Канал для інформаторів і захист даних

1) Призначення та область

Забезпечити безпечний, доступний і довірений спосіб для співробітників, підрядників, афіліатів та інших стейкхолдерів повідомляти про порушення (корупція, шахрайство, AML/санкції, RG, GDPR/PII, PCI/ІБ, реклама/афіліати, конфлікти інтересів, дискримінація та домагання, порушення ліцензій/закону). Документ регламентує канали, анонімність, обробку даних, процедури розслідувань і захист від репресій.

2) Принципи

Нульова толерантність до репресій. Будь-які відповідні заходи заборонені.
Конфіденційність і мінімізація даних. Збір - тільки необхідного, за принципом need-to-know.
Анонімність за вибором інформатора. Можливість спілкуватися без розкриття особистості.
Своєчасність і справедливість. SLA прийому/розгляду; документована, неупереджена методологія.
Незалежність. Поділ ролей: прийом повідомлень, розслідування, санкції.
Прозорість процесу. Відстеження статусу, зворотний зв'язок, публічна статистика без персоналій.

3) Ролі та RACI

Whistleblowing Officer (WBO) - власник процесу, тріаж, координація розслідувань, звітність. (A/R)

Compliance/Legal/DPO - правова оцінка, захист даних, політика приватності. (R/C)

InfoSec/CISO - безпека каналів, шифрування, контроль доступу, журналювання. (R)

HR/ER (Employee Relations) - кейси етики/поведінки, заходи підтримки. (R)

Internal Audit (IA) - незалежний контроль якості розслідувань і CAPA. (C)

Security/Trust & Safety - технічні/фрод кейси, збір цифрових артефактів. (R)

Exec Sponsor (CEO/COO) - «tone from the top», ресурси, ескалації S1. (I/A)

4) Канали прийому повідомлень

1. Веб-форма (рекомендований основний): підтримка анонімності; захищене листування по токену/піну.
2. Електронна пошта: виділений ящик з авто-шифруванням, автоквітанцією без розкриття змісту.
3. Гаряча лінія/телефон: запис в систему з маскуванням даних.
4. Чат-бот в корпоративному месенджері: не для анонімних (або з проксі-механізмом).
5. Поштова адреса/фізична скринька: для офлайн-повідомлень (сканування і завантаження в Систему).
6. Прямий контакт з WBO/IA: особиста зустріч - за бажанням інформатора.

Вимоги до каналів: TLS end-to-end, зберігання в зашифрованому сховищі, RBAC, журнали доступу незмінні, відсутність трекінгу IP/пристроїв в анонімній формі, прозора політика cookie/логів.

5) Захист даних та правові підстави

Lawful basis: виконання юридичних обов'язків, законні інтереси компанії, суспільний інтерес (залежно від юрисдикції).
DPIA: до запуску - оцінка впливу на приватність; фіксація ризиків і заходів зниження.
Класифікація даних: персональні, чутливі (здоров'я, етнічність тощо), комерційна таємниця, артефакти розслідувань.
Мінімізація: не збирати зайве; видаляти невідповідні документи.
Транскордонні передачі: тільки за наявності правових підстав і договірних гарантій.
Права суб'єктів даних: DSAR обробляються DPO; виняток: не розкривати особу інформатора і дані, що ставлять під загрозу розслідування/третіх осіб.
Ретенція: повідомлення та артефакти - зазвичай 5 років або за політикою/законом/ліцензією; потім безпечне видалення (crypto-shred/логічне стирання з журналом).

6) Безпека і технічні заходи

Шифрування: at-rest (KMS/HSM), in-transit (TLS), ключі - з ротацією і розмежуванням.
Доступ: RBAC/ABAC, принцип найменших привілеїв, окремі домени для анонімних кейсів.
Журнали: незмінні (WORM), моніторинг незвичайних доступів, алерти.
Сегментація: система повідомлень ізольована від прод-систем; окремі бекапи з перевіркою відновлення.
Метадані: маскування, видалення EXIF з вкладень, попередження інформатора про автоматичну де-ідентифікацію.
Секретні канали зв'язку: захищена поштова скринька/веб-пошта для двостороннього анонімного листування.

7) Класифікація кейсів і пріоритети

S1 (Критично): корупція/хабарі, великий фрод, витік PII/PCI, загрози життю/безпеці, серйозні порушення ліцензій/законів.
S2 (Високий): системні порушення політики (AML/RG/GDPR/ІБ), серйозні конфлікти інтересів, дискримінація/домагання.
S3 (Середній): локальні порушення процедур, помилки в рекламі/афіліатах, разові порушення поведінки.
S4 (низький): пропозиції щодо поліпшень, низькоризикові інциденти.

• Квитанція про прийом: S1/S2 - ≤ 24 год; S3/S4 - ≤ 3 р.дн.
• Первинна оцінка (triage): S1 - ≤ 48 год; S2 - ≤ 5 р.дн.; S3/S4 - ≤ 10 р.дн.
• План розслідування: S1 - ≤ 3 р.дн.; S2 - ≤ 10 р.дн.

8) Процес від повідомлення до закриття

Крок 1 - Прийом та квитанція. Присвоєння ID, фіксація каналу, збереження доказів «як є».
Крок 2 - Тріаж і незалежність. Перевірка на конфлікт інтересів у призначуваних осіб; при конфлікті - перерозподіл.
Крок 3 - Оцінка ризику і план. Обсяг, гіпотези, законність методів, список артефактів, дорожня карта.
Крок 4 - Збір доказів. Документи, логи, інтерв'ю, вибірки транзакцій; дотримання chain-of-custody.
Крок 5 - Аналіз і висновки. Факт → критерій (політика/закон/ліцензія) → ризик → вплив.
Крок 6 - Рекомендації та CAPA. Коригувальні/попереджувальні дії, власники, терміни, метрики успіху.
Крок 7 - Комунікації і зворотний зв'язок. Без розкриття особистості інформатора; акуратна мова (без звинувачень до фіналу).
Крок 8 - Закриття і ретенція. Фінальний звіт, статус, зберігання артефактів, випуск знеособленої статистики.

9) Комунікації та захист інформатора

Ніякого tipping-off. Не розкривати передбачуваним порушникам факт повідомлення/розслідування.
Захист від репресій. Заборонені зниження, звільнення, позбавлення бонусів, цькування і т.п. Відповідні заходи розглядаються як окреме S1/S2-порушення.
Підтримка: при необхідності - перенесення в іншу команду, відпустка, консультації HR/юристів/психологічна підтримка.
Двосторонній анонімний зв'язок: інформатор може задавати питання і отримувати статус через веб-інбокс/токен.

10) Взаємозв'язок з іншими політиками

Кодекс етики і поведінки - стандарти і канали.
Антикорупційна політика - due diligence, подарунки, посередники.
GDPR/PII - законність обробки, DSAR, ретенція.
AML/RG/PCI/ІБ - профільні процедури і тріаж.
Внутрішній аудит - незалежний контроль якості розслідувань.

11) Чек-листи

11. 1 Перед запуском каналу

• DPIA і політика приватності затверджені DPO/Legal.
• Технічна архітектура: шифрування, RBAC, журнали WORM.
• Налаштовані анонімна веб-форма і двосторонній зв'язок по токену.
• Навчання WBO/тріаж-команди з методології розслідувань.
• Підготовлені шаблони (квитанція, план розслідування, звіт, лист про закриття).
• Комунікаційна кампанія: «tone from the top», постери, інтранет, FAQ.

11. 2 Прийом повідомлення

• Присвоєно ID, записані дата/канал/S-рівень.
• Підтвердження інформатору відправлено без розкриття деталей.
• Проведена перевірка конфлікту інтересів у виконавців.
• Зафіксовані всі вкладення/метадані, виконана де-ідентифікація.

11. 3 Розслідування

• План і гіпотези затверджені (Legal/DPO/InfoSec - за потребою).
• Chain-of-custody ведеться для кожного артефакту.
• Інтерв'ю протоколюються; попередження про конфіденційність.
• Висновки засновані на фактах, що верифікуються, peer-review проведено.

11. 4 Закриття

• CAPA призначені, терміни і метрики визначені.
• Інформатор (можливість) отримав знеособлений зворотний зв'язок.
• Ретенція/класифікація встановлені; артефакти поміщені в архів.
• Статистика оновлена на дашборді.

12) Шаблони документів (швидкі вставки)

A) Квитанція інформатору

B) План розслідування (one-pager)

Кейс: WB-XXXX Пріоритет: S1/S2/S3/S4 Власник: … Терміни: …

Гіпотези/критерії: …

Дані/артефакти: …

Інтерв'ю: список/графік

Ризики приватності/юридичні обмеження: …

Комунікації та точки контролю: …

C) Підсумковий звіт (структура)

Резюме Факти Критерії (політика/закон) Аналіз Висновки Рекомендації CAPA Додатки (артефакти).

D) Лист про закриття

13) Метрики і дашборд

Intake Volume: кількість повідомлень по категоріях і каналах.
Time-to-Acknowledge / Time-to-Triage / Time-to-Decision.
SLA дотримання по S-рівнях.
CAPA Progress: виконано/в роботі/прострочено, медіана закриття.
Retaliation Index: зареєстровані скарги на заходи у відповідь (мета - 0).
Anonymity Rate: частка анонімних повідомлень та їх конверсія в підтверджені кейси.
Repeat Findings: повторюваність тем за 12 міс.
Awareness Impact: зростання звернень після кампаній; NPS довіри каналу.

14) Ризики та заходи контролю

→ де-ідентифікація, видалення EXIF, явні попередження.
Витоки доступу до кейс. → RBAC, сегментація, журнали WORM, регулярні ревізії доступу.
Вигадані повідомлення/зловживання → ввічливий фільтр і перевірка фактів; санкції за завідомо неправдиві заяви (без ефекту залякування).
Конфлікт інтересів у розслідуванні → ротація виконавців, участь IA/Legal.
Репресії → окремий потік скарг; швидкий відгук HR/Compliance.

15) Навчання та обізнаність

Онбординг: модуль про канал, анонімність і захист даних (тест ≥ 85%).
Щорічна переатестація для всіх; додаткові тренінги для WBO/розслідувачів.
Щоквартальні кампанії (плакати/бот-квізи/відео): як подати, що очікується, приклади.

16) 30-денний план впровадження

Тиждень 1

1. Призначити WBO і робочу групу (Compliance/Legal/DPO/InfoSec/HR/IA).
2. Провести DPIA, затвердити політику приватності та ретенції.
3. Специфікувати канали (веб-форма/пошта/лінія), вимоги до анонімності та логів.

Тиждень 2

4. Реалізувати технічну платформу: шифрування, RBAC, журнали WORM, анонімний веб-інбокс.
5. Підготувати шаблони та SOP: квитанція, план, звіт, лист про закриття, CAPA.
6. Навчити WBO/тріаж-команду; прописати RACI і SLA.

Тиждень 3

7. Пілот: 1-2 тестових кейси (table-top), перевірка ланцюжка доказів і ретенцій.
8. Налаштувати дашборд метрик і звітність для менеджменту/комітету.
9. Комунікації: лист CEO, сторінка в інтранеті, FAQ, плакати.

Тиждень 4

10. Запуск каналу; моніторинг SLA/навантаження; Гаряча підтримка.
11. Щотижневі огляди кейсів S1/S2 і CAPA-статусів.
12. Ретро і коригування v1. 1 (політика, форми, навчання).

17) Пов'язані розділи

Кодекс етики та поведінки

Антикорупційна політика

AML-тренінги та навчання співробітників/Обізнаність персоналу про комплаєнс

Інцидентні плейбуки та сценарії

Дашборд комплаєнсу та моніторинг

Внутрішній аудит і зовнішній аудит

Повідомлення про порушення та терміни звітності

Регуляторні звіти та формати даних