Compliance i kanał sygnalistów

Wprowadzenie

BIO OIL GROUP zobowiązuje się do uczciwości, przejrzystości i zgodności z prawem we wszystkich obszarach działalności. Aby umożliwić poufne zgłaszanie naruszeń, nieprawidłowości i wątpliwości, BIO OIL GROUP prowadzi kanał sygnalistów zgodnie z Dyrektywą UE o ochronie sygnalistów (2019/1937), niemiecką ustawą o ochronie sygnalistów (HinSchG) oraz austriacką ustawą o ochronie sygnalistów (HSchG). Jeżeli poszczególne spółki Grupy nie osiągają progu zatrudnienia określonego w tych ustawach (w Niemczech 50 pracowników zgodnie z § 12 ust. 2 HinSchG), kanał jest prowadzony dobrowolnie, aby zapewnić wszystkim sygnalistom – niezależnie od wielkości spółki – chronioną ścieżkę zgłoszeń.

Kto może zgłaszać i co można zgłaszać

Kanał jest otwarty dla wszystkich obecnych i byłych pracowników, kandydatów do pracy, dostawców, klientów, partnerów biznesowych oraz innych osób trzecich, które uzyskały istotne informacje w ramach swojej działalności zawodowej. Zgłoszenia mogą dotyczyć w szczególności:

  • Dyskryminacji, molestowania lub mobbingu w miejscu pracy
  • Korupcji, łapownictwa, konfliktu interesów lub prania pieniędzy
  • Naruszeń przepisów BHP, zdrowia lub ochrony środowiska
  • Naruszeń ochrony danych osobowych, bezpieczeństwa IT lub poufności
  • Oszustw księgowych, sprzeniewierzenia lub innych nieprawidłowości finansowych
  • Naruszeń obowiązków w łańcuchu dostaw, praw człowieka lub zrównoważonego rozwoju (LkSG, CSDDD)
  • Innych istotnych naruszeń przepisów prawa, regulacji lub naszego Kodeksu postępowania

Ochrona sygnalisty

BIO OIL GROUP gwarantuje pełną ochronę wszystkim sygnalistom działającym w dobrej wierze. Konkretnie oznacza to:

  • Ścisłą poufność każdego wpływającego zgłoszenia
  • Zakaz jakichkolwiek działań odwetowych (zwolnienie, przeniesienie, tolerowanie mobbingu, blokowanie kariery, środki dyscyplinarne lub porównywalne pokrzywdzenie)
  • Niezależne rozpatrywanie przez dedykowaną funkcję compliance (zob. sekcja 'Odpowiedzialność')
  • Odwrócenie ciężaru dowodu w przypadku podejrzenia odwetu: firma musi udowodnić, że ewentualne pogorszenie sytuacji nie ma związku ze zgłoszeniem
  • Zgłoszenia nadużywające procedurę są weryfikowane, ale nie będą wykorzystywane przeciwko sygnaliście, o ile sam nie działa bezprawnie

Poufność i anonimowość tego kanału

Kanał jest zaprojektowany tak, aby umożliwić poufne zgłoszenie i – w razie życzenia – zachowanie pełnej anonimowości. Otwarcie wskazujemy, jakie środki podejmujemy oraz jakie są techniczne ograniczenia rozwiązania web-do-e-mail.

Czego nasza aplikacja nie zbiera ani nie przechowuje:

  • Żadnego adresu IP ani danych połączenia sygnalisty w naszej aplikacji
  • Żadnych plików cookie, żadnego śledzenia ani odcisków przeglądarki na tej stronie
  • Żadnego wpisu zgłoszenia w bazie danych na naszych serwerach; formularz nie zapisuje żadnej treści do bazy danych
  • Żadnej zautomatyzowanej analizy treści przez podmioty trzecie (np. AI-owe filtry spamu lub sentymentu)

Przetwarzanie technicznie i prawnie niezbędne, które transparentnie wskazujemy:

  • Nasz dostawca hostingu (Vercel) przez krótki czas przetwarza dane połączenia w logach serwera w celu dostarczenia strony. Logi te nie są dostępne dla funkcji compliance i są usuwane po krótkim okresie retencji
  • Zgłoszenie jest przekazywane poprzez transmisję zabezpieczoną TLS do skrzynki funkcji compliance. E-mail nie jest kanałem szyfrowanym end-to-end; metadane jak znaczniki czasu serwerów i trasy poczty powstają technicznie nieuchronnie. Sama wiadomość e-mail nie zawiera żadnych danych o sygnaliście, chyba że Państwo je podadzą
  • Po otrzymaniu funkcja compliance dokumentuje sprawę w rejestrze o ograniczonym dostępie zgodnie z § 11 HinSchG / § 14 HSchG (zob. sekcja 'Procedura')

Zalecenia dla szczególnie wrażliwych zgłoszeń:

  • Otwarcie strony przez Tor Browser lub zaufaną usługę VPN
  • Rezygnacja z podawania kontaktowego e-maila – lub użycie anonimowego adresu jednorazowego (np. ProtonMail, Tutanota)
  • Unikanie identyfikujących wyrażeń w treści zgłoszenia, o ile nie są niezbędne dla zrozumienia

Mogą Państwo dobrowolnie podać kontaktowy adres e-mail, jeśli życzą sobie pytań uzupełniających lub informacji zwrotnej. W przeciwnym razie zgłoszenie pozostaje anonimowe; w takim przypadku potwierdzenie odbioru nie jest technicznie możliwe.

Odpowiedzialność i obsługa

Zgłoszenia są przyjmowane wyłącznie przez funkcję compliance BIO OIL GROUP. Jest ona organizacyjnie niezależna od obszarów operacyjnych, podlega bezpośrednio zarządowi i jest objęta odrębnym obowiązkiem zachowania poufności. Krąg osób uprawnionych jest ustalony imiennie i ograniczony do prawnie wymaganego minimum. W razie potrzeby angażowana jest zewnętrzna kancelaria adwokacka, w szczególności gdy zgłoszenia dotyczą członków samego zarządu.

Procedura po otrzymaniu zgłoszenia

Procedura odpowiada wymogom ustawowym § 17 HinSchG i § 19 HSchG:

  • Jeśli podali Państwo kontakt: potwierdzenie wpłynięcia w ciągu siedmiu dni
  • Sprawdzenie zgłoszenia pod kątem zasadności i wiarygodności przez funkcję compliance
  • W razie potrzeby poufne pytania uzupełniające za pośrednictwem podanego kanału
  • Wszczęcie odpowiednich działań następczych (wewnętrzne dochodzenie, środki naprawcze, przekazanie organom zewnętrznym)
  • Informacja zwrotna o wyniku w ciągu trzech miesięcy, o ile podano możliwość kontaktu
  • Dokumentacja sprawy w rejestrze o ograniczonym dostępie i przechowywanie przez trzy lata po zakończeniu postępowania (§ 11 HinSchG), o ile nie obowiązuje dłuższy ustawowy okres przechowywania

Ochrona danych zgodnie z RODO

Gdy składają Państwo zgłoszenie za pośrednictwem tego formularza, przetwarzamy dane osobowe wyłącznie w zakresie wymaganym przez prawo. Niniejsza informacja o ochronie danych uzupełnia naszą ogólną politykę prywatności.

  • Administrator: BIO OIL GROUP, reprezentowana przez zarząd. Pełne dane kontaktowe i adres znajdą Państwo w stopce redakcyjnej (imprint).
  • Przetwarzane dane: Treść zgłoszenia (kategoria, opis) oraz – jeśli zostały podane dobrowolnie – wskazany przez Państwa kontaktowy adres e-mail.
  • Podstawa prawna: art. 6 ust. 1 lit. c) RODO (obowiązki prawne wynikające z HinSchG, HSchG, LkSG); art. 6 ust. 1 lit. f) RODO (uzasadniony interes w zakresie integralności i compliance); art. 6 ust. 1 lit. a) RODO (zgoda) w odniesieniu do dobrowolnego podania adresu e-mail.
  • Odbiorcy: Wyłącznie imiennie wyznaczeni członkowie funkcji compliance oraz, w razie potrzeby, zewnętrzna kancelaria adwokacka objęta obowiązkiem zachowania poufności. Przekazanie osobom trzecim (np. organom ścigania) następuje tylko, jeżeli wymaga tego prawo lub jest niezbędne dla dochodzenia roszczeń prawnych.
  • Okres przechowywania: Akta sprawy są przechowywane przez trzy lata po zakończeniu postępowania zgodnie z § 11 HinSchG / § 14 HSchG, najdłużej do upływu ustawowych okresów przechowywania.
  • Prawa: Mają Państwo prawo dostępu (art. 15 RODO), sprostowania (art. 16), usunięcia (art. 17), ograniczenia przetwarzania (art. 18), przenoszenia danych (art. 20) i sprzeciwu (art. 21). Wykonywanie tych praw może być ustawowo ograniczone, jeśli zagrażałoby ochronie sygnalistów lub przebiegowi postępowania (§ 8 HinSchG).
  • Prawo do skargi: Mają Państwo w każdej chwili prawo do złożenia skargi do organu nadzorczego ds. ochrony danych, na przykład do Prezesa Urzędu Ochrony Danych Osobowych (UODO) w Polsce.
  • Międzynarodowy transfer danych: Nie odbywa się przekazywanie do państw trzecich poza UE/EOG.

Zewnętrzne organy zgłoszeniowe

Mają Państwo zawsze prawo zgłaszać naruszenia również bezpośrednio do zewnętrznych organów zgłoszeniowych, na przykład do Federalnego Urzędu Sprawiedliwości (Niemcy), Federalnego Urzędu ds. Zapobiegania i Zwalczania Korupcji (Austria) lub właściwych organów państw członkowskich UE. Wcześniejsze zgłoszenie wewnętrzne nie jest wymagane; zalecamy je jednak, aby umożliwić szybkie podjęcie działań.

Złóż zgłoszenie

Prosimy o jak najbardziej konkretny opis sytuacji. Należy podać daty, osoby zaangażowane (jeśli są znane), lokalizacje oraz dostępne dowody. Im bardziej precyzyjne zgłoszenie, tym lepiej możemy zareagować.

Minimum 50, maksimum 5000 znaków.

Prosimy wypełnić tylko, jeśli oczekują Państwo odpowiedzi. Anonimowe jednorazowe adresy (ProtonMail, Tutanota itp.) są wyraźnie dozwolone.

Ta aplikacja nie zapisuje żadnego adresu IP, żadnych plików cookie i nie zapisuje zgłoszenia w bazie danych. Zgłoszenie jest przekazywane poprzez transmisję zabezpieczoną TLS do funkcji compliance i tam dokumentowane z ograniczonym dostępem zgodnie z § 11 HinSchG / § 14 HSchG.

Pytania dotyczące tego kanału lub procedury prosimy kierować do naszej funkcji compliance: compliance@bio-oil.biz