Katarzyna Dec, radca prawny w Kancelarii Prawnej Schampera, Dubis, Zając i Wspólnicy sp.j.
Karolina Till, prawnik w Kancelarii Prawnej Jagodziński Skrzypek Radcowie Prawni
Już 31 października br. wejdzie w życie wiele zmian dotyczących whistleblowingu, czyli zgłaszania nieprawidłowości przez sygnalistów w firmach zobowiązanych do walki z praniem pieniędzy. Zostały one przyjęte w ramach uchwalonej przez Sejm 30 marca br. obszernej nowelizacji ustawy z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. z 2021 r. poz. 1132; ost.zm. Dz.U. z 2021 r. poz. 1535; dalej ustawa o AML), ale ustawodawca dał firmom czas na przygotowanie. Zmiany wiążą się m.in. z koniecznością aktualizacji wewnętrznych procedur anonimowego zgłaszania naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. A odpowiedzialność za aktualizację procedur ciąży na osobach zarządzających podmiotami zobowiązanymi do stosowania ustawy o AML. [ramka 1]

Ramka 1

Instytucje zobowiązane, czyli kto?
Na nowe regulacje powinny zwrócić uwagę wszystkie firmy, które zobowiązane są do stosowania przepisów dotyczących walki z praniem pieniędzy. Mowa o kilkudziesięciu grupach podmiotów, wymienionych w art. 2 ustawy o AML, w tym m.in. zajmujących się usługowym prowadzeniem ksiąg rachunkowych, pośrednikach ubezpieczeniowych, kantorach, bankach, firmach pożyczkowych. Dodajmy, że od lipca 2021 r. obowiązki wynikające z tej ustawy muszą stosować również m.in. pośrednicy w obrocie dziełami sztuki, przedmiotami kolekcjonerskimi oraz antykami czy pośrednicy w obrocie nieruchomościami. ©℗
Jakie zmiany
Ustawodawca poszerzył m.in. krąg osób, jakie instytucje obowiązane powinny otoczyć ochroną, a także zakres tej ochrony. Już pod rządami ustawy o AML w brzmieniu sprzed nowelizacji instytucje miały obowiązek opracowania i wdrożenia wewnętrznej procedury anonimowego zgłaszania przez pracowników lub inne osoby wykonujące czynności na rzecz instytucji obowiązanej naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu (art. 53 ust. 1). [przykład] Z kolei ust. 2 tego artykułu określa minimalny katalog elementów, które omawiana procedura powinna obejmować. [ramka 2] Jednym z nich jest określenie sposobu ochrony osoby dokonującej zgłoszenia oraz ochrony jej danych osobowych. W tym właśnie zakresie zaszła zmiana. Do tej pory przepisy stanowiły wyłącznie o ochronie pracownika, pomijając kwestię ochrony osób współpracujących z instytucją obowiązaną na innej podstawie niż umowa o pracę (np. umowa zlecenia). Nowelizacja wprowadza zmiany, które wyraźnie nakazują rozpostarcie parasola również nad osobami innymi niż pracownicy, które ustawa określa mianem „wykonujących czynności na rzecz instytucji obowiązanej”.

przykład

Zgłoszenie nieprawidłowości bez ujawniania tożsamości
Zatrudniony w kantorze (tj. instytucji obowiązanej w rozumieniu ustawy o AML) zorientował się, przeglądając dokumentację, że dwa tygodnie wcześniej kantor przyjął od jednego z klientów wpłatę w gotówce 17 tys. euro oraz że czynność ta nie została zgłoszona do generalnego inspektora informacji finansowej przez upoważnioną osobę (obowiązek zgłoszenia takiej transakcji przewiduje art. 72 ustawy o AML). Taki zatrudniony powinien mieć możliwość poinformowania za pomocą dostępnych kanałów anonimowego zgłaszania naruszeń wyznaczonej osoby (np. kierownika kantoru) o zauważonym niedopatrzeniu. Kierownik na podstawie zgłoszenia powinien niezwłocznie podjąć działania w celu dopełnienia obowiązku dokonania zgłoszenia do GIIF. Pozwoli to na zminimalizowanie ryzyka nałożenia na kantor sankcji administracyjnych, art. 150 ust. 5 ustawy o AML przewiduje bowiem możliwość odstąpienia przez organ od nałożenia kary w szczególnie uzasadnionych przypadkach, gdy waga naruszenia przepisów ustawy jest znikoma, a instytucja obowiązana zaprzestała naruszania przepisów ustawy.©℗

Ramka 2

Obowiązkowe elementy procedury
Zgodnie ze znowelizowanym art. 53 ust. 2 ustawy o AML procedura anonimowego zgłaszania naruszeń instytucji obowiązanej ma określać w szczególności:
1) osobę odpowiedzialną za odbieranie zgłoszeń,
2) sposób odbierania zgłoszeń,
3) sposób ochrony pracownika lub innej osoby wykonującej czynności na rzecz instytucji obowiązanej dokonujących zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym lub wpływającymi na pogorszenie ich sytuacji prawnej lub faktycznej lub polegającymi na kierowaniu gróźb,
4) sposób ochrony danych osobowych pracownika lub innej osoby wykonującej czynności na rzecz instytucji obowiązanej dokonujących zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych,
5) zasady zachowania poufności w przypadku ujawnienia tożsamości osób, o których mowa w pkt 4, lub gdy ich tożsamość jest możliwa do ustalenia,
6) rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia,
7) termin usunięcia przez instytucje obowiązane danych osobowych zawartych w zgłoszeniach.©℗
Dodatkowe wymogi
Nowelizacja doprecyzowuje również zakres ochrony sygnalistów, wskazując wprost w nowo dodanym ust. 3 do art. 53 ustawy o AML, że „instytucja zobowiązana ma zapewniać pracownikom oraz innym osobom wykonującym czynności na jej rzecz co najmniej ochronę przed działaniami o charakterze represyjnym lub wpływającymi na pogorszenie sytuacji prawnej lub faktycznej (np. pogorszenie warunków finansowych, nieuzasadniona degradacja itp.), lub polegającymi na kierowaniu gróźb wobec osoby zgłaszającej naruszenie”.
Ponadto znowelizowane przepisy wprowadzają wprost zakaz podejmowania ww. działań przez instytucje obowiązane, ich pracowników lub inne osoby wykonujące czynności na rzecz instytucji obowiązanych względem osób zgłaszających naruszenia (nowo dodany ust. 4 do art. 53 ustawy o AML). Tymi zabiegami ustawodawca chciał jeszcze bardziej wzmocnić ochronę sygnalistów.
Ochrona raportujących
Analogiczna ochrona została przewidziana również wobec osób raportujących w imieniu instytucji obowiązanej generalnemu inspektorowi informacji finansowej lub właściwemu prokuratorowi podejrzeń popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu. Osoby narażone na podejmowanie wobec nich działań represyjnych, działań wpływających na pogorszenie ich sytuacji czy gróźb, będą uprawnione do zgłaszania takich incydentów do GIIF. Procedura odbierania zgłoszeń, postępowania z nimi, ich przechowywania oraz informowania o działaniach, jakie mogą być podejmowane po przyjęciu zgłoszenia, została określona w odrębnym rozporządzeniu ministra finansów z 14 lipca 2021 r. w sprawie odbierania zgłoszeń dotyczących działań o charakterze represyjnym wobec pracowników oraz osób wykonujących czynności na rzecz instytucji obowiązanej (Dz.U. poz. 1330).
Kto jest odpowiedzialny
Nowe zasady ochrony sygnalistów muszą znaleźć odzwierciedlenie w wewnętrznych procedurach przed 31 października 2021 r. Za wdrożenie procedury odpowiedzialna jest kadra kierownicza wyższego szczebla, a zatem członkowie zarządu spółki lub inne osoby sprawujące kierownicze stanowiska lub – w przypadku jednoosobowych przedsiębiorców – osoba prowadząca działalność gospodarczą.
Instytucja obowiązana, która nie dopełniła obowiązku wdrożenia wewnętrznej procedury anonimowego zgłaszania naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, podlega każe administracyjnej (art. 147 pkt 10 ustawy o AML). Kara ta może przybrać formę kary pieniężnej, jej wysokość nie może przekraczać dwukrotności kwoty korzyści osiągniętej lub straty unikniętej przez instytucję obowiązaną w wyniku naruszenia, a jeżeli nie jest możliwe ustalenie takiej kwoty – maksymalnie 1 mln euro. Kara może również polegać na publikacji informacji o naruszeniu. Możliwe jest też nałożenie zakazu pełnienia obowiązków na stanowisku kierowniczym przez osobę odpowiedzialną za naruszenie przez okres nie dłuższy niż rok. ©℗
poleca