Politică de safeguarding

Art. 1. Cine suntem și cui se aplică această Politică

a) Prezenta Politică de safeguarding și protecție a beneficiarilor se aplică tuturor activităților, programelor, proiectelor, serviciilor, evenimentelor, campaniilor, interacțiunilor directe și digitale, relațiilor contractuale și operațiunilor ARPS în care persoane fizice pot fi expuse unor riscuri de abuz, exploatare, hărțuire, neglijare, discriminare, violență, represalii sau divulgare neautorizată de informații sensibile.

b) ARPS este o organizație non-profit, cu sediul în București, str. Gheorghe Țițeica nr. 142, sector 2, cod poștal 020304, e-mail: office@arps.ro, telefon: +40 21 527 7979, CIF: 13684229, înființată cu nr. 99/10.01.2001 la Judecătoria Sectorului 1 București și număr de înregistrare în Ministerul Justiției 1644/A/2000, înscrisă în Registrul Special al Asociațiilor și Fundațiilor aflat la grefa Judecătoriei sectorului 2 București cu nr. 16/16.06.2021.

c) Politica se aplică membrilor organelor de conducere, directorului executiv, managerilor, angajaților, colaboratorilor, voluntarilor, stagiarilor, consultanților, cercetătorilor, furnizorilor, contractanților, persoanelor detașate, experților externi, partenerilor de implementare și oricărei persoane care acționează în numele, sub autoritatea sau în beneficiul ARPS.

d) Politica se aplică atât în timpul activităților profesionale, cât și în afara lor, atunci când comportamentul persoanei poate afecta beneficiarii, reputația organizației, siguranța proiectelor sau încrederea legitimă a publicului în ARPS. Această abordare este coerentă și cu Codul de conduită al ARPS și cu regulile interne de confidențialitate și securitate a informației

Art. 2. Scop și obiective

a) Scopul Politicii este de a asigura că nicio persoană care intră în contact cu ARPS nu este expusă, prin acțiunea sau omisiunea organizației ori a persoanelor asociate acesteia, unui risc nejustificat de vătămare, exploatare, abuz, hărțuire, umilire, excludere sau divulgare a unor informații a căror folosire ar putea produce prejudicii.

b) Obiectivele minime ale ARPS sunt:

• prevenirea incidentelor de safeguarding;
• identificarea timpurie a riscurilor;
• existența unor canale multiple, accesibile și confidențiale de raportare;
• protecția raportorilor și interzicerea represaliilor;
• răspuns prompt, proporțional și documentat;
• suport și orientare pentru victimă/supraviețuitor;
• integrarea safeguardingului în proiecte, parteneriate și servicii digitale;
• trasabilitate, audit și îmbunătățire continuă.

Art. 3. Bază legală și documente corelate

a) Prezenta Politică se interpretează și se aplică în corelare cu:

• Legea nr. 272/2004 privind protecția și promovarea drepturilor copilului;
• Regulamentul (UE) 2016/679 și Legea nr. 190/2018;
• Legea nr. 361/2022 privind protecția avertizorilor în interes public;
• Legea nr. 53/2003 – Codul muncii;
• OG nr. 137/2000 privind prevenirea și sancționarea tuturor formelor de discriminare;
• Codul penal;
• orice norme speciale aplicabile serviciilor medicale, sociale, educaționale, de cercetare sau digitale desfășurate de ARPS;
• Politica GDPR ARPS, Politica de securitate a informației, Politica de confidențialitate internă, Codul de conduită și etică, Termenii și condițiile website-urilor ARPS și Nota de informare pentru website-uri.

b) Politica reflectă și bune practici internaționale relevante: PSEA și Six Core Principles ale IASC, buletinul ONU ST/SGB/2003/13, strategia și politica UNICEF privind safeguardingul, Core Humanitarian Standard, standardele CPMS/Sphere și cadrul ISO orientat către management bazat pe risc, securitatea informației, calitate și sănătate și securitate ocupațională.

Art. 4. Definiții operaționale

a) În sensul prezentei Politici:

• safeguarding înseamnă ansamblul măsurilor prin care ARPS previne și răspunde la riscurile de vătămare, abuz, exploatare, hărțuire, neglijare, discriminare, represalii și utilizare necorespunzătoare a puterii;
• beneficiar înseamnă orice persoană care primește, solicită, utilizează sau este vizată de servicii, programe, intervenții, proiecte, cercetări, campanii, website-uri sau alte activități ARPS;
• persoană vulnerabilă înseamnă orice persoană care, prin vârstă, stare de sănătate, dizabilitate, statut migrator, dependență economică, context social, relație de subordonare ori altă împrejurare, este mai expusă riscurilor;
• exploatare sexuală înseamnă folosirea abuzivă a unei poziții de putere, vulnerabilitate sau încredere în scop sexual ori pentru obținerea de avantaje sexuale, materiale, sociale sau de altă natură;
• abuz sexual înseamnă orice act sau tentativă de act sexual nedorit, constrângere sexuală ori contact sexual inadecvat;
• PSEA înseamnă prevenirea și răspunsul la exploatarea și abuzul sexual;
• hărțuire sexuală înseamnă orice conduită nedorită cu conotație sexuală care afectează demnitatea persoanei ori creează un mediu intimidant, ostil, degradant, umilitor sau ofensator;
• incident de safeguarding înseamnă orice faptă, suspiciune, sesizare, informație credibilă ori breșă de control care indică un risc sau o vătămare reală;
• victimă/supraviețuitor înseamnă persoana afectată direct de incident;
• raportor înseamnă persoana care formulează o sesizare, nominală sau anonimă. Definițiile și standardele de mai sus sunt aliniate cu cadrele ONU/IASC/UNICEF privind PSEA și safeguarding.

Art. 5. Principii

a) ARPS aplică următoarele principii:

• respectarea demnității umane;
• interesul superior al persoanei protejate;
• nediscriminare și acces echitabil la protecție;
• „do no harm”;
• abordare centrată pe victimă/supraviețuitor;
• confidențialitate și partajare limitată la nevoia de a cunoaște;
• legalitate și proporționalitate;
• răspundere demonstrabilă;
• toleranță zero pentru represalii;
• prevenire bazată pe risc. Aceste principii sunt coerente cu drepturile copilului, cu standardele CHS privind mecanismele de plângeri și cu cerințele GDPR privind integritatea, confidențialitatea și securitatea adecvată riscului.

Art. 6. Roluri și responsabilități

Art. 7. Comportamente interzise

a) Sunt strict interzise:

• orice formă de exploatare, abuz, hărțuire, intimidare, violență, umilire sau discriminare față de beneficiari;
• solicitarea, acceptarea sau oferirea de favoruri sexuale în schimbul accesului la servicii, bani, bunuri, informații, recomandări, angajare, selecție în proiecte sau orice avantaj;
• folosirea relației profesionale, medicale, sociale, educaționale sau de putere pentru relații intime ori sexuale cu beneficiarii dependenți de serviciile ARPS;
• comentarii sexuale, glume degradante, atingeri nedorite, mesaje nepotrivite, comunicare invazivă, fotografiere neautorizată;
• represalii împotriva persoanei care raportează sau cooperează;
• ignorarea, mușamalizarea sau minimalizarea unui risc credibil;
• divulgarea neautorizată a identității victimei, raportorului, martorilor ori persoanei vizate;
• folosirea conturilor personale, a aplicațiilor neaprobate ori a canalelor nesecurizate pentru schimb de date sensibile despre beneficiari;
• achiziționarea de servicii sexuale în legătură cu activitatea profesională sau în contexte în care există un dezechilibru de putere;
• orice act care poate constitui infracțiune potrivit Codului penal, inclusiv atunci când vizează minori ori persoane vulnerabile. Standardele ONU/IASC califică exploatarea și abuzul sexual ca abateri grave; dreptul român sancționează distinct fapte precum actul sexual cu un minor, coruperea sexuală a minorilor, racolarea minorilor în scopuri sexuale și pornografia infantilă.

Art. 8. Recrutare sigură și verificări

a) Nicio persoană nu poate fi recrutată sau implicată într-un rol cu contact direct sau indirect cu beneficiari fără controale minime proporționale riscului.

b) Controalele minime includ:

• verificarea identității;
• CV și istoricul profesional relevant;
• minimum două referințe profesionale, dintre care cel puțin una recentă;
• întrebări explicite de interviu privind safeguardingul, etica și relația cu beneficiarii;
• declarație de integritate și conflict de interese;
• verificări suplimentare pentru rolurile cu expunere la copii sau persoane vulnerabile, inclusiv documente
• de cazier sau echivalent, în măsura permisă de lege și proporțională cu rolul;
• semnarea Codului de conduită și a angajamentului de confidențialitate înainte de începerea activității;
• finalizarea instruirii inițiale înainte de contactul nesupravegheat cu beneficiarii;
• re-verificare la schimbarea rolului, la semnale de risc sau periodic, dacă ARPS instituie această regulă. Cerința unei politici și proceduri de recrutare sigură este recunoscută în CPMS și în bunele practici de safeguarding ale organizațiilor umanitare și sociale.

Art. 9. Reguli de conduită și comportamente așteptate

a) Personalul ARPS trebuie:

• să păstreze limite profesionale clare;
• să explice rolul propriu și limitele serviciului;
• să evite întâlnirile izolate, nesupravegheate, cu beneficiari vulnerabili, dacă nu sunt necesare și aprobate;
• să folosească exclusiv canale și spații aprobate;
• să documenteze interacțiunile sensibile;
• să respecte cultura locală fără a justifica prin aceasta abuzul, discriminarea sau încălcarea drepturilor omului;
• să raporteze imediat orice risc credibil. Aceste reguli sunt compatibile cu documentele interne ARPS privind conduita, confidențialitatea și securitatea informației.

Art. 10. Safeguarding în proiecte, servicii digitale și gestionarea informațiilor

a) Fiecare proiect, serviciu, eveniment, cercetare, platformă online, formular digital sau mecanism de feedback trebuie să includă, înainte de lansare, o evaluare de risc de safeguarding și, dacă este cazul, o analiză privind protecția datelor.

b) Pentru canalele digitale, ARPS aplică cel puțin următoarele controale:

• acces bazat pe rol;
• parole puternice și, unde este posibil, autentificare multifactor;
• jurnalizare și revizuire periodică a accesului;
• interdicția folosirii aplicațiilor neaprobate pentru date sensibile;
• reguli pentru camere video, capturi de ecran, înregistrări și stocarea fișierelor;
• informare privind cookie-uri și date personale pe website-uri;
• protecție prin proiectare și implicit, inclusiv minimizarea datelor și retenție limitată. GDPR impune integritate și confidențialitate, măsuri tehnice și organizatorice adecvate riscului, iar EDPB a emis ghiduri specifice privind breșele și mijloacele video.

Art. 11. Măsuri PSEA specifice

a) ARPS adoptă, ca reguli minime PSEA:

• interdicție absolută a schimbului de bani, bunuri, angajare, servicii, sprijin sau beneficii pentru acte sexuale;
• interdicție absolută a oricărei activități sexuale cu un copil;
• interdicție a folosirii vulnerabilității, dependenței sau inegalității de putere pentru obținerea de avantaje sexuale;
• obligația de raportare a suspiciunilor rezonabile;
• canale de plângeri sigure, sensibile la gen și context, dezvoltate și comunicate într-o manieră accesibilă comunităților;
• orientarea rapidă către servicii medicale, psihologice, sociale, juridice și de protecție;
• clauze obligatorii de PSEA în contracte și parteneriate. Aceste elemente sunt centrale în standardele IASC și UNICEF privind PSEA și în mecanismele comunitare de plângeri.

Art. 12. Evaluarea și reducerea riscurilor

a) Evaluarea de risc este obligatorie:

• la proiecte noi;
• la schimbări de activitate;
• la introducerea unor servicii digitale;
• la evenimente cu participare mare;
• la activități cu copii ori persoane vulnerabile;
• după incidente sau aproape-incidente.

b) Evaluarea trebuie să acopere minimum: tipul de beneficiar; dezechilibrele de putere; recrutarea și supravegherea personalului; spațiile fizice; transportul; cazarea; interacțiunea online; colectarea și stocarea datelor; reputația și istoricul partenerilor; mecanismele de feedback și plângeri; riscurile contextuale, inclusiv de gen, discriminare și migrație.

c) Abordarea este aliniată cu managementul riscului din ISO 31000 și cu cerințele ISO/IEC 27001 privind controalele organizaționale într-un sistem de management al securității informației.

Art. 13. Raportare, plângeri și whistleblowing

a) ARPS va menține canale multiple de raportare: e-mail dedicat, formular online, linie telefonică, raportare directă către punctul focal safeguarding, raportare către un manager, cutie fizică de sesizări unde este relevant și canal extern legal.

b) Canalele trebuie să permită:

• raportări nominale și anonime;
• acces în limba română și, dacă proiectul o cere, în alte limbi relevante;
• protejarea confidențialității identității raportorului, persoanei vizate și terților menționați;
• posibilitatea formulării de plângeri de către beneficiari, reprezentanți legali, martori ori parteneri.

c) Raportările trebuie confirmate, de regulă, prompt. Ca standard minim intern, ARPS va transmite confirmarea de primire în cel mult 2 zile lucrătoare pentru sesizările de safeguarding și, pentru raportările calificate juridic ca avertizări în interes public, va respecta cerințele Legii nr. 361/2022 privind confirmarea în 7 zile calendaristice și informarea ulterioară asupra acțiunilor subsecvente în termenul legal.

d) Nimeni nu poate fi sancționat, intimidat, mutat abuziv, exclus, umilit sau defavorizat pentru o raportare făcută cu bună-credință ori pentru cooperarea într-o investigație. Legea avertizorilor consacră protecția față de represalii, iar bunele practici CHS și PSEA impun mecanisme sigure de plângeri.

Art. 14. Procedura de triere și investigație

a) La primirea unei sesizări, punctul focal safeguarding efectuează fără întârziere:

• înregistrarea și clasificarea preliminară;
• evaluarea riscului imediat;
• separarea măsurilor de protecție de analiza de fond;
• identificarea obligațiilor de raportare către autorități;
• consultarea DPO dacă sunt implicate date cu caracter personal sensibile;
• propunerea unei căi: management informal al riscului, investigație internă, raportare externă, suspendare preventivă, referire socială/medicală.

b) Investigațiile trebuie să fie:

• imparțiale;
• documentate;
• limitate la persoanele cu nevoie de a cunoaște;
• non-retraumatizante;
• desfășurate de persoane instruite;
• separate de evaluarea disciplinară finală, atunci când este necesar.

c) Standardul de probă intern pentru măsurile administrative este cel aplicabil raporturilor organizaționale și de muncă; politica nu împiedică sesizarea penală, civilă, contravențională sau administrativă. Practicile EDPB privind incidentele și standardele CHS/PSEA susțin investigarea structurată, bazată pe risc și documentare.

Art. 15. Măsuri imediate de protecție și suport

a) Înainte sau independent de finalizarea investigației, ARPS poate dispune:

• separarea persoanei vizate de beneficiar;
• schimbarea responsabilului de caz;
• suspendare sau restrângere de acces;
• escortare, transfer, acompaniere, transport sigur;
• asistență medicală de urgență;
• suport psihologic și social;
• informare privind opțiunile legale;h) măsuri de securitate digitală și protecția datelor.

b) Răspunsul va fi centrat pe siguranța, demnitatea, confidențialitatea și opțiunile persoanei afectate. Pentru supraviețuitorii copil ai SEA, UNICEF urmărește accesul la asistență în termen foarte scurt, iar ARPS va opera cu standardul intern „fără întârziere”, ideal în aceeași zi și, unde există servicii specializate, cu activarea referirii în maximum 24–48 de ore.

Art. 16. Clasificarea informațiilor și reguli operaționale de confidențialitate

a) În aplicarea acestei Politici, ARPS folosește următoarea clasificare armonizată cu Politica de securitate a informației:

• Public – informații aprobate pentru publicare;
• Intern – informații de lucru, distribuite numai în interiorul ARPS;
• Confidențial – informații privind beneficiari, personal, proiecte, finanțări, investigații, evaluări de risc, contracte și alte informații sensibile;
• Secret / Strict confidențial – date și documente a căror divulgare poate produce prejudicii grave victimelor, copiilor, persoanelor vulnerabile, ARPS, partenerilor sau procedurilor legale.

b) Reguli minime:

• accesul se acordă numai pe baza nevoii de a cunoaște;
• transmiterea externă a documentelor Confidențiale sau Secrete se face numai cu aprobare și prin canal securizat;
• exportul pe dispozitive personale neaprobate este interzis;
• tipărirea este limitată la strictul necesar;
• discuțiile despre cazuri se poartă doar în spații și canale protejate;
• identitatea copilului, a victimei, a raportorului și a martorilor nu se dezvăluie decât dacă legea impune ori dacă este strict necesar pentru protecție;
• datele sunt păstrate numai atât timp cât este necesar și apoi arhivate ori distruse securizat.

c) Obligația de confidențialitate se aplică pe durata raportului de muncă/colaborare și continuă după încetarea acestuia. Pentru informațiile Confidențiale și Secrete, obligația subzistă pe termen nedeterminat în măsura în care informația nu a devenit legal publică sau nu trebuie divulgată prin lege. Codul muncii consacră obligația de fidelitate și obligația de a respecta secretul de serviciu.

Art. 17. Parteneri, furnizori și due diligence

a) Înainte de contractare, ARPS realizează o verificare proporțională a partenerilor și furnizorilor, care poate include:

• reputație și istoricul incidentelor;
• existența unei politici de safeguarding / child protection;
• persoană de contact desemnată;
• capacitatea de a gestiona plângeri și date sensibile;
• compatibilitatea contractuală cu clauzele ARPS.

b) Contractele cu partenerii și furnizorii care au contact cu beneficiari vor include cel puțin:

• obligația de respectare a politicilor ARPS;
• obligația de raportare imediată a incidentelor;
• posibilitatea suspendării sau încetării colaborării;
• obligații privind confidențialitatea și protecția datelor;
• obligația de cooperare la investigații și audituri rezonabile.

Art. 18. Formare și consolidarea capacității

a) Toate persoanele vizate de Politică trebuie să parcurgă:

• instruire inițială la onboarding;
• refresher anual;
• instruire aprofundată pentru rolurile de management, HR, cercetare, digital, servicii directe și punct focal safeguarding;
• simulări de incident pentru echipele relevante.

b) Conținutul minim al instruirii este prezentat în tabelul dedicat din secțiunea anexelor. Carterul ISO privind îmbunătățirea continuă, precum și standardele CHS/PSEA, susțin instruirea periodică, claritatea rolurilor și monitorizarea rezultatelor.

Art. 19. Monitorizare, audit, registre și KPI

a) ARPS va menține cel puțin:

• registrul sesizărilor de safeguarding;
• registrul investigațiilor și măsurilor;
• registrul instruirilor și semnăturilor de luare la cunoștință;
• registrul evaluărilor de risc pe proiecte;
• registrul partenerilor și verificărilor de due diligence.

b) KPI minimi recomandați:

• 100% personal nou instruit în 30 de zile;
• 100% semnare cod de conduită și declarație de confidențialitate;
• 100% proiecte cu evaluare de risc înainte de lansare;
• 100% cazuri grave triage în aceeași zi lucrătoare;
• >90% refresher anual;
• 100% contracte relevante cu clauză safeguarding;
• analiză trimestrială a tendințelor și a aproape-incidentelor.

Art. 20. Sancțiuni și măsuri disciplinare

a) Încălcarea Politicii poate conduce, în funcție de gravitate, la:

• instruire corectivă;
• avertisment;
• restrângerea atribuțiilor;
• suspendarea de la activități;
• desfacerea disciplinară a raportului de muncă sau încetarea contractului;
• notificarea finanțatorilor, partenerilor, autorităților competente;
• sesizarea organelor de urmărire penală ori a altor autorități. Codul muncii permite sancționarea abaterilor grave și repetate de la regulile interne, iar dreptul penal sancționează faptele relevante împotriva minorilor și libertății/integrității sexuale.

Art. 21. Revizuire și actualizare

a) Politica se revizuiește cel puțin anual și ori de câte ori apar:

• modificări legislative;
• incidente semnificative;
• schimbări de structură sau de tipuri de proiecte;
• observații din audit, monitorizare, beneficiar feedback sau parteneri.

b) Revizuirea va fi documentată și aprobată de conducerea competentă. Abordarea anuală și bazată pe învățare este compatibilă și cu managementul sistemic de tip ISO.

Art. 22. Extras de cod intern pentru personal

„Nu folosesc poziția profesională pentru a obține avantaje personale, sexuale, financiare sau reputaționale de la beneficiari. Nu solicit și nu accept favoruri, cadouri sau servicii în schimbul accesului la proiecte ori servicii. Raportez prompt orice suspiciune credibilă de exploatare, abuz, hărțuire, discriminare, represalii sau divulgare neautorizată a datelor. Respect strict clasificarea informațiilor și regula nevoii de a cunoaște.” Acest extras este armonizat cu codul de conduită și cu politica ARPS de securitate a informației.

Legendă: R = responsabil de execuție; A = aprobă / răspunde final; C = consultat; I = informat.

„Persoana vizată de prezenta politică are obligația de a păstra strict confidențiale toate informațiile clasificate ca Interne, Confidențiale ori Secrete/Strict confidențiale la care are acces în legătură cu ARPS, beneficiarii, copiii, victimele, partenerii, proiectele, finanțările, investigațiile, datele personale, metodologiile, codul, produsele software, arhitecturile, ideile de dezvoltare și documentele de lucru ale ARPS. Obligația subzistă pe durata întregii relații contractuale și după încetarea acesteia, pe termen nedeterminat pentru informațiile Secrete/Strict confidențiale și pentru orice informații privind copii, victime, martori, incidente, secrete comerciale ori know-how, fără a aduce atingere obligațiilor legale de divulgare către autorități competente.”

• Data și ora raportării
• Canalul prin care se transmite sesizarea
• Numele raportorului, dacă dorește să îl comunice
• Date de contact, dacă dorește feedback
• Raportare anonimă: da / nu
• Cine este afectat: adult / copil / grup / necunoscut
• Descrierea faptelor
• Data/locul/contextul incidentului
• Persoana vizată / rolul acesteia
• Există risc imediat: da / nu
• Măsuri deja luate
• Martori sau documente disponibile
• Necesitate de asistență medicală / psihologică / juridică / socială
• Preferințe de contact și confidențialitate
• Semnătură, dacă este cazul

„Partenerul declară că a luat cunoștință de Politica ARPS de safeguarding și protecție a beneficiarilor și de Politica ARPS privind protecția copilului și se obligă să le respecte și să le implementeze în măsura aplicabilă. Partenerul va preveni, raporta și gestiona fără întârziere orice incident de exploatare, abuz, hărțuire, represalii sau încălcare a confidențialității în legătură cu activitățile derulate pentru sau împreună cu ARPS. Partenerul va notifica ARPS imediat, dar nu mai târziu de 24 de ore de la luarea la cunoștință, despre orice incident grav ori suspiciune credibilă, va coopera deplin la verificări și investigații și va adopta măsuri de protecție și remediere. Nerespectarea prezentelor obligații constituie încălcare gravă și poate atrage suspendarea, rezilierea contractului și, după caz, notificarea autorităților competente.”