WEWNĘTRZNA

 PROCEDURA DOKONYWANIA ZGŁOSZEŃ NARUSZEŃ PRAWA 

 I PODEJMOWANIA DZIAŁAŃ NASTĘPCZYCH

Preambuła 

Niniejsza procedura stanowi realizację obowiązków określonych w ustawie z dnia 14.06.2024 r. o ochronie sygnalistów. 

Celem niniejszej procedury jest ustalenie wewnętrznych zasad zgłaszania informacji o naruszeniach prawa i podejmowania działań następczych obowiązujących w C + P Systemy Meblowe Sp. z o.o. z siedzibą w Legnicy (59-220) przy ul. Jaworzyńskiej 293, wpisanej do rejestru przedsiębiorców KRS pod numerem 0000025760.

§ 1 Definicje 

Ilekroć w procedurze jest mowa o:

1) pracodawcy/ podmiocie prawnym – należy przez to rozumieć C + P Systemy Meblowe Sp. z o.o. z siedzibą w Legnicy (59-220) przy ul. Jaworzyńskiej 293, wpisaną do rejestru przedsiębiorców KRS pod numerem 0000025760; 

2) naruszeniu prawa – należy przez to rozumieć działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa, dotyczące: korupcji, zamówień publicznych, usług, produktów i rynków finansowych, przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, bezpieczeństwa produktów i ich zgodności z wymogami, bezpieczeństwa transportu, ochrony środowiska, ochrony radiologicznej i bezpieczeństwa jądrowego, bezpieczeństwa żywności i pasz, zdrowia i dobrostanu zwierząt, zdrowia publicznego, ochrony konsumentów, ochrony prywatności i danych osobowych, bezpieczeństwa sieci i systemów teleinformatycznych, interesów finansowych Skarbu Państwa Rzeczypospolitej Polskiej, jednostki samorządu terytorialnego oraz Unii Europejskiej, rynku wewnętrznego Unii Europejskiej, w tym publicznoprawnych zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych lub konstytucyjnych wolności i praw człowieka i obywatela - występujące w stosunkach jednostki z organami władzy publicznej i niezwiązane z dziedzinami wskazanymi powyżej; 

 3) sygnaliście – należy przez to rozumieć osobę fizyczną, która zgłasza lub ujawnia publicznie informację o naruszeniu prawa uzyskaną w kontekście związanym z pracą, w szczególności pracownik, pracownik tymczasowy, osoba świadcząca pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej, przedsiębiorca, prokurent, wspólnik, osoba świadcząca pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy, stażysta, wolontariusz, praktykant; 

 4) kontekście związanym z pracą - należy przez to rozumieć przeszłe, obecne lub przyszłe działania związane z wykonywaniem pracy na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji w podmiocie prawnym lub na rzecz tego podmiotu, w ramach których uzyskano informację o naruszeniu prawa oraz istnieje możliwość doświadczenia działań odwetowych; 

 5) działaniu odwetowym – należy przez to rozumieć bezpośrednie lub pośrednie działanie lub zaniechanie w kontekście związanym z pracą, które jest spowodowane zgłoszeniem lub ujawnieniem publicznym i które narusza lub może naruszyć prawa sygnalisty lub wyrządza lub może wyrządzić nieuzasadnioną szkodę sygnaliście, w tym bezpodstawne inicjowanie postępowań przeciwko sygnaliści;

 6) informacji o naruszeniu prawa - należy przez to rozumieć informację, w tym uzasadnione podejrzenie dotyczące zaistniałego lub potencjalnego naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie w podmiocie prawnym, w którym sygnalista uczestniczył w procesie rekrutacji lub innych negocjacji poprzedzających zawarcie umowy, pracuje lub pracował, lub w innym podmiocie prawnym, z którym sygnalista utrzymuje lub utrzymywał kontakt w kontekście związanym z pracą, lub informację dotyczącą próby ukrycia takiego naruszenia prawa; 

 7) zgłoszeniu - należy przez to rozumieć ustne lub pisemne zgłoszenie wewnętrzne lub zgłoszenie zewnętrzne, przekazane zgodnie z wymogami określonymi w ustawie z dnia 14.06.2024 r. o ochronie sygnalistów; 

 8) zgłoszeniu wewnętrznym – należy przez to rozumieć ustne lub pisemne przekazanie podmiotowi prawnemu informacji o naruszeniu prawa; 

 9) zgłoszeniu zewnętrznym – należy przez to rozumieć ustne lub pisemne przekazanie Rzecznikowi Praw Obywatelskich albo organowi publicznemu informacji o naruszeniu prawa; 

 10) zgłoszeniu anonimowym – należy przez to rozumieć zgłoszenie, które nie zostało podpisane imieniem i nazwiskiem sygnalisty, nawet jeśli na podstawie bardziej wnikliwej analizy zgłoszenia można ustalić tożsamość jego autora; 

 11) ujawnieniu publicznym - należy przez to rozumieć podanie informacji o naruszeniu prawa do wiadomości publicznej; 

 12) organie publicznym – należy przez to rozumieć naczelne i centralne organy administracji rządowej, terenowe organy administracji rządowej, organy jednostek samorządu terytorialnego, inne organy państwowe oraz inne podmioty wykonujące z mocy prawa zadania z zakresu administracji publicznej, właściwe do podejmowania działań następczych w dziedzinach wskazanych w pkt 2; 

 13) działaniu następczym - należy przez to rozumieć działanie podjęte w celu oceny prawdziwości informacji zawartych w zgłoszeniu oraz w celu przeciwdziałania naruszeniu prawa będącemu przedmiotem zgłoszenia, w szczególności przez postępowanie wyjaśniające, wszczęcie kontroli lub postępowania administracyjnego, wniesienie oskarżenia, działanie podjęte w celu odzyskania środków finansowych lub zamknięcie procedury realizowanej w ramach wewnętrznej procedury dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych lub procedury przyjmowania zgłoszeń zewnętrznych i podejmowania działań następczych; 

 14) informacji zwrotnej - należy przez to rozumieć przekazaną sygnaliście informację na temat planowanych lub podjętych działań następczych i powodów takich działań; 

 15) osobie, której dotyczy zgłoszenie - należy przez to rozumieć osobę fizyczną, osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej, której ustawa przyznaje zdolność prawną, wskazaną w zgłoszeniu lub ujawnieniu publicznym jako osoba, która dopuściła się naruszenia prawa, lub jako osoba, z którą osoba, która dopuściła się naruszenia prawa, jest powiązana; 

 16) procedurze – należy przez to rozumieć niniejszą wewnętrzną procedurę dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych. 

§ 2 Podmiot odpowiedzialny za odbieranie zgłoszeń wewnętrznych

Odpowiedzialny za odbieranie zgłoszeń jest dostawca usług informatycznych (dostawca aplikacji) oferujący oprogramowanie do obsługi zgłoszeń - TechInLaw sp. z o.o., KRS: 0000934003 (www.esignaller.pl). 

 § 3 Sposób przekazywania zgłoszeń wewnętrznych 

 Zgłoszenia mogą być przekazywane pisemnie w postaci elektronicznej poprzez wypełnienie formularza zgłoszeniowego dostępnego pod linkiem: https://app.esignaller.pl/breach/report/4451DD63F7C905FA04E8, który udostępniony jest również na stronie internetowej pracodawcy: www.cpmeble.pl 

§ 4 Zgłoszenia wewnętrzne anonimowe 

Zgłoszenia anonimowe są niedopuszczalne i nie będą rozpatrywane. 

 § 5 Potwierdzenie otrzymania zgłoszenia wewnętrznego 

 1. Podmiot, o którym mowa w § 2 ma obowiązek potwierdzenia sygnaliście przyjęcia zgłoszenia wewnętrznego w terminie 7 dni od dnia jego otrzymania, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać potwierdzenie. 

 2. Sygnalista otrzyma potwierdzenie przyjęcia zgłoszenia bezpośrednio po wypełnieniu i wysłaniu formularza zgłoszeniowego, o którym mowa w § 3. Wraz z potwierdzeniem przyjęcia zgłoszenia sygnalista otrzyma również link, pod którym będą pojawiać się wszelkie aktualizacje zgłoszenia, do którego sygnalista będzie mieć dostęp po wpisaniu utworzonego przez siebie uprzednio kodu PIN. 

 § 6 Podmiot uprawniony do podejmowania działań następczych 

 1. Podmiotem uprawnionym i obowiązanym do podjęcia działań następczych, z zachowaniem należytej staranności, jest 2 lub 3-osobowa komisja, w skład której wchodzą: 

 a) zawsze: główny księgowy, kierownik działu kadr i płac (stali członkowie komisji) oraz 

 b) w razie potrzeby dodatkowo: informatyk. 

 2. O tym, czy w skład komisji wchodzić będzie informatyk, decydują każdorazowo stali członkowie komisji, niezwłocznie po pierwszym zapoznaniu się ze zgłoszeniem wewnętrznym. 

 3. Podmiot, o którym mowa w ust. 1 jest upoważniony w szczególności do weryfikacji zgłoszenia wewnętrznego i dalszej komunikacji z sygnalistą, w tym występowania o dodatkowe informacje i przekazywania sygnaliście informacji zwrotnej. 

§ 7 Działania podejmowane po otrzymaniu zgłoszenia wewnętrznego

 1. Niezwłocznie po otrzymaniu zgłoszenia od podmiotu odbierającego zgłoszenie, o którym mowa w § 2, podmiot, o którym mowa w § 6 ust. 1, dokonuje wstępnej weryfikacji zgłoszenia wewnętrznego w zakresie tego, czy zgłoszenie dotyczy naruszenia prawa oraz czy zostało dokonane przez osobę do tego uprawnioną (sygnalistę). 

 2. W razie ustalenia, iż zgłoszenie dotyczy naruszenia prawa oraz zostało dokonane przez sygnalistę, podmiot, o którym mowa w § 6 ust. 1, dokonuje dalszej weryfikacji zgłoszenia wewnętrznego poprzez wszczęcie wewnętrznego postępowania wyjaśniającego. 

 3. Wewnętrzne postępowania wyjaśniające nie powinno trwać dłużej niż 30 dni. W sprawach szczególnie skomplikowanych istnieje możliwość wydłużenia tego terminu o kolejne 30 dni. O wydłużeniu terminu podmiot, o którym mowa w § 6 ust. 1, powinien poinformować sygnalistę, chyba że sygnalista nie podał danych do kontaktu. 

 4. W toku wewnętrznego postępowania wyjaśniającego podmiot, o którym mowa w § 6 ust. 1, może w szczególności: 

 1) wysłuchać sygnalisty, 
 2) występować do sygnalisty z wnioskiem o dodatkowe informacje, 
 3) wysłuchać osób, których dotyczy zgłoszenie, 
 4) wysłuchać osób, które mogą być świadkami naruszenia prawa, 
 5) występować do odpowiednich jednostek organizacyjnych pracodawcy lub osób świadczących pracę na jego rzecz o udzielenie informacji i wyjaśnień lub przekazanie dowodów, w tym dokumentów, 
 6) zabezpieczyć dane informatyczne na sprzęcie służbowym (laptop, telefon), a także serwerach e-mailowych, stworzyć kopie zapasowe i przeanalizować zebrane dane, np. korespondencje e-mail i w związku z tym zasięgnąć pomocy zewnętrznych ekspertów (informatyków śledczych, specjalistów z zakresu IT), którzy przeprowadzą czynności techniczno-zabezpieczające; 
 7) zapoznać się z monitoringiem wizyjnym / monitoringiem poczty elektronicznej. 

 5. Z wewnętrznego postępowania wyjaśniającego sporządzany jest protokół, który powinien zawierać: 

 1) dokładny opis dokonanego zgłoszenia i wskazanych w nim naruszeń prawa oraz osób wymienionych w treści zgłoszenia, 
 2) podjęte w toku postępowania działania, 
 3) wskazanie osób biorących udział w postępowaniu i ich rolę w ramach zgłoszenia, 
 4) ostateczne ustalenia w zakresie informacji przekazanych w zgłoszeniu oraz decyzje co do dalszych działań następczych, w szczególności indywidualne decyzje wobec sprawców naruszeń prawa (np. zastosowanie kar porządkowych, zmiana zakresu obowiązków, zmiana modelu raportowania czy rozwiązanie umowy o pracę, o współpracy), decyzje co do zawiadomienia organów publicznych o stwierdzonym naruszeniu (np. prokuratury o podejrzeniu popełnienia przestępstwa), decyzje co do wdrożenia/aktualizacji procedur compliance, przeprowadzenia audytu, monitoringu, skierowania grup lub indywidualnych pracowników na szkolenie, mentoring czy coaching etc. 

 6. Wzór protokołu, o którym mowa w ust. 5, stanowi załącznik nr 1 do procedury. 

 7. Decyzje, o których mowa w ust. 5 pkt 4, podlegają wykonaniu przez odpowiednie jednostki organizacyjne podmiotu prawnego. 

§ 8 Informacja zwrotna 

Sygnalista powinien otrzymać informację zwrotną w maksymalnym terminie, nieprzekraczającym 3 miesięcy od dnia potwierdzenia przyjęcia zgłoszenia wewnętrznego lub - w przypadku nieprzekazania potwierdzenia, o którym mowa w ust. 1, 3 miesięcy od upływu 7 dni od dnia dokonania zgłoszenia wewnętrznego, chyba że sygnalista nie podał adresu do kontaktu, na który należy przekazać informację zwrotną. Informację zwrotną ma obowiązek przekazać podmiot, o którym mowa w § 6 ust. 1. 

 § 9 Obowiązek zapewnienia ochrony poufności tożsamości sygnalisty 

 1. Podmiot prawny gwarantuje, że procedura zgłoszeń wewnętrznych oraz związane z przyjmowaniem zgłoszeń przetwarzanie danych osobowych uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych zgłoszeniem oraz zapewniają ochronę poufności tożsamości sygnalisty, osoby, której dotyczy zgłoszenie, oraz osoby trzeciej wskazanej w zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób. 

 2. Do przyjmowania i weryfikacji zgłoszeń wewnętrznych, podejmowania działań następczych oraz przetwarzania danych osobowych osób, o których mowa w ust. 1, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie podmiotu prawnego, którego wzór stanowi załącznik nr 2 do procedury. 

 3. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji zgłoszeń wewnętrznych, oraz podejmowania działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę. 

 § 10 Ochrona sygnalisty 

 Sygnalista podlega ochronie określonej w przepisach rozdziału 2 „Zakaz działań odwetowych i środki ochrony” ustawy z dnia 24.06.2024 r. o ochronie sygnalistów od chwili dokonania zgłoszenia lub ujawnienia publicznego, pod warunkiem że miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem zgłoszenia lub ujawnienia publicznego jest prawdziwa w momencie dokonywania zgłoszenia lub ujawnienia publicznego i że stanowi informację o naruszeniu prawa. 

§ 11 Rejestr zgłoszeń wewnętrznych 

 1. Podmiot prawny prowadzi rejestr zgłoszeń wewnętrznych i jest administratorem danych osobowych zgromadzonych w rejestrze zgłoszeń wewnętrznych. Podmiot prawny może upoważnić stałych członków komisji, o której mowa w § 6 procedury, do prowadzenia rejestru zgłoszeń wewnętrznych. Wzór upoważnienia stanowi załącznik nr 2 do procedury. 

 2. Wpisu do rejestru zgłoszeń wewnętrznych dokonuje się na podstawie zgłoszenia wewnętrznego. 

 3. Rejestr zgłoszeń wewnętrznych obejmuje: 

 1) numer zgłoszenia, 
 2) przedmiot naruszenia prawa, 
 3) dane osobowe sygnalisty oraz osoby, której dotyczy zgłoszenie, niezbędne do identyfikacji tych osób, 
 4) adres do kontaktu sygnalisty, 
 5) datę dokonania zgłoszenia, 
 6) informację o podjętych działaniach następczych, 
 7) datę zakończenia sprawy. 

 4. Wzór rejestru zgłoszeń wewnętrznych stanowi załącznik nr 3 do procedury. 

 5. Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono działania następcze, lub po zakończeniu postępowań zainicjowanych tymi działaniami. 

§ 12 Zgłoszenia zewnętrzne 

 1. Sygnalista może dokonać zgłoszenia zewnętrznego bez uprzedniego dokonania zgłoszenia wewnętrznego. 

 2. Zgłoszenie zewnętrzne jest przyjmowane przez Rzecznika Praw Obywatelskich albo organ publiczny oraz - w stosownych przypadkach - instytucje, organy lub jednostki organizacyjne Unii Europejskiej. 

 3. Rzecznik Praw Obywatelskich oraz organ publiczny są odrębnymi administratorami w zakresie danych osobowych podanych w zgłoszeniu zewnętrznym, które zostało przyjęte przez te organy. 

 4. Zgłoszenie zewnętrzne może być dokonane ustnie lub pisemnie. 

 5. Zgłoszenie zewnętrzne w formie dokumentowej może być dokonane: 

 1) w postaci papierowej - na adres do korespondencji wskazany przez Rzecznika Praw Obywatelskich lub organ publiczny przyjmujący zgłoszenie, 
 2) w postaci elektronicznej - na adres poczty elektronicznej lub adres elektronicznej skrzynki podawczej, lub adres do doręczeń elektronicznych, wskazane przez Rzecznika Praw Obywatelskich lub organ publiczny przyjmujący zgłoszenie, lub za pośrednictwem przeznaczonego do tego formularza internetowego lub aplikacji wskazanej przez organ publiczny jako aplikacja właściwa do dokonywania zgłoszeń w postaci elektronicznej

6. Rzecznik Praw Obywatelskich albo organ publiczny, który przyjął zgłoszenie zewnętrzne, przesyła sygnaliście niezwłocznie, nie później jednak niż w terminie 7 dni od dnia przyjęcia zgłoszenia, potwierdzenie jego przyjęcia, chyba że sygnalista wystąpił wyraźnie z odmiennym wnioskiem w tym zakresie lub Rzecznik Praw Obywatelskich albo organ publiczny ma uzasadnione podstawy sądzić, że potwierdzenie przyjęcia zgłoszenia zagroziłoby ochronie poufności tożsamości sygnalisty. 

 7. Na żądanie sygnalisty organ publiczny właściwy do podjęcia działań następczych wydaje nie później niż w terminie miesiąca od dnia otrzymania żądania zaświadczenie, w którym potwierdza, że sygnalista podlega ochronie określonej w przepisach rozdziału 2 „Zakaz działań odwetowych i środki ochrony” ustawy z dnia 24.06.2024 r. o ochronie sygnalistów. 

 8. Aktualne informacje na temat sposobu i trybu dokonywania zgłoszeń zewnętrznych można znaleźć na stronach internetowych właściwych organów publicznych, w tym Rzecznika Praw Obywatelskich. 

§ 13 Postanowienia końcowe

1. Treść procedury została ustalona w drodze konsultacji z przedstawicielami osób świadczących pracę na rzecz podmiotu prawnego (przedstawicielami pracowników). 

 2. Osobie ubiegającej się o pracę na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji, lub pełnienia służby pracodawca przekazuje informację o procedurze zgłoszeń wewnętrznych wraz z rozpoczęciem rekrutacji lub negocjacji poprzedzających zawarcie umowy. 

 3. Procedura wchodzi w życie po upływie 7 dni od dnia podania jej do wiadomości osób wykonujących pracę w sposób przyjęty w podmiocie prawnym, tj. poprzez wywieszenie na tablicy ogłoszeń.