-центри в ЄС: Литва, Німеччина, Нідерланди. Політика конфіденційності: https://www.hostinger.com/legal/privacy-policy · DPA: https://www.hostinger.com/legal/dpa.

Усі підрядники зобов'язані дотримуватися ст. 28 GDPR і застосовувати засоби безпеки, адекватні характеру обробки. Чинний перелік також публікується у Додатку № 3 до Регламенту.

5.2 Одержувач, що активується Користувачем — клієнт AI (інтеграція MCP)

Сервіс надає опціональний інтеграційний інтерфейс, що активується виключно з ініціативи Користувача, на основі протоколу Model Context Protocol (MCP), який дозволяє Користувачу під'єднати до Сервісу обраний ним зовнішній клієнт/асистент AI (наприклад, Claude, Cursor, ChatGPT). Якщо і тільки якщо Користувач активує таке з'єднання, дані, які він запитає через клієнт AI, передаються постачальнику цього клієнта AI, обраному Користувачем. Постачальник AI діє тоді як окремий одержувач даних на стороні Користувача — він не є підрядником (субпроцесором) Контролера, а Контролер не є процесором для постачальника AI. Деталі, обсяг переданих даних, механізми контролю (права, журнал викликів, негайне від'єднання) та перелік підтримуваних клієнтів разом із посиланнями на їхні політики конфіденційності викладені в розділі 12.

5.3 Окремі контролери

  1. Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej — оператор Krajowy System e-Faktur (KSeF). Сайт: https://ksef.podatki.gov.pl/. Робоче середовище: https://ap.ksef.mf.gov.pl/. IOD: IOD@mf.gov.pl. Гаряча лінія: 22 330 03 30 / 801 055 055. Обробка на підставі ст. 6 ч. 1 літ. c GDPR та норм ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. 2025 poz. 775 z późn. zm.) і ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203). Міністр фінансів є окремим контролером даних, що містяться в KSeF; дані передаються з метою виконання обов'язку виставлення та отримання структурованих фактур.
  2. Головне статистичне управління (GUS) — al. Niepodległości 208, 00-925 Warszawa. У разі перевірки даних суб'єктів господарювання за NIP або REGON (публічний реєстр REGON, ст. 6 ч. 1 літ. f GDPR у зв'язку із Законом про публічну статистику).

5.4 Інші суб'єкти

  • Органи публічної влади, суди, прокуратура — якщо передача даних випливає з правового обов'язку;
  • Координатор цифрових послуг — Голова Управління електронних комунікацій (UKE), ul. Giełdowa 7/9, 01-211 Warszawa — у межах виконання обов'язків, що випливають з DSA;
  • CSIRT NASK (Computer Security Incident Response Team — NASK PIB), ul. Kolska 12, 01-045 Warszawa — у разі здійснення обов'язків з повідомлення про інциденти, що випливають із Закону про KSC (у разі кваліфікації Контролера як ключового або важливого суб'єкта).

6. Передача даних до третіх країн

Як правило, дані обробляються на території Європейського Союзу.

Часткова передача даних до третьої країни відбувається в таких випадках:

  • Stripe, Inc. (США, Сан-Франциско) — глобальні системи платежів, що підтримують Stripe Payments Europe, Limited;
  • Mailgun Technologies, Inc. (США, Сан-Антоніо) — сторона договору та адміністратор інфраструктури, що обслуговує європейський регіон Mailgun; операційна обробка повідомлень залишається в ЄС, проте управлінський рівень (підтримка, системні журнали, адміністративна панель) може оброблятися в США.

Ці передачі здійснюються виключно на підставі заходів захисту, що вимагаються ст. 46 GDPR:

  • EU-US Data Privacy Framework (Рішення Європейської Комісії C(2023)4745 від 10 липня 2023 р.) — для Stripe, Inc. та Mailgun Technologies, Inc. як суб'єктів, сертифікованих у межах DPF,
  • Стандартні договірні положення (SCC 2021/914) — модуль 2 (контролер → процесор поза ЄЕЗ) як додатковий договірний захід.

Перед початком передачі Контролер проводить оцінку наслідків передачі (Transfer Impact Assessment) відповідно до рекомендацій EDPB (рекомендації 01/2020).

Окремим напрямом можливої передачі, що активується виключно Користувачем, є передача даних постачальнику клієнта AI, під'єднаного Користувачем через інтеграцію MCP (розділ 12). Kierunek i podstawa transferu zależą od dostawcy klienta AI wybranego przez Usługobiorcę; część dostawców przetwarza dane poza EOG (USA) na podstawie EU-US Data Privacy Framework oraz Standardowych Klauzul Umownych (SCC 2021/914). Usługodawca nie jest stroną tych transferów ani podmiotem przetwarzającym dla dostawcy AI.

7. Права суб'єкта даних

На підставі GDPR Вам належать такі права:

  • доступу до даних (ст. 15 GDPR),
  • виправлення неправильних чи неповних даних (ст. 16),
  • видалення даних („право бути забутим" — ст. 17),
  • обмеження обробки (ст. 18),
  • перенесення даних (ст. 20) — дані, надані Вами, оброблені на підставі згоди або договору, отримаєте в структурованому, загальновживаному та машиночитному форматі (JSON, CSV та — для Фактур — XML, сумісний зі схемою FA(3) Міністра фінансів),
  • заперечення проти обробки на підставі правомірного інтересу (ст. 21),
  • відкликання згоди в будь-який момент — без впливу на відповідність обробки до відкликання (ст. 7 ч. 3) — стосується даних, що обробляються на підставі згоди (наприклад, маркетинг, Web Push).

Щоб скористатися цими правами, прохання зв'язатися: contact@itcompass.io. Ми відповідаємо без зайвої затримки, не пізніше ніж протягом місяця (ст. 12 ч. 3 GDPR).

Право на скаргу

Вам належить право подати скаргу до наглядового органу:

Prezes Urzędu Ochrony Danych Osobowych (PUODO) ul. Stawki 2, 00-193 Warszawa https://uodo.gov.pl

8. Добровільність / вимога надання даних

Надання персональних даних є добровільним, проте необхідним для:

  • укладення та виконання Договору (наприклад, e-mail адреси, даних Компанії),
  • виставлення Фактур, що відповідають законодавству (наприклад, NIP, адреси),
  • інтеграції з KSeF (сертифікати, NIP).

Ненадання цих даних унеможливлює користування відповідними функціями Сервісу.

9. Автоматизоване прийняття рішень та профілювання

На день набуття чинності Політикою Контролер не застосовує автоматизованого прийняття рішень, що мають щодо Вас правові наслідки або суттєво впливають на Вашу ситуацію в розумінні ст. 22 GDPR. Не застосовуємо також профілювання з маркетинговою метою.

Надана Контролером інтеграція з клієнтом AI (розділ 12) служить для виконання операцій, замовлених Користувачем через обраного ним асистента AI, і не становить автоматизованого прийняття рішень Контролером у розумінні ст. 22 GDPR. У разі майбутнього впровадження власних функцій Контролера на основі AI або алгоритмічного прийняття рішень, Контролер оновить Політику та — якщо це буде потрібно — отримає виразну згоду суб'єкта даних відповідно до ст. 22 ч. 2 літ. c GDPR.

10. Дані Контрагентів Користувача (доручення обробки)

У частині персональних даних Контрагентів, внесених Користувачем до Сервісу:

  • контролером цих даних залишається Користувач,
  • Контролер (ITCompass - ARTEM SHEVCHENKO) діє як процесор на підставі договору про доручення, укладеного шляхом прийняття Регламенту (Додаток № 2 до Регламенту),
  • інформаційний обов'язок перед Контрагентами (зокрема їх повідомлення про передачу даних до KSeF) лежить на Користувачі.

11. KSeF — детальна інформація

Дані, що містяться у Фактурах, виставлених через Сервіс, передаються до Krajowy System e-Faktur (KSeF), що ведеться Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej. Офіційний сайт системи: https://ksef.podatki.gov.pl/. Правовою підставою передачі є обов'язок, що випливає з ustawa z dnia 11 marca 2004 r. o podatku od towarów i usług (Dz.U. 2025 poz. 775 z późn. zm.) та ustawa z dnia 5 sierpnia 2025 r. o zmianie ustawy o podatku od towarów i usług oraz ustawy o zmianie ustawy o podatku od towarów i usług oraz niektórych innych ustaw (Dz.U. 2025 poz. 1203).

Графік набуття чинності обов'язкового KSeF:

  • з 1 lutego 2026 r. — платників, обсяг продажу яких у 2024 р. перевищив 200 mln zł,
  • з 1 kwietnia 2026 r. — решти активних платників ПДВ,
  • з 1 stycznia 2027 r. — повне скасування винятків (фактури <10 000 zł, реєстратори розрахункових операцій); у той самий термін набирають чинності фінансові санкції зі ст. 106ni Закону про ПДВ, відкладені до 1 stycznia 2027 r..

Характеристики передачі даних:

  • Minister Finansów Rzeczypospolitej Polskiej (Ministerstwo Finansów, ul. Świętokrzyska 12, 00-916 Warszawa) — operacyjnie: Szef Krajowej Administracji Skarbowej зберігає структуровані фактури протягом 10 років.
  • Міністр фінансів є окремим контролером даних, що містяться в KSeF; IOD: IOD@mf.gov.pl.
  • Користувач зберігає статус контролера даних Контрагентів, внесених до системи.
  • У режимі offline24 Фактура передається до KSeF із затримкою, що не перевищує наступного робочого дня; до цього часу Контролер зберігає її локально з відповідним захистом.
  • В аварійному режимі (ст. 106nf Закону про ПДВ) Фактура передається до KSeF у строк 7 робочих днів з моменту закінчення оголошеної Міністром фінансів недоступності KSeF.

12. Функції на основі штучного інтелекту (AI)

Сервіс надає опціональну інтеграцію з асистентом (клієнтом) AI на основі протоколу Model Context Protocol (MCP). Це добровільна функція, що активується виключно з ініціативи Користувача — за замовчуванням жодні дані не передаються до систем AI. Контролер не надає власної моделі AI та не використовує моделі AI для самостійної обробки персональних даних Користувачів у Сервісі.

У чому полягає інтеграція. Контролер надає зі свого боку безпечний інтерфейс (сервер MCP). Користувач може під'єднати до нього обраний ним зовнішній клієнт/асистент AI (наприклад, Claude, Cursor, ChatGPT). Після встановлення з'єднання Користувач може — через цей клієнт AI — давати команди на читання та виконання операцій над власними даними в Сервісі (наприклад, перегляд Фактур, створення Контрагентів).

Потік даних і ролі. Дані, які Користувач запитає через клієнт AI, передаються постачальнику цього клієнта AI — обраному та під'єднаному самим Користувачем. У цій частині постачальник AI є окремим одержувачем даних, що діє на стороні Користувача; він обробляє дані за власними правилами та власною політикою конфіденційності. Контролер не є процесором для постачальника AI, не контролює спосіб обробки даних цим постачальником і не вносить постачальника AI до переліку своїх підрядників (субпроцесорів). Вибір постачальника AI, прийняття його умов та — у разі потреби — виконання щодо нього обов'язків контролера даних, належать Користувачу.

Передача до третьої країни. Kierunek i podstawa transferu zależą od dostawcy klienta AI wybranego przez Usługobiorcę; część dostawców przetwarza dane poza EOG (USA) na podstawie EU-US Data Privacy Framework oraz Standardowych Klauzul Umownych (SCC 2021/914). Usługodawca nie jest stroną tych transferów ani podmiotem przetwarzającym dla dostawcy AI.

Механізми контролю на стороні Користувача. Щоб зберегти контроль над обсягом розкритих даних, Сервіс забезпечує:

  • права (scope) для кожного з'єднання — uprawnienia (scope) nadawane per połączenie — Usługobiorca decyduje, do jakich danych i operacji ma dostęp klient AI;
  • журнал викликів (audit log) — dziennik wywołań (audit log) każdego narzędzia uruchomionego przez klienta AI;
  • негайне від'єднання (revoke) — natychmiastowe odłączenie (revoke) połączenia w dowolnym momencie.

Прозорість (ст. 50 AI Act). Відповідно до обов'язків прозорості, що випливають зі ст. 50 AI Act (застосовних з 2 sierpnia 2026 r.), щодо будь-яких функцій AI, представлених на боці Сервісу, Контролер чітко позначає взаємодію із системою AI та контент, згенерований чи модифікований AI. У жодному випадку Контролер не використовує системи AI у спосіб, що становить заборонену практику в розумінні ст. 5 AI Act (чинного з 2 lutego 2025 r.).

Підтримувані клієнти AI. Перелік зовнішніх клієнтів/асистентів AI, що підтримуються в межах інтеграції, разом із відсиланням до їхніх політик конфіденційності (прозорість щодо можливих одержувачів даних на стороні Користувача):

Наведений перелік має інформаційний характер; про додавання чи зміну підтримуваних клієнтів AI Контролер інформує в межах оновлення Політики, заздалегідь щонайменше за 14 днів. Перед впровадженням можливих власних функцій AI Контролер проведе оцінку наслідків обробки (DPIA) відповідно до ст. 35 GDPR та врахує рекомендації з Opinion 28/2024 Європейської ради із захисту даних щодо моделей AI.

13. Безпека даних та NIS2 / KSC

Контролер застосовує технічні та організаційні засоби, адекватні загрозам, зокрема:

  • шифрування передачі (TLS),
  • шифрування чутливих даних (сертифікатів і приватних ключів KSeF) алгоритмом AES-256, в окремому сховищі ключів (vault),
  • хешування паролів (bcrypt),
  • контроль доступу на основі ролей та прав,
  • багатофакторну автентифікацію (2FA),
  • резервне копіювання та моніторинг безпеки,
  • журнали аудиту, що зберігаються протягом 12 місяців.

Статус у світлі NIS2 / KSC. Польський Закон про національну систему кібербезпеки, що транспонує Dyrektywa Parlamentu Europejskiego i Rady (UE) 2022/2555 (NIS2) wdrożona ustawą o krajowym systemie cyberbezpieczeństwa (KSC 2.0), чинний з 3 kwietnia 2026 r.. Статус суб'єкта (ключовий / важливий) встановлюється, зокрема, на основі порогу 50 працівників або річного обороту / суми балансу 10 mln EUR. З огляду на форму ведення діяльності (działalność jednoosobowa) та розмір організації, на день набуття Політикою чинності Контролер не кваліфікується як ключовий чи важливий суб'єкт у розумінні зазначених положень. Контролер добровільно застосовує вибрані стандарти безпеки з Додатків I і II NIS2.

У разі перевищення зазначених вище порогів Контролер зареєструється в переліку до 3 października 2026 r. та впровадить систему управління безпекою інформації до 3 kwietnia 2027 r..

Повідомлення про інциденти безпеки можна направляти на адресу security@itcompass.io. У разі порушення захисту персональних даних Контролер повідомляє про подію до PUODO відповідно до ст. 33 GDPR та інформує осіб, чиї дані обробляються, відповідно до ст. 34 GDPR. У разі охоплення обов'язками із Закону про KSC, додаткові повідомлення направляються до CSIRT NASK (ul. Kolska 12, 01-045 Warszawa) у строки 24 год / 72 год / 1 місяця.

14. Файли cookies

Детальна інформація про використовувані файли cookies міститься у Політиці cookies, доступній за адресою biurko.io/polityka-cookies. На день набуття Політикою чинності Сервіс використовує виключно необхідні cookies для роботи послуги (ст. 173 ч. 3 п. 1 Закону про телекомунікації).

Перед можливим впровадженням аналітичних або маркетингових cookies Контролер запустить банер згоди, що відповідає рекомендаціям UODO від грудня 2024 р., у тому числі з рівнозначними кнопками „Прийняти всі" та „Відхилити всі".

15. Зміни Політики конфіденційності

Контролер зберігає право на зміни Політики конфіденційності. Про зміни Користувачі будуть поінформовані щонайменше за 14 днів до набуття змінами чинності, електронним шляхом на адресу, надану при реєстрації, разом із переліком найважливіших змін (changelog).

Архів попередніх версій доступний за адресою biurko.io/legal/polityka-prywatnosci/archiwum.

Попередні версії

ITCompass - ARTEM SHEVCHENKO · Katowice · contact@itcompass.io

Файли cookies

Ми використовуємо файли cookies для роботи сервісу та — за вашою згодою — для його покращення. Ви можете прийняти всі, відхилити необов’язкові або налаштувати вибір. Політика cookies