01.02.2022

Nowy komunikat GIIF – zasady wdrażania procedur AML w grupach kapitałowych i korzystania z usług podmiotów zewnętrznych przy stosowaniu środków bezpieczeństwa finansowego

Mariusz Purgał
Magdalena Wielgosz

Dnia 14 stycznia 2022 r. na stronie Ministerstwa Finansów pojawił się komunikat Generalnego Inspektora Informacji Finansowej. Komunikat ten dotyczył wymagań, jakie trzeba spełnić w celu prawidłowego wdrożenia procedury zapobiegania praniu pieniędzy i finansowania terroryzmu dla grupy kapitałowej.

Co zawiera komunikat GIIF?

Do tej pory nie było wątpliwości co do tego, że jeśli w grupie kapitałowej znajdują się instytucje obowiązane w rozumieniu ustawy z dnia 1 marca 2018 r. o zapobieganiu praniu pieniędzy i finansowaniu terroryzmu (dalej: „ustawa AML”), instytucje powinny wprowadzić grupową procedurę zapobiegania praniu pieniędzy i finansowaniu terroryzmu. Taki obowiązek nałożył art. 51 ust. 1 tej ustawy. Nie było jednak jasne, jak dokładnie uregulować kwestię współpracy między poszczególnymi podmiotami z grupy, aby wykonywanie zadań szło sprawnie, a grupa kapitałowa nie naraziła się na zarzut naruszenia prawa.

Komunikat zawiera również wskazówki dla instytucji obowiązanych, które chciałyby skorzystać z pomocy zewnętrznego podmiotu przy stosowaniu środków bezpieczeństwa finansowego.

Podmioty będące instytucją obowiązaną

Dla wyjaśnienia dodajmy, jakie podmioty ustawa AML określa instytucją obowiązaną. Do tej kategorii należy istnienie zwiększonego ryzyka, że taki podmiot zostanie wykorzystany w procederze prania pieniędzy lub finansowania terroryzmu.

Zdaniem ustawodawcy podmioty te powinny podjąć szczególne środki ostrożności, aby nie stać się uczestnikiem przestępczego procederu. Lista instytucji obowiązanych jest długa. Znajdują się na niej między innymi instytucje związane z rynkiem finansowym, jak banki, domy maklerskie czy firmy ubezpieczeniowe. Oprócz tego wymienia się na liście także kasyna, kantory, biura rachunkowe. Co więcej, w niektórych przypadkach wśród podmiotów podejmujących szczególne środki ostrożności są i inni przedsiębiorcy, jeśli przyjmują zapłatę za towary w gotówce w kwotach powyżej 10.000 euro.

Kiedy trzeba wprowadzić procedurę grupową?

Nałożono konkretne wymogi na instytucje obowiązane wchodzące w skład grupy oraz ich oddziały i jednostki zależne z większościowym udziałem tych instytucji mające siedzibę w państwie trzecim. Zgodnie z art. 51 ust. 1 ustawy AML instytucje te mają obowiązek wprowadzenia procedury w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu w celu wykonania ciążących na grupie oraz wchodzących w jej skład podmiotach obowiązków.

Sytuacje wymagające procedur

W swoich wyjaśnieniach GIIF doprecyzował zakres sytuacji, w których wprowadzenie procedury grupowej jest konieczne. Przede wszystkim, procedurę grupową trzeba wprowadzić, gdy w grupie znajduje się co najmniej jedna instytucja obowiązana oraz:

  • inna instytucja obowiązana lub
  • podmiot prowadzący działalność w innym państwie Unii Europejskiej, którego działalność jest tożsama z działalnością instytucji obowiązanych lub
  • oddział instytucji obowiązanej znajdujący się poza Europejskim Obszarem Gospodarczym.

Jeżeli zatem w grupie kapitałowej jest jedna instytucja obowiązana, a pozostałe podmioty znajdują się poza obszarem regulacji ustawy AML, a instytucja obowiązana nie ma oddziałów poza EOG, wystarczy, że instytucja obowiązana wprowadzi swoją własną procedurę. Jeżeli jednak co najmniej dwa podmioty z grupy prowadzą działalność wpadającą w zakres ustawy, wprowadzenie procedury grupowej będzie konieczne. Podobna sytuacja pojawi się wtedy, gdy instytucja obowiązana będzie miała oddział w państwie trzecim.

Na co trzeba zwrócić uwagę, przygotowując procedurę grupową?

Zgodnie z komunikatem GIIF, procedura grupowa powinna spełniać wymagania wyrażone w rekomendacji 19 Grupy Specjalnej ds. Przeciwdziałania Praniu Pieniędzy (ang. Financial Action Task Force, FATF). Procedura powinna zatem zawierać postanowienia dotyczące:

  • tworzenia wewnętrznych polityk i procedur, które zapewnią wysokie standardy zatrudniania pracowników w podmiotach w ramach grupy,
  • stałego programu szkolenia pracowników,
  • powołania niezależnego audytu w grupie. Celem audytu jest testowanie poszczególnych elementów systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu funkcjonujących w podmiotach wchodzących w skład grupy.

Postanowienia procedury powinny być dostosowane do przedmiotu działalności instytucji. Szczególną uwagę należy poświęcić uregulowaniu sposobu wymiany informacji między uczestnikami grupy. Tym samym zabezpieczy się ich przed naruszeniem bezpieczeństwa informacji takim jak wyciek danych czy dostęp osób nieuprawnionych, np. w wyniku ataku hakerskiego.

Organizacja procedury AML a korzystanie z pomocy zewnętrznego podmiotu

Ustawa AML dopuszcza możliwość korzystania przez instytucję obowiązaną z pomocy innego podmiotu. W tym także przy wykonywaniu obowiązków, które nakłada na dane podmioty ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Chodzi tu przede wszystkim o stosowanie środków bezpieczeństwa finansowego czyli podejmowanie czynności pozwalające na zebranie informacji o klientach i relacjach biznesowych z tymi klientami, które to informacje pozwolą na ustalenie poziomu ryzyka prania pieniędzy lub finansowania terroryzmu, a w razie potrzeby na zawiadomienie odpowiednich służb o możliwości popełnienia przestępstwa.

GIIF w swoim komunikacie stawia kilka warunków, od których zależy możliwość nawiązania współpracy z podmiotem, który oferuje pomoc w stosowaniu środków bezpieczeństwa finansowego. Przede wszystkim, taki podmiot musi zapewnić niezwłoczne przekazanie niezbędnych informacji i dokumentów instytucji obowiązanej, przy czym, zdaniem GIIF „niezwłocznie” oznacza tutaj „natychmiast”, „od ręki”. Ta niezwłoczność powinna być zapewniona poprzez zawarcie z podmiotem wspomagającym instytucję obowiązaną w wykonywaniu jej obowiązków umowy, która będzie zawierać zasady wymiany informacji i techniczne ustalenia, które pozwolą przekazywać informacje niezwłocznie. Konieczne będzie również zawarcie w tej umowie postanowień zapewniających:

  • właściwy poziom ochrony danych osobowych, które są przetwarzane na w celu stosowania środków bezpieczeństwa finansowego,
  • niezwłoczność przekazywania danych w sytuacji, gdy podstawowa droga komunikacji pomiędzy instytucją obowiązaną i podmiotem trzecim ulegnie awarii,
  • zabezpieczenie kanału komunikacji przed atakiem hakerskim.

Jaki podmiot wybrać do pomocy w stosowaniu środków bezpieczeństwa finansowego?

GIIF udzielił również wskazówek na temat wyboru odpowiedniego podmiotu. W zakresie dopuszczalnych podmiotów, z których pomocy można korzystać przy stosowaniu środków bezpieczeństwa finansowego, znajdują się:

  • instytucje obowiązane zdefiniowane w ustawie AML,
  • odpowiedniki instytucji obowiązanych. Chodzi tutaj o takie, które mają swoją siedzibę na terenie Unii Europejskiej i prowadzą działalność określoną w Dyrektywie Parlamentu Europejskiego i Rady 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu,
  • podmioty, odpowiadające definicji podmiotu obowiązanego, zdefiniowanego w art. 2 IV Dyrektywy AML, z siedzibą w państwie trzecim innym niż państwo członkowskie UE. O ile:
  1. przepisy tego państwa trzeciego, w którym ma siedzibę podmiot, zobowiązują go do stosowania środków bezpieczeństwa finansowego, przechowywania dokumentów i informacji na zasadach odpowiadających zasadom przewidzianym w UE dla przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz
  2. podmioty te podlegają nadzorowi organów państwa trzeciego, w którym podmiot ten ma siedzibę i ten nadzór odbywa się na zasadach odpowiadających nadzorowi przewidzianemu w prawie UE dla przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

Czy każde państwo posiada odpowiedni system środków zapobiegawczych?

Brakuje oficjalnej listy państw, które posiadają system środków zapobiegania praniu pieniędzy i finansowaniu terroryzmu na poziomie odpowiadającym poziomowi ochrony przewidzianym w prawie UE. Dlatego też każda instytucja obowiązana musi sama ocenić, czy państwo siedziby ich potencjalnego kontrahenta taki system posiada. W tej kwestii pomocne mogą być raporty FATF i innych organizacji nadzorczych. Organizacje te regularnie dokonują oceny systemów zapobiegania praniu pieniędzy i finansowania terroryzmu w różnych krajach.

Jakie AML ustala wymogi w stosunku do podmiotu, który ma świadczyć usługę stosowania środków bezpieczeństwa finansowego na rzecz instytucji obowiązanej? Najważniejszą zasadom jest zakaz posiadania siedziby w państwie trzecim wysokiego ryzyka w rozumieniu ustawy AML. FATF i Komisja Europejska uznała za państwa trzecie wysokiego ryzyka te, które nie posiadają skutecznego systemu zapobiegania praniu pieniędzy i finansowania terroryzmu. Mogą zatem sprzyjać działalności przestępczej z tym związanej.

Co, jeśli instytucja zdecyduje się nawiązać współpracę z podmiotem mającym siedzibę w państwie spoza Europejskiego Obszaru Gospodarczego? Ma wtedy obowiązek na bieżąco śledzić komunikaty FATF i Komisji Europejskiej dotyczące listy państw wysokiego ryzyka. Listy te ulegają ciągłym zmianom. Dlatego też z perspektywy instytucji obowiązanych, które korzystają z pomocy podmiotu mającego siedzibę w państwie trzecim, konieczne jest stałe aktualizowanie swojej wiedzy na temat statusu państwa, w którym ten podmiot ma siedzibę.

 

Chcesz być na bieżąco? Zapisz się do naszego newslettera!

Artykuł został przygotowany we współpracy z Fundacją Prawo dla technologii

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

Kontakt

KWKR Konieczny Wierzbicki i Partnerzy S.K.A.
Strona jest chroniona przez Google reCAPTCHA v2. Więcej informacji o Google reCAPTCHA znajduje się w polityce prywatności i warunkach świadczenia usług.

Administratorem Twoich danych osobowych jest
KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. NIP: 9452181482 REGON: 123240424
Przetwarzamy Twoje dane wyłącznie w celu udzielenia odpowiedzi na wiadomość przesłaną przez formularz kontaktowy i dalszej komunikacji (co stanowi nasz prawnie uzasadniony interes) – przez czas nie dłuższy niż konieczny do udzielenia Ci odpowiedzi, a potem przez okres przedawnienia ewentualnych roszczeń. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.
Warszawa

Rondo ONZ 1,

00-124 Warszawa,

+48 12 3957161

kontakt@kwkr.pl

Chcesz być na bieżąco? Zapisz się do naszego newslettera

Zapisując się do naszego newslettera wyrażasz zgodę na przesyłanie drogą e-mail informacji na temat istotnych wydarzeń z dziedziny prawa, zmian legislacyjnych oraz działalności Kancelarii.

czytaj więcej

Administratorem Twoich danych osobowych jest KWKR Konieczny Wierzbicki i Partnerzy S.K.A. z siedzibą w Krakowie, ul. Kącik 4, 30-549 Kraków. Twoje dane będą przetwarzane w celu wysyłki naszego newslettera. Masz prawo do żądania dostępu do swoich danych osobowych, ich kopii, sprostowania, usunięcia lub ograniczenia przetwarzania, a także prawo wniesienia sprzeciwu wobec przetwarzania oraz wniesienia skargi do organu nadzorczego. Więcej szczegółów znajdziesz w naszej Polityce Prywatności.

 

Do you want to be up to date? Sign up for our newsletter

By subscribing to our newsletter, you consent to the sending of information by e-mail on important events in the field of law, legislative changes and the activities of the Law Firm.

read more

The administrator of your personal data is KWKR Konieczny Wierzbicki i Partnerzy S.K.A. with headquarters in Krakow, ul. Kącik 4, 30-549 Krakow. Your data will be processed for the purpose of sending our newsletter. You have the right to request access to your personal data, their copies, rectification, deletion or limitation of processing, as well as the right to object to the processing and to lodge a complaint with the supervisory authority. More details can be found in our Privacy Policy.