PROCEDURA ZGŁASZANIA NARUSZEŃ

§ 1

1. Naruszeniem, które może być przedmiotem zgłoszenia, jest działanie lub zaniechanie niezgodne
   z prawem lub mające na celu obejście prawa dotyczące:
   
   1. korupcji;
   2. zamówień publicznych;
   3. usług, produktów i rynków finansowych;
   4. przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu;
   5. bezpieczeństwa produktów i ich zgodności z wymogami;
   6. bezpieczeństwa transportu;
   7. ochrony środowiska;
   8. ochrony radiologicznej i bezpieczeństwa jądrowego;
   9. bezpieczeństwa żywności i pasz;
   10. zdrowia i dobrostanu zwierząt;
   11. zdrowia publicznego;
   12. ochrony konsumentów;
   13. ochrony prywatności i danych osobowych;
   14. bezpieczeństwa sieci i systemów teleinformatycznych;
   15. interesów finansowych skarbu państwa Rzeczypospolitej Polskiej oraz Unii Europejskiej;
   16. rynku wewnętrznego Unii Europejskiej, w tym publiczno-prawnych zasad konkurencji
       i pomocy państwa oraz opodatkowania osób prawnych,
   17. konstytucyjnych wolności i praw człowieka i obywatela – występujące w stosunkach jednostki
       z organami władzy publicznej i niezwiązane z dziedzinami wskazanymi w pkt 1–16 powyżej.
       
       
2. Osoba dokonująca zgłoszenia może również zgłosić naruszenia standardów etycznych. 

§ 2

1. Osoba, która chce dokonać zgłoszenia (dalej również: Sygnalista) może to zrobić
   w następujących formach:
   1. elektronicznej za pomocą dedykowanej skrzynki mailowej o adresie:
      naruszenia@mfaktoring.pl,
   2. tradycyjnej listownie (z dopiskiem: zgłoszenie naruszenia lub jakimkolwiek innym
      jednoznacznie wskazującym na zawartość przesyłki, z adnotacją „do rąk własnych”) na adres
      siedziby mFaktoring S.A.: ul. Prosta 18, 00-850 Warszawa (dalej: spółka),
   3. ustnej:
      1. telefonicznie pod numerami Zespołu Compliance: 602 552 101 albo 451 177 907
         (połączenia nie są nagrywane),
      2. bezpośrednio.
2. Zgłoszenia mogą być dokonywane w języku polskim.
3. Zgłoszenie może zostać dokonane w sposób anonimowy. Zgłoszenie dokonane za pomocą
   skrzynki mailowej, nawet jeśli dokonane ze spersonalizowanego adresu mailowego
   zgłaszającego, gwarantuje zgłaszającemu anonimowość, jeśli wyrazi on taką wolę i poinformuje
   o tym spółkę. Sygnalista może założyć anonimową skrzynkę poczty elektronicznej, z której wyśle
   zgłoszenie na wskazany powyżej adres. Otrzyma na nią informację zwrotną na temat działań
   podjętych w wyniku jego zgłoszenia i będzie mógł przekazać dodatkowe informacje.
4. W celu umożliwienia przeprowadzenia obiektywnego postępowania zaleca się, aby osoba
   dokonująca zgłoszenia zawarła w jego treści:
   1. krótki opis sprawy będącej przedmiotem zgłoszenia,
   2. termin/ okres, w którym wystąpiło/występowało naruszenia objęte zgłoszeniem,
   3. dane osób, które mają lub mogłyby mieć związek ze sprawą, której dotyczy zgłoszenie,
   4. dane osoby dokonującej zgłoszenia umożliwiające osobie prowadzącej postępowanie kontakt
      zwrotny, w tym preferowany przez osobę dokonującą zgłoszenia sposób kontaktu zwrotnego
      zapewniający zachowanie zasady poufności,
   5. wszelkie informacje, które mogą mieć związek ze zgłoszeniem, w tym dokumenty, maile lub
      inne źródła.

§ 3

1. Spółka potwierdza osobie dokonującej zgłoszenia przyjęcie zgłoszenia w terminie 7 dni od dnia jego
   otrzymania, chyba że Sygnalista nie podał danych do kontaktu, z wykorzystaniem których należy
   przekazać informację zwrotną.
2. Wszystkie zgłoszenia podlegają wnikliwej analizie i są prowadzone z należytą rzetelnością,
   bezstronnością oraz z zachowaniem poufności, w tym poufności danych osobowych.
3. Spółka może zwrócić się do osoby dokonującej zgłoszenia o przekazanie informacji wyjaśniających.
4. Spółka przekazuje osobie dokonującej zgłoszenia informację zwrotną w terminie
   nieprzekraczającym 3 miesięcy od potwierdzenia przyjęcia zgłoszenia lub, w przypadku
   nieprzekazania potwierdzenia osobie dokonującej zgłoszenia, 3 miesięcy od upływu 7 dni od
   dokonania zgłoszenia, chyba że osoba ta nie podała danych do kontaktu, z wykorzystaniem których
   należy przekazać informację zwrotną.
5. Wyniki postępowania wyjaśniającego wraz z dokumentacją stanowią informacje poufne (chronione)
   są archiwizowane oraz przechowywane przez spółkę przez okres 3 lat od daty zakończenia
   postępowania.

§ 4

1. Zgłoszenia powinny być dokonywane w dobrej wierze, aby uniknąć umyślnego skrzywdzenia kogoś
   innego.
2. Nie wolno stosować działań odwetowych wobec osoby dokonującej zgłoszenia, która
   w dobrej wierze zgłasza podejrzenie popełnienia naruszenia, nawet wtedy, gdy informacje nie
   zostaną potwierdzone w toku postępowania wyjaśniającego.
3. Każde zgłoszenie jest rozpatrywane w sposób poufny i podlega ochronie. Ochrona poufności
   dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować
   tożsamość osoby dokonującej zgłoszenia. Dane osobowe Sygnalisty oraz inne dane pozwalające
   na ustalenie jego tożsamości nie podlegają ujawnieniu, chyba że Sygnalista wyrazi zgodę na
   ujawnienie jego danych. 

§ 5

1. Podanie danych osobowych i ujawnienie tożsamości przez osobę zgłaszającą naruszenie jest
   dobrowolne i nie jest konieczne do dokonania zgłoszenia. Spółka nie wymaga od zgłaszającego
   naruszenie podania jego danych osobowych. Osoba zgłaszająca może zatem dokonać zgłoszenia
   w sposób anonimowy. Podając dane osobowe może także złożyć oświadczenie zezwalające na
   ujawnienie swojej tożsamości innym osobom, zgodnie z art. 8 ust. 1 ustawy z dnia 14.06.2024 r.
   o ochronie sygnalistów. Jeśli osoba zgłaszająca tego nie zrobi, spółka będzie przetwarzała dane
   osobowe z zachowaniem ich poufności.
2. W przypadku, gdy osoba zgłaszająca naruszenie decyduje się na dobrowolne podanie swoich
   danych osobowych lub gdy spółka zebrała dane osobowe z innych źródeł lub dotyczą innych osób
   np. poszkodowanych, sprawców lub świadków, będziemy te dane przetwarzać zgodnie z poniższą
   informacją:
   
   1. Administratorem danych osobowych jest mFaktoring S.A. z siedzibą w Warszawie (00-850),
      przy ul. Prostej 18.
   2. Spółka powołała Inspektora Ochrony Danych, z którym można skontaktować się pod ww.
      adresem lub elektronicznie poprzez wysłanie wiadomości e-mail na adres:
      inspektordanychosobowych@mfaktoring.pl.
   3. Dane będą przetwarzane w związku z prowadzonym postępowaniem zainicjowanym
      zgłoszeniem naruszenia lub potencjalnego naruszenia prawa lub obowiązujących w spółce
      standardów („naruszenie”) w celu:
      
      1. wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit c) RODO
         w zw. z art. 8 ust. 4 i 8 ustawy z dnia 14.06.2024 r. o ochronie sygnalistów),
      2. komunikacji z osobą zgłaszającą naruszenia oraz odpowiedzi na zgłoszenie, jeśli osoba ta
         podała dane kontaktowe, a także ewentualnej komunikacji ze świadkami lub sprawcą
         naruszenia (art. 6 ust. 1 lit. f) RODO).
      3. dochodzenia ewentualnych roszczeń przysługujących spółce lub w stosunku do spółki oraz
         obrony przed nimi (art. 6 ust. 1 lit f) lub art. 9 ust. 2 lit. f) RODO).
   4. Dane osobowe nie będą podlegały zautomatyzowanemu podejmowaniu decyzji, w tym
      profilowaniu.
   5. Podanie danych przez osobę dokonującą zgłoszenia jest dobrowolne. Podanie danych
      osobowych przez pozostałe osoby, których dane przetwarzamy w związku z prowadzonym
      postępowaniem jest niezbędne dla realizacji powyżej wskazanych celów.
   6. Dane osoby, która dokonała zgłoszenia w sprawie naruszenia (nie w sposób anonimowy),
      spółka będzie przetwarzała co do zasady w zakresie: imię i nazwisko, dane kontaktowe oraz
      inne dane zawarte w przesłanym zgłoszeniu. Wówczas dane te będą pochodziły bezpośrednio
      od osoby dokonującej zgłoszenia. W wyniku prowadzonych czynności spółka może jednak
      zebrać również samodzielnie dane osobowe np. od świadków lub od sprawcy zdarzenia
      w związku z udzielonymi przez nich wyjaśnieniami lub z analizowanych przez spółkę
      dokumentów.
      Dane osoby, której zarzuca się naruszenie (osoba, której zgłoszenie dotyczy) są przetwarzane
      przez spółkę w zakresie określonym w zgłoszeniu i przekazane spółce przez osobę, która
      dokonała zgłoszenia oraz dane, jakie zostaną zebrane samodzielnie od świadków zdarzenia,
      innych podmiotów lub instytucji lub ustalone w oparciu o działania własne.
   7. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, spółka będzie usuwała
      lub dane te będą podlegały anonimizacji w terminie nie później niż 14 dni od momentu ustalenia
      przez spółkę, że są one nadmiarowe.
   8. Dane osoby dokonującej zgłoszenia naruszenia (w sposób nie anonimowy) spółka będzie
      przetwarzała przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano
      zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub
      zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi
      działaniami. W sytuacji, gdy konieczne będzie przetwarzanie danych osobowych na dalszym
      etapie prowadzonego postępowania w oparciu o prawnie uzasadnione cele spółki, w tym
      dochodzenie lub obrona przed roszczeniami, spółka będzie te dane przetwarzała przez czas
      realizacji tych celów nie dłużej niż do czasu przedawnienia roszczeń wynikających
      z powszechnie obowiązujących przepisów prawa.
      Dane osoby, której zarzuca się naruszenie lub świadka zdarzenia spółka będzie przetwarzała
      przez okres niezbędny do realizacji powyższych celów, tj. przez okres 3 lat po zakończeniu roku
      kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego
      właściwego do podjęcia działań następczych lub zakończono działania następcze lub po
      zakończeniu postępowań zainicjowanych tymi działaniami, a w przypadku powstania roszczeń
      do czasu przedawnienia roszczeń wynikających z powszechnie obowiązujących przepisów
      prawa.
   9. Spółka zapewnia poufność danych w związku z prowadzonym postępowaniem lub otrzymanym
      zgłoszeniem. W związku z tym dane będą udostępnione podmiotom jedynie, gdy:
      
      1. obowiązek ich przekazania wynika z przepisów prawa,
      2. jest to prawnie uzasadniony interes spółki lub podmiotu trzeciego,
      3. zostanie udzielona na to zgoda.
         W szczególności odbiorcami danych osobowych mogą być podmioty upoważnione na
         podstawie przepisów prawa, podmioty świadczące na rzecz spółki usługi na podstawie
         stosownych umów powierzenia przetwarzania danych osobowych lub wspierające działania
         spółki, w szczególności kancelarie prawne, podatkowe, firmy consultingowe, audytorzy, biegli
         rewidenci, firmy wspierające spółkę w archiwizacji i niszczeniu nośników danych, dostarczające
         rozwiązania IT lub świadczące obsługę IT, jak również firmy windykacyjne.
   10. Każdej osobie przysługuje prawo wniesienia skargi do organu nadzorczego, którym jest Prezes
       Urzędu Ochrony Danych Osobowych. Osobie, której dane dotyczą na warunkach
       przewidzianych w RODO przysługuje prawo dostępu do treści swoich danych oraz prawo ich
       sprostowania, usunięcia, ograniczenia przetwarzania, prawo wniesienia sprzeciwu wobec
       przetwarzania danych (wówczas spółka przestanie przetwarzać dane w tych celach, chyba że
       będzie w stanie wykazać, że w stosunku do tych danych istnieją dla spółki ważne prawnie
       uzasadnione podstawy, które są nadrzędne wobec interesów, praw i wolności osoby, której
       dane dotyczą lub dane będą spółce niezbędne do ewentualnego ustalenia, dochodzenia lub
       obrony roszczeń).
       Zgłoszenia dotyczące skorzystania z przysługującego prawa będą rozpatrywane bez zbędnej
       zwłoki, w terminie nie dłuższym niż 30 dni od otrzymania przez nas zgłoszenia, a w sprawach
       skomplikowanych lub z uwagi na liczbę przekazanych żądań termin ten może ulec wydłużeniu
       do 90 dni.
       Z powyższych praw można skorzystać za pośrednictwem poczty elektronicznej pod adresem:
       inspektordanychosobowych@mfaktoring.pl, a także korespondencyjnie pod adresem siedziby
       spółki wskazanym powyżej.

§6

Do niniejszej Procedury zastosowanie mają przepisy ustawy z dnia 14.06.2024 r. o ochronie
sygnalistów