Dobre Praktyki Rynku Finansowego

Brak tolerancji dla mobbingu czy dyskryminacji

[GRI 103-1, 103-2, 103-3 Aspekt: Przeciwdziałanie dyskryminacji]

W żadnej ze spółek w Grupie KRUK nie ma miejsca na jakiekolwiek przejawy dyskryminacji lub mobbingu. W 2021 roku nie zgłoszono żadnego przypadku dyskryminacji. Każdy pracownik jest zobligowany do udziału w specjalnym szkoleniu antymobbingowym. Wszyscy znają też procedurę zgłaszania ewentualnych przypadków mobbingu lub dyskryminacji, opisaną szczegółowo w Wewnętrznej Polityce Mediacyjnej. Zapewniamy przyjmowanie zgłoszeń w sposób anonimowy i gwarantujący poufność przekazanych informacji poprzez specjalny formularz "Zgłoś nadużycie" dostępny na stronie www.kruksa.pl. Formularz umożliwia poinformowanie bezpośrednio członka Rady Nadzorczej, członka Zarządu lub Departament Bezpieczeństwa i Zarządzania Ryzykiem Operacyjnym o nieprawidłowościach czy ich podejrzeniu. Każdy, kto w dobrej wierze wysłał zgłoszenie, otrzymuje status Sygnalisty korporacyjnego i zostaje objęty ochroną przed jakimikolwiek działaniami odwetowymi, dyskryminacją czy naruszeniem zasady równego traktowania. Otrzymany sygnał każdorazowo skutkuje wszczęciem postępowania wyjaśniającego w nieprzekraczalnym terminie pięciu dni roboczych. Uzupełnieniem systemu jest dodatkowy anonimowy sposób zgłaszania naruszeń prawa bezpośrednio do Zarządów poszczególnych spółek, a w przypadku podejrzeń naruszeń dokonanych przez Zarząd – do Rady Nadzorczej.

Naszym priorytetem jest budowanie etycznego i stabilnego środowiska dla naszych pracowników, klientów, akcjonariuszy, partnerów biznesowych i innych interesariuszy i działanie w zgodzie z normami prawnymi, społecznymi i etycznymi.

W 2022 roku Grupa KRUK zatwierdziła Kodeks Etyczny, który został przyjęty uchwałą Zarządu i wszedł w życie w styczniu 2023 roku. Kodeks zawiera zasady i standardy odpowiedzialnego działania, zachowania i podejmowania decyzji obowiązujące we wszystkich spółkach Grupy. Dokument dostarcza również wyjaśnień i wskazówek dotyczących m.in. tych kwestii, które mogą powodować dylematy etyczne. Podjęcie dobrej decyzji może być złożonym procesem, dlatego też, mając to na uwadze, zdefiniowaliśmy ramy działania odnoszące się do sytuacji wymagających wytycznych korporacyjnych.

Przeciwdziałanie korupcji

[GRI 103-1, 103-2, 103-3 Aspekt: Przeciwdziałanie korupcji i polityka publiczna] [GRI 205-3]

W Grupie KRUK wdrożona została Polityka Przeciwdziałania Nadużyciom oraz Instrukcja postępowania w przypadku wystąpienia incydentu korupcyjnego lub jego podejrzenia. Celem Polityki jest przeciwdziałanie nadużyciom, w tym przejawom korupcji i wykorzystywania powierzonej władzy w celu osiągnięcia prywatnych korzyści. Instrukcja precyzuje zasady postępowania w przypadku wystąpienia incydentu korupcyjnego lub jego podejrzenia, a także opisuje ścieżkę zgłaszania sytuacji o znamionach korupcji oraz ich rozpatrywania. W 2021 roku w Grupie KRUK nie odnotowano potwierdzonego przypadku korupcji.

W Spółce funkcjonuje system nadzoru zgodności działalności z przepisami prawa (compliance), a za zarządzanie ryzykiem compliance odpowiada specjalnie wydzielona w strukturze jednostka – Compliance Area. Stosowane procedury i przyjęte rozwiązania zapewniają zgodność działań z normami wewnętrznymi i zewnętrznymi oraz umożliwiają zarządzanie ryzykiem compliance. Proces compliance jest elementem środowiska biznesowego, który dostarcza pracownikom i kadrze zarządzającej wytyczne, które włączają kulturę zgodności w codzienne działanie całej organizacji poprzez: podnoszenie świadomości na temat ryzyka compliance; organizowanie i monitorowanie szkoleń z zakresu compliance; określenie i egzekwowanie przestrzegania standardów postępowania; opracowanie i usprawnianie komunikacji w kwestiach compliance.

Izabela Wojtera Head of Compliance Area

Wpływ obszaru ochrony danych osobowych na zrównoważony rozwój firmy:

W branży finansowej ochrona danych osobowych jest jednym z kluczowych elementów, niezbędnym dla prowadzenia stabilnej i odpowiedzialnej działalności. Poprzez nasze działania w obszarze ochrony danych osobowych zapewniamy, że nasze relacje z klientami oparte są na respektowaniu zasad prywatności, zwiększamy zaufanie do rynku wierzytelności i przyczyniamy się do budowania większej świadomości społecznej na ten temat.

Rozumiemy przy tym, że naszą powinnością jest dbanie nie tylko o interesy Grupy KRUK, ale również osób fizycznych, których dane przetwarzamy.

W Grupie KRUK wdrożyliśmy Strategię GDPR, będąca częścią Strategii ESG na lata 2023-2027. Strategia RODO definiuje pięć celów na lata 2023-2027:

1. Wzmocnienie zasady prywatności w fazie projektowania i prywatności w ustawieniach domyślnych, w szczególności w zakresie projektów związanych z nowymi technologiami i digitalizacją, tak by ochrona prywatności była trwale wbudowana w procesy i systemy funkcjonujące w naszej organizacji
2. Zwiększenie zaangażowania Grupy KRUK w dialog z zewnętrznymi organizacjami branżowymi i organami w celu kształtowania i promowania wysokich standardów w zakresie przestrzegania z RODO oraz praw i wolności podmiotów danych.
3. Promowanie kultury prywatności i ochrony danych w Grupie KRUK, poprzez realizację szkoleń i innych działań zwiększających świadomość ochrony prywatności.
4. Skuteczne zapewnienie realizacja programu ochrony prywatności danych, realizowanego min. poprzez spójne uregulowanie w politykach i instrukcjach poszczególnych obszarów zarządzania ryzykiem przetwarzania danych osobowych, zarówno na poziomie grupowym jak i lokalnym
5. Stałe doskonalenie przyjętego w Grupie KRUK podejścia opartego na ryzyku (risk based approach), w szczególności w zakresie zarządzania ryzykiem braku zgodności z RODO (GDPR Compliance) jaki i zarządzania ryzykiem naruszenia dla praw i wolności osób, których dane przetwarzamy.

W ramach pięciu celów strategii RODO na lata 2023-2027 wypracowaliśmy wskaźniki ich rewizji, co zapewni mierzalność jej realizacji.

W Grupie KRUK wdrożyliśmy także Program Ochrony Prywatności, który obejmuje polityki, instrukcje, wzorce umowy i inne regulacje wewnętrzne, w tym przede wszystkim Politykę Zarządzania Danymi Osobowymi, której celem jest zapewnienie skutecznej ochrony praw lub wolności osób fizycznych poprzez sformalizowanie zasad i procedury, dotyczących przetwarzania danych osobowych i zapewniających gwarancje wdrożenia odpowiednich środków technicznych i organizacyjnych.  

Ponadto w zakresie dotyczącym ochrony danych osobowych wdrożyliśmy regulacje dotyczące min.:

• zarządzania ryzykiem przetwarzania osobowych;
• powierzenia przetwarzania danych osobowych i relacji z procesorami,
• incydentów z zakresu przetwarzania danych osobowych, w tym incydentów IT;
• postępowania w przypadku naruszenia bezpieczeństwa danych osobowych;
• metodologii przeprowadzania audytów z zakresu RODO;
• wypełniana obowiązków informacyjnych

Oraz wiele innych szczegółowo regulujących zasady przetwarzania danych osobowych w poszczególnych obszarach działania Grupy KRUK

Realizując przyjętą strategię w obszarze ochrony danych osobowych i stosując wdrożony system zarządzania ryzykiem, kierujemy się obowiązkami prawnymi, wytycznymi regulatorów oraz zasadami etycznymi, a także bierzemy pod uwagę skalę i złożoność prowadzonych przez nas operacji. Dążymy tym samym do ochrony danych osobowych naszych klientów i innych osób, których dane przetwarzamy, przed negatywnymi konsekwencjami naruszenia bezpieczeństwa ich danych, oraz chronimy Grupę KRUK przed stratami i przestojami operacyjnymi,  ograniczamy ryzyko reputacyjne oraz ryzyko kar finansowych. Prawo do prywatności, stanowi jedno z podstawowych praw podstawowych człowieka, dlatego naszym priorytetem jest by jego poszanowanie trwale wpisywało się w DNA naszej organizacji.

Wierzymy, że działania podejmowane przez nas w tym zakresie w wymierny sposób przyczyniają się do zwiększania zaufania klientów Grupy, jej partnerów biznesowych, pracowników i akcjonariuszy oraz tworzenia zrównoważonych produktów i usług w branży zarządzania wierzytelnościami.

Strategia ESG Grupy KRUK zakłada kontynuację budowania wielowarstwowego modelu obrony cyberbezpieczeństwa w kontekście rozwiązań globalnych i lokalnych. Grupa traktuje bezpieczeństwo informatyczne jako jeden z najważniejszych obszarów z uwagi na jego fundamentalne znaczenie dla klientów, pracowników oraz partnerów biznesowych.

Model zrządzania bezpieczeństwem informacji, w tym cyberbezpieczeństwem, został zaadresowany w Polityce Bezpieczeństwa Informacji, której zadaniem jest zapewnienie poufności, integralności oraz dostępności informacji. Za cel nadrzędny Polityka stawia sobie ustanowienie formalnej podstawy do  podejmowania wszelkich działań zmierzających do zapewnienia wysokiego poziomu bezpieczeństwa informacji, zapewniając w ten sposób odpowiedni priorytet oraz skuteczność tych działań. W Grupie funkcjonuje także Komitet Monitorowania Ryzyka.

Grupa KRUK nieustannie podejmuje działania edukacyjne pracowników w zakresie cyberbezpieczeństwa. Nowozatrudnione osoby zobowiązane są do obligatoryjnych kursów w zakresie zapewniania bezpieczeństwa informacji, w tym cyberbezpieczeństwa. W przeciągu roku wykonywano regularne kontrolowane ataki phishingowe, których celem było sprawdzenie w praktyce czy pracownicy stosują wiedze nabytą podczas szkoleń.

Zgodnie z założeniami strategicznymi 90% pracowników do 2026 roku przejdzie dodatkowe szkolenia i kursy online z zakresu cyberbezpieczeństwa oraz utrzymane zostanie zaangażowanie na poziomie 80% w ramach istniejącego programu edukacyjnego.