zamknąć

Mapa nawigacji

Pobierz nasze dobre praktyki
Interaktywna nawigacja to narzędzie wykraczające poza standardową nawigację zintegrowanych treści (dostępną w górnej belce raportu). Nowe podejście pozwalana na poruszanie się w dwóch dodatkowych wymiarach biznesu Grupy PZU, tj.:
  • strategii (ubezpieczenia, zdrowie, inwestycje, finanse);
  • zrównoważonego rozwoju (sprzedaż, pracownicy, zaangażowanie społeczne, środowisko naturalne i etyka).
Wyżej wymienione obszary zostały dodatkowo uzupełnione o powiązane wskaźniki GRI, w ramach każdego wybranego zagadnienia.
Grupa PZU

Lista GRI

Lista GRI

Facebook Twitter All
Ubezpieczenia
Zdrowie
Inwestycje
Bankowość
Najlepsze Praktyki
Polityka
Covid-19
Zintegrowana Nawigacja
Narzędzia strony:
[GRI 102-15]

Kluczowe ryzyka niefinansowe

Z punktu widzenia wpływu na kwestie społeczne, pracownicze, środowiskowe, poszanowania praw człowieka oraz przeciwdziałania korupcji szczególne znaczenie ma ryzyko braku zgodności, a także niektóre ryzyka operacyjne. Dlatego, Grupa PZU wdrożyła system zarządzania ryzykiem operacyjnym, w ramach którego przeciwdziała występowaniu incydentów ryzyka operacyjnego oraz ogranicza straty operacyjne. Zasady i struktura zarządzania ryzykiem operacyjnym w PZU opierają się na przyjętej polityce zarządzania ryzykiem operacyjnym. Ryzyko operacyjne kontrolowane jest na wielu poziomach organizacji. Nadzór nad systemem zarządzania ryzykiem operacyjnym sprawuje niezależna, przeznaczona do tego jednostka w strukturze Biura Ryzyka.

Podstawowym narzędziem służącym do monitorowania ryzyka operacyjnego jest system kluczowych wskaźników ryzyka obejmujący obszary o szczególnej ekspozycji na ryzyko operacyjne. Wskaźniki poddawane są cyklicznym przeglądom – co najmniej raz do roku.

W ramach ryzyka braku zgodności oraz ryzyka operacyjnego uwzględniane są kwestie pracownicze, środowiskowe, społeczne, etyczne, w tym z zakresu kontaktów z klientami oraz z zakresu przeciwdziałania korupcji. Szczegółowe odniesienia do tych ryzyk i sposobu ich mitygacji zostały opisane w następujących częściach raportu:

Ład korporacyjny
Ryzyko Szczegółowe informacje
Ryzyko korupcji Kluczowe ryzyka niefinansowe/Przeciwdziałanie korupcji
Ryzyko związane z wystąpieniem przestępczości ubezpieczeniowej i fraudów Kluczowe ryzyka niefinansowe/Przeciwdziałanie przestępczości oraz przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu




Środowisko
Ryzyko Szczegółowe informacje
Ryzyka klimatyczne związane z transformacją portfela ubezpieczeniowego Oferta produktowa odpowiedzią na wyzwania klimatyczne
Ryzyko fizyczne zanieczyszczeń środowiska naturalnego i klęsk żywiołowych wynikających ze zmian klimatu Oferta produktowa odpowiedzią na wyzwania kliamtyczne/Adaptacja do zmian klimatycznych i przeciwdziałanie ryzykom środowiskowym: lepsze zrozumienie czynników ryzyka
Ryzyko reputacyjne i braku zgodności w związku z bezpośrednim wpływem na środowisko Bezpośredni wpływ na środowisko




Społeczna odpowiedzialność
Ryzyko Szczegółowe informacje
Ryzyko związane z trudnością pozyskania wykwalifikowanej kadry pracowników Pracodawca pierwszego wyboru
Ryzyko przekroczenia budżetu osobowego Pracodawca pierwszego wyboru/Warunki pracy i wynagrodzenie
Ryzyko nierespektowania praw pracowniczych poprzez nierówne traktowanie pracowników, stosowanie dyskryminacji pracowników, a także wystąpienie przypadków mobbingu i dyskryminacji Pracodawca pierwszego wyboru/Włączająca kultura organizacyjna
Ryzyko niezapewnienia bezpiecznego i higienicznego środowiska pracy Pracodawcapierwszego wyboru/Bezpieczeństwo i higiena pracy w dobie COVID-19
Ryzyko związane z brakiem efektywnego dialogu ze związkami zawodowymi (spór zbiorowy) Pracodawca pierwszego wyboru/Dialog ze związkami zawodowymi
Ryzyko związane z szybko zmieniającymi się regulacjami oraz koniecznością aktualizacji wiedzy o obowiązujących przepisach i obligatoryjnych metodach działania i zasadach organizacji pracy Szkolenia i rozwój pracowników
Ryzyko dotyczące ujawnienia danych osobowych i danych objętych tajemnicą ubezpieczeniową osobom nieuprawnionym Kluczowe ryzyka niefinansowe/Bezpieczeństwo informacji
Ryzyko związane z nieuczciwym informowaniem klientów o ofertach Grupy PZU poprzez proponowanie klientom nabycia produktów, które nie odpowiadają ich potrzebom lub w sposób nieadekwatny do ich charakteru Odpowiedzialna sprzedaż/Zrozumiałe produkty
Ryzyko braku zgodności z przepisami powszechnie obowiązującego prawa oraz wytycznymi organów państwowych, a także z ryzyko reputacyjne Odpowiedzialna sprzedaż/Etyka reklamy
Ryzyko związane z niedostępnością pracowników w związku z zakażeniem COVID-19 Zaangażowanie społeczne Grupy PZU/COVID-19

Bezpieczeństwo informacji

Chronimy dane osobowe: -„Dane osobowe wszystkich osób – w szczególności dane klientów, pracowników, kontrahentów i użytkowników naszych stron internetowych – podlegają ścisłej ochronie. Dotyczy to wszystkich danych, które umożliwiają identyfikację osoby. Przepisy prawa o ochronie danych osobowych dotyczą każdego stanowiska pracy i wszystkich systemów informatycznych, z których korzystają pracownicy. Dostęp do takich danych otrzymują wyłącznie osoby, którym jest on niezbędny ze względu na wykonywaną pracę.”
„Jednym z priorytetów, jakie stawiamy sobie w Grupie PZU jest zapewnienie bezpieczeństwa informacji, w szczególności poufności danych osobowych, które przetwarzamy. Aby sprostać temu wyzwaniu, stosujemy najwyższe standardy bezpieczeństwa systemów informatycznych, dbamy o podnoszenie świadomości pracowników z tego zakresu oraz dostosowujemy się do szybko zmieniającego się otoczenia. Zabezpieczenie powierzonych nam informacji to obowiązek wobec Klientów, którzy każdego dnia obdarzają nas zaufaniem, wybierając Grupę PZU jako swojego usługodawcę.”
Rafał Jeż, Dyrektora Biura Bezpieczeństwa, PZU i PZU Życie

Ryzyko obszaru: ryzyko dotyczące ujawnienia danych osobowych i danych objętych tajemnicą ubezpieczeniową osobom nieuprawnionym.

Podejścia do zarządzania: w PZU i PZU Życie zostały wdrożone zasady identyfikacji klienta oraz udzielania informacji w zależności od wniosków klienta. Ponadto dostęp do danych osobowych oraz informacji objętych tajemnicą ubezpieczeniową nadawany jest tylko upoważnionym osobom za pośrednictwem Centralnego Systemu Zarządzania Bezpieczeństwem Informacji (CSZBI). Dodatkowo w PZU został wdrożony system monitorujący klasy DLP, w którym zaimplementowano odpowiednie reguły minimalizujące ryzyko ujawnienia informacji, w tym danych osobowych, osobom nieuprawnionym. Spółki cyklicznie wdrażają procedury oraz zabezpieczenia w elektronicznych kanałach komunikacji z klientem, minimalizujące ryzyko ujawnienia informacji prawnie chronionych.

Kluczowe regulacje: Polityka Bezpieczeństwa

Funkcjonowanie w globalnej sieci wiąże się z wieloma zagrożeniami, aby sprostać zmieniającym się wyzwaniom wzmacniane są podstawowe jednostki odpowiedzialne za funkcjonowanie bezpieczeństwa informatycznego Grupy. W 2022 roku planowane jest produkcyjne wdrożenie oraz rozbudowa rozwiązań adresujących potrzebę obrony przed nowymi zagrożeniami, analizy incydentów, zarządzania tożsamością. Jednym z kluczowych elementów strategii w zakresie wzmacniania bezpieczeństwa informatycznego PZU jest też wprowadzanie i doskonalenie w 2022 roku procesu proaktywnego poszukiwania potencjalnych zagrożeń i modelowanie ich mitygacji. W 2022 roku kontynuowane będą również działania edukacyjne dla pracowników i agentów PZU – w tym ćwiczenia w rozpoznawaniu phishingu.

[GRI 102-15] [GRI 103-1] [GRI 103-3]

„Polityka bezpieczeństwa PZU SA i PZU Życie SA”

Głównym dokumentem, który reguluje kwestie bezpieczeństwa informacji chronionych w PZU i PZU Życie, w tym danych osobowych, bezpieczeństwa fizycznego, bezpieczeństwa systemów IT i ciągłości działania jest Polityka Bezpieczeństwa. Odnosi się ona również do obszaru przeciwdziałania przestępczości ubezpieczeniowej oraz prania pieniędzy i finansowania terroryzmu, a także bezpieczeństwa i higieny pracy.

„Procedura bezpieczeństwa w obszarze bezpieczeństwa informacji w PZU SA i PZU Życie SA”

Działania zgodnie z Procedurą w obszarze bezpieczeństwa informacji mają na celu m.in. zapewnienie ochrony każdej informacji zgodnie z odpowiednim poziomem bezpieczeństwa, zapewnienie kontroli dostępu do informacji, integralności i dostępności informacji oraz przeciwdziałanie kradzieży i nieautoryzowanemu wypływowi informacji. Dokument określa zasady ochrony i udostępniania informacji prawnie chronionych oraz zarządzanie ryzykiem bezpieczeństwa.

[GRI 103-2]

System zarządzania cyberbezpieczeństwem

Bezpieczeństwo informatyczne stanowi jedno z ważniejszych wyzwań świata nowych technologii. Strategizacja priorytetów w tym zakresie w Grupie PZU stara się odpowiedzieć na nowe zagrożenia zarówno w zakresie organizacyjnym i technologicznym. We wszystkich spółkach Grupy funkcjonują odpowiednie polityki, procedury i szczegółowe wymagania mające na celu zapewnienie odpowiedniego poziomu ochrony informacji oraz danych klientów. W PZU i PZU Życie funkcjonuje i stale jest rozwijany kompleksowy i wielowarstwowy system ochrony przeciw zagrożeniom cyberbezpieczeństwa – pozyskiwane są nowe narzędzia i kompetencje.

System zarządzania cyberbezpieczeństwem w PZU SA i PZU Życie jest zgodny z wymaganiami normy ISO 27001, uznawanym i rozpoznawalny na całym świecie najwyższym standardem Systemu Zarządzania Bezpieczeństwem Informacji.

W 2021 roku udało się powstrzymać:

                             

Dodatkowo:

                            

Testy bezpieczeństwa

Wdrażanie i sprzedaż produktów oraz dostosowywanie oferty do zmieniających się potrzeb klientów stanowi ogromne wyzwanie dla systemów informatycznych Grupy. Aby zmiany przebiegały płynnie i nie zakłócały obsługi klientów, w organizacji wypracowano powtarzalną procedurę informatyczną zakładającą szeroki wybór testów i sposobów weryfikacji. Procedura gwarantuje wczesne wykrywanie zagrożeń i ewentualnych problemów oraz odpowiednie zarządzanie nimi.

W Grupie przeprowadzane są testy oceny podatności systemów firmy. Wykrywanie podatności w infrastrukturze jest procesem ciągłym i zautomatyzowanym z wykorzystaniem dedykowanych rozwiązań Vulnerability Assessment. Przeprowadzane testy bezpieczeństwa są częścią procesów zarządzania zmianą, wydaniami i projektami.

Szkolenia z zakresu bezpieczeństwa

Bezpieczeństwo informacji i cyberbezpieczeństwo to nie tylko sprawne systemy i odpowiednie procedury. Nie mniej ważna jest świadomość zagrożeń i znajomość zasad wśród pracowników i współpracowników. Dlatego nowo zatrudnione osoby biorą udział w szkoleniach wdrożeniowych, podczas których poznają zasady bezpieczeństwa, a następnie przechodzą obowiązkowe szkolenie e-learningowe. Na bieżąco prowadzone są też szkolenia odświeżające oraz wewnętrzne kampanie informacyjne z zakresu bezpieczeństwa informacji, ochrony danych osobowych i cyberbezpieczeństwa. Najczęściej te zagadnienia są poruszane wspólnie, gdyż nawzajem się uzupełniają. W 2021 roku dla pracowników różnych jednostek i agentów przeprowadzono dedykowane szkolenia odświeżające z tej tematyki, głównie w formie webinarów. Ich uczestnikami byli m.in. pracownicy oddziałów, agenci wyłączni oraz centra operacji i obsługi szkód i świadczeń (tj. w szczególności osoby zajmujące się przetwarzaniem danych osobowych). W czerwcu 2021 roku zorganizowano wewnętrzną kampanię informacyjną pt. „Cyberzagrożenia przybierają różny kolor”. Cyberbezpieczeństwo było również jednym z zagadnień jesiennej kampanii „Dbamy o superbezpieczeństwo”. W ramach nich, oprócz publikacji przydatnych artykułów i porad, odbyły się spotkania on-line z ekspertami zewnętrznymi na temat cyberbezpieczeństwa, podczas których m.in. były analizowane przykłady zagrożeń i najczęstszych ataków.

W 2021 roku kontynuowano szkolenia pracowników przy pomocy uruchomionej w 2018 roku platformy szkoleniowej GoPhish. W ten sposób podejmowane są działania mające na celu podnoszenie świadomości pracowników w obszarze zagrożeń płynących m.in. z wiadomości zawierających złośliwe elementy oraz nakłaniających do otwarcia podejrzanych stron i załączników.

DOBRA PRAKTYKA

W 2021 roku przeprowadzono jedną kampanię szkoleniową GoPhish polegającą na tym, że pracownikom, którzy nieopatrznie otworzyli link ze spreparowanych wiadomości, wyświetlał się film szkoleniowy Biura Bezpieczeństwa z informacją, jak unikać takich zagrożeń w przyszłości. W porównaniu do roku poprzedniego, widać, że ilość pochopnych kliknięć w link spadła o około połowę. Jednocześnie o wiele więcej osób reaguje we właściwy sposób – aż 23% adresatów zgłosiło podejrzaną wiadomość (w porównaniu do 0,2% w 2018 roku, kiedy rozpoczęto te działania). Pomimo zaobserwowanego znacznego wzrostu świadomości, nadal istnieje konieczność ciągłego prowadzenia kampanii antyphishingowych. Dodatkowo od 2020 roku funkcjonuje szkolenie e-learningowe Phishing quiz, dzięki któremu można poznać, jak odróżnić bezpieczne wiadomości od niebezpiecznych. Obowiązkowo szkolenie to muszą wykonać osoby, które kliknęły w linki z fałszywych e-maili.

                                             

Procedury bezpieczeństwa w spółkach zależnych

W spółkach PZU oraz Grupy Pekao, a także we wszystkich spółkach zagranicznych wdrożono procedury zarządzania bezpieczeństwem procesów informatycznych.

W Grupie PZU Zdrowie w tym obszarze zaimplementowano pakiet regulacji dotyczący przetwarzania danych osobowych, w tym polityki bezpieczeństwa zawierające wymagania dla procesów IT. Z kolei w PTE PZU przyjęto do stosowania wytyczne dotyczące zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w powszechnych towarzystwach emerytalnych wydane przez KNF.

W Banku Pekao w celu zagwarantowania kompleksowych działań w obszarze ochrony danych osobowych wdrożono szereg regulacji wewnętrznych odnoszących się do poszczególnych obszarów funkcjonowania banku są to m.in. „Polityka Bezpieczeństwa Informacji wraz z Dokumentami Polityki Bezpieczeństwa Informacji”, „Polityka bezpieczeństwa aplikacji w Banku Polska Kasa Opieki Spółka Akcyjna”, „Procedura rozpatrywania żądań osób, których dane dotyczą na gruncie RODO przez Bank Polska Kasa Opieki Spółka Akcyjna”, „Procedura zarządzania naruszeniami ochrony danych osobowych w Banku Pekao S.A.”, a także regulacja „Ochrona informacji elektronicznej w Banku Polska Kasa Opieki S.A.”

Restrykcyjne procedury bezpieczeństwa zapewniające poufność, integralność oraz dostępność przetwarzanych informacji obowiązują również w całej Grupie Kapitałowej Alior Banku. Funkcjonująca Polityka Bezpieczeństwa oraz wszystkie procedury w tym obszarze są na bieżąco aktualizowane w odpowiedzi na zmieniające się uwarunkowania rynku w zakresie cyberbezpieczeństwa, a także nowe wymagania i wytyczne regulatorów. Alior Bank jako operator usługi kluczowej, w myśl Ustawy o Krajowym Systemie Cyberbezpieczeństwa (implementującej wymagania europejskiej dyrektywy NIST), spełnia wysokie wymagania w zakresie cyberbezpieczeństwa wynikające z przepisów prawa oraz rekomendacji KNF. W 2021 roku wszystkie kluczowe systemy informatyczne Alior Banku przetwarzające dane klientów oraz uczestniczące w procesach realizacji transakcji finansowych zostały poddane dogłębnym testom bezpieczeństwa. Poza tym w 2021 roku rozbudowano systemy monitorujące i chroniące środki finansowe klientów w bankowości elektronicznej (np. FDS – ang. Fraud Detection System oraz Tarcza Malware - autorskie rozwiązanie opracowane przez ekspertów banku zajmujących się cyberbezpieczeństwem).

RODO

Grupa PZU zapewnia bezpieczeństwo przetwarzanych informacji i ochronę danych osobowych swoich klientów. Rozumie złożoność obowiązków wynikających z rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 roku w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (RODO) i dba o zgodność wszystkich swoich procesów z regulacjami tego rozporządzenia oraz przepisami krajowymi w tym obszarze. Równie dojrzałego podejścia Grupa PZU wymaga od swoich kontrahentów.

Za obszar bezpieczeństwa w PZU i PZU Życie odpowiedzialny jest Dyrektor Biura Bezpieczeństwa, który bezpośrednio podlega członkowi Zarządu. Ponadto w PZU i PZU Życie powołano Inspektora Ochrony Danych (IOD). W ramach Biura Bezpieczeństwa ustanowiono struktury działające w zakresie bezpieczeństwa przetwarzanych informacji, w tym danych osobowych, oraz wspierające realizację zadań Inspektora Ochrony Danych (IOD).

W PZU i PZU Życie obowiązują regulacje wewnętrzne, które wspomagają skuteczne zarządzanie bezpieczeństwem informacji i ochroną danych osobowych. Mają one minimalizować ryzyko wystąpienia incydentów bezpieczeństwa i ograniczać ich skutki. Odbiorcami tych regulacji są pracownicy, członkowie Zarządu i współpracownicy PZU i PZU Życie.

Głównym dokumentem regulującym kwestie ochrony danych osobowych w PZU SA i PZU Życie jest „Procedura bezpieczeństwa w obszarze ochrony danych osobowych”. Dokument określa w szczególności zasady obsługi wniosków podmiotów danych, postępowania z incydentami bezpieczeństwa, oceny i notyfikacji naruszeń, wyboru i audytu procesora oraz rolę i zadania wykonywane przez Inspektora Ochrony Danych.

Poza tym w PZU i PZU Życie obszar ten reguluje szereg procedur i zasad w szczególności:

  • Procedura zarządzania ryzykiem bezpieczeństwa IT;
  • Procedura oceny ryzyka i oceny skutków przetwarzania danych osobowych PZU SA i PZU Życie SA;
  • Zarządzanie ochroną przed złośliwym oprogramowaniem;
  • Zasady bezpiecznego przetwarzania danych osobowych;
  • Zasady zarządzania podatnościami i testami bezpieczeństwa infrastruktury IT;
  • Zasady bezpieczeństwa IT - System Zarządzania Bezpieczeństwem IT;
  • Klasyfikacja informacji i poziomy zabezpieczeń PZU SA i PZU Życie SA.

PZU i PZU Życie dokładają wszelkiej staranności w dbaniu o bezpieczeństwo informacji oraz ochronę danych osobowych zgodnie z RODO. W PZU i PZU Życie gromadzi się, przechowuje, przetwarza i przekazuje dane osobowe klientów w zgodny z prawem sposób. Udostępnianie danych objętych tajemnicą ubezpieczeniową odbywa się na podstawie art. 35 ustawy o działalności ubezpieczeniowej i reasekuracyjnej, który definiuje listę podmiotów i instytucji, którym dane mogą być udostępnione. Powierzenie przetwarzania danych osobowych podmiotom zewnętrznym następuje na podstawie umowy powierzenia przetwarzania danych osobowych. W przypadku przekazania podmiotom trzecim informacji chronionych standardem jest zawieranie umowy o zachowaniu poufności. Treść przedmiotowych umów obejmuje m.in. zobowiązanie do wdrożenia, co najmniej takich samych środków zapewniających ochronę informacji oraz gwarantuje możliwość przeprowadzenia audytu.

RODO - dostęp do danych

W trosce o zachowanie jak najwyższej prywatności klientów każda osoba, której dane są przetwarzane, ma prawo dostępu do danych oraz do usunięcia, sprostowania, uzupełnienia lub zmiany danych osobowych, a także ma możliwość zgłaszania pytań dotyczących prywatności. W tym celu wdrożono odpowiednie procesy zapewniające realizację praw osób, których dane dotyczą, określonych w art. 12-22 RODO.

RODO - informacja zarządcza

Informacja zarządcza w obszarze bezpieczeństwa przetwarzanych danych w zakresie identyfikowanych ryzyk i zidentyfikowanych podatności jest cykliczne raportowana do zarządów PZU i PZU Życie i obejmuje informacje o realizacji obowiązków wynikających z art. 33 (Zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu) i art. 34 (Zawiadamianie osoby, której dane dotyczą, o naruszeniu ochrony danych osobowych) RODO. Spółki w sposób ciągły monitorują procesy przetwarzania danych oraz zastosowane środki techniczne i organizacyjne pod kątem podnoszenia poziomu bezpieczeństwa przetwarzanych danych.

RODO - audyt

W PZU i PZU Życie prowadzone są audyty kontrahentów, którym PZU powierzył przetwarzanie danych osobowych. Podczas audytu weryfikowana jest zgodność przetwarzania przez procesora powierzonych danych osobowych z przepisami RODO oraz umową powierzenia przetwarzania danych osobowych. W PZU i PZU Życie prowadzone są również audyty procesorów, u których doszło do incydentów bezpieczeństwa. Na podstawie przeprowadzonego audytu wydawane są rekomendacje do zmiany procesów lub zmiany systemów dla poszczególnych właścicieli biznesowych.

Inspektor ochrony danych osobowych

Realizacja obowiązków administratora danych osobowych (ADO) i inspektora ochrony danych (IOD) wynikających z przepisów prawa, monitoring incydentów bezpieczeństwa informacji, w szczególności w obszarze danych osobowych oraz naruszeń zgłaszanych do Prezesa Urzędu Ochrony Danych Osobowych (PUODO), cykliczne raportowanie danych do Zarządu PZU i PZU Życie.

Mając na uwadze troskę o bezpieczeństwo przetwarzanych danych osobowych oraz gwarancję realizacji przepisów RODO wprowadzono cykliczne raportowanie do zarządów PZU i PZU Życie obejmujące dane na temat incydentów bezpieczeństwa informacji, w szczególności w obszarze ochrony danych osobowych oraz naruszeń zgłaszanych do PUODO. Prowadzony bieżący monitoring, analiza i raportowanie danych gwarantuje transparentność i rozliczalność procesu. Dzięki wprowadzonym mechanizmom identyfikowane są obszary wymagające wdrożenia zmian oraz wydawane są rekomendacje dotyczące podniesienia bezpieczeństwa przetwarzania danych osobowych w tych obszarach.

Obowiązki nałożone na administratora danych osobowych oraz inspektora ochrony danych są realizowane w działalności bieżącej, co zapewnia zgodność przetwarzania danych osobowych z przepisami prawa.

Grupa PZU stale pracuje na rzecz wzmocnienia funkcjonującego systemu ochrony danych. W związku z tym w przyszłości zostaną podniesione działania mające na celu utrzymanie jakości realizowanych procesów.

Ocena skutków przetwarzania dla ochrony danych (ang. Data Protection Impact Assessment, DPIA)

Zgodnie z realizacją obowiązków wynikających wprost z RODO, w PZU i PZU Życie wdrożono procesy gwarantujące udokumentowany proces związany z realizacją postanowień art. 35 (Ocena skutków dla ochrony danych) RODO zobowiązującego spółki do dokonania oceny skutków dla ochrony danych w celu oszacowania w szczególności źródła, charakteru, specyfiki i powagi tego ryzyka.

Mając na celu realizację przepisów RODO wprowadzono następujące procedury: Zasady zarządzania ryzykiem przetwarzania danych osobowych w PZU i PZU Życie oraz Instrukcję (metodykę) przeprowadzania identyfikacji i oceny ryzyka przetwarzania danych osobowych w PZU i PZU Życie. Poza tym wprowadzono cykliczne raportowanie do zarządów PZU i PZU Życie obejmujące dane na temat wykonanych analiz DPIA. Na bieżąco prowadzony jest monitoring procesów oraz sprawdzenie wykonania wydanych rekomendacji. Dzięki wprowadzonym mechanizmom identyfikowane są obszary wymagające wdrożenia odpowiednich rozwiązań zapewniających ochronę danych już w fazie projektowania (ang. privacy by design) oraz domyślnej ochrony danych (ang. privacy by default), wydawane są rekomendacje dotyczące podniesienia bezpieczeństwa projektowanego przetwarzania danych osobowych. Prowadzone są również analizy DPIA dla istniejących procesów, cykliczne sprawdzanie zmian, jakie zostały wprowadzone i ich skutku na proces przetwarzania danych osobowych.

Dzięki podjętym działaniom udało się wprowadzić uregulowany i uszczelniony proces analizy DPIA nałożony na administratora przez art. 35 (Ocena skutków dla ochrony danych) RODO z wykorzystaniem systemu Jira. Wprowadzono oceny produktów projektu pod kątem wpływu skutków przetwarzania dla ochrony danych w zakresie systemu Jira. Mając na uwadze bezpieczeństwo danych realizacja tematów, które nie uzyskają oceny pod kątem RODO jest blokowana. Prowadzona wielotorowo ocena skutków przetwarzania dla ochrony danych zapewnia zgodność przetwarzania danych osobowych z przepisami prawa. W 2021 roku oceniono 2 081 elementów procesów w tym: oceny 823 inicjatyw/tematów, 1 235 podtematów, 8 Proof of Concept, 42 pełne badania DPIA w tym 10 analiz DPIA do bieżących procesów.

Proces opiniowania spraw

Dokumenty wewnętrzne, umowy i procesy opiniowane są pod kątem zgodności z obowiązującymi przepisami z zakresu ochrony danych osobowych, orzecznictwem sądów, decyzjami organów, regulacjami przyjętymi w PZU i PZU Życie oraz dobrymi praktykami rynkowymi.

Wdrożenie w PZU i PZU Życie procesu opiniowania przyczyniło się do zapewnienia zgodności przetwarzania danych z przepisami prawa, zapewnia rozliczalności oraz wdrożenia zasady ochrony danych w fazie projektowania (ang. privacy by design). Pozwala na wczesnym etapie zidentyfikować nieprawidłowości i dostosować działania do obowiązujących norm.

Wprowadzony proces opiniowania obejmuje wdrożenie nowych lub zmiany w obecnie funkcjonujących systemach IT, dokumenty wewnętrzne, procesy, umowy, w których występuje lub może wystąpić element związany z tematyką danych osobowych. Aby jak najlepiej realizować ten proces powstała dedykowana skrzynka mailowa, na którą kierowane są zapytania z jednostek biznesowych. Sprawy rozdzielane są pomiędzy pracowników wyspecjalizowanych w różnych obszarach ochrony danych. Opiniowanie kończy się wydaniem rekomendacji uwzględniającej obowiązujące przepisy prawa z zakresu ochrony danych osobowych, orzecznictwo sądów, decyzje organów, regulacje wewnętrzne PZU i PZU Życie oraz dobre praktyki rynkowe. Wszystkie opiniowane sprawy odnotowywane są w rejestrze w celu zapewnienia rozliczalności.

W 2021 roku zaopiniowano łącznie ponad 1 768 spraw w PZU i PZU Życie. Proces opiniowania pozwala na identyfikację ewentualnych nieprawidłowości i ich korektę oraz przyczynia się do wzrostu świadomości pracowników w zakresie ochrony i bezpieczeństwa przetwarzania danych osobowych.

[GRI 418-1]

Naruszenia i skargi

W 2021 roku w Grupie PZU zgłoszono do Prezes Urzędu Ochrony Danych Osobowych (PUODO) 816 przypadków naruszenia ochrony danych osobowych z czego 404 w PZU, 186 w PZU Życie, 23 w Grupie Alior, 27 w Banku Pekao, 138 w LINK4 oraz 38 w PZU Zdrowie.

W 2021 roku liczba skarg na działalność PZU złożonych przez podmioty zewnętrzne do organu nadzoru wyniosła 7, natomiast na PZU Życie złożono 5 skarg. W 2020 roku na PZU złożono 17 skarg, natomiast na PZU Życie 4 skargi. W 2 z przypadków organ nadzoru udzielił upomnienia za naruszenie art. 6 ust. 1 RODO (1 przypadek PZU oraz 1 przypadek PZU Życie). W pozostałych przypadkach skarg organ nadzoru odmówił uwzględnienia wniosku, umorzył postępowanie lub nie podjął jeszcze decyzji.

Przeciwdziałanie korupcji

Korupcja i polityka prezentowa - „nie tolerujemy korupcji. W ramach realizacji zadań biznesowych oraz współpracy z partnerami biznesowymi działamy etycznie i zgodnie z prawem. Nie przekazujemy niedozwolonych prezentów kontrahentom, ich pracownikom, pełnomocnikom lub innym osobom trzecim. Nie obiecujemy też i nie oczekujemy takich prezentów ani ich nie przyjmujemy. W szczególności dotyczy to sytuacji, gdy rodzaj i zakres tych prezentów wpływa na podejmowanie działań i decyzje odbiorcy. Niedopuszczalne jest również wykorzystywanie osób trzecich do ominięcia tej zasady.”

Ryzyko obszaru: ryzyko korupcji związane z niewłaściwym wdrażaniem w strukturach Grupy procedur antykorupcyjnych, a także brakiem zapewnienia ochrony tzw. sygnalistów.

Podejście do zarządzania: w Grupie PZU nie ma przyzwolenia na jakąkolwiek formę korupcji. Dlatego w spółkach Grupy obowiązują polityki przeciwdziałania korupcji oraz zasady przyjmowania i wręczania prezentów. Dodatkowo w spółkach PZU i PZU Życie funkcjonuje Procedura zgłaszania nieprawidłowości, a także został wdrożony Program antykorupcyjny, który stanowi podstawę ustanowienia i wspierania rozwiązań prewencyjnych i edukacyjnych w zakresie przeciwdziałania zachowaniom korupcyjnym oraz zawiera podział odpowiedzialności w celu kontrolowania ryzyka korupcji.

Kluczowe regulacje: Program antykorupcyjny; Procedura Zgłaszania Nieprawidłowości

„Nie tolerujemy korupcji, nie przekazujemy niedozwolonych prezentów kontrahentom, ich pracownikom, pełnomocnikom lub innym osobom trzecim. Nie obiecujemy też i nie oczekujemy takich prezentów ani ich nie przyjmujemy. Te zasady zapisaliśmy w Dobrych praktykach Grupy PZU stanowiących zbiór podstawowych standardów etycznych. Traktujemy je jako nieodłączny element naszej tożsamości i źródło ładu korporacyjnego Grupy PZU.”
Monika Guzek, Dyrektor Biura Compliance, PZU i PZU Życie
[GRI 102-11] [GRI 103-1] [GRI 103-2] [GRI 103-3]

W Grupie PZU nie ma przyzwolenia na korupcję. Rozwiązania wdrożone w organizacji definiują sposób zarządzania ryzykiem korupcji, włączając w to identyfikację, ograniczenie i monitoring tego ryzyka.

W spółkach Grupy obowiązują wewnętrzne regulacje służące przeciwdziałaniu korupcji, w tym m.in. zasady przyjmowania i wręczania prezentów, zasady zarządzania konfliktem interesów, zasady etyki obowiązujące członków organów statutowych. W zależności od podmiotu zostały uwzględnione w kilku przyjętych i wdrożonych dokumentach dotyczących m.in. przeciwdziałania korupcji, zgłaszania nieakceptowanych zachowań (whistleblowing), zarządzania konfliktem interesów i dokonywania zakupów. Zagadnienia te są także omawiane podczas wewnętrznych szkoleń dla pracowników.

Ściśle określone są także zasady przyjmowania i wręczania prezentów przez pracowników Grupy oraz zasady ich rejestrowania. Prezenty i rozrywka, wyłącznie o małej wartości, mogą być oferowane lub przyjmowane w toku zwyczajnych praktyk biznesowych. W żadnych okolicznościach nie wolno oferować lub przyjmować pieniędzy bądź ich ekwiwalentu. Wręczanie i przyjmowanie prezentów nie może być tak częste czy nadmierne lub hojne, by stanowiło faktyczne lub postrzegane ryzyko korupcji czy naruszało lokalne przepisy ustawowe lub wykonawcze.

Dobre Praktyki Grupy PZU stanowią wzorzec standardów, wartości i zasad dla wszystkich pracowników Grupy i wprost zakazują korupcji w spółkach. Obligują pracowników do działania zgodnie z prawem i zdefiniowanymi normami etycznymi: „Nie tolerujemy korupcji. W ramach realizacji zadań biznesowych oraz współpracy z partnerami biznesowymi działamy etycznie i zgodnie z prawem”. „Dobre Praktyki” wdrożyły wszystkie spółki w Grupie PZU, poza Grupą Alior Banku, gdzie funkcjonuje „Kodeks Etyki Alior Bank”, i Grupą Pekao, która opracowała własny „Kodeks Postępowania Grupy Pekao”. Z kolei w LINK4 obowiązuje „Polityka kontroli zgodności w zakresie przeciwdziałania korupcji”.

Ryzyko korupcji jest elementem bieżącego zarządzania ryzykiem braku zgodności w poszczególnych obszarach działalności. W PZU wdrożono więc rozwiązania obligujące do identyfikacji i oceny ryzyka korupcji. Ocena tego ryzyka za 2021 rok potwierdza, że rozwiązania systemowe działają w PZU prawidłowo, a działania służące zarządzaniu tym ryzykiem zostały podjęte z należytą starannością.

Korupcja

To bezpośrednie lub pośrednie żądanie, przyjęcie, udzielenie lub obietnica nienależnej korzyści majątkowej lub osobistej w zamian za działanie lub zaniechanie określonego działania, w związku z pełnieniem funkcji w PZU.

Gratyfikacja jest formą korupcji. Polega na przekazywaniu niewielkich, nieoficjalnych płatności lub innego rodzaju korzyści, mających zapewnić przyśpieszoną realizację rutynowego działania, do uzyskania którego strona wręczająca gratyfikację ma prawo.

Z kolei łapówka, również będąca formą korupcji, polega na wręczaniu lub przyjęciu prezentu, pożyczki, opłaty, nagrody lub innej korzyści materialnej bądź osobistej innej osobie lub od innej osoby jako zachęty do nieuczciwego postępowania lub bezprawnego działania, naruszenia zaufania w toku prowadzenia działalności przez spółkę.

Korzyść majątkowa
To świadczenie o charakterze majątkowym udzielone lub otrzymane przez pracownika w związku z zajmowanym stanowiskiem lub pełnieniem funkcji w spółce, z wyłączeniem wynagrodzeń i innych świadczeń należnych w związku z pełnioną funkcją oraz zwyczajowo wręczanych upominków, których wartość jednostkowa nie podlega opodatkowaniu podatkiem dochodowym od osób fizycznych.

Korzyść osobista
To świadczenie niemajątkowe, polepszające sytuację pracownika, jego osób bliskich albo osób lub organizacji, z którymi pozostaje lub pozostawał w ścisłej współpracy zawodowej, gospodarczej lub osobistej.

[GRI 205-1]

Program antykorupcyjny

W PZU i PZU Życie obowiązuje „Program antykorupcyjny PZU SA i PZU Życie”, który wyznacza standardy postępowania służące ograniczaniu ryzyka korupcji. Opisane w nim ramowe zasady zarządzania ryzykiem korupcji stanowią podstawę dla wprowadzenia szczegółowych przepisów wewnętrznych w poszczególnych obszarach działalności spółki. „Program” ma na celu utrzymanie reputacji spółki jako firmy uczciwej w zakresie stosowanych praktyk zarządczych i prowadzonych działań biznesowych. Nadzór nad realizacją tego „Programu” sprawują Zarządy Spółek. Nieprzestrzeganie postanowień „Programu” stanowi naruszenie obowiązków pracowniczych i podlega sankcjom w przepisach prawa pracy.

Zgodnie z zasadami określonymi w tym „Programie” spółki prowadzą działalność zgodnie z przepisami prawa, w sposób uczciwy i przeciwdziałają wszelkim formom korupcji, która może się wiązać z ich działalnością. Z kolei ich pracownicy zobowiązani są do etycznego i zgodnego z prawem działania w imieniu i na rzecz PZU oraz unikania czynników zwiększających ryzyko korupcji. Pracownicy nie mogą proponować, obiecywać, dawać i żądać korzyści majątkowych lub osobistych w celu uzyskania oczekiwanej decyzji, w tym stosować gratyfikacji. „Program antykorupcyjny PZU i PZU Życie” definiuje obszary biznesowe, gdzie ryzyko korupcji jest potencjalnie najwyższe i określa symptomy nieetycznych zachowań pracowników. W obszarach działalności szczególnie narażonych na ryzyko korupcji funkcjonują mechanizmy identyfikacji i monitorowania ryzyka korupcji.

Cykliczne oceny ryzyka

„Program antykorupcyjny PZU i PZU Życie” wprowadza obowiązkowe regularne, cykliczne oceny ryzyka korupcji. Jej elementem są m.in. ankiety samooceny ryzyka korupcji wśród pracowników, zarejestrowane zgłoszenia o nieprawidłowościach z danego obszaru, wyniki kontroli wewnętrznych, raporty organizacji pozarządowych zajmujących się problemem korupcji. Efektywnej kontroli ryzyka korupcji służą także intensywne działania edukacyjne dla pracowników – szkolenia, publikacje, konsultacje. Każdy pracownik PZU i PZU Życie został zobowiązany do zapoznania się z Programem antykorupcyjnym i stosowania jego postanowień oraz złożenia stosownego oświadczenia w tym zakresie.

W pozostałych podmiotach Grupy PZU analiza lub ocena potencjalnego ryzyka korupcji dokonywana jest w ramach analizy zgłoszeń lub zapytań związanych z konfliktem interesów bądź przyjmowaniem lub wręczaniem prezentów.

[GRI 205-1]

„Program antykorupcyjny” wyznacza standardy postępowania, które ograniczają ryzyko korupcji. Zasady zarządzania konfliktem interesów i zasady przyjmowania i wręczania prezentów są komplementarne z Programem.

Komunikacja i szkolenia

[GRI 205-2]

Uzupełnieniem działań są szkolenia antykorupcyjne oraz kampanie realizowane w kanałach komunikacji korporacyjnej uwrażliwiające pracowników na ryzyko korupcji.

Szkolenie dotyczące „Programu antykorupcyjnego PZU i PZU Życie” należy do grupy szkoleń obowiązkowych dla wszystkich osób zatrudnionych w tych spółkach. Pracownicy PZU i PZU Życie składają w systemie kadrowym oświadczenia, że zapoznali się z „Programem” i zobowiązują się do jego przestrzegania, a także że są świadomi odpowiedzialności karnej za korupcję. Każda zmiana „Programu” będzie wymagała ponownego złożenia oświadczenia. W 2021 roku szkolenie to zrealizowało 530 pracowników.

Regulacje w spółkach zależnych

W Tower Inwestycje funkcjonuje „Program antykorupcyjny Tower Inwestycje Sp. z o.o.”, w PZU CO „Polityka antykorupcyjna”. W PZU Zdrowie działa „Program antykorupcyjny”.

W Banku Pekao, zgodnie z wytycznymi „Polityki przeciwdziałania korupcji w Grupie Banku Pekao S.A.” przyjęto „Program przeciwdziałania korupcji”, który m.in. składa się z zasad i procedur dotyczących współpracy z pośrednikami, prezentów i rozrywki, procesu rekrutacyjnego, współpracy z kontrahentami, darowizn i sponsoringu (w tym darowizn na rzecz partii politycznych), transakcji fuzji i przejęć, znaczących inwestycji, udziału banku w procedurze zamówień publicznych. Program zawiera również programy szkoleniowe i informacyjne dla pracowników w zakresie przeciwdziałania korupcji, a także zapewnienie bezpiecznych i łatwo dostępnych kanałów komunikacji, za pomocą których pracownicy banku lub inne osoby mogą w trybie poufnym zgłaszać próby korupcji lub zaistniałe działania mające znamiona korupcji.

W zakresie przeciwdziałania korupcji spółki Grupy Pekao kierują się Kodeksem Postępowania oraz tymi samymi zasadami co Bank Pekao. Zdecydowana większość spółek posiada stosowne regulacje dotyczące przeciwdziałania korupcji dostosowane do wielkości oraz specyfiki prowadzonej działalności. W części spółek funkcjonują wyspecjalizowane stanowiska koordynatorskie lub zespoły odpowiadające za działania antykorupcyjne.

Z kolei Alior Bank zapobiegając zjawisku korupcji wdrożył mechanizmy kontrolne identyfikujące obszary najbardziej narażone na ryzyko. Obowiązują ściśle regulowane zasady oraz warunki dotyczące etycznego wręczania i przyjmowania prezentów czy korzyści, które są określone w obowiązujących w Banku regulacjach wewnętrznych. Polityka prezentowa banku dopuszcza przyjmowanie i wręczanie prezentów kierując się wyłącznie chęcią budowania relacji biznesowych lub uprzejmością w relacjach z danymi podmiotami. Pracownicy mogą przyjmować wyłącznie prezenty dozwolone, zgodnie z wytycznymi opisanymi w obowiązującej w banku Instrukcji zarządzania konfliktem interesów. Naruszenie zasad w tym zakresie stanowi przesłankę do wyciągnięcia konsekwencji służbowych a w szczególnych przypadkach do zawiadomienia stosownych organów.

DOBRA PRAKTYKA

Oficer do spraw przeciwdziałania korupcji

Dla podniesienia rangi tego obszaru w Departamencie Zgodności Banku Pekao powołany został Oficer ds. przeciwdziałania korupcji, do którego należy zgłaszać informacje o próbie korupcji lub działaniach mających znamiona korupcji.

Szczegółowe zadania Oficera ds. Przeciwdziałania Korupcji, w tym opracowywanie, wdrażanie i nadzorowanie skutecznego Programu przeciwdziałania korupcji, przeprowadzanie procesu legislacyjnego w przedmiocie przepisów wewnętrznych Banku w zakresie przeciwdziałania korupcji, definiuje „Polityka przeciwdziałania korupcji”.

Oficer ds. przeciwdziałania korupcji jest upoważniony do badania podejrzanych lub faktycznych działań noszących znamiona korupcji, w tym do żądania od osoby podejrzanej o działania korupcyjne dokumentów i przeglądania ich oraz do raportowania takich przypadków zgodnie z przewidzianą procedurą.

[GRI 205-3]

Zidentyfikowane przypadki

W całej Grupie PZU w 2021 roku zidentyfikowano 734 przypadki korupcji i oszustw. W PZU i PZU Życie zgłoszono cztery sytuacje, które mogły mieć charakter korupcyjny. W trzech przypadkach, w wyniku przeprowadzonych czynności nie wykazano nieprawidłowości, które wskazywałyby na działania korupcyjne. W jednym przypadku potwierdzono, iż kontrahent zaproponował klientowi łapówkę. W związku z zaistniałą sytuacją klient złożył ustne zawiadomienie o popełnieniu przestępstwa, natomiast Spółki zaprzestały współpracę z tym kontrahentem.

Zarządzanie konfliktem interesów

Konflikt interesów:„Każdego dnia budujemy relacje z klientami, nieustannie pracujemy nad naszym dobrym wizerunkiem. Dlatego każdy konflikt interesów, a nawet możliwość takiego konfliktu, mogą naruszyć dobre imię naszej firmy. Konflikt interesów może przyjmować różnorodne formy. Zwykle są to przypadki, w których dochodzi lub może dojść do sprzeczności między:
    • interesem Grupy PZU lub osoby z nią powiązanej a interesem klienta; 
    • interesami dwóch lub więcej klientów Grupy PZU; 
    • interesem osoby powiązanej z Grupą PZU a Grupy PZU. 

    Konflikt interesów powstaje, np. kiedy pracownik:

    • wykorzystuje swoje kontakty lub pozycję zawodową do osiągnięcia prywatnych korzyści kosztem interesów Grupy PZU; 
    • podejmuje działalność zewnętrzną poza Grupą PZU, która koliduje z efektywnym wykonywaniem obowiązków służbowych na rzecz Grupy PZU; 
    • dokonuje prywatnych inwestycji na podstawie informacji uzyskanych w Grupie PZU. 
    O konflikcie interesów mówimy także wtedy, gdy osoba nam bliska bądź członek rodziny uzyskuje nieuzasadnione korzyści wynikające z naszego zatrudnienia w Grupie PZU. Każda sytuacja potencjalnego konfliktu interesów mogąca utrudnić skuteczne i obiektywne wykonywanie pracy na rzecz Grupy PZU powinna zostać zgłoszona przez pracownika do przełożonego oraz jednostki ds. zgodności podmiotu Grupy PZU, w celu jej omówienia i wyjaśnienia.”
    [GRI 102-25]

    W PZU i PZU Życie obowiązują „Zasady zarządzania konfliktem interesów”. Regulacja ta ma na celu zapewnienie profesjonalnego, rzetelnego i uczciwego traktowania wszystkich klientów i osób powiązanych ze spółką w przypadku konfliktu interesów. Zgodnie z tą regulacją pracownik powinien zawiadomić o potencjalnym konflikcie interesów swojego przełożonego oraz jednostkę ds. zgodności w danej spółce, by mogła ona opisaną sytuację dokładnie przeanalizować pod kątem ryzyka.

    Konflikt interesów może przyjmować różne formy. Zwykle są to sytuacje, w których dochodzi lub może dojść do sprzeczności między:

    • interesem Grupy PZU lub osoby z nią powiązanej a interesem klienta; 
    • interesami dwóch lub więcej klientów Grupy PZU; 
    • interesem osoby powiązanej z Grupą PZU a interesem Grupy PZU. 

    Zasady zarządzania konfliktem interesów obowiązują we wszystkich spółkach z Grupy PZU.

    Zasady przyjmowania i wręczania prezentów

    W PZU i PZU Życie zasady regulują w sposób transparentny i bardzo szczegółowy kategorie i rodzaje prezentów, w tym prezenty dopuszczalne i niedopuszczalne, określają tryb postępowania w przypadku przyjmowania lub wręczania prezentów i zasady ich rejestrowania. Zasady obowiązują bez względu na zajmowane stanowisko lub pełnioną w spółce funkcję. Zasady dotyczące przyjmowania i wręczania prezentów obowiązują we wszystkich spółkach z Grupy PZU.

    Tematy konfliktu interesów, potencjalnie ryzykownych sytuacji i zasad postępowania w przypadku ich wykrycia są uwzględnione w szkoleniu e-learningowym z zakresu zgodności. W 2020 roku zostało wdrożone nowo opracowane szkolenie e-learningowe, które przeszło 99% pracowników. W 2021 roku szkoleniem tym objęto nowych pracowników. Szkolenie to jest jednocześnie dostępne dla wszystkich pracowników PZU i PZU Życie. Zagadnienia dotyczące konfliktu interesów poruszane są także podczas szkoleń wprowadzających (on-boardingowych) dla nowych pracowników. Dodatkowo pracownicy składają oświadczenia o przestrzeganiu „Zasad zarządzania konfliktem interesów”.

    Zagadnienia związane z obszarem zgodności systematycznie opisywane są w „Biuletynie Compliance”. Pracownicy otrzymują go co kwartał drogą elektroniczną lub w wersji drukowanej. Dzięki przystępnemu sposobowi przedstawiania informacji (w formie tabel i rysunków) „Biuletyn Compliance” pełni rolę edukacyjną – uzupełnia wiedzę zdobytą na szkoleniach.

    Istotną rolę informacyjną pełnią Alerty Compliance, czyli mailowe wiadomości opisujące planowane zmiany w prawie, nowe wytyczne, komunikaty i decyzje organów nadzoru, a także orzeczenia sądów istotne z punktu widzenia prowadzonej przez PZU i PZU Życie działalności. Alerty Compliance trafiają do pracowników z wybranych obszarów oraz kilkuset dodatkowych osób, które zgłosiły chęć otrzymywania tego typu informacji. Alerty są kluczowe dla zapewnienia zgodności działalności spółki z przepisami. Pozwalają na szybkie zorientowanie się w projektowanych zmianach w prawie i oczekiwaniach nadzorcy oraz dostosowanie się do nich w odpowiednim czasie.

    DOBRA PRAKTYKA

    Nie akceptujemy prezentów od klientów, kontrahentów lub osób współpracujących, które to prezenty mogłyby:

    • wywierać wpływ na obiektywizm w podejmowaniu decyzji biznesowych przez podmiot Grupy PZU lub wywołać wrażenie wywierania takiego wpływu; 
    • skutkować powstaniem nieformalnego zobowiązania wobec danego klienta, kontrahenta lub osoby współpracującej z Grupą PZU; 
    • powodować lub móc powodować konflikt interesów; 
    • być interpretowane jako rekompensata za biznesową przysługę; 
    • w inny sposób negatywnie rzutować na sposób wykonywania przez pracownika jego służbowych obowiązków albo na interes lub wizerunek i reputację Grupy PZU.

    Regulacje w spółkach zależnych

    W Grupie Alior Banku nadzór nad zarządzaniem konfliktem interesów reguluje „Instrukcja zarządzania konfliktem interesów”. W tym dokumencie pracownicy znajdą odpowiedzi na pytania, w jaki sposób definiuje się konflikt interesów oraz określa jego skutek potencjalny i rzeczywisty oraz w jaki sposób powinni postępować, aby uniknąć konfliktu interesów. Instrukcja reguluje tak istotne elementy, jak np. zasady obsługi osób bliskich, przyjmowanie prezentów i zaproszeń oraz prowadzenie działalności zarobkowej przez pracowników poza Grupą. Dokument ten jasno określa również zasady dotyczące zależności służbowej pomiędzy osobami bliskimi, kładąc szczególny nacisk na eliminację ryzyka nepotyzmu.

    Z kolei w Grupie Pekao funkcjonuje „Polityka zarządzania konfliktami interesów w Grupie Pekao”, która określa zasady zarządzania konfliktami interesów oraz definiuje okoliczności powodujące lub mogące spowodować w działalności banku powstanie konfliktu interesów.

    Przeciwdziałanie przestępczości oraz przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu

    Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu: „Zjawisko prania pieniędzy i finansowania terroryzmu jest postrzegane jako realne i istotne ryzyko. Jest to ogólnoświatowy problem, który rodzi poważne konsekwencje na rynku finansowym. Z tego powodu Grupa PZU podejmuje wszelkie przewidziane prawem działania, aby nie dopuścić do sytuacji, w której transakcje przez nią realizowane zostałyby wykorzystane do prania pieniędzy oraz finansowania terroryzmu.”

    Ryzyko obszaru: ryzyko związane z niewłaściwym zaprojektowaniem i wdrażaniem rozwiązań w obszarze przeciwdziałania przestępczości oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu w organizacji oraz brakiem poprawnej ich realizacji.

    Podejście do zarządzania: w Grupie PZU obowiązują specjalne procedury bezpieczeństwa w obszarze przeciwdziałania przestępczości, w tym przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. W Grupie PZU jest wyodrębniony jeden właściciel obszaru przeciwdziałania przestępczości ubezpieczeniowej oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, odpowiedzialny za przebieg całości procesu, monitorowanie jego jakości i efektywności, oraz przestrzeganie obowiązujących procedur. W jego ramach funkcjonuje Zespół Przeciwdziałania Przestępczości Ubezpieczeniowej (ZPPU) i Zespół Zarządzania Incydentami Bezpieczeństwa (ZZIB). Zespół Przeciwdziałania Przestępczości Ubezpieczeniowej realizuje zadania z zakresu analiz przeciwdziałania fraudom i działań operacyjnych polegających na ustalaniu rzeczywistego przebiegu zdarzenia. Zespół Zarządzania Incydentami Bezpieczeństwa realizuje zadania z zakresu przeciwdziałania przestępczości wewnętrznej. Obydwa zespoły w realizacji swoich zadań są wspomagane systemem Fraud Management System – jest to najnowocześniejszy na rynku polskim system, który typuje oszustwa wewnętrzne i zewnętrzne, wspomaga w ich analizowaniu oraz zapewnia efektywny i skuteczny obieg realizowanych spraw.

    Procesy przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu realizowane są w Zespole Analiz Zagrożeń Bezpieczeństwa (ZAZB), natomiast standardy działalności oraz proces docelowy, w tym wdrożenie systemu informatycznego jest tworzony w ramach Projektu AML.

    Za obszar przestrzegania sankcji międzynarodowych odpowiedzialny jest Obszar Compliance.

    Kluczowe regulacje: Procedura bezpieczeństwa w obszarze przeciwdziałania przestępczości oraz Procedura bezpieczeństwa w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, Polityka sankcyjna

    Polityki Grupy PZU [UoR]

    [GRI 102-15] [GRI 103-2]

    Przestępczość finansowa, pranie pieniędzy oraz finansowanie terroryzmu to wyzwania, które na całym świecie rodzą poważne konsekwencje dla rynków finansowych. Grupa PZU od lat konsekwentnie podejmuje wszelkie przewidziane prawem działania, aby nie dopuścić do sytuacji, w której transakcje przez nią realizowane zostałyby wykorzystane do nielegalnych celów.

    Procedura bezpieczeństwa

    W Grupie PZU istnieją specjalne procedury bezpieczeństwa w obszarze przeciwdziałania przestępczości. W PZU SA i PZU Życie SA funkcjonuje Procedura bezpieczeństwa w obszarze przeciwdziałania przestępczości. „Procedura” obejmuje:

    • ujawnianie incydentów bezpieczeństwa, a także przestępstw ubezpieczeniowych, dokonywanych na szkodę spółki;
    • prewencję i profilaktykę;
    • zarządzanie ryzykiem bezpieczeństwa.

    W PZU Życie wdrożono „Procedurę bezpieczeństwa w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu”. Regulacja obowiązuje Członków Zarządu, pracowników spółek i sprzedawców, a także podmioty zewnętrzne, które współpracują ze spółkami na podstawie zawartych umów. Zgodnie z tym dokumentem, standardami bezpieczeństwa w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu w PZU Życie są:

    • zapewnienie zgodności działalności spółki z obowiązującymi regulacjami z zakresu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu;
    • zabezpieczenie spółki przed nawiązaniem i utrzymaniem relacji biznesowych z podmiotami podejrzewanymi o pranie pieniędzy i finansowanie terroryzmu;
    • zabezpieczenie reputacji spółki przed identyfikowaniem jej działalności z praniem pieniędzy i finansowaniem terroryzmu.

    W PZU i PZU Życie SA funkcjonuje „Polityka sankcyjna”, która określa standardy zarządzania ryzykiem sankcyjnym, w celu przestrzegania w działalności prowadzonej przez PZU i PZU Życie wymogów wynikających z sankcji międzynarodowych.

    Przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu w PZU Życie

    „Procedura bezpieczeństwa w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu PZU Życie SA” zawiera wytyczne dotyczące czynności w przypadku wystąpienia transakcji podejrzanej oraz figurowania klienta na listach sankcyjnych.

    Czynności wykonywane w ramach „Procedury” oraz ustawy AML:

    • stosowanie środków bezpieczeństwa finansowego (ocena aktualnej sytuacji oraz potencjalnego ryzyka) klienta przed nawiązaniem relacji biznesowej;
    • stosowanie wzmożonych środków bezpieczeństwa finansowego (wzmocniona ocena aktualnej sytuacji oraz potencjalnego ryzyka) dla określonych klientów, np. powiązanych z krajami wysokiego ryzyka;
    • analizy klientów i ich transakcji pod kątem identyfikacji podejrzanych transakcji;
    • szkolenia pracowników w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu;
    • monitorowanie istniejących stosunków gospodarczych.

    „Procedura bezpieczeństwa w obszarze przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu PZU Życie SA” opisuje nie tylko role i zadania osób zaangażowanych w proces AML, ale także ich odpowiedzialność. Za wdrażanie obowiązków z zakresu przeciwdziałania praniu pieniędzy oraz finansowania terroryzmu określonych w ustawie AML odpowiada Członek Zarządu nadzorujący Biuro Bezpieczeństwa. Zgodnie z „Polityką Bezpieczeństwa” z 2015 roku Zarząd PZU wyznaczył do wykonywania tego nadzoru Członka Zarządu nadzorującego obszar bezpieczeństwa w PZU Życie. Pracownicy i współpracownicy, włączając w to agentów PZU Życie, są cyklicznie szkoleni w obszarze przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.

    DOBRA PRAKTYKA

    PZU Życie prowadzi analizę zawieranych umów ubezpieczenia i przeprowadzanych transakcji w celu oceny ryzyka prania pieniędzy i finansowania terroryzmu. Spółka stosuje wobec swoich klientów środki bezpieczeństwa finansowego. Dokonuje oceny ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z nawiązaniem stosunków gospodarczych lub z transakcjami związanymi z umową ubezpieczenia.

    DOBRA PRAKTYKA

    Ustawa z 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2018 roku poz. 723), zwana ustawą AML (Anti Money Laundering), nałożyła na PZU nowe zadania. Jednym z podstawowych obowiązków wynikających z nowej ustawy jest przeprowadzenie wielowymiarowej oceny ryzyka prania pieniędzy i finansowania terroryzmu w PZU Życie, z uwzględnieniem czynników wewnętrznych i zewnętrznych, w tym klientów, państw lub obszarów geograficznych, produktów, usług, transakcji, kanałów dostaw. Wdrożono wymagane przepisami procedury wewnętrzne, w tym procedurę grupową skierowaną do wszystkich instytucji obowiązanych w Grupie PZU (to instytucje wchodzące w skład Grupy i podlegające ustawie AML) oraz zaktualizowano procedury wewnętrzne w tym zakresie. PZU nie podlega przepisom ustawy AML, ale jako podmiot dominujący w Grupie PZU przyjmuje procedurę grupową – dla podmiotów wchodzących w skład Grupy, będącymi instytucjami obowiązanymi. Procedura grupowa określa standardy obowiązujące w Grupie PZU oraz zasady wymiany i ochrony informacji na potrzeby wykonywania czynności AML.

    Aby zastosować się do tych regulacji, PZU uruchomił projekt AML. Jego celem jest wypracowanie rozwiązań, które umożliwiają wdrożenie przepisów ustawy w procesach biznesowych i operacyjnych z uwzględnieniem wymagań wynikających ze zmiany ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

    DOBRA PRAKTYKA

    Deklaracje PZU Życie:

    • spółka nie utrzymuje współpracy, w tym nie świadczy i nie korzysta z usług podmiotów, jeżeli zachodzi uzasadnione podejrzenie prania pieniędzy lub finansowania terroryzmu przez te podmioty; 
    • spółka nie nawiązuje lub nie utrzymuje relacji z bankami fikcyjnymi oraz z podmiotami utrzymującymi relację z bankiem fikcyjnym;
    • spółka nie realizuje wpłat oraz wypłat środków pieniężnych (rozumianych jako wpłaty i wypłaty gotówkowe związane z działalnością ubezpieczeniową) o równowartości przekraczającej 15 tys. euro, o których mowa w art. 72 ust 1 pkt 1 ustawy AML.

    Działanie prewencyjne i szkolenia

    Świadomość ryzyk jest kluczowym elementem prawidłowego funkcjonowania systemu bezpieczeństwa w spółce, dlatego wszyscy pracownicy i sprzedawcy powinni zostać przeszkoleni oraz posiadać aktualną wiedzę o obowiązujących aktach wewnętrznych i innych niezbędnych regulacjach wewnętrznych z zakresu przeciwdziałania przestępczości oraz przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Za nadzór nad przeszkoleniem odpowiada kierujący komórką lub jednostką organizacyjną, w której zatrudniony jest pracownik. W przypadku pracowników struktur terenowych pionów i sprzedawców współpracujących na zasadzie wyłączności odpowiedzialność ta spoczywa na kierującym komórką organizacyjną centrali nadzorującą daną strukturę.

    Szczegółowe informacje dotyczące prewencji i profilaktyki bezpieczeństwa zawiera „Instrukcja prewencji i profilaktyki bezpieczeństwa PZU i PZU Życie”. Obejmuje działania podnoszące świadomość ryzyk bezpieczeństwa w obszarach:

    • bezpieczeństwa informacji;
    • cyberbezpieczeństwa;
    • bezpieczeństwa fizycznego;
    • przeciwdziałania przestępczości;
    • przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu;
    • ciągłości działania.

    Przeciwdziałanie przestępczości oraz przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu (jeśli dotyczy) w spółkach zależnych

    W TUW PZUW „Procedura przeciwdziałania przestępczości w TUW Polskim Zakładzie Ubezpieczeń Wzajemnych” formalizuje proces identyfikowania, zarządzania i zabezpieczenia się towarzystwa przed przestępczością, w szczególności przestępczością ubezpieczeniową oraz fraudami.

    W TFI PZU wdrożono „Regulamin przeciwdziałania i ujawniania przypadków manipulacji instrumentami finansowymi w działalności Towarzystwa Funduszy Inwestycyjnych PZU SA”. Obowiązuje tam także „Procedura przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu”. Stosuje się ją zarówno w relacjach wewnętrznych spółki, jak i zewnętrznych, których stroną jest spółka. W spółce funkcjonuje również „Kodeks Dobrych Praktyk Inwestorów Instytucjonalnych” przygotowany i zatwierdzony przez Izbę Zarządzających Funduszami i Aktywami. Kodeks stanowi dla spółki istotne wsparcie w definiowaniu zasad, reguł moralnych, etycznych i poziomu należytej staranności w relacjach pomiędzy TFI PZU a innymi inwestorami instytucjonalnymi, jego klientami oraz emitentami instrumentów finansowych. Przyjęcie przez TFI PZU „Kodeksu” jest także potwierdzeniem stosowania dobrych praktyk inwestycyjnych w tej spółce.

    PZU Finanse, jako podmiot obowiązany w ustawie AML, posiada „Procedurę przeciwdziałania praniu pieniędzy i finansowania terroryzmu w PZU Finanse Sp. z.o.o.” oraz ”Procedurę anonimowego zgłaszania w PZU Finanse Sp. z o.o. przez pracowników lub inne osoby naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowania terroryzmu”.

    W 2021 roku w Grupie PZU doszło do 250 (184 w PZU, 20 w PZU Życie, 26 w LINK4, 5 w TUW PZUW oraz 15 w spółkach zagranicznych) incydentów dotyczących przestępstw ubezpieczeniowych, sprawy zostały przekazane organom ścigania.

    W 2021 roku w Grupie Alior Bank toczyły się 794 sprawy o podłożu fraudowym. W 481 przypadkach zostały zidentyfikowane nieprawidłowości w zakresie oszustw wewnętrznych. Poziom strat wyniósł 113 tys. zł, z czego udało się odzyskać 50,1 tys. zł.

    W Alior Banku funkcjonuje „Program przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu w Alior Bank S.A”.

    W Banku Pekao obowiązuje zarządzenie – Proces zarządzania fraudami wprowadzające Instrukcję służbową – Proces zarządzania fraudami w Banku Polska Kasa Opieki. Instrukcja służbowa określa:

    • kto (która jednostka organizacyjna banku i który pracownik tej jednostki) zobowiązany jest do realizowania działań w przypadku zajścia fraudu;
    • w jaki konkretnie sposób należy przeciwdziałać fraudom (katalog czynności do realizacji).

    Ponadto określone są obowiązki i kompetencje Biura Bezpieczeństwa Finansowego w Departamencie Bezpieczeństwa Banku Pekao, które realizuje zadania związane z centralną koordynacją przeciwdziałania przestępczości finansowej w banku.

    Zarządzenie – Proces zarządzania fraudami oraz wprowadzona Instrukcja służbowa nakładają na każdego pracownika banku obowiązki i uprawnienia związane z przeciwdziałaniem przestępczości finansowej na szkodę samej organizacji i klientów banku.

    W 2021 roku kwota operacji fraudowych w Banku Pekao wyniosła 63,7 mln zł (4 699 operacji fraudowych).

    System zgłaszania nieprawidłowości

    Możemy dokonywać zgłoszeń- „w wybrany sposób właściwy dla podmiotu Grupy PZU:
      • telefonicznie lub faksem; 
      • listownie – na adres jednostki ds. zgodności podmiotu Grupy PZU; 
      • e-mailem – na adres określony przez jednostkę ds. zgodności podmiotu Grupy PZU; 
      • osobiście – do jednostki ds. zgodności podmiotu Grupy PZU.”
      [GRI 102-17]

      W spółkach Grupy, polskich i zagranicznych, obowiązują odrębne procedury zgłaszania nieprawidłowości. Pracownicy są informowani o obowiązujących normach postępowania m.in. na szkoleniach onboardingowych dla nowo zatrudnionych, w ramach e-learningu oraz podczas szkoleń stacjonarnych i w formule online.

      Nieprawidłowość – działanie lub zaniechanie osób powiązanych ze spółką, które może zostać uznane za niezgodne z przepisami prawa, przepisami wewnętrznymi lub standardami postępowania, w tym normami etycznymi przyjętymi przez spółkę, skutkujące lub mogące skutkować narażeniem spółki na ryzyko braku zgodności.

      W spółkach PZU i PZU Życie od 2009 roku funkcjonuje System Zgłaszania Nieprawidłowości (Whistleblowing System), który umożliwia pracownikom i podmiotom współpracującym z PZU zgłaszanie nieprawidłowości o charakterze etycznym. Informacje mogą być przekazywane zarówno imiennie, jak i anonimowo. W każdym przypadku gwarantowane są poufność, dyskrecja i ochrona danych osobowych. Pracownik, który w dobrej wierze zgłasza potencjalną nieprawidłowość, nie jest zagrożony sankcjami, nie ponosi też żadnych konsekwencji w zakresie stosunku pracy z powodu takiego zgłoszenia. System Zgłaszania Nieprawidłowości wspiera stosowanie w PZU przywołanych standardów etycznych i zarządzanie ryzykiem im towarzyszących.

      Zgłoszenia przekazane przez klientów podlegają rozpatrzeniu, zgodnie z odrębnymi regulacjami wewnętrznymi określającymi organizację procesu obsługi skarg.

      W w spółkach PZU i PZU Życie zgłoszono około 140 przypadków podejrzeń nieprawidłowości, co potwierdza faktyczne funkcjonowanie Systemu Zgłaszania Nieprawidłowości. Wszystkie zgłoszone sprawy zostały rozpatrzone zgodnie z obowiązującymi regulacjami, w tym „Procedurą Zgłaszania Nieprawidłowości w PZU SA oraz PZU Życie”.

      Procedura zgłaszania nieprawidłowości

      „Procedurę Zgłaszania Nieprawidłowości w PZU SA oraz PZU Życie” pracownicy poznają na obowiązkowych szkoleniach z zakresu compliance, dostępnych mi.in. na wewnętrznej platformie edukacyjnej. Omawiana jest także na szkoleniu dla nowo zatrudnionych. Informacje dotyczące standardów zgodności, w tym właśnie sposobu zgłaszania nieprawidłowości, systematycznie trafiają również do zewnętrznych podmiotów współpracujących z PZU, m.in. agentów i kontrahentów.

      Zgodnie z obowiązującą „Procedurą Zgłaszania Nieprawidłowości w PZU SA oraz PZU Życie SA” wszelkie wskazane powyżej informacje o nieprawidłowościach mogą być zgłaszane następującymi kanałami komunikacji obsługiwanymi przez Biuro Compliance:

      • dedykowaną infolinię i fax;
      • pocztę tradycyjną na adres jednostki compliance;
      • dedykowane adresy e-mail;
      • dedykowany formularz;
      • osobiście - bezpośrednio do pracownika jednostki compliance.

      Dzięki różnym formom kontaktu z jednostką ds. zgodności pracownik może dokonać zgłoszenia w najbardziej dogodnej dla siebie formie i czasie przez 24 godziny na dobę, 7 dni w tygodniu.

      Zgodnie z obowiązującą „Procedurą” postępowania dotyczące zgłoszenia nieprawidłowości w PZU i PZU Życie prowadzą pracownicy Biura Compliance. Osoba, która prowadzi daną sprawę, koordynuje czynności podejmowane podczas postępowania wyjaśniającego, a także dokonuje analizy okoliczności faktycznych i stanu prawnego podanych w zgłoszeniu.

      O wynikach postępowania, dotyczącego spraw o istotnym znaczeniu dla interesu spółki, informowana jest każdorazowo osoba nadzorująca Biuro Compliance, a jeśli zgłoszenie dotyczy tej osoby – prezes Zarządu spółki. Informacja w zakresie zgłoszonych nieprawidłowości podlega raportowaniu do Zarządu i Rady Nadzorczej ramach cyklicznego raportowania ryzyka braku zgodności.

      W związku z nowelizacją ustawy z 1 marca 2018 roku o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu „Procedura Zgłaszania Nieprawidłowości w PZU SA oraz PZU Życie SA” została uzupełniona o wymogi ustawy dotyczące rozszerzenia katalogu osób podlegających ochronie i określenia zakresu tej ochrony. Dodatkowo, z uwagi na trwający proces legislacyjny w zakresie implementacji do przepisów krajowych Dyrektywy Parlamentu Europejskiego i Rady (UE) 2019/1937 z 23 października 2019 roku w sprawie ochrony osób zgłaszających naruszenia prawa Unii, „Procedura” będzie podlegała dostosowaniu do wymogów ustawy krajowej, zgodnie z określonym w niej terminem.

      Regulacje w spółkach zależnych

      W spółkach należących do Grupy istnieją niezależne mechanizmy zgłaszania informacji o podejrzeniu, możliwości lub zaistnieniu nieprawidłowości bądź nadużyć. Bazą dla ich stworzenia były jednak zasady obowiązujące w PZU i PZU Życie, więc analogicznie pracownicy tych podmiotów poznają procedurę zgłaszania nieprawidłowości podczas szkoleń, a sprawy rozpatrywane są przez jednostki compliance.

      W PZU LAB, PZU Pomoc, TFI PZU oraz PZU Finanse obowiązują „Zasady kategoryzacji, dokumentowania i raportowania o nieprawidłowościach wykrytych przez System Kontroli Wewnętrznej”. Ta regulacja ma zapewnić jednolite standardy postępowania w przypadku zidentyfikowania nieprawidłowości mających wpływ na realizację celów. Poza tym w spółkach LINK4, PZU CO, PZU Finanse, TFI PZU, Tower Inwestycje oraz TUW PZUW funkcjonują procedury zgłaszania nieprawidłowości.

      Wyrazem zaangażowania Banku Pekao w promowanie kultury korporacyjnej wspierającej zachowania etyczne, zgodne z przepisami prawa, obowiązującymi w Banku procedurami i standardami etycznym jest „Polityka zgłaszania naruszeń (whistleblowing) Banku Pekao S.A.”.

      Celem „Polityki zgłaszania naruszeń (whistleblowing) Banku Pekao S.A.” jest stworzenie bezpiecznych kanałów sygnalizowania zaobserwowanych w banku praktyk niezgodnych z obowiązującym prawem, regulacjami wewnętrznymi, nieuczciwych lub nieetycznych lub uzasadnionych podejrzeń ich zaistnienia oraz zapewnienie, że zgłoszone problemy zostaną przyjęte, poddane analizie i właściwie zarządzone, a osoba zgłaszająca je w dobrej wierze będzie chroniona przed działaniami odwetowymi. W 2021 roku w Banku Pekao było 8 przypadków zgłoszeń naruszeń przy wykorzystaniu mechanizmu whistleblowing, w Grupie Pekao nie odnotowano żadnego takiego zgłoszenia.

      W Alior Banku przykłada się ogromną wagę do właściwego zorganizowania systemu zgłaszania naruszeń, aby pracownicy mogli łatwo i bez obaw przekazać informacje lub podzielić się wątpliwościami. W tym celu Bank wprowadził Politykę zgłaszania naruszeń i ochrony sygnalistów. Polityka określa procedury zgłaszania oraz rozpatrywania zgłoszeń nieprawidłowości w miejscu pracy oraz zapewnienia ochrony sygnalistom przed działaniami odwetowymi. Uzupełnieniem Polityki zgłaszania naruszeń i ochrony sygnalistów jest Polityka środowiska pracy wolnego od niepożądanych zachowań, w postaci Procedury postępowania dotyczącej zgłoszenia niepożądanych zachowań w Alior Bank S.A., szczegółowo regulującej postępowanie pracodawcy w przypadku otrzymania zgłoszenia występowania nieprawidłowości w środowisku pracy. Alior Bank zapewnia swoim pracownikom możliwość skorzystania w tym celu z wielu kanałów komunikacji. Zgłoszenie może zostać dokonane ustnie, pisemnie lub mailem na specjalnie do tego dedykowane skrzynki mailowe, w tym również bezpośrednio do Członków Zarządu lub Rady Nadzorczej. Przyjęty system zgłaszania naruszeń daje możliwość zachowania anonimowości. Bank bezwzględnie wyklucza stosowanie wobec pracownika, który dokonał zgłoszenia naruszenia, jakichkolwiek działań o charakterze represyjnym, dyskryminacyjnym lub innego rodzaju niesprawiedliwego traktowania oraz zapewnia poufność w przypadku gdy zgłaszający ujawnił swoją tożsamość lub jego tożsamość jest możliwa do ustalenia.

      We wszystkich spółkach PZU z obszaru zdrowia wdrożono pakiet regulacji compliance, w tym m.in. procedurę zgłaszania nieprawidłowości.

      W ubezpieczeniowych spółkach zagranicznych PZU również obowiązują systemy zgłaszania nieprawidłowości. Naruszenia zgłaszane są tam drogą e-mailową bądź w formie pisemnej oraz osobiście do pracownika jednostki ds. compliance.

      DOBRA PRAKTYKA

      Pracownicy PZU Ukraina i PZU Ukraina Życie uczą się „Procedury Zgłaszania Nieprawidłowości” na kursie e-learningowym „Poznaj Compliance”. Co ważne, dokument spisany jest w dwóch językach: ukraińskim i polskim. Z kolei w spółce Lietuvos Draudimas działającej na Litwie funkcjonuje całodobowa infolinia do zgłaszania nieprawidłowości.