Procedura zgłoszeń wewnętrznych w zakresie obsługi sygnalistów

I. Zakres przedmiotowy i podmiotowy Procedury

1. Procedura zgłoszeń wewnętrznych w zakresie obsługi sygnalistów, zwana dalej Procedurą, reguluje zasady zgłaszania informacji o naruszeniach prawa i podejmowania działań następczych. Procedura stanowi realizację przepisu art. 8 ust. 1 Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii oraz art. 24 i n. ustawy z dnia 17 grudnia 2021 r. o ochronie sygnalistów.

2. Zakresem podmiotowym Procedury objęci są sygnaliści, czyli osoby fizyczne, zgłaszające lub ujawniające publicznie informację o naruszeniu prawa pozyskaną w kontekście związanym z pracą, w tym:

1) pracowników;

2) zleceniobiorców;

3) osoby świadczące pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej;

4) stażystów;

5) wolontariuszy;

6) praktykantów;

7) osób ubiegających się o pracę;

8) kontrahentów;

9) członkowie organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej;

10) osoby świadczące pracę pod nadzorem i kierownictwem pracownika, zleceniobiorcy lub wolontariusza;

11) akcjonariuszy;

12) funkcjonariuszy w rozumieniu art. 1 ust. 1 ustawy z dnia 18 lutego 1994 r. o zaopatrzeniu emerytalnym funkcjonariuszy Policji, Państwowej Straży Pożarnej, Służby Więziennej, Służby Celno-Skarbowej, Straży Granicznej, Agencji Bezpieczeństwa Wewnętrznego, Agencji Wywiadu, Służby Kontrwywiadu Wojskowego, Służby Wywiadu Wojskowego, Centralnego Biura Antykorupcyjnego, Inspekcji Transportu Drogowego i Służby Ochrony Państwa oraz ich rodzin (Dz. U. z 2023 r. poz. 1538, 1644 i 1649);

13) żołnierzy w rozumieniu art. 2 pkt 14 ustawy z dnia 11 marca 2022 r. o obronie Ojczyzny (Dz. U. z 2022 r. poz. 655 i 855),

14) osoby fizycznej, w przypadku zgłoszenia lub ujawnienia publicznego informacji o naruszeniu prawa uzyskanej w kontekście związanym z pracą przed nawiązaniem stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji w podmiocie prawnym lub na rzecz tego podmiotu, lub pełnienia służby w podmiocie prawnym lub już po ich ustaniu.

3. Na podstawie niniejszej Procedury następuje zgłaszanie naruszeń w ramach obszarów dotyczących:

1) zamówień publicznych;

2) ochrony środowiska;

3) bezpieczeństwa żywności;

4) bezpieczeństwa produktów;

5) transportu;

6) ochrony konsumentów;

7) prywatności i ochrony danych osobowych;

8) usług finansowych;

9) bezpieczeństwa rynku finansowego;

10) zapobiegania praniu pieniędzy i finansowaniu terroryzmu;

11) bezpieczeństwa i higieny pracy;

12) zdrowia publicznego;

13) podatku od towarów i usług;

14) podatku dochodowego od osób prawnych;

15) interesów finansowych Unii Europejskiej;

16) ochrony konkurencji i pomocy publicznej;

17) prawa spółek;

18) informacji o naruszeniach dotyczących obowiązujących regulacji wewnętrznych lub standardów etycznych.

II. Podstawowe pojęcia

Pojęcia występujące w Procedurze posiadają znaczenie wskazane poniżej.

1) działanie następcze – należy przez to rozumieć działanie podjęte przez podmiot prawny lub organ publiczny w celu oceny prawdziwości informacji zawartych w zgłoszeniu oraz w celu przeciwdziałania naruszeniu prawa będącemu przedmiotem zgłoszenia, w szczególności przez przeprowadzenie postępowania wyjaśniającego, wszczęcie kontroli lub postępowania administracyjnego, złożenie zawiadomienia o podejrzeniu popełnienia przestępstwa, działanie podjęte w celu usunięcia uchybień lub zapobieżenia im w ramach wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych lub procedury przyjmowania zgłoszeń zewnętrznych i podejmowania działań następczych;

2) działanie odwetowe – należy przez to rozumieć bezpośrednie lub pośrednie działanie lub zaniechanie w kontekście związanym z pracą, które jest spowodowane zgłoszeniem lub ujawnieniem publicznym i które narusza lub może naruszyć prawa sygnalisty lub wyrządza lub może wyrządzić szkodę majątkową lub niemajątkową sygnaliście, w tym bezpodstawne inicjowanie postępowania dyscyplinarnego przeciwko sygnaliście;

3) informacja o naruszeniu prawa – należy przez to rozumieć informację, w tym uzasadnione podejrzenie dotyczące zaistniałego lub potencjalnego naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie w podmiocie prawnym, w którym sygnalista świadczy pracę lub w trakcie negocjacji poprzedzających zawarcie umowy, świadczy usługi lub pełni funkcję, lub w innym podmiocie prawnym, z którym sygnalista utrzymuje lub utrzymywał kontakt w kontekście związanym z pracą, lub informację dotyczącą próby ukrycia naruszenia prawa;

4) informacja zwrotna – należy przez to rozumieć przekazaną sygnaliście informację na temat planowanych lub podjętych działań następczych i powodów takich działań;

5) kontekst związany z pracą – należy przez to rozumieć przeszłe, obecne lub przyszłe działania związane z wykonywaniem pracy na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji w podmiocie prawnym lub na rzecz tego podmiotu, lub pełnienia służby w podmiocie prawnym, w ramach których uzyskano informację o naruszeniu prawa oraz istnieje możliwość poniesienia negatywnych konsekwencji;

6) osoba, której dotyczy zgłoszenie – należy przez to rozumieć osobę fizyczną, osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, której ustawa przyznaje zdolność prawną, wskazaną w zgłoszeniu lub ujawnieniu publicznym jako osoba, która dopuściła się naruszenia prawa, lub jako osoba, z którą osoba, która dopuściła się naruszenia prawa, jest powiązana;

7) osoba pomagająca w dokonaniu zgłoszenia – należy przez to rozumieć inną osobę, która udziela sygnaliście wsparcia w zgłoszeniu lub ujawnieniu publicznym w kontekście związanym z pracą i której pomoc nie powinna zostać ujawniona;

8) osoba powiązana z sygnalistą – należy przez to rozumieć osobę, która może ponieść negatywne konsekwencje, w tym przełożonego lub rodzeństwo sygnalisty w rozumieniu art. 115 § 11 ustawy z dnia 6 czerwca 1997 r. – Kodeks karny (Dz. U. z 2022 r. poz. 1855);

9) administrator – należy przez to rozumieć administratora danych osobowych w rozumieniu art. 4 pkt 7) RODO, tj. Firma Przykładowa Sp. z o.o. /dane podmiotu/

10) RODO – należy przez to rozumieć rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz.U. UE. L. Nr 119, s. 1 ze zm.).

III. Sposób dokonywania zgłoszeń

1. Zgłoszenia naruszenia można dokonywać:

1) pisemnie z wykorzystaniem formularza zgłoszenia (załącznik nr 1 do Procedury), formularz należy przekazać do Inspektora Ochrony Danych, wyznaczonego w sposób określony w pkt IV Procedury,

2) osobiście, tj. ustnie do protokołu zgłoszenia, który zostanie sporządzony z wykorzystaniem formularza zgłoszenia przez wyznaczonego pracownika,

3) listownie z adnotacją „do rąk własnych…” /należy wskazać Inspektora Ochrony Danych lub wyznaczone do przyjmowania zgłoszeń i oznaczyć dział kadr, należy podać ul. Kwiatowa 1, 00-000 Kwiatowo/

2. Zgłoszenie w szczególności powinno zawierać:

1) dane osobowe zgłaszającego pozwalające na ustalenie jego tożsamości, tj.: imię, nazwisko, stanowisko, adres zamieszkania (o ile zgłoszenie nie jest anonimowe);

2) dane kontaktowe do celów informowania sygnalisty o etapach procedowania zgłoszenia i ewentualnych wyjaśnień lub uzupełnień;

3) datę dokonania zgłoszenia i pozyskania informacji o naruszeniu;

4) dane osoby lub osób, której zgłoszenie dotyczy, osób mających związek z naruszeniem i świadków;

5) opis naruszenia;

6) określenie przepisów właściwych regulacji wewnętrznych, przepisów prawa lub standardów, do których odnosi się zgłoszenie;

7) opis okoliczności, w których zgłaszający dowiedział się o naruszeniu;

8) inne okoliczności mające znaczenie dla sprawy.

3. Zgłoszenia anonimowe zawierają informacje wskazane w pkt 2 powyżej, z pominięciem danych osobowych zgłaszającego. Zgłoszenia anonimowe składane są w analogiczny sposób, jak wskazane w pkt III.1. Jeżeli sygnalista nie poda adresu e-mail, nie otrzyma potwierdzenia przyjęcia zgłoszenia i nie będzie informowany o podejmowanych działaniach dotyczących zgłoszenia.

IV. Osoby wyznaczone do przyjmowania zgłoszeń

1. Firma Przykładowa Sp. z o.o. /dane podmiotu/ wyznacza bezstronne osoby do przyjmowania zgłoszeń: Jan Kowalski /dane osoby/osób/

2. Dostęp do zgłoszeń będą posiadać wyłącznie osoby uprawnione, w zakresie niezbędnym do wykonania powierzonych zadań.

3. Administrator upoważnia osoby wyznaczone do przyjmowania zgłoszeń, zgodnie z obowiązującymi wewnętrznymi regulacjami z zakresu polityki bezpieczeństwa i ochrony danych osobowych. Nadane upoważnienia określają szczegółowy zakres czynności, do wykonywania których będzie upoważniona wyznaczona osoba.

4. Wyznaczone osoby, o których mowa w pkt 1 powyżej zobowiązane są do:

1) potwierdzenia przyjęcia zgłoszenia; potwierdzenie powinno nastąpić w terminie 7 dni od dnia jego otrzymania, chyba że sygnalista nie podał adresu e-mail, na który należy przekazać potwierdzenie;

2) prowadzenia rejestru zgłoszeń;

3) zwrócenia się do sygnalisty w przypadku wątpliwości co do właściwej oceny przedmiotu naruszenia, w celu uzupełniania przekazanych informacji;

4) zachowania poufności danych sygnalisty;

5) udzielenia informacji zwrotnej, w terminie nie dłuższym niż 3 miesiące od dnia przyjęcia zgłoszenia, lub – w przypadku przedłużenia terminu rozpatrzenia zgłoszenia, 3 miesiące od upływu 3 miesięcy od dnia przyjęcia zgłoszenia, chyba że sygnalista nie podał adresu e-mail, na który należy przekazać informację zwrotną;

6) ujawnienia tożsamości sygnalisty, jeżeli sygnalista wyrazi taką zgodę i ujawnienie tożsamości jest niezbędne dla wyjaśnienia zgłoszenia;

7) ochrony danych osobowych sygnalisty;

8) ochrony danych osobowych osób, których dane dotyczą, wskazanych w zgłoszeniu;

9) przestrzegania postanowień niniejszej Procedury.

V. Rejestr zgłoszeń wewnętrznych

1. Firma Przykładowa prowadzi rejestr zgłoszeń wewnętrznych, dalej: rejestr. Wpisów w rejestrze dokonuje osoba wyznaczona, wskazana w pkt IV.1.

2. Wpisy w rejestrze dokonywane są w sposób zapewniający poszanowanie zasad ochrony danych osobowych. Osoba dokonująca wpisów zapewnia przechowywanie rejestru w sposób zabezpieczający go przed nieuprawnionym dostępem oraz przypadkowym zniszczeniem.

3. Rejestr prowadzony jest w formie elektronicznej.

4. W rejestrze utrwalane są następujące informacje: numer zgłoszenia; przedmiot naruszenia prawa; dane sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób; adres e-mail; data zgłoszenia; informację o podjętych działaniach następczych; data zakończenia sprawy.

5. Dane osobowe w Rejestrze zgłoszeń wewnętrznych przechowuje się przez okres 5 lat po zakończeniu roku kalendarzowego, w którym złożono zawiadomienie do właściwego organu lub dokonano ujawnienia publicznego, lub po zakończeniu postępowań zainicjowanych tymi działaniami. Usuwania danych z rejestru dokonuje osoba wyznaczona do obsługi zgłoszeń sygnalistów.

VII. Rozpatrywanie zgłoszenia

1. W celu rozpatrzenia zgłoszenia wewnętrznego, Firma Przykładowa powołuje Komisję ds. rozpatrywania zgłoszeń sygnalistów, dalej: Komisja, której zadaniem jest zbadanie zgłoszenia.

2. Firma Przykładowa powołuje skład Komisji, kierując się wymogiem włączenia w skład Komisji osób bezstronnych. Członkiem komisji nie może być: sygnalista, osoba, której dotyczy zgłoszenie, osoba wskazana w treści zgłoszenia, osoby związane służbowo lub prywatnie z sygnalistą, osobą, której dotyczy zgłoszenie lub osobą wskazaną w treści zgłoszenia, osoba uczestnicząca w postępowaniu wyjaśniającym związanej ze zgłoszeniem. Członkiem Komisji nie może być także osoba, której udział w rozpatrywaniu zgłoszenia mógłby wywołać wątpliwości co do jej bezstronności.

3. Komisja uprawniona jest do:

1) dostępu do dokumentów i informacji niezbędnych do przeprowadzenia postępowania wyjaśniającego,

2) żądania wyjaśnień od pracowników, zleceniobiorców i współpracowników podmiotu;

3) dostępu do systemów informatycznych i infrastruktury technicznej, w tym komputerów, telefonów i nośników danych w zakresie niezbędnym do wyjaśnienia zgłoszenia oraz przy poszanowaniu zasad ochrony danych osobowych i ochrony tajemnicy przedsiębiorstwa,

4) przeprowadzenia postępowania wyjaśniającego, w zakresie związanym z treścią zgłoszenia

5) zwrócenia się do biegłych w celu uzyskania informacji wyjaśniających.

4. Komisja włącza Inspektora Ochrony Danych w rozpoznawanie zgłoszenia, w szczególności, w zakresie dotyczącym ochrony danych osobowych, sposobu ich pozyskania lub udostępnienia.

5. Po przeprowadzeniu postępowania wyjaśniającego, Komisja sporządza raport, który przekazuje Prezesowi Zarządu Firmy Przykładowej. Raport zawiera informacje dotyczące zgłoszenia oraz plan działań następczych, w tym: zarchiwizowanie zgłoszenia (w wypadku niepotwierdzenia się zgłoszenia), wszczęcie postępowania dyscyplinarnego, skierowanie sprawy do sądu, złożenie zawiadomienia o podejrzeniu popełnienia przestępstwa, wprowadzenie zmian w procedurach wewnętrznych, złożenie zawiadomienia do właściwych organów, przekazanie informacji do odpowiedniego urzędu.

6. Decyzję o podjęciu stosownych działań następczych podejmuje Prezes Zarządu Firmy Przykładowej.

VIII. Ochrona danych osobowych

1. Firma Przykładowa jest administratorem danych osobowych w rozumieniu art. 4 pkt 7) RODO, które przetwarza w związku z obsługą zgłoszeń sygnalistów. Dane osobowe są przetwarzane wyłącznie z polecenia administratora.

2. Dane osobowe są przetwarzane na podstawie art. 6 ust. 1 lit. c) RODO w związku z przepisami ustawy z dnia 17 grudnia 2021 r. o ochronie sygnalistów. Dane osobowe mogą być przetwarzane także na podstawie art. 6 ust. 1 lit. g) RODO, jeżeli sygnalista poda w zgłoszeniu dane osobowe osób trzecich.

3. Osoby wyznaczone do obsługi zgłoszeń pozyskują wyłącznie dane niezbędne. Dane osobowe nie mające znaczenia dla zgłoszenia, nie są zbierane, a w razie ich pozyskania, są usuwane bez zbędnej zwłoki, nie dłużej niż do upływu 7 dni od momentu ustalenia, że nie mają znaczenia dla sprawy.

4. Administrator realizuje obowiązek informacyjny, o którym mowa w art. 13-14 RODO, wobec: sygnalisty, osoby, której dotyczy zgłoszenie, osoby wskazanej w zgłoszeniu.

5. Klauzula informacyjna jest dostępna na stronie internetowej/pod formularzem elektronicznym/wręczana będzie przy zgłoszeniu bezpośrednim/przesłana pocztą elektroniczną (za potwierdzeniem odbioru). /wybrać właściwe/ Pełna treść obowiązku informacyjnego dostępna jest w siedzibie firmy.

6. Administrator realizuje prawa osób, których dane dotyczą, wskazane w art. 15-22 RODO, z ograniczeniami w zakresie prawa dostępu, wskazanych w ustawie o ochronie sygnalistów. Administrator pozyskuje zgodę sygnalisty na ujawnienie jego tożsamości, jeżeli taka jest inicjatywa i wola sygnalisty. Administrator realizuje obowiązek informacyjny wobec sygnalisty w przypadku pozyskania takiej zgody.

7. Jeżeli zgłoszenie sygnalisty nosi znamiona naruszenia ochrony danych, administrator zapewnia realizację obowiązków wynikających z art. 33-34 RODO.

8. Administrator przetwarza dane osobowe zgodnie z zasadami ochrony danych wskazanymi w art. 5 RODO. Administrator zapewnia bezpieczeństwo danych osobowych, zabezpieczając je przed nieuprawnionym dostępem, nieuprawnionym ujawnieniem i przypadkowym zniszczeniem.

IX. Postanowienia końcowe

1. Procedura obowiązuje od dnia 1 stycznia 2024 r.

2. Do stosowania postanowień procedury zobowiązani są wszyscy pracownicy i inne osoby wchodzące w skład personelu administratora.