1. Firma inwestycyjna opracowuje i wdraża procedury anonimowego zgłaszania przez pracowników naruszeń prawa oraz procedur i standardów etycznych obowiązujących w firmie inwestycyjnej, zwanych dalej „zgłoszeniami naruszeń”. 2. Naruszenie procedur obowiązujących w firmie inwestycyjnej, o których mowa w ust. 1, polega na naruszeniu prze- pisów wewnętrznych, w tym regulaminów i instrukcji, a także systemów i rozwiązań przyjętych w firmie inwestycyjnej. 3. Firma inwestycyjna zapewnia możliwość zgłaszania naruszeń przez pracowników za pośrednictwem specjalnego, niezależnego i autonomicznego kanału komunikacji. 4. Procedury anonimowego zgłaszania naruszeń określają co najmniej:
1) sposób odbierania zgłoszeń naruszeń zapewniający w szczególności możliwość odbierania zgłoszeń bez podawania tożsamości przez osobę dokonującą zgłoszenia;
2) sposób ochrony osoby dokonującej zgłoszenia naruszenia zapewniający w szczególności ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;
3) sposób ochrony danych osobowych osoby dokonującej zgłoszenia naruszenia, osoby, której zarzuca się dokonanie naruszenia, oraz osoby trzeciej wskazanej w naruszeniu, a także termin ich usunięcia;
4) rozwiązania pozwalające na zachowanie poufności tożsamości osoby dokonującej zgłoszenia naruszenia, w przypadku gdy ujawniła swoją tożsamość lub jej tożsamość jest możliwa do ustalenia;
5) organy odpowiedzialne za odbieranie zgłoszeń naruszeń, przy czym zgłoszenie dotyczące członka zarządu jest przyj- mowane przez radę nadzorczą;
6) sposób przekazywania członkowi zarządu, o którym mowa w ust. 5, lub radzie nadzorczej oraz pracownikom i jed- nostkom organizacyjnym, wyznaczonym zgodnie z ust. 6, informacji związanych ze zgłoszeniem naruszenia niezbęd- nych do prawidłowej weryfikacji zgłoszenia, mając na uwadze ograniczenia zakresu przekazywanych informacji ze względu na cele realizowane przez procedurę oraz treść zgłoszenia naruszenia;
7) rodzaj i charakter działań następczych podejmowanych na skutek:
a) odebrania zgłoszenia naruszenia,
b) weryfikacji zgłoszenia naruszenia;
8) sposób koordynacji działań, o których mowa w pkt 7;
9) termin usunięcia przez firmę inwestycyjną danych osobowych zawartych w zgłoszeniu naruszenia;
10) termin powiadomienia przez członka zarządu, o którym mowa w ust. 5, a w przypadku gdy zgłoszenie naruszenia do- tyczy członka zarządu – przez radę nadzorczą, osoby, której zarzuca się dokonanie naruszenia, o fakcie dokonania zgłoszenia naruszenia oraz przeprowadzonej procedurze weryfikacji zasadności zgłoszenia naruszenia – w przypadku pozytywnej weryfikacji zasadności zgłoszenia naruszenia. 5. Zarząd ustala wewnętrzny podział kompetencji, w którym wskazuje członka zarządu odpowiedzialnego za bieżące funkcjonowanie procedur zgłaszania naruszeń, do którego są zgłaszane naruszenia. 6. Członek zarządu, o którym mowa w ust. 5, lub rada nadzorcza, po otrzymaniu zgłoszenia naruszenia, wyznacza pra- cowników lub jednostki organizacyjne odpowiedzialne za weryfikację zgłoszenia naruszenia oraz podejmowanie i koordy- nowanie działań następczych. W przypadku gdy jest to uzasadnione wielkością, strukturą i rodzajem prowadzonej działal- ności, członek zarządu lub rada nadzorcza mogą odstąpić od wyznaczania pracowników lub jednostek organizacyjnych. 7. Zarząd jest odpowiedzialny za adekwatność i skuteczność procedury zgłaszania naruszeń. 8. W przypadku negatywnej weryfikacji zasadności zgłoszenia naruszenia członek zarządu, o którym mowa w ust. 5, a w przypadku gdy zgłoszenie naruszenia dotyczy członka zarządu – rada nadzorcza, niezwłocznie powiadamia osobę, któ- rej zarzucono dokonanie naruszenia, o fakcie zgłoszenia naruszenia oraz przeprowadzonej procedurze weryfikacji zasadno- ści zgłoszenia naruszenia, którego zgłoszenie dotyczyło. 9. W przypadku, o którym mowa w ust. 8, firma inwestycyjna niezwłocznie usuwa ze swoich systemów dane osobowe zawarte w zgłoszeniu naruszenia. Pozostałe informacje zawarte w zgłoszeniu naruszenia oraz informacje o podjętych dzia- łaniach następczych pozostawia się w systemach przez okres, o którym mowa w art. 83a ust. 4a ustawy. 10. Członek zarządu, o którym mowa w ust. 5, regularnie, nie rzadziej niż raz na 6 miesięcy, przekazuje radzie nadzor- czej informacje o otrzymanych zgłoszeniach naruszeń, przy czym obowiązek ten uznaje się za spełniony, w przypadku gdy informacje te są zawierane w sprawozdaniu, o którym mowa w § 24 ust. 3. Dziennik Ustaw – 17 – Poz. 1423 11. Rada nadzorcza w zależności od potrzeb, nie rzadziej niż raz w roku, ocenia adekwatność i skuteczność procedury zgłaszania naruszeń. 12. Firma inwestycyjna przeprowadza wstępne i regularne szkolenia pracowników firmy inwestycyjnej w zakresie zgłaszania naruszeń, w szczególności obowiązujących w tym zakresie procedur. 13. W przypadku domu maklerskiego działającego w formie spółki osobowej wymogi, o których mowa w ust. 1–12, mają zastosowanie do komplementariuszy lub wspólników, którym przysługuje prawo prowadzenia spraw spółki lub jej reprezentowania zgodnie z przepisami ustawy z dnia 15 września 2000 r. – Kodeks spółek handlowych (Dz. U. z 2024 r. poz. 18 i 96). 14. Przepisy ust. 1–12 stosuje się do banku powierniczego oraz banku, o którym mowa w art. 70 ust. 2 ustawy. 15. Przepisy ust. 1–13 stosuje się do zagranicznej firmy inwestycyjnej prowadzącej działalność na terytorium Rzeczy- pospolitej Polskiej w formie oddziału w zakresie zgłaszania naruszeń odnoszących się do działalności maklerskiej prowa- dzonej na terytorium Rzeczypospolitej Polskiej. Rozdział 5 Prowadzenie ewidencji zawieranych transakcji oraz archiwizacji dokumentów i innych nośników informacji sporządzanych w związku z prowadzeniem działalności