svg svg svg

Kontakt

logo__multifinance
hamburger__icon
Start
Zespół
O nas
Oferta
Kontakt
PL / EN
in facebook
arrowtotop
Tomasz Grzesik

Tomasz Grzesik

Kredyty hipoteczne

Kredyty dla firm

Telefon WhatsApp +48 728 448 448

Email tomasz.grzesik@multifinance.co

Adam Janik

Adam Janik

Kredyty deweloperskie i inwestycyjne w oparciu o biznesplan i prognozy finansowe

Kredyty obrotowe, pożyczki hipoteczne dla firm

Leasing nieruchomości

Refinansowanie "prywatnych pożyczek"

Telefon WhatsApp +48 509 501 901

Email adam.janik@multifinance.co

Mateusz Zygmuntowski

Mateusz Zygmuntowski

Kredyty hipoteczne

Kredyty dla firm

Telefon WhatsApp +48 531 020 531

Email mateusz.zygmuntowski@multifinance.co

Damian Wencławek

Damian Wencławek

Kredyty hipoteczne

Telefon WhatsApp +48 503 725 828

Email damian.wenclawek@multifinance.co

Zamknij

POLITYKA OCHRONY DANYCH OSOBOWYCH

Ostatnia aktualizacja:

POLITYKA OCHRONY DANYCH OSOBOWYCH

w spółce pod nazwą: MULTI FINANCE & HOME TOMASZ GRZESIK, ADAM JANIK SPÓŁKA JAWNA

 

CZĘŚĆ OGÓLNA

 

Art. 1

  1. Dane osobowe w spółce pod nazwą MULTI FINANCE & HOME TOMASZ GRZESIK, ADAM JANIK SPÓŁKA JAWNA, ul. Mickiewicza 15, 40 – 951 Katowice, KRS: 0000572645 (dalej zwaną „MULTI FINANCE”) przetwarzane są z poszanowaniem obowiązujących w tym zakresie przepisów prawa, a w szczególności:

1) przepisów ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych oraz przepisów wykonawczych z nią związanych, a także przepisów zmieniających lub zastępujących tę ustawę,

2) przepisów ustawy z dnia 26 czerwca 1974 r. Kodeks pracy (tekst jednolity z 1998 r., Dz.U. Nr 21, poz.94 z późniejszymi zmianami) i przepisów wykonawczych z nią związanych,

3) przepisów rozporządzenia Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE („RODO”),

4) innych przepisów normujących przetwarzanie danych osobowych określonych kategorii.

 

Art. 2

Polityka ochrony danych osobowych w MULTI FINANCE, zwana dalej: „Polityką” stanowi dokument, którego celem jest określenie podstawowych reguł dotyczących zapewnienia bezpieczeństwa w zakresie danych osobowych przetwarzanych w zbiorach danych:

1) tradycyjnych, w szczególności w księgach, wykazach, kartotekach, skorowidzach, w innych zbiorach ewidencyjnych;

2) w systemach informatycznych, także w przypadku przetwarzania danych poza zbiorem danych osobowych.

 

Art. 3

  1. MULTI FINANCE realizując Politykę dokłada szczególnej staranności w celu ochrony interesów osób, których dane dotyczą, a w szczególności zapewnia, aby dane te były:

1) przetwarzane zgodnie z prawem,

2) zbierane dla oznaczonych, zgodnych z prawem celów i nie poddawane dalszemu

przetwarzaniu niezgodnemu z tymi celami,

3) merytorycznie poprawne i adekwatne w stosunku do celów, w jakich są przetwarzane,

4) przechowywane w postaci umożliwiającej identyfikację osób, których dotyczą, nie dłużej

niż jest to niezbędne do osiągnięcia celu przetwarzania.

  1. MULTI FINANCE realizując Politykę stosuje odpowiednie środki informatyczne, techniczne i organizacyjne zapewniające ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń oraz kategorii danych objętych ochroną, a w szczególności zabezpiecza dane przed:

1) ich udostępnieniem osobom nieupoważnionym,

2) zabraniem przez osobę nieuprawnioną,

3) przetwarzaniem z naruszeniem ustawy,

4) zmianą, utratą, uszkodzeniem lub zniszczeniem.

  1. MULTI FINANCE realizując Politykę dąży do systematycznego unowocześniania stosowanych na jego terenie informatycznych, technicznych i organizacyjnych środków ochrony tych danych. W szczególności MULTI FINANCE zapewnia aktualizację informatycznych środków ochrony danych osobowych pozwalającą na zabezpieczenie przed wirusami, nieuprawnionym  dostępem oraz innymi zagrożeniami danych, płynącymi z funkcjonowania systemu informatycznego oraz sieci telekomunikacyjnych.
  2. MULTI FINANCE dokonuje analizy ryzyka w celu zabezpieczenia danych osobowych adekwatnie do zidentyfikowanych zagrożeń wynikających z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych. W tym celu MULTI FINANCE stosuje procedury analizy ryzyka za wykonanie której odpowiada Administrator. 
  3. Procedura analizy ryzyka stanowi Załącznik do niniejszej Polityki.
  4. Jeżeli Administrator podmiot przetwarzający nie jest zobowiązany do przeprowadzenia oceny skutków, może mimo to stosować procedurę do przeprowadzenia analizy ryzyka na potrzeby wykazania rozliczalności w przetwarzaniu danych osobowych.

 

Art. 4

  1. MULTI FINANCE realizując Politykę sprawuje kontrolę i nadzór nad niszczeniem zbędnych danych osobowych lub ich zbiorów. 
  2. Niszczenie zbędnych danych osobowych lub ich zbiorów polegać powinno w szczególności na:

1) trwałym, fizycznym zniszczeniu danych osobowych lub ich zbiorów wraz z ich nośnikami w stopniu uniemożliwiającym ich późniejsze odtworzenie przez osoby

niepowołane przy zastosowaniu powszechnie dostępnych metod;

2) anonimizacji danych osobowych lub ich zbiorów, polegającej na pozbawieniu danych osobowych lub ich zbiorów cech pozwalających na identyfikacje osób fizycznych, których

anonimizowane dane dotyczą.

  1. Osoby przetwarzające dane osobowe w MULTI FINANCE mają obowiązek stosowania oddanych im do dyspozycji narzędzi i technik niszczenia zbędnych danych osobowych lub ich zbiorów.
  2. Naruszanie przez pracowników MULTI FINANCE, upoważnionych do dostępu lub przetwarzania danych osobowych norm postępowania obowiązujących w MULTI FINANCE dotyczących niszczenia zbędnych danych osobowych lub ich zbiorów traktowane będzie jako ciężkie naruszenie podstawowych obowiązków pracowniczych z wszystkimi wynikającym stąd konsekwencjami, z rozwiązaniem stosunku pracy z winy pracownika włącznie.
  3. Kontrola i nadzór nad niszczeniem zbędnych danych osobowych lub ich zbiorów może w

szczególności polegać na wprowadzeniu odpowiednich norm postępowania dotyczących niszczenia danych, a także zlecaniu niszczenia ich wyspecjalizowanym podmiotom zewnętrznym, gwarantującym bezpieczeństwo procesu niszczenia danych odpowiednie do rodzaju nośnika tych danych.

 

Art. 5

Dane osobowe w MULTI FINANCE przetwarzane są w systemie informatycznym znajdującym się następujących nieruchomościach:

  • ul. Mickiewicza 15, Katowice

Dodatkowo dane te przetwarzane są również w siedzibach podmiotów zewnętrznych, które zostały upoważnione do przetwarzania tych danych. 

 

Art. 6

Szczegółowe zasady ochrony danych osobowych przetwarzanych w systemach informatycznych przez MULTI FINANCE określa Instrukcja zarządzania systemem informatycznym służącym do przetwarzania danych osobowych.

 

Art. 7

  1. MULTI FINANCE udostępnia przetwarzane dane osobowe wyłącznie osobom do tego upoważnionym na mocy uregulowań wewnętrznych obowiązujących w tym zakresie na jego obszarze oraz ewentualnie na podstawie umów o powierzenie przetwarzania danych zawartych z podmiotami zewnętrznymi.
  2. Upoważnienie, o którym mowa w art. 7 ust. 1 niniejszej Polityki, wynikać może w szczególności:

1) z charakteru pracy wykonywanej na danym stanowisku pracy, lub

2) z dokumentu określającego zakres obowiązków (zakres czynności) wykonywanych na danym stanowisku pracy, lub

3) z odrębnego dokumentu zawierającego imienne upoważnienie do dostępu do danych osobowych.

 

Art. 8

Dostęp do danych osobowych i ich przetwarzanie bez odrębnego upoważnienia administratora danych osobowych lub upoważnionej przezeń osoby może mieć miejsce wyłącznie w przypadku działań podmiotów upoważnionych na mocy odpowiednich przepisów prawa do dostępu i przetwarzania danych określonej kategorii.

 

Art. 9

Administrator reaguje na incydenty naruszenia bezpieczeństwa danych osobowych w sposób określony w Instrukcji Postępowania z Incydentami, stanowiącą Załącznik do niniejszej Polityki.

 

CZĘŚĆ SZCZEGÓŁOWA

 

Art. 10

  1. Wykaz budynków, pomieszczeń lub części pomieszczeń, tworzących obszar, w którym przetwarzane są dane osobowe:
  2. nieruchomość położona w Katowicach, ul. Mickiewicza 15;

 

  1. Dostęp do budynków i pomieszczeń wskazanych w art. 10 ust.1 niniejszej Polityki, w których przetwarzane są dane osobowe podlega kontroli. Kontrola dostępu polega w szczególności na umożliwianiu dostępu do tych pomieszczeń jedynie osobom upoważnionym bądź innym osobom ale w towarzystwie osób upoważnionych oraz prowadzeniu ewidencji osób pobierających lub zdających klucze do tychże budynków i pomieszczeń. Obszar, o którym mowa w ust. 1 niniejszej Polityki zabezpiecza się przed dostępem osób nieuprawnionych na czas nieobecności w nim osób upoważnionych do przetwarzania danych osobowych. Przebywanie osób nieuprawnionych na tym obszarze jest dopuszczalne za zgodą administratora danych lub w obecności osoby upoważnionej do przetwarzania danych osobowych. 
  2. Administrator stosuję procedurę postępowania z kluczami, stanowiącą Załącznik do Polityki.

 

Art. 11

  1. Wykaz zbiorów danych osobowych wraz ze wskazaniem programów zastosowanych do przetwarzania tych danych:

1) Wykaz zbiorów danych osobowych przetwarzanych w systemach informatycznych:

  1. skrzynka mailowa 
  2. dane pracowników
  3. dane klientów
  4. dane współpracowników
  5. dane powierzone

 

2) Wykaz zbiorów prowadzonych manualnie:

  1. Dokumentacja pracowników
  2. Dokumentacja klientów
  3. Dane rekrutacyjne
  4. Dokumentacja podatkowa
  5. Dokumentacja danych powierzonych
  6. Rejestr korespondencji

 

Art. 12

Środki techniczne i organizacyjne niezbędne dla zapewnienia poufności, integralności i rozliczalności przy przetwarzaniu danych. 

1.MULTI FINANCE przetwarza dane osobowe na podstawie przepisów prawa. Dane osobowe mogą być udostępniane zgodnie z art. 6 RODO lub art. 9 RODO, a także innymi przepisami zastępującymi lub uzupełniającymi te regulacje.

  1. Podejmowane są działania służące zachowaniu ich integralności i rozliczalności przy przetwarzaniu danych osobowych. W celu zapewnienia ochrony danych osobowych stosuje się odpowiednie rozwiązania organizacyjne i techniczne, a w szczególności: 
  1. Budynek MULTI FINANCE objęty jest systemem kontroli dostępu – system ten dotyczy wszystkich podmiotów, które zamierzają wejść na teren obiektu, w tym w szczególności pracowników, dostawców, odbiorców, podmiotów świadczących usługi na rzecz MULTI FINANCE i ich pracowników.
  2. Każdy pracownik lub współpracownik MULTI FINANCE oraz inna osoba przetwarzająca dane przed dopuszczeniem do przetwarzania danych osobowych zobowiązany jest do zapoznania się oraz stosowania przepisów ustawy o ochronie danych osobowych. 
  3. Nieaktualne lub błędne wydruki zawierające dane osobowe niszczone są w niszczarkach. Nieaktualne lub błędne dane osobowe w systemie informatycznym są kasowane. 
  4. Podłączenie sprzętu komputerowego do sieci teleinformatycznej wykonuje Administrator lub wyznaczony profesjonalny podmiot.
  5. W systemie informatycznym służącym do przetwarzania danych osobowych stosuje się mechanizmy kontroli dostępu do tych danych.
  6. W systemie informatycznym rejestrowany jest dla każdego użytkownika odrębny identyfikator.
  7. Dostęp do danych w systemie informatycznym jest możliwy wyłącznie po wprowadzeniu identyfikatora i dokonaniu uwierzytelnienia.
  8. Zasady przetwarzanie danych na komputerach i laptopach służbowych oraz korzystania z nich uregulowane są w Instrukcjach, stanowiących Załączniki do niniejszej Polityki.
  9. Dane przechowywane na nośnikach zewnętrznych powinny być zabezpieczone w następujący sposób: laptopy – logowanie na hasło; pendrive, USB, flashdrive, itp. – szyfrowanie danych albo hasło dostępowe.
  10. Wobec danych tzw. wrażliwych (danych szczególnej kategorii) podejmowane są szczególne środki ostrożności przy ich przetwarzaniu.
  1. System informatyczny służący do przetwarzania danych osobowych zabezpiecza się, w szczególności przed: 

1) nieautoryzowanym dostępem do nich (użytkownik, hasło);

2) działaniem oprogramowania, którego celem jest zabezpieczenie przed uzyskaniem nieuprawnionego dostępu do systemu informatycznego;

3) utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej.

  1. Identyfikator użytkownika, który utracił uprawnienia do przetwarzania danych, nie może być przydzielony innej osobie.
  2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, jego zmiana następuje nie rzadziej niż co 30 dni. 
  3. Dane osobowe przetwarzane w systemie informatycznym zabezpiecza się przez wykonywanie kopii zapasowych zbiorów danych oraz programów służących do przetwarzania danych.
  4. Kopie zapasowe:

1) przechowuje się w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem;

2) usuwa się niezwłocznie po ustaniu ich użyteczności.

  1. Osoba użytkująca komputer przenośny zawierający dane osobowe zachowuje szczególną ostrożność podczas jego transportu, przechowywania i użytkowania poza obszarem, o którym mowa w art. 10 niniejszej Polityki, w tym stosuje środki ochrony kryptograficznej wobec przetwarzanych danych osobowych.
  2. Urządzenia, dyski lub inne elektroniczne nośniki informacji, zawierające dane osobowe, przeznaczone do:

1) likwidacji – pozbawia się wcześniej zapisu tych danych, a w przypadku gdy nie jest to możliwe, uszkadza się w sposób uniemożliwiający ich odczytanie;

2) przekazania podmiotowi nieuprawnionemu do przetwarzania danych – pozbawia się wcześniej zapisu tych danych, w sposób uniemożliwiający ich odzyskanie;

3) naprawy – pozbawia się wcześniej zapisu tych danych w sposób uniemożliwiający ich odzyskanie albo naprawia się je pod nadzorem osoby upoważnionej przez administratora danych.

  1. Administrator danych monitoruje wdrożone zabezpieczenia systemu informatycznego.
  2. W przypadku gdy do uwierzytelniania użytkowników używa się hasła, składa się ono co najmniej z 8 znaków, zawiera małe i wielkie litery oraz cyfry lub znaki specjalne.
  3. Urządzenia i nośniki zawierające dane osobowe, przekazywane poza obszar, o którym mowa w art. 10 niniejszej Polityki, zabezpiecza się w sposób zapewniający poufność i integralność tych danych.
  4. System informatyczny służący do przetwarzania danych osobowych chroni się przed zagrożeniami pochodzącymi z sieci publicznej poprzez wdrożenie fizycznych lub logicznych zabezpieczeń chroniących przed nieuprawnionym dostępem. 
  5. Logiczne zabezpieczenia, o których mowa w ust. 13, obejmują:

1) kontrolę przepływu informacji pomiędzy systemem informatycznym administratora danych a siecią publiczną;

2) kontrolę działań inicjowanych z sieci publicznej i systemu informatycznego administratora danych.

15.Administrator danych stosuje środki kryptograficznej ochrony wobec danych wykorzystywanych do uwierzytelnienia, które są przesyłane w sieci publicznej.

  1. Administrator danych gwarantuje osobom, których dane dotyczą, prawo do dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo do przenoszenia danych, prawo wniesienia sprzeciwu, prawo do cofnięcia zgody w dowolnym momencie bez wpływu na zgodność z prawem przetwarzania (jeżeli przetwarzanie odbywa się na podstawie zgody), którego dokonano na podstawie zgody przed jej cofnięciem;
  2. Administrator danych gwarantuje osobom, których dane dotyczą, prawo do zapomnienia. Prawo to jednakże może być ograniczone wobec pracowników Administratora, a także innych osób, w przypadku konieczności przetwarzania danych w związku z obowiązkami wynikającymi z przepisów prawa lub usprawiedliwionej uzasadnionym interesem Administratora.

 

Art. 13

Szkolenia

  • Każda osoba przed dopuszczeniem do pracy z danymi osobowymi winna być poddana przeszkoleniu i zapoznana z przepisami dotyczącymi ochrony danych osobowych.
  1. Za przeprowadzenie szkolenia odpowiada Administrator, a jeżeli ustanowiony został Inspektor Ochrony Danych Osobowych, to IODO odpowiada za realizowanie obowiązku szkoleniowego. 

Art. 14

Rejestr czynności przetwarzania

  1. W przypadku konieczności prowadzenia rejestru czynności przetwarzania przez Administratora, prowadzi on rejestr zgodny ze wzorem.
  2. W przypadku konieczności prowadzenia rejestru czynności przetwarzania przez Administratora jako Podmiot przetwarzający, prowadzi on rejestr zgodny ze wzorem.

Art. 15

Wzory, wykazy, procedury

Celem wypełnienia wszelkich wymogów prawnych związanych z ochroną danych osobowych, zapewnienia właściwej realizacji wszystkich zasad opisanych w niniejszej Polityce oraz wprowadzenia i właściwego stosowania wszelkich środków technicznych i organizacyjnych zapewniających stosowną ochronę danych osobowych ADO wprowadza do stosowania następujące wzory dokumentów oraz instrukcje/procedury, które stanowią załącznik do niniejszej Polityki.