Violation Reporting System

PROCEDURA  ZGŁASZANIA NARUSZEŃ


§ 1 

  1. Naruszeniem, które może być przedmiotem zgłoszenia, jest działanie lub zaniechanie niezgodne 
    z prawem lub mające na celu obejście prawa dotyczące:
    1. korupcji;
    2. zamówień publicznych;
    3. usług, produktów i rynków finansowych;
    4. przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu;
    5. bezpieczeństwa produktów i ich zgodności z wymogami;
    6. bezpieczeństwa transportu;
    7. ochrony środowiska;
    8. ochrony radiologicznej i bezpieczeństwa jądrowego;
    9. bezpieczeństwa żywności i pasz;
    10. zdrowia i dobrostanu zwierząt;
    11. zdrowia publicznego;
    12. ochrony konsumentów;
    13. ochrony prywatności i danych osobowych;
    14. bezpieczeństwa sieci i systemów teleinformatycznych;
    15. interesów finansowych skarbu państwa Rzeczypospolitej Polskiej oraz Unii Europejskiej;
    16. rynku wewnętrznego Unii Europejskiej, w tym publiczno-prawnych zasad konkurencji 
      i pomocy państwa oraz opodatkowania osób prawnych,
    17. konstytucyjnych wolności i praw człowieka i obywatela – występujące w stosunkach jednostki z organami władzy publicznej i niezwiązane z dziedzinami wskazanymi w pkt. 1)–16) powyżej.
  2. Osoba dokonująca zgłoszenia może zgłosić również naruszenia standardów etycznych.

 

§ 2 

  1. Osoba, która chce dokonać zgłoszenia (dalej również: Sygnalista) może to zrobić 
    w następujących formach:
    1. elektronicznej za pomocą dedykowanej skrzynki mailowej o adresie: [email protected],
    2. tradycyjnej listownie (z dopiskiem: zgłoszenie naruszenia lub jakimkolwiek innym jednoznacznie wskazującym na zawartość przesyłki) na adres siedziby Twin Peaks 
      sp. z o.o.: ul. Puławska 276, 02-819 Warszawa (dalej: spółka),
    3. ustnej:
      1. telefonicznie pod numerem: 22 546 17 14 (połączenia nie są nagrywane),
      2. bezpośrednio.
  2. Zgłoszenia mogą być dokonywane w języku polskim.
  3. Zgłoszenie może zostać dokonane w sposób anonimowy. Zgłoszenie dokonane za pomocą skrzynki mailowej, nawet jeśli dokonane ze spersonalizowanego adresu mailowego zgłaszającego, gwarantuje zgłaszającemu anonimowość, jeśli wyrazi on taką wolę i poinformuje o tym spółkę. Sygnalista może założyć anonimową skrzynkę poczty elektronicznej, z której wyśle zgłoszenie na wskazany powyżej adres. Otrzyma na nią informację zwrotną na temat działań podjętych w wyniku jego zgłoszenia i będzie mógł przekazać dodatkowe informacje.
  4. W celu umożliwienia przeprowadzenia obiektywnego postępowania zaleca się, aby osoba dokonująca zgłoszenia zawarła w jego treści:
    1. krótki opis sprawy będącej przedmiotem zgłoszenia,
    2. termin/ okres, w którym wystąpiło/występowało naruszenia objęte zgłoszeniem,
    3. dane osób, które mają lub mogłyby mieć związek ze sprawą, której dotyczy zgłoszenie,
    4. dane osoby dokonującej zgłoszenia umożliwiające osobie prowadzącej postępowanie kontakt zwrotny, w tym preferowany przez osobę dokonującą zgłoszenia sposób kontaktu zwrotnego zapewniający zachowanie zasady poufności,
    5. wszelkie informacje, które mogą mieć związek ze zgłoszeniem, w tym dokumenty, maile lub inne źródła.

 

§ 3 

  1. Spółka potwierdza osobie dokonującej zgłoszenia przyjęcie zgłoszenia w terminie 7 dni od dnia jego otrzymania, chyba że Sygnalista nie podał danych do kontaktu, z wykorzystaniem których należy przekazać informację zwrotną.
  2. Wszystkie zgłoszenia podlegają wnikliwej analizie i są prowadzone z należytą rzetelnością, bezstronnością oraz z zachowaniem poufności, w tym poufności danych osobowych.
  3. Spółka może zwrócić się do osoby dokonującej zgłoszenia o przekazanie informacji wyjaśniających.
  4. Spółka przekazuje osobie dokonującej zgłoszenia informację zwrotną w terminie nieprzekraczającym 3 miesięcy od potwierdzenia przyjęcia zgłoszenia lub, w przypadku nieprzekazania potwierdzenia osobie dokonującej zgłoszenia, 3 miesięcy od upływu 7 dni od dokonania zgłoszenia, chyba że osoba ta nie podała danych do kontaktu, z wykorzystaniem których należy przekazać informację zwrotną.
  5. Wyniki postępowania wyjaśniającego wraz z dokumentacją stanowią informacje poufne (chronione) są archiwizowane oraz przechowywane przez spółkę przez okres 3 lat od daty zakończenia postępowania.

 

§ 4 

  1. Zgłoszenia powinny być dokonywane w dobrej wierze, aby uniknąć umyślnego skrzywdzenia kogoś innego.
  2. Nie wolno stosować działań odwetowych wobec osoby dokonującej zgłoszenia, która w dobrej wierze zgłasza podejrzenie popełnienia naruszenia, nawet wtedy, gdy informacje nie zostaną potwierdzone w toku postępowania wyjaśniającego.
  3. Każde zgłoszenie jest rozpatrywane w sposób poufny i podlega ochronie. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość osoby dokonującej zgłoszenia. Dane osobowe Sygnalisty oraz inne dane pozwalające na ustalenie jego tożsamości nie podlegają ujawnieniu, chyba że Sygnalista wyrazi zgodę na ujawnienie jego danych.


§5

  1.  Podanie danych osobowych i ujawnienie swojej tożsamości przez osobę zgłaszającą naruszenie jest dobrowolne i nie jest konieczne do dokonania zgłoszenia. Spółka nie wymaga od zgłaszającego naruszenie podania jego danych osobowych. Osoba zgłaszająca może zatem dokonać zgłoszenia w sposób anonimowy. Podając dane osobowe osoba zgłaszająca może także złożyć oświadczenie zezwalające na ujawnienie swojej tożsamości innym osobom, zgodnie z art. 8 ust. 1 ustawy z dnia 14.06.2024 r. o ochronie sygnalistów. Jeśli osoba zgłaszająca tego nie zrobi, spółka będzie przetwarzała z zachowaniem ich poufności.
  2. W przypadku, gdy osoba zgłaszająca naruszenie decyduje się na dobrowolne podanie swoich danych osobowych lub gdy dane zostały zebrane przez spółkę z innych źródeł lub dotyczą innych osób np. poszkodowanych, sprawców lub świadków, spółka będzie przetwarzała te dane zgodnie z poniższą informacją:
    1. Administratorem danych osobowych jest Twin Peaks sp. z o.o. z siedzibą w Warszawie 
      (02-819 Warszawa) ul. Puławska 276.
    2. Spółka powołała Inspektora Ochrony Danych, z którym można się skontaktować się pod ww. adresem lub elektronicznie poprzez wysłanie wiadomości e-mail: [email protected].
    3. Dane będą przetwarzane w związku z prowadzonym działaniem następczym, w tym  postępowaniem zainicjowanym zgłoszenia naruszenia lub potencjalnego naruszenia prawa lub obowiązujących w spółce standardów w celu:
      1. wypełnienia obowiązku prawnego ciążącego na administratorze (art. 6 ust. 1 lit c) RODO w zw. z art. 8 ust. 4 i 8 ustawy z dnia 14.06.2024 r. o ochronie sygnalistów),
      2. komunikacji z osobą zgłaszającą naruszenia oraz odpowiedzi na zgłoszenie, jeśli osoba ta podała nam dane kontaktowe, a także ewentualnej komunikacji ze świadkami lub sprawcą naruszenia (art. 6 ust. 1 lit. f) RODO).
      3. dochodzenia ewentualnych roszczeń przysługujących spółce lub w stosunku do spółki oraz obrony przed nimi (art. 6 ust. 1 lit f) lub art. 9 ust. 2 lit. f) RODO)
  3. Dane osobowe nie będą podlegały zautomatyzowanemu podejmowaniu decyzji, w tym profilowaniu.
  4. Podanie danych przez osobę dokonującą zgłoszenia jest dobrowolne. Podanie danych osobowych przez pozostałe osoby, których dane spółka przetwarza w związku 
    z prowadzonym postępowaniem jest niezbędne dla realizacji powyżej wskazanych celów.
  5. Dane osobowe osoby, która dokonała zgłoszenia w sprawie naruszenia (nie w sposób anonimowy) spółka będzie przetwarzała co do zasady w zakresie: imię i nazwisko, dane kontaktowe oraz inne dane zawarte w przesłanym zgłoszeniu. Wówczas dane te będą pochodziły bezpośrednio od osoby zgłaszającej. W wyniku prowadzonych czynności spółka może jednak zebrać również samodzielnie dane osobowe np. od świadków lub od sprawcy zdarzenia w związku z udzielonymi przez nich wyjaśnieniami lub z analizowanych przez spółkę dokumentów.
  6. Dane osobowe osoby, której zarzuca się naruszenie (osoba, której zgłoszenie dotyczy) spółka przetwarza w zakresie określonym w zgłoszeniu i przekazanym spółce przez osobę, która dokonała zgłoszenia oraz dane, jakie spółka zebrała samodzielnie od świadków zdarzenia, innych podmiotów lub instytucji lub ustaliła w oparciu o działania własne.
  7. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia spółka będzie usuwała lub dane te będą podlegały anonimizacji w terminie nie później niż 14 dni od momentu ustalenia przez spółkę, że są one nadmiarowe.
  8. Dane osobowe osoby, która dokonała zgłoszenia naruszenia (w sposób nieanonimowy) spółka będzie przetwarzała przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami. W sytuacji, gdy konieczne będzie przetwarzanie danych osobowych na dalszym etapie prowadzonego postępowania w oparciu o prawnie uzasadnione cele spółki, w tym dochodzenie lub obrona przed roszczeniami spółka będzie te dane przetwarzała przez czas realizacji tych celów nie dłużej niż do czasu przedawnienia roszczeń wynikających z powszechnie obowiązujących przepisów prawa.
  9. Dane osobowe osoby, której zarzuca się naruszenie lub świadka zdarzenia spółka będzie przetwarzała przez okres niezbędny do realizacji powyższych celów, tj. przez okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze lub po zakończeniu postępowań zainicjowanych tymi działaniami, a w przypadku powstania roszczeń do czasu przedawnienia roszczeń wynikających z powszechnie obowiązujących przepisów prawa.
  10. Spółka zapewnia poufność danych osobowych w związku z prowadzonym postępowaniem lub otrzymanym zgłoszeniem. W związku z tym dane będą udostępnione podmiotom jedynie, gdy:
    1. obowiązek ich przekazania wynika z przepisów prawa,
    2. jest to prawnie uzasadniony interes spółki lub podmiotu trzeciego,
    3. osoba, której dane dotyczą udzieli na to zgodę.
    4. W szczególności odbiorcami danych osobowych mogą być podmioty upoważnione na podstawie przepisów prawa, podmioty świadczące na rzecz spółki usługi na podstawie stosownych umów powierzenia przetwarzania danych osobowych lub wspierające działania spółki, w szczególności kancelarie prawne, podatkowe, firmy consultingowe, audytorzy, biegli rewidenci, firmy wspierające spółkę w archiwizacji i niszczeniu nośników danych, dostarczające rozwiązania IT lub świadczące obsługę IT, jak również firmy windykacyjne.
  11.  Każdej osobie przysługuje prawo wniesienia skargi do organu nadzorczego, którym jest Prezes Urzędu Ochrony Danych Osobowych. Osobie, której dane dotyczą na warunkach przewidzianych w RODO przysługuje prawo dostępu do treści swoich danych oraz prawo ich sprostowania, usunięcia, ograniczenia przetwarzania, prawo wniesienia sprzeciwu wobec przetwarzania danych (wówczas spółka przestanie przetwarzać dane w tych celach, chyba że będzie w stanie wykazać, że w stosunku do tych danych istnieją dla spółki ważne prawnie uzasadnione podstawy, które są nadrzędne wobec interesów, praw i wolności osoby, której dane dotyczą lub dane będą spółce niezbędne do ewentualnego ustalenia, dochodzenia lub obrony roszczeń).
  12. Zgłoszenia dotyczące skorzystania z przysługującego prawa będą rozpatrywane bez zbędnej zwłoki, w terminie nie dłuższym niż 30 dni od otrzymania przez spółkę zgłoszenia, 
    a w sprawach skomplikowanych lub z uwagi na liczbę przekazanych spółce żądań termin ten może ulec wydłużeniu do 90 dni.
  13. Z powyższych praw można skorzystać za pośrednictwem poczty elektronicznej pod adresem: [email protected], a także korespondencyjnie pod adresem siedziby spółki wskazanym powyżej.

 

§6

Do niniejszej Procedury zastosowanie mają przepisy ustawy z dnia 14.06.2024 r. o ochronie sygnalistów.