Ochrona Sygnalistów
Procedura zgłaszania skarg, nieprawidłowości w IPF Digital Sp. z o.o. i ochrony Sygnalistów
PROCEDURA ZGŁASZANIA skarg, NIEPRAWIDŁOWOŚCI W IPF Digital sp. z o.o. i ochrony sygnalistów, w tym anonimowego zgłaszania naruszenia przepisów dot. przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu
1. Wstęp
Niniejsza procedura została opracowana zgodnie z obowiązującymi w tym zakresie przepisami prawa, w tym w szczególności ustawą z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz. U. 2024 r. poz. 928) i będzie corocznie przeglądana, a w razie konieczności aktualizowana.
2. Definicje
2.1. Dane osobowe lub Dane
oznacza wszelkie dane i informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej;
2.2. Przetwarzanie danych osobowych
oznacza jakiekolwiek operacje wykonywane na Danych osobowych, w tym takie jak: zbieranie, utrwalanie, przechowywanie, opracowywanie, zmienianie, udostępnianie, usuwanie;
2.3. System Zgłaszania Nieprawidłowości (Whistleblowing System)
oznacza bezpłatną zewnętrzną aplikację firmę WhistleB Whistleblowing Centre AB, służąca do zgłaszania Nieprawidłowości w Spółce w przypadku, gdy Zgłaszający uzna, iż nie może zgłosić swoich obaw otwarcie. Zgłoszenie w aplikacji jest anonimowe i zaszyfrowane. Firma WhistleB Whistleblowing Centre AB nie uczestniczy w przyjmowaniu i obsłudze zgłoszeń Nieprawidłowości.
2.4. Sygnalista
oznacza osobę fizyczną, która zgłasza lub ujawnia informacje na temat naruszeń, uzyskane w kontekście związanym z wykonywaną przez nią pracą, w tym w szczególności pracownika, pracownika tymczasowego, osobę świadczącą pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej, stażystę praktykanta lub inną osobę wskazana w art. 4 ust. 1 i 2 Ustawy. Sygnalista zgłasza informacje, w tym uzasadnione podejrzenie, dotyczące zaistniałych lub potencjalnych naruszeń, do których doszło lub prawdopodobnie dojdzie, w tym informacje dotyczące prób ukrycia takich naruszeń, w organizacji w której osoba zgłaszająca pracuje lub pracowała, lub w innej organizacji, z którą osoba dokonująca Zgłoszenia utrzymuje lub utrzymywała kontakt w kontekście wykonywanej pracy.
2.5. Spółka
oznacza IPF Digital Sp. z o.o. z siedzibą w Warszawie przy ul. Inflanckiej 4A, 00-189 Warszawa, wpisaną do rejestru przedsiębiorców prowadzonego przez Sąd Rejonowy dla m.st. Warszawy, XII Wydział Krajowego Rejestru Sądowego, pod numerem 0000577542, kapitał zakładowy 5 950 000,00 zł, wpłacony w całości, NIP: 5252630766, REGON: 362598273;
2.6. IPF Digital
dywizja w ramach Grupy Kapitałowej International Personal Finance plc w skład której wchodzą m.in. Spółka oraz IPF Digital AS z siedzibą w Lõõtsa 5, Tallinn, Estonia, NIP: EE101155566, REGON: 11034137;
2.7. Grupa Kapitałowa
Zgodnie z art. 4 pkt 14 ustawy o ochronie konkurencji i konsumentów przez grupę kapitałową rozumie się wszystkich przedsiębiorców, którzy są kontrolowani w sposób bezpośredni lub pośredni przez jednego przedsiębiorcę, w tym również tego przedsiębiorcę. Dla IPF Digital Sp. z o.o., spółką kontrolującą jest spółka International Personal Finance plc z siedzibą 26 Whitehall Road, LS12 1BE, Leeds, Wielka Brytania, REGON: 06018973;
2.8. Kontekst związany z pracą
należy przez to rozumieć przeszłe, obecne lub przyszłe działania związane z wykonywaniem pracy na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji w IPF Digital Sp. z o.o., w ramach których uzyskano informację o naruszeniu prawa oraz istnieje możliwość doświadczenia działań odwetowych;
2.9. Działania następcze
oznacza działania podjęte upoważnione podmioty w celu oceny prawdziwości informacji zawartych w Zgłoszeniu oraz przeciwdziałania naruszeniu prawa będącemu przedmiotem Zgłoszenia;
2.10. Działania odwetowe
oznacza bezpośrednie lub pośrednie działanie lub zaniechanie w kontekście związanym z pracą, które jest spowodowane zgłoszeniem lub ujawnieniem, i które narusza lub może naruszyć prawa Sygnalisty lub wyrządza, lub może wyrządzić nieuzasadnioną szkodę Sygnaliście, w tym bezpodstawne inicjowanie postępowań przeciwko Sygnaliście;
2.11. Ustawa
oznacza ustawę z dnia 14 czerwca 2024 r. o ochronie sygnalistów (Dz. U. 2024 r. poz. 928);
2.12. Procedura
oznacza niniejszy dokument;
2.13. Zgłoszenie
oznacza należy przez to rozumieć ustne lub pisemne Zgłoszenie wewnętrzne, przekazane upoważnionym podmiotom zgodnie z wymogami określonymi w Ustawie i Procedurze;
2.14. Zgłaszający
oznacza Sygnalistę lub inną osobę dokonującą Zgłoszenia Nieprawidłowości w Spółce przy wykorzystaniu kanałów zgłoszeniowych określonych w niniejszej Procedurze;
2.15. Pracownik
oznacza pracowników Spółki zatrudnionych w oparciu o Umowę o Pracę;
2.16. Naruszenie prawa lub Nieprawidłowości
oznacza informację, w tym uzasadnione podejrzenie, dotyczące zaistniałego lub potencjalnego naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie w podmiocie prawnym, w którym zgłaszający uczestniczył w procesie rekrutacji lub innych negocjacji poprzedzających zawarcie umowy, pracuje lub pracował, lub w innym podmiocie prawnym, z którym zgłaszający utrzymuje lub utrzymywał kontakt w kontekście związanym z pracą, lub informację dotyczącą próby ukrycia takiego naruszenia prawa; definicja ta nie narusza postanowień pkt 3 pkt 3.2. Procedury;
2.17. Osoba, której dotyczy zgłoszenie
oznacza osobę fizyczną, osobę prawną bądź jednostkę organizacyjną nieposiadającą osobowości prawnej, której ustawa przyznaje zdolność prawną, wskazaną w Zgłoszeniu lub ujawnieniu publicznym jako osoba, która dopuściła się naruszenia prawa lub osobę wskazaną w Zgłoszeniu z którą osoba ta jest powiązana;
3. Cel Procedury
3.1. Celem Procedury jest ustalenie wewnętrznych procesów umożliwiających Pracownikom, oraz innym osobom świadczącym usługi na rzecz Spółki, dokonywanie uzasadnionych Zgłoszeń o Nieprawidłowościach występujących w Spółce, mających charakter naruszenia prawa.
3.2. Naruszeniem prawa jest działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa, dotyczące: korupcji; zamówień publicznych; usług, produktów i rynków finansowych; przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu; ochrony konsumentów; ochrony prywatności i danych osobowych; bezpieczeństwa sieci i systemów teleinformatycznych oraz innych działań wymienionych w art. 3 ust. 1 Ustawy.
3.3. Zgłoszenia, o których mowa w pkt. 3.2. powyżej nie powinny zawierać danych ujawniających: pochodzenie rasowe lub etniczne, poglądy polityczne, przekonania religijne lub światopoglądowe, przynależność do związków zawodowych, jak również danych dotyczących zdrowia, seksualności lub orientacji seksualnej oraz danych dotyczących wyroków skazujących i czynów zabronionych, chyba że podanie takich danych jest konieczne do przekazania Zgłoszenia o naruszeniu.
3.4. Zgłoszenia dotyczące naruszeń niewymienionych w Ustawie, w tym w szczególności z zakresu prawa pracy nie są objęte Procedurą. Zgodnie z tym, Spółka zastrzega, że osobie dokonującej takiego Zgłoszenia nie przysługuje status Sygnalisty i uprawnienia z tym związane wynikające z Ustawy. Jednakże Pracownik, oraz inne osoby świadczące pracę i usługi na rzecz Spółki mogą zgłosić takie naruszenia za pośrednictwem Whistleblowing System. Spółka zobowiązuje się jednak do rozpatrzenia takiego Zgłoszenia zgodnie z Procedurą, w tym w terminach w niej określonych.
4. Narzędzia służące dokonywaniu Zgłoszeń o Nieprawidłowościach
4.1 Podmiotami upoważnionymi do przyjmowania zgłoszeń Nieprawidłowości są: International Personal Finance plc z siedzibą 26 Whitehall Road, LS12 1BE, Leeds (Wielka Brytania), IPF Digital AS z siedzibą w Lõõtsa 5, Tallinn (Estonia) oraz Head of HR Europe & Global HR Governance.
4.2 Osoba dokonująca Zgłoszenia może to zrobić na kilka sposobów, przekazując Zgłoszenie:
4.2.1. przy pomocy Whistleblowing System https://report.whistleb.com/ipf
4.2.2. do Head of HR Europe & Global HR Governance :
- pocztą tradycyjną wraz z podaniem adresu (tradycyjnego lub adresu poczty elektronicznej) do kontaktu z Sygnalistą. Zgłoszenia pocztą tradycyjną należy wysłać na adres: Head of HR & Governance, IPF Digital Sp. z o.o., ul. Inglacka 4A, 00-189, Warszawa
- pocztą elektroniczną na adres: zgloszenia_nieprawidlowosci@ipfdigital.com
- poprzez kontakt telefoniczny na numer +48 572 668 628 i rozmowę z Head of HR Europe & Global HR Governance.
4.3. W przypadku Zgłoszenia naruszenia przepisów wysłanie Zgłoszenia:
4.3.1. w sposób wskazany w pkt 4.2.1 powyżej jest anonimowe, chyba że osoba dokonująca Zgłoszenia dobrowolnie poda swoje Dane osobowe;
4.3.2. w sposób wskazany w pkt. 4.2.2 może być anonimowe, chyba że osoba dokonująca Zgłoszenia dobrowolnie poda swoje Dane osobowe.
4.4. Spółka zastrzega, że zgodnie z Ustawą, Zgłoszenia dokonywane za pośrednictwem Whistleblowing System są wyłącznie zgłaszane, ewidencjonowanie i kolejno przekazanie do obsługi merytorycznej przez osoby do tego upoważnione zgodnie z Procedurą. Zgodnie z tym, Whistleblowing System jest tylko narzędziem dostawcy zewnętrznego do technicznego zgłaszania i ewidencjonowania zgłoszenia.
4.5. Jeżeli informacje na temat Naruszeń otrzymano za pośrednictwem innych kanałów niż opisane w pkt 4.2. powyżej lub otrzymały je osoby, które nie są odpowiedzialne za rozpatrywanie Zgłoszeń, to Zgłoszenie należy niezwłocznie przekazać do Head of HR Europe & Global HR Governance, bez wprowadzania jakichkolwiek zmian. Osoby, które odebrały takie Zgłoszenie pomimo braku uprawnienia do tej czynności są zobowiązane do nieujawniania jakichkolwiek informacji mogących skutkować ujawnieniem treści Zgłoszenia lub tożsamości zgłaszającego lub Osoby, której zgłoszenie dotyczy. Otrzymane informacje należy traktować jako informacje poufne.
5. Poufność informacji i ochrona danych
5.1 Administratorem Danych osobowych zgromadzonych w ramach dokonanych Zgłoszeń Nieprawidłowości jest Grupa Kapitałowa.
5.2 Grupa Kapitałowa może przetwarzać Dane (1) Zgłaszającego, (2) osoby, której dotyczy Zgłoszenie oraz (3) osób trzecich, podane w Zgłoszeniu lub przetwarzanych w związku ze Zgłoszeniem (w tym np. świadków). Dane będą przetwarzane wyłącznie w celu wczesnego wykrywania Nieprawidłowości, rozpatrywania otrzymanych Zgłoszeń oraz podejmowania Działań naprawczych.
5.3 Pełna informacja dotycząca przetwarzania danych osobowych przekazywana jest każdorazowo osobom, których dane dotyczą, zgodnie z pkt 7 niniejszej Procedury.
5.4 Administrator zapewnia ochronę tożsamości oraz poufność Danych dotyczących każdej osoby dokonującej Zgłoszenia, osób, których dotyczy Zgłoszenie oraz osób trzecich, o których mowa w Zgłoszeniu (np. świadków, współpracowników), na wszystkich etapach realizacji Procedury.
5.5 Zgłoszenia na podstawie Procedury dokonywane są anonimowo, chyba że Zgłaszający samodzielnie, dobrowolnie i świadomie zdecyduję się na podanie swoich Danych w Zgłoszeniu (na podstawie zgody). Szczegółowe informacje na temat przetwarzania jego danych osobowych w związku z obsługą procesu Zgłoszenia oraz podjęcia Działań następczych przez Spółkę określone zostały w klauzuli informacyjnej, którą Zgłaszający otrzyma niezwłocznie po złożeniu Zgłoszenia.
5.6 Grupa Kapitałowa wyznaczyła Inspektora Ochrony Danych Osobowych, z którym można się skontaktować poprzez:
5.6.1. email: privacy@ipfdigital.com
5.7 Osoby, których Dane są przetwarzane w ramach Zgłoszenia, mają prawo dostępu do swoich danych, żądania ich sprostowania, usunięcia lub ograniczenia ich przetwarzania oraz prawo do wniesienia sprzeciwu wobec przetwarzania w przypadkach ściśle określonych w przepisach prawa. Wszelkie wnioski w zakresie realizacji praw związanych z przetwarzaniem danych osobowych należy zgłaszać pocztą elektroniczną na adres: zgloszenia_nieprawidlowosci@ipfdigital.com lub pocztą tradycyjną na adres: Head of HR Europe & Global HR Governance, IPF Digital Sp. z o.o., ul. Inflancka 4A, 00-189 Warszawa. Każda osoba, której Dane dotyczą, ma również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych, w związku z przetwarzaniem jej danych osobowych.
5.8 Rozpatrzenia merytorycznego wniosku, o którym mowa w punkcie powyżej, dokonuje Head of HR Europe & Global HR Governance przy każdorazowym wsparciu Inspektora Ochrony Danych Osobowych lub Pracowników jego zespołu.
5.9 Rozpatrzenie wniosku następuje w terminie do 30 dni od dnia otrzymania wniosku. W razie potrzeby termin, o którym mowa można przedłużyć o kolejne dwa miesiące z uwagi na skomplikowany charakter żądania lub liczbę żądań. Informację o przedłużeniu terminu należy przekazać w ciągu 30 dni od otrzymania żądania, powiadamiając o tym wnioskodawcę z podaniem przyczyn opóźnienia.
5.10 Powiadomienia są przesyłane w formie określonej przez wnioskodawcę i na adres przez niego podany. W przypadku przekazywania kopii danych osobowych są one dodatkowo zabezpieczane w zależności od formy ich przesyłania, w szczególności w wiadomości przesyłanej na adres poczty elektronicznej załączony plik z danymi jest szyfrowany, a hasło jest odrębnie przesyłane za pomocą wiadomości sms na numer telefonu wnioskodawcy;
5.11 Każda osoba mająca dostęp do Danych przetwarzanych w ramach Procedury związanej ze Zgłoszeniami Sygnalistów musi posiadać upoważnienie do przetwarzania tych danych nadane przez Administratora. Upoważnienia te powinny być udzielane w formie pisemnej, z precyzyjnym określeniem zakresu przetwarzanych Danych oraz celów, dla których mogą być one przetwarzane. Dodatkowo, osoby upoważnione muszą być zaznajomione z obowiązkami związanymi z ochroną danych osobowych, w tym konieczności zachowania poufności oraz przestrzegania zasad wynikających z Procedury. Osoby upoważnione pozostają zobowiązane do zachowania tajemnicy. Wzór upoważnienia do przetwarzania danych osobowych i obsługi Zgłoszeń stanowi Załącznik nr 1 „Upoważnienie do przetwarzania danych związanych ze zgłaszaniem naruszeń w ramach Procedury”.
5.12 Group AML & Fraud Manager jest zobowiązany do zapewnienia, że do przetwarzania danych dopuszczone są wyłącznie osoby posiadające upoważnienie określone w punkcie 5.11. powyżej oraz weryfikować zakres posiadanych upoważnień przynajmniej raz w roku.
5.13 Dane osobowe zawarte w Zgłoszeniu mogą zostać udostępnione wyłącznie upoważnionym przez Spółkę osobom:
5.13.1. Zespół Fraud Risk and AML lub zespół Legal podmiotu będącego spółką kontrolującą – w szczególności Fraud Risk and AML Manager oraz Senior Legal Manager;
5.13.2. Zespół HR w IPF Digital - w szczególności HR Director oraz Head of HR Europe & Global HR Governance;
5.13.3. Zespół AML and Fraud w IPF Digital - w szczególności Group AML & Fraud Manager, IPF Digital Fraud Manager;
5.13.4. dostawcy Platformy Whistleblowing System;
5.13.5. w uzasadnionych przypadkach Członkom Zarządu Spółki oraz osobom, które będą prowadzić czynności wyjaśniające w związku z otrzymanym Zgłoszeniem oraz w trakcie postępowania sądowego, które może zostać wszczęte w wyniku postępowania wyjaśniającego przeprowadzonego w ramach Systemu Zgłaszania Nieprawidłowości.
5.14 Jeżeli Zgłoszenie nieprawidłowości dotyczy danej osoby spośród wyżej wymienionych w pkt. 5.13, nie zostaną jej udostępnione Dane, które zostały wskazane w Zgłoszeniu.
5.15 Tożsamość osoby zgłaszającej Nieprawidłowości oraz informacje umożliwiające jej identyfikację będą utajnione i dostępne w Grupie Kapitałowej wyłącznie dla osób opisanych w punktach 5.11-5.13., w szczególności zaś nie zostaną ujawnione stronie trzeciej (osobie spoza Grupie Kapitałowej, z wyłączeniem pracowników lub współpracowników Whistleblowing System), osobie, której dotyczy Zgłoszenie naruszenia ani bezpośrednim zwierzchnikom Zgłaszającego, chyba że wyrazi ona wyraźną zgodę na ujawnienie swojej tożsamości lub będzie to konieczne do wypełnienia obowiązku wynikającego z przepisu prawa w kontekście prowadzonych przez organy krajowe postepowań wyjaśniających lub sądowych, w tym w celu zagwarantowania osobie, której dotyczy Zgłoszenie, prawa do obrony.
5.16 Z zastrzeżeniem punktu 6.2. poniżej, z tytułu dokonania Zgłoszenia, Sygnalisty nie mogą spotkać negatywne konsekwencje czy nieprzyjemności ze strony osoby, której dotyczy Zgłoszenie, jak również ze strony innych osób. W szczególności Spółka nie rozwiąże z tego powodu z osobą dokonującą Zgłoszenia umowy o pracę bądź innej umowy cywilnoprawnej zawartej z taka osobą, w tym o świadczenie usług, ani w żaden sposób nie pogorszy warunków zatrudnienia bądź współpracy z Sygnalistą. Spółka, jej Pracownicy oraz inne osoby świadczące usługi na rzecz Spółki nie będą podejmować działań o charakterze odwetowym lub mogących wpływać na pogorszenie sytuacji prawnej lub faktycznej Sygnalisty, lub polegających na kierowaniu gróźb do osób zgłaszających Naruszenia. Spółka zapewnia Pracownikom, bądź innym osobom świadczącym pracę na rzecz Spółki, zgłaszającym Naruszenia, ochronę przed podejmowaniem wobec nich działań o charakterze represyjnym lub wpływających na pogorszenie ich sytuacji prawnej lub faktycznej, lub polegających na kierowaniu gróźb.
5.17 Dane osobowe oraz pozostałe informacje przetwarzane:
5.17.1 w ramach systemu zgłaszania Nieprawidłowości będą przechowywane przez okres trzech lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie do organu publicznego, zakończono Działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami;
5.17.2 w Rejestrze zgłoszeń wewnętrznych będą przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono Działania następcze lub po zakończeniu postepowań zainicjowanych tymi działaniami. Terminy te należy liczyć odrębnie.
5.18 Dane osobowe, które nie mają znaczenia dla rozpatrywania Zgłoszenia nie są zbierane, a w razie przypadkowego zebrania, będą usuwane w terminie czternastu dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.
5.19 Spółka zapewnia możliwość odbierania Zgłoszeń wyłącznie przez osoby uprawnione przez Grupę Kapitałową do odbioru Zgłoszeń.
5.20 Wskazane pkt. 5.13. Procedury osoby mają za zadanie:
a) przekazać osobom zainteresowanym dokonaniem Zgłoszenia szczegółowe informacje dotyczące niniejszej Procedury zgłaszania Nieprawidłowości;
b) przyjmować i podejmować Działania następcze w związku z otrzymanymi Zgłoszeniami;
c) utrzymywać kontakt z osobą dokonującą Zgłoszenia;
d) informować osobę dokonującą Zgłoszenia o potwierdzeniu jego przyjęcia w ciągu 7 dni od dokonania Zgłoszenia oraz o statusie Zgłoszenia;
z zastrzeżeniem, że w przypadku, gdy Zgłoszenie dotyczy Zgłaszającego mającego relację ze Spółką, powyższe czynności są dokonywane z udziałem Head of HR Europe & Global HR Governance.
5.21 Wskazane przez Spółkę w pkt. 4 powyżej narzędzia służące dokonywaniu Zgłoszeń:
a) są niezależne od przyjętych powszechnie sposobów komunikacji w IPF Digital;
b) zapewniają kompletność, integralność, bezpieczeństwo i poufność informacji, w tym ich zabezpieczenie przed uzyskaniem dostępu przez osoby nieuprawnione;
c) umożliwiają przechowywanie Zgłoszeń w sposób umożliwiający przeprowadzenie przez Grupę Kapitałową Działań następczych.
5.22 Grupa Kapitałowa przechowuje wszelkie dokumenty, zarówno w formie pisemnej, elektronicznej, jak i w formie nagrań rozmów telefonicznych, bądź protokołów z przeprowadzonych rozmów telefonicznych w sposób zapewniający zachowanie poufności danych osobowych Zgłaszającego. Grupa Kapitałowa zapewnia dostęp do dokumentów wskazanych w zdaniu poprzedzającym jedynie upoważnionym osobom, którym taki dostęp jest niezbędny do wykonania obowiązków związanych z dokonanym Zgłoszeniem.
5.23 W przypadku, gdy Zgłaszający dobrowolnie ujawni swoje Dane osobowe, podmiot wskazany w art. 5.13. upoważniony do prowadzenia postępowania wyjaśniającego może zgłosić się do tej osoby za pośrednictwem takiego samego środka komunikacji, jakiego użyła osoba zgłaszająca do złożenia Zgłoszenia, w celu uzyskania dodatkowych wyjaśnień lub informacji.
6. Zgłoszenia nieprawdziwe lub dokonane w złej wierze
6.1 Zgodnie z zasadą dobrej wiary każda osoba uprawniona do dokonania Zgłoszenia powinna zgłosić Nieprawidłowość, jeśli istnieją po jej stronie uzasadnione podstawy, by sądzić, że przekazywane informacje są prawdziwe. Sygnalista podlega ochronie określonej w przepisach rozdziału 2 Ustawy, od chwili dokonania Zgłoszenia, pod warunkiem że miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem Zgłoszenia jest prawdziwa w momencie dokonywania Zgłoszenia i że stanowi informację o Naruszeniu prawa.
6.2 W przypadku Zgłoszenia dotyczącego nieistniejącej Nieprawidłowości lub nieistniejącego Naruszenia, nie będą podejmowane żadne działania przeciwko Zgłaszającemu.
7. Obowiązki informacyjne
7.1. Każda osoba, której Dane osobowe są przetwarzane zostanie poinformowana o celach i sposobach ich przetwarzania przez Grupę Kapitałową, zgodnie z art. 13 i 14 RODO oraz Ustawą.
7.2. Obowiązek informacyjny należy spełnić wobec:
a) Zgłaszającego,
b) osoby, której dotyczy Zgłoszenie - z wyłączeniem informacji o źródle danych, tj. tożsamości Zgłaszającego, chyba że Zgłaszający wyraził wyraźną zgodę na ujawnienie swojej tożsamości lub nie spełnia warunków wskazanych art. 6 Ustawy,
c) osób trzecich (w tym np. świadków).
7.3. Termin i sposób przekazywania informacji:
7.3.1. wobec Zgłaszającego:
a) Informacja musi zostać przekazana najpóźniej podczas pozyskiwania Danych osobowych,
b) Informację przekazuje się na formularzu Zgłoszenia lub podczas rozmowy telefonicznej, a w przypadku otrzymania zgłoszenia inną drogą – w sposób, w jaki prowadzony będzie kontakt ze Zgłaszającym,
7.3.2. wobec osoby, której dotyczy Zgłoszenie:
a) przy pierwszym kontakcie, nie później niż 7 dni od pozyskania danych przez Grupę Kapitałową,
b) w sytuacji, w której wypełnienie obowiązku informacyjnego może utrudnić lub uniemożliwić przeprowadzenie postępowania wyjaśniającego, można zrezygnować z jego wypełnienia lub odroczyć go w czasie. Każdy taki przypadek powinien być uprzednio skonsultowany z Inspektorem Ochrony Danych oraz udokumentowany wraz z uzasadnieniem.
7.3.3. Wobec osób trzecich (w tym np. świadków):
a) przy pierwszym kontakcie, nie później niż 30 dni od pozyskania danych przez Grupę Kapitałową,
b) w sytuacji, w której Grupa Kapitałowa nie posiada wystarczających danych niezbędnych do kontaktu z osobą trzecią, dane osoby trzeciej zostały usunięte jako dane nadmiarowe lub poinformowanie osoby wiążę się z nieproporcjonalnym wysiłkiem, można zrezygnować z jego wypełnienia.
7.4. Wszelkie działania związane z odstąpieniem od spełnienia obowiązku informacyjnego należy szczegółowo udokumentować przed podjęciem decyzji i dołączyć do dokumentacji z danego postępowania następczego.
8. Ramy czasowe zgłaszania i rozpatrywania Nieprawidłowości
8.1 Z uwagi na szeroki zakres tematyczny oraz skomplikowany charakter Zgłoszeń, czas ich rozpatrywania może się różnić. Nie dłużej niż 3 miesiące od momentu potwierdzenia przyjęcia Zgłoszenia.
8.2 Zespół Fraud Risk and AML lub zespół Legal podmiotu będącego spółką kontrolującą jest zobligowany zarejestrować Zgłoszenie i w razie konieczności przekazać je do rozpatrzenia do zespołu AML and Fraud lub zespołu HR w IPF Digital nie później niż w ciągu 7 dni od wpłynięcia Zgłoszenia. W terminie 7 dni od przyjęcia Zgłoszenia, Zgłaszający otrzymuje również potwierdzenie wpłynięcia Zgłoszenia.
8.3 Zespół AML and Fraud lub zespół HR w IPF Digital rozpoczyna rozpatrywanie Zgłoszenia nie później, niż 10 dni od daty przekazania im Zgłoszenia przez Zespół Fraud Risk and AML lub zespół Legal podmiotu będącego spółką kontrolującą. Procedurę rozpatrywania Zgłoszenia zobligowani są oni zakończyć nie później niż w ciągu trzech miesięcy od daty jego wpłynięcia.
9. Statusy Zgłoszeń i ich przekazywanie do Zgłaszającego
9.1. Zespół Fraud Risk and AML lub zespół Legal podmiotu będącego spółką kontrolującą prowadzi rejestr Zgłoszeń dla Grupy Kapitałowej. Rejestr zgłoszeń wewnętrznych obejmuje: numer zgłoszenia wygenerowany przez Whistleblowing System; przedmiot Naruszenia prawa; dane osobowe Sygnalisty oraz osoby, której dotyczy Zgłoszenie, niezbędne do identyfikacji tych osób; adres do kontaktu Sygnalisty; datę dokonania Zgłoszenia; informację o podjętych Działaniach następczych; datę zakończenia sprawy.
9.2. Zgłaszający zainteresowany postępami w rozpatrywaniu Zgłoszenia może zwrócić się poprzez Whistleblowing System lub też inny kanał, którym Zgłoszenie zostało przesłane, o wskazanie statusu sprawy, na co osoba rozpatrująca Zgłoszenie zobowiązana jest odpowiedzieć (w języku polskim) tym samym narzędziem, jakim dotarło do niej pytanie, nie później niż w ciągu trzech dni roboczych od jego otrzymania.
9.3. Statusy Zgłoszenia określane są w następujący sposób:
9.3.1. Zgłoszenie przyjęte - Zgłoszenie zgłoszone przez system Whistleblowing System lub do Head of HR Europe & Global HR Governance,
9.3.2. Zgłoszenie w trakcie rozpatrywania - Zgłoszenie przekazane przez Whistleblowing System zespołu AML and Fraud lub zespołu HR w IPF Digital,
9.3.3. Zgłoszenie zawieszone – rozpatrywanie Zgłoszenia zostało zawieszone ze względu na brak danych lub informacji umożliwiających rozpatrzenie,
9.3.4. Zgłoszenie unieważnione - Zgłoszenie dotyczy spraw znajdujących się poza obszarem kompetencyjnym Procedury, status nadawany jest również w przypadku anulacji Zgłoszenia przez Zgłaszającego,
9.3.5. Zgłoszenie zamknięte – Zgłoszenie zostało rozpatrzone, Działania następcze podjęte.
9.4. Z zastrzeżeniem punktu 9.5. poniżej, osoba rozpatrująca Zgłoszenie przekazuje informacje na temat statusu Zgłoszenia osobie zgłaszającej:
9.4.1. w dniu rejestracji Zgłoszenia w Rejestrze zgłoszeń; osoba rozpatrująca Zgłoszenie informuje Zgłaszającego o przyjęciu Zgłoszenia do rozpatrzenia i nadaniu Zgłoszeniu danych umożliwiających kontakt z Grupa Kapitałową poprzez Whistleblowing System, oraz osoba rozpatrująca Zgłoszenie z tymi informacjami przekazuje Zgłaszającemu wszelkie wymagane prawem informacje dotyczące przetwarzania danych osobowych Zgłaszającego,
9.4.2. zawsze, gdy status Zgłoszenia ulega zmianie,
9.4.3. zawsze wtedy, gdy otrzyma pytanie dotyczące Zgłoszenia,
9.4.4. w dniu zamknięcia Zgłoszenia wraz z informacjami o wyniku postępowania wyjaśniającego i podjętych Działaniach naprawczych.
9.5. Jedynymi sytuacjami, w których zespół AML and Fraud lub zespół HR w IPF Digital nie może udzielić informacji zwrotnej na temat statusu Zgłoszenia jest sytuacja, w której otrzyma nagranie na skrzynkę lub sms z numeru zastrzeżonego, bez danych kontaktowych Zgłaszającego a pytanie o status sprawy przyjdzie bez wskazania danych kontaktowych. W każdym innym przypadku, gdy zespół AML and Fraud lub zespół HR w IPF Digital ma możliwość przekazania Zgłaszającemu informacji zwrotnej, robi to niezwłocznie po przyjęciu zapytania.
9.6. Zgłaszający ma prawo wycofać Zgłoszenie podając odpowiednie uzasadnienie jego anulacji. Wówczas zespół AML and Fraud lub zespół HR w IPF Digital nadaje Zgłoszeniu status Zgłoszenia unieważnionego, chyba że dostarczone uzasadnienie jest niewystarczające w kontekście otrzymanych materiałów dowodowych lub informacji zebranych w trakcie wyjaśniania Zgłoszenia.
9.7. W sytuacji, gdy Zgłoszenie dotyczy osoby z zespołu AML and Fraud w IPF Digital, zespół Fraud Risk and AML lub zespół Legal podmiotu będącego spółką kontrolującą, w celu uniknięcia konfliktu interesów, przekazuje je wyłącznie do zespołu HR w IPF Digital, który decyduje o dalszym sposobie rozpatrzenia Zgłoszenia.
9.8. W sytuacji, gdy Zgłoszenie dotyczy osoby z zespołu HR w IPF Digital, zespół Fraud Risk and AML lub zespół Legal podmiotu będącego spółką kontrolującą, w celu uniknięcia konfliktu interesów, przekazuje je wyłącznie do zespołu AML and Fraud w IPF Digital, który decyduje o dalszym sposobie rozpatrzenia Zgłoszenia.
10. Działania następcze
Po przeprowadzeniu czynności wyjaśniających dotyczących otrzymanego Zgłoszenia zespół AML and Fraud lub zespół HR w IPF Digital rekomenduje Działania naprawcze, których rodzaj uzależniony jest od rodzaju Zgłoszenia oraz zidentyfikowanego Naruszenia. Rekomendacje mogą obejmować w szczególności: naganę, upomnienie, rozwiązanie w uzasadnionych przypadkach umowy o pracę lub umowy o świadczenie usług, zgłoszenie do zewnętrznych organów kontroli, np. w przypadku stwierdzenia naruszenia przepisów z zakresu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.
11. Zakaz działań odwetowych
11.1. Jakiekolwiek środki represji, dyskryminacji lub innego rodzaju niesprawiedliwego traktowania wobec Zgłaszającego, Osoby pomagającej w dokonaniu Zgłoszenia oraz osoby powiązanej ze Zgłaszającym będą traktowane jako poważne naruszenie zasad Procedury mogące skutkować odpowiedzialnością porządkową lub rozwiązaniem umowy łączącej Pracownika lub Współpracownika ze Spółką lub zakończeniem współpracy, a także rodzić odpowiedzialność materialną, zgodnie z obowiązującymi przepisami prawa.
11.2. Pracownicy oraz wszystkie osoby zaangażowane w przyjmowanie i procedowanie Zgłoszeń Nieprawidłowości, podejmują wszelkie możliwe środki w celu zapewnienia anonimowości Zgłaszającemu, osobie pomagającej w dokonaniu Zgłoszenia oraz osobie powiązanej ze Zgłaszającym w tym ochrony danych Zgłaszającego w przypadku ich podania w Zgłoszeniu, w szczególności przez zapewnienie pseudonimizacji na etapie wewnętrznego dochodzenia.
11.3. Pracownicy oraz wszystkie osoby zaangażowane w przyjmowanie i procedowanie Zgłoszeń Nieprawidłowości, podejmują wszelkie środki mające na celu zapewnienie Zgłaszającemu, osobie pomagającej w dokonaniu Zgłoszenia oraz osobie powiązanej ze Zgłaszającym ochrony przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania spowodowanymi lub związanymi ze Zgłoszeniem, w szczególności w przypadku, gdy w Zgłoszeniu zostaną podane dane osobowe Zgłaszającego, osoby pomagającej w dokonaniu Zgłoszenia oraz osoby powiązanej ze Zgłaszającym lub istnieje możliwość ustalenia tych danych na podstawie okoliczności podanych w Zgłoszeniu lub ustalonych w wewnętrznym dochodzeniu. Stosowane środki nie mogą prowadzić do pogorszenia sytuacji Zgłaszającego, w szczególności jego warunków pracy lub płacy.
11.4. Jakiekolwiek odwetowe działania w stosunku do Zgłaszającego mogą być przedmiotem postępowania dyscyplinarnego wszczętego przez Spółkę.
11.5. Pracownicy oraz inne osoby zaangażowane w przyjmowanie i procedowanie Zgłoszeń Nieprawidłowości będą podejmować działania w celu ochrony danych osobowych Zgłaszającego, Osoby pomagającej w dokonaniu Zgłoszenia oraz Osoby powiązanej ze Zgłaszającym, zgodnie z obowiązującą w Grupie Kapitałowej Polityką Ochrony Danych Osobowych (Data Protection Policy).
12. Zgłoszenia zewnętrzne
12.1. Osoba zgłaszająca naruszenie na podstawie Procedury, niezależnie od wskazanych powyżej kanałów Zgłoszeń, może dokonać również zgłoszenia zewnętrznego do Rzecznika Praw Obywatelskich lub innego organu publicznego, którego właściwość obejmuje podejmowanie odpowiednich działań następczych, obejmujących przedmiot Zgłoszenia. W stosownych przypadkach zgłoszenia zewnętrzne są dokonywane także do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej.
12.2. Rzecznik Praw Obywatelskich oraz organ publiczny przyjmujący Zgłoszenie są odrębnymi administratorami w zakresie danych osobowych podanych w zgłoszeniu zewnętrznym, które zostało przyjęte przez ten organ.
12.3. Zgłoszenie, o którym mowa w pkt. 12.1 może być dokonane ustnie lub pisemnie. Zgłoszenie w formie dokumentowej może być dokonane:
- w postaci papierowej – na adres do korespondencji wskazany przez Rzecznika Praw Obywatelskich lub organ publiczny przyjmujący zgłoszenie;
- w postaci elektronicznej – na adres poczty elektronicznej lub adres elektronicznej skrzynki podawczej, lub adres do doręczeń elektronicznych, wskazane przez Rzecznika Praw Obywatelskich lub organ publiczny przyjmujący zgłoszenie, lub za pośrednictwem przeznaczonego do tego formularza internetowego lub aplikacji wskazanej przez organ publiczny jako aplikacja właściwa do dokonywania Zgłoszeń w postaci elektronicznej.
12.4. Szczegółowe zasady kontaktu z Rzecznikiem Praw Obywatelskich zostały określone na bip.brpo.gov.pl
12.5. Rzecznik Praw Obywatelskich albo organ publiczny, który otrzymał zgłoszenie ma obowiązek przesłania w terminie 7 dni od dnia otrzymania zgłoszenia, potwierdzenia jego otrzymania. Na żądanie Sygnalisty organ publiczny właściwy do podjęcia Działań następczych wydaje, nie później niż w terminie 1 miesiąca od dnia otrzymania żądania, zaświadczenie, w którym potwierdza, że Sygnalista podlega ochronie.
12.6. Organ publiczny przekazuje Sygnaliście informację zwrotną w terminie nieprzekraczającym 3 miesięcy od dnia przyjęcia zgłoszenia. W uzasadnionych przypadkach organ publiczny przekazuje Sygnaliście informację zwrotną w terminie nieprzekraczającym 6 miesięcy od dnia przyjęcia zgłoszenia.