Information Clause
Information clause
For individuals whose personal data is processed under the Internal Notification Procedure at Nash Tackle Ltd.
Fulfilling the information obligation under Regulation (EU) 2016/679 of the European Parliament and of the Council of April 27, 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data and repealing Directive 95/46/EC (General Data Protection Regulation) (Official Journal of the EU. L. of 2016 No. 119, p. 1, as amended) – hereinafter RODO, we inform you that:
1. [ADMINISTRATOR]
The administrator of your personal data is Nash Tackle sp. z o.o. based in Żory, ul. Magazynowa 9, 44-244 Żory, KRS 0000687939.
2. [CONTACT]
The Administrator may be contacted at the following email address: whistleblowers@nashtackle.co.uk or in writing, at the Administrator's registered office address. The Administrator encourages email contact.
3. [PURPOSES, LEGAL BASIS, TIME OF PROCESSING, SCOPE, SOURCE OF DATA]
Depending on your role within the whistleblowing procedure, your personal data will be processed by the Administrator for the following purposes, based on the following grounds and for the following duration:
| Category of persons whose data is processed, source and scope of data processed | Purposes and basis of processing | Processing time |
|---|---|---|
|
Whistleblower As a rule, we obtain data directly from you. We may also obtain data during the course of proceedings initiated as a result of your application, from other participants in the proceedings, e.g. witnesses, persons affected by the application. The typical scope of data processed is: first name, last name, contact details, position, possibly information on participation in the reported violation/action taken, other data provided in the report or obtained during the investigation. |
1. Performance of legal obligations incumbent on the Administrator, in particular receiving, verifying,
investigating a notification of violation of the law, documenting the proceedings initiated on its basis
(Article 6(1)(c) RODO, and in case special categories of data were processed in connection with the
notification – also Article 9(2)(b) RODO, in particular in connection with the Act of June 14, 2024
on the protection of whistleblowers, Journal of Laws 2024.928 of 2024.06.24) (hereinafter: the “Act”). 2. Realization of the Administrator's legitimate interest in establishing, investigating or defending against claims (Article 6(1)(f) RODO). |
Personal data processed in connection with the acceptance of a notification or follow-up, as well as
documents related to the notification, shall be retained by the legal entity and the public authority for a
period of 3 years after the end of the calendar year in which the external notification was transmitted to
the public authority competent to take follow-up action or the follow-up was completed, or after the
completion of the proceedings initiated by these actions. Personal data that are not relevant to the processing of the application are not collected, and if accidentally collected, they are immediately deleted. The deletion of such personal data shall be carried out within 14 days of determining that it is not relevant to the case. |
|
Witness / Person affected by the notification / Persons assisting the Whistleblower We obtained your data from the Whistleblower or from others during the proceedings in connection with the Whistleblower's application. The typical scope of data processed is: first name, last name, contact information, position, possibly information on participation in the reported violation/action taken, other data provided in the report or obtained during the investigation. |
1. Performance of legal obligations incumbent on the Administrator, in particular receiving, verifying,
investigating the notification of a violation of law, documenting the proceedings initiated on its basis
(Article 6(1)(c) of the RODO, and in case special categories of data were processed in connection with
the notification – also Article 9(2)(b) of the RODO, in particular in connection with the Act). 2. Realization of the Administrator's legitimate interest in establishing, investigating or defending against claims (Article 6(1)(f) RODO). |
Personal data processed in connection with the acceptance of a notification or follow-up, as well as
documents related to the notification, shall be retained by the legal entity and the public authority for a
period of 3 years after the end of the calendar year in which the external notification was transmitted to
the public authority competent to take follow-up action or the follow-up was completed, or after the
completion of the proceedings initiated by these actions. Personal data that are not relevant to the processing of the application are not collected, and if accidentally collected, they are immediately deleted. The deletion of such personal data shall be carried out within 14 days of determining that it is not relevant to the case. |
|
External experts involved in the investigation We obtained your data directly from you. |
1. Appointment and provision of external experts – on the basis of the concluded contract – Article 6(1)(b) RODO. 2. Performance of legal obligations incumbent on the Administrator, in particular receiving, verifying, investigating the notification of a violation of law, documenting the proceedings initiated on its basis (Article 6(1)(c) of the RODO, and in case special categories of data were processed in connection with the notification – also Article 9(2)(b) of the RODO, in particular in connection with the Act). 3. Realization of the Administrator's legitimate interest in establishing, investigating or defending against claims (Article 6(1)(f) RODO). |
Personal data processed in connection with the acceptance of a notification or follow-up, as well as
documents related to the notification, shall be retained by the legal entity and the public authority for a
period of 3 years after the end of the calendar year in which the external notification was submitted to
the public authority competent to take follow-up action or the follow-up was completed, or after the
completion of the proceedings initiated by these actions. Personal data obtained in connection with the concluded contract will be processed for the duration of the contract, and then stored until the statute of limitations for possible claims. |
4. [DATA RECIPIENTS]
Recipients of personal data processed as part of the Whistleblower procedure and follow-up by Nash Tackle Ltd. may be:
- state authorities or other entities authorized under the law, if it is necessary to carry out legal obligations,
- entities that provide Nash Tackle sp. z o.o. with IT tools for storing data or entities that have access to data as part of ongoing maintenance work on IT systems, based on agreements concluded,
- legal service providers.
Inside Nash Tackle Ltd. the data will be processed by persons duly authorized in this regard and obliged to maintain the confidentiality of the data.
In the case of third-party entities that have access to data, e.g., tool providers, the breach reporting system, people who receive and process reports, or IT colleagues – the Administrator enters into appropriate data processing entrustment agreements with them.
The Administrator shall ensure the confidentiality of the data of the Whistleblower, persons assisting the Whistleblower in making the report, and persons associated with the Whistleblower in connection with the report received, in accordance with the requirements of the Law on the Protection of Whistleblowers. The Administrator takes care to process all personal data in accordance with the law.
5. [PERSONAL RIGHTS]
You have the right to request:
- access to your personal data – within the limits of Article 15 RODO,
- rectify your personal data – within the limits of Article 16 of the RODO,
- deletion of your personal data – within the limits of Article 17 of the RODO,
- limit the processing of your personal data – within the limits of Article 18 of the RODO,
- portability of your personal data – within the limits of Article 20 of the RODO,
- revoke at any time the consent to data processing, if it was the basis for processing, but this does not affect the lawfulness of processing carried out prior to the withdrawal of consent,
- the right to object at any time to the processing of your personal data – within the limits of Article 21 of the RODO – if the legal basis for its processing is the legitimate interest of the Administrator or a third party (Article 6(1)(f) of the RODO) – when submitting an objection, please indicate the reasons related to your particular situation.
6. [RIGHT OF COMPLAINT]
You have the right to lodge a complaint against the data processing carried out by the Administrator to the President of the Office for Personal Data Protection, ul. Stawki 2, 00-193 Warsaw. For more information, please visit the Office's website: https://uodo.gov.pl/pl/83/155.
7. [DATA REQUIREMENT]
Provision of data is necessary to accept and process your application. Anonymous submissions will be rejected.
8. [DATA TRANSFER]
Your data will generally not be transferred outside the European Economic Area (hereinafter: EEA). However, given the services provided by the administrator's subcontractors in the implementation of support for ICT services and IT infrastructure, the administrator may outsource certain activities or IT tasks to recognized subcontractors operating outside the EEA, which may result in the transfer of data outside the EEA.
The individual countries outside the EEA in the territory of which personal data will be processed shall ensure an adequate level of protection of personal data in accordance with EEA standards, based on a decision of the European Commission. In the case of data processing in the territory of countries for which the European Commission has not determined the provision of an adequate degree of personal data protection (compatible with EEA standards), in order to ensure an adequate degree of such protection, the controller shall enter into agreements with recipients of personal data. The agreements referred to above are based on the standard contractual clauses issued by the European Commission, in accordance with Article 46(2)(c) of the RODO.
A copy of the standard contractual clauses referred to above can be obtained from the Data Protection Officer. The method of data security applied by the controller complies with the principles provided for in Chapter V of the RODO. Accordingly, you may request further information on the safeguards applied in this regard, obtain a copy of these safeguards and information on where they are available.
9. [AUTOMATED DECISION-MAKING]
Your data will not be subject to profiling or automated decision-making.
Klauzula informacyjna
dla osób, których dane osobowe przetwarzane są w ramach Procedury zgłoszeń wewnętrznych w Nash Tackle sp. z o.o.
Wypełniając obowiązek informacyjny wynikający z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE. L. z 2016 r. Nr 119, s. 1, z późn. zm.) – dalej RODO, informujemy, że:
1. [ADMINISTRATOR]
Administratorem Twoich danych osobowych jest Nash Tackle sp. z o.o. z siedzibą w Żorach, ul. Magazynowa 9, 44-244 Żory, KRS 0000687939.
2. [KONTAKT]
Z Administratorem można kontaktować się pod adresem e-mail: whistleblowers@nashtackle.co.uk bądź pisemnie, pod adresem siedziby Administratora. Administrator zachęca do kontaktu mailowego.
3. [CELE, PODSTAWY PRAWNE, CZAS PRZETWARZANIA, ZAKRES, ŹRÓDŁO POZYSKANIA DANYCH]
W zależności od roli, jaką pełnisz w ramach procedury zgłaszania naruszeń, Twoje dane osobowe będą przetwarzane przez Administratora w następujących celach, w oparciu o następujące podstawy oraz przez następujący czas:
| Kategoria osób, źródło i zakres przetwarzanych danych | Cel i podstawa przetwarzania | Czas przetwarzania |
|---|---|---|
|
Sygnalista Co do zasady dane pozyskujemy bezpośrednio od Ciebie. Dane możemy też pozyskać w czasie trwania postępowania wszczętego na skutek Twojego zgłoszenia, od innych uczestników postępowania, np. świadków, osób, których dotyczy zgłoszenie. Typowy zakres przetwarzanych danych to: imię, nazwisko, dane kontaktowe, stanowisko, ewentualnie informacje na temat udziału w zgłaszanym naruszeniu/podjętych działaniach, inne dane podane w zgłoszeniu lub uzyskane w czasie postępowania wyjaśniającego. |
1. Realizacja obowiązków prawnych ciążących na Administratorze, w szczególności przyjmowanie, weryfikacja,
rozpatrzenie zgłoszenia naruszenia prawa, udokumentowanie wszczętego na jego podstawie postępowania
(art. 6 ust. 1 lit. c RODO, a w przypadku, gdyby w związku ze zgłoszeniem przetwarzano dane szczególnych
kategorii – również art. 9 ust. 2 lit. b RODO), w szczególności w związku z ustawą z dnia 14 czerwca 2024 r.
o ochronie sygnalistów, Dz.U.2024.928 z dnia 2024.06.24 („Ustawa”). 2. Realizacja prawnie uzasadnionego interesu Administratora, jakim jest ustalenie, dochodzenie lub obrona przed roszczeniami (art. 6 ust. 1 lit. f RODO). |
Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz
dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez
okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu
publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po
zakończeniu postępowań zainicjowanych tymi działaniami. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy. |
|
Świadkowie / Osoba, której dotyczy zgłoszenie / Osoby pomagające Sygnaliście w dokonaniu zgłoszenia Twoje dane pozyskaliśmy od Sygnalisty lub od innych osób w czasie trwania postępowania w związku ze zgłoszeniem Sygnalisty. Typowy zakres przetwarzanych danych to: imię, nazwisko, dane kontaktowe, stanowisko, ewentualnie informacje na temat udziału w zgłoszonym naruszeniu/podjętych działaniach, inne dane podane w zgłoszeniu lub uzyskane w czasie postępowania wyjaśniającego. |
1. Realizacja obowiązków prawnych ciążących na Administratorze, w szczególności przyjmowanie, weryfikacja,
rozpatrzenie zgłoszenia naruszenia prawa, udokumentowanie wszczętego na jego podstawie postępowania
(art. 6 ust. 1 lit. c RODO, a w przypadku, gdyby w związku ze zgłoszeniem przetwarzano dane szczególnych
kategorii – również art. 9 ust. 2 lit. b RODO), w szczególności w związku z Ustawą. 2. Realizacja prawnie uzasadnionego interesu Administratora, jakim jest ustalenie, dochodzenie lub obrona przed roszczeniami (art. 6 ust. 1 lit. f RODO). |
Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz
dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez
okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu
publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po
zakończeniu postępowań zainicjowanych tymi działaniami. Dane osobowe, które nie mają znaczenia dla rozpatrywania zgłoszenia, nie są zbierane, a w razie przypadkowego zebrania są niezwłocznie usuwane. Usunięcie tych danych osobowych następuje w terminie 14 dni od chwili ustalenia, że nie mają one znaczenia dla sprawy. |
|
Eksperci zewnętrzni biorący udział w postępowaniu wyjaśniającym Twoje dane pozyskaliśmy bezpośrednio od Ciebie. |
1. Powołanie i zapewnienie zewnętrznym ekspertom możliwości działania – na podstawie zawartej umowy
(art. 6 ust. 1 lit b RODO). 2. Realizacja obowiązków prawnych ciążących na Administratorze, w szczególności przyjmowanie, weryfikacja, rozpatrzenie zgłoszenia naruszenia prawa, udokumentowanie wszczętego na jego podstawie postępowania (art. 6 ust. 1 lit. c RODO, a w przypadku, gdyby w związku ze zgłoszeniem przetwarzano dane szczególnych kategorii – również art. 9 ust. 2 lit. b RODO), w szczególności w związku z Ustawą. 3. Realizacja prawnie uzasadnionego interesu Administratora, jakim jest ustalenie, dochodzenie lub obrona przed roszczeniami (art. 6 ust. 1 lit. f RODO). |
Dane osobowe przetwarzane w związku z przyjęciem zgłoszenia lub podjęciem działań następczych oraz
dokumenty związane z tym zgłoszeniem są przechowywane przez podmiot prawny oraz organ publiczny przez
okres 3 lat po zakończeniu roku kalendarzowego, w którym przekazano zgłoszenie zewnętrzne do organu
publicznego właściwego do podjęcia działań następczych lub zakończono działania następcze, lub po
zakończeniu postępowań zainicjowanych tymi działaniami. Dane osobowe pozyskane w związku z zawartą umową przetwarzane będą przez okres trwania umowy, a następnie przechowywane do czasu przedawnienia ewentualnych roszczeń. |
4. [ODBIORCY DANYCH]
Odbiorcami danych osobowych przetwarzanych w ramach procedury zgłaszania naruszeń przez Sygnalistów oraz podejmowania działań następczych przez Nash Tackle sp. z o.o. mogą być:
- organy państwowe lub inne podmioty uprawnione na podstawie przepisów, jeśli jest to niezbędne do realizacji obowiązków prawnych,
- podmioty, które dostarczają Nash Tackle sp. z o.o. narzędzia IT do przechowywania danych lub podmioty, które mają dostęp do danych w ramach prowadzonych prac serwisowych w systemach IT, na podstawie zawartych umów,
- podmioty świadczące usługi prawne.
Wewnątrz Nash Tackle sp. z o.o. dane będą przetwarzane przez odpowiednio upoważnione w tym zakresie osoby i zobowiązane do zachowania poufności danych.
W przypadku podmiotów zewnętrznych mających dostęp do danych, np. dostawców narzędzi, systemu do zgłaszania naruszeń, osób przyjmujących i rozpatrujących zgłoszenia lub współpracowników IT – Administrator zawiera z nimi właściwe umowy powierzenia przetwarzania danych.
Administrator zapewnia poufność danych Sygnalisty, osób pomagających Sygnaliście w dokonywaniu zgłoszenia oraz osób powiązanych z Sygnalistą w związku z otrzymanym zgłoszeniem, zgodnie z wymogami ustawy o ochronie sygnalistów. Administrator dba o przetwarzanie wszystkich danych osobowych zgodnie z przepisami prawa.
5. [PRAWA OSÓB]
Posiadasz prawo żądania:
- dostępu do swoich danych osobowych – w granicach art. 15 RODO,
- sprostowania swoich danych osobowych – w granicach art. 16 RODO,
- usunięcia swoich danych osobowych – w granicach art. 17 RODO,
- ograniczenia przetwarzania swoich danych osobowych – w granicach art. 18 RODO,
- przenoszenia swoich danych osobowych – w granicach art. 20 RODO,
- cofnięcia w dowolnym momencie zgody na przetwarzanie danych, jeżeli to ona była podstawą przetwarzania, przy czym nie wpływa to na zgodność z prawem przetwarzania dokonanego przed wycofaniem zgody,
- prawa wniesienia w dowolnym momencie sprzeciwu wobec przetwarzania swoich danych osobowych – w granicach art. 21 RODO – jeśli podstawą prawną ich przetwarzania jest prawnie uzasadniony interes Administratora lub strony trzeciej (art. 6 ust. 1 lit. f RODO) – składając sprzeciw należy wskazać jego przyczyny związane z Twoją szczególną sytuacją.
6. [PRAWO SKARGI]
Przysługuje Ci prawo wniesienia skargi na realizowane przez Administratora przetwarzanie danych do Prezesa Urzędu Ochrony Danych Osobowych, ul. Stawki 2, 00-193 Warszawa. Więcej informacji na ten temat znajdziesz na stronie Urzędu: https://uodo.gov.pl/pl/83/155.
7. [WYMÓG PODANIA DANYCH]
Podanie danych jest niezbędne do przyjęcia i rozpatrzenia zgłoszenia. Anonimowe zgłoszenia będą odrzucane.
8. [TRANSFER DANYCH]
Twoje dane co do zasady nie będą przekazywane poza Europejski Obszar Gospodarczy (dalej: EOG). Mając jednak na uwadze usługi świadczone przez podwykonawców administratora przy realizacji wsparcia dla usług teleinformatycznych oraz infrastruktury IT, administrator może zlecać wykonanie określonych czynności bądź zadań informatycznych uznanym podwykonawcom działającym poza EOG, co może powodować przekazanie danych poza obszar EOG.
Poszczególne kraje spoza EOG, na terytorium których będą przetwarzane dane osobowe, zapewniają odpowiedni stopień ochrony danych osobowych, zgodny ze standardami EOG, na podstawie decyzji Komisji Europejskiej. W przypadku przetwarzania danych na terytorium państw, wobec których Komisja Europejska nie stwierdziła zapewnienia odpowiedniego stopnia ochrony danych osobowych (zgodnego ze standardami EOG), w celu zapewnienia odpowiedniego stopnia tej ochrony, administrator zawiera umowy z odbiorcami danych osobowych. Umowy, o których mowa powyżej, oparte są o standardowe klauzule umowne wydane przez Komisję Europejską, zgodnie z art. 46 ust. 2 lit. c RODO.
Kopię standardowych klauzul umownych, o których mowa powyżej, można uzyskać od Inspektora Ochrony Danych. Zastosowany przez administratora sposób zabezpieczenia danych jest zgodny z zasadami przewidzianymi w rozdziale V RODO. W związku z powyższym można zażądać dalszych informacji o stosowanych zabezpieczeniach w tym zakresie, uzyskać kopię tych zabezpieczeń oraz informację o miejscu ich udostępnienia.
9. [ZAUTOMATYZOWANE PODEJMOWANIE DECYZJI]
Twoje dane nie będą podlegały profilowaniu lub zautomatyzowanemu podejmowaniu decyzji.