1. Bank opracowuje i wdraża procedury anonimowego zgłaszania przez pracowników naruszeń prawa oraz obo- wiązujących w banku procedur i standardów etycznych, zwanych dalej „naruszeniami”. 2. Przez obowiązujące w banku procedury, o których mowa w ust. 1, rozumie się wszelkie akty wewnętrzne, w tym regulaminy, instrukcje, systemy i rozwiązania przyjęte w danym banku. 3. Bank zapewnia możliwość zgłaszania przez pracowników naruszeń za pośrednictwem specjalnego, niezależnego i autonomicznego kanału komunikacji. 4. Procedury anonimowego zgłaszania przez pracowników naruszeń określają co najmniej:
1) sposób odbierania zgłoszeń w sprawie naruszeń, zapewniający w szczególności możliwość odbierania zgłoszeń bez podawania tożsamości przez pracownika dokonującego zgłoszenia;
2) sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;
3) sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (Dz. Urz. UE L 119 z 04.05.2016, str. 1, z późn. zm.4));
4) zasady zapewniające zachowanie poufności pracownikowi dokonującemu zgłoszenia, w przypadku gdy pracownik ten ujawnił swoją tożsamość lub jego tożsamość jest możliwa do ustalenia;
5) wskazanie osób odpowiedzialnych za odbieranie zgłoszeń naruszeń, z uwzględnieniem że w przypadku, gdy zgłosze- nie dotyczy członka zarządu, jest przyjęte przez radę nadzorczą;
6) sposób przekazywania członkowi zarządu, o którym mowa w ust. 5, albo radzie nadzorczej, oraz pracownikom, jed- nostkom organizacyjnym i komórkom organizacyjnym wyznaczonym zgodnie z ust. 6 informacji związanych ze zgło- szeniem naruszenia, niezbędnych do prawidłowej weryfikacji tego zgłoszenia, z uwzględnieniem ograniczenia zakre- su przekazywanych informacji odpowiednio do celów realizowanych przez procedurę oraz treści zgłoszenia narusze- nia;
7) rodzaj i charakter działań następczych podejmowanych na skutek:
a) odebrania zgłoszenia naruszenia,
b) weryfikacji zgłoszenia naruszenia
– oraz sposób koordynacji tych działań;
8) termin usunięcia przez bank danych osobowych zawartych w zgłoszeniach naruszeń;
9) termin powiadomienia przez członka zarządu wskazanego zgodnie z ust. 5, albo przez radę nadzorczą, gdy zgłoszenie dotyczy członka zarządu, osoby, której zarzuca się dokonanie naruszenia, o dokonanym zgłoszeniu naruszenia, oraz o przeprowadzonej procedurze weryfikacji zasadności zgłoszenia naruszenia, w przypadku pozytywnej weryfikacji zasadności zgłoszenia naruszenia. 5. Zarząd ustala wewnętrzny podział kompetencji wskazujący członka zarządu, któremu naruszenia są zgłaszane, od- powiedzialnego za bieżące funkcjonowanie procedur anonimowego zgłaszania naruszeń. Wewnętrzny podział kompetencji podlega zatwierdzeniu przez radę nadzorczą. 6. Członek zarządu, o którym mowa w ust. 5, albo rada nadzorcza, po otrzymaniu zgłoszenia, wyznacza pracowni- ków, jednostki organizacyjne lub komórki organizacyjne odpowiedzialne za podejmowanie i koordynowanie weryfikacji zgłoszenia naruszenia oraz podejmowanie działań następczych. 7. Zarząd jest odpowiedzialny za adekwatność i skuteczność procedur anonimowego zgłaszania przez pracowników naruszeń.
4) Zmiany wymienionego rozporządzenia zostały ogłoszone w Dz. Urz. UE L 127 z 23.05.2018, str. 2 oraz Dz. Urz. UE L 74 z 04.03.2021, str. 35. Dziennik Ustaw – 17 – Poz. 1045 8. W przypadku negatywnej weryfikacji zasadności zgłoszenia naruszenia i oddalenia podejrzeń w nim zawartych, członek zarządu wskazany zgodnie z ust. 5, albo rada nadzorcza, gdy zgłoszenie dotyczy członka zarządu, niezwłocznie powiadamiają osobę, której zarzucono dokonanie naruszenia, o dokonanym zgłoszeniu naruszenia oraz o przeprowadzonej procedurze weryfikacji zasadności zgłoszenia naruszenia. 9. W przypadku, o którym mowa w ust. 8, bank niezwłocznie usuwa ze swoich systemów dane osobowe zawarte w zgłoszeniu naruszenia, pozostawiając w systemach, przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym dokonano zgłoszenia, inne informacje zawarte w zgłoszeniu naruszenia, oraz informacje o podjętych dzia- łaniach następczych. 10. W przypadku banków będących uczestnikami systemu ochrony, informacje, o których mowa w ust. 4 pkt 9, są przekazywane również do banku zrzeszającego zarządzającego tym systemem albo do jednostki zarządzającej. 11. Członek zarządu, o którym mowa w ust. 5, nie rzadziej niż raz na pół roku, przekazuje radzie nadzorczej informa- cje o otrzymanych istotnych zgłoszeniach naruszeń. 12. Rada nadzorcza, w zależności od potrzeb, nie rzadziej jednak niż raz w roku, ocenia adekwatność i skuteczność procedury anonimowego zgłaszania przez pracowników naruszeń. 13. Bank przeprowadza wstępne i regularne szkolenia pracowników banku w zakresie zgłaszania naruszeń, w szcze- gólności obowiązujących w tym zakresie procedur. Rozdział 6 Zasady zarządzania ryzykiem płynności i finansowania