Procedura zgłoszeń wewnętrznych w Pretius Software Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie oraz Pretius Low-Code Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie („Pretius”)

Kontakt do pełnomocnika ds. naruszeń

▪ Numer telefonu: 501 711 271
▪ Adres e-mail: sygnalista@pretius.com

§ 1. Podstawowe pojęcia

Niniejsza Procedura zgłoszeń wewnętrznych („Regulamin”) określa wewnętrzną procedurę dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych, zgodną z wymogami określonymi w ustawie z dnia 14 czerwca 2024 roku o ochronie sygnalistów (Dz. U. poz. 928) („Ustawa”).

Ilekroć w niniejszym Regulaminie jest mowa o:

▪ działaniu następczym – należy przez to rozumieć działanie podjęte przez Pretius w celu oceny prawdziwości informacji zawartych w zgłoszeniu oraz w celu przeciwdziałania naruszeniu prawa będącemu przedmiotem
zgłoszenia, w szczególności przez postępowanie wyjaśniające, wszczęcie kontroli lub postępowania administracyjnego, wniesienie oskarżenia, działanie podjęte w celu odzyskania środków finansowych lub
zamknięcie procedury realizowanej w ramach wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań,
▪ działaniu odwetowym – należy przez to rozumieć bezpośrednie lub pośrednie działanie lub zaniechanie w kontekście związanym z pracą, które jest spowodowane zgłoszeniem i które narusza lub może naruszyć prawa sygnalisty lub wyrządza lub może wyrządzić nieuzasadnioną szkodę sygnaliście, w tym bezpodstawne inicjowanie postępowań przeciwko sygnaliście,
▪ informacji o naruszeniu prawa – należy przez to rozumieć informację, w tym uzasadnione podejrzenie dotyczące zaistniałego lub potencjalnego naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie w Pretius lub informację dotyczącą próby ukrycia takiego naruszenia prawa,
▪ informacji zwrotnej – należy przez to rozumieć przekazaną sygnaliście informację na temat planowanych lub podjętych działań następczych i powodów takich działań,
▪ kontekście związanym z pracą – należy przez to rozumieć przeszłe, obecne lub przyszłe działania związane z wykonywaniem pracy na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji w Pretius lub na rzecz Pretius (także przed nawiązaniem stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji lub już po ich ustaniu), w ramach których uzyskano informację o naruszeniu prawa oraz istnieje możliwość doświadczenia działań odwetowych,
▪ naruszeniu prawa – należy przez to rozumieć działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa, dotyczące:

▪ korupcji,
▪ zamówień publicznych,
▪ usług, produktów i rynków finansowych,
▪ przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu,
▪ bezpieczeństwa produktów i ich zgodności z wymogami,
▪ bezpieczeństwa transportu,
▪ ochrony środowiska,
▪ ochrony radiologicznej i bezpieczeństwa jądrowego,
▪ bezpieczeństwa żywności i pasz,
▪ zdrowia i dobrostanu zwierząt,
▪ zdrowia publicznego,
▪ ochrony konsumentów,
▪ ochrony prywatności i danych osobowych,
▪ bezpieczeństwa sieci i systemów teleinformatycznych,
▪ interesów finansowych Skarbu Państwa Rzeczypospolitej Polskiej, jednostki samorządu terytorialnego oraz Unii Europejskiej,
▪ rynku wewnętrznego Unii Europejskiej, w publicznoprawnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych,
▪ konstytucyjnych wolności i praw człowieka i obywatela – występujące w stosunkach jednostki z organami władzy publicznej i niezwiązane z dziedzinami wskazanymi powyżej,

▪ osobie, której dotyczy zgłoszenie – należy przez to rozumieć osobę fizyczną lub osobę prawną, wskazaną w zgłoszeniu jako osoba, która dopuściła się naruszenia prawa lub osoba powiązana z osobą, która dopuściła
się naruszenia prawa,
▪ sygnaliście – należy przez to rozumieć osobę fizyczną, która zgłasza informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą, w tym w szczególności:
– pracownika,
– praktykanta,
– stażystę,
– osobę świadcząca pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy
cywilnoprawnej
– przedsiębiorcę,
▪ zgłoszeniu – należy przez to rozumieć ustne bądź pisemne przekazanie Pretius informacji o naruszeniu prawa.

§ 2. Ochrona sygnalisty

1. Wobec sygnalisty nie mogą być podejmowane działania odwetowe ani próby lub groźby zastosowania takich działań.

2. Jeżeli praca była, jest lub ma być świadczona na podstawie stosunku pracy, wobec sygnalisty nie mogą być podejmowane działania odwetowe, polegające w szczególności na:

▪ odmowie nawiązania stosunku pracy,
▪ wypowiedzeniu lub rozwiązaniu bez wypowiedzenia stosunku pracy,
▪ niezawarciu umowy o pracę na czas określony lub umowy o pracę na czas nieokreślony po rozwiązaniu umowy o pracę na okres próbny, niezawarciu kolejnej umowy o pracę na czas określony lub niezawarciu umowy o pracę na czas nieokreślony po rozwiązaniu umowy o pracę na czas określony – w przypadku gdy sygnalista miał uzasadnione oczekiwanie, że zostanie z nim zawarta taka umowa,
▪ obniżeniu wysokości wynagrodzenia za pracę,
▪ wstrzymaniu awansu albo pominięciu przy awansowaniu,
▪ pominięciu przy przyznawaniu innych niż wynagrodzenie świadczeń związanych z pracą lub obniżeniu wysokości tych świadczeń,
▪ przeniesieniu na niższe stanowisko pracy,
▪ zawieszeniu w wykonywaniu obowiązków pracowniczych lub służbowych,
▪ przekazaniu innemu pracownikowi dotychczasowych obowiązków sygnalisty,
▪ niekorzystnej zmianie miejsca wykonywania pracy lub rozkładu czasu pracy,
▪ negatywnej ocenie wyników pracy lub negatywnej opinii o pracy,
▪ nałożeniu lub zastosowaniu środka dyscyplinarnego, w tym kary finansowej, lub środka o podobnym charakterze,
▪ przymusie, zastraszaniu lub wykluczeniu,
▪ mobbingu,
▪ dyskryminacji,
▪ niekorzystnym lub niesprawiedliwym traktowaniu,
▪ wstrzymaniu udziału lub pominięciu przy typowaniu do udziału w szkoleniach podnoszących kwalifikacje zawodowe,
▪ nieuzasadnionym skierowaniu na badania lekarskie, w tym badania psychiatryczne, chyba że przepisy odrębne przewidują możliwość skierowania pracownika na takie badania,
▪ działaniu zmierzającym do utrudnienia znalezienia w przyszłości pracy w danym sektorze lub w danej branży na podstawie nieformalnego lub formalnego porozumienia sektorowego lub branżowego,
▪ spowodowaniu straty finansowej, w tym gospodarczej, lub utraty dochodu,
▪ wyrządzeniu innej szkody niematerialnej, w tym naruszeniu dóbr osobistych, w szczególności dobrego imienia sygnalisty.

3. Jeżeli praca lub usługi były, są lub mają być świadczone na podstawie innego niż stosunek pracy stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji, dokonanie zgłoszenia nie może stanowić podstawy działań odwetowych, obejmujących w szczególności:

▪ postanowienia ust. 2 powyżej stosuje się odpowiednio, o ile charakter świadczonej pracy lub usług lub pełnionej funkcji nie wyklucza zastosowania wobec sygnalisty takiego działania,
▪ wypowiedzenie umowy, której stroną jest sygnalista, w szczególności dotyczącej sprzedaży lub dostawy towarów lub świadczenia usług, odstąpienie od takiej umowy lub rozwiązanie jej bez wypowiedzenia.

§ 3. Zgłoszenia

1. Osobą odpowiedzialną w Pretius za przyjmowanie zgłoszeń oraz podejmowanie działań następczych jest wyłącznie Pełnomocnik ds. naruszeń, wyznaczony przez Pretius. Pełnomocnik ds. naruszeń zobowiązany jest do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskał w ramach przyjmowania i weryfikacji zgłoszeń oraz podejmowania działań następczych. Pretius gwarantuje, że procedura zgłoszeń wewnętrznych uniemożliwia osobom nieupoważnionym uzyskanie dostępu do informacji objętych zgłoszeniem.

2. Pretius zapewnia, że działania następcze prowadzone będą w sposób zapewniający bezstronność. Zgłoszenie nie może być rozpatrywane przez osobę, co do której z treści zgłoszenia wynika, że może być w jakikolwiek sposób zaangażowana w zgłaszaną nieprawidłowość. W takim przypadku, Pretius wyznaczy inną osobę odpowiedzialną.

3. Nie dopuszcza się dokonywania zgłoszeń anonimowych.

4. Zgłoszenie może być dokonane:
▪ ustnie lub
▪ pisemnie.

5. Zgłoszenie ustne może być dokonane osobiście lub telefonicznie u Pełnomocnika ds. naruszeń.

6. W przypadku zgłoszenia osobistego, na wniosek sygnalisty Pełnomocnik ds. naruszeń zorganizuje spotkanie bezpośrednie w terminie 14 dni od otrzymania takiego wniosku od sygnalisty.

7. Zgłoszenie ustne dokumentowane jest w formie protokołu z rozmowy, odtwarzającego dokładny jej przebieg, sporządzonego przez Pełnomocnika ds. naruszeń. Sygnalista może dokonać sprawdzenia, poprawienia i zatwierdzenia protokołu rozmowy poprzez jego podpisanie.

8. Zgłoszenie pisemne dokonywane jest w formie elektronicznej poprzez wysłanie wiadomości e-mail na adres
sygnalista@pretius.com.

9. Sygnalista może dokonać zgłoszenia zewnętrznego do Rzecznika Praw Obywatelskich albo organów publicznych oraz – w stosownych przypadkach – do instytucji, organów lub jednostek organizacyjnych Unii Europejskiej, w sposób określony przez te instytucje.

§ 4. Obsługa zgłoszeń

1. Procedura obsługi zgłoszeń obejmuje:
▪ przyjęcie zgłoszenia,
▪ przekazanie sygnaliście zawiadomienia o przyjęciu zgłoszenia,
▪ wprowadzenie informacji o zgłoszeniu do Rejestru zgłoszeń,
▪ wstępna analiza zgłoszenia,
▪ przekazanie informacji o zgłoszeniu do zarządu Pretius,
▪ powołanie przez zarząd Pretius doraźnego Zespołu ds. naruszeń do wyjaśnienia zgłoszenia; skład zespołu proponuje Pełnomocnik ds. naruszeń, który jest jednym z członków zespołu; w skład Zespołu ds. naruszeń
wchodzi 1 do 3 członków, ▪ przeprowadzenia postępowania wyjaśniającego,
▪ przekazanie sygnaliście oraz osobie, której dotyczy zgłoszenie, informacji o wynikach postępowania wyjaśniającego,
▪ wprowadzenie informacji o rezultacie postępowania wyjaśniającego do Rejestru zgłoszeń,
▪ ewentualne wyciągnięcie konsekwencji wobec osób dokonujących naruszenia prawa.

2. Członkiem Zespołu ds. naruszeń nie może być:
▪ sygnalista,
▪ osoba, której dotyczy zgłoszenie,
▪ osoba będąca bezpośrednim podwładnym lub przełożonym, której dotyczy zgłoszenie,
▪ osoba bliska w stosunku do osoby, której dotyczy zgłoszenie,
▪ osoba wykonująca czynności, które są przedmiotem zgłoszenia,
▪ osoba, której udział w postępowaniu wzbudzałby uzasadnione wątpliwości co do jej bezstronności.

3. Pełnomocnik ds. naruszeń prowadzi elektroniczny Rejestr zgłoszeń, zawierający:
▪ numer zgłoszenia,
▪ przedmiot naruszenia prawa,
▪ dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób,
▪ adres do kontaktu sygnalisty, o ile został podany,
▪ datę dokonania zgłoszenia,
▪ informację o podjętych działaniach następczych,
▪ datę zakończenia sprawy.

4. Pełnomocnik ds. naruszeń potwierdza sygnaliście przyjęcie zgłoszenia w terminie 7 dni od dnia jego otrzymania, chyba że sygnalista nie podał adresu do kontaktu.

5. Pełnomocnik ds. naruszeń przekazuje sygnaliście informację zwrotną nie później niż w ciągu 3 miesięcy od dnia potwierdzenia przyjęcia zgłoszenia a w przypadku nie podania adresu do kontaktu – licząc od 8 dnia od otrzymania zgłoszenia.

§ 5. Poufność

1. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość sygnalisty, osoby, której dotyczy zgłoszenie oraz osoby trzeciej wskazanej w zgłoszeniu.

2. Do przyjmowania i weryfikacji zgłoszeń, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ust. 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne (w tym elektroniczne) upoważnienie Pretius.

3. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę.

4. Dane osobowe sygnalisty, pozwalające na ustalenie jego tożsamości podlegają ujawnieniu nieupoważnionym osobom tylko za wyraźną zgodą sygnalisty, która musi zostać udokumentowana.

§ 6. Przetwarzanie danych osobowych

1. Dane osobowe przetwarzane są w zakresie niezbędnym do przyjęcia zgłoszenia lub podjęcia ewentualnego działania następczego. Klauzula informacyjna stanowi Załącznik nr 1 do Regulaminu.

2. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy.

3. Przepisu art. 14 ust. 2 lit. f RODO (dotyczące wskazania źródła informacji) nie stosuje się, chyba że sygnalista nie spełnia warunków wskazanych w definicji albo wyraził wyraźną zgodę na ujawnienie swojej tożsamości.

4. Przepisu art. 15 ust. 1 lit. g RODO w zakresie przekazania informacji o źródle pozyskania danych osobowych nie stosuje się, chyba że sygnalista nie spełnia warunków wskazanych w definicji albo wyraził wyraźną zgodę na takie przekazanie.

5. Wobec osoby odpowiedzialnej za naruszenie obowiązek informacyjny spełnia się dopiero podczas pierwszej czynności, do jakiej będzie wezwana, np. złożenie wyjaśnień.

6. Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych (w tym treść zgłoszenia i korespondencji) są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono
działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami.

7. Po upływie terminu wskazanego w ust. 6 Pretius usuwa dane osobowe oraz niszczy dokumenty związane ze zgłoszeniem, chyba że dokumenty związane ze zgłoszeniem stanowią część akt postępowań przygotowawczych lub spraw sądowych lub sądowoadministracyjnych.

§ 7. Odpowiedzialność

1. Osoba, która poniosła szkodę z powodu świadomego zgłoszenia nieprawdziwych informacji przez sygnalistę, ma prawo do odszkodowania lub zadośćuczynienia za naruszenie dóbr osobistych od sygnalisty, który dokonał takiego zgłoszenia.

2. Kto dokonuje zgłoszenia, wiedząc, że do naruszenia prawa nie doszło, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

3. Kto ujawnia tożsamość sygnalisty, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku.

4. Kto podejmuje działania odwetowe wobec sygnalisty, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.

Załącznik nr 1. Klauzula informacyjna RODO

Na podstawie art. 13 ust. 1 i 2 oraz art. 14 ust. 1 i 2 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz. Urz. UE L 119/1 z 2016 r.)
(„RODO”), informujemy, że:

1. Administratorem danych osobowych jest Pretius Software Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie/Pretius Low-code Spółka z ograniczoną odpowiedzialnością z siedzibą w Warszawie.

2. Administrator wyznaczył GDPR Officer’a, z którym można się skontaktować pod adresem e-mail: rodo@pretius.com.

3. Dane osobowe będą przetwarzane w celu przyjmowania zgłoszeń wewnętrznych, weryfikacji zgłoszeń, podejmowania działań następczych; prowadzenia rejestru zgłoszeń wewnętrznych, realizując w tym zakresie obowiązek prawny wynikający z ustawy o ochronie sygnalistów (art. 6 ust. 1 lit. c RODO).

4. Podanie danych osobowych identyfikujących sygnalistę, inne osoby, które mają zostać objęte ochroną oraz osoby odpowiedzialne za naruszenie jest dobrowolne, ale niezbędne do realizacji celów podanych w pkt 3 powyżej.

5. Dane osobowe będą przetwarzane wyłącznie przez osoby upoważnione, zachowując poufność wymaganą przepisami ustawy o ochronie sygnalistów.

6. Dane osobowe mogą być ujawnione podmiotom, które przetwarzają dane osobowe w imieniu Administratora, np. dostawcom usług IT (hosting) czy dostawcom dostarczającym narzędzia do zarządzania wewnętrznego.

7. Niektóre z ww. podmiotów, jak Microsoft czy Google przetwarzają dane osobowe w krajach trzecich, zapewniając jednak o zabezpieczaniu przetwarzanych danych zgodnie z przepisami RODO.

8. Dane osobowe mogą być także ujawnione innym zaufanym odbiorcom, jeżeli jest to niezbędne do realizacji konkretnego celu przetwarzania, np. operatorom pocztowym, operatorowi telefonii komórkowej, kancelariom
prawnym; również mogą zostać ujawnione podmiotom upoważnionym na podstawie przepisów prawa, w tym organom administracji publicznej czy organom wymiaru sprawiedliwości.

9. Administrator oświadcza, że dane osobowe nie będą przetwarzane w sposób zautomatyzowany i nie będą poddawane profilowaniu.

10. Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych (w tym treść zgłoszenia i korespondencji) są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami, chyba że dokumenty związane ze zgłoszeniem stanowią część akt postępowań przygotowawczych lub spraw sądowych lub sądowoadministracyjnych.

11. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane.

12. Dane osobowe ze zgłoszenia, które nie spełnia przesłanek definicji zgłoszenia w rozumieniu Regulaminu, będą przechowywane do upływu potencjalnych roszczeń cywilnoprawnych, czyli przez 6 lat po zakończeniu roku kalendarzowego, w którym ustalono, że zgłoszenie nie jest zgłoszeniem w rozumieniu Regulaminu.

13. Prawo do żądania dostępu do danych osobowych, podania źródła danych (czyli ujawnienia tożsamości sygnalisty), ich sprostowania, usunięcia lub ograniczenia przetwarzania ograniczone jest przepisami ustawy o ochronie sygnalistów, gwarantując poufność przetwarzanych danych osobowych.

14. Prawo do wniesienia sprzeciwu wobec przetwarzania, a także o prawo do przenoszenia danych, jak też prawo do cofnięcia wyrażonej zgody w każdym momencie bez wpływu na zgodność z prawem przetwarzania danych przed jej odwołaniem nie mają zastosowania.

15. Osoba, której dane dotyczą ma prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.