Świadomość przestrzegania przepisów przez personel

1) Obszar objęty celem i zasięgiem

Tworząc zrównoważoną kulturę przestrzegania przepisów, w której każdy pracownik rozumie „to, co jest możliwe/niemożliwe”, wie, jak rozpoznawać zagrożenia i wie, jak działać (eskalacja, kanały pomocy). Zakres: wszystkie funkcje (Operacje, Płatności, RG/AML/KYC/KYB, Marketing/Affiliates, Game Ops, Data/Engineering, CS, Finance, Legal/DPO, IS), wykonawcy i pracownicy tymczasowi.

2) Zasady programu

Ton z góry: wsparcie publiczne od CEO/Exec.
Prostota i zastosowanie: „co zrobić jutro na zmianie”.
Micro-format: krótkie moduły 5-10 min, regularność.
Lokalizacja: język rynkowy, sprawy lokalne/zasady.
Dowód: dziennik fragmentów, artefakty, certyfikat.
Ciągłość: cykl' ucz się → zastosuj → środek → poprawić ".

3) Role i RACI

Właściciel: Head of Compliance/Compliance Awareness Lead - strategia, treść, kalendarz. A)

L & D/Training Lead: LMS, harmonogram, kontrola frekwencji. (R)

Właściciele procesów (KYC/AML/RG/Payments/Marketing/Game Ops/Data/Legal/InfoSec): wiedza fachowa i sprawy. (R)

DPO/Legal: poprawność brzmienia, prywatność, lokalizacja. (C)

Audyt wewnętrzny: niezależna weryfikacja kompletności/dokumentacji. (C)

HR: wejście na pokład/offboard, dyscyplina przechodzenia. (R)

Komunikatory/Marka: projekt wizualny, kampanie. (R)

Exec Sponsor: wiadomości publiczne, zasoby, eskalacje. (I/A)

4) Ramy treści (moduły uświadamiające)

1. Kodeks postępowania i kanały pomocy (gwizdanie, bez represji).
2. KYC/KYB i ochrona wrażliwych graczy (rola każdego z nich).
3. AML/sankcje/PEP (sygnały, zakaz wyłączania, eskalacja).
4. RG jest odpowiedzialną grą (limity, samodzielne wyłączenie, poprawne skrypty).
5. RODO/PII (minimalizacja, DSAR, „nie dzielić zbędne”).
6. PCI/Płatności (dane panoramiczne, tokenizacja, zakazy rozmów/biletów).
7. Marketing/Affiliates/Reklama (filtry wiekowe, zabronione kreatywności).
8. Incydenty i powiadomienia (kiedy i co zgłosić, pierwsze kroki).
9. Higiena ochrony przed phishingiem/informacją (hasła, MFA, symulacje phishingowe).
10. Konflikty interesów/prezenty/etyka.

Każdy moduł: 5-7 slajdów + mini-case 2-3 pytania + „co zrobić jutro” (lista kontrolna do zmiany).

5) Formaty i częstotliwości

Na pokładzie (T + 14 dni): pakiet podstawowy (moduły 1-7), test krótki ≥ 85%.
Kampanie kwartalne: tematyczne (tydzień RODO, tydzień AML...).
Miesięczne mikro lekcje: 5-10 min z 1 sprawą i 3 pytaniami.
Tabela-top/role-play (ćwierć): scenariusz end-to-end według funkcji.
Symulacje phishingu (2-4 razy w roku): z treningiem po kliknięciu.
Plakaty/intranet/bot: „Zasada 3 kroków”, „Czego nie można zapisać w bilecie”.
Warsztaty sprzedawcy: KYC/PSP/dostawcy gier - 1-2 razy w roku.

6) Kampanie i komunikaty (przykłady)

RODO tydzień: „Nie przechowywać - nie tracić” → lista kontrolna: nie wysyłać PII w poczcie, ukryć pokazy, DSAR ≤ 30 dni.
AML-week: „Zauważyć strukturę - zapisać licencję” → lista kontrolna: prędkość/sygnały strukturyzujące, gdzie eskalować.
RG-week: „Graj odpowiedzialnie, wspieraj graczy” → poprawne odpowiedzi CS, procedura radzenia sobie z wyłącznikami limitów.
Tydzień PCI: „PCI zaczyna się od ciebie” → zabronione pola w czacie/biletach, bezpieczne zamienniki.
Reklamy/Filie-tydzień: „Reklama bez grzywien” → zabronione kreatywności, filtry wiekowe, skarga na „toksyczny” ruch.

7) Narzędzia

LMS: kursy, testy, certyfikaty, raporty dotyczące zakresu/czasu.
Bot komunikacyjny (Slack/Teams): quizy 1-2 pytania w tygodniu, przypomnienia.
Intranet hub: „1-pages” by topic, FAQ, szablony wiadomości.
Plakaty/zrzuty ekranu: krótkie zasady, QR na hub.
Platforma phishing: symulacje, porady osobiste.
Formularz „Zapytaj o zgodność”: szybka odpowiedź/eskalacja.

8) Wskaźniki wydajności (KPI/KRI)

Zasięg:% pracowników z obecnym kursem (cel ≥ 98%).
Zakończenie w czasie:% zakończone na czas (cel ≥ 95%).
Przypomnij: odsetek poprawnych odpowiedzi po 30 dniach (> 80%).
Zmiana zachowania: zmniejszenie liczby incydentów, udział poprawnych skryptów CS.
Odporność na phishingi: CTR i raporty z symulacji.
Jakość eskalacji: kompletność artefaktów w eskalacjach (szablon, identyfikator, dzienniki).
Whistleblowing: Wywołania, czas reakcji i zamykania.

9) Listy kontrolne

9. 1 Przed rozpoczęciem programu

• Zatwierdzony „ton od góry”.
• Przypisano właścicielom tematów rocznego kalendarza kampanii.
• Zawartość jest zlokalizowana; przykłady - według rynku i funkcji.
• LMS jest podłączony do HRIS (pokładowy/offboarding).
• raporty dotyczące zakresu/czasu/kursu przejazdu są konfigurowane.
• Gotowe plakaty, 1-stronowe, boty quizowe.

9. 2 Podczas kampanii

• Przypomnienia kanałów (czat/poczta/tablice).
• Sesja Q&A z ekspertami (30 min).
• Krótka ankieta „Get the Point” (3 pytania).
• Zbieranie opinii i pytań „w terenie”.

9. 3 Po zakończeniu kampanii

• Raport: coverage/recall/behavior.
• CAPA według przestrzeni (skrypty, makra, procesy).
• Aktualizacja najczęściej zadawanych pytań i 1 stron.

10) Skrypty (role-play) - szybkie wkładki

• Gracz przekroczył limit strat.
• To prawda: "Widzimy, że ustalony limit został osiągnięty. Zgodnie z zasadami odpowiedzialnej gry, będziemy tymczasowo ograniczyć dostęp do ochrony. Oto jak można określić limity".

• Wyjście do weryfikacji.
• Zgadza się: "Płatność przechodzi standardowy czek bezpieczeństwa. Powiadomimy Cię jak najszybciej"

• Klient wysłał PAN na czat.
• Poprawne: "Ze względów bezpieczeństwa nie wysyłaj numeru karty. Skorzystaj z bezpiecznego formularza płatności"

• Partner oferuje agresywne kreatywne dla 18-.
• To prawda: "Potrzebujemy filtrów wiekowych i poprawnych zastrzeżeń. W przeciwnym razie - odmowa"

• Kolega wniosek o pełny eksport PII „do analizy”.
• To prawda: "Podstawy i minimalizacja są potrzebne. Zapewnijmy agregaty/pseudonimy na żądanie poprzez DPO"

11) Komunikacja i „ton”

Kwartalny film z Exec: „Dlaczego zgodność jest częścią strategii”.
Sukcesy: „Pracownik N zauważył ryzyko w czasie - uniknął grzywny”.
Odznaki/gry: punkty za quizy, „Champion zgodności” miesiąca.
Bezpieczne środowisko: Błędy są traktowane jako uczenie się, a nie jako kara (inne niż złośliwość).

12) Artefakty i zachowanie

Protokoły przejścia (LMS), wyniki badań, certyfikaty.
Materiały kampanii (slajdy, rekordy), pytania i odpowiedzi, plakaty/1 strony.
Sprawozdania KPI/KRI, plany CAPA i status ich realizacji.
Okres ważności - zgodnie z polityką szkolenia/audytu (zwykle 5-7 lat).

13) Zarządzanie zmianą treści

Wersioning (vMAJOR. DROBNE. PATCH), changelog.
Aktualizacja wyzwalaczy: nowe zasady/incydenty/wyniki audytu.
Proces: Projekt → Przegląd prawny/DPO → Pilot → Wydanie → Wymiar.

14) Zagrożenia i zapobieganie

„Pebble learning” → dodać przypadki i obserwowane wskaźniki zachowania.
Przeciążenie treścią → mikro-lekcje, 1-strony, powtórzenie klucza.
Brak lokalizacji → przykłady lokalne/język/rzeczywistość płatności.
Zero połączeń do infolinii → pamiętaj: jest to ryzyko ciszy. Promuj zaufanie i anonimowe kanały.

15) Szybki start (30 dni)

Tydzień 1

1. Przypisać właściciela, zatwierdzić cele KPI (zasięg ≥ 98%, na czas ≥ 95%).
2. Tworzenie rocznego kalendarza kampanii i ról.
3. Przygotuj „ton od góry”.

Tydzień 2

4. Rozmieścić piastę (intranet) i LMS; Podłącz HRIS/SSO.
5. Montaż kursu podstawowego (moduły 1-6) + badanie; przygotować plakaty/1-kartki.
6. Skonfiguruj quizy bot i symulację phishing # 1.

Tydzień 3

7. Pilot na 2-3 zespoły (CS, Płatności, Marketing).
8. Zbierz informacje zwrotne; dostosować skrypty i skrzynki.
9. Uruchom tygodniowe mikro lekcje (na jedno pytanie).

Tydzień 4

10. Masowy start; dzienny zasięg/monitorowanie na czas.
11. Raport z zarządzania: Pierwsze KPI/incydenty-zmiany zachowań.
12. Plan v1. 1-Add przypadki i lokalizacje RG/Ads.

• Szkolenia AML i szkolenia pracowników
• Playbooks incydentów i skryptów
• Zawiadomienia o naruszeniach i terminach sprawozdawczych
• Deska rozdzielcza zgodności i monitorowanie
• Sprawozdania regulacyjne i formaty danych
• Audyt wewnętrzny i audyt zewnętrzny
• Listy kontrolne i przeglądy
• Odnowienie licencji i inspekcje
• Zmiany regulacyjne w podziale na regiony