Procedura obsługi zgłoszeń wewnętrznych

Postanowienia dotyczące ochrony sygnalistów do polityk prywatności i regulacji wewnętrznych

I. Zasady ogólne

1. Podmiot Cybernetics Sp. z o.o. realizuje zadania związane z ochroną sygnalistów, zgodnie z przepisami ustawy z dnia 29 lipca 2023 r. o ochronie sygnalistów (Dz.U. 2023 poz. 1590).

2. Podmiot (dalej Podmiot lub Administrator) jest administratorem danych osobowych w rozumieniu art. 4 pkt 7 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.Urz. UE L 119 z 04.05.2016) – dalej RODO, przetwarzanych w celu realizacji zadań związanych z obsługą zgłoszeń wewnętrznych.

3. Podmiot, po uzyskaniu zgłoszenia, przetwarza je zgodnie z zasadami ochrony danych osobowych, o których mowa w art. 5 RODO, w szczególności zgodnie z zasadą zgodności z prawem, rzetelności i przejrzystości (art. 5 ust. 1 lit. a) RODO) oraz zasady minimalizacji (art. 5 ust. 1 lit. c) RODO), w zakresie niezbędnym do weryfikacji zgłoszenia i podjęcia ewentualnych działań następczych.

II. Obowiązki administratora

1. Administrator stosuje odpowiednie środki organizacyjne i techniczne, o których mowa w art. 32 RODO, zapewniające ochronę danych sygnalisty, osoby, której dotyczy zgłoszenie, osoby trzeciej wskazanej w zgłoszeniu. Administrator zapewnia ochronę poufności danych osobowych sygnalisty, osoby, której dotyczy zgłoszenie, osób wskazanych w zgłoszeniu.

2. Administrator zapewnia, że dostęp do danych osobowych zawartych w zgłoszeniu następuje wyłącznie w odniesieniu do osób upoważnionych przez niego, w formie pisemnej, do przetwarzania danych osobowych, a osoby upoważnione zobowiązały się do zachowania w tajemnicy informacji i danych osobowych uzyskanych w ramach powierzonych zadań związanych z obsługą sygnalistów, tj. przyjmowania, weryfikacji zgłoszeń, podejmowania działań następczych.

3. Administrator informuje wskazanego sygnalistę, osoby, których dotyczy zgłoszenie, osoby wskazane w zgłoszeniu, o zasadach ochrony ich danych osobowych. Klauzule informacyjne dla sygnalisty, osoby wskazanej w zgłoszeniu oraz osoby, której dotyczy zgłoszenie stanowią załącznik do niniejszego dokumentu.

III. Obsługa zgłoszeń wewnętrznych

1. Do przyjmowania zgłoszeń wewnętrznych został/a wyznaczona przez Administratora: Specjalista ds. Compliance/Dział Compliance/Cybernetics Sp. z o.o.

2. Zgłoszenie naruszenia prawa należy składać w następujący sposób:

1) wysłać zgłoszenie na adres email: [email protected]; w zgłoszeniu należy podać dane kontaktowe lub wysłać zgłoszenie anonimowo,

2) wypełnić formularz zawierający zgodę na ujawnienie tożsamości sygnalisty, w przypadku zamiaru jej wyrażenia (wyrażenie zgody jest dobrowolne),

3) zapoznać się z zasadami ochrony danych osobowych sygnalisty, zawartymi w klauzuli informacyjnej dostępnej na stronie internetowej firmy: www.cybernetics.com/rodo

3. Obowiązek uzyskania zgody sygnalisty na ujawnienie jego tożsamości nie dotyczy przypadku, gdy ujawnienie jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy zgłoszenie.

IV. Dostęp do danych w zgłoszeniu

1. Administrator ujawnia dane sygnalisty wyłącznie podmiotom uprawnionym do ich przetwarzania na podstawie przepisów prawa.

2. Dane osobowe mogą być udostępnione podmiotom zewnętrznym wspierającym administratora w zakresie przyjmowania zgłoszeń wewnętrznych, na podstawie umowy powierzenia przetwarzania danych osobowych, określającej w szczególności przedmiot, czas trwania powierzenia, charakter i cel przetwarzania, rodzaj danych osobowych, prawa i obowiązki administratora, zgodnie z art. 28 RODO. Administrator zapewnia, że taki podmiot zostanie zweryfikowany w celu ustalenia, czy zapewnia odpowiedni poziom ochrony danych osobowych w odniesieniu do powierzonego zadania (przyjmowanie zgłoszeń sygnalistów).

3. Dane osobowe będą udostępniane odrębnym administratorom, tj. właściwym organom, w przypadku podejmowania działań następczych i prowadzenia postępowań.

4. Administrator ujawnia dane sygnalisty osobom, których dotyczy zgłoszenie lub osobom trzecim wskazanym w zgłoszeniu, jeżeli sygnalista wyraził zgodę na ujawnienie tożsamości lub jeśli sygnalista nie spełnił wymogów określonych w art. 24 ustawy o ochronie sygnalistów. Ujawnienie dotyczy wniosku tych osób o dostęp do ich danych osobowych przetwarzanych przez administratora.

V. Realizacja praw osób, których dane dotyczą

1. Administrator zapewnia realizację praw osób, których dane są przetwarzane w ramach obsługi zgłoszeń sygnalistów, wskazanych w treści klauzuli informacyjnej kierowanej do sygnalisty, osoby, której dotyczy zgłoszenie oraz osoby wskazanej w zgłoszeniu, z zastrzeżeniem ust. 2.

2. Realizacja niektórych praw osób, których dane dotyczą, następuje z ograniczeniami, o których mowa w art. 27 ust. 2 i 3 ustawy o ochronie sygnalistów:

1) administrator nie informuje osób, których dane są przetwarzane na postawie art. 6 RODO (osoby, której dotyczy zgłoszenie oraz osoby wskazanej w zgłoszeniu) o źródle danych osobowych, chyba, że sygnalista nie spełnia warunków wskazanych w art. 24 ustawy o ochronie sygnalistów albo wyraził wyraźną zgodę na takie przekazanie,

2) w ramach realizacji prawa dostępu do danych osobowych administrator nie przekazuje informacji o źródle danych, chyba że sygnalista nie spełnia warunków wskazanych w art. 24 ustawy o ochronie sygnalistów albo wyraził wyraźną zgodę na takie przekazanie.

VI. Czas przechowywania i usuwanie danych osobowych

1. Dane osobowe, przetwarzane w ramach systemu zgłoszeń wewnętrznych, będą przechowywane przez okres 3 lat od zakończenia roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.

2. Administrator nie zbiera danych osobowych, które nie są niezbędne do rozpatrywania zgłoszenia. Administrator usuwa dane osobowe zebrane przypadkowo.