Art. 28. 1. Upoważnienie podmiotu zewnętrznego, o którym mowa w art. 25 ust. 1 pkt 1, wymaga zawarcia umowy w celu powierzenia obsługi przyjmowania zgłoszeń wewnętrznych, potwierdzania przyjęcia zgłoszenia, przekazywania infor- macji zwrotnej oraz dostarczania informacji na temat procedury zgłoszeń wewnętrznych z zastosowaniem rozwiązań tech- nicznych i organizacyjnych zapewniających zgodność tych czynności z ustawą. 2. Umowa, o której mowa w ust. 1, określa szczegółowe prawa i obowiązki podmiotu zewnętrznego związane z prze- twarzaniem danych osobowych, o których mowa w szczególności w art. 28 ust. 3 rozporządzenia 2016/679. 3. Podmioty prywatne, na rzecz których wykonuje pracę zarobkową co najmniej 50, lecz nie więcej niż 249 osób, mogą na podstawie umowy ustalić wspólne zasady dotyczące przyjmowania i weryfikacji zgłoszeń wewnętrznych oraz prowadzenia postępowania wyjaśniającego, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą. Przepisy art. 23 ust. 1 i 2 stosuje się odpowiednio. 4. Zawarcie umowy, o której mowa w ust. 1 i 3, nie uchyla odpowiedzialności podmiotu prawnego za dochowanie obowiązków określonych w niniejszym rozdziale, w szczególności dotyczących zachowania poufności, udzielenia informacji zwrotnej oraz podjęcia działań następczych. 5. Jednostki samorządu terytorialnego mogą ustalić wspólną procedurę zgłoszeń wewnętrznych w ramach wspólnej obsługi, o której mowa w art. 10a ustawy z dnia 8 marca 1990 r. o samorządzie gminnym (Dz. U. z 2024 r. poz. 609 i 721), art. 6a ustawy z dnia 5 czerwca 1998 r. o samorządzie powiatowym (Dz. U. z 2024 r. poz. 107) i art. 8c ustawy z dnia 5 czerwca 1998 r. o samorządzie województwa (Dz. U. z 2024 r. poz. 566), pod warunkiem zapewnienia jej odrębności i niezależności od procedury przyjmowania zgłoszeń zewnętrznych i podejmowania działań następczych. 6. Podmioty, o których mowa w ust. 3, są odrębnymi administratorami danych osobowych pozyskanych w związku z przyjmowaniem i weryfikacją zgłoszeń. Administrator nie ma dostępu do danych osobowych pozyskanych przez innego administratora. 7. Przepis ust. 6 nie ma zastosowania w przypadku, gdy w toku postępowania wyjaśniającego ustalono, że właściwy do przyjęcia zgłoszenia wewnętrznego lub obowiązany do podjęcia działań następczych jest inny administrator niż ten, do którego wpłynęło zgłoszenie, lub właściwych jest co najmniej dwóch administratorów. Administratorowi udostępnia się tylko te dane osobowe, które są niezbędne do podjęcia działań następczych. 8. Podmioty prywatne należące do grupy kapitałowej w rozumieniu art. 4 pkt 14 ustawy z dnia 16 lutego 2007 r. o ochronie konkurencji i konsumentów (Dz. U. z 2024 r. poz. 594) mogą ustalić wspólną procedurę zgłoszeń wewnętrznych, pod warunkiem zapewnienia zgodności wykonywanych czynności z ustawą.