GH GambleHub

Canal de denunțător și protecția datelor

1) Scop și domeniu

Oferă o modalitate sigură, accesibilă și de încredere pentru angajați, contractanți, afiliați și alte părți interesate pentru a raporta încălcări (corupție, fraudă, AML/sancțiuni, RG, GDPR/PII/securitate a informațiilor, publicitate/afiliați, conflicte de interese, discriminare și hărțuire, licență/încălcarea legii). Documentul reglementează canalele, anonimatul, prelucrarea datelor, procedurile de investigare și protecția împotriva represiunii.

2) Principii

Toleranţă zero pentru represiune. Orice răzbunare este interzisă.
Confidențialitatea și minimizarea datelor. Colectarea este necesară numai, în conformitate cu principiul nevoii de a cunoaște.
Anonimatul prin alegerea informatorului. Abilitatea de a comunica fără a dezvălui identitatea.
Promptitudine şi corectitudine. acceptarea/revizuirea SLA; o metodologie documentată, imparțială.
Independența. Separarea rolurilor: primirea mesajelor, investigarea, sancțiuni.
Transparența procesului. Urmărirea statutului, feedback, statistici publice fără personalități.

3) Roluri și RACI

Whistleblowing Officer (WBO) - proprietar de proces, triaj, coordonarea investigațiilor, raportare. (A/R)

Conformitate/Legal/DPO - evaluare juridică, protecția datelor, politica de confidențialitate. (R/C)

InfoSec/CISO - securitate canal, criptare, control acces, logare. (R)

HR/ER (Employee Relations) - cazuri de etică/comportament, măsuri de sprijin. (R)

Auditul intern (IA) - controlul independent al calității investigațiilor și CAPA. (C)

Securitate/Încredere și siguranță - cazuri tehnice/fraudă, colectarea de artefacte digitale. (R)

Sponsor (CEO/COO) - „ton de sus”, resurse, escaladare S1. (I/A)

4) Message receiving channels

1. Formular web (principal recomandat): suport pentru anonimat; corespondență securizată token/pin.
2. E-mail: o cutie dedicată cu criptare automată, ventilație automată fără divulgare de conținut.
3. Hotline/Telefon: Scrieți în sistem cu mascarea datelor.
4. Chatbot în mesagerul corporativ: nu pentru anonim (sau cu un mecanism proxy).
5. Adresa poştală/cutia poştală fizică: pentru mesaje offline (scanare şi încărcare în Sistem).
6. Contact direct cu WBO/IA: întâlnire personală - la cererea informatorului.

Cerințele canalului: TLS end-to-end, stocarea în stocare criptată, RBAC, jurnalele de acces sunt neschimbabile, fără urmărirea IP/dispozitive în formă anonimă, politica transparentă de cookie/jurnal.

5) Protecția datelor și temeiuri legale

Temeiul juridic: îndeplinirea obligațiilor legale, interesele legitime ale societății, interesul public (în funcție de jurisdicție).
DPIA: înainte de lansare - evaluarea impactului asupra vieții private; fixarea riscurilor și a măsurilor de atenuare.
Clasificarea datelor: personale, sensibile (sănătate, etnie etc.), secrete comerciale, artefacte de investigații.
Minimizare: nu colecta inutile; Ștergeți documentele neconforme.
Transferuri transfrontaliere: numai dacă există temeiuri legale și garanții contractuale.
Drepturile persoanelor vizate: DSAR-urile sunt prelucrate de DPO-uri; excepție: să nu divulge identitatea denunțătorului și datele care pun în pericol investigația/terților.
Retinere: mesaje si artefacte - de obicei 5 ani sau prin politica/lege/licenta; apoi ștergerea securizată (cripto-rupere/ștergere logică cu jurnal).

6) Măsuri tehnice și de siguranță

Criptare: în repaus (KMS/HSM), în tranzit (TLS), chei - cu rotație și demarcație.
Acces: RBAC/ABAC, principiul celor mai mici privilegii, domenii separate pentru cazuri anonime.
Jurnale: imuabile (WORM), monitorizarea acceselor neobișnuite, alerte.
Segmentare: sistemul de mesaje este izolat de sistemele de productie; copii de rezervă individuale cu verificare de recuperare.
Metadate: mascarea, eliminarea EXIF din atașamente, avertizarea informatorului despre dezidentificarea automată.
Canale de comunicare secrete: căsuță poștală securizată/poștă web pentru corespondență anonimă bidirecțională.

7) Clasificarea cazurilor și prioritățile

S1 (critică): corupţie/luare de mită, fraude mari, scurgeri PII/PCI, ameninţări la adresa vieţii/securităţii, încălcări grave ale licenţei/legii.
S2 (High): încălcări sistemice ale politicii (AML/RG/GDPR/IS), conflicte grave de interese, discriminare/hărțuire.
S3 (Mediu): încălcări locale ale procedurilor, erori în publicitate/afiliați, încălcări unice ale comportamentului.
S4 (Low): Sugestii pentru îmbunătățiri, incidente cu risc scăzut.

SLA:
  • Chitanta: S1/S2 - ≤ 24 ore; S3/S4 - ≤ 3 zile lucrătoare
  • Evaluare primară (triaj): S1 - ≤ 48 h; S2 - ≤ 5 zile lucrătoare; S3/S4 - ≤ 10 zile lucrătoare
  • Plan de investigație: S1 - ≤ 3 zile lucrătoare; S2 - ≤ 10 zile lucrătoare

8) Procesul de la mesaj la închidere

Pasul 1 - Primirea și primirea. Atribuirea ID-ul, fixarea canalului, salvarea dovezilor „așa cum este”.
Etapa 2 - Triaj și independență. Verificarea conflictului de interese la persoanele desemnate; în caz de conflict - redistribuire.
Etapa 3 - Evaluarea riscurilor și planul. Domeniul de aplicare, ipoteze, legalitatea metodelor, lista de artefacte, foaie de parcurs.
Pasul 4 - Strângerea dovezilor. Documente, jurnale, interviuri, selectarea tranzacțiilor; respectarea lanțului de custodie.
Etapa 5 - Analiză și concluzii. Fapt → criteriu (politică/lege/licență) → risc → impact.
Pasul 6 - Recomandări și CAPA. Acțiuni corective/preventive, proprietari, sincronizare, măsurători de succes.
Pasul 7 - Comunicări și feedback. Fără a dezvălui identitatea informatorului; limbaj îngrijit (fără acuzații până la final).
Pasul 8 - Închiderea și reținerea. Raportul final, starea, stocarea artefactelor, eliberarea statisticilor impersonale.

9) Comunicații și protecția denunțătorului

Fără bacşiş. Nu dezvăluiți faptul raportării/investigării presupușilor încălcători.
Protecţie împotriva represiunii. Scăderea, concedierea, privarea de bonusuri, agresiunea etc. sunt interzise. Măsurile de retorsiune sunt considerate o încălcare separată a S1/S2.
Suport: daca este necesar - transfer la alta echipa, vacanta, HR/consultanta juridica/suport psihologic.
Comunicare anonimă bidirecțională: informatorul poate pune întrebări și obține statutul printr-un inbox/token web.

10) Relația cu alte politici

Codul de etică și conduită - standarde și canale.
Politica anticorupție - due diligence, cadouri, intermediari.
GDPR/PII - legalitatea prelucrării, DSAR, retenție.
AML/RG/PCI/IS - proceduri specializate și triaj.
Audit intern - controlul independent al calității investigațiilor.

11) Liste de verificare

11. 1 Înainte de a începe canalul

  • DPIA și politica de confidențialitate aprobată de DPO/Legal.
  • Arhitectură tehnică: criptare, RBAC, jurnale WORM.
  • Se configurează un formular web anonim și o comunicare bidirecțională.
  • Formarea echipei WBO/triaj în metodologia de investigare.
  • Au fost pregătite șabloane (chitanță, plan de investigație, raport, scrisoare de închidere).
  • Campanie de comunicare: „ton de sus”, postere, intranet, Întrebări frecvente.

11. 2 Recepția mesajelor

  • ID atribuit, data/canal/nivel S înregistrat.
  • Confirmarea trimisă informatorului fără a dezvălui detalii.
  • Un test de conflict de interese a fost efectuat pentru artiștii interpreți sau executanți.
  • Toate atașamentele/metadatele comise, dezactivate.

11. 3 Anchetă

  • Planul și ipotezele aprobate (Legal/DPO/InfoSec - după cum este necesar).
  • Lanțul de custodie este menținut pentru fiecare artefact.
  • Interviurile sunt înregistrate; avertisment de confidențialitate.
  • Concluzii bazate pe fapte verificabile, peer-review efectuate.

11. 4 Închidere

  • CAPA sunt atribuite, datele și valorile sunt definite.
  • Denunțătorul (oportunitatea) a primit feedback impersonal.
  • Reținerea/clasificarea stabilită; artefactele sunt arhivate.
  • Statistici actualizate pe tabloul de bord.

12) Șabloane de documente (Inserturi rapide)

A) Primirea informatorului

cheie> Vă mulțumim pentru mesajul dvs. ID-ul dvs. este WB-XXXX. Vom revizui informațiile și vă vom contacta dacă este necesar prin intermediul acestui canal securizat. Poţi rămâne anonim. Vă rugăm să nu dezvăluiți public până când verificarea nu este completă.

B) Planul de investigare (un pager)

Caz: WB-XXXX Prioritate: S1/S2/S3/S4 Proprietar:... Cronologie:...
Ipoteze/criterii:...
Date/Artefacte:...

Interviu: Listă/Program

Riscuri de confidențialitate/restricții legale:...
Comunicații și puncte de control:...

C) Raport final (Structura)

Rezumat Fapte Criterii (politică/lege) Concluzii Analiză CAPA Recomandări Apendice (artefacte).

D) Scrisoare de închidere

💡 Vă rugăm să rețineți că revizuirea cazului WB-XXXX este completă. Au fost luate măsuri de conformitate. Vă mulțumim pentru contribuția dumneavoastră la funcționarea etică și în condiții de siguranță a companiei.

13) Metrica și tabloul de bord

Volumul de admisie - numărul de mesaje pe categorii și canale.
Time-to-Recognition/Time-to-Triage/Time-to-Decision.
Respectarea SLA de către nivelurile S.
Progresul CAPA finalizat/în curs/expirat, median aproape.
Indicele de represalii: reclamații de răspuns raportate (țintă 0).
Rata anonimatului: proporția de mesaje anonime și conversia acestora în cazuri confirmate.
Constatări repetate: repetarea subiectelor în 12 luni.
Impact de conștientizare: Creșterea recursului post-campanii; Canal Trust NPS.

14) Riscuri și controale

Deanonimizarea prin metadate → de-identificare, ștergerea EXIF, avertismente explicite.
Scurgeri de acces la cazuri - → RBAC, segmentare, jurnale WORM, audituri de acces regulate.
Mesaje fictive/abuz. → filtru politicos și verificarea faptelor; sancțiuni pentru declarații false cu bună știință (fără efectul intimidării).
Conflictul de interese în anchetă → rotația artiștilor interpreți sau executanți, participarea IA/Legal.
Represiunea → un flux separat de plângeri; Răspuns rapid la RR/Conformitate.

15) Instruire și conștientizare

Onboarding: modul pe canal, anonimat și protecția datelor (test ≥ 85%).
Recertificarea anuală pentru toți; formare suplimentară pentru WBO/anchetatori.
Campanii trimestriale (postere/bot quizzes/videos): cum să prezinte ceea ce se așteaptă, exemple.

16) plan de implementare de 30 de zile

Săptămâna 1

1. Atribuiți WBO și grupului de lucru (Conformitate/Legal/DPO/InfoSec/HR/IA).
2. Efectuați un DPIA, aprobați o politică de confidențialitate și păstrare.
3. Specificați canalele (formular web/poștă/linie), cerințele pentru anonimat și jurnalele.

Săptămâna 2

4. Implementarea unei platforme tehnice: criptare, RBAC, jurnale WORM, inbox web anonim.
5. Pregătiți șabloane și SOP-uri: chitanță, plan, raport, scrisoare de închidere, CAPA.
6. Tren WBO/echipa de triaj; înregistrează RACI și SLA.

Săptămâna 3

7. Pilot: 1-2 cazuri de testare (tabel-top), verificarea lanțului de probe și retenții.
8. Configurați măsurători de bord și raportare pentru management/comitet.
9. Comunicatii: scrisoare CEO, pagina intranet, intrebari frecvente, postere.

Săptămâna 4

10. Pornirea canalului; SLA/monitorizarea sarcinii; suport fierbinte.
11. Recenzii săptămânale ale cazurilor S1/S2 și statusurilor CAPA.
12. Ajustări retro și v1. 1 (politici, formulare, formare).

17) Secțiuni conexe

Codul de etică și conduită

Politica anticorupție

AML și formarea angajaților/conștientizarea conformității

Cărți de redare incidente și scripturi

Tabloul de bord și monitorizarea conformității

Audit intern și audit extern

Notificări privind încălcările și termenele de raportare

Rapoarte de reglementare și formate de date

Contact

Contactați-ne

Scrieți-ne pentru orice întrebare sau solicitare de suport.Suntem mereu gata să ajutăm!

Telegram
@Gamble_GC
Pornește integrarea

Email-ul este obligatoriu. Telegram sau WhatsApp sunt opționale.

Numele dumneavoastră opțional
Email opțional
Subiect opțional
Mesaj opțional
Telegram opțional
@
Dacă indicați Telegram — vă vom răspunde și acolo, pe lângă Email.
WhatsApp opțional
Format: cod de țară și număr (de exemplu, +40XXXXXXXXX).

Apăsând butonul, sunteți de acord cu prelucrarea datelor dumneavoastră.