Polityka prywatności panelu klienta

Administratorem danych osobowych przetwarzanych w panelu klienta jest M&M Finance Group z siedzibą w Warszawie (zwana dalej „Administratorem” lub „Biurem”).

Kontakt w sprawach związanych z ochroną danych osobowych: biuro@mmfg.pl.

Administrator nie wyznaczył Inspektora Ochrony Danych — ze względu na skalę działalności nie jest to wymagane (art. 37 RODO). We wszystkich sprawach dotyczących przetwarzania danych prosimy kontaktować się pod adresem podanym powyżej.

Niniejsza polityka dotyczy przetwarzania danych w panelu internetowym dostępnym pod adresem panel.mmfg.com.pl (zwanym dalej „Panelem”). Polityka prywatności strony firmowej mmfg.com.pl dostępna jest tutaj.

W ramach Panelu przetwarzamy:

• Dane logowania: adres e-mail oraz hasło (przechowywane wyłącznie w postaci nieodwracalnego skrótu bcrypt — nigdy nie widzimy hasła w postaci jawnej).
• Dane profilowe: imię i nazwisko (jeśli uzupełnione), preferencje powiadomień e-mail.
• Dane firmy: nazwa firmy, NIP, adres e-mail kontaktowy, telefon, notatki służbowe.
• Dane finansowo-księgowe: zobowiązania podatkowe (PIT, VAT, CIT, ZUS), kwoty, terminy płatności, numery kont bankowych do przelewów, dane sprzedażowe (przychód, koszty), historia płatności.
• Dane techniczne: adres IP, typ przeglądarki, identyfikator sesji (cookie HttpOnly), data i godzina logowania — wykorzystywane wyłącznie do uwierzytelnienia i bezpieczeństwa.

Źródło danych: dane podajesz nam Ty samodzielnie (przy zakładaniu konta i logowaniu) lub pochodzą one od klienta-pracodawcy będącego administratorem danych swoich pracowników i kontrahentów (art. 14 RODO).

Dobrowolność podania danych: podanie adresu e-mail i hasła jest dobrowolne, ale niezbędne do korzystania z Panelu. Podanie danych firmy i danych księgowych wynika z obowiązków ustawowych Biura Rachunkowego — bez nich nie jest możliwe świadczenie usług księgowych.

Dane przetwarzamy w celu świadczenia usług księgowych objętych umową z klientem oraz w celach wynikających z obowiązków prawnych Biura jako podmiotu prowadzącego księgi rachunkowe.

Podstawy prawne przetwarzania (RODO art. 6):

• art. 6 ust. 1 lit. b — wykonanie umowy o świadczenie usług księgowych
• art. 6 ust. 1 lit. c — obowiązek prawny ciążący na Administratorze (m.in. ustawa o rachunkowości, ordynacja podatkowa)
• art. 6 ust. 1 lit. f — prawnie uzasadniony interes Administratora w zakresie bezpieczeństwa Panelu, dochodzenia roszczeń i obrony przed roszczeniami

Aby świadczyć usługi w Panelu, korzystamy z usług wybranych dostawców technologicznych. Z każdym z nich podpisana jest umowa powierzenia przetwarzania danych (DPA) zgodna z RODO art. 28:

Dane mogą być również udostępnione organom państwowym (US, ZUS, urząd skarbowy, prokuratura) wyłącznie na podstawie obowiązujących przepisów prawa.

• Dane księgowe i finansowe: 5 lat, licząc od początku roku następującego po roku obrotowym, którego dane dotyczą — zgodnie z ustawą o rachunkowości (art. 74) oraz ordynacją podatkową (art. 86 § 1).
• Dane konta i logowania: przez okres obowiązywania umowy + okres niezbędny do dochodzenia roszczeń (zwykle 3 lata po zakończeniu współpracy).
• Logi techniczne (IP, sesje): 90 dni od ostatniego logowania.

Po upływie tych okresów dane są nieodwracalnie usuwane lub anonimizowane.

Zgodnie z RODO przysługują Ci następujące prawa, z których możesz skorzystać kontaktując się z nami pod adresem biuro@mmfg.pl:

• Dostęp do swoich danych (art. 15)
• Sprostowanie nieprawidłowych danych (art. 16)
• Usunięcie danych — z zastrzeżeniem obowiązków prawnych Biura w zakresie przechowywania dokumentacji księgowej (art. 17)
• Ograniczenie przetwarzania (art. 18)
• Przeniesienie danych (art. 20)
• Sprzeciw wobec przetwarzania opartego na uzasadnionym interesie (art. 21)
• Skarga do organu nadzorczego — Prezes Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa

Termin odpowiedzi: odpowiadamy na żądania bez zbędnej zwłoki, najpóźniej w ciągu 1 miesiąca od otrzymania wniosku. W szczególnie skomplikowanych przypadkach termin ten może zostać przedłużony o kolejne 2 miesiące — w takiej sytuacji poinformujemy Cię o tym wraz z uzasadnieniem (art. 12 ust. 3 RODO).

Weryfikacja tożsamości: przed realizacją wniosku możemy poprosić o dodatkowe informacje pozwalające zidentyfikować osobę, której dane dotyczą — aby uniknąć udostępnienia danych osobie nieuprawnionej. Najczęściej wystarczy potwierdzenie wniosku z adresu e-mail przypisanego do konta w Panelu.

W Panelu nie stosujemy profilowania ani zautomatyzowanego podejmowania decyzji w rozumieniu art. 22 RODO. Żadne decyzje wywołujące skutki prawne (np. dotyczące rozliczeń podatkowych, wysokości zobowiązań, akceptacji usługi) nie są podejmowane automatycznie — każda decyzja księgowa wymaga udziału człowieka.

Algorytmy w Panelu ograniczają się do prostych obliczeń arytmetycznych (suma zobowiązań, % zmiany przychodu miesiąc do miesiąca) i wyświetlania danych — nie oceniają Twojej sytuacji ani nie wyciągają wniosków behawioralnych.

Co do zasady dane przetwarzamy wyłącznie na terenie Europejskiego Obszaru Gospodarczego (EOG) — baza danych Supabase znajduje się we Frankfurcie (Niemcy), a serwer poczty Resend w Irlandii.

Wyjątkiem jest hosting aplikacji panelowej (Vercel Inc., USA), w przypadku którego transfer danych do państwa trzeciego odbywa się na podstawie:

• Standardowych Klauzul Umownych (SCC) zatwierdzonych decyzją Komisji Europejskiej 2021/914
• Data Privacy Framework (DPF) — Vercel jest zarejestrowany na liście podmiotów objętych decyzją adekwatności UE-USA z 10 lipca 2023 r.

Kopię stosowanych zabezpieczeń możesz uzyskać kontaktując się z Administratorem.

Stosowane zabezpieczenia:

• Szyfrowanie SSL/TLS(HTTPS) całej komunikacji między przeglądarką a serwerem (certyfikat Let's Encrypt)
• Hasła hashowane bcryptem z solą — nigdy nie przechowywane w postaci jawnej
• Izolacja na poziomie bazy danych (Row Level Security w PostgreSQL) — każdy klient widzi wyłącznie swoje dane, niezależnie od ścieżki dostępu
• Cookies sesyjne HttpOnly + Secure + SameSite — niedostępne dla skryptów przeglądarki
• Logowanie tylko po nawiązaniu HTTPS — brak fallbacku na HTTP
• Reset hasła wyłącznie przez jednorazowy link e-mail ważny przez 60 minut
• Konto administratora chronione dwuskładnikowym uwierzytelnianiem (2FA — TOTP)

Mimo zachowania wysokich standardów żadne zabezpieczenie nie jest absolutne — w przypadku stwierdzenia naruszenia ochrony danych powiadomimy zarówno organ nadzorczy (PUODO) w ciągu 72 godzin od stwierdzenia, jak i osoby, których dane dotyczą — bez zbędnej zwłoki, gdy naruszenie może powodować wysokie ryzyko dla ich praw lub wolności (art. 33–34 RODO).

Zgłoszenie podejrzenia incydentu: jeśli zauważysz coś niepokojącego (np. logowanie z nieznanego miejsca, podejrzane wiadomości podszywające się pod Panel, wyciek danych do osób nieuprawnionych) — zgłoś to niezwłocznie pod adresem biuro@mmfg.pl z dopiskiem „INCYDENT". Każde zgłoszenie zostanie rozpatrzone w pierwszej kolejności.

Panel używa wyłącznie cookies technicznych niezbędnych do działania serwisu (uwierzytelnienie sesji, zapamiętanie wybranej spółki w przypadku użytkowników z dostępem do wielu firm).

Nie używamy cookies analitycznych, marketingowych ani trackingowych. Nie korzystamy z Google Analytics, Facebook Pixel ani podobnych narzędzi.

Polityka może być aktualizowana — o istotnych zmianach poinformujemy klientów drogą e-mailową. Każda wersja oznaczona jest datą ostatniej aktualizacji w nagłówku niniejszego dokumentu.

W sprawach związanych z przetwarzaniem danych osobowych lub niniejszą polityką, skontaktuj się z nami:

• E-mail: biuro@mmfg.pl
• Strona firmowa: mmfg.com.pl