Ochrona sygnalistów w ustawie AML

Ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu z 1 marca 2018 roku wprowadziła szereg obowiązków dla podmiotów tzw. Sektora finansowego. Potocznie nazywamy ten akt prawny „ustawą AML” od ang. Anti money laundering. I takim określeniem, dla ułatwienia, będziemy się posługiwać.

30 marca 2021 została przyjęta nowelizacja ustawy AML, która ma na celu dostosowanie polskich przepisów do wymogów zawartych w tzw. V dyrektywie unijnej o AML. Znowelizowane przepisy zaczną ostatecznie obowiązywać już od 31 października 2021. I o ile sama ustawa AML jest dość dobrze znana i stosowana przez podmioty obowiązane to najnowsze zmiany są dość istotne i zawierają dużo nowych obowiązków.

Po krótce opowiem o najważniejszych z nich, ale głównie skupię się na zagadnieniu ochrony sygnalistów i obowiązków z tym związanych zawartych w ustawie.

Co zawiera nowelizacja ustawy AML?

Rozszerza się katalog podmiotów obowiązanych

Do już szerokiego katalogu dochodzą następujące podmioty:

  • Pośrednicy w obrocie nieruchomościami – z wyłączeniem czynności zawarcia najmu lub dzierżawy, jeśli czynsz został ustalony w wysokości mniejszej niż równowartość 10 000 euro
  • Przedsiębiorcy, którzy świadczą usługi polegające na sporządzaniu deklaracji podatkowych, prowadzeniu ksiąg, czy doradztwie podatkowym – oznacza to, że od teraz nie tylko doradcy wpisani na listę doradców podatkowych będą podlegali ustawie, ale wszystkie biura księgowe i indywidualni księgowi.
  • Przedsiębiorcy zajmujący się obrotem lub pośredniczący w obrocie dziełami sztuki lub antykami – zmiana ta podyktowana jest przekonaniem, że dzieła sztuki przedstawiające często wielką wartość były wykorzystywane w procederach prania pieniędzy, czy nawet finansowania terroryzmu.

 Czy Twoja firma podlega zapisom AML?

Oto, uproszczony katalog wszystkich podmiotów obowiązanych:

  • Banki
  • SKOKi
  • Krajowe instytucje płatnicze
  • Firmy inwestycyjne i banki powiernicze
  • Zagraniczne podmioty prowadzące działalność maklerską na terytorium RP
  • Platformy aukcyjne
  • Fundusze inwestycyjne
  • Zakłady ubezpieczeń
  • Pośrednicy ubezpieczeniowi
  • Kantory
  • Notariusze, adwokaci, radcowie prawni – w związku z niektórymi czynnościami
  • Doradcy podatkowi
  • Przedsiębiorcy, którzy świadczą usługi polegające na sporządzaniu deklaracji, prowadzeniu ksiąg podatkowych, udzielaniu porad, opinii lub wyjaśnień z zakresu prawa podatkowego lub celnego
  • Przedsiębiorcy zajmujący się usługowym prowadzeniem ksiąg rachunkowych
  • Pośrednicy w obrocie nieruchomościami
  • Operatorzy pocztowi
  • Przedsiębiorcy prowadzący działalność w zakresie gier losowych i zakładów wzajemnych, czy gier na automatach
  • Fundacje i stowarzyszenia – jeśli przyjmują lub dokonują płatności w gotówce o wartości przekraczającej 10000 euro
  • Wszyscy przedsiębiorcy, którzy dokonują lub przyjmują płatności przekraczające 10000 euro, bez względu na to, czy transakcja jest pojedyncza, czy składa się z kilku operacji, które wydają się z sobą powiązane.
  • Przedsiębiorcy zajmujący się obrotem lub pośredniczący w obrocie dziełami sztuki lub antykami
  • Instytucje pożyczkowe

Beneficjent rzeczywisty

Według ustawy beneficjentem rzeczywistym jest każda osoba sprawująca kontrolę nad klientem poprzez posiadane uprawnienia umożliwiające wywieranie decydującego wpływu na działania podejmowane przez klienta.  Wiedza o tym kto jest tym rzeczywistym beneficjentem jest kluczowa przy realizacji obowiązku związanego z identyfikacją i oceną ryzyka prania pieniędzy i finasowania terroryzmu.

Weryfikacja beneficjenta rzeczywistego polega na ustaleniu jego tożsamości, a w przypadku klienta nie będącego osobą fizyczną – ustalenie struktury własności i kontroli.

Nowelizacja ustawy AML rozszerza katalog podmiotów zobligowanych do podawania informacji o beneficjentach do Centralnego Rejestru Beneficjentów Rzeczywistych (CRBR), między innymi o trusty. Ponadto weryfikacja beneficjenta rzeczywistego nie może się opierać wyłącznie na sprawdzeniu w CRBR. A dodatkowo na samych beneficjentów nałożono obowiązek dostarczania informacji podmiotom obowiązanym. Cały proces weryfikacji beneficjenta rzeczywistego będzie znacznie bardziej sformalizowany.

Nowelizacja nakazuje również stworzenie dwóch nowych rejestrów:

  • Rejestr działalności w zakresie walut wirtualnych
  • Rejestr działalności na rzecz spółek i trustów

Anonimowe zgłaszanie naruszeń przepisów

Art. 53 ustawy AML już od 2018 roku nakłada na instytucje obowiązane wymóg opracowania i wdrożenia wewnętrznych procedur anonimowego zgłaszania przez pracowników i inne osoby wykonujące czynności na rzecz instytucji obowiązanej naruszeń prawa z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.

Należy zwrócić uwagę, że przepis nie dotyczy tylko pracowników, ale również wszystkich innych osób, które współpracują z podmiotem obowiązanym.

Obecna nowelizacja wprowadza jednak zapisy wzmacniające ochronę osób zgłaszających naruszenia prawa. Idzie to w parze z ustawą o ochronie osób zgłaszających naruszenia prawa – „o ochronie sygnalistów”. Właśnie pojawił się projekt tej ustawy. W grudniu tego roku wejdą w życie przepisy, które obowiązek podobnych procedur nałożą na organy administracji publicznej, jednostki samorządu oraz firmy sektora prywatnego zatrudniające powyżej 250 pracowników. W wielu przypadkach podmioty obowiązane na podstawie ustawy AML, będą również podlegały przepisom ustawy o ochronie sygnalistów. Dlatego dobre przygotowanie procedur wymaganych już dziś zaoszczędzi dodatkowej pracy w grudniu.

 Nie warto tworzyć minimalnych lub pozornych rozwiązań, bo i tak za chwilę będzie trzeba zrealizować dodatkowe wymagania.

Wewnętrzna procedura wymagana przez ustawę AML musi zawierać następujące elementy:

  • Należy wyznaczyć osobę odpowiedzialną za odbieranie zgłoszeń – powinna być to osoba niezależna, budząca zaufanie pracowników i dająca gwarancję, że zgłoszenie zostanie rozpatrzone w odpowiedni sposób. Dlatego ważne, żeby był to ktoś z samego szczytu hierarchii organizacyjnej lub zajmujący specjalne stanowisko, charakteryzujące się dużą niezależnością i swobodą działań.
  • Należy dokładnie określić sposób dokonywania i odbierania zgłoszeń – Najważniejsze jest tu zapewnienie sygnalistom bezpiecznych kanałów zgłoszeniowych, które zapewniają anonimowość. I właśnie ten wymóg wyklucza niektóre obecnie działające w firmach metody. Nie można poprzestać na zawieszonych skrzynkach czy spotkaniach osobistych z przełożonymi. Należy stworzyć dodatkowe kanały zgłoszeniowe takie jak specjalna infolinia, dedykowany adres e-mail, czy specjalna aplikacja on-line, która daje największe możliwości komunikacji z sygnalistą i gwarantuje zachowanie anonimowości.
  • Należy określić sposób ochrony osoby dokonującej zgłoszenia, który zapewnia ochronę przed działaniami represyjnymi mającymi wpływ na pogorszenie się sytuacji prawnej lub faktycznej tej osoby – Procedura musi być czytelna i zrozumiała dla wszystkich, a co najważniejsze musi dawać gwarancję, że rzeczywiście zgłoszenie nie wywoła żadnych negatywnych konsekwencji dla sygnalisty. Najczęstszym powodem braku zgłoszeń jest właśnie obawa o różnego rodzaju działania odwetowe.
  • Należy dokładnie zaplanować sposób w jaki będą chronione dane osoby dokonującej zgłoszenia, jak i osoby, której zarzuca się dokonanie naruszenia. – (Należałoby by tu jeszcze dodać ochronę danych osób trzecich, które znajdą się w zgłoszeniu np. świadków.) – Właśnie dlatego tak ważne jest dobranie odpowiednich kanałów zgłoszeniowych, nie wszystkie w równym stopniu zapewniają ochronę danych osobowych.
  • Należy określić zasady zachowania poufności w przypadku ujawnienia tożsamości zgłaszających lub gdy ich tożsamość jest możliwa do ustalenia. – Takie sytuacje są bardzo częste, dlatego procedura musi zawierać wytyczne mówiące o tym jak zachowywać poufność całego procesu. Tutaj też wracamy do problemu wybrania odpowiedniej osoby do przyjmowania i obsługi zgłoszeń.
  • Należy opisać rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia – osoby, które chcą przekazać informacje muszą dokładnie wiedzieć co stanie się z ich zgłoszeniem, czego mogą oczekiwać i jakie są kolejne etapy postępowania wyjaśniającego. Znajomość tej procedury sprawia, że chętniej decydują się sygnalizować naruszenia.
  • Wyznaczyć termin usunięcia danych osobowych zawartych w zgłoszeniach.

Stworzenie kompleksowej procedury, która spełni wszystkie wymagania ustawy, a dodatkowo zagwarantuje realizację nadrzędnego celu jakim jest identyfikacja i przeciwdziałanie naruszeniom prawa, może być problematyczne. Natomiast wprowadzenie rozwiązań pozornych lub połowicznych może skutkować poważnymi konsekwencjami prawnymi.

  • W przypadku dużych i rozwiniętych organizacji z własnymi działami prawnymi i compliance – stworzenie odpowiedniej procedury i zadbanie o dobre funkcjonowanie systemu nie będzie trudne. Warto jednak wziąć pod uwagę wytyczne zawarte w dyrektywie o ochronie sygnalistów i tak rozbudować system, żeby spełniał wszystkie wymogi.
  • Inne podmioty powinny skorzystać z usług kancelarii prawnych. Należy wybrać taką, która specjalizuje się w obszarze compliance.
  •  Dobrym pomysłem będzie zapoznanie się ofertą profesjonalnych firm, które specjalizują się w systemach dla sygnalistów. Usługa oferowana przez SafeLink zawiera w sobie procedury, pomoc przy wdrożeniu i obsłudze, oraz odpowiednio przygotowane i bezpieczne kanały zgłoszeniowe. Jest to opcja, która zdejmuje z pracodawcy większość obowiązków.

Ochrona sygnalistów

Głównym obowiązkiem pracodawcy i zadaniem jakie ma być spełnione dzięki powyższej procedurze jest ochrona osób zgłaszających przed podejmowaniem wobec nich działań o charakterze represyjnym takich jak np.:

  • Zwolnienie z pracy
  • Zawieszenie
  • Przymusowy urlop
  • Degradacja lub wstrzymanie awansu
  • Obniżenie wynagrodzenia
  • Wstrzymywanie szkoleń
  • Skierowania na badania psychiatryczne
  • Środki dyscyplinarne takie jak nagana czy kara finansowa
  • Umieszczenie pracownika na nieformalnej czarnej liście, co może spowodować, że dana osoba, w przyszłości, nie znajdzie zatrudnienia w danym sektorze czy branży

Od 31 października 2021 r. wprowadzono do ustawy AML zapis określający wprost, że pracownicy oraz inne osoby wykonujące czynności na rzecz podmiotu nie mogą podejmować w stosunku do sygnalistów żadnych działań represyjnych lub wpływających na pogorszenie ich sytuacji prawnej lub faktycznej, polegających na kierowaniu wobec nich gróźb, w szczególności działań negatywnie wpływających na ich warunki pracy.  Chodzi tu o:

  • Mobbing
  • Zastraszanie
  • Wykluczenie
  • Dyskryminacja
  • Niekorzystne lub niesprawiedliwe traktowanie

Ten zapis kładzie na pracodawców dodatkowe obowiązki, teraz już nie tylko odpowiadają za swoje działania wobec sygnalistów. Muszą też stworzyć takie warunki, żeby sygnalista nie stał się ofiarą działań represyjnych ze strony swoich współpracowników czy przełożonych.

Pracodawca musi jasno i konsekwentnie promować politykę „zero tolerancji” wobec tego rodzaju sytuacji. Powinien wyciągać surowe konsekwencje w stosunku do osób, które dopuszczają się takich zachowań, żeby móc udowodnić, iż ewentualne represje wobec sygnalisty miały charakter wyjątkowy i były efektem działania jednostki.

Nowelizacja ustawy AML dodaje również art. 53a, który m.in. mówi, o tym, że osoby zgłaszające naruszenia prawa i narażone w związku z tym na jakiekolwiek działania represyjne, o których była wcześniej mowa, mają prawo do zgłoszenia takich działań bezpośrednio do Generalnego Inspektora Informacji Finansowej.  Daje to sygnaliście dodatkowe możliwości, kiedy będzie miał podstawy uważać, że procedury funkcjonujące w jego miejscu pracy nie zapewnią mu odpowiedniej ochrony przed działaniami odwetowymi. Taki scenariusz jest możliwy, gdy system dla sygnalistów będzie miał charakter fasadowy lub sprawa będzie dotyczyła osób ze szczytu hierarchii organizacyjnej firmy.

Nie wyklucza to sygnaliście możliwości wystąpienia na drogę sądową i powoływania się na art. 53, bezpośrednio.

Przykład: Pracownik uzyskał informacje na temat powtarzających się przypadków naruszania przepisów AML przez jednego z członków zarządu. Korzystając z wewnętrznego kanału zgłosił sprawę odpowiedniej jednostce. Nie przyniosło to jednak efektu jakiego się spodziewał. Zamiast tego, rozpoczął się powolny proces zniechęcania go do pracy, najpierw został przeniesiony na inne stanowisko, poniżej swoich kompetencji, obniżono mu pensję i otrzymywał ewidentne znaki od przełożonych, że nie jest mile widziany. Wszystko to doprowadziło, go do wypowiedzenia umowy. Korzystając z możliwości jakie daje art. 53a dokonał zgłoszenia do GIIF. Kontrola, która była tego efektem potwierdziła nieprawidłowości. Równocześnie pracownik wystąpił do sądu, oskarżając pracodawcę o ewidentne złamanie art. 53 ustawy dowodząc, że represje jakich doświadczył były wynikiem zgłoszenia, którego dokonał.


Kontrola i sankcje

Organem właściwym w sprawach przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu jest Generalny Inspektor Informacji Finansowej (GIIF), który podlega bezpośrednio Ministrowi Finansów. Jest to główny organ sprawujący kontrolę nad instytucjami obowiązanymi z wykonywania obowiązków ustawowych. To właśnie na wniosek GIIF wyznaczone organy będą m.in. sprawdzać, czy podmiot obowiązany stworzył odpowiednie rozwiązania dotyczące sygnalistów, w jaki sposób są prowadzone postępowania wyjaśniające i czy nie dochodzi do zakazanych działań represyjnych wobec zagłuszających.

W przypadku, gdy w ramach działalności podmiotu dojdzie jednak do naruszeń prawa, dobrze przygotowany system dla sygnalistów, będzie dowodem na to, że firma starała się dochować należytej staranności w zapobieganiu takim sytuacjom i może być okolicznością łagodzącą. Dokładnie odwrotnie będzie, w przypadku, gdy można łatwo udowodnić, że wdrożone rozwiązania mają jedynie charakter pozorny.

Kontrole przeprowadzane są na podstawie rocznych planów kontroli lub doraźne nieprzewidziane na wniosek Generalnego Inspektora.

Organy kontrolujące w razie uchybień mogą nakładać kary administracyjne takie jak:

  • Nakaz zaprzestania określonych czynności
  • Cofnięcie koncesji lub zezwolenia albo wykreśleniu z rejestru działalności regulowanej
  • Zakaz pełnienia obowiązków
  • Kara pieniężna

Autor: Jakub Niemoczyński – Dyrektor Generalny SafeLink🔹 Radca Prawny🔹 Compliance Officer