Урок 1Ролі операторів та модель управління: внутрішні офіцери повідомлень, заступники, юридичний відділ, HR та ролі зовнішніх постачальниківЦей розділ уточнює модель управління та ролі операторів. Він визначає відповідальності внутрішніх офіцерів повідомлень, заступників, юридичного відділу, HR та зовнішніх постачальників, а також пояснює шляхи ескалації, гарантії незалежності та резервні安排.
Mandate of the internal reporting officerDeputy arrangements and business continuityInterfaces with Legal, HR, and ComplianceUse of external ombuds or hotline providersIndependence, conflicts, and reporting linesУрок 2Картографування процесів: прийом, тріаж, попередня оцінка, формальне розслідування, корекційна дія, закриттяЦей розділ пояснює, як картографувати повний процес повідомлень від прийому до закриття. Він визначає тріаж, попередню оцінку, формальне розслідування, корекційні дії та документування, забезпечуючи чіткість ролей, термінів та точок прийняття рішень.
Designing the intake and registration stepsTriage rules and risk-based prioritizationPreliminary assessment and scopingFormal investigation workflow and controlsCorrective action, closure, and lessons learnedУрок 3Контроль доступу та дозволи на основі ролей для систем прийому, розслідування та архівуЦей розділ визначає концепції контролю доступу для систем повідомлень. Він охоплює дозволи на основі ролей, сегрегацію обов'язків, принцип найменших привілеїв та безпечне архівування, забезпечуючи, що лише авторизований персонал може переглядати, редагувати чи експортувати чутливі дані справ.
Role design for intake and investigation teamsLeast privilege and need-to-know principlesSegregation of duties and conflict checksAccess reviews and recertification cyclesSecure archive access and export controlsУрок 4Технічні та організаційні заходи для конфіденційності: шифрування, псевдонімізація, журнали аудиту, графіки зберіганняЦей розділ деталізує технічні та організаційні заходи для конфіденційності, включаючи шифрування, псевдонімізацію, контролі доступу, логування та зберігання. Він пов'язує ці заходи з правовими вимогами, оцінками ризиків та внутрішніми політиками безпеки.
End-to-end encryption for reporting channelsPseudonymisation and data minimization rulesSecure storage, backups, and key managementAudit logging and monitoring of accessRetention schedules and secure deletionУрок 5Управління ескалацією та звітність раді: коли залучати вищу управлінську ланку, юридичний відділ, комітет комплаєнсуЦей розділ пояснює правила ескалації, структури управління та звітність раді. Він уточнює, коли залучати вищу управлінську ланку, юридичний відділ чи органи комплаєнсу, та як документувати рішення, захищати незалежність та уникати ризиків помсти.
Escalation criteria and materiality thresholdsRoles of senior management in case handlingInvolvement of Legal and Compliance bodiesBoard and committee reporting formatsDocumenting escalation decisionsУрок 6Вибір та специфікація каналів повідомлень (безпечні онлайн-форми прийому, телефонна гаряча лінія, поштова, особиста, делегована електронна пошта)Цей розділ пояснює, як вибирати та специфікувати канали повідомлень, включаючи онлайн-форми, гарячі лінії, пошту, особисті зустрічі та делеговану електронну пошту. Він охоплює безпеку, зручність, доступність та документування для забезпечення надійного, відповідного доступу для всіх повідомників.
Channel mix: online, phone, postal, in-personSecurity requirements for each channel typeDesigning usable and clear intake formsDelegated email and mailbox managementBusiness continuity and fallback channelsУрок 7Терміни та SLA, узгоджені з HinSchG: терміни підтвердження, віхи розслідування, зворотний зв'язок повідомникуЦей розділ зосереджується на термінах та SLA за HinSchG. Він пояснює терміни підтвердження, віхи розслідування та обов'язки зворотного зв'язку, та показує, як вбудувати їх у процедури, інструменти та панелі моніторингу для відповідності.
HinSchG timelines and legal benchmarksAcknowledgement and status update deadlinesInvestigation duration and milestone trackingFeedback obligations to the reporterMonitoring SLA breaches and remediationУрок 8Багатомовні та вимоги доступності (німецька, англійська та німецько-австрійські мовні аспекти; опції анонімного повідомлення)Цей розділ розглядає багатомовні та доступні потреби для повідомників. Він охоплює використання німецької та англійської, австрійські варіанти, просту мову, анонімні опції та пристосування для інвалідності, забезпечуючи рівний, безпечний доступ до всіх каналів повідомлень.
Language strategy for German and EnglishHandling Austrian-German terminologyPlain language and easy-to-read draftingAccessibility for disabilities and assistive techAnonymous and confidential reporting optionsУрок 9Оцінка постачальників третіх сторін та договірні клаузули (DPA, конфіденційність, права аудиту, SLA для часу реагування)Цей розділ спрямовує оцінку зовнішніх постачальників гарячих ліній чи платформ. Він охоплює due diligence, DPA, конфіденційність, права аудиту, SLA та постійний моніторинг для забезпечення правової відповідності, безпеки даних та надійного надання послуг.
Due diligence on hotline and platform vendorsData Processing Agreement key clausesConfidentiality and conflict-of-interest termsAudit and inspection rights in contractsSLAs for uptime and response timesУрок 10Шаблонні документи та ведення записів: форми прийому, листи підтвердження, плани розслідування, фінальні звіти, шаблони редагуванняЦей розділ охоплює обов'язкові шаблони та записи протягом життєвого циклу справи. Він пояснює, як стандартизувати прийом, підтвердження, плани розслідування, звіти та редагування для забезпечення послідовності, аудитованості та відповідності HinSchG та GDPR.
Standardized intake and case opening formsAcknowledgement and follow-up letter templatesInvestigation planning and scoping templatesFinal report and management summary formatsRedaction standards for shared documents
