GH GambleHub

Kanał informacyjny i ochrona danych

1) Cel i obszar

Zapewnienie pracownikom, wykonawcom, podmiotom stowarzyszonym i innym zainteresowanym stronom bezpiecznego, dostępnego i zaufanego sposobu zgłaszania naruszeń (korupcja, oszustwa, AML/sankcje, RG, RODO/PII, bezpieczeństwo PCI/informacje, reklama/podmioty powiązane, konflikty interesów, dyskryminacja i molestowanie, naruszenie licencji/prawa). Dokument reguluje kanały, anonimowość, przetwarzanie danych, procedury dochodzeniowe i ochronę przed represjami.

2) Zasady

Zero tolerancji dla represji. Każdy odwet jest zabroniony.
Prywatność i minimalizacja danych. Zbiórka jest konieczna tylko zgodnie z zasadą „need-to-know”.
Anonimowość z wyboru informatora. Zdolność komunikowania się bez ujawniania tożsamości.
Aktualność i sprawiedliwość. akceptacja/przegląd SLA; udokumentowana, bezstronna metodologia.
Niezależność. Rozdzielenie ról: odbieranie wiadomości, śledztwo, sankcje.
Przejrzystość procesu. Śledzenie stanu, informacje zwrotne, statystyki publiczne bez osobowości.

3) Role i RACI

Whistleblowing Officer (WBO) - właściciel procesu, triage, koordynacja dochodzeń, sprawozdawczość. (A/R)

Zgodność/Legal/IOD - ocena prawna, ochrona danych, polityka prywatności. (R/C)

InfoSec/CISO - bezpieczeństwo kanału, szyfrowanie, kontrola dostępu, rejestrowanie. (R)

HR/ER (Relacje pracownicze) - sprawy etyczne/zachowania, środki wsparcia. (R)

Audyt wewnętrzny (IA) - niezależna kontrola jakości dochodzeń i umów CAPA. (C)

Ochrona/Zaufanie i bezpieczeństwo - sprawy techniczne/oszustwa, zbiór artefaktów cyfrowych. (R)

Exec Sponsor (CEO/COO) - „ton od góry”, zasoby, eskalacja S1. (I/A)

4) Kanały odbioru wiadomości

1. Formularz internetowy (zalecany główny): wsparcie dla anonimowości; bezpieczna korespondencja token/pin.
2. E-mail: dedykowane pudełko z automatycznym szyfrowaniem, automatyczną wentylacją bez ujawniania treści.
3. Infolinia/Telefon: Zapisz do systemu z maskowania danych.
4. Chatbot w komunikatorze korporacyjnym: nie dla anonimowych (lub z mechanizmem proxy).
5. Adres pocztowy/fizyczna skrzynka pocztowa: dla wiadomości offline (skanowanie i ładowanie do systemu).
6. Bezpośredni kontakt z WBO/IA: spotkanie osobiste - na wniosek informatora.

Wymagania kanału: TLS end-to-end, przechowywanie w zaszyfrowanej pamięci masowej, RBAC, dzienniki dostępu są niezmienne, brak śledzenia IP/urządzeń w anonimowej formie, przejrzyste zasady dotyczące plików cookie/dziennika.

5) Ochrona danych i podstawy prawne

Podstawa prawna: wykonywanie obowiązków prawnych, uzasadnione interesy spółki, interes publiczny (w zależności od jurysdykcji).
DPIA: przed uruchomieniem - ocena wpływu na prywatność; ustalanie zagrożeń i środków ograniczających ryzyko.
Klasyfikacja danych: osobiste, wrażliwe (zdrowie, pochodzenie etniczne itp.), tajemnice handlowe, artefakty dochodzeniowe.
Minimalizacja: nie zbieraj zbędnych; Usuń niezwiązane dokumenty.
Transfery transgraniczne: tylko wtedy, gdy istnieją podstawy prawne i gwarancje umowne.
Prawa osób, których dane dotyczą: DSAR są przetwarzane przez DPO; wyjątek: nieujawnianie tożsamości informatora i danych zagrażających dochodzeniu/osobom trzecim.
Zatrzymanie: wiadomości i artefakty - zwykle 5 lat lub według polityki/prawa/licencji; następnie zabezpieczyć usunięcie (crypto-shred/logical erase with log).

6) Środki bezpieczeństwa i techniczne

Szyfrowanie: odpoczynek (KMS/HSM), tranzyt (TLS), klucze - z rotacją i rozgraniczeniem.
Dostęp: RBAC/ABAC, zasada najmniejszych uprawnień, oddzielne domeny dla anonimowych przypadków.
Dzienniki: immutable (WORM), monitorowanie nietypowych dostępu, wpisy.
segmentacja: system wiadomości jest odizolowany od systemów produkcyjnych; indywidualne kopie zapasowe z kontrolą odzyskiwania.
Metadane: maskowanie, usuwanie EXIF z załączników, ostrzeganie informatora o automatycznym usuwaniu identyfikacji.
Tajne kanały komunikacyjne: bezpieczna skrzynka pocztowa/poczta internetowa dla dwukierunkowej anonimowej korespondencji.

7) Klasyfikacja przypadków i priorytety

S1 (krytyczne): korupcja/przekupstwo, duże oszustwa, wyciek PII/PCI, zagrożenia dla życia/bezpieczeństwa, poważne naruszenia licencji/prawa.
S2 (Wysoki): systemowe naruszenia polityki (AML/RG/RODO/IS), poważne konflikty interesów, dyskryminacja/molestowanie.
S3 (Medium): lokalne naruszenia procedur, błędy w reklamie/podmiotach powiązanych, jednorazowe naruszenie zachowań.
S4 (Niskie): Sugestie dotyczące ulepszeń, incydentów niskiego ryzyka.

SLA:
  • Potwierdzenie odbioru: S1/S2 - ≤ 24 godziny; S3/S4 - ≤ 3 dni roboczych
  • Ocena pierwotna (triage): S1 - ≤ 48 h; S2 - ≤ 5 dni roboczych; S3/S4 - ≤ 10 dni roboczych
  • Plan badania: S1 - ≤ 3 dni roboczych; S2 - ≤ 10 dni roboczych

8) Proces od wiadomości do zamknięcia

Krok 1 - Paragon i paragon. Przypisywanie identyfikatora, naprawianie kanału, zapisywanie dowodów „jak jest”.
Krok 2 - Triage i niezależność. Sprawdzenie konfliktu interesów u wyznaczonych osób; w przypadku konfliktu - redystrybucja.
Etap 3 - Ocena ryzyka i plan. Zakres, hipotezy, legalność metod, wykaz artefaktów, plan działania.
Krok 4 - Zbieranie dowodów. Dokumenty, dzienniki, wywiady, wybór transakcji; zgodność z łańcuchem aresztowania.
Etap 5 - Analiza i wnioski. Fakt → kryterium (polityka/prawo/licencja) → ryzyko → wpływ.
Etap 6 - Zalecenia i umowy CAPA. Działania naprawcze/zapobiegawcze, właściciele, terminy, wskaźniki sukcesu.
Krok 7 - Komunikacja i informacje zwrotne. bez ujawniania tożsamości informatora; czysty język (brak oskarżeń do końca).
Krok 8 - Zamknięcie i zatrzymanie. Raport końcowy, status, przechowywanie artefaktów, udostępnianie bezosobowych statystyk.

9) Komunikacja i ochrona przed gwizdkiem

Żadnych cynków. Nie ujawniać faktu raportowania/dochodzenia rzekomym naruszeniom.
Ochrona przed represjami. Obniżenie, zwolnienie, pozbawienie premii, znęcanie się itp. są zabronione. Środki odwetowe uważa się za odrębne naruszenie S1/S2.
Wsparcie: w razie potrzeby - przeniesienie do innego zespołu, urlop, HR/porady prawne/wsparcie psychologiczne.
Dwukierunkowa anonimowa komunikacja: informator może zadawać pytania i uzyskać status poprzez skrzynkę odbiorczą/token.

10) Związek z innymi politykami

Kodeks etyki i postępowania - normy i kanały.
Polityka antykorupcyjna - należyta staranność, prezenty, pośrednicy.
RODO/PII - legalność przetwarzania, DSAR, zatrzymywanie.
AML/RG/PCI/IS - specjalistyczne procedury i triage.
Audyt wewnętrzny - niezależna kontrola jakości dochodzeń.

11) Listy kontrolne

11. 1 Przed uruchomieniem kanału

  • DPIA i polityka prywatności zatwierdzona przez DPO/Legal.
  • Architektura techniczna: Szyfrowanie, RBAC, dzienniki WORM.
  • Anonimowy formularz internetowy i dwukierunkowa komunikacja tokenowa są skonfigurowane.
  • Szkolenie zespołu WBO/triage w metodologii badania.
  • Przygotowano szablony (potwierdzenie odbioru, plan dochodzenia, raport, list zamknięcia).
  • Kampania komunikacyjna: „ton od góry”, plakaty, intranet, FAQ.

11. 2 Odbiór wiadomości

  • Przypisany identyfikator, data/kanał/poziom S zapisany.
  • Potwierdzenie przesłane informatorowi bez ujawniania szczegółów.
  • Przeprowadzono test konfliktu interesów dla wykonawców.
  • Wszystkie załączniki/metadane popełnione, deautentyzowane.

11. 3 Dochodzenie

  • Zatwierdzony plan i hipotezy (Legal/DPO/InfoSec - w zależności od potrzeb).
  • Łańcuch aresztowania jest utrzymywany dla każdego artefaktu.
  • Wywiady są rejestrowane; ostrzeżenie o prywatności.
  • Wnioski oparte na możliwych do zweryfikowania faktach, wzajemna ocena przeprowadzona.

11. 4 Zamknięcie

  • Przypisane są urzędy CAPA, określa się daty i wskaźniki.
  • Informator (możliwość) otrzymał bezosobowe informacje zwrotne.
  • Ustalona retencja/klasyfikacja; artefakty są archiwizowane.
  • Statystyki zaktualizowane na desce rozdzielczej.

12) Szablony dokumentów (szybkie wkładki)

A) Odbiór do informatora

klucz> Dziękuję za wiadomość. Twój identyfikator to WB-XXXX. Będziemy przeglądać informacje i skontaktować się z Tobą w razie potrzeby za pośrednictwem tego bezpiecznego kanału. Możesz pozostać anonimowy. Nie ujawniaj publicznie, dopóki weryfikacja nie zostanie zakończona.

B) Plan badania (pager)

Sprawa: WB-XXXX Priorytet: S1/S2/S3/S4 Właściciel:... Linia czasu:...
Hipotezy/kryteria:...
Dane/artefakty:...

Wywiad: Lista/harmonogram

Ryzyko prywatności/ograniczenia prawne:...
Punkty łączności i kontroli:...

C) Raport końcowy (struktura)

Podsumowanie Kryteria stanu faktycznego (polityka/prawo) Wnioski z analizy Zalecenia CAPA Dodatki (artefakty).

D) List końcowy

💡 Prosimy o poinformowanie, że przegląd sprawy WB-XXXX jest zakończony. Podjęto środki w zakresie zgodności. Dziękujemy za wkład w etyczne i bezpieczne funkcjonowanie firmy.

13) Mierniki i deska rozdzielcza

Objętość poboru - liczba wiadomości według kategorii i kanału.
Czas do uznania/Czas do Triage/Czas do decyzji.
Zgodność SLA z poziomami S.
CAPA Progress Completed/In Progress/Expired, Median Close.
Wskaźnik odwetu: zgłoszone skargi na odpowiedź (cel 0).
Wskaźnik anonimowości: odsetek anonimowych wiadomości i ich konwersja do potwierdzonych przypadków.
Powtarzaj ustalenia: powtarzanie tematów w ciągu 12 miesięcy.
Wpływ na świadomość: Wzrost apelacyjny po zakończeniu kampanii; Kanał zaufania NPS.

14) Ryzyko i kontrole

Deanonimizacja poprzez metadane. → usunięcie identyfikacji, usunięcie EXIF, wyraźne ostrzeżenia.
Wycieki dostępu do przypadku - RBAC →, segmentacja, dzienniki WORM, regularne audyty dostępu.
Fikcyjne wiadomości/nadużycia. → grzeczny filtr i sprawdzanie faktów; kary za świadomie fałszywe oświadczenia (bez skutku zastraszania).
Konflikt interesów w dochodzeniu. → rotacja wykonawców, udział IA/Legal.
Represje. → oddzielny strumień skarg; szybka reakcja HR/Compliance.

15) Szkolenie i świadomość

Na pokładzie: moduł na kanale, anonimowość i ochrona danych (test ≥ 85%).
Coroczna ponowna certyfikacja dla wszystkich; dodatkowe szkolenie dla WBO/śledczych.
Kwartalne kampanie (plakaty/quizy/filmy): jak przesłać to, czego się oczekuje, przykłady.

16) 30-dniowy plan realizacji

Tydzień 1

1. Przypisanie WBO i grupy roboczej (Zgodność/Prawne/DPO/InfoSec/HR/IA).
2. Prowadzenie DPIA, zatwierdzanie polityki prywatności i zatrzymywania.
3. Określa kanały (formularz internetowy/mail/line), wymagania dotyczące anonimowości i dzienników.

Tydzień 2

4. Wdrożenie platformy technicznej: szyfrowanie, RBAC, dzienniki WORM, anonimowa skrzynka odbiorcza.
5. Przygotowanie szablonów i SOP: odbiór, plan, raport, list końcowy, CAPA.
6. Zespół WBO/triage pociągu; zarejestrować RACI i SLA.

Tydzień 3

7. Pilot: 1-2 przypadki badań (stół-top), weryfikacja łańcucha dowodów i zatrzymań.
8. Utworzenie mierników deski rozdzielczej i sprawozdawczości dla kierownictwa/komitetu.
9. Komunikacja: list CEO, strona intranetu, FAQ, plakaty.

Tydzień 4

10. Uruchomienie kanału; Monitorowanie SLA/obciążenia; gorące wsparcie.
11. Tygodniowe przeglądy przypadków S1/S2 i statusów CAPA.
12. Korekty retro i v1. 1 (polityki, formy, szkolenia).

17) Sekcje powiązane

Kodeks etyki i postępowania

Polityka antykorupcyjna

Szkolenie AML i pracowników/świadomość zgodności

Playbooks incydentów i skryptów

Deska rozdzielcza zgodności i monitorowanie

Audyt wewnętrzny i audyt zewnętrzny

Zawiadomienia o naruszeniach i terminach sprawozdawczych

Sprawozdania regulacyjne i formaty danych

Contact

Skontaktuj się z nami

Napisz do nas w każdej sprawie — pytania, wsparcie, konsultacje.Zawsze jesteśmy gotowi pomóc!

Telegram
@Gamble_GC
Rozpocznij integrację

Email jest wymagany. Telegram lub WhatsApp są opcjonalne.

Twoje imię opcjonalne
Email opcjonalne
Temat opcjonalne
Wiadomość opcjonalne
Telegram opcjonalne
@
Jeśli podasz Telegram — odpowiemy także tam, oprócz emaila.
WhatsApp opcjonalne
Format: kod kraju i numer (np. +48XXXXXXXXX).

Klikając przycisk, wyrażasz zgodę na przetwarzanie swoich danych.