MLOps Engineer (Databricks)

Information clause for job candidates in companies from Grape Up capital group [Polish version below] This clause has been created to explain how your data as an applicant for a job will be processed by the data controller. The controller of the processing of your personal data (hereinafter: Controller) is the company from Grape Up capital group which conducts the recruitment process. If you apply for a position in: - Poland: the Controller is Grape Up sp. z o.o. with its registered office in Kraków, Hetmana Żółkiewskiego Str. 17A, zip code 31-539, KRS number 0000513816 - United States of America: the Controller is GRAPE UP INC. 5201 Great America Parkway, Suite 320, CA 95054, EIN: 47-4475207 What is the scope of data that we process? We only process data that you provide in your application form/email and the attached documents (CV, cover letter, etc.) and that we collect during interviews, to enable the recruitment process and eventually employment. We may process other data only if you provide us with specific consent for processing of such data (e.g. to confirm your statements or grant references by contacting other entities indicated by you). What is the purpose and legal basis for processing? The personal data we collect is necessary for the fulfillment of the following purposes: 1. if the job advertisement concerns employment under an employment contract to fulfill our legal obligation under labour law regulations applicable in a country where you apply for an open position (Article 6(1)(c) GDPR), i.e., data on the first name, surname, contact details such as e-mail address, date of birth, education, professional qualifications, and previous employment or 2. for the conclusion and subsequent performance of the contract with you, i.e., in particular, the data included in the contract concluded in the event of a successful recruitment process (Article 6(1)(b) GDPR); or 3. for the legitimate interests pursued by us (Article 6(1)(f) GDPR), such as: 1) the selection of the right candidate to ensure the proper performance of the tasks assigned to them, i.e., the data collected by us during the recruitment activity, i.e. the records made during the interviews with you (other than those indicated in points 1 and 2 above, but necessary to achieve the stated purpose); 2) the use of Traffit system for pre-selection of CVs to ensure that the information on education and professional experience aligns with the job advertisement's requirements, including the data derived from the selection results. 3) the assertion and defense of claims before courts, administrative authorities, and other bodies (in respect of all data collected); 4. in scope other than indicated in points 1-3 above or where the job advertisement concerns cooperation based on a civil law contract for which you have given us your consent (Article 6(1)(a) GDPR) by your declaration or explicit act of confirmation, such as providing us your CV or cover letter containing such data, i.e., data in the recruitment documents and references received from you, messages, conversations with you and with entities (e.g. your former or current employers and principals/service recipients) that you indicate to us to confirm your employment/co-operation with them (within the scope of your consent which can include processing of such data as your employment/co-operation with other entities, indicated by you, its duration, termination and/or basis and working time of the current employment/cooperation) (in respect of personal data other than those mentioned in points 1-3 above). 5. to inform and contact you about future recruitments processes based on the consent you have provided (Article 6(1)(a) GDPR). We may process your data in an automated or paper form. How long will your data be stored? Your personal data will be processed by us: 1. for the purposes of recruitment for a specific job offer from the date of their collection: 1) for a period of up to 6 months after the end of the recruitment process in case of rejection of your application (while you do not consent to the processing of your personal data in future recruitments); 2) until the conclusion of the contract in the event of a successful recruitment process; 2. for the purposes related to participation in future recruitment (in case you consented to further processing of your data for future recruitment processes) from the date of obtaining your consent for a period of the next 36 months, calculated from the end of the calendar year in which you gave your consent or until you withdraw your consent; 3. in exceptional cases to defend your potential claims or pursue our claims from the date of completion of any recruitment process in which you participate until the expiry of the limitation period for your or our claims (but no longer than the date of your effective objection to the processing). Where did we collect your data from? We have received your data directly from you or third parties, in particular: - from providers of recruitment services and web applications that improve the recruitment process and the management of recruiter databases (the legal basis for obtaining your data from such providers is your consent); - from the Traffit software in the form of a candidate profile summary and a score; - from people who refer you as a candidate in a situation where your data is provided to us by a participant in the employee referral program (in such a situation, the person referring you should ensure that they have obtained a legal basis for providing your data); - from publicly available sources, such as social media and your profile published there. - from entities indicated by your (such as your former or current employers or principals/ service recipients). Who is your personal data recipient? As a Controller, we may share your personal information with third parties in the following circumstances: 1. third parties who provide us with services necessary to achieve the purposes for which we process your data (e.g., IT, recruitment services, skills testing, electronic communications, hosting) and their contractors; 2. recipients, the disclosure of which is required by relevant law or order of a court or other authority; 3. other recipients if you give them your consent or if the transfer of data to them is necessary to protect your vital interests or the vital interests of others or for the public common good; 4. Grape Up sp. z o.o. (in case where the Controller is another company from Grape Up capital group) if Grape Up sp. z o.o. supports the Controller in the recruitment process; 5. companies from Grape Up capital group if you consent to the transfer of your personal data to this company for the purpose of recruitment. In case of transfer of personal data to countries outside the EEA, we ensure that they provide guarantees of a high level of personal data protection, including the use of standard contractual clauses approved by the European Commission. Is providing your personal data mandatory? Providing your personal data: 1. In the case of recruitment for employment under an employment contract, providing the personal data referred to in the provisions of labour law regulations is a legal requirement, and failure to provide such data will result in your application for the offered position not being considered. Providing personal data beyond this scope is voluntary (based on consent) and will not affect your ability to participate in the recruitment process or the consideration of your application, 2. in the case of recruitment for employment based on a civil law contract, providing data is a condition for participating in the recruitment process and the potential conclusion of a contract, and is also a requirement thereof. Failure to provide the required data will result in your application not being considered in the recruitment process, 3. in the case of data processing for the purpose of informing and contacting you about future recruitment processes providing your data is voluntary; however, failure to provide it will result in your application not being considered in the Controllers future recruitment processes. Will you be subject to automated decision-making? As part of our recruitment process, your application will undergo automated processing, including profiling. During the initial screening, our Traffit software will assess your educational background and work experience to determine if they meet the requirements of our job advertisement and generate a candidate profile summary and a score. The results from the Traffit do not have any legal consequences for you nor do they significantly affect your situation - they serve only to streamline the recruitment process and better match your profile to our job openings. Decisions regarding a candidates qualification for subsequent stages of the recruitment process, may be influenced by the results from Traffit, however are always made by a human recruiter. You have the right to object to this automated processing, including profiling. What are your data subject rights? 1. The right to access data and obtain a copy of the data. You have the right to request information, at any time, about your personal data that we store or to which we have access. Upon your request, you will be provided, free of charge, with a copy of your personal data that is the subject of processing. For sending each subsequent copy of data, we have the right to charge a fee to cover the reasonable costs of processing such a request. 2. Right to withdraw consent. Each time your data is processed based on consent, you have the right to withdraw this consent at any time, and the withdrawal of the consent does not affect the lawfulness of the data processing that took place before the withdrawal of consent. 3. The right to rectify personal data. We take reasonable steps to ensure that your personal data is accurate, complete, and up to date. If it is necessary to change (update or complete) this data, please let us know. 4. Right to data portability. You have the right to request the transfer of your data in a structured, commonly used, and machine-readable format, as well as the transfer of the data to another data controller, if your consent is the legal basis for the processing of your data. 5. The right to delete data and to limit its processing. In the cases indicated in the legal provisions on the protection of personal data, you have the right to request the erasure of your data. However, this right is not absolute; there may be cases where we are still entitled to process your data. You may also request restrictions on further processing of your data. 6. Right to object to processing. In the cases specified in the legal provisions, you have the right to object to the further processing of your data if the legal basis for the data processing is in our legitimate interest. 7. The right to file a complaint with a supervisory authority. You have the right to file a complaint with the applicable supervisory authority that deals with the protection of personal data, e.g. the President of the Office for Personal Data Protection (in case of Poland). In matters regarding your personal data, you can contact us directly: - by mail: Hetmana Żółkiewskiego Str. 17A, 31-539 Kraków, Poland, - by email: careers@grapeup.com ___ Klauzula informacyjna dla kandydatów do pracy w spółkach grupy kapitałowej Grape Up Niniejsza klauzula została przygotowana w celu wyjaśnienia, w jaki sposób Twoje dane jako kandydata do pracy będą przetwarzane przez administratora danych. Administratorem przetwarzania Twoich danych osobowych (dalej: Administrator) jest spółka z grupy kapitałowej Grape Up, która prowadzi proces rekrutacji. Jeśli aplikujesz na stanowisko w: - Polsce: Administratorem jest Grape Up sp. z o.o. z siedzibą w Krakowie, ul. Hetmana Żółkiewskiego 17A, kod pocztowy 31-539, numer KRS 0000513816 - Stanach Zjednoczonych Ameryki: Administratorem jest GRAPE UP INC., 5201 Great America Parkway, Suite 320, CA 95054, EIN: 47-4475207 Jaki jest zakres przetwarzanych danych? Przetwarzamy wyłącznie dane, które podajesz w formularzu aplikacyjnym/wiadomości e-mail oraz załączonych dokumentach (CV, list motywacyjny itp.), a także dane zbierane podczas rozmów kwalifikacyjnych, w celu umożliwienia przeprowadzenia procesu rekrutacji i ewentualnego zatrudnienia. Inne dane możemy przetwarzać wyłącznie w przypadku wyrażenia przez Ciebie odrębnej zgody na ich przetwarzanie (np. w celu weryfikacji Twoich oświadczeń lub uzyskania referencji poprzez kontakt z podmiotami przez Ciebie wskazanymi). Jaki jest cel i podstawa prawna przetwarzania? Zbierane przez nas dane osobowe są niezbędne do realizacji następujących celów: 1. jeżeli ogłoszenie o pracę dotyczy zatrudnienia na podstawie umowy o pracę w celu wypełnienia naszego obowiązku prawnego wynikającego z przepisów prawa pracy obowiązujących w kraju, w którym aplikujesz na dane stanowisko (art. 6 ust. 1 lit. c RODO), tj. danych obejmujących imię, nazwisko, dane kontaktowe, takie jak adres e-mail, datę urodzenia, wykształcenie, kwalifikacje zawodowe i poprzednie zatrudnienie; lub 2. w celu zawarcia i późniejszego wykonania umowy z Tobą, tj. w szczególności danych zawartych w umowie zawartej w przypadku pomyślnego zakończenia procesu rekrutacji (art. 6 ust. 1 lit. b RODO); lub 3. w celu realizacji prawnie uzasadnionych interesów przez nas (art. 6 ust. 1 lit. f RODO), takich jak: 1) dobór odpowiedniego kandydata w celu zapewnienia prawidłowego wykonywania powierzonych mu zadań, tj. danych zebranych przez nas w trakcie działań rekrutacyjnych, w tym zapisów sporządzonych podczas rozmów z Tobą (innych niż wskazane w pkt 1 i 2 powyżej, lecz niezbędnych do osiągnięcia wskazanego celu); 2) korzystanie z systemu Traffit do wstępnej selekcji CV w celu sprawdzenia czy informacje dotyczące wykształcenia i doświadczenia zawodowego odpowiadają wymaganiom określonym w ogłoszeniu o pracę, w tym danych uzyskanych z wyników selekcji; 3) dochodzenie i obrona roszczeń przed sądami, organami administracyjnymi i innymi podmiotami (w odniesieniu do wszystkich zebranych danych); 4. w zakresie innym niż wskazany w pkt 1-3 powyżej lub w przypadku gdy ogłoszenie o pracę dotyczy współpracy na podstawie umowy cywilnoprawnej na podstawie udzielonej przez Ciebie zgody (art. 6 ust. 1 lit. a RODO) wyrażonej poprzez oświadczenie lub wyraźne działanie potwierdzające, takie jak przekazanie nam CV lub listu motywacyjnego zawierającego takie dane, tj. danych zawartych w dokumentach rekrutacyjnych i referencjach od Ciebie otrzymanych, wiadomościach, rozmowach z Tobą i podmiotami (np. Twoimi byłymi lub obecnymi pracodawcami i zleceniodawcami/odbiorcami usług), które wskazujesz nam w celu potwierdzenia Twojego zatrudnienia/współpracy z nimi (w zakresie Twojej zgody, która może obejmować przetwarzanie takich danych jak zatrudnienie/współpraca z innymi wskazanymi przez Ciebie podmiotami, jej czas trwania, rozwiązanie i/lub podstawa oraz wymiar czasu pracy w ramach bieżącego zatrudnienia/współpracy) (w odniesieniu do danych osobowych innych niż wymienione w pkt 1-3 powyżej); 5. w celu informowania Cię o przyszłych procesach rekrutacyjnych i kontaktowania się z Tobą na podstawie udzielonej przez Ciebie zgody (art. 6 ust. 1 lit. a RODO). Twoje dane możemy przetwarzać w formie elektronicznej lub papierowej. Jak długo będą przechowywane Twoje dane? Twoje dane osobowe będą przez nas przetwarzane: 1. na potrzeby rekrutacji na konkretną ofertę pracy od daty ich zebrania: 1) przez okres do 6 miesięcy od zakończenia procesu rekrutacji w przypadku odrzucenia Twojej aplikacji (jeśli nie wyrażasz zgody na przetwarzanie Twoich danych w przyszłych rekrutacjach); 2) do momentu zawarcia umowy w przypadku pomyślnego zakończenia procesu rekrutacji; 2. na potrzeby związane z udziałem w przyszłych rekrutacjach (w przypadku wyrażenia zgody na dalsze przetwarzanie danych w celu przyszłych rekrutacji) od daty uzyskania zgody przez okres kolejnych 36 miesięcy, liczonych od końca roku kalendarzowego, w którym udzieliłeś/udzieliłaś zgody, lub do momentu jej wycofania; 3. w wyjątkowych przypadkach w celu obrony przed Twoimi potencjalnymi roszczeniami lub dochodzenia naszych roszczeń od daty zakończenia jakiegokolwiek procesu rekrutacji, w którym uczestniczysz, do upływu okresu przedawnienia Twoich lub naszych roszczeń (jednak nie dłużej niż do daty Twojego skutecznego sprzeciwu wobec przetwarzania). Skąd pozyskaliśmy Twoje dane? Otrzymaliśmy Twoje dane bezpośrednio od Ciebie lub od podmiotów trzecich, w szczególności: - od dostawców usług rekrutacyjnych i aplikacji internetowych usprawniających proces rekrutacji oraz zarządzanie bazami danych rekruterów (podstawą prawną pozyskania Twoich danych od takich dostawców jest Twoja zgoda); - z oprogramowania Traffit w postaci podsumowania profilu kandydata i wyniku oceny; - od osób, które polecają Cię jako kandydata w sytuacji, gdy Twoje dane zostają nam przekazane przez uczestnika programu poleceń pracowniczych (w takim przypadku osoba Cię polecająca powinna upewnić się, że uzyskała podstawę prawną do przekazania Twoich danych); - z publicznie dostępnych źródeł, takich jak media społecznościowe i opublikowany tam Twój profil; - od podmiotów przez Ciebie wskazanych (np. Twoich byłych lub obecnych pracodawców lub zleceniodawców/odbiorców usług). Kto jest odbiorcą Twoich danych osobowych? Jako Administrator możemy udostępniać Twoje dane osobowe podmiotom trzecim w następujących okolicznościach: 1. podmiotom trzecim świadczącym nam usługi niezbędne do realizacji celów, w których przetwarzamy Twoje dane (np. usługi IT, rekrutacyjne, testowania kompetencji, komunikacji elektronicznej, hostingowe) oraz ich podwykonawcom; 2. odbiorcom, którym ujawnienie danych jest wymagane przez właściwe przepisy prawa lub na mocy orzeczenia sądu bądź innego organu; 3. innym odbiorcom, jeżeli udzielisz im zgody lub jeżeli przekazanie danych jest niezbędne do ochrony Twoich żywotnych interesów lub żywotnych interesów innych osób albo dla dobra publicznego; 4. Grape Up sp. z o.o. (w przypadku, gdy Administratorem jest inna spółka z grupy kapitałowej Grape Up) jeżeli Grape Up sp. z o.o. wspiera Administratora w procesie rekrutacji; 5. spółkom z grupy kapitałowej Grape Up jeżeli wyrażasz zgodę na przekazanie swoich danych osobowych tej spółce w celu rekrutacji. W przypadku przekazania danych osobowych do krajów spoza Europejskiego Obszaru Gospodarczego zapewniamy, że gwarantują one wysoki poziom ochrony danych osobowych, w tym poprzez stosowanie standardowych klauzul umownych zatwierdzonych przez Komisję Europejską. Czy podanie danych osobowych jest obowiązkowe? Podanie danych osobowych: 1. W przypadku rekrutacji na stanowisko w ramach umowy o pracę podanie danych osobowych, o których mowa w przepisach prawa pracy, jest wymogiem ustawowym, a niepodanie tych danych skutkuje brakiem możliwości rozpatrzenia Twojej aplikacji na oferowane stanowisko. Podanie danych osobowych wykraczających poza ten zakres jest dobrowolne (na podstawie zgody) i nie wpłynie na możliwość udziału w procesie rekrutacji ani na rozpatrzenie Twojej aplikacji. 2. W przypadku rekrutacji na stanowisko w ramach umowy cywilnoprawnej podanie danych jest warunkiem uczestnictwa w procesie rekrutacji i ewentualnego zawarcia umowy, a także wymogiem tego procesu. Niepodanie wymaganych danych skutkuje brakiem możliwości rozpatrzenia Twojej aplikacji w procesie rekrutacji. 3. W przypadku przetwarzania danych w celu informowania Cię o przyszłych procesach rekrutacyjnych i kontaktowania się z Tobą podanie danych jest dobrowolne; jednak ich niepodanie skutkuje brakiem możliwości rozpatrzenia Twojej aplikacji w przyszłych procesach rekrutacyjnych prowadzonych przez Administratora. Czy będziesz podlegać zautomatyzowanemu podejmowaniu decyzji? W ramach naszego procesu rekrutacji Twoja aplikacja zostanie poddana zautomatyzowanemu przetwarzaniu, w tym profilowaniu. Podczas wstępnej selekcji nasze oprogramowanie Traffit oceni Twoje wykształcenie i doświadczenie zawodowe, aby sprawdzić, czy spełniają wymagania naszego ogłoszenia o pracę, oraz wygeneruje podsumowanie profilu kandydata i wynik oceny. Wyniki uzyskane w systemie Traffit nie wywołują wobec Ciebie żadnych skutków prawnych ani nie wpływają istotnie na Twoją sytuację służą jedynie usprawnieniu procesu rekrutacji i lepszemu dopasowaniu Twojego profilu do naszych ofert pracy. Decyzje dotyczące zakwalifikowania kandydata do kolejnych etapów procesu rekrutacji mogą być uzależnione od wyników z systemu Traffit, jednak zawsze podejmowane są przez człowieka rekrutera. Masz prawo do wniesienia sprzeciwu wobec tego zautomatyzowanego przetwarzania, w tym profilowania. Jakie są Twoje prawa jako osoby, której dane dotyczą? 1. Prawo dostępu do danych i uzyskania ich kopii. Masz prawo w dowolnym momencie zażądać informacji o Twoich danych osobowych, które przechowujemy lub do których mamy dostęp. Na Twoje żądanie zostanie Ci nieodpłatnie przekazana kopia Twoich danych osobowych będących przedmiotem przetwarzania. Za przesłanie każdej kolejnej kopii danych mamy prawo pobrać opłatę pokrywającą uzasadnione koszty realizacji takiego żądania. 2. Prawo do wycofania zgody. Za każdym razem, gdy Twoje dane są przetwarzane na podstawie zgody, masz prawo wycofać tę zgodę w dowolnym momencie. Wycofanie zgody nie wpływa na zgodność z prawem przetwarzania danych, które miało miejsce przed jej wycofaniem. 3. Prawo do sprostowania danych osobowych. Podejmujemy uzasadnione kroki, aby zapewnić, że Twoje dane osobowe są dokładne, kompletne i aktualne. Jeżeli konieczna jest zmiana (aktualizacja lub uzupełnienie) tych danych, prosimy o poinformowanie nas. 4. Prawo do przenoszenia danych. Masz prawo zażądać przekazania Twoich danych w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego, a także przeniesienia danych do innego administratora, jeżeli podstawą prawną przetwarzania Twoich danych jest zgoda. 5. Prawo do usunięcia danych i ograniczenia ich przetwarzania. W przypadkach wskazanych w przepisach prawa dotyczących ochrony danych osobowych masz prawo żądać usunięcia swoich danych. Prawo to nie jest jednak bezwzględne mogą istnieć przypadki, w których nadal jesteśmy uprawnieni do przetwarzania Twoich danych. Możesz również zażądać ograniczenia dalszego przetwarzania Twoich danych. 6. Prawo do sprzeciwu wobec przetwarzania. W przypadkach określonych w przepisach prawa masz prawo wnieść sprzeciw wobec dalszego przetwarzania Twoich danych, jeżeli podstawą prawną ich przetwarzania jest nasz prawnie uzasadniony interes. 7. Prawo do wniesienia skargi do organu nadzorczego. Masz prawo wnieść skargę do właściwego organu nadzorczego zajmującego się ochroną danych osobowych, np. do Prezesa Urzędu Ochrony Danych Osobowych (w przypadku Polski). W sprawach dotyczących Twoich danych osobowych możesz skontaktować się z nami bezpośrednio: - listownie: ul. Hetmana Żółkiewskiego 17A, 31-539 Kraków, Polska - e-mailowo: careers@grapeup.com

I consent to the processing of my personal data for the purposes of the recruitment process. ___ Wyrażam zgodę na przetwarzanie moich danych osobowych dla potrzeb niezbędnych do realizacji procesu rekrutacji.

Internal procedure for reporting breaches of law and taking follow-up actions at Grape Up Sp. z o.o. of Kraków [Polish version below] § 1. PURPOSE OF THE PROCEDURE 1. This Procedure has been developed in order to comply with the obligations of Grape Up Sp. z o.o. of Kraków resulting from: 1) the Polish Law of 14 June 2024 on the Protection of Whistleblowers; 2) Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law. 2. The purpose of this Procedure is to introduce an efficient system of reporting Breaches of Law at Grape Up Sp. z o.o. by means of laying down comprehensive regulations covering the reporting of Breaches of Law and diligent performance of Follow-Up Actions. 3. The purpose of this Procedure is also to protect Whistleblowers against potential Retaliation, as well as to prevent the negative consequences of Breaches of Law at Grape Up Sp. z o.o. through early identification and removal of the reported irregularities. § 2. DEFINITIONS When used in this Procedure, the following terms shall have the following meaning: 1. Whistleblower a natural person who reports or publicly discloses Information on Breaches acquired in a Work-Related Context, including: a) an employee; b) a temporary worker; c) a person rendering work on a basis other than an employment relationship, including under a civil law agreement; d) an entrepreneur; e) a holder of procuration; f) a shareholder or stockholder; g) a member of a body of a legal person or an organization without legal personality; h) a person rendering work under the supervision and management of a contractor, subcontractor, or supplier; i) an intern; j) a volunteer; k) a trainee; 2. Member of the Management Board a person responsible for receiving Internal Reports; 3. Follow-Up Action an action taken by Grape Up in order to verify the truthfulness of the allegations made in a Report and to counteract the Breach of Law being the object of the Report, including but not limited to an investigation procedure, an inspection, administrative proceedings, an indictment, an action intended to recover funds, or closing proceedings carried out as part of this Procedure; 4. Retaliation a direct or indirect action or omission in a Work-Related Context caused by a Report or a Public Disclosure, which violates or could violate the rights of the Whistleblower or which causes or could cause unjustified harm to the Whistleblower, including groundless initiation of proceedings against the Whistleblower; 5. Grape Up Grape Up Sp. z o.o. of Kraków, ul. Hetmana Żółkiewskiego 17A, 31-539 Kraków, entered into the Register of Businesses, a part of the National Court Register, maintained by the District Court for Kraków-Śródmieście in Kraków, Division XI (National Court Register Cases), under number 0000513816, NIP (tax identification number): 945-217-93-09, REGON (statistical number): 123118640; 6. Information on Breaches information, including a reasonable suspicion, concerning an actual or potential Breach of Law that has occurred or will likely occur at Grape Up or information concerning an attempt to conceal such a Breach of Law; 7. Feedback information provided to the Whistleblower, concerning the planned or already taken Follow-Up Actions and the reasons for taking them; 8. Work-Related Context past, current, or future activities related to carrying out work under an employment relationship or another legal relationship being the basis for rendering work at or providing services to Grape Up, in connection with which Information on Breaches is acquired and a possibility of Retaliation exists; 9. Breach of Law an action or omission that is illegal or intended to circumvent the law, concerning: a) corruption; b) public procurement; c) financial services, products, and markets; d) preventing money laundering and the financing of terrorism; e) product safety and compliance; f) transport safety; g) environmental protection; h) radiological protection and nuclear safety; i) food and feedstuffs safety; j) animal health and well-being; k) public health; l) consumer protection; m) protection of privacy and personal data; n) security of ICT networks and systems; o) the financial interests of the State Treasury of the Republic of Poland, local governments, and the European Union; p) the European Unions internal market, including the principles of competition and state aid and the principles of taxation of legal persons; q) constitutional freedoms and rights of man and of the citizen that exist in relationships between an individual and public authorities and are unrelated to the areas listed in a) trough p), above; 10. Public Authority chief and central government administration authorities, local authorities of government administration, bodies of local governments, other state authorities, and other entities carrying out, by operation of law, public administration tasks, competent to take Follow-Up Actions in the areas listed in § 2(8), above; 11. Person Concerned a natural person, a legal person, or an organization without legal personality that has legal capacity under statutory regulations, specified in a Report or a Public Disclosure as the perpetrator of a Breach of Law or as a person or entity the perpetrator of a Breach of Law is related to; 12. Facilitator a natural person who assists the Whistleblower in filing a Report or making a Public Disclosure in a Work-Related Context and whose assistance should not be disclosed; 13. Person Related to the Whistleblower a natural person who may suffer Retaliation, including an associate or a close one of the Whistleblower (i.e., spouse, ascendant, descendant, sibling, relative by affinity of the same line or degree, a person remaining in a relationship of adoption and his or her spouse, as well as a person remaining in cohabitation); 14. People Operations Manager the person responsible for receiving Internal Reports; 15. Employee a person carrying out paid-for work for Grape Up or rendering paid-for work on a basis other than an employment relationship, irrespective of what this basis may be; 16. Procedure this internal procedure of reporting Breaches of Law and taking Follow-Up Actions at Grape Up; 17. GDPR Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) (OJ L 119 of 2016, p. 1, as amended); 18. Public Disclosure an act of publicly disclosing Information on Breaches; 19. Report an Internal Report or an External Report; 20. Internal Report a report filed with Grape Up in accordance with § 4 of this Procedure; 21. External Report providing Information on Breaches to the Polish Ombudsman or a Public Authority. § 3. PROTECTION OF WHISTLEBLOWERS 1. A Whistleblower shall enjoy the protection specified in this § 3 from the moment of filing a Report or making a Public Disclosure, provided that he or she had reasonable reasons to believe that the information being the object of the Report or the Public Disclosure was true at the moment of filing the Report or making the Public Disclosure and that it constituted Information on Breaches. 2. No Retaliation, attempts at Retaliation, or threats of Retaliation may be made with respect to a Whistleblower. 3. With respect to a Whistleblower, no Retaliation may be carried out, consisting in particular in the following actions, attempts at such actions, or threats of such actions: a) refusal to establish an employment relationship or another legal relationship being the basis for carrying out paid-for work for Grape Up; b) termination, with or without observing the notice period, of the employment relationship or another legal relationship being the basis for carrying out paid-for work for Grape Up; c) termination of, with or without observing the notice period, or withdrawal from an agreement the Whistleblower is a party to, including but not limited to an agreement concerning the sale or delivery of goods or the provision of services; d) refusal to execute a fixed-term employment contract or an open-ended employment contract following the termination of a trial period employment contract, refusal to execute another fixed-term employment contract, or refusal to execute an open-ended employment contract after the termination of a fixed-term employment contractin a situation where the Whistleblower has a justified expectation that such a contract will be executed with him or her; e) reduction of remuneration for work; f) suspension of promotion or passing over during a promotion; g) passing over when granting work-related benefits other than remuneration; h) transferring to a lower position; i) suspension in performing employee or official duties; j) transferring the Whistleblowers existing duties to another Employee; k) negative change of workplace or working time; l) negative evaluation of work or work results; m) imposition or application of a disciplinary measure, including a financial penalty, or a similar measure; n) coercion, intimidation, or exclusion; o) mobbing; p) discrimination; q) unfavorable or unfair treatment; r) suspension of participation in or passing over in selecting for participation in training seminars that improve professional qualifications; s) unjustified referral to a medical check-up, including a psychiatric evaluation, unless separate legal regulations provide for such a possibility; t) actions intended to make it difficult to find employment in the given sector or industry on the basis of a formal or informal sector or industry agreement; u) imposition of an obligation, refusal to grant a right, restriction of a right, or deprivation of a right, including but not limited to a license, a permission, or a relief; v) causing a financial loss, including an economic loss, or loss of income; w) causing other non-financial damage, including a violation of personality rights, especially to the reputation of the Whistleblower. 4. The protection referred to in § 3(3), above, shall not apply if: a) the necessity or need for Grape Up to take the actions listed in § 3(3)(a) (m), (r), (u), and (v) above, is a result of objective circumstances that are unrelated to the fact of reporting a Breach of Law; b) the Whistleblower consciously reports false or misleading information; c) the Whistleblower files the Report with respect to an area not covered by this Procedure. 5. A person filing a Report while knowing that a Breach of Law did not take place shall be subject to the criminal liability specified in the Polish Law on Whistleblowers. 6. The Whistleblowers personal data allowing for identifying him or her shall not be disclosed to unauthorized persons, except: a) if the Whistleblower expressly agrees to such disclosure; b) in a situation where the disclosure of the Whistleblowers details is a necessary and proportional obligation resulting from legal regulations, in connection with the investigations carried out by Public Authorities or preparatory or court proceedings carried out by courts, including in order to guarantee the Person Concerned with the right to defend. 7. The protection referred to in this § 3 shall also apply to a Facilitator and a Person Related to the Whistleblower. 8. Grape Up shall guarantee that this Procedure and the processing of personal data related to receiving Reports make it impossible for unauthorized persons to access the information contained in the Report and ensure the protection of the identity of the Whistleblower, the Person Concerned, and the third parties mentioned in the Report. This protection shall concern the information on the basis of which these persons could be directly or indirectly identified. § 4. INTERNAL REPORTING 1. A person who holds Information on Breaches acquired in a Work-Related Context should file an Internal Report in accordance with this § 4. This person should act in good faith and in public interest, based on reasonable factual circumstances. 2. An Internal Report may be filed: a) openly, if the Whistleblower agrees to the disclosure of his or her identity; b) confidentially, the Whistleblower does not agree to the disclosure of his or her details and these details are not disclosed; c) anonymously, if the identity of the Whistleblower cannot be determined in any way. 3. Grape Up provides the following channels for filing an Internal Report: a) by e-mail, to complaints@grapeup.com, which may be accessed by the People Operations Manager and the Member of the Management Board; and b) by sending a letter via regular mail to the following correspondence address: Grape Up Sp. z o.o., ul. Hetmana Żółkiewskiego 17A, 31-539 Kraków, addressed to the People Operations Manager, with a note on the envelope reading Internal report or another similar note allowing for identifying the letter as an Internal Report. 4. A Report filed via the channels specified in § 4(3), above, may be open, confidential, or anonymous. 5. The above channels for filing an Internal Report are also available to counterparties, business partners, suppliers, and persons carrying out any activities for or on behalf of Grape Up. 6. The persons authorized to receive Internal Reports are the Member of the Management Board and the People Operations Manager. 7. In order to ensure efficient processing of Internal Reports, the People Operations Manager and the Member of the Management Board shall perform the following tasks: a) receiving Internal Reports sent by e-mail; b) communicating with the Whistleblower, including confirming the receipt of the Report within seven days of receiving it, unless the Whistleblower does not provide his or her contact details; c) working with the Internal Commission in order to verify the information contained in the Internal Report; d) maintaining the Register of Reports in accordance with § 7; e) providing information and support with respect to the forms of filing an Internal Report. 8. The Report should contain the following elements, provided that they are known to the Whistleblower: a) a detailed description of the facts; b) the date and place of the event or the date and place of acquiring information about the Breach of Law; c) the personal data and the roles of the persons involved or the elements that could allow for their identification; d) specification of the documents that could confirm the legitimacy of the reported facts; e) specification of the person and/or organizational unit the Report concerns; f) the address to which Feedback should be provided. 9. Only the persons holding a written authorization from Grape Up may be permitted to receive and verify Reports, take Follow-Up Actions, and process the personal data of the Whistleblower, the Person Concerned, and the third parties mentioned in the Report. The authorized persons shall maintain confidentiality in terms of the information and personal data they acquire as part of receiving or verifying Reports and taking Follow-Up Actions, including after the termination of the employment relationship or another legal relationship under which they carried out that work. 10. If the Breach of Law concerns the People Operations Manager, the Report should be sent to the registered office of Grape Up, with a note on the envelope reading Do not opento the hands of the Member of the Management Board of Grape Up. 11. A Whistleblower who wants to file a Report following the procedure specified in § 4(10), above, should provide a detailed description of the Breach of Law in the letter. 12. The Employee or contractor responsible for handling correspondence shall immediately notify the Member of the Management Board about receiving correspondence with a note reading Do not opento the hands of the Member of the Management Board of Grape Up, forwarding the correspondence without opening the envelope and reading its contents. 13. Only the Member of the Management Board of Grape Up shall have access to correspondence marked as Do not opento the hands of the Member of the Management Board of Grape Up. 14. The Reports received in accordance with the procedure specified in § 4(10)4(13) shall be processed in accordance with this Procedure, considering the need to maintain confidentiality. § 5. FOLLOW-UP ACTIONS 1. The entity authorized to take Follow-Up Actions shall be the Internal Commission, which in each individual case shall be appointed by the Management Board of Grape Up. The Internal Commission shall be composed of the persons authorized by the Management Board who have the relevant competences to carry out Follow-Up Actions with respect to the specific Report and who guarantee impartiality and independence. 2. In order to evaluate the truthfulness of the information contained in the Report and counteract the Breach of Law being the object of the Report, the Internal Commission shall carry out an investigation. 3. If a Report is filed anonymously or if the Whistleblower does not provide a contact address, the Internal Commission shall carry out a preliminary analysis of the Report, verifying the circumstances described in the Report. If, following the preliminary analysis of the Report, it is determined that a Breach of Law may have taken place, the Internal Commission shall initiate an investigation. If the Report is groundless or impossible to verify, the Internal Commission shall not take any further actions with respect to the Report. Every Internal Report filed anonymously shall be entered into the Register of Internal Reports, in accordance with § 7 of this Procedure. If no further actions are taken with respect to a Report, the reasons for such a decision shall be specified in the Register of Internal Reports. 4. The Employees of all of the departments of Grape Up shall cooperate with the Internal Commission to the extent necessary to determine the circumstances of and the person involved in behaviors that could constitute a Breach of Law. In particular, the Internal Commission may demand access to personal data, official e-mails, and other documents or resources necessary to determine if the behavior under examination constitutes a Breach of Law. 5. In order to facilitate the Internal Commission in carrying out its tasks, Grape Up shall authorize the members of the Commission to process the personal data of the Employees of Grape Up to the necessary extent. 6. The Internal Commission shall immediately present to the Management Board of Grape Up proposals of the Follow-Up Actions to be taken with respect to the perpetrator of the Breach of Law and recommendations intended to eliminate and prevent future Breaches of Law as well as to eliminate or minimize the risk of putting Grape Up at risk of damage caused by the Breach of Law. 7. The investigation should be carried out in a manner allowing for collecting evidence that may be a basis for the Management Board of Grape Up to make decisions and, in specific cases, also for the relevant state authorities to process the case further. 8. The investigation should be initiated without undue delay and Feedback, including the results of the investigation, should be provided to the Whistleblower within not more than three months, unless the Whistleblower does not specify a contact address. 9. If the behavior under examination is likely to be considered a Breach of Law, the Management Board of Grape Up shall be immediately notified. 10. The final evaluation of the evidence presented by the Internal Commission shall be made by the Management Board of Grape Up. On the basis of that evaluation, the Management Board of Grape Up shall make the relevant decisions and take the relevant actions, including but not limited to reorganization and disciplinary actions. In justified cases, the Management Board of Grape Up shall decide to forward the information and the evidence collected to the relevant state authorities. § 6. EXTERNAL REPORTING 1. A Whistleblower may file an External Report without filing an Internal Report first, especially if: a) by the deadlines for taking Follow-Up Actions and providing Feedback, as specified in this Procedure, Grape Up fails to take Follow-Up Actions or provide the Whistleblower with Feedback; or b) the Whistleblower has justified reasons to believe that the Breach of Law may be a direct or obvious threat to public interest, including but not limited to a risk of irreversible damage; or c) filing an Internal Report would put the Whistleblower at risk of Retaliation; or d) in the case of an Internal Report, there is a low probability of Grape Up efficiently counteracting the Breach of Law due to the special circumstances of the case, such as the possibility of concealing or destroying evidence, collusion between Grape Up and the perpetrator of the Breach of Law, or Grape Up being involved in the Breach of Law. 2. Internal Reports are received by the Polish Ombudsman or by a Public Authority if the Report concerns a Breach of Law in an area for which tis Authority is competent (e.g. the Polish Financial Supervision Authority, the Polish Office for the Protection of Competition and Consumers, the General Inspector for Financial Information). 3. If the External Report contains Information on Breaches, the Polish Ombudsman shall immediately, within not more than 14 days of receiving the Report, forward the Report to the Public Authority competent to take Follow-Up Actions. 4. An External Report shall be filed with a Public Authority in accordance with that Authoritys procedure for receiving External Reports and taking Follow-Up Actions. § 7. REGISTER OF REPORTS 1. Internal Reports shall be registered in the Register of Internal Reports maintained in an electronic form by the People Operations Manager. The Register of Internal Reports concerning the People Operations Manager shall be maintained separately by the Member of the Management Board, with no involvement from the People Operations Manager. 2. The Register of Internal Reports shall contain at least: a) the number of the Report; b) the object of the Breach of Law; c) the personal data of the Whistleblower, unless the Report is anonymous; d) the personal data of the Person Concerned; e) the Whistleblowers contact address, unless none has been provided; f) the date of filing the Internal Report; g) information concerning the Follow-Up Actions taken; h) the date of closing the case. 3. Only the following persons and entities shall have access to the Register of Internal Reports: a) the Management Board of Grape Up, except where the Report concerns a Member of the Management Boardin such a case, the other Members of the Management Board shall have access to the Register of Internal Reports; b) the People Operations Manager, except where the Report concerns the People Operations Manager; c) state authorities authorized to take actions in connection with the Breach of Law (law enforcement authorities, courts). 4. The Register of Internal Reports shall be maintained in compliance with the principles of confidentiality. 5. Personal data and other information contained in the Register of Internal Reports shall be stored for three years from the end of the calendar year in which the Follow-Up Actions were completed or the proceedings initiated as a result of these Actions were completed. § 8. PUBLIC DISCLOSURE 1. A Whistleblower making a Public Disclosure shall be subject to protection if he or she: a) files an Internal Report followed by an External Report and Grape Up and then the Public Authority, by the deadline for providing Feedback, does not take the relevant Follow-Up Actions and does not provide the Whistleblower with Feedback, or b) files an External Report without filing an Internal Report first and the Public Authority, by the deadline for providing Feedback specified in its internal procedure, does not take the relevant Follow-Up Actions and does not provide the Whistleblower with Feedback, unless the Whistleblower does not provide a contact address to which Feedback should be sent. 2. A Whistleblower making a Public Disclosure shall be subject to protection also if he or she has justified reasons to believe that: a) the Breach of Law could constitute a direct or obvious threat to public interest, especially if there is a risk of irreversible damage, or b) filing an External Report would put the Whistleblower at a risk of Retaliation, or c) in the case of an External Report, there is a low probability of efficiently counteracting the Breach of Law due to the special circumstances of the case, such as the possibility of concealing or destroying evidence, collusion between the Public Authority and the perpetrator of the Breach of Law, or the Public Authority being involved in the Breach of Law. § 9. PERSONAL DATA PROTECTION 1. The process of receiving and verifying the Reports, taking Follow-Up Actions, and the related processing of personal data shall be organized in a manner preventing unauthorized persons from obtaining access to the information covered with the Report and guaranteeing protection of the identity of the Whistleblower, the Person Concerned, and the third parties mentioned in the Report. This protection shall concern the information on the basis of which these persons could be directly or indirectly identified. 2. The persons authorized to receive and verify Reports, take Follow-Up Actions, and process personal data in connection with the examination of a Report shall keep strictly confidential all of the facts learned in the course of these actions and in connection with them. The authorized persons shall maintain confidentiality in terms of the information and personal data they acquire as part of receiving or verifying Reports and taking Fol-low-Up Actions, including after the termination of the employment relationship or another legal relationship under which they carried out that work. 3. At the same time, the persons referred to in § 9(2) shall receive a written authorization from Grape Up to carry out actions related to receiving and verifying Reports, taking Follow-Up Actions, and processing personal data in connection with the examination of the Reports. 4. Grape Up shall guarantee that the persons responsible for carrying out the actions covered with this Procedure are trained in terms of the obligation to keep confidential the information they have access to in connection with performing these tasks. 5. All of the information and documents collected in connection with examining a Report should be stored using the relevant security measures that make it impossible for unauthorized persons to learn their contents. 6. The personal data processed in connection with accepting the Report or taking Follow-Up Actions and the documents related to that Report shall be stored by Grape Up for three years from the end of the calendar year in which the Follow-Up Actions were completed or the proceedings initiated as a result of these Actions were completed. 7. After the end of the storage period specified in § 9(6), above, Grape Up shall erase personal data and destroy the documents related to the Report. The personal data that is irrelevant for the examination of the Report shall not be collected, and if accidentally collected, it shall be immediately erased. The erasure of this personal data shall take place not later than within 14 days of determining that it is irrelevant for the case. § 10. FINAL PROVISIONS 1. The matters not regulated in this Procedure shall be governed by the generally applicable legal regulations, including but not limited to the relevant provisions of Directive (EU) 2019/1937 of the European Parliament and of the Council of 23 October 2019 on the protection of persons who report breaches of Union law. 2. This Procedure comes into effect on 25th of October 2024, seven days after being notified to the Employees. ___ Wewnętrzna procedura dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych w Grape Up sp. z o.o. z siedzibą w Krakowie § 1 CEL PROCEDURY 1. Niniejsza Procedura została stworzona w celu wykonania obowiązków Grape Up Sp. z o.o. z siedzibą w Krakowie wynikających z: a) Ustawy z dnia 14 czerwca 2024 r. o ochronie sygnalistów, b) Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających przypadki naruszenia prawa Unii. 2. Procedura ma na celu ukształtowanie efektywnego systemu informowania o naruszeniach prawa w Grape Up Sp. z o.o. poprzez stworzenie kompleksowej regulacji obejmującej problematykę ujawniania Naruszeń prawa oraz rzetelnego prowadzenia Działań następczych. 3. Celem Procedury jest również ochrona Sygnalistów przed ewentualnymi Działaniami odwetowymi, a także zapobiegnięcie negatywnym skutkom Naruszeń prawa w Grape Up Sp. z o.o. poprzez wczesne wykrycie i usunięcie zgłoszonych przypadków nieprawidłowości. § 2 DEFINICJE Określenia użyte w niniejszej Procedurze oznaczają: 1. Sygnalista osoba fizyczna, która zgłasza lub ujawnia publicznie Informację o naruszeniu prawa uzyskaną w Kontekście związanym z pracą, w tym: a) pracownik; b) pracownik tymczasowy; c) osoba świadcząca pracę na innej podstawie niż stosunek pracy, w tym na podstawie umowy cywilnoprawnej; d) przedsiębiorca; e) prokurent; f) akcjonariusz lub wspólnik; g) członek organu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej; h) osoba świadcząca pracę pod nadzorem i kierownictwem wykonawcy, podwykonawcy lub dostawcy; i) stażysta; j) wolontariusz; k) praktykant; 2. Członek Zarządu osoba odpowiedzialna za przyjmowanie Zgłoszeń wewnętrznych; 3. Działanie następcze działanie podjęte przez Grape Up w celu oceny prawdziwości zarzutów zawartych w Zgłoszeniu oraz w celu przeciwdziałania Naruszeniu prawa, będącego przedmiotem Zgłoszenia, w szczególności przez postępowanie wyjaśniające, wszczęcie kontroli lub postępowania administracyjnego, wniesienie oskarżenia, działanie podjęte w celu odzyskania środków finansowych lub zamknięcie postępowania realizowanego w ramach niniejszej Procedury; 4. Działanie odwetowe bezpośrednie lub pośrednie działanie lub zaniechanie w Kontekście związanym z pracą, które jest spowodowane Zgłoszeniem lub Ujawnieniem publicznym i które narusza lub może naruszyć prawa Sygnalisty lub wyrządza lub może wyrządzić nieuzasadnioną szkodę Sygnaliście, w tym bezpodstawne inicjowanie postępowań przeciwko Sygnaliście; 5. Grape Up Grape Up Sp. z o.o. z siedzibą w Krakowie, adres: ul. Hetmana Żółkiewskiego 17A, 31-539 Kraków, wpisana do rejestru przedsiębiorców Krajowego Rejestru Sądowego przez Sąd Rejonowy dla Krakowa-Śródmieścia w Krakowie XI Wydział Gospodarczy KRS pod numerem 0000513816, NIP: 945-217-93-09, REGON: 123118640; 6. Informacja o naruszeniu prawa informacja, w tym uzasadnione podejrzenie dotyczące zaistniałego lub potencjalnego Naruszenia prawa, do którego doszło lub prawdopodobnie dojdzie w Grape Up lub informacja dotycząca próby ukrycia takiego Naruszenia prawa; 7. Informacja zwrotna przekazana Sygnaliście informacja na temat planowanych lub podjętych Działań następczych i ich powodów; 8. Kontekst związany z pracą przeszłe, obecne lub przyszłe działania związane z wykonywaniem pracy na podstawie stosunku pracy lub innego stosunku prawnego stanowiącego podstawę świadczenia pracy lub usług lub pełnienia funkcji w Grape Up lub na jego rzecz, w ramach których uzyskano Informację o naruszeniu prawa oraz istnieje możliwość doświadczenia Działań odwetowych; 9. Naruszenie prawa działanie lub zaniechanie niezgodne z prawem lub mające na celu obejście prawa dotyczące: a) korupcji; b) zamówień publicznych; c) usług, produktów i rynków finansowych; d) przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu; e) bezpieczeństwa produktów i ich zgodności z wymogami; f) bezpieczeństwa transportu; g) ochrony środowiska; h) ochrony radiologicznej i bezpieczeństwa jądrowego; i) bezpieczeństwa żywności i pasz; j) zdrowia i dobrostanu zwierząt; k) zdrowia publicznego; l) ochrony konsumentów; m) ochrony prywatności i danych osobowych; n) bezpieczeństwa sieci i systemów teleinformatycznych; o) interesów finansowych Skarbu Państwa RP, jednostki samorządu terytorialnego oraz Unii Europejskiej; p) rynku wewnętrznego Unii Europejskiej, w tym zasad konkurencji i pomocy państwa oraz opodatkowania osób prawnych; q) konstytucyjnych wolności i praw człowieka i obywatela występujące w stosunkach jednostki z organami władzy publicznej i niezwiązane z dziedzinami wskazanymi w lit. a) p); 10. Organ publiczny naczelne i centralne organy administracji rządowej, terenowe organy administracji rządowej, organy jednostek samorządu terytorialnego, inne organy państwowe oraz inne podmioty wykonujące z mocy prawa zadania z zakresu administracji publicznej, właściwe do podejmowania Działań następczych w dziedzinach wskazanych w punkcie 8 powyżej; 11. Osoba, której dotyczy zgłoszenie osoba fizyczna, osoba prawna lub jednostka organizacyjna nieposiadającą osobowości prawnej, której ustawa przyznaje zdolność prawną, wskazana w Zgłoszeniu lub Ujawnieniu publicznym jako osoba, która dopuściła się Naruszenia prawa, lub jako osoba, z którą osoba, która dopuściła się Naruszenia prawa, jest powiązana; 12. Osoba pomagająca w dokonaniu zgłoszenia osoba fizyczna, która pomaga Sygnaliście w Zgłoszeniu lub Ujawnieniu publicznym w Kontekście związanym z pracą i której pomoc nie powinna zostać ujawniona; 13. Osoba powiązana z Sygnalistą osoba fizyczna, która może doświadczyć Działań odwetowych, w tym współpracownik lub osoba najbliższa wobec Sygnalisty (tj. małżonek, wstępny, zstępny, rodzeństwo, powinowaty w tej samej linii lub stopniu, osoba pozostająca w stosunku przysposobienia oraz jej małżonek, a także osoba pozostająca we wspólnym pożyciu); 14. People Operations Manager osoba odpowiedzialna za przyjmowanie Zgłoszeń wewnętrznych; 15. Pracownik osoba wykonująca na rzecz Grape Up pracę zarobkową lub świadcząca pracę za wynagrodzeniem na innej podstawie niż stosunek pracy, niezależnie od podstawy zatrudnienia; 16. Procedura niniejsza Wewnętrzna procedura dokonywania zgłoszeń naruszeń prawa i podejmowania działań następczych w Grape Up; 17. RODO - Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. U. UE. L. z 2016 r. Nr 119, str. 1 z późn. zm.); 18. Ujawnienie publiczne podanie Informacji o naruszeniu prawa do wiadomości publicznej; 19. Zgłoszenie Zgłoszenie wewnętrzne lub Zgłoszenie zewnętrzne; 20. Zgłoszenie wewnętrzne zgłoszenie przekazane do Grape Up na zasadach określonych w § 4 niniejszej Procedury; 21. Zgłoszenie zewnętrzne przekazanie Rzecznikowi Praw Obywatelskich albo Organowi publicznemu Informacji o naruszeniu prawa. § 3 OCHRONA SYGNALISTY 1. Sygnalista podlega ochronie określonej w niniejszym paragrafie od chwili dokonania Zgłoszenia lub Ujawnienia publicznego, pod warunkiem, że miał uzasadnione podstawy sądzić, że informacja będąca przedmiotem Zgłoszenia lub Ujawnienia publicznego jest prawdziwa w momencie dokonywania Zgłoszenia lub Ujawnienia publicznego i że stanowi Informację o naruszeniu prawa. 2. Wobec Sygnalisty nie mogą być podejmowane Działania odwetowe ani próby lub groźby zastosowania takich Działań. 3. Wobec Sygnalisty nie mogą być podejmowane Działania odwetowe, polegające w szczególności na zastosowaniu lub próbie bądź groźbie zastosowania następujących działań: a) odmowie nawiązania stosunku pracy lub innego stosunku prawnego będącego podstawą wykonywania pracy zarobkowej na rzecz Grape Up; b) wypowiedzeniu lub rozwiązaniu bez wypowiedzenia stosunku pracy lub innego stosunku prawnego będącego podstawą wykonywania pracy zarobkowej na rzecz Grape Up; c) wypowiedzeniu umowy, której stroną jest Sygnalista, w szczególności dotyczącej sprzedaży lub dostawy towarów lub świadczenia usług, odstąpienie od takiej umowy lub rozwiązanie jej bez wypowiedzenia; d) niezawarciu umowy o pracę na czas określony lub umowy o pracę na czas nieokreślony po rozwiązaniu umowy o pracę na okres próbny, niezawarciu kolejnej umowy o pracę na czas określony lub niezawarciu umowy o pracę na czas nieokreślony po rozwiązaniu umowy o pracę na czas określony w przypadku, gdy Sygnalista miał uzasadnione oczekiwanie, że zostanie z nim zawarta taka umowa; e) obniżeniu wysokości wynagrodzenia za pracę lub świadczenie usług; f) wstrzymaniu awansu albo pominięciu przy awansowaniu; g) pominięciu przy przyznawaniu innych niż wynagrodzenie świadczeń związanych z pracą lub obniżeniu wysokości tych świadczeń; h) przeniesieniu na niższe stanowisko; i) zawieszeniu w wykonywaniu obowiązków pracowniczych lub służbowych; j) przekazaniu innemu Pracownikowi dotychczasowych obowiązków Sygnalisty; k) niekorzystnej zmianie miejsca wykonywania pracy lub rozkładu czasu pracy; l) negatywnej ocenie wyników pracy lub negatywnej opinii o pracy; m) nałożeniu lub zastosowaniu środka dyscyplinarnego, w tym kary finansowej, lub środka o podobnym charakterze; n) przymusie, zastraszaniu lub wykluczeniu; o) mobbingu; p) dyskryminacji; q) niekorzystnym lub niesprawiedliwym traktowaniu; r) wstrzymaniu udziału lub pominięciu przy typowaniu do udziału w szkoleniach podnoszących kwalifikacje zawodowe; s) nieuzasadnionym skierowaniu na badania lekarskie, w tym badania psychiatryczne, chyba że przepisy odrębne przewidują możliwość skierowania Pracownika na takie badania; t) działaniu zmierzającym do utrudnienia znalezienia w przyszłości zatrudnienia w danym sektorze lub w danej branży na podstawie nieformalnego lub formalnego porozumienia sektorowego lub branżowego; u) nałożenie obowiązku lub odmowę przyznania, ograniczenie lub odebranie uprawnienia, w szczególności koncesji, zezwolenia lub ulgi; v) spowodowaniu straty finansowej, w tym gospodarczej, lub utraty dochodu; w) wyrządzeniu innej szkody niematerialnej, w tym naruszeniu dóbr osobistych, w szczególności dobrego imienia Sygnalisty. 4. Ochrona, o której mowa w ust. 3 powyżej nie przysługuje w przypadku, gdy: a) konieczność lub potrzeba podjęcia przez Grape Up działań, o których mowa w ust. 3 lit. a) m), r), u), v) powyżej wynika z okoliczności obiektywnych, niezwiązanych z faktem Zgłoszenia Naruszenia prawa; b) Sygnalista świadomie zgłasza nieprawdziwe lub wprowadzające w błąd informacje; c) Sygnalista dokonuje Zgłoszenia w zakresie dziedziny nie objętej niniejszą Procedurą. 5. Osoba, która dokonuje Zgłoszenia wiedząc, że do naruszenia prawa nie doszło, narażona jest na odpowiedzialność karną przewidzianą w ustawie o ochronie sygnalistów. 6. Dane osobowe Sygnalisty pozwalające na ujawnienie jego tożsamości nie będą ujawniane nieupoważnionym osobom, z wyjątkiem: a) udzielenia przez Sygnalistę wyraźnej zgody na ujawnienie jego danych, b) sytuacji, gdy ujawnienie danych Sygnalisty jest koniecznym i proporcjonalnym obowiązkiem wynikającym z przepisów prawa, w związku z postępowaniami wyjaśniającymi prowadzonymi przez organy publiczne lub postępowaniami przygotowawczymi lub sądowymi prowadzonymi przez sądy, w tym w celu zagwarantowania prawa do obrony przysługującego osobie, której dotyczy Zgłoszenie. 7. Ochronie określonej w niniejszym paragrafie podlega również Osoba pomagająca w dokonaniu zgłoszenia oraz Osoba powiązana z Sygnalistą. 8. Grape Up gwarantuje, że niniejsza Procedura oraz przetwarzanie danych osobowych związane z przyjmowaniem Zgłoszeń uniemożliwiają nieupoważnionym osobom uzyskanie dostępu do informacji objętych Zgłoszeniem oraz zapewniają ochronę poufności tożsamości Sygnalisty, Osoby, której dotyczy Zgłoszenie, oraz osób trzecich wskazanych w Zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość tych osób. § 4 ZGŁOSZENIA WEWNĘTRZNE 1. Osoby, które posiądą Informację o Naruszeniu prawa uzyskaną w Kontekście związanym z pracą, powinny dokonać Zgłoszenia wewnętrznego w sposób określony w niniejszym paragrafie. Osoby te powinny działać w dobrej wierze oraz w interesie publicznym, a także w oparciu o racjonalne okoliczności faktyczne. 2. Zgłoszenia wewnętrzne dokonywane mogą być w sposób: a) jawny gdy Sygnalista zgadza się na ujawnianie swojej tożsamości; b) poufny gdy Sygnalista nie zgadza się na ujawnienie swoich danych i dane te nie są ujawniane; c) anonimowy gdy w żaden sposób nie można zidentyfikować tożsamości Sygnalisty. 3. Grape Up zapewnia następujące kanały dokonywania Zgłoszeń wewnętrznych: a) za pośrednictwem poczty elektronicznej, na adres e-mail: complaints@grapeup.com, do której dostęp ma People Operations Manager oraz Członek Zarządu lub; b) w formie listu sporządzonego w formie pisemnej na adres do korespondencji: Grape Up Sp. z o.o. ul. Hetmana Żółkiewskiego 17A, 31-539 Kraków, skierowanego do People Operations Managera, z dopiskiem Zgłoszenie wewnętrzne lub innym podobnym dopiskiem, pozwalającym na zidentyfikowanie listu jako Zgłoszenia wewnętrznego. 4. Zgłoszenie dokonane za pośrednictwem kanałów wskazanych w ust. 3 powyżej może być jawne, poufne lub anonimowe. 5. Powyższe kanały Zgłoszeń wewnętrznych dostępne są również dla kontrahentów, partnerów biznesowych, dostawców oraz osób wykonujących jakiekolwiek czynności w imieniu lub na rzecz Grape Up. 6. Osobami upoważnionymi do przyjmowania Zgłoszeń wewnętrznych są Członek Zarządu i People Operations Manager. 7. W celu zapewnienia sprawnego funkcjonowania procesu obsługi Zgłoszeń wewnętrznych People Operations Manager i Członek Zarządu realizują następujące zadania: a) odbierają Zgłoszenia wewnętrzne przesłane za pośrednictwem poczty elektronicznej; b) prowadzą komunikację z Sygnalistą, w tym potwierdzają przyjęcie Zgłoszenia w terminie 7 dni od dnia jego otrzymania, chyba że Sygnalista nie podał adresu do kontaktu; c) współpracują z Komisją Wewnętrzną w celu weryfikacji informacji zawartych w Zgłoszeniu wewnętrznym; d) prowadzą Rejestr zgłoszeń, zgodnie z § 7; e) udzielają informacji i wsparcia w zakresie sposobów dokonywania Zgłoszeń wewnętrznych. 8. Zgłoszenie powinno zawierać następujące elementy, jeżeli są one znane Sygnaliście: a) szczegółowy opis zaistniałych faktów; b) datę i miejsce, w którym nastąpiło zdarzenie lub datę i miejsce pozyskania informacji o Naruszeniu prawa; c) dane osobowe i rolę osób zaangażowanych lub elementy, które mogą umożliwić ich identyfikację; d) wskazanie dokumentów, które mogą potwierdzić zasadność zgłoszonych faktów; e) wskazanie osoby i/lub komórki organizacyjnej, której dotyczy Zgłoszenie; f) adres, na który przekazana ma zostać Informacja zwrotna. 9. Do przyjmowania i weryfikacji Zgłoszeń, podejmowania Działań następczych oraz przetwarzania danych osobowych Sygnalisty, Osoby, której dotyczy zgłoszenie, oraz osób trzecich wskazanych w Zgłoszeniu, mogą być dopuszczone wyłącznie osoby posiadające pisemne upoważnienie przez Grape Up. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji Zgłoszeń, oraz podejmowania Działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę. 10. Jeżeli Naruszenie dotyczy People Operations Managera Zgłoszenie należy przesłać na adres siedziby Grape Up wraz z dopiskiem nie otwierać do rąk własnych Członka Zarządu Grape Up. 11. Sygnalista chcący dokonać Zgłoszenia w trybie, o którym mowa w ust. 10 powyżej powinien zawrzeć w przesyłce dokładny opis Naruszenia prawa. 12. Pracownik lub współpracownik odpowiedzialny za obsługę korespondencji zawiadamia niezwłocznie Członka Zarządu o otrzymaniu korespondencji z dopiskiem nie otwierać do rąk własnych Członka Zarządu Grape Up, przekazując korespondencję bez otwierania koperty i bez zapoznawania się z jej treścią. 13. Dostęp do korespondencji z dopiskiem nie otwierać do rąk własnych Członka Zarządu Grape Up posiada wyłącznie Członek Zarządu Grape Up. 14. Postępowanie ze Zgłoszeniem otrzymanym w trybie ust. 10-13 odbywa się zgodnie z postanowieniami niniejszej Procedury z uwzględnieniem konieczności zachowania poufności. § 5 DZIAŁANIA NASTĘPCZE 1. Podmiotem upoważnionym do podejmowania Działań następczych jest Komisja Wewnętrzna, powołana każdorazowo przez Zarząd Grape Up. W skład Komisji Wewnętrznej wchodzić będą upoważnione przez Zarząd osoby mające odpowiednie kompetencje do prowadzenia Działań następczych w odniesieniu do konkretnego Zgłoszenia oraz zapewniające bezstronność i niezależność. 2. W celu oceny prawdziwości informacji zawartych w Zgłoszeniu oraz w celu przeciwdziałania Naruszeniu prawa będącego przedmiotem Zgłoszenia Komisja Wewnętrzna przeprowadza postępowanie wyjaśniające. 3. W przypadku Zgłoszeń dokonanych w sposób anonimowy lub w przypadku, gdy Sygnalista nie wskazał adresu do kontaktu, Komisja Wewnętrzna dokonuje wstępnej analizy Zgłoszenia, weryfikując przytoczone w nim okoliczności. Jeżeli po dokonaniu wstępnej analizy Zgłoszenia ustalono, że mogło dojść do Naruszenia, Komisja Wewnętrzna wszczyna postępowanie wyjaśniające. W przypadku bezzasadności Zgłoszenia lub niemożliwości jego weryfikacji, Komisja Wewnętrzna pozostawia Zgłoszenie bez dalszego biegu. Każde Zgłoszenie wewnętrzne dokonane w sposób anonimowy podlega wpisowi do Rejestru zgłoszeń wewnętrznych, zgodnie z § 7 Procedury. W przypadku, gdy Zgłoszenie zostanie pozostawione bez dalszego biegu, należy wskazać w Rejestrze zgłoszeń wewnętrznych przyczyny uzasadniające taką decyzję. 4. Pracownicy wszystkich działów Grape Up zobowiązani są do współpracy z Komisją Wewnętrzną w zakresie niezbędnym do ustalenia okoliczności i osób zaangażowanych w zachowania mogące stanowić Naruszenie prawa. Komisja Wewnętrzna może żądać w szczególności dostępu do danych osobowych, służbowej skrzynki mailowej lub innych dokumentów lub zasobów niezbędnych do ustalenia czy oceniane zachowanie stanowi Naruszenie prawa. 5. W celu realizacji zadań Komisji Wewnętrznej, Grape Up zapewnia upoważnienie członkom tej Komisji do przetwarzania danych osobowych Pracowników Grape Up w niezbędnym zakresie. 6. Komisja Wewnętrzna niezwłocznie przedstawia Zarządowi Grape Up propozycje zastosowania Działań następczych w stosunku do osoby, która dokonała Naruszenia prawa oraz rekomendacje w celu wyeliminowania i zapobiegania Naruszeniom prawa w przyszłości, jak również wyeliminowania lub zminimalizowania ryzyka narażenia Grape Up na szkody spowodowane Naruszeniem prawa. 7. Postępowanie wyjaśniające powinno być prowadzone w sposób umożliwiający zebranie materiału dowodowego, który może być podstawą do podjęcia decyzji przez Zarząd Grape Up, a w określonych sytuacjach także dalszego procedowania przez odpowiedni organ państwowy. 8. Postępowanie wyjaśniające powinno zostać wszczęte bez zbędnej zwłoki, a Informacja zwrotna, w tym wyniki tego postępowania, powinny zostać przedstawione Sygnaliście w terminie nieprzekraczającym 3 miesięcy, chyba że Sygnalista nie wskazał adresu do kontaktu. 9. Jeżeli oceniane zachowanie z dużym prawdopodobieństwem może zostać uznane za Naruszenie prawa, informacja ta przekazywana jest niezwłocznie do Zarządu Grape Up. 10. Do Zarządu Grape Up należy ostateczna ocena materiału dowodowego dostarczonego przez Komisję Wewnętrzną. Na podstawie przedmiotowej oceny Zarząd Grape Up podejmuje odpowiednie decyzje i działania, w szczególności działania reorganizacyjne lub dyscyplinujące. W uzasadnionych przypadkach Zarząd Grape Up podejmuje decyzję o przekazaniu informacji wraz ze zgromadzonym materiałem dowodowym do odpowiednich organów państwowych. § 6 ZGŁOSZENIA ZEWNĘTRZNE 1. Sygnalista może dokonać Zgłoszenia zewnętrznego bez uprzedniego dokonania Zgłoszenia wewnętrznego w szczególności, gdy: a) w terminach na podjęcie Działań następczych oraz przekazanie Informacji zwrotnej określonych w Procedurze, Grape Up nie podejmie Działań następczych lub nie przekaże Sygnaliście Informacji zwrotnej, lub; b) Sygnalista ma uzasadnione podstawy by sądzić, że Naruszenie prawa może stanowić bezpośrednie lub oczywiste zagrożenie dla interesu publicznego, w szczególności istnieje ryzyko nieodwracalnej szkody, lub; c) dokonanie Zgłoszenia wewnętrznego narazi Sygnalistę na Działania odwetowe, lub; d) w przypadku dokonania Zgłoszenia wewnętrznego istnieje niewielkie prawdopodobieństwo skutecznego przeciwdziałania Naruszeniu prawa przez Grape Up z uwagi na szczególne okoliczności sprawy, takie jak możliwość ukrycia lub zniszczenia dowodów lub możliwość istnienia zmowy między Grape Up a sprawcą Naruszenia prawa lub udziału Grape Up w Naruszeniu prawa. 2. Zgłoszenie zewnętrzne jest przyjmowane przez Rzecznika Praw Obywatelskich albo Organ publiczny, gdy zgłoszenie dotyczy naruszeń w dziedzinie należącej do zakresu działania tego Organu (np. KNF, UOKIK, czy GIIF). 3. Jeżeli Zgłoszenie zewnętrzne dotyczy informacji o Naruszeniu prawa, Rzecznik Praw Obywatelskich niezwłocznie, nie później jednak niż w terminie 14 dni od dnia dokonania Zgłoszenia, przekazuje zgłoszenie do Organu publicznego właściwego do podjęcia Działań następczych. 4. Zgłoszenie do Organów publicznych następuje zgodnie z ustaloną przez te organy procedurą przyjmowania Zgłoszeń zewnętrznych oraz podejmowania Działań następczych. § 7 REJESTR ZGŁOSZEŃ 1. Zgłoszenia wewnętrzne podlegają rejestracji w Rejestrze zgłoszeń wewnętrznych prowadzonym w formie elektronicznej przez People Operations Managera. Rejestr zgłoszeń wewnętrznych dotyczących People Operations Managera prowadzi osobno Członek Zarządu Grape Up, z wyłączeniem People Operations Managera. 2. Rejestr zgłoszeń wewnętrznych zawiera co najmniej: a) numer Zgłoszenia; b) przedmiot Naruszenia prawa; c) dane osobowe Sygnalisty, chyba że Zgłoszenie jest anonimowe; d) dane osobowe Osoby, której dotyczy zgłoszenie; e) adres do kontaktu Sygnalisty, chyba że nie został wskazany; f) datę dokonania Zgłoszenia wewnętrznego; g) informację o podjętych Działaniach następczych; h) datę zakończenia sprawy. 3. Dostęp do Rejestru zgłoszeń wewnętrznych przysługuje wyłącznie: a) Zarządowi Grape Up z wyjątkiem sytuacji, gdy Zgłoszenie dotyczy Członka Zarządu, wtedy dostęp do Rejestru zgłoszeń wewnętrznych przysługuje pozostałym Członkom Zarządu; b) People Operations Managerowi z wyjątkiem sytuacji, gdy Zgłoszenie dotyczy People Operations Managera; c) organom państwowym uprawnionym do podejmowania działań w związku z Naruszeniem prawa (organom ścigania, sądom). 4. Rejestr zgłoszeń wewnętrznych prowadzony jest z zachowaniem zasad poufności. 5. Dane osobowe oraz pozostałe informacje w rejestrze zgłoszeń wewnętrznych są przechowywane przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono Działania następcze, lub po zakończeniu postępowań zainicjowanych tymi Działaniami. § 8 UJAWNIENIE PUBLICZNE 1. Sygnalista dokonujący Ujawnienia publicznego podlega ochronie, jeżeli dokona: a) Zgłoszenia wewnętrznego, a następnie Zgłoszenia zewnętrznego, a Grape Up, a następnie Organ publiczny w terminie na przekazanie Informacji zwrotnej nie podejmą żadnych odpowiednich Działań następczych ani nie przekażą Sygnaliście Informacji zwrotnej lub b) od razu Zgłoszenia zewnętrznego, a Organ publiczny w terminie na przekazanie Informacji zwrotnej ustalonym w swojej procedurze zewnętrznej nie podejmie żadnych odpowiednich działań następczych ani nie przekaże Sygnaliście Informacji zwrotnej chyba, że Sygnalista nie podał adresu do kontaktu, na który należy przekazać taką informację. 2. Sygnalista dokonujący Ujawnienia publicznego podlega ochronie także w przypadku, gdy ma uzasadnione podstawy sądzić, że: a) naruszenie może stanowić bezpośrednie lub oczywiste zagrożenie interesu publicznego, w szczególności, gdy istnieje ryzyko nieodwracalnej szkody, lub b) dokonanie Zgłoszenia zewnętrznego narazi Sygnalistę na Działania odwetowe, lub c) w przypadku dokonania Zgłoszenia zewnętrznego istnieje niewielkie prawdopodobieństwo skutecznego przeciwdziałania naruszeniu prawa z uwagi na szczególne okoliczności sprawy, takie jak możliwość ukrycia lub zniszczenia dowodów, istnienia zmowy między organem publicznym a sprawcą naruszenia lub udziału organu publicznego w naruszeniu. § 9 OCHRONA DANYCH OSOBOWYCH 1. Proces przyjmowania i weryfikacji Zgłoszeń, podejmowania Działań następczych oraz związanego z tym przetwarzania danych osobowych zorganizowany jest w sposób uniemożliwiający uzyskanie dostępu do informacji objętych Zgłoszeniem nieupoważnionym osobom oraz zapewniający ochronę poufności tożsamości Sygnalisty, Osoby, której dotyczy Zgłoszenie oraz osób trzecich wskazanych w Zgłoszeniu. Ochrona poufności dotyczy informacji, na podstawie których można bezpośrednio lub pośrednio zidentyfikować tożsamość takich osób. 2. Osoby upoważnione do przyjmowania i weryfikacji Zgłoszeń, podejmowania Działań następczych oraz przetwarzania danych osobowych w związku z rozpatrywaniem Zgłoszenia zobowiązane są do zachowania bezwzględnej poufności co do wszystkich faktów poznanych w toku tych działań i w związku z nimi. Osoby upoważnione są obowiązane do zachowania tajemnicy w zakresie informacji i danych osobowych, które uzyskały w ramach przyjmowania i weryfikacji Zgłoszeń oraz podejmowania Działań następczych, także po ustaniu stosunku pracy lub innego stosunku prawnego, w ramach którego wykonywały tę pracę. 3. Jednocześnie osoby, o których mowa w ust. 2 otrzymują pisemne upoważnienie od Grape Up do dokonywania działań związanych z przyjmowaniem i weryfikacją Zgłoszeń, podejmowania Działań następczych oraz przetwarzania danych osobowych w związku z rozpatrywaniem Zgłoszeń. 4. Grape Up zapewnia przeszkolenie osób odpowiedzialnych za realizację zadań objętych niniejszą Procedurą, w zakresie obowiązku zachowania w poufności informacji, do których mają dostęp w związku z wykonywaniem tych zadań. 5. Wszystkie informacje i dokumenty zgromadzone w związku z rozpatrywaniem Zgłoszenia powinny być przechowywane z zastosowaniem odpowiednich zabezpieczeń, uniemożliwiających zapoznanie się z ich treścią przez osoby nieupoważnione. 6. Dane osobowe przetwarzane w związku z przyjęciem Zgłoszenia lub podjęciem Działań następczych oraz dokumenty związane z tym Zgłoszeniem są przechowywane przez Grape Up przez okres 3 lat po zakończeniu roku kalendarzowego, w którym zakończono Działania następcze, lub po zakończeniu postępowań zainicjowanych tymi Działaniami. 7. Po upływie okresu przechowywania wskazanego w ust. 6 powyżej, Grape Up usuwa dane osobowe oraz niszczy dokumenty związane ze Zgłoszeniem. Dane osobowe, które nie mają znaczenia dla rozpatrywania Zgłoszenia nie są zbierane, a w razie przypadkowego zebrania, są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje nie później niż w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy. § 10 POSTANOWIENIA KOŃCOWE 1. W sprawach nieuregulowanych niniejszą Procedurą zastosowanie mają przepisy powszechnie obowiązującego prawa, w szczególności, odpowiednie przepisy dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii. 2. Niniejsza Procedura wchodzi w życie z dniem 25 października 2024 r. po upływie 7 dni od dnia podania jej do wiadomości Pracowników.

I confirm that I have been familiarized with the Internal procedure for reporting breaches of law at Grape Up Sp. z o.o. ___ Potwierdzam, że zapoznałem/am się z Wewnętrzną procedurą zgłaszania naruszeń prawa w Grape Up Sp. z o.o.