Fullstack Python/React Developer

Personal data

First name *

Surname *

CV * (system.max.size)

form.public.click.file

E-mail *

Phone number

Additional questions

What's your preferred working style?

Remote

Hybrid

Office

When could you start a new job?

Leave us a comment if you like

form.mark.all form.unmark.all

Potwierdzam, że zapoznałem/am się z Wewnętrzną procedurą zgłaszania naruszeń prawa w Grape Up Sp. z o.o. _________________ I confirm that I have been familiarized with the Internal procedure for reporting breaches of law at Grape Up Sp. z o.o.

Wewnętrzna procedura dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych w Grape Up sp. z o.o. z siedzibą w Krakowie § 1 CEL PROCEDURY 1. Niniejsza Procedura została stworzona w celu wykonania obowiązków Grape Up Sp. z o.o. z siedzibą w Krakowie wynikających z: a) Ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów, b) Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii. 2. Procedura ma na celu ukształtowanie efektywnego systemu informowania o naruszeniach prawa w Grape Up Sp. z o.o. poprzez stworzenie kompleksowej regulacji obejmującej problematykę ujawniania Naruszeń prawa oraz rzetelnego prowadzenia Działań następczych. 3. Celem Procedury jest również ochrona Sygnalistów przed ewentualnymi Działaniami odwetowymi, a także zapobiegnięcie negatywnym skutkom Naruszeń prawa w Grape Up Sp. z o.o. poprzez wczesne wykrycie i usunięcie zgłoszonych przypadków nieprawidłowości. § 2 DEFINICJE Określenia użyte w niniejszej Procedurze oznaczają: 1. Sygnalista osoba fizyczna, która zgłasza lub ujawnia publicznie Informację o naruszeniu prawa uzyskaną w Kontekście związanym z pracą, w tym: a) pracownik; b) pracownik tymczasowy; c) osoba świadcząca pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej; d) przedsiębiorca; e) prokurent; f) akcjonariusz lub wspólnik; g) członek organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej; h) osoba świadcząca pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy; i) stażysta; j) wolontariusz; k) praktykant; 2. Członek Zarządu osoba odpowiedzialna za przyjmowanie Zgłoszeń wewnętrznych; 3. Działanie następcze działanie podjęte przez Grape Up w celu oceny prawdziwości zarzutów zawartych w Zgłoszeniu oraz w celu przeciwdziałania Naruszeniu prawa, będącego przedmiotem Zgłoszenia, w szczególności przez postępowanie wyjaśniające, wszczęcie kontroli lub postępowania administracyjnego, wniesienie oskarżenia, działanie podjęte w celu odzyskania środków finansowych lub zamknięcie postępowania realizowanego w ramach niniejszej Procedury; 4. Działanie odwetowe bezpośrednie lub pośrednie działanie lub zaniechanie w Kontekście związanym z pracą, które jest spowodowane Zgłoszeniem lub Ujawnieniem publicznym i które narusza lub może naruszyć prawa Sygnalisty lub wyrządza lub może wyrządzić nieuzasadnioną szkodę Sygnaliście, w tym bezpodstawne inicjowanie postępowań przeciwko Sygnaliście; 5. Grape Up Grape Up Sp. z o.o. z siedzibą w Krakowie, adres: ul. Hetmana Żółkiewskiego 17A, 31-539 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy KRS pod numerem 0000513816, NIP: 945-217-93-09, REGON: 123118640; 6. Informacja o naruszeniu prawa informacja, w tym uzasadnione podejrzenie dotyczące zaistniałego lub potencjalnego Naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie w Grape Up lub informacja dotycząca próby ukrycia takiego Naruszenia prawa; 7. Informacja zwrotna przekazana Sygnaliście informacja na temat planowanych lub podjętych Działań następczych i ich powodów; 8. Kontekst związany z pracą przeszłe, obecne lub przyszłe działania związane z wykonywaniem pracy na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji w Grape Up lub na jego rzecz, w ramach których uzyskano Informację o naruszeniu prawa oraz istnieje możliwość doświadczenia Działań odwetowych; 9. Naruszenie prawa działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa dotyczące: a) korupcji; b) zamówień publicznych; c) usług, produktów i rynków finansowych; d) przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu; e) bezpieczeństwa produktów i ich zgodności z wymogami; f) bezpieczeństwa transportu; g) ochrony środowiska; h) ochrony radiologicznej i bezpieczeństwa jądrowego; i) bezpieczeństwa żywności i pasz; j) zdrowia i dobrostanu zwierząt; k) zdrowia publicznego; l) ochrony konsumentów; m) ochrony prywatności i danych osobowych; n) bezpieczeństwa sieci i systemów teleinformatycznych; o) interesów finansowych Skarbu Państwa RP, jednostki samorządu terytorialnego oraz Unii Europejskiej; p) rynku wewnętrznego Unii Europejskiej, w tym zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych; q) konstytucyjnych wolności i praw człowieka i obywatela występujące w stosunkach jednostki z organami władzy publicznej i niezwiązane z dziedzinami wskazanymi w lit. a) p); 10. Organ publiczny naczelne i centralne organy administracji rządowej, terenowe organy administracji rządowej, organy jednostek samorządu terytorialnego, inne organy państwowe oraz inne podmioty wykonujące z mocy prawa zadania z zakresu administracji publicznej, właściwe do podejmowania Działań następczych w dziedzinach wskazanych w punkcie 8 powyżej; 11. Osoba, której dotyczy zgłoszenie osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadającą osobowości prawnej, której ustawa przyznaje zdolność prawną, wskazana w Zgłoszeniu lub Ujawnieniu publicznym jako osoba, która dopuściła się Naruszenia prawa, lub jako osoba, z którą osoba, która dopuściła się Naruszenia prawa, jest powiązana; 12. Osoba pomagająca w dokonaniu zgłoszenia osoba fizyczna, która pomaga Sygnaliście w Zgłoszeniu lub Ujawnieniu publicznym w Kontekście związanym z pracą i której pomoc nie powinna zostać ujawniona; 13. Osoba powiązana z Sygnalistą osoba fizyczna, która może doświadczyć Działań odwetowych, w tym współpracownik lub osoba najbliższa wobec Sygnalisty (tj. małżonek, wstępny, zstępny, rodzeństwo, powinowaty w tej samej linii lub stopniu, osoba pozostająca w stosunku przysposobienia oraz jej małżonek, a także osoba pozostająca we wspólnym pożyciu); 14. People Operations Manager osoba odpowiedzialna za przyjmowanie Zgłoszeń wewnętrznych; 15. Pracownik osoba wykonująca na rzecz Grape Up pracę zarobkową lub świadcząca pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, niezależnie od podstawy zatrudnienia; 16. Procedura niniejsza Wewnętrzna procedura dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych w Grape Up; 17. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.); 18. Ujawnienie publiczne podanie Informacji o naruszeniu prawa do wiadomości publicznej; 19. Zgłoszenie Zgłoszenie wewnętrzne lub Zgłoszenie zewnętrzne; 20. Zgłoszenie wewnętrzne zgłoszenie przekazane do Grape Up na zasadach określonych w § 4 niniejszej Procedury; 21. Zgłoszenie zewnętrzne przekazanie Rzecznikowi Praw Obywatelskich albo Organowi publicznemu Informacji o naruszeniu prawa. § 3 OCHRONA SYGNALISTY 1. Sygnalista podlega ochronie określonej w niniejszym paragrafie od chwili dokonania Zgłoszenia lub Ujawnienia publicznego, pod warunkiem, że miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem Zgłoszenia lub Ujawnienia publicznego jest prawdziwa w momencie dokonywania Zgłoszenia lub Ujawnienia publicznego i że stanowi Informację o naruszeniu prawa. 2. Wobec Sygnalisty nie mogą być podejmowane Działania odwetowe ani próby lub groźby zastosowania takich Działań. 3. Wobec Sygnalisty nie mogą być podejmowane Działania odwetowe, polegające w szczególności na zastosowaniu lub próbie bądź groźbie zastosowania następujących działań: a) odmowie nawiązania stosunku pracy lub innego stosunku prawnego będącego podstawą wykonywania pracy zarobkowej na rzecz Grape Up; b) wypowiedzeniu lub rozwiązaniu bez wypowiedzenia stosunku pracy lub innego stosunku prawnego będącego podstawą wykonywania pracy zarobkowej na rzecz Grape Up; c) wypowiedzeniu umowy, której stroną jest Sygnalista, w szczególności dotyczącej sprzedaży lub dostawy towarów lub świadczenia usług, odstąpienie od takiej umowy lub rozwiązanie jej bez wypowiedzenia; d) niezawarciu umowy o pracę na czas określony lub umowy o pracę na czas nieokreślony po rozwiązaniu umowy o pracę na okres próbny, niezawarciu kolejnej umowy o pracę na czas określony lub niezawarciu umowy o pracę na czas nieokreślony po rozwiązaniu umowy o pracę na czas określony w przypadku, gdy Sygnalista miał uzasadnione oczekiwanie, że zostanie z nim zawarta taka umowa; e) obniżeniu wysokości wynagrodzenia za pracę lub świadczenie usług; f) wstrzymaniu awansu albo pominięciu przy awansowaniu; g) pominięciu przy przyznawaniu innych niż wynagrodzenie świadczeń związanych z pracą lub obniżeniu wysokości tych świadczeń; h) przeniesieniu na niższe stanowisko; i) zawieszeniu w wykonywaniu obowiązków pracowniczych lub służbowych; j) przekazaniu innemu Pracownikowi dotychczasowych obowiązków Sygnalisty; k) niekorzystnej zmianie miejsca wykonywania pracy lub rozkładu czasu pracy; l) negatywnej ocenie wyników pracy lub negatywnej opinii o pracy; m) nałożeniu lub zastosowaniu środka dyscyplinarnego, w tym kary finansowej, lub środka o podobnym charakterze; n) przymusie, zastraszaniu lub wykluczeniu; o) mobbingu; p) dyskryminacji; q) niekorzystnym lub niesprawiedliwym traktowaniu; r) wstrzymaniu udziału lub pominięciu przy typowaniu do udziału w szkoleniach podnoszących kwalifikacje zawodowe; s) nieuzasadnionym skierowaniu na badania lekarskie, w tym badania psychiatryczne, chyba że przepisy odrębne przewidują możliwość skierowania Pracownika na takie badania; t) działaniu zmierzającym do utrudnienia znalezienia w przyszłości zatrudnienia w danym sektorze lub w danej branży na podstawie nieformalnego lub formalnego porozumienia sektorowego lub branżowego; u) nałożenie obowiązku lub odmowę przyznania, ograniczenie lub odebranie uprawnienia, w szczególności koncesji, zezwolenia lub ulgi; v) spowodowaniu straty finansowej, w tym gospodarczej, lub utraty dochodu; w) wyrządzeniu innej szkody niematerialnej, w tym naruszeniu dóbr osobistych, w szczególności dobrego imienia Sygnalisty. 4. Ochrona, o której mowa w ust. 3 powyżej nie przysługuje w przypadku, gdy: a) konieczność lub potrzeba podjęcia przez Grape Up działań, o których mowa w ust. 3 lit. a) m), r), u), v) powyżej wynika z okoliczności obiektywnych, niezwiązanych z faktem Zgłoszenia Naruszenia prawa; b) Sygnalista świadomie zgłasza nieprawdziwe lub wprowadzające w błąd informacje; c) Sygnalista dokonuje Zgłoszenia w zakresie dziedziny nie objętej niniejszą Procedurą. 5. Osoba, która dokonuje Zgłoszenia wiedząc, że do naruszenia prawa nie doszło, narażona jest na odpowiedzialność karną przewidzianą w ustawie o ochronie sygnalistów. 6. Dane osobowe Sygnalisty pozwalające na ujawnienie jego tożsamości nie będą ujawniane nieupoważnionym osobom, z wyjątkiem: a) udzielenia przez Sygnalistę wyraźnej zgody na ujawnienie jego danych, b) sytuacji, gdy ujawnienie danych Sygnalisty jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa, w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy Zgłoszenie. 7. Ochronie określonej w niniejszym paragrafie podlega również Osoba pomagająca w dokonaniu zgłoszenia oraz Osoba powiązana z Sygnalistą. 8. Grape Up gwarantuje, że niniejsza Procedura oraz przetwarzanie danych osobowych związane z przyjmowaniem Zgłoszeń uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych Zgłoszeniem oraz zapewniają ochronę poufności tożsamości Sygnalisty, Osoby, której dotyczy Zgłoszenie, oraz osób trzecich wskazanych w Zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość tych osób. § 4 ZGŁOSZENIA WEWNĘTRZNE 1. Osoby, które posiądą Informację o Naruszeniu prawa uzyskaną w Kontekście związanym z pracą, powinny dokonać Zgłoszenia wewnętrznego w sposób określony w niniejszym paragrafie. Osoby te powinny działać w dobrej wierze oraz w interesie publicznym, a także w oparciu o racjonalne okoliczności faktyczne. 2. Zgłoszenia wewnętrzne dokonywane mogą być w sposób: a) jawny gdy Sygnalista zgadza się na ujawnianie swojej tożsamości; b) poufny gdy Sygnalista nie zgadza się na ujawnienie swoich danych i dane te nie są ujawniane; c) anonimowy gdy w żaden sposób nie można zidentyfikować tożsamości Sygnalisty. 3. Grape Up zapewnia następujące kanały dokonywania Zgłoszeń wewnętrznych: a) za pośrednictwem poczty elektronicznej, na adres e-mail: complaints@grapeup.com, do której dostęp ma People Operations Manager oraz Członek Zarządu lub; b) w formie listu sporządzonego w formie pisemnej na adres do korespondencji: Grape Up Sp. z o.o. ul. Hetmana Żółkiewskiego 17A, 31-539 Kraków, skierowanego do People Operations Managera, z dopiskiem Zgłoszenie wewnętrzne lub innym podobnym dopiskiem, pozwalającym na zidentyfikowanie listu jako Zgłoszenia wewnętrznego. 4. Zgłoszenie dokonane za pośrednictwem kanałów wskazanych w ust. 3 powyżej może być jawne, poufne lub anonimowe. 5. Powyższe kanały Zgłoszeń wewnętrznych dostępne są również dla kontrahentów, partnerów biznesowych, dostawców oraz osób wykonujących jakiekolwiek czynności w imieniu lub na rzecz Grape Up. 6. Osobami upoważnionymi do przyjmowania Zgłoszeń wewnętrznych są Członek Zarządu i People Operations Manager. 7. W celu zapewnienia sprawnego funkcjonowania procesu obsługi Zgłoszeń wewnętrznych People Operations Manager i Członek Zarządu realizują następujące zadania: a) odbierają Zgłoszenia wewnętrzne przesłane za pośrednictwem poczty elektronicznej; b) prowadzą komunikację z Sygnalistą, w tym potwierdzają przyjęcie Zgłoszenia w terminie 7 dni od dnia jego otrzymania, chyba że Sygnalista nie podał adresu do kontaktu; c) współpracują z Komisją Wewnętrzną w celu weryfikacji informacji zawartych w Zgłoszeniu wewnętrznym; d) prowadzą Rejestr zgłoszeń, zgodnie z § 7; e) udzielają informacji i wsparcia w zakresie sposobów dokonywania Zgłoszeń wewnętrznych. 8. Zgłoszenie powinno zawierać następujące elementy, jeżeli są one znane Sygnaliście: a) szczegółowy opis zaistniałych faktów; b) datę i miejsce, w którym nastąpiło zdarzenie lub datę i miejsce pozyskania informacji o Naruszeniu prawa; c) dane osobowe i rolę osób zaangażowanych lub elementy, które mogą umożliwić ich identyfikację; d) wskazanie dokumentów, które mogą potwierdzić zasadność zgłoszonych faktów; e) wskazanie osoby i/lub komórki organizacyjnej, której dotyczy Zgłoszenie; f) adres, na który przekazana ma zostać Informacja zwrotna. 9. Do przyjmowania i weryfikacji Zgłoszeń, podejmowania Działań następczych oraz przetwarzania danych osobowych Sygnalisty, Osoby, której dotyczy zgłoszenie, oraz osób trzecich wskazanych w Zgłoszeniu, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie przez Grape Up. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji Zgłoszeń, oraz podejmowania Działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę. 10. Jeżeli Naruszenie dotyczy People Operations Managera Zgłoszenie należy przesłać na adres siedziby Grape Up wraz z dopiskiem nie otwierać do rąk własnych Członka Zarządu Grape Up. 11. Sygnalista chcący dokonać Zgłoszenia w trybie, o którym mowa w ust. 10 powyżej powinien zawrzeć w przesyłce dokładny opis Naruszenia prawa. 12. Pracownik lub współpracownik odpowiedzialny za obsługę korespondencji zawiadamia niezwłocznie Członka Zarządu o otrzymaniu korespondencji z dopiskiem nie otwierać do rąk własnych Członka Zarządu Grape Up, przekazując korespondencję bez otwierania koperty i bez zapoznawania się z jej treścią. 13. Dostęp do korespondencji z dopiskiem nie otwierać do rąk własnych Członka Zarządu Grape Up posiada wyłącznie Członek Zarządu Grape Up. 14. Postępowanie ze Zgłoszeniem otrzymanym w trybie ust. 10-13 odbywa się zgodnie z postanowieniami niniejszej Procedury z uwzględnieniem konieczności zachowania poufności. § 5 DZIAŁANIA NASTĘPCZE 1. Podmiotem upoważnionym do podejmowania Działań następczych jest Komisja Wewnętrzna, powołana każdorazowo przez Zarząd Grape Up. W skład Komisji Wewnętrznej wchodzić będą upoważnione przez Zarząd osoby mające odpowiednie kompetencje do prowadzenia Działań następczych w odniesieniu do konkretnego Zgłoszenia oraz zapewniające bezstronność i niezależność. 2. W celu oceny prawdziwości informacji zawartych w Zgłoszeniu oraz w celu przeciwdziałania Naruszeniu prawa będącego przedmiotem Zgłoszenia Komisja Wewnętrzna przeprowadza postępowanie wyjaśniające. 3. W przypadku Zgłoszeń dokonanych w sposób anonimowy lub w przypadku, gdy Sygnalista nie wskazał adresu do kontaktu, Komisja Wewnętrzna dokonuje wstępnej analizy Zgłoszenia, weryfikując przytoczone w nim okoliczności. Jeżeli po dokonaniu wstępnej analizy Zgłoszenia ustalono, że mogło dojść do Naruszenia, Komisja Wewnętrzna wszczyna postępowanie wyjaśniające. W przypadku bezzasadności Zgłoszenia lub niemożliwości jego weryfikacji, Komisja Wewnętrzna pozostawia Zgłoszenie bez dalszego biegu. Każde Zgłoszenie wewnętrzne dokonane w sposób anonimowy podlega wpisowi do Rejestru zgłoszeń wewnętrznych, zgodnie z § 7 Procedury. W przypadku, gdy Zgłoszenie zostanie pozostawione bez dalszego biegu, należy wskazać w Rejestrze zgłoszeń wewnętrznych przyczyny uzasadniające taką decyzję. 4. Pracownicy wszystkich działów Grape Up zobowiązani są do współpracy z Komisją Wewnętrzną w zakresie niezbędnym do ustalenia okoliczności i osób zaangażowanych w zachowania mogące stanowić Naruszenie prawa. Komisja Wewnętrzna może żądać w szczególności dostępu do danych osobowych, służbowej skrzynki mailowej lub innych dokumentów lub zasobów niezbędnych do ustalenia czy oceniane zachowanie stanowi Naruszenie prawa. 5. W celu realizacji zadań Komisji Wewnętrznej, Grape Up zapewnia upoważnienie członkom tej Komisji do przetwarzania danych osobowych Pracowników Grape Up w niezbędnym zakresie. 6. Komisja Wewnętrzna niezwłocznie przedstawia Zarządowi Grape Up propozycje zastosowania Działań następczych w stosunku do osoby, która dokonała Naruszenia prawa oraz rekomendacje w celu wyeliminowania i zapobiegania Naruszeniom prawa w przyszłości, jak również wyeliminowania lub zminimalizowania ryzyka narażenia Grape Up na szkody spowodowane Naruszeniem prawa. 7. Postępowanie wyjaśniające powinno być prowadzone w sposób umożliwiający zebranie materiału dowodowego, który może być podstawą do podjęcia decyzji przez Zarząd Grape Up, a w określonych sytuacjach także dalszego procedowania przez odpowiedni organ państwowy. 8. Postępowanie wyjaśniające powinno zostać wszczęte bez zbędnej zwłoki, a Informacja zwrotna, w tym wyniki tego postępowania, powinny zostać przedstawione Sygnaliście w terminie nieprzekraczającym 3 miesięcy, chyba że Sygnalista nie wskazał adresu do kontaktu. 9. Jeżeli oceniane zachowanie z dużym prawdopodobieństwem może zostać uznane za Naruszenie prawa, informacja ta przekazywana jest niezwłocznie do Zarządu Grape Up. 10. Do Zarządu Grape Up należy ostateczna ocena materiału dowodowego dostarczonego przez Komisję Wewnętrzną. Na podstawie przedmiotowej oceny Zarząd Grape Up podejmuje odpowiednie decyzje i działania, w szczególności działania reorganizacyjne lub dyscyplinujące. W uzasadnionych przypadkach Zarząd Grape Up podejmuje decyzję o przekazaniu informacji wraz ze zgromadzonym materiałem dowodowym do odpowiednich organów państwowych. § 6 ZGŁOSZENIA ZEWNĘTRZNE 1. Sygnalista może dokonać Zgłoszenia zewnętrznego bez uprzedniego dokonania Zgłoszenia wewnętrznego w szczególności, gdy: a) w terminach na podjęcie Działań następczych oraz przekazanie Informacji zwrotnej określonych w Procedurze, Grape Up nie podejmie Działań następczych lub nie przekaże Sygnaliście Informacji zwrotnej, lub; b) Sygnalista ma uzasadnione podstawy by sądzić, że Naruszenie prawa może stanowić bezpośrednie lub oczywiste zagrożenie dla interesu publicznego, w szczególności istnieje ryzyko nieodwracalnej szkody, lub; c) dokonanie Zgłoszenia wewnętrznego narazi Sygnalistę na Działania odwetowe, lub; d) w przypadku dokonania Zgłoszenia wewnętrznego istnieje niewielkie prawdopodobieństwo skutecznego przeciwdziałania Naruszeniu prawa przez Grape Up z uwagi na szczególne okoliczności sprawy, takie jak możliwość ukrycia lub zniszczenia dowodów lub możliwość istnienia zmowy między Grape Up a sprawcą Naruszenia prawa lub udziału Grape Up w Naruszeniu prawa. 2. Zgłoszenie zewnętrzne jest przyjmowane przez Rzecznika Praw Obywatelskich albo Organ publiczny, gdy zgłoszenie dotyczy naruszeń w dziedzinie należącej do zakresu działania tego Organu (np. KNF, UOKIK, czy GIIF). 3. Jeżeli Zgłoszenie zewnętrzne dotyczy informacji o Naruszeniu prawa, Rzecznik Praw Obywatelskich niezwłocznie, nie później jednak niż w terminie 14 dni od dnia dokonania Zgłoszenia, przekazuje zgłoszenie do Organu publicznego właściwego do podjęcia Działań następczych. 4. Zgłoszenie do Organów publicznych następuje zgodnie z ustaloną przez te organy procedurą przyjmowania Zgłoszeń zewnętrznych oraz podejmowania Działań następczych. § 7 REJESTR ZGŁOSZEŃ 1. Zgłoszenia wewnętrzne podlegają rejestracji w Rejestrze zgłoszeń wewnętrznych prowadzonym w formie elektronicznej przez People Operations Managera. Rejestr zgłoszeń wewnętrznych dotyczących People Operations Managera prowadzi osobno Członek Zarządu Grape Up, z wyłączeniem People Operations Managera. 2. Rejestr zgłoszeń wewnętrznych zawiera co najmniej: a) numer Zgłoszenia; b) przedmiot Naruszenia prawa; c) dane osobowe Sygnalisty, chyba że Zgłoszenie jest anonimowe; d) dane osobowe Osoby, której dotyczy zgłoszenie; e) adres do kontaktu Sygnalisty, chyba że nie został wskazany; f) datę dokonania Zgłoszenia wewnętrznego; g) informację o podjętych Działaniach następczych; h) datę zakończenia sprawy. 3. Dostęp do Rejestru zgłoszeń wewnętrznych przysługuje wyłącznie: a) Zarządowi Grape Up z wyjątkiem sytuacji, gdy Zgłoszenie dotyczy Członka Zarządu, wtedy dostęp do Rejestru zgłoszeń wewnętrznych przysługuje pozostałym Członkom Zarządu; b) People Operations Managerowi z wyjątkiem sytuacji, gdy Zgłoszenie dotyczy People Operations Managera; c) organom państwowym uprawnionym do podejmowania działań w związku z Naruszeniem prawa (organom ścigania, sądom). 4. Rejestr zgłoszeń wewnętrznych prowadzony jest z zachowaniem zasad poufności. 5. Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono Działania następcze, lub po zakończeniu postępowań zainicjowanych tymi Działaniami. § 8 UJAWNIENIE PUBLICZNE 1. Sygnalista dokonujący Ujawnienia publicznego podlega ochronie, jeżeli dokona: a) Zgłoszenia wewnętrznego, a następnie Zgłoszenia zewnętrznego, a Grape Up, a następnie Organ publiczny w terminie na przekazanie Informacji zwrotnej nie podejmą żadnych odpowiednich Działań następczych ani nie przekażą Sygnaliście Informacji zwrotnej lub b) od razu Zgłoszenia zewnętrznego, a Organ publiczny w terminie na przekazanie Informacji zwrotnej ustalonym w swojej procedurze zewnętrznej nie podejmie żadnych odpowiednich działań następczych ani nie przekaże Sygnaliście Informacji zwrotnej chyba, że Sygnalista nie podał adresu do kontaktu, na który należy przekazać taką informację. 2. Sygnalista dokonujący Ujawnienia publicznego podlega ochronie także w przypadku, gdy ma uzasadnione podstawy sądzić, że: a) naruszenie może stanowić bezpośrednie lub oczywiste zagrożenie interesu publicznego, w szczególności, gdy istnieje ryzyko nieodwracalnej szkody, lub b) dokonanie Zgłoszenia zewnętrznego narazi Sygnalistę na Działania odwetowe, lub c) w przypadku dokonania Zgłoszenia zewnętrznego istnieje niewielkie prawdopodobieństwo skutecznego przeciwdziałania naruszeniu prawa z uwagi na szczególne okoliczności sprawy, takie jak możliwość ukrycia lub zniszczenia dowodów, istnienia zmowy między organem publicznym a sprawcą naruszenia lub udziału organu publicznego w naruszeniu. § 9 OCHRONA DANYCH OSOBOWYCH 1. Proces przyjmowania i weryfikacji Zgłoszeń, podejmowania Działań następczych oraz związanego z tym przetwarzania danych osobowych zorganizowany jest w sposób uniemożliwiający uzyskanie dostępu do informacji objętych Zgłoszeniem nieupoważnionym osobom oraz zapewniający ochronę poufności tożsamości Sygnalisty, Osoby, której dotyczy Zgłoszenie oraz osób trzecich wskazanych w Zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób. 2. Osoby upoważnione do przyjmowania i weryfikacji Zgłoszeń, podejmowania Działań następczych oraz przetwarzania danych osobowych w związku z rozpatrywaniem Zgłoszenia zobowiązane są do zachowania bezwzględnej poufności co do wszystkich faktów poznanych w toku tych działań i w związku z nimi. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji Zgłoszeń oraz podejmowania Działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę. 3. Jednocześnie osoby, o których mowa w ust. 2 otrzymują pisemne upoważnienie od Grape Up do dokonywania działań związanych z przyjmowaniem i weryfikacją Zgłoszeń, podejmowania Działań następczych oraz przetwarzania danych osobowych w związku z rozpatrywaniem Zgłoszeń. 4. Grape Up zapewnia przeszkolenie osób odpowiedzialnych za realizację zadań objętych niniejszą Procedurą, w zakresie obowiązku zachowania w poufności informacji, do których mają dostęp w związku z wykonywaniem tych zadań. 5. Wszystkie informacje i dokumenty zgromadzone w związku z rozpatrywaniem Zgłoszenia powinny być przechowywane z zastosowaniem odpowiednich zabezpieczeń, uniemożliwiających zapoznanie się z ich treścią przez osoby nieupoważnione. 6. Dane osobowe przetwarzane w związku z przyjęciem Zgłoszenia lub podjęciem Działań następczych oraz dokumenty związane z tym Zgłoszeniem są przechowywane przez Grape Up przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono Działania następcze, lub po zakończeniu postępowań zainicjowanych tymi Działaniami. 7. Po upływie okresu przechowywania wskazanego w ust. 6 powyżej, Grape Up usuwa dane osobowe oraz niszczy dokumenty związane ze Zgłoszeniem. Dane osobowe, które nie mają znaczenia dla rozpatrywania Zgłoszenia nie są zbierane, a w razie przypadkowego zebrania, są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje nie później niż w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy. § 10 POSTANOWIENIA KOŃCOWE 1. W sprawach nieuregulowanych niniejszą Procedurą zastosowanie mają przepisy powszechnie obowiązującego prawa, w szczególności, odpowiednie przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. 2. Niniejsza Procedura wchodzi w życie z dniem 25 października 2024 r. po upływie 7 dni od dnia podania jej do wiadomości Pracowników. _______________ Internal procedure for reporting breaches of law and taking follow-up actions at Grape Up Sp. z o.o. of Kraków § 1. PURPOSE OF THE PROCEDURE 1. This Procedure has been developed in order to comply with the obligations of Grape Up Sp. z o.o. of Kraków resulting from: 1) the Polish Law of 14 June 2024 on the Protection of Whistleblowers; 2) Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law. 2. The purpose of this Procedure is to introduce an efficient system of reporting Breaches of Law at Grape Up Sp. z o.o. by means of laying down comprehensive regulations covering the reporting of Breaches of Law and diligent performance of Follow-Up Actions. 3. The purpose of this Procedure is also to protect Whistleblowers against potential Retaliation, as well as to prevent the negative consequences of Breaches of Law at Grape Up Sp. z o.o. through early identification and removal of the reported irregularities. § 2. DEFINITIONS When used in this Procedure, the following terms shall have the following meaning: 1. Whistleblower a natural person who reports or publicly discloses Information on Breaches acquired in a Work-Related Context, including: a) an employee; b) a temporary worker; c) a person rendering work on a basis other than an employment relationship, including under a civil law agreement; d) an entrepreneur; e) a holder of procuration; f) a shareholder or stockholder; g) a member of a body of a legal person or an organization without legal personality; h) a person rendering work under the supervision and management of a contractor, subcontractor, or supplier; i) an intern; j) a volunteer; k) a trainee; 2. Member of the Management Board a person responsible for receiving Internal Reports; 3. Follow-Up Action an action taken by Grape Up in order to verify the truthfulness of the allegations made in a Report and to counteract the Breach of Law being the object of the Report, including but not limited to an investigation procedure, an inspection, administrative proceedings, an indictment, an action intended to recover funds, or closing proceedings carried out as part of this Procedure; 4. Retaliation a direct or indirect action or omission in a Work-Related Context caused by a Report or a Public Disclosure, which violates or could violate the rights of the Whistleblower or which causes or could cause unjustified harm to the Whistleblower, including groundless initiation of proceedings against the Whistleblower; 5. Grape Up Grape Up Sp. z o.o. of Kraków, ul. Hetmana Żółkiewskiego 17A, 31-539 Kraków, entered into the Register of Businesses, a part of the National Court Register, maintained by the District Court for Kraków-Śródmieście in Kraków, Division XI (National Court Register Cases), under number 0000513816, NIP (tax identification number): 945-217-93-09, REGON (statistical number): 123118640; 6. Information on Breaches information, including a reasonable suspicion, concerning an actual or potential Breach of Law that has occurred or will likely occur at Grape Up or information concerning an attempt to conceal such a Breach of Law; 7. Feedback information provided to the Whistleblower, concerning the planned or already taken Follow-Up Actions and the reasons for taking them; 8. Work-Related Context past, current, or future activities related to carrying out work under an employment relationship or another legal relationship being the basis for rendering work at or providing services to Grape Up, in connection with which Information on Breaches is acquired and a possibility of Retaliation exists; 9. Breach of Law an action or omission that is illegal or intended to circumvent the law, concerning: a) corruption; b) public procurement; c) financial services, products, and markets; d) preventing money laundering and the financing of terrorism; e) product safety and compliance; f) transport safety; g) environmental protection; h) radiological protection and nuclear safety; i) food and feedstuffs safety; j) animal health and well-being; k) public health; l) consumer protection; m) protection of privacy and personal data; n) security of ICT networks and systems; o) the financial interests of the State Treasury of the Republic of Poland, local governments, and the European Union; p) the European Unions internal market, including the principles of competition and state aid and the principles of taxation of legal persons; q) constitutional freedoms and rights of man and of the citizen that exist in relationships between an individual and public authorities and are unrelated to the areas listed in a) trough p), above; 10. Public Authority chief and central government administration authorities, local authorities of government administration, bodies of local governments, other state authorities, and other entities carrying out, by operation of law, public administration tasks, competent to take Follow-Up Actions in the areas listed in § 2(8), above; 11. Person Concerned a natural person, a legal person, or an organization without legal personality that has legal capacity under statutory regulations, specified in a Report or a Public Disclosure as the perpetrator of a Breach of Law or as a person or entity the perpetrator of a Breach of Law is related to; 12. Facilitator a natural person who assists the Whistleblower in filing a Report or making a Public Disclosure in a Work-Related Context and whose assistance should not be disclosed; 13. Person Related to the Whistleblower a natural person who may suffer Retaliation, including an associate or a close one of the Whistleblower (i.e., spouse, ascendant, descendant, sibling, relative by affinity of the same line or degree, a person remaining in a relationship of adoption and his or her spouse, as well as a person remaining in cohabitation); 14. People Operations Manager the person responsible for receiving Internal Reports; 15. Employee a person carrying out paid-for work for Grape Up or rendering paid-for work on a basis other than an employment relationship, irrespective of what this basis may be; 16. Procedure this internal procedure of reporting Breaches of Law and taking Follow-Up Actions at Grape Up; 17. GDPR Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119 of 2016, p. 1, as amended); 18. Public Disclosure an act of publicly disclosing Information on Breaches; 19. Report an Internal Report or an External Report; 20. Internal Report a report filed with Grape Up in accordance with § 4 of this Procedure; 21. External Report providing Information on Breaches to the Polish Ombudsman or a Public Authority. § 3. PROTECTION OF WHISTLEBLOWERS 1. A Whistleblower shall enjoy the protection specified in this § 3 from the moment of filing a Report or making a Public Disclosure, provided that he or she had reasonable reasons to believe that the information being the object of the Report or the Public Disclosure was true at the moment of filing the Report or making the Public Disclosure and that it constituted Information on Breaches. 2. No Retaliation, attempts at Retaliation, or threats of Retaliation may be made with respect to a Whistleblower. 3. With respect to a Whistleblower, no Retaliation may be carried out, consisting in particular in the following actions, attempts at such actions, or threats of such actions: a) refusal to establish an employment relationship or another legal relationship being the basis for carrying out paid-for work for Grape Up; b) termination, with or without observing the notice period, of the employment relationship or another legal relationship being the basis for carrying out paid-for work for Grape Up; c) termination of, with or without observing the notice period, or withdrawal from an agreement the Whistleblower is a party to, including but not limited to an agreement concerning the sale or delivery of goods or the provision of services; d) refusal to execute a fixed-term employment contract or an open-ended employment contract following the termination of a trial period employment contract, refusal to execute another fixed-term employment contract, or refusal to execute an open-ended employment contract after the termination of a fixed-term employment contracting a situation where the Whistleblower has a justified expectation that such a contract will be executed with him or her; e) reduction of remuneration for work; f) suspension of promotion or passing over during a promotion; g) passing over when granting work-related benefits other than remuneration; h) transferring to a lower position; i) suspension in performing employee or official duties; j) transferring the Whistleblowers existing duties to another Employee; k) negative change of workplace or working time; l) negative evaluation of work or work results; m) imposition or application of a disciplinary measure, including a financial penalty, or a similar measure; n) coercion, intimidation, or exclusion; o) mobbing; p) discrimination; q) unfavorable or unfair treatment; r) suspension of participation in or passing over in selecting for participation in training seminars that improve professional qualifications; s) unjustified referral to a medical check-up, including a psychiatric evaluation, unless separate legal regulations provide for such a possibility; t) actions intended to make it difficult to find employment in the given sector or industry on the basis of a formal or informal sector or industry agreement; u) imposition of an obligation, refusal to grant a right, restriction of a right, or deprivation of a right, including but not limited to a license, a permission, or a relief; v) causing a financial loss, including an economic loss, or loss of income; w) causing other non-financial damage, including a violation of personality rights, especially to the reputation of the Whistleblower. 4. The protection referred to in § 3(3), above, shall not apply if: a) the necessity or need for Grape Up to take the actions listed in § 3(3)(a) (m), (r), (u), and (v) above, is a result of objective circumstances that are unrelated to the fact of reporting a Breach of Law; b) the Whistleblower consciously reports false or misleading information; c) the Whistleblower files the Report with respect to an area not covered by this Procedure. 5. A person filing a Report while knowing that a Breach of Law did not take place shall be subject to the criminal liability specified in the Polish Law on Whistleblowers. 6. The Whistleblowers personal data allowing for identifying him or her shall not be disclosed to unauthorized persons, except: a) if the Whistleblower expressly agrees to such disclosure; b) in a situation where the disclosure of the Whistleblowers details is a necessary and proportional obligation resulting from legal regulations, in connection with the investigations carried out by Public Authorities or preparatory or court proceedings carried out by courts, including in order to guarantee the Person Concerned with the right to defend. 7. The protection referred to in this § 3 shall also apply to a Facilitator and a Person Related to the Whistleblower. 8. Grape Up shall guarantee that this Procedure and the processing of personal data related to receiving Reports make it impossible for unauthorized persons to access the information contained in the Report and ensure the protection of the identity of the Whistleblower, the Person Concerned, and the third parties mentioned in the Report. This protection shall concern the information on the basis of which these persons could be directly or indirectly identified. § 4. INTERNAL REPORTING 1. A person who holds Information on Breaches acquired in a Work-Related Context should file an Internal Report in accordance with this § 4. This person should act in good faith and in public interest, based on reasonable factual circumstances. 2. An Internal Report may be filed: a) openly, if the Whistleblower agrees to the disclosure of his or her identity; b) confidentially, the Whistleblower does not agree to the disclosure of his or her details and these details are not disclosed; c) anonymously, if the identity of the Whistleblower cannot be determined in any way. 3. Grape Up provides the following channels for filing an Internal Report: a) by e-mail, to complaints@grapeup.com, which may be accessed by the People Operations Manager and the Member of the Management Board; and b) by sending a letter via regular mail to the following correspondence address: Grape Up Sp. z o.o., ul. Hetmana Żółkiewskiego 17A, 31-539 Kraków, addressed to the People Operations Manager, with a note on the envelope reading Internal report or another similar note allowing for identifying the letter as an Internal Report. 4. A Report filed via the channels specified in § 4(3), above, may be open, confidential, or anonymous. 5. The above channels for filing an Internal Report are also available to counterparties, business partners, suppliers, and persons carrying out any activities for or on behalf of Grape Up. 6. The persons authorized to receive Internal Reports are the Member of the Management Board and the People Operations Manager. 7. In order to ensure efficient processing of Internal Reports, the People Operations Manager and the Member of the Management Board shall perform the following tasks: a) receiving Internal Reports sent by e-mail; b) communicating with the Whistleblower, including confirming the receipt of the Report within seven days of receiving it, unless the Whistleblower does not provide his or her contact details; c) working with the Internal Commission in order to verify the information contained in the Internal Report; d) maintaining the Register of Reports in accordance with § 7; e) providing information and support with respect to the forms of filing an Internal Report. 8. The Report should contain the following elements, provided that they are known to the Whistleblower: a) a detailed description of the facts; b) the date and place of the event or the date and place of acquiring information about the Breach of Law; c) the personal data and the roles of the persons involved or the elements that could allow for their identification; d) specification of the documents that could confirm the legitimacy of the reported facts; e) specification of the person and/or organizational unit the Report concerns; f) the address to which Feedback should be provided. 9. Only the persons holding a written authorization from Grape Up may be permitted to receive and verify Reports, take Follow-Up Actions, and process the personal data of the Whistleblower, the Person Concerned, and the third parties mentioned in the Report. The authorized persons shall maintain confidentiality in terms of the information and personal data they acquire as part of receiving or verifying Reports and taking Follow-Up Actions, including after the termination of the employment relationship or another legal relationship under which they carried out that work. 10. If the Breach of Law concerns the People Operations Manager, the Report should be sent to the registered office of Grape Up, with a note on the envelope reading Do not opento the hands of the Member of the Management Board of Grape Up. 11. A Whistleblower who wants to file a Report following the procedure specified in § 4(10), above, should provide a detailed description of the Breach of Law in the letter. 12. The Employee or contractor responsible for handling correspondence shall immediately notify the Member of the Management Board about receiving correspondence with a note reading Do not opento the hands of the Member of the Management Board of Grape Up, forwarding the correspondence without opening the envelope and reading its contents. 13. Only the Member of the Management Board of Grape Up shall have access to correspondence marked as Do not opento the hands of the Member of the Management Board of Grape Up. 14. The Reports received in accordance with the procedure specified in § 4(10)4(13) shall be processed in accordance with this Procedure, considering the need to maintain confidentiality. § 5. FOLLOW-UP ACTIONS 1. The entity authorized to take Follow-Up Actions shall be the Internal Commission, which in each individual case shall be appointed by the Management Board of Grape Up. The Internal Commission shall be composed of the persons authorized by the Management Board who have the relevant competences to carry out Follow-Up Actions with respect to the specific Report and who guarantee impartiality and independence. 2. In order to evaluate the truthfulness of the information contained in the Report and counteract the Breach of Law being the object of the Report, the Internal Commission shall carry out an investigation. 3. If a Report is filed anonymously or if the Whistleblower does not provide a contact address, the Internal Commission shall carry out a preliminary analysis of the Report, verifying the circumstances described in the Report. If, following the preliminary analysis of the Report, it is determined that a Breach of Law may have taken place, the Internal Commission shall initiate an investigation. If the Report is groundless or impossible to verify, the Internal Commission shall not take any further actions with respect to the Report. Every Internal Report filed anonymously shall be entered into the Register of Internal Reports, in accordance with § 7 of this Procedure. If no further actions are taken with respect to a Report, the reasons for such a decision shall be specified in the Register of Internal Reports. 4. The Employees of all of the departments of Grape Up shall cooperate with the Internal Commission to the extent necessary to determine the circumstances of and the person involved in behaviors that could constitute a Breach of Law. In particular, the Internal Commission may demand access to personal data, official e-mails, and other documents or resources necessary to determine if the behavior under examination constitutes a Breach of Law. 5. In order to facilitate the Internal Commission in carrying out its tasks, Grape Up shall authorize the members of the Commission to process the personal data of the Employees of Grape Up to the necessary extent. 6. The Internal Commission shall immediately present to the Management Board of Grape Up proposals of the Follow-Up Actions to be taken with respect to the perpetrator of the Breach of Law and recommendations intended to eliminate and prevent future Breaches of Law as well as to eliminate or minimize the risk of putting Grape Up at risk of damage caused by the Breach of Law. 7. The investigation should be carried out in a manner allowing for collecting evidence that may be a basis for the Management Board of Grape Up to make decisions and, in specific cases, also for the relevant state authorities to process the case further. 8. The investigation should be initiated without undue delay and Feedback, including the results of the investigation, should be provided to the Whistleblower within not more than three months, unless the Whistleblower does not specify a contact address. 9. If the behavior under examination is likely to be considered a Breach of Law, the Management Board of Grape Up shall be immediately notified. 10. The final evaluation of the evidence presented by the Internal Commission shall be made by the Management Board of Grape Up. On the basis of that evaluation, the Management Board of Grape Up shall make the relevant decisions and take the relevant actions, including but not limited to reorganization and disciplinary actions. In justified cases, the Management Board of Grape Up shall decide to forward the information and the evidence collected to the relevant state authorities. § 6. EXTERNAL REPORTING 1. A Whistleblower may file an External Report without filing an Internal Report first, especially if: a) by the deadlines for taking Follow-Up Actions and providing Feedback, as specified in this Procedure, Grape Up fails to take Follow-Up Actions or provide the Whistleblower with Feedback; or b) the Whistleblower has justified reasons to believe that the Breach of Law may be a direct or obvious threat to public interest, including but not limited to a risk of irreversible damage; or c) filing an Internal Report would put the Whistleblower at risk of Retaliation; or d) in the case of an Internal Report, there is a low probability of Grape Up efficiently counteracting the Breach of Law due to the special circumstances of the case, such as the possibility of concealing or destroying evidence, collusion between Grape Up and the perpetrator of the Breach of Law, or Grape Up being involved in the Breach of Law. 2. External Reports are received by the Polish Ombudsman or by a Public Authority if the report concerns a Breach of Law in an area for which this Authority is competent (e.g. the Polish Financial Supervision Authority, the Polish Office for the Protection of Competition and Consumers, the General Inspector for Financial Information). 3. If the External Report contains Information on Breaches, the Polish Ombudsman shall immediately, within not more than 14 days of receiving the Report, forward the Report to the Public Authority competent to take Follow-Up Actions. 4. An External Report shall be filed with a Public Authority in accordance with that Authoritys procedure for receiving External Reports and taking Follow-Up Actions. § 7. REGISTER OF REPORTS 1. Internal Reports shall be registered in the Register of Internal Reports maintained in an electronic form by the People Operations Manager. The Register of Internal Reports concerning the People Operations Manager shall be maintained separately by the Member of the Management Board, with no involvement from the People Operations Manager. 2. The Register of Internal Reports shall contain at least: a) the number of the Report; b) the object of the Breach of Law; c) the personal data of the Whistleblower, unless the Report is anonymous; d) the personal data of the Person Concerned; e) the Whistleblowers contact address, unless none has been provided; f) the date of filing the Internal Report; g) information concerning the Follow-Up Actions taken; h) the date of closing the case. 3. Only the following persons and entities shall have access to the Register of Internal Reports: a) the Management Board of Grape Up, except where the Report concerns a Member of the Management Board in such a case, the other Members of the Management Board shall have access to the Register of Internal Reports; b) the People Operations Manager, except where the Report concerns the People Operations Manager; c) state authorities authorized to take actions in connection with the Breach of Law (law enforcement authorities, courts). 4. The Register of Internal Reports shall be maintained in compliance with the principles of confidentiality. 5. Personal data and other information contained in the Register of Internal Reports shall be stored for three years from the end of the calendar year in which the Follow-Up Actions were completed or the proceedings initiated as a result of these Actions were completed. § 8. PUBLIC DISCLOSURE 1. A Whistleblower making a Public Disclosure shall be subject to protection if he or she: a) files an Internal Report followed by an External Report and Grape Up and then the Public Authority, by the deadline for providing Feedback, does not take the relevant Follow-Up Actions and does not provide the Whistleblower with Feedback, or b) files an External Report without filing an Internal Report first and the Public Authority, by the deadline for providing Feedback specified in its internal procedure, does not take the relevant Follow-Up Actions and does not provide the Whistleblower with Feedback, unless the Whistleblower does not provide a contact address to which Feedback should be sent. 2. A Whistleblower making a Public Disclosure shall be subject to protection also if he or she has justified reasons to believe that: a) the Breach of Law could constitute a direct or obvious threat to public interest, especially if there is a risk of irreversible damage, or b) filing an External Report would put the Whistleblower at risk of Retaliation, or c) in the case of an External Report, there is a low probability of efficiently counteracting the Breach of Law due to the special circumstances of the case, such as the possibility of concealing or destroying evidence, collusion between the Public Authority and the perpetrator of the Breach of Law, or the Public Authority being involved in the Breach of Law. § 9. PERSONAL DATA PROTECTION 1. The process of receiving and verifying the Reports, taking Follow-Up Actions, and the related processing of personal data shall be organized in a manner preventing unauthorized persons from obtaining access to the information covered with the Report and guaranteeing protection of the identity of the Whistleblower, the Person Concerned, and the third parties mentioned in the Report. This protection shall concern the information on the basis of which these persons could be directly or indirectly identified. 2. The persons authorized to receive and verify Reports, take Follow-Up Actions, and process personal data in connection with the examination of a Report shall keep strictly confidential all of the facts learned in the course of these actions and in connection with them. The authorized persons shall maintain confidentiality in terms of the information and personal data they acquire as part of receiving or verifying Reports and taking Follow-Up Actions, including after the termination of the employment relationship or another legal relationship under which they carried out that work. 3. At the same time, the persons referred to in § 9(2) shall receive a written authorization from Grape Up to carry out actions related to receiving and verifying Reports, taking Follow-Up Actions, and processing personal data in connection with the examination of the Reports. 4. Grape Up shall guarantee that the persons responsible for carrying out the actions covered with this Procedure are trained in terms of the obligation to keep confidential the information they have access to in connection with performing these tasks. 5. All of the information and documents collected in connection with examining a Report should be stored using the relevant security measures that make it impossible for unauthorized persons to learn their contents. 6. The personal data processed in connection with accepting the Report or taking Follow-Up Actions and the documents related to that Report shall be stored by Grape Up for three years from the end of the calendar year in which the Follow-Up Actions were completed or the proceedings initiated as a result of these Actions were completed. 7. After the end of the storage period specified in § 9(6), above, Grape Up shall erase personal data and destroy the documents related to the Report. The personal data that is irrelevant for the examination of the Report shall not be collected, and if accidentally collected, it shall be immediately erased. The erasure of this personal data shall take place not later than within 14 days of determining that it is irrelevant for the case. § 10. FINAL PROVISIONS 1. The matters not regulated in this Procedure shall be governed by the generally applicable legal regulations, including but not limited to the relevant provisions of Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law. 2. This Procedure comes into effect on 25th of October 2024, seven days after being notified to the Employees.

Klauzula informacyjna dla kandydatów do pracy w spółkach z grupy kapitałowej Grape Up Niniejsza klauzula została stworzona w celu wyjaśnienia, w jaki sposób Twoje dane jako osoby ubiegającej się o pracę będą przetwarzane przez administratora danych. Administratorem Twoich danych osobowych (dalej: Administrator) jest spółka z grupy kapitałowej Grape Up, która prowadzi proces rekrutacji. Jeśli aplikujesz na stanowisko w: - Polsce lub Zjednoczonym Królestwie Wielkiej Brytanii i Irlandii Północnej: Administratorem jest Grape Up sp. z o.o. z siedzibą w Krakowie przy ul. Hetmana Żółkiewskiego 17A, kod pocztowy 31-539, numer KRS: 0000513816 - Niemczech: Administratorem jest Grape Up GmbH Munich, Wendl-Dietrich-Straße 18, 80634 Munich, Germany, HRB 288851 - Stanach Zjednoczonych Ameryki Północnej: Administratorem jest GRAPE UP INC. 5201 Great America Parkway, Suite 320, CA 95054, EIN: 47-4475207 Jaki jest zakres danych, które przetwarzamy? Przetwarzamy wyłącznie dane, które podajesz w formularzu aplikacyjnym/mailu oraz w załączonych dokumentach (CV, list motywacyjny itp.), a także dane, które zbieramy podczas rozmów kwalifikacyjnych, aby umożliwić przeprowadzenie procesu rekrutacji i ostatecznie zatrudnienie. Inne dane możemy przetwarzać wyłącznie wtedy, gdy udzielisz nam konkretnej zgody na ich przetwarzanie (np. w celu potwierdzenia Twoich oświadczeń lub udzielenia Ci referencji poprzez skontaktowanie się ze wskazanymi przez Ciebie podmiotami). Jaki jest cel i podstawa prawna przetwarzania danych? Zbierane przez nas dane osobowe są niezbędne do realizacji następujących celów: 1. w celu wypełnienia naszego obowiązku prawnego wynikającego z przepisów prawa pracy obowiązujących w państwie, w którym ubiegasz się o wolne stanowisko (art. 6 ust. 1 lit. c RODO), tj. dane dotyczące imienia, nazwiska, danych kontaktowych, takich jak adres e-mail, daty urodzenia, wykształcenia, kwalifikacji zawodowych oraz dotychczasowego zatrudnienia lub 2. w celu zawarcia i późniejszego wykonania łączącej nas z Tobą umowy, tj. w szczególności dane podane w umowie zawartej w przypadku pomyślnego przejścia procesu rekrutacji (art. 6 ust. 1 lit. b RODO ) lub 3. dla prawnie uzasadnionych interesów realizowanych przez nas (art. 6 ust. 1 lit. f RODO), takich jak: a. wybór odpowiedniego kandydata/kandydatki w celu zapewnienia prawidłowej realizacji powierzonych jemu/jej zadań, tj. dane zebrane przez nas w trakcie działań rekrutacyjnych, tj. zapisy dokonane podczas prowadzonych z Tobą rozmów rekrutacyjnych (inne niż wskazane w pkt 1 i 2 powyżej, ale niezbędne do realizacji wskazanego celu); b. wykorzystanie aplikacji Evaluator do wstępnej selekcji CV w celu zapewnienia, że informacje dotyczące wykształcenia i doświadczenia zawodowego są zgodne z wymaganiami zawartymi w ogłoszeniu o pracę, w tym z danymi pochodzącymi z wyników selekcji; c. dochodzenie i obrona roszczeń przed sądami, organami administracji publicznej i innymi instytucjami (w odniesieniu do wszystkich zebranych danych); d. w celach, na które wyraziłeś zgodę (art. 6 ust. 1 lit. a RODO) - poprzez Twoje oświadczenie lub wyraźne działanie potwierdzające, np. przekazanie nam swojego CV lub listu motywacyjnego zawierającego takie dane, tj. dane zawarte w dokumentach rekrutacyjnych i referencjach otrzymanych od Ciebie, wiadomości i rozmowy z Tobą oraz z podmiotami (np. Twoimi byłymi lub obecnymi pracodawcami lub zleceniodawcami), które nam wskażesz, żeby potwierdzić Twoje zatrudnienie lub współpracę z nimi (w zakresie udzielonej przez Ciebie zgody, która może obejmować takie dane, jak fakt zatrudnienia lub współpracy z danym podmiotem, czas jej trwania, jej zakończenie i/lub warunki aktualnego zatrudnienia lub współpracy z danym podmiotem, takich jak jej podstawa oraz wymiar godzin) (w zakresie danych osobowych innych niż wymienione w pkt 1-3 powyżej). Możemy przetwarzać Twoje dane w formie elektronicznej w systemach informatycznych oraz w formie tradycyjnej (papierowej). Jak długo Twoje dane będą przechowywane? Twoje dane osobowe będą przez nas przetwarzane: 1. w celu przeprowadzenia rekrutacji na konkretną ofertę pracy - od dnia ich zebrania: a. przez okres do 6 miesięcy po zakończeniu procesu rekrutacji - w przypadku odrzucenia Twojej aplikacji (przy jednoczesnym braku zgody na przetwarzanie Twoich danych osobowych w przyszłych rekrutacjach); b. do zawarcia umowy - w przypadku pozytywnego wyniku rekrutacji; 2. w celach związanych z udziałem w przyszłych rekrutacjach (w przypadku wyrażenia przez Ciebie zgody na dalsze przetwarzanie Twoich danych na potrzeby przyszłych procesów rekrutacyjnych) - od dnia uzyskania Twojej zgody, przez okres kolejnych 36 miesięcy, liczonych od końca roku kalendarzowego, w którym wyraziłeś zgodę lub do czasu wycofania przez Ciebie zgody; 3. w szczególnych przypadkach w celu obrony przed Twoimi ewentualnymi roszczeniami lub w celu dochodzenia naszych roszczeń - od dnia zakończenia każdego procesu rekrutacyjnego, w którym uczestniczysz, do upływu terminu przedawnienia Twoich lub naszych roszczeń (nie dłużej jednak niż do dnia złożenia przez Ciebie skutecznego sprzeciwu wobec przetwarzania danych). Skąd pozyskaliśmy Twoje dane? Twoje dane otrzymaliśmy bezpośrednio od Ciebie lub od podmiotów trzecich, w szczególności: - od dostawców usług rekrutacyjnych i z aplikacji internetowych usprawniających proces rekrutacji i zarządzanie bazami danych w rekrutacji (podstawą prawną pozyskania Twoich danych od takich dostawców jest Twoja zgoda); - z aplikacji Evaluator w formie wyniku wstępnej selekcji kandydatów; - od osób, które poleciły Cię jako kandydata/kandydatkę - w sytuacji, gdy Twoje dane przekazał nam uczestnik programu poleceń pracowniczych (w takiej sytuacji osoba polecająca powinna wykazać, że posiada Twoją zgodę na przekazanie nam Twoich danych); - z publicznie dostępnych źródeł, takich jak media społecznościowe i Twojego profilu tam opublikowanego; - od podmiotów wskazanych przez Ciebie (takich jak Twoi byli lub obecni pracodawcy lub zleceniodawcy). Kto jest odbiorcą Twoich danych osobowych? Jako Administrator możemy udostępniać Twoje dane osobowe osobom trzecim w następujących okolicznościach: 1. podmiotom trzecim, które świadczą na naszą rzecz usługi niezbędne do realizacji celów, dla których przetwarzamy Twoje dane (np. usługi informatyczne, rekrutacyjne, usługi w zakresie testowania umiejętności, komunikacji elektronicznej, hostingu) oraz ich kontrahentom; 2. odbiorcom, na rzecz których ujawnienie jest wymagane na mocy odpowiednich przepisów prawa lub postanowienia sądu lub innego organu władzy; 3. innym odbiorcom, jeżeli wyrazisz na nich swoją zgodę lub gdy przekazanie im danych jest niezbędne dla ochrony Twoich żywotnych interesów lub żywotnych interesów innych osób lub dla wspólnego dobra publicznego; 4. Grape Up sp. z o.o. (w przypadku gdy Administratorem jest inna spółka z grupy kapitałowej Grape Up) - jeżeli Grape Up sp. z o.o. wspiera Administratora w procesie rekrutacji. 5. Spółkom z grupy kapitałowej Grape Up - jeżeli wyrazisz zgodę na przekazanie danej spółce Twoich danych osobowych w celu przeprowadzenia rekrutacji. W przypadku przekazania Twoich danych osobowych do państw spoza EOG, zadbamy o zapewnienie wysokiego poziomu ochrony danych osobowych, w tym poprzez zastosowanie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską. Czy będziesz podlegać zautomatyzowanemu podejmowaniu decyzji? W ramach procesu rekrutacji Twoja aplikacja zostanie poddana zautomatyzowanemu podejmowaniu decyzji. Podczas wstępnej weryfikacji nasza apliakcja Evaluator oceni podane przez Ciebie informacje dotyczące wykształcenia i doświadczenia zawodowego, aby ustalić, czy spełniają one wymagania zawarte w naszym ogłoszeniu o pracę. Wyniki uzyskane przez aplikację Evaluator mogą mieć wpływ na naszą decyzję dotyczącą Twojego zatrudnienia. Masz prawo sprzeciwić się zautomatyzowanemu procesowi podejmowania decyzji. Masz także prawo zażądać interwencji człowieka, wyrazić własne stanowisko i zakwestionować decyzji podjętej przez Evaluator. Jakie uprawnienia Ci przysługują? 1. Prawo do uzyskania informacji, dostępu do danych oraz otrzymania kopii danych. Masz prawo w każdym czasie zażądać podania informacji o Twoich danych osobowych, które przechowujemy lub do których mamy dostęp. Na Twoje żądanie zostanie Ci nieodpłatnie przedstawiona kopia Twoich danych osobowych podlegających przetwarzaniu. Za przesłanie kolejnych kopii danych mamy prawo do zażądania opłaty na pokrycie uzasadnionych kosztów obsługi takiego żądania. 2. Prawo do wycofania zgody. Za każdym razem, gdy Twoje dane są przetwarzane w oparciu o udzieloną zgodę, masz prawo w każdym czasie tę zgodę wycofać, przy czym wycofanie zgody nie będzie miało wpływu na zgodność z prawem przetwarzania danych, które miało miejsce przed wycofaniem przez Ciebie zgody. 3. Prawo do sprostowania danych osobowych. Podejmujemy racjonalnie uzasadnione kroki w celu zapewnienia, że Twoje dane osobowe są prawidłowe, kompletne i aktualne. W przypadku konieczności zmiany (aktualizacji lub uzupełnienia) tych danych, prosimy, byś nas o tym zawiadomił. 4. Prawo do przenoszenia danych. Masz prawo żądać przeniesienia danych osobowych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, a także żądania przesłania danych innemu administratorowi, w sytuacji gdy podstawą prawną przetwarzania Twoich danych osobowych jest wyrażona zgoda. 5. Prawo do usunięcia danych i do ograniczenia ich przetwarzania. W przypadkach określonych w przepisach o ochronie danych osobowych masz prawo, by żądać usunięcia Twoich danych osobowych. Prawo to nie jest jednakże absolutne; mogą wystąpić sytuacje, gdy będziemy nadal uprawnieni do przetwarzania Twoich danych osobowych. Możesz również zwrócić się o ograniczenie dalszego przetwarzania Twoich danych. 6. Prawo do wniesienia sprzeciwu wobec przetwarzania. We wskazanych w przepisach przypadkach masz prawo, by sprzeciwić się dalszemu przetwarzaniu Twoich danych, w sytuacji gdy podstawą prawną przetwarzania danych jest nasz prawnie uzasadniony interes. 7. Prawo do wniesienia skargi do organu nadzorczego. Masz prawo do wniesienia skargi do właściwego organu nadzorczego, zajmującego się ochroną danych osobowych. Co do zasady będzie to Prezes Urzędu Ochrony Danych Osobowych (w przypadku Polski) lub Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (w przypadku Niemiec). W sprawach dotyczących Twoich danych osobowych możesz skontaktować się z nami bezpośrednio: - pocztą: ul. Hetmana Żółkiewskiego 17A, 31-539 Kraków, Polska, - pocztą elektroniczną: careers@grapeup.com _______________ Information clause for job candidates in companies from Grape Up capital group This clause has been created to explain how your data as an applicant for a job will be processed by the data controller. The controller of the processing of your personal data (hereinafter: Controller) is the company from Grape Up capital group which conducts the recruitment process. If you apply for a position in: - Poland or the United Kingdom of Great Britain and Northern Ireland: the Controller is Grape Up sp. z o.o. with its registered office in Kraków, Hetmana Żółkiewskiego Str. 17A, zip code 31-539, KRS number 0000513816 - Germany: the Controller is Grape Up GmbH with its registered office in Munich, Wendl-Dietrich-Straße 18, 80634 Munich, Germany, HRB 288851 - United States of America: the Controller is GRAPE UP INC. 5201 Great America Parkway, Suite 320, CA 95054, EIN: 47-4475207 What is the scope of data that we process? We only process data that you provide in your application form/email and the attached documents (CV, cover letter, etc.) and that we collect during interviews, to enable the recruitment process and eventually employment. We may process other data only if you provide us with specific consent for processing of such data (e.g. to confirm your statements or grant references by contacting other entities indicated by you). What is the purpose and legal basis for processing? The personal data we collect is necessary for the fulfillment of the following purposes: 1. to fulfill our legal obligation under labour law regulations applicable in a country where you apply for an open position (Article 6(1)(c) GDPR), i.e., data on the first name, surname, contact details such as e-mail address, date of birth, education, professional qualifications, and previous employment or 2. for the conclusion and subsequent performance of the contract with you, i.e., in particular, the data included in the contract concluded in the event of a successful recruitment process (Article 6(1)(b) GDPR) or for the legitimate interests pursued by us (Article 6(1)(f) GDPR), such as: 3. the selection of the right candidate to ensure the proper performance of the tasks assigned to them, i.e., the data collected by us during the recruitment activity, i.e., 1. the records made during the interviews with you (other than those indicated in points 1 and 2 above, but necessary to achieve the stated purpose); 2. the use of Evaluator system for pre-selection of CVs to ensure that the information on education and professional experience aligns with the job advertisement's requirements, including the data derived from the selection results. 3. the assertion and defense of claims before courts, administrative authorities, and other bodies (in respect of all data collected); 4. for which you have given us your consent (Article 6(1)(a) GDPR) by your declaration or explicit act of confirmation, such as providing us your CV or cover letter containing such data, i.e., data in the recruitment documents and references received from you, messages, conversations with you and with entities (e.g. your former or current employers and principals/service recipients) that you indicate to us to confirm your employment/co-operation with them (within the scope of your consent which can include processing of such data as your employment/co-operation with other entities, indicated by you, its duration, termination and/or basis and working time of the current employment/cooperation) (in respect of personal data other than those mentioned in points 1-3 above). We may process your data in an automated or paper form. How long will your data be stored? Your personal data will be processed by us: 1. for the purposes of recruitment for a specific job offer from the date of their collection: 1. for a period of up to 6 months after the end of the recruitment process in case of rejection of your application (while you do not consent to the processing of your personal data in future recruitments); 2. until the conclusion of the contract in the event of a successful recruitment process; 2. for the purposes related to participation in future recruitment (in case you consented to further processing of your data for future recruitment processes) from the date of obtaining your consent for a period of the next 36 months, calculated from the end of the calendar year in which you gave your consent or until you withdraw your consent; 3. in exceptional cases to defend your potential claims or pursue our claims from the date of completion of any recruitment process in which you participate until the expiry of the limitation period for your or our claims (but no longer than the date of your effective objection to the processing). Where did we collect your data from? We have received your data directly from you or third parties, in particular: - from providers of recruitment services and web applications that improve the recruitment process and the management of recruiter databases (the legal basis for obtaining your data from such providers is your consent); - from the Evaluator software in the form of a pre-selection result; - from people who refer you as a candidate in a situation where your data is provided to us by a participant in the employee referral program (in such a situation, the person referring you should ensure that they have obtained a legal basis for providing your data); - from publicly available sources, such as social media and your profile published there. - from entities indicated by your (such as your former or current employers or principals/ service recipients). Who is your personal data recipient? As a Controller, we may share your personal information with third parties in the following circumstances: 1. third parties who provide us with services necessary to achieve the purposes for which we process your data (e.g., IT, recruitment services, skills testing, electronic communications, hosting) and their contractors; 2. recipients, the disclosure of which is required by relevant law or order of a court or other authority; 3. other recipients if you give them your consent or if the transfer of data to them is necessary to protect your vital interests or the vital interests of others or for the public common good; 4. Grape Up sp. z o.o. (in case where the Administrator is another company from Grape Up capital group) if Grape Up sp. z o.o. supports the Controller in the recruitment process. 5. Companies from Grape Up capital group if you consent to the transfer of your personal data to this company for the purpose of recruitment. In case of transfer of personal data to countries outside the EEA, we ensure that they provide guarantees of a high level of personal data protection, including the use of standard contractual clauses approved by the European Commission. Will you be subject to automated decision-making? As part of our recruitment process, your application will undergo automated decision-making. During the initial screening, our Evaluator software will assess your educational background and work experience to determine if they meet the requirements of our job advertisement. The results from the Evaluator may influence our hiring decisions. You have the right to object to this automated decision-making process. Additionally, you have the right to request human intervention, express your views, and challenge any decisions made by the Evaluator. What are your data subject rights? 1. The right to access data and obtain a copy of the data. You have the right to request information, at any time, about your personal data that we store or to which we have access. Upon your request, you will be provided, free of charge, with a copy of your personal data that is the subject of processing. For sending each subsequent copy of data, we have the right to charge a fee to cover the reasonable costs of processing such a request. 2. Right to withdraw consent. Each time your data is processed based on consent, you have the right to withdraw this consent at any time, and the withdrawal of the consent does not affect the lawfulness of the data processing that took place before the withdrawal of consent. 3. The right to rectify personal data. We take reasonable steps to ensure that your personal data is accurate, complete, and up-to-date. If it is necessary to change (update or complete) this data, please let us know. 4. Right to data portability. You have the right to request the transfer of your data in a structured, commonly used, and machine-readable format, as well as the transfer of the data to another data controller, if your consent is the legal basis for the processing of your data. 5. The right to delete data and to limit its processing. In the cases indicated in the legal provisions on the protection of personal data, you have the right to request the erasure of your data. However, this right is not absolute; there may be cases where we are still entitled to process your data. You may also request restrictions on further processing of your data. 6. Right to object to processing. In the cases specified in the legal provisions, you have the right to object to the further processing of your data if the legal basis for the data processing is in our legitimate interest. 7. The right to file a complaint with a supervisory authority. You have the right to file a complaint with the applicable supervisory authority that deals with the protection of personal data, e.g. the President of the Office for Personal Data Protection (in case of Poland), Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (in case of Germany). In matters regarding your personal data, you can contact us directly: by mail: Hetmana Żółkiewskiego Str. 17A, 31-539 Kraków, Poland, by email: careers@grapeup.com

Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji. _________________ I consent to the processing of my personal data for the purposes of the recruitment process.

Zgoda na przetwarzanie danych w przyszłych rekrutacjach Zgadzam się na przetwarzanie moich danych osobowych zawartych w CV, powyższym formularzu oraz zebranych w toku postępowania rekrutacyjnego przez Grape Up sp. z o.o. z siedzibą w Krakowie do celów przyszłych procesów rekrutacyjnych przez okres kolejnych 36 miesięcy liczonych od końca roku, w którym wyraziłem/am zgodę lub do jej odwołania. Otrzymałem/am informację o tym, jak będą przetwarzane moje dane, w tym, że: 1. moja zgoda ma charakter dobrowolny; 2. przysługuje mi prawo do jej wycofania w każdym czasie, co nie będzie miało wpływu na zgodność z prawem przetwarzania danych przed wycofaniem zgody; 3. przysługują mi prawa, w tym prawo dostępu do danych, otrzymania ich kopii, sprostowania, przenoszenia, usunięcia, żądania ograniczenia ich przetwarzania, wniesienia skargi do organu nadzorczego. ________________________ Consent to the processing of personal data in the future recruitment processes I hereby consent to processing of my personal data provided in the documents and forms sent by me and collected during the recruitment procedure by Grape Up sp. z o.o. with its registered office in Krakow, at Hetmana Stanisława Żółkiewskiego Str. 17a, postal code 31-539, KRS no. 513816 (hereinafter referred to as "Controller"), for the purposes of future recruitment processes carried out by the Controller from the date of giving my consent for a period of the next 36 months counted from the end of the calendar year in which I gave my consent or until my consent is withdrawn. I have received information about the data processing by Controller, including the following: 1. my consent is voluntary; 2. I can withdraw my consent at any time, but I am aware, that withdrawal of consent does not affect the lawfulness of the processing prior to the withdrawal; 3. I have the rights, in particular, to access data, to receive a copy of the data, to rectify them, to delete, to limit processing, to raise complaints to the supervisory authority, and to data portability.

Zgoda na przekazanie danych do Addepto sp. z o.o. Zgadzam się na przekazanie moich danych osobowych zawartych w moim CV, powyższym formularzu oraz zebranych w toku postępowania rekrutacyjnego prowadzonego przez Grape Up sp. z o.o. z siedzibą w Krakowie przy ul. Hetmana Żółkiewskiego 17a, kod pocztowy 31-539, powiązanej z Grape Up spółce Addepto sp. z o.o. z siedzibą w Warszawie, ul. Świeradowska 47, 02-662 Warszawa, wpisanej do KRS pod numerem 0000729066, w celach rekrutacyjnych. Otrzymałem/am informację o tym, jak będą przetwarzane moje dane, w tym, że: 1. moja zgoda ma charakter dobrowolny; 2. przysługuje mi prawo do jej wycofania w każdym czasie, co nie będzie miało wpływu na zgodność z prawem przetwarzania danych przed wycofaniem zgody; 3. przysługują mi prawa, w tym prawo dostępu do danych, otrzymania ich kopii, sprostowania, przenoszenia, usunięcia, żądania ograniczenia ich przetwarzania, wniesienia skargi do organu nadzorczego. ________________________ Consent to transfer personal data to Addepto sp. z o.o. I hereby consent to transfer by Grape Up sp. z o.o. with its registered office in Krakow, at Żółkiewskiego 17a, postal code 31-539 (hereinafter referred to as "Controller"), my personal data provided in the documents and forms sent by me and collected during the recruitment procedure by Grape Up sp. z o.o., to other company which is related to Grape Up - Addepto sp. z o.o. with its registered office in Warsaw, Świeradowska Str. 47, postal code 02-662 Warsaw, Poland, entered in the Register of Entrepreneurs of the National Court Register (KRS) under No. 0000729066 for the purposes of recruitment processes. I have received information about the data processing by Controller, including the following: 1. my consent is voluntary; 2. I can withdraw my consent at any time, but I am aware, that withdrawal of consent does not affect the lawfulness of the processing prior to the withdrawal; 3. I have the rights, in particular, to access data, to receive a copy of the data, to rectify them, to delete, to limit processing, to raise complaints to the supervisory authority, and to data portability.