Ustawa o przejrzystości
A. Informacje ogólne
Organizacja
4human składa się z czterech spółek, z których spółka dominująca jest spółką holdingową. Pozostałe trzy spółki produkują oprogramowanie na rynek norweski i międzynarodowy.
4human HRM AS tworzy systemy HRM jako rozwiązania w chmurze (SaaS). Oznacza to, że 4human HRM przetwarza duże ilości danych osobowych.
4human TQM AS jest spółką zależną należącą w całości do 4human HRM i TQM, która tworzy systemy jakości, HSE i środowiska zewnętrznego jako rozwiązanie w chmurze (SaaS).
4human QM365 AS jest również spółką zależną należącą w całości do 4human HRM, a QM365 tworzy systemy jakości, HSE i środowiska zewnętrznego zainstalowane na własnym MS365 Sharepoint klienta.
Oprogramowanie dla jakości, HSE i środowiska zewnętrznego również wiąże się z przetwarzaniem danych osobowych na większą skalę niż zwykle.
W związku z dostarczaniem różnych rozwiązań chmurowych, 4human świadczy również usługi konsultingowe.
Przychody w roku sprawozdawczym 2022
97 mln NOK
Liczba pracowników
70
Oceny ostrożnościowe i system zarządzania
Wysiłki 4human na rzecz odpowiedzialnego działania i zapewnienia praw człowieka oraz godnych warunków pracy będą w pełni zintegrowaną częścią systemu zarządzania 4human. Między innymi narzędzia oceny ryzyka 4human zostały dostosowane i są aktywnie wykorzystywane do oceny ryzyka naruszenia odpowiedzialności. Narzędzie 4human do rejestrowania odchyleń/incydentów jest wykorzystywane jako wewnętrzny kanał zgłaszania/zgłaszania odchyleń związanych z odpowiedzialnością. Ponadto nasze wytyczne etyczne zostały zaktualizowane, aby uwzględnić oczekiwania i wymagania dotyczące odpowiedzialności wśród naszych pracowników.
4human przeprowadza również regularne analizy interesariuszy i dzięki tej pracy uzyskuje dobry przegląd różnych interesariuszy grupy, w szczególności jej partnerów biznesowych i dostawców.
Wraz z analizą interesariuszy przeprowadzane są również analizy SWOT i PESTEL.
Wszyscy klienci 4human podpisują umowę o przetwarzaniu danych, która jest przejrzysta dla klientów będących dostawcami 4human.
Certyfikaty
Wszystkie trzy spółki produkcyjne w grupie posiadają certyfikat ISO 9001, Systemy Zarządzania Jakością. Ponadto 4human HRM i jej spółka zależna 4human TQM posiadają certyfikaty ISO 27001/27002, Systemy zarządzania bezpieczeństwem informacji, ISO 27018, Środki bezpieczeństwa danych osobowych w rozwiązaniach chmurowych oraz ISO 27701, Systemy zarządzania prywatnością. 4human korzysta z usług DNV jako niezależnej firmy certyfikującej. W ramach kontroli wewnętrznej 4human korzysta z własnego oprogramowania.
W grudniu 2019 r. zarząd bezwzględnie wymagał od 4human uzyskania certyfikatu ISO w zakresie jakości, bezpieczeństwa informacji i prywatności. W maju 2022 roku 4human uzyskało certyfikat ISO, a 3
oficjalnie wprowadzono metodyczną i ciągłą pracę nad jakością, bezpieczeństwem informacji i prywatnością.
Zakotwiczenie prac nad ustawą o przejrzystości w zarządzie i kierownictwie
Dla zarządu 4human bezpieczeństwo danych przetwarzanych w imieniu klientów zawsze znajdowało się na szczycie listy priorytetów. Od 2022 r. ustawa o przejrzystości jest również tematem dla kierownictwa i zarządu.
B. Negatywne konsekwencje i zagrożenia
Mapowanie i 4wpływ człowieka na ludzi i społeczeństwo
Największym ryzykiem dla 4human w odniesieniu do podstawowych praw człowieka jest sytuacja, w której dane osobowe przetwarzane przez 4human w rozwiązaniach chmurowych w imieniu swoich klientów zostaną pominięte, tj. dojdzie do naruszenia poufności danych osobowych.
W rezultacie 4human traktuje priorytetowo ocenę warunków związanych z zabezpieczeniem poufności danych osobowych w rozwiązaniach chmurowych grupy i warunków pracy u najważniejszych dostawców 4human, w odniesieniu do zabezpieczenia danych osobowych. Ponadto oceniono również własne operacje 4human, w tym dostawcę sprzętu ICT. W tym przypadku 4human oceniła również ryzyko negatywnego wpływu w związku z przetwarzaniem e-odpadów. Jest to ściśle związane z ryzykiem pracy dzieci, ogólnie złymi warunkami pracy i dużym wpływem na środowisko zewnętrzne.
Oceny ostrożnościowe (oceny ryzyka)
Ryzyko wewnętrzne w 4human
Oceny zachowań 4human związane z bezpieczeństwem informacji i prywatnością w produktach grupy nie wykazują żadnych faktycznych negatywnych konsekwencji ani znaczącego ryzyka wystąpienia negatywnych konsekwencji.
W ocenie ryzyka przeprowadzonej zgodnie z wytycznymi OECD zidentyfikowano pewne ryzyko związane z brakiem systematycznej pracy nad ocenami działalności. Kilka środków zostało już wdrożonych, zob. lit. A, a kolejne są planowane, zob. lit. C. Oceny działalności 4human w 2022 r. nie wykazują, że istnieją rzeczywiste negatywne konsekwencje lub znaczące ryzyko negatywnych konsekwencji w odniesieniu do HSE w 4human. W związku z tym 4human widzi, że powinien nieco więcej pracować nad systematyczną pracą w zakresie BHP. Opis środków pod literą C.
Ryzyko związane z zakupami
Najważniejszymi materiałami operacyjnymi 4human są komputery i telefony. W 2022 r. sytuacja podażowa, zwłaszcza w przypadku komputerów PC, była taka, że musieliśmy kupować to, co było dostępne. 4human nie ma wpływu na wrażliwe komponenty komputerów i telefonów. 4human ma politykę dotyczącą zakupu komputerów i telefonów, ale ze względu na sytuację dostawczą nie było możliwe przestrzeganie tej polityki w 2022 roku. Wszystkie zakupy komputerów w 4human odbywają się za pośrednictwem partnera operacyjnego, firmy Advania. Czynniki ryzyka związane z prawami człowieka są z pewnością obecne. W 2022 r. 4human nie zrobił nic związanego z tym ryzykiem. Ale podejmie działania następcze w tym zakresie w 2023 roku.
Zagrożenia związane z e-odpadami
W 2022 roku 4human zatrudniało 70 pracowników. Średnia żywotność komputera w 4human wynosi 6 lat. Oznacza to, że pozbywamy się około 12 komputerów rocznie. Utylizację komputerów zleciliśmy naszemu partnerowi operacyjnemu Advania (więcej informacji w sekcji Advania).
Informacje o łańcuchu dostaw
Advania Norge 46 AS
Dostarcza wsparcie biurowe, zapewnia wsparcie, obsługuje i hostuje kilka rozwiązań chmurowych 4human.
Oceny ryzyka nie wykazują żadnych rzeczywistych negatywnych konsekwencji ani znaczącego ryzyka negatywnych konsekwencji w odniesieniu do zabezpieczenia danych osobowych w naszych systemach związanych z usługami świadczonymi przez Advania na rzecz 4human.
4human nie stwierdza ryzyka naruszenia praw człowieka lub praw pracowniczych związanych z branżą lub lokalizacją. Advania Norway jest norweskim dostawcą, a zapotrzebowanie na siłę roboczą w sektorze ICT jest wysokie. Ocena due diligence przeprowadzona przez 4human nie wykazała również żadnych negatywnych konsekwencji ani znaczącego ryzyka negatywnych konsekwencji warunków pracy w Advania.
Zagrożenia związane z e-odpadami
W 2022 roku Advania ustanowiła program "Odpowiedzialne zarządzanie e-odpadami". Ten system postępowania z e-odpadami pomoże między innymi zapewnić, że utylizacja odbywa się w sposób odpowiedzialny społecznie i zrównoważony. Jest to praca, którą 4human monitoruje poprzez monitorowanie dostawców Advania. Oceny biznesowe 4human nie wykazują żadnych rzeczywistych negatywnych konsekwencji ani znaczącego ryzyka wystąpienia negatywnych konsekwencji podczas postępowania z e-odpadami.
Raport zrównoważonego rozwoju Advania za rok 2022:
Xebia sp. Z o.o. (dawna PGS sp. z o.o. została przejęta przez Xebia w 2022 r.), Polska
Zapewnia usługi programistyczne, zarządzanie aplikacjami i wsparcie czwartej linii dla klientów 4human.
4human kupuje usługi programistyczne od Xebia. Wszyscy programiści Xebia wykorzystywani przez 4human mają siedzibę w Polsce. Deklaracja własna Xebia (PGS) i należyta staranność 4human pokazują, że podstawowe prawa człowieka i godne warunki pracy są chronione w Xebia.
Należyta staranność 4human wykazała, że poufność danych osobowych przetwarzanych przez Xebia w imieniu 4human była dobrze chroniona. W związku z tym nie ma żadnych negatywnych konsekwencji ani znaczącego ryzyka negatywnych konsekwencji pracy Xebia dla 4human.
Podobnie jak Norwegia, Polska jest objęta ogólnym rozporządzeniem o ochronie danych i nie ma żadnych negatywnych konsekwencji ani znaczącego ryzyka negatywnych konsekwencji pracy odbywającej się w Polsce.
AWS
Platforma dla niektórych rozwiązań chmurowych 4human
Ryzyko związane z produktem
W przeprowadzanych przez 4human ocenach należytej staranności dostawców oprogramowania, podejście dostawcy do bezpieczeństwa informacji i prywatności ma duże znaczenie. Współpraca 4human z AWS pokazuje, że AWS zajmuje 5
z najwyższą powagą. 4human nie może znaleźć żadnych rzeczywistych negatywnych konsekwencji lub znaczącego ryzyka negatywnych konsekwencji działań AWS mających na celu zachowanie poufności, integralności i dostępności danych osobowych.
Serwery, na których znajdują się niektóre rozwiązania chmurowe 4human, znajdują się w Irlandii. Irlandia ma takie same wymagania dotyczące prywatności jak Norwegia.
Analiza due diligence przeprowadzona przez 4human nie wykazała żadnych faktycznych negatywnych konsekwencji lub znaczącego ryzyka wystąpienia negatywnych konsekwencji dla praw człowieka lub warunków pracy.
Globalne zasady praw człowieka Amazon:
https://sustainability.aboutamazon.com/society/human-rights/principles
Microsoft (MS Azure)
Platforma dla niektórych rozwiązań chmurowych 4human.
Ryzyko związane z produktem
W przeprowadzanych przez 4human ocenach due diligence dostawców oprogramowania, podejście dostawcy do bezpieczeństwa informacji i prywatności ma duże znaczenie. Praca 4human z MS Azure pokazuje, że Microsoft traktuje to bardzo poważnie.
Rozwiązania 4human dla Microsoft są zlokalizowane w różnych centrach danych w UE.
4human nie stwierdza żadnych rzeczywistych negatywnych konsekwencji ani znaczącego ryzyka wystąpienia negatywnych konsekwencji działań Microsoft Azure mających na celu zachowanie poufności, integralności i dostępności danych osobowych.
Analiza due diligence przeprowadzona przez 4human nie wykazała żadnych faktycznych negatywnych konsekwencji lub znaczącego ryzyka wystąpienia negatywnych konsekwencji dla praw człowieka lub warunków pracy.
Społeczna odpowiedzialność biznesu Microsoft:
https://www.microsoft.com/en-us/corporate-responsibility/human-rights
C. Środki
Wysoki poziom bezpieczeństwa informacji i dobra ochrona danych są priorytetem dla 4human od wielu lat. Bezpieczeństwo informacji i prywatność są uważane za dobrze chronione.
Zarówno poprzez swój system zarządzania, jak i systemy wsparcia różnych rozwiązań, 4human ma opcje zgłaszania nieprawidłowości, jeśli ktoś odkryje naruszenia podstawowych praw człowieka i godnych warunków pracy. 4human ma również własnego inspektora ochrony danych, którego dane kontaktowe są dostępne na stronie internetowej 4human.
Bieżące i planowane działania
Procesy 4human dotyczące zakupów oraz oceny i monitorowania dostawców są aktualizowane, aby zapewnić m.in. odpowiednią ocenę odpowiedzialności dostawców i partnerów biznesowych 4human przed zawarciem nowych umów i zakupami od nowych dostawców, a także w przypadku poważnych zmian u istniejących dostawców. W przyszłości praca nad należytą starannością będzie zatem integralną częścią systemu zarządzania 4human.
Ponowne skupienie się na wewnętrznej pracy w zakresie BHPiOŚ jest również priorytetowym obszarem w 2023 roku.
Ocena skutków wdrożonych i planowanych działań
Ocena pracy 4human w zakresie odpowiedzialności będzie, podobnie jak w innych obszarach, monitorowana za pomocą już ustanowionych procesów w systemie zarządzania 4human, takich jak audyty wewnętrzne i przeglądy zarządzania.
Przyjęto na posiedzeniu zarządu 4human Invest AS, 3 lipca 2023 r.