​​Jedną z najistotniejszych zmian, jakie wprowadza Pakiet AML, jest utworzenie nowego Urzędu ds. Przeciwdziałania Praniu Pieniędzy i Finansowaniu Terroryzmu (“AMLA”).

Organ ten będzie centralnie koordynował działania organów krajowych, przyczyniając się do rozwoju spójnej i jednolitej praktyki rynkowej. Ponadto będzie on pomagał poszczególnym organom krajowym w przeprowadzaniu analiz, przyczyniając się do usprawnienia gromadzenia danych wywiadu finansowego – kluczowego materiału dla organów ścigania.

AMLA będzie koncentrować się na następujących obszarach:

• wprowadzeniu zintegrowanego systemu nadzoru AML/CFT w całej UE opartego na ujednoliconych metodologiach i standardach nadzorczych;
• bezpośredni nadzór nad najbardziej ryzykownymi instytucjami finansowymi, które działają w dużej liczbie państw członkowskich lub w odniesieniu do tych, w których może być wymagane natychmiastowe działanie w celu ograniczenia ryzyka AML/CFT
• monitorowanie i koordynowanie działań krajowych organów nadzorczych odpowiedzialnych zarówno za podmioty finansowe, jak i niefinansowe
• promowanie współpracy między krajowymi FIU oraz ułatwianie koordynacji ich pracy, jak również wspólnych analiz w celu poprawy wykrywania nielegalnych transgranicznych przepływów finansowych.

AMLA ma działać jako koordynator działań organów nadzoru krajowych oraz instytucji UE w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Jego głównym celem będzie zapewnienie jednolitych standardów i zasad działania w UE w zakresie AML/CTF.

AMLA będzie posiadał szerokie uprawnienia nadzorcze, w tym możliwość przeprowadzania inspekcji w firmach z sektorów ryzykownych, takich jak sektor bankowy czy sektor kryptowalut. Urząd będzie miał również możliwość nakładania sankcji na firmy, które nie spełnią wymogów dotyczących przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu.

AMLA będzie działał we współpracy z organami nadzoru krajowych oraz innymi instytucjami UE, takimi jak Europol czy Europejski Urząd ds. Zwalczania Nadużyć Finansowych (OLAF). Ma to zapewnić lepszą koordynację działań oraz wymianę informacji w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Urząd ma zostać utworzony do 2024 roku, a jego wdrożenie będzie wymagało współpracy państw członkowskich UE.

Pakiet AML obejmuje przepisy:

• Rozporządzenie UE („jednolity zbiór przepisów”, „single rulebook”)

• VI Dyrektywa AML

• Rozporządzenie ustanawiające nowy unijny organ ds. przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu – AMLA ( z ang. Anti-Money Laundering Authority)

Europejska Rada Ochrony Danych powołała grupę roboczą ds. ChatGPT w celu monitorowania i zbadania kwestii jego zgodności z unijnymi regulacjami dotyczącymi ochrony danych osobowych przy m.in. generowaniu tekstów i rozmów z ludźmi.

Głównym celem grupy ds. ChatGPT jest opracowanie wytycznych dotyczących ochrony danych osobowych w związku z wykorzystaniem systemów sztucznej inteligencji do generowania tekstów i rozmów. Grupa będzie badać różne aspekty związane z ochroną danych, takie jak przetwarzanie danych osobowych, prawa użytkowników, bezpieczeństwo i odpowiedzialność za szkody wynikające z wykorzystania ChatGPT.

W skład grupy ds. ChatGPT wchodzą eksperci ds. ochrony danych osobowych, przedstawiciele różnych organów nadzorczych oraz innych zainteresowanych stron. Grupa ta będzie działać we współpracy z innymi organami i grupami roboczymi Europejskiej Rady Ochrony Danych Unii Europejskiej aby zapewnić koordynację działań i osiągnięcie celów wyznaczonych przez Radę.

Zagrożenia związane z wykorzystaniem ChatGPT do generowania tekstów i rozmów zostały zidentyfikowane przez Europejską Radę Ochrony Danych Unii Europejskiej  i mogą obejmować:

• Naruszenie prywatności i ochrony danych osobowych: ChatGPT może zbierać i przetwarzać dane osobowe użytkowników, takie jak informacje o preferencjach, zachowaniach i intencjach. W związku z tym istnieje ryzyko naruszenia prywatności i ochrony danych osobowych.
• Ryzyko dyskryminacji i uprzedzeń: ChatGPT może wprowadzać błędne założenia i uprzedzenia, na przykład w zakresie płci, rasy, orientacji seksualnej czy wyznania, co może prowadzić do dyskryminacji.
• Ryzyko dezinformacji i fałszywych informacji: ChatGPT może generować nieprawdziwe lub mylące informacje, co może prowadzić do dezinformacji i manipulacji opinii publicznej.
• Bezpieczeństwo cybernetyczne: ChatGPT może być podatny na ataki cybernetyczne, które mogą prowadzić do naruszenia bezpieczeństwa danych i prywatności użytkowników.
• Odpowiedzialność za decyzje podejmowane przez ChatGPT: ChatGPT może podejmować decyzje, na przykład w zakresie rekomendacji produktów lub usług, co może prowadzić do odpowiedzialności prawnej za szkody wynikające z tych decyzji.

Organy publiczne na całym świecie zajmujące się ochroną danych osobowych i prywatności podejmują działania w sprawie ChatGPT.

Na poziomie europejskim, już w 2020 roku Europejska Rada Ochrony Danych Unii Europejskiej wydała wytyczne dotyczące wykorzystania sztucznej inteligencji, w tym systemów generujących teksty i rozmowy, z uwzględnieniem kwestii ochrony prywatności i danych osobowych. EDPB również powołała grupę roboczą ds. ChatGPT, o której powyżej mowa, aby badać zagadnienia związane z ochroną danych w kontekście tego systemu.

Na poziomie krajowym, w wielu krajach istnieją organy i agencje ds. ochrony prywatności, które także podejmują działania w kwestii ChatGPT. Na przykład w Stanach Zjednoczonych Federalna Komisja Handlu (Federal Trade Commission, FTC) wydała wezwanie do złożenia raportów od dziewięciu firm, które oferują narzędzia oparte o działanie sztucznej inteligencji, w tym ChatGPT, celem zbadania kwestii związanych z prywatnością i bezpieczeństwem.

Polska

W Polsce organem odpowiedzialnym za ochronę danych osobowych jest Urząd Ochrony Danych Osobowych (UODO). Zgodnie z informacjami dostępnymi na stronie internetowej UODO, w 2021 roku urząd ten wydał rekomendacje dotyczące wykorzystania sztucznej inteligencji, w tym ChatGPT, z uwzględnieniem kwestii ochrony prywatności i danych osobowych. Urząd Ochrony Danych Osobowych wystąpił ostatnio do włoskiej agencji ochrony danych (Garante per la protezione dei dati personali) w sprawie ChatGPT. UODO chce zbadać, czy ChatGPT przestrzega europejskiej regulacji o ochronie prywatności, a także potencjalne ryzyko naruszania prywatności użytkowników.

UODO nie otrzymał do tej pory (kwiecień 2023) skarg dotyczących korzystania z ChatGPT i nie przeprowadził kontroli w związku z jego funkcjonowaniem, ale bada sprawę. Urząd liczy na uregulowanie kwestii sztucznej inteligencji na poziomie unijnym i organizuje inicjatywy edukacyjne oraz naukowe w celu lepszego zrozumienia wspomnianej technologii, a także, potencjalnych zagrożeń. UODO poprosił także włoską agencję ochrony danych o udostępnienie informacji dotyczących wykorzystania ChatGPT przez instytucje publiczne i prywatne we Włoszech.

Włochy

We Włoszech organem odpowiedzialnym za ochronę danych osobowych jest Garante per la protezione dei dati personali, czyli urząd ochrony danych osobowych. Garante zajmuje się ochroną danych osobowych oraz podejmuje działania w zakresie regulacji i nadzoru w tym obszarze.

W kontekście ChatGPT, Garante wskazuje na zagrożenia związane z wykorzystaniem sztucznej inteligencji, w tym systemów generujących teksty i rozmowy, pod kątem prywatności i ochrony danych. W związku z tym, Garante opublikował wytyczne dotyczące wykorzystania sztucznej inteligencji w grudniu 2020 roku, w których dostrzegł konieczność ochrony danych osobowych i prywatności użytkowników oraz wskazał, że przed wdrożeniem takich systemów należy dokładnie zbadać ich wpływ na prywatność i ochronę danych.

Ponadto, we wrześniu 2021 roku Garante wszczął postępowanie wyjaśniające w sprawie wykorzystania przez Facebook systemu sztucznej inteligencji w tzw. smart glasses, który może naruszać prywatność i ochronę danych osobowych użytkowników. Postępowanie to ma na celu zbadać, czy Facebook przestrzega przepisów dotyczących ochrony danych osobowych i czy jego system respektuje prywatność użytkowników. Warto również dodać, że we Włoszech tematem zajmuje się również krajowe centrum ds. cyberbezpieczeństwa (Centro Nazionale Cyber ​​Difesa), które monitoruje zagrożenia związane z bezpieczeństwem cybernetycznym, w tym zagrożenia wynikające z wykorzystania sztucznej inteligencji.

Niemcy

W Niemczech organem nadzorującym ochronę danych osobowych jest Federalny Komisarz do spraw Ochrony Danych i Wolności Informacyjnej (BfDI). BfDI jest niezależnym organem nadzorczym, który zajmuje się ochroną danych osobowych, a także promuje świadomość w zakresie prywatności i bezpieczeństwa danych dla wszystkich organów publicznych rządu federalnego.

W kontekście ChatGPT, BfDI wskazuje na konieczność ochrony danych osobowych użytkowników oraz na zagrożenia związane z wykorzystaniem sztucznej inteligencji, w tym systemów generujących teksty i rozmowy. W związku z tym, BfDI opublikował wytyczne dotyczące wykorzystania sztucznej inteligencji w maju 2021 roku, w których zwrócił uwagę na konieczność przestrzegania przepisów dotyczących ochrony danych osobowych oraz na potrzebę wyjaśnialności w stosowaniu sztucznej inteligencji.

BfDI również podejmuje konkretne działania w sprawie ChatGPT. W 2021 roku, BfDI wszczął postępowanie przeciwko platformie Clubhouse, która wykorzystuje system generowania tekstów w celu automatycznego generowania transkrypcji rozmów. Postępowanie to ma na celu zbadać, czy Clubhouse przestrzega przepisów dotyczących ochrony danych osobowych oraz czy jego system generowania tekstów respektuje prywatność użytkowników. Ponadto, w Niemczech istnieje również Federalne Biuro ds. Bezpieczeństwa Sieci Informacyjnych (BSI), które jest odpowiedzialne za monitorowanie i przeciwdziałanie zagrożeniom związanym z bezpieczeństwem cybernetycznym, w tym zagrożenia wynikające z wykorzystania sztucznej inteligencji.

Francja

W kontekście ChatGPT, władze francuskie podjęły kilka działań dotyczących ochrony prywatności i danych osobowych użytkowników. Jeden z organów zajmujących się ochroną danych w Francji to Komisja ds. Informacji i Wolności (Commission nationale de l’informatique et des libertés, CNIL). W maju 2021 roku, CNIL opublikowała swoje wytyczne dotyczące sztucznej inteligencji, w których podkreśla konieczność ochrony prywatności i danych osobowych użytkowników, a także na potrzebę przejrzystości i odpowiedzialności w stosowaniu sztucznej inteligencji.

Ponadto, w lipcu 2021 roku CNIL wszczęła postępowanie przeciwko platformie do nauki języków, Duolingo, która wykorzystuje system generowania tekstu, w tym ChatGPT, do automatycznego tłumaczenia tekstów użytkowników. Postępowanie to ma na celu zbadać, czy Duolingo przestrzega przepisów dotyczących ochrony danych osobowych i prywatności użytkowników, a także czy jego system generowania tekstu respektuje prywatność użytkowników. W tym samym okresie francuski organ nadzorczy ochrony danych osobowych wydał również decyzję nakładającą na Google karę w wysokości 500 milionów euro za naruszanie przepisów dotyczących prywatności i danych osobowych użytkowników w związku z wykorzystaniem plików cookie.

W sierpniu 2021 roku, francuski rząd przedstawił projekt ustawy dotyczącej sztucznej inteligencji, który ma na celu regulację stosowania sztucznej inteligencji i ochronę danych użytkowników. Projekt ustawy zakłada, że systemy oparte na sztucznej inteligencji, w tym ChatGPT, będą musiały być transparentne i odpowiedzialne, a także przestrzegać przepisów dotyczących ochrony danych osobowych użytkowników.

Co dalej?

Jako model językowy, ChatGPT nie jest bezpośrednio regulowany przez Europejską Radę Ochrony Danych ale może podlegać przepisom dotyczącym ochrony danych osobowych. W związku z tym, kolejne kroki Rady wobec ChatGPT mogą obejmować:

1. Monitorowanie działań ChatGPT w odniesieniu do ochrony danych osobowych, aby upewnić się, że model spełnia wymogi regulacyjne.
2. Przeprowadzanie audytów bezpieczeństwa w celu upewnienia się, że ChatGPT przestrzega wymogów dotyczących bezpieczeństwa i prywatności danych.
3. Współpraca z dostawcami technologii i twórcami modelu, aby zapewnić zgodność z regulacjami dotyczącymi ochrony danych.
4. Podejmowanie działań w przypadku naruszenia prywatności lub bezpieczeństwa danych przez ChatGPT, w tym na przykład nałożenie kar lub innych sankcji.
5. Przeprowadzanie badań dotyczących wpływu modeli językowych na prywatność i bezpieczeństwo danych, w tym na przykład badania dotyczące wykorzystania danych wrażliwych lub kwestii związanych z identyfikacją osobistą.
6. Opracowywanie i aktualizowanie wytycznych dotyczących prywatności i bezpieczeństwa danych dla modeli językowych, takich jak ChatGPT, aby pomóc w zapewnieniu zgodności z regulacjami dotyczącymi ochrony danych i prywatności.

Posiadanie strategii ESG nie jest już rzeczą opcjonalną dla firm. Zagadnienie zrównoważonego rozwoju staje się strategicznym priorytetem dla firm na całym świecie. Wyjaśniamy, jak zidentyfikować zagrożenia związane z ESG we własnym łańcuchu dostaw.

Kto sprzedaje najwięcej samochodów lub osiąga największe zyski? Można powiedzieć, że przez dziesiątki lat te dane liczbowe determinowały branżę motoryzacyjną. Wielkość emisji CO2 albo rodzaj energii wykorzystywanej do zasilania fabryki – przez długi czas aspekty te nie były uważane za istotne. Dzisiaj producenci samochodów, na przykład Mercedes Benz, stawiają sobie inne cele, takie jak: zmniejszenie o połowę śladu CO2 do 2030 roku. Ten cel jest częścią strategii ESG i odzwierciedla globalny trend przechodzenia na zrównoważoną gospodarkę.

Znaczenie ESG

ESG oznacza Environment, Social, Governance, czyli środowisko naturalne, politykę społeczną i ład korporacyjny). Zagadnienia powiązane z ESG, na przykład odpowiedzialność społeczna, świadomość ekologiczna i zrównoważony rozwój, jak również przejrzyste zarządzanie przedsiębiorstwem, mają związek z działalnością biznesową. Strategia ESG obejmuje cele i działania w tych obszarach tematycznych. Co więcej, duże przedsiębiorstwa nie tylko przykładają coraz większą wagę do wykrywania i ograniczania zagrożeń ESG w obrębie własnej grupy, lecz także coraz częściej oceniają czynniki ESG u partnerów biznesowych. W związku z tym – zgodnie z niemiecką ustawą o dochowaniu należytej staranności przedsiębiorcy w łańcuchu dostaw (niem. LkSG) – przedsiębiorstwa mają obowiązek kontroli własnych dostawców pod kątem zagrożeń związanych z ESG.

Strategiczne podejście bazuje tutaj na tym, że wspomniane działania muszą być długofalowe i w wielu przypadkach wymagają również transformacji procesów istniejących w przedsiębiorstwie.

Ze względu na rosnące wymogi regulacyjne firmy na całym świecie muszą wykazać w oparciu o konkretne dane liczbowe, na ile dobrze spełniają kryteria ESG.

Indywidualne znaczenie kryteriów ESG  

„Dzisiaj przedsiębiorstwa potrzebują strategii ESG opartej na prawidłowych danych. W zależności od wielkości firmy i branży istnieją różne wymagania, które należy spełnić podczas nakreślania strategii i nadawania znaczenia kryteriom ESG”

wyjaśnia Carsten Ettmann, starszy konsultant ds. ryzyka i  zgodności w Dun & Bradstreet.

Podczas gdy w przypadku koncernu chemicznego duże znaczenie mają zwłaszcza aspekty środowiskowe, dostawca usług personalnych ukierunkuje swoją strategię zrównoważonego rozwoju na aspekty społeczne.

Kryteria ESG podstawą strategii przedsiębiorstw w zakresie zrównoważonego rozwoju 

Aby móc zmierzyć i ocenić zrównoważony rozwój, odpowiedzialność społeczną i ład korporacyjny oparty na wartościach, potrzebne są zdefiniowane kryteria. Do takich kryteriów zalicza się na przykład wielkość emisji CO2, wprowadzenie zasady równości szans w przedsiębiorstwie lub certyfikacja w obszarach takich jak ochrona zdrowia lub gospodarka o obiegu zamkniętym. Na podstawie tego rodzaju czynników można zmierzyć i ocenić zrównoważony rozwój przedsiębiorstwa i porównać go z konkurencją.

SASB

Czym jest Sustainability Accounting Standards Board (SASB)?

SASB to niezależna organizacja non-profit, która określa globalne zasady dotyczące publikowania informacji na temat zrównoważonego rozwoju. Istnieją już standardy dla 77 branż, podzielone według obszarów tematycznych, takich jak środowisko naturalne, polityka społeczna i  ład korporacyjny.

Dun & Bradstreet klasyfikuje dane ESG w 13 obszarach tematycznych

W oparciu o SASB i inne standardy międzynarodowe (GRI, TCFD itd.) agencja Dun & Bradstreet sklasyfikowała swoje dane ESG w 13 obszarach tematycznych. Zasoby naturalne, emisje gazów cieplarnianych i zagrożenia związane z klimatem, zagrożenia i szanse związane z ochroną środowiska, kapitał ludzki, produkty i usługi, utrzymanie klientów, zaangażowanie społeczne, zaangażowanie dostawców, certyfikaty, ład korporacyjny i odporność przedsiębiorstwa. Te obszary tematyczne dzielą się na dalsze podtypy danych.

„Dokonując klasyfikacji, kierowaliśmy się przepisami ustawowymi, np. ustawą o dochowaniu należytej staranności przedsiębiorcy w łańcuchu dostaw w celu przestrzegania praw człowieka, oraz Taksonomią UE. Obecnie przedsiębiorstwa są zobowiązane na przykład do pozyskiwania informacji dotyczących śladu CO2 partnerów biznesowych, warunków pracy lub zaangażowania społecznego. Oferując D&B ESG Intelligence, Dun & Bradstreet dostarcza rozwiązanie, które ułatwia dostępność tych danych”

dodaje Ettmann.

Ranking ESG na rzecz zwiększenia przejrzystości  

Ranking ESG opracowany przez Dun & Bradstreet określa, w jakim stopniu dana firma zaangażowana jest w działanie związane ze zgodnością ESG, które może skutkować stratą finansową. Do pomiaru ryzyka stosuje się skalę od 1 do 5, przy czym 1 oznacza najmniejsze, a 5 największe ryzyko. W przypadku gdy firma współpracuje z dostawcą o rankingu ESG 5, można z tego wywnioskować, że ryzyko jest bardzo wysokie.

Z rankingu ESG można również dowiedzieć się, w jakim obszarze firma posiada dobry ranking. Ranking „E” koncentruje się na ochronie środowiska, ranking „S” na polityce społecznej, a ranking „G” na aspektach związanych z ładem korporacyjnym. Dodatkowo dostępne są również branżowe dane porównawcze i informacje na temat zastosowanych danych źródłowych, dzięki czemu można bardzo dokładnie oszacować zagrożenia.

„D&B ESG Intelligence pomaga przedsiębiorstwom w identyfikacji partnerów biznesowych z dobrymi wynikami ESG, co ułatwia podejmowanie właściwych decyzji handlowych oraz umożliwia wykrywanie zagrożeń, takich jak zła reputacja albo szkody wynikające z niedostosowania do regulacji lub straty operacyjne w łańcuchu dostaw”,

mówi Carol Ettmann.

Jak obecnie, po nowelizacji Kodeksu spółek handlowych, wygląda odpowiedzialność Rady Nadzorczej za wdrożenie i utrzymanie systemu compliance? A jak się do tego ma projekt nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary?

Do zakresu działania rady nadzorczej z istoty tego organu należy prowadzenie stałego nadzoru i kontroli działalności spółki, mając przede wszystkim na względzie interes spółki. Obowiązek ten sam w sobie stanowi pewien zalążek systemu compliance i pozycjonuje radę nadzorczą jako organ, który nadaje ton działaniom w tym zakresie.

Ogólnie rzecz ujmując, system compliance w spółce ma zapewniać zgodność działalności spółki z szeroko rozumianymi regulacjami prawnymi i ograniczać sytuacje wystąpienia nieprawidłowości. Jednak o ile system compliance występuje stosunkowo często w przypadku spółek publicznych w związku z Dobrymi Praktykami Spółek Notowanych na GPW 2021, o tyle w spółkach nieposiadających statusu spółek publicznych występuje on stosukowo rzadko i postrzegany jest jako element kosztowny oraz hamujący biznes. Jednak wbrew pozorom system ten bardzo często istotnie przyczynia się do ograniczenia strat w sytuacji, w której w ramach przedsiębiorstwa wystąpi delikt administracyjny czy nawet przestępstwo.

Nowelizacja KSH wprowadziła w tym zakresie istotną zmianę polegającą zasadniczo na obowiązku posiadania systemu compliance przez praktycznie każdą spółkę akcyjną, a przynajmniej na corocznej ocenie tego, czy taki system powinien być w spółce wdrożony. Rada nadzorcza w swoich rocznych sprawozdaniach musi bowiem ujmować ocenę sytuacji spółki z uwzględnieniem adekwatności i skuteczności systemu compliance.

Obowiązkiem rady nadzorczej jest zatem weryfikować, czy system compliance jest adekwatny, bądź też wymaga zmian i wzmocnienia jego roli z uwagi na np. wielkość spółki, jej obroty, narażenie na wystąpienie nieprawidłowości.

Zmiana ta ma również istotne znaczenie z dwóch powodów.

Po pierwsze, w ostatnich dwóch latach Komisja Nadzoru Finansowego („KNF”) rozpoczęła intensywne nakładanie administracyjnych kar pieniężnych na członków rad nadzorczych. W toku takich postępowań KNF ocenia należytą staranność członków tych organów
w sprawowanych przez nich obowiązkach. Ocena ta ma charakter indywidualny i dokonywana jest w perspektywie zidentyfikowanego w ramach działalności spółki naruszenia np. obowiązków sprawozdawczych. Brak oceny systemów compliance przez radę nadzorczą czy też brak rekomendacji ich wdrożenia, pomimo istnienia obiektywnie takiej potrzeby, z pewnością zostanie uznany za działanie niestaranne.

Po drugie, zmiana ta ma również istotne znaczenie w perspektywie projektowanej nowelizacji ustawy o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary. Przesłanką odpowiedzialności podmiotu zbiorowego na gruncie projektowanej nowelizacji będzie m.in. wystąpienie takiej nieprawidłowości w organizacji działalności podmiotu zbiorowego, która ułatwiła lub umożliwiła popełnienie czynu zabronionego. Za taką nieprawidłowość projekt ustawy uznaje m.in. brak wyznaczenia osoby lub komórki organizacyjnej nadzorującej przestrzeganie przepisów regulujących działalność podmiotu zbiorowego – innymi słowy komórki compliance. Z kolei przesłanką wyłączającą odpowiedzialność podmiotu zbiorowego ma być dochowanie należytej staranności przez wszystkie organy tej spółki, a więc np. radę nadzorczą. Skoro tak, to brak przyjęcia systemu compliance, pomimo corocznej oceny i obiektywnej potrzeby jego wdrożenia, istotnie zwiększy ryzyko odpowiedzialności spółki na gruncie projektowanej nowelizacji.

To wszystko powoduje, że system compliance przestaje być jedynie dobrą praktyką, a staje się powoli wymogiem bezwzględnie obowiązujących przepisów prawa.

Ustawa z 1 marca 2018 o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nałożyła na instytucje obowiązek wyznaczenia osób odpowiedzialnych za należyte wykonanie przepisów ustawy.

Zgodnie z art.6 instytucje obowiązane wyznaczają kadrę kierowniczą wyższego szczebla odpowiedzialną za wykonywanie obowiązków określonych w ustawie, w tym m.in. za czynności związane z akceptacja nawiązania albo kontynuacji relacji z klientami wysokiego ryzyka (np. PEP i RCA) lub konsultację w zakresie wewnętrznej procedury instytucji obowiązanej dotyczącej AML/CFT. Ponadto, gdy w instytucji obowiązanej działa zarząd lub inny organ zarządzający, wyznacza się spośród członków tego organu osobę odpowiedzialną za wdrażanie obowiązków określonych w Ustawy AML.

Ponadto ustawodawca przewidział obowiązek wyznaczenie pracownika zajmującego kierownicze stanowisko, który będzie odpowiedzialny za zapewnienie zgodności działalności samej instytucji, jak też jej pracowników oraz innych osób wykonujących czynności na rzecz banku, z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (tzw. AML/Compliance Oficer).

Pracownik ten odpowiedzialny jest zarówno za przygotowanie i realizację polityki zgodności, jak i za raportowanie zawiadomień do jednostki analityki finansowej. Ciąży też na nim szereg obowiązków wynikających z ustawy, a których wspólnym mianownikiem jest potrzeby zorganizowania i nadzorowania (monitorowania) systemu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu w instytucji obowiązanej.

Zarówno potrzeba wyznaczenia osoby odpowiedzialnej spośród kadry kierowniczej wyższego szczebla, jak i wymagania wynikające z wymienionych (skrótowo) powyżej obowiązków obwarowane zostały karami administracyjnymi oraz przepisami karnymi zawartymi w samej ustawie celem prawidłowego ich wykonywania.

Nowe wytyczne EBA i UKNF

Europejski Urząd Nadzoru Bankowego (The European Banking Authority – EBA) 4 czerwca 2022 roku opublikował wytyczne określające role i obowiązki AML/compliance oficera oraz organu zarządzającego w obszarze przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu w instytucjach kredytowych i finansowych. Ich celem jest stworzenie jasnych zasad dotyczących zarządzania obszarem AML/CFT oraz wykonanie rekomendacji Komisji Europejskiej odnośnie sprecyzowania funkcji AML/compliance oficerów w instytucjach finansowych.

W celu doprecyzowania obowiązków określonych tych Wytycznych,  Urząd Komisji Nadzoru Finansowego wydał 1 grudnia 2022 roku stanowisko dotyczące AMLRO, które dotyczy dobrych praktyk w zakresie wypełniania obowiązków wynikających z Ustawy AML.

UKNF oczekuje, aby podmioty nadzorowane przeprowadziły analizę stopnia dostosowania do wymogów Stanowiska oraz bez zbędnej zwłoki włączyły jego zapisy do praktyki działania odpowiednio zmieniając swoje regulacje wewnętrzne oraz procesy nadzorcze, proporcjonalnie do skali, rodzaju i charakteru działalności.

Mając na uwadze powyższe zagadnienia związane z rolą i zadaniami:

• pracownika odpowiedzialnego za zapewnienie zgodności z przepisami w zakresie AML/CFT (AML/compliance officer),
• organu zarządzającego lub członka kadry kierowniczej wyższego szczebla odpowiedzialnego za zapewnienie zgodności z przepisami AML/CFT,
• organu nadzorującego.

przygotowaliśmy dla Państwa szkolenie „AML/CFT – role i obowiązki członków zarządów i rad nadzorczych oraz pracowników compliance/AML”.

UKNF w swoim stanowisku wskazuje na rolę i obowiązki AML Oficera, m.in.:

• opracowanie i wdrażanie ramy oceny ryzyka prania pieniędzy i finansowania terroryzmu instytucji oraz prezentowanie wyników tej oceny wraz z mechanizmami mitygacyjnymi organowi zarządzającemu lub członkowi kadry kierowniczej wyższego szczebla odpowiedzialnemu za AML/CFT,
• zapewnienie wprowadzenia odpowiednich polityk (strategii) i procedur AML/CFT, ich bieżące aktualizowanie i skuteczne wdrażanie (wraz z odpowiednimi mechanizmami kontrolnymi) oraz zapewnienie, aby były one regularnie poddawane przeglądowi i w razie potrzeby zmieniane lub aktualizowane, jak również przedstawiać propozycje dostosowania polityk i procedur do zmian regulacyjnych lub zmian w zakresie ryzyk ML/FT podmiotu nadzorowanego (co najmniej w zakresie elementów określonych w art. 50 ust. 2 ustawy),
• w ramach funkcji drugiej linii obrony – odpowiadanie za monitorowanie zgodności polityk, mechanizmów kontrolnych i procedur z obowiązkami AML/CFT
• nadzorowanie skuteczności mechanizmów kontrolnych przez linie biznesowe i jednostki organizacyjne
• zapewnienie aktualizacji elementów procesu AML/CFT
• ewentualne rekomendowanie organowi zarządzającemu odpowiednich działań naprawczych (w razie stwierdzenia nieprawidłowości w procesie AML/CFT, w tym przez organy informacji finansowej i nadzoru oraz audyt)
• informowanie organu zarządzającego o środkach, jakie należy zastosować w celu zapewnienia compliance, a także ocena możliwego wpływ ewentualnych zmian w otoczeniu prawnym na działalność podmiotu nadzorowanego i jej zgodność z przepisami prawa
• zwracanie uwagi członka organu zarządzającego lub członka kadry kierowniczej wyższego szczebla odpowiedzialnego za AML/CFT w szczególności na:
  • obszary wymagające wdrożenia nowych mechanizmów kontrolnych lub usprawnienia istniejących,
  • sprawozdania z realizacji istotnych programów naprawczych (co najmniej raz w roku),
  • adekwatność zasobów ludzkich i technicznych przydzielonych komórce ds. AML/CFT
  • kompleksowe sprawozdanie ze swojej działalności (co najmniej raz w roku)
• w odniesieniu do obowiązku przekazywania informacji o transakcjach (w tym podejrzanych) do GIIF – zapewnić, żeby inni pracownicy zajmujący się tym obszarem byli odpowiednio kompetentni oraz uwzględnić obowiązek zachowania tajemnicy, ochronę danych i inne ograniczenia mogące mieć znaczenie w zakresie wymiany informacji – w ramach tej funkcji AML Oficer powinien m.in.:
  • znać funkcjonowanie systemu monitorowania transakcji,
  • przyjmować zgłoszenia od pracowników, pośredników lub dystrybutorów podmiotu nadzorowanego o budzących wątpliwości transakcjach, podmiotach i osobach,
  • zapewnić niezwłoczne rozpatrywanie tych zgłoszeń, przy uwzględnieniu ustalonych priorytetów,
  • prowadzić rejestr wszystkich przeprowadzonych analiz dotyczących zgłoszeń oraz informacji zwrotnych otrzymanych od GIIF,
  • zapewnić niezwłoczne przekazywanie informacji o transakcjach podejrzanych do GIIF wraz z niezbędnymi danymi i uzasadnieniem,
  • zapewnić niezwłoczne przekazywanie wyczerpującej odpowiedzi na zapytania GIIF,
  • regularnie analizować czy ostrzeżenia o nietypowej działalności lub transakcjach nie zostały przekazane na wyższy szczebel jako zgłoszenia wewnętrzne oraz, jeśli takie sytuacje zaistniały, powody dla których nie zostały przekazane
  • zapewnić, aby mechanizmy kontrolne umożliwiały stosowanie się pomiotu nadzorowanego do wytycznych wydanych przez organy informacji finansowej oraz nadzoru
• w zakresie realizacji obowiązku szkoleniowego i podnoszenia świadomości pracowników:
  • należycie informować personel o ryzykach ML/FT, na które narażony jest podmiot nadzorowany, w tym o metodach, tendencjach i typologii prania pieniędzy i finansowania terroryzmu, a także o podejściu opartym na analizie ryzyka,
  • nadzorować przygotowanie i realizację programu szkoleniowego oraz jego udokumentowanie,
  • zapewnić, aby szkolenia były zróżnicowane i dostosowane do profilu i poziomu ryzyka ML/FT w odniesieniu do danej grupy pracowników,
  • zapewnić odpowiednią jakość i aktualność szkoleń oraz sprawdzenie stopnia opanowania wiedzy,
  • zapewnić dostosowanie programu szkoleniowego zagranicznej spółki dominującej do przepisów prawa krajowego, a także do typologii prania pieniędzy i finansowania terroryzmu oraz specyfiki działań danego podmiotu nadzorowanego.

W stanowisku UKNF podkreślono rolę organu pełniącego funkcję nadzorczą w procesie AML/CFT

Organ nadzorujący odpowiada za nadzorowanie i monitorowanie wdrażania ram zarządzania wewnętrznego i kontroli wewnętrznej dla zapewnienia zgodności z obowiązującymi wymogami w obszarze AML/ CFT, w tym m.in. powinien:

• nadzorować i monitorować adekwatność i skuteczność realizacji polityki (strategii) i procedur AML/CFT uwzględniając specyfikę rodzajów ryzyka ML/FT, podmiotu nadzorowanego oraz powodować podjęcie działań i środków naprawczych adekwatnych do zidentyfikowanych nieprawidłowości
• dokonywać regularnych przeglądów sprawozdań z działalności AMLRO (AML Oficera) oraz co najmniej raz w roku oceniać skuteczność działalności w zakresie AML/CFT, z uwzględnieniem wniosków systemu kontroli wewnętrznej, w tym audytu. W ramach dobrych praktyk przyjmuje się, że okresowe raporty dla zarządu powinny być generowane w cyklach miesięcznych lub kwartalnych, a dla rady nadzorczej – w cyklach kwartalnych lub półrocznych.
• zapewnić, aby członek organu zarządzającego odpowiedzialny za proces AML/CFT (lub członek kadry kierowniczej wyższego szczebla odpowiedzialny za wykonywanie obowiązków określonych w ustawie) posiadał wiedzę, umiejętności i doświadczenie konieczne do zidentyfikowania i oceny ryzyka specyficznego dla podmiotu nadzorowanego ML/FT oraz zarządzania nim, a także otrzymywał informacje o decyzjach potencjalnie wpływających na ryzyka, na które jest narażony podmiot nadzorowany
• mieć dostęp do stosownych danych i informacji oraz wykorzystywać je w celu skutecznej realizacji zadań z zakresu AML/CFT
• mieć dostęp do sprawozdań AMLRO i audytu, informacji o wynikach kontroli i korespondencji z uprawnionymi organami państwowymi oraz informacji o środkach nadzorczych i nałożonych karach. Zadania i rola członka organu zarządzającego lub członka kadry kierowniczej wyższego szczebla .

Dodatkowo Stanowisko wskazuje zadania i rolę członka organu zarządzającego lub członka kadry kierowniczej wyższego szczebla odpowiedzialnego za AML/CFT

 Członek organu zarządzającego lub członek kadry kierowniczej wyższego szczebla powinien:

• mieć odpowiednią wiedzę, umiejętności i doświadczenie w zakresie ryzyka ML/TF oraz wdrażania polityk (strategii), mechanizmów kontrolnych i procedur AML/CFT, a także dotyczącą specyfiki działalności podmiotu nadzorowanego; dotyczy to również osób zastępujących na czas nieobecności takie osoby
• zapewnić, aby organ zarządzający lub w przypadku braku organu zarządzającego – kadra kierownicza wyższego szczebla byli świadomi wpływu ryzyk ML/FT na profil ryzyka w odniesieniu do całej działalności podmiotu nadzorowanego
• mieć zapewniony czas, zasoby i uprawnienia niezbędne do skutecznego wypełniania obowiązków AML/CFT
• terminowo składać kompleksowe sprawozdania z realizacji zadań oraz przekazywać informacje organowi nadzorującemu
• zapewnić adekwatność i proporcjonalność polityk (strategii), procedur i systemu kontroli wewnętrznej w obszarze AML/CFT z uwzględnieniem specyfiki działalności oraz ryzyk ML/FT w odniesieniu do podmiotu nadzorowanego
• zapewnić, aby AMLRO regularnie i terminowo składał organowi zarządzającemu kompleksowe raporty na temat ryzyk ML/FT i zgodności z przepisami AML/CFT niezbędne dla realizacji procesu decyzyjnego przez ten organ
• zapewnić, aby AMLRO miał bezpośredni dostęp do informacji niezbędnych do wykonywania swoich zadań, w tym informacji o incydentach i nieprawidłowościach związanych z przeciwdziałaniem praniu pieniędzy i finansowaniu terroryzmu w skali całego podmiotu nadzorowanego oraz o uchybieniach stwierdzonych przez system kontroli wewnętrznej i przez krajowe (w przypadku grup – zagraniczne) organy nadzoru, a także dysponował wystarczającymi zasobami ludzkimi i technicznymi oraz narzędziami umożliwiającymi mu odpowiednie wykonywanie powierzonych zadań
• zapewnić, aby był on dla AMLRO główną i bezpośrednią osobą kontaktową w kierownictwie podmiotu nadzorowanego oraz zapewnić odpowiednią reakcję organów podmiotu nadzorowanego na wnioski AMLRO, w tym na forum organu zarządzającego lub kadry kierowniczej wyższego szczebla, a w przypadku istotnych incydentów w obszarze AML/CFT, zabezpieczyć bezpośredni dostęp do organu nadzorującego.

System compliance jest często kluczowym elementem często generującym praktyczne problemy w funkcjonowaniu grup spółek.

Są takie wymagające uregulowania kwestie, które powinny znaleźć odzwierciedlenie zarówno w politykach i procedurach obowiązujących w konkretnych podmiotach z grupy kapitałowej, jak też w tak zwanych politykach grupowych.

W związku z tym uznaliśmy, że właśnie kwestie owych regulacji grupowych będziemy chcieli poruszyć podczas 9. Ogólnopolskiej Konferencji Compliance & AML, ponieważ te akty przyjmowane na poziomie grup nastręczają w naszej opinii najwięcej problemów.

Jakie inne regulacje z obszaru compliance nastręczają problemów na poziomie grup?

Są również inne kwestie, o których wydaje się, że warto będzie wspomnieć podczas Konferencji. To jest między innymi whistleblowing, czyli ochrona tzw. sygnalistów. Do tej pory to właśnie podmioty z branży finansowej miały obowiązki związane z ochroną sygnalistów, które musiały wdrażać swoich podmiotach, ale również w grupach, tak, aby system ochrony był kompatybilny między spółkami należącymi do jednej grupy. Obecnie procedowana jest ustawa, która wdraża unijne rozwiązania w zakresie ochrony sygnalistów i tutaj też wydaje się, że warto będzie pomyśleć o tym w jaki sposób tę ochronę sygnalistów uregulować w procedurach indywidualnych każdego podmiotu, czy też w procedurach grupowych.

Oczywiście równie ważne są kwestie związane z RODO czy regulacjami AML – tutaj też przepływ informacji, w tym przepływ danych osobowych, czy też kwestie związane z zastosowaniem środków bezpieczeństwa (jeżeli podmiot jest instytucją obowiązaną w rozumieniu ustawy AML), tworzy obowiązek wdrożenia procedury grupowej. Przy konstruowaniu takiej procedury powstają pewne problemy praktyczne. Rekomendujemy pewne rozwiązania, o których będziemy z Państwem rozmawiać w trakcie konferencji.

W grudniu mija rok, od kiedy Dyrektywa (UE) 2019/1937 w sprawie ochrony osób zgłaszających naruszenia prawa Unii powinna zostać zaimplementowana przez państwa członkowskie. Polska wciąż jest w grupie krajów, które nie wprowadziły odpowiednich przepisów chroniących sygnalistów.

Komisja Europejska w 2022 r. dwukrotnie upominała już spóźnialskie państwa, wzywając do pełnej transpozycji i udzielenia odpowiedzi na temat przyczyn zaniechań. Dalsza zwłoka grozi wniesieniem sprawy do Trybunału Sprawiedliwości Unii Europejskiej i nałożeniem kar finansowych. Istnieje duża szansa, że zdyscyplinuje to rząd do przyspieszenia prac nad nową ustawą.

Mozolne prace legislacyjne

Sam proces przygotowania nowego prawa zaczął się dopiero na jesieni 2021 r., kiedy Ministerstwo Rodziny i Polityki Społecznej opublikowało pierwszy projekt ustawy o ochronie osób zgłaszających naruszenia prawa. Potem był etap konsultacji publicznych i kolejne trzy wersje projektu opublikowane w 2022 r., z których ostatni z datą 22 lipca. W międzyczasie odbyły się też uzgodnienia międzyresortowe i poznaliśmy protokół rozbieżności. Bardzo możliwe, że to właśnie w tabeli uwag nieuwzględnionych znaleźć można przyczyny, dla których prace po stronie rządu jeszcze się nie zakończyły.

Faktem jest, że po wakacjach zapadła cisza na temat dalszych losów projektu. Rządowy proces legislacyjny zatrzymał się na etapie uzgodnień z Komitetem do Spraw Europejskich. Co istotne, każdy kolejny projekt zawierał coraz mniej zmian w stosunku do poprzedniego, a projekt ostatni w zestawieniu z poprzednim różnił się wyłącznie kosmetycznymi, językowymi poprawkami. W znakomitej większości składał się z przepisów wynikających wprost z wytycznych Dyrektywy UE, miejscami cytując ją słowo w słowo. Na tej podstawie można przypuszczać, że przyszła ustawa nie będzie daleko odbiegać od obecnego kształtu projektu, choć oczywiście podczas prac nad nią w Sejmie i w Senacie sporo jeszcze może się wydarzyć. Dlaczego proces ten do tej pory toczy się tak wolno, gdzie leży pies pogrzebany?

Co wyhamowuje ustawę?

Stawiam tezę, że gdyby ustawa o sygnalistach miała dotyczyć wyłącznie podmiotów sektora prywatnego, przepisy dawno już weszłyby w życie. Najważniejsze dylematy rządu zdają się dotyczyć tego jak ma działać system ochrony sygnalistów oparty o jednostki sektora finansów publicznych i z czego będzie finansowany. Z projektu ustawy wciąż wyziera potężna luka w postaci braku listy organów publicznych właściwych do przyjmowania zgłoszeń zewnętrznych i podejmowania na ich podstawie działań następczych. Będzie to powodować dezorientację tak sygnalistów jak i samych organów publicznych, niepewnych czy i w jakim zakresie mają prowadzić zewnętrzne kanały zgłaszania.

Dodatkowo Ministerstwo Spraw Wewnętrznych i Administracji nie wycofało się ze swojego postulatu, żeby organ właściwy do zajmowania się zgłoszeniami sygnalistów ustanowić jeden w postaci Prokuratury zamiast rozproszonego systemu organów publicznych. Przystanie na postulat MSWiA to powrót do modelu zgłaszania ujętego w projekcie ustawy o jawności życia publicznego, powszechnie krytykowanego za to, że ochronę sygnalisty uzależnia od arbitralnych decyzji prokuratora. Być może jednak propozycja ta jest wciąż dyskutowana i nie przypadkiem projekt milczy o tym, którym organom publicznym nada kompetencje do zajmowania się sprawami sygnalistów. Wyjątkiem jest tutaj Rzecznik Praw Obywatelskich, któremu została przydzielona rola centralnego organu zajmującego się gromadzeniem i weryfikacją zgłoszeń zewnętrznych. RPO pośredniczyłby w przekazywaniu informacji między sygnalistą a organem, w którego kompetencjach leży zbadanie naruszenia. Dla samego RPO to rola problematyczna, wykraczająca poza ustawowo przypisane mu działania, ale też niosąca za sobą duże obciążenia finansowe. Tymczasem ze strony Ministerstwa Finansów słychać pohukiwania, że skutki finansowe przyszłej ustawy nie zostały dokładnie policzone a liczba zgłoszeń i czasochłonność ich obsługi może okazać się zupełnie inna od przewidywanej. Dlatego biorąc pod uwagę kryzys gospodarczy spowodowany pandemią Covid-19 i wojną w Ukrainie, sugeruje, aby na początek Biuro RPO wygospodarowało środki na ten cel w ramach istniejącego już budżetu. Wreszcie wciąż możliwy jest wariant polegający na stworzeniu nowej instytucji, która przejmie zadania RPO i innych organów publicznych w zakresie obsługi zgłoszeń zewnętrznych. Jest to rozwiązanie obecne w kilku europejskich krajach, np. na Słowacji, jednak niosące ze sobą jeszcze większe wyzwania finansowo-kadrowe aniżeli poszerzenie kompetencji RPO. Nie bez znaczenia jest to, że powołanie dedykowanej instytucji zanim jeszcze wdroży zewnętrzne kanały zgłaszania wymaga dodatkowego czasu, który już dawno się skończył.

Póki co najtrudniejsze dla rządu okazują się decyzje dotyczące kilku elementów ustawy o sygnalistach, co do których Dyrektywa UE nie narzuca jednego rozwiązania. W interesie polskiego państwa, ale też organizacji czekających na wytyczne jak i kiedy procedury zgłoszeń wdrożyć, powinny zostać podjęte niezwłocznie.

Kto odpowiada za Compliance w spółce, organizacji, jednostce samorządu terytorialnego? Wszyscy. A Rada Nadzorcza w szczególności.

Oczywiście każdy interesariusz – od najwyższego kierownictwa do szeregowego pracownika, a nawet współpracownika – odpowiada za bycie compliant w swoim zakresie. Na każdym ciąży obowiązek dbania o to, by organizacja działała zgodnie z prawem, zasadami etyki i zobowiązaniami.

Także wspólnicy lub akcjonariusze odpowiadają do pewnego stopnia za system Compliance. Nie odpowiadają oni co prawda za zobowiązania spółki ani nie prowadzą jej spraw. Mają oni jednak instrumenty prawne i faktyczne by „wymusić” w spółkach kapitałowych wdrożenie i utrzymanie systemów compliance. I jest to w ich bezpośrednimi interesie, gdyż za brak lub pozorność systemów compliance mogą zapłacić m.in. utratą lub uszczerbkiem na reputacji oraz spadkiem wartości posiadanych udziałów/akcji. Wystarczy przytoczyć wpływ afer Enron czy problemy udziałowców zaangażowanych ostatnio, choćby pośrednio, w rosyjskie inwestycje.

Reforma KSH wzmacnia rolę i odpowiedzialności członków Rady Nadzorczej za funkcjonowanie systemu compliance w spółce.

Najkrócej ujmując temat, Rada Nadzorcza zobowiązana jest do stałego nadzoru nad działalnością spółki we wszystkich dziedzinach jej działalności, w tym Rada Nadzorcza sprawuje nadzór nad wprowadzeniem systemu Compliance i dokonuje jego oceny.

Po wejściu w życie reformy KSH (od 13.10.2022 r.) rada nadzorcza spółki akcyjnej będzie zobowiązana do przygotowania corocznego sprawozdania rady nadzorczej (zmieniono art. 382 § 3 oraz dodano nowy art. 382 § 31) zawierającego:

• ocenę rocznych sprawozdań finansowych, w zakresie ich zgodności z księgami, dokumentami i ze stanem faktycznym,
• ocenę wniosków zarządu dotyczących podziału zysku albo pokrycia straty,
• ocenę sytuacji spółki, z uwzględnieniem adekwatności i skuteczności stosowanych w spółce systemów kontroli wewnętrznej, zarządzania ryzykiem, zapewniania zgodności działalności z normami lub mającymi zastosowanie praktykami oraz audytu wewnętrznego.

Ponadto osoba kierująca komórką do spraw zgodności powinna:

1. mieć zapewniony bezpośredni kontakt z radą nadzorczą,
2. uczestniczyć w posiedzeniach rady nadzorczej, w przypadku gdy przedmiotem posiedzenia są zagadnienia związane z zapewnianiem zgodności lub zarządzaniem ryzykiem.

A co, jak nie działa?

Członkom Rady Nadzorczej w podmiotach, które nie wdrożą skutecznego systemu compliance grozi odpowiedzialność karna a także odpowiedzialność cywilna i dyscyplinarna. W przypadku działań niezgodnych z prawem lub podejmowanych z nienależytą starannością jak również jawnych zaniechań, członkowie rady nadzorczej mogą zostać pociągnięci do odpowiedzialności. Przykładami działań na szkodę spółki popełnianymi przez członków tego organu jest m.in. niegospodarność, przestępstwo ogłaszania fałszywych danych (art. 587 KSH), jak również naruszenia dotyczące sprawozdań finansowych. Za szkody wyrządzone spółce członkowie rady nadzorczej mogą zostać ukarani karami takimi jak grzywna, a nawet ograniczenie albo pozbawienie wolności.

Samo powołanie osoby odpowiedzialnej za system compliance nie zwalnia też rady nadzorczej z odpowiedzialności. Wdrożenie i utrzymanie systemu compliance to obowiązek zarządu, jednak nadzór nad nim to obowiązek Rady Nadzorczej, który w dodatku po reformie zostaje wzmocniony przez włączenie nowych obowiązków sprawozdawczych Rady opierających się na informacjach płynących z tego obszaru biznesu.

AML6 lub 6AMLD (Szósta Dyrektywa w Sprawie Przeciwdziałania Praniu Pieniędzy) stanowi kolejny krok w europejskich przepisach dotyczących prania pieniędzy i finansowania terroryzmu.

AML6 to Dyrektywa Unii Europejskiej 2018/1673. Norma ta rozwija to, co zostało już ustanowione w 5. Dyrektywie w sprawie przeciwdziałania praniu pieniędzy i oznacza ważny i zdecydowany rozwój w niektórych obszarach prawa.

AML 5, która weszła w życie 10 stycznia 2020 r., ustanowiła ramy odniesienia dla procesów KYC w Europie i umożliwia firmom finansowym świadczenie usług na jednolitym rynku z 508 milionami konsumentów. Bariery utrudniające prowadzenie działalności w wielu branżach i na rynkach, na których wcześniej występowała duża fragmentacja, zostały tym samym usunięte.

Obecne regulacje karne przeciwdziałające praniu pieniędzy w UE można właściwie opisać jako mozaikę reżimów i przepisów, a nie jako całość. System ten doprowadził do braku jasności prawnej w niektórych indywidualnych przypadkach oraz do nieuznawania niektórych przestępstw i naruszeń bezpieczeństwa przez firmy.

AML6 stara się rozwiązać te problemy poprzez zaostrzenie definicji przestępstw i kar oraz obejmuje ewolucję odpowiedzialności korporacyjnej.

ZMIANY W NOWEJ DYREKTYWIE AML6

6AMLD określa trzy punkty do rozważenia: działalność przestępczą, nabycie jakiejkolwiek własności w drodze przestępstwa i jej pranie. Nowa dyrektywa określa również i klasyfikuje jako przestępstwa różne metody nielegalnego nabywania towarów i pieniędzy.

Artykuł 7. AML6 koncentruje się na tym, na czym pracują spółki RegTech: odpowiedzialności korporacyjnej i identyfikacji: określa odpowiedzialność ​​osób prawnych w warunkach, w których „brak nadzoru lub kontroli” przez podmiot dominujący umożliwił popełnienie przestępstwa. Dlatego tak ważne jest też wprowadzenie reguł prawa holdingowego w nowym KSH oraz ochrony członków organów korporacyjnych („business judgment rule”).

W tym samym kierunku art. 10 Dyrektywy koncentruje się na stosowaniu sankcji w celu ograniczenia problemów prawnych i zamieszania. Na przykład w 2017 r. amerykańscy regulatorzy federalni nałożyli grzywny na amerykańskie oddziały i spółki zależne azjatyckich instytucji finansowych i banków na prawie 110 mln USD za nieprawidłowości w ich procesach.

Artykuły 5 i 8 AML6 koncentrują się na sankcjach; zarówno dla firm jak i osób prywatnych:

• Odmowa prawa do świadczeń lub wsparcia rządowego oraz tymczasowe lub stałe zakazy dostępu do środków publicznych; w tym do dotacji i koncesji;
• Tymczasowa lub trwały zakaz sprawowania funkcji w organach korporacyjnych;
• Nałożenie nadzoru sądowego;
• Sądowe nakazy zamknięcia oraz czasowe lub stałe zamknięcie podmiotów;
• Sankcje karne, w tym pozbawienia wolności osób pełniących funkcje menadżerskie.

AML5 już rozważała środki skoncentrowane na sankcjach zarówno dla biznesu, jak i potencjalnych przestępców, ale AML6 idzie znacznie dalej w narzędziach i mechanizmach kontroli i ich zaostrzaniu.

Dlatego AML6 wprowadza następujące kluczowe zmiany:

Możliwości technologiczne i zasoby, które mają być zgodne z 6AMLD

Wszystkie organizacje i firmy, których działalność jest regulowana i objęta Dyrektywą (instytucje obowiązane), muszą opracować procedury technologiczne w celu spełnienia wymagań AML6 i rozpoznać czynniki ryzyka w celu uniknięcia przestępstw. Obowiązkowe jest posiadanie niezbędnej zdolności technologicznej w procesach (na przykład KYC), aby zapewnić zgodność z dyrektywą.

Pomaganie, podżeganie, próbowanie i wykonywanie

Akty pomocy, podżegania i umożliwiania popełnienia przestępstwa (stadia) również stanowią złamanie Dyrektywy i podlegają karze jako przestępstwo.

Zunifikowane przestępstwa źródłowe

W ramach AML6 ustalono łącznie 22 przestępstwa, od tych związanych z przestępczością cyfrową po przestępstwa podatkowe. Obowiązkowe jest ustanowienie skutecznych procedur KYC w celu ich identyfikacji.

Odpowiedzialność karna osób prawnych

Przestępstwa mogą dotyczyć zarówno osoby prawnej (podmiot, firma), jak i osoby fizycznej (osób fizycznych). Odpowiedzialność tę przypisuje się kierownictwu jak i pracownikom instytucji obowiązanej.

Wyższe kary za przestępstwa prania pieniędzy

Minimalna kara za przestępstwa związane z praniem pieniędzy wzrasta z jednego do czterech lat więzienia. Podobnie sankcje gospodarcze sięgają 5 mln euro (i ich odpowiedników w innych walutach). AML6 zachęca również władze do nakładania dalszych sankcji.

Rozszerzenie współpracy między państwami UE

AML6 opisuje procedury współpracy między państwami w zakresie wykrywania przestępstw finansowych i agresji transgranicznej. Podobnie międzynarodowy nadzór jest ustanowiony dla firm, które nie przestrzegają Dyrektywy.

KYC to akronim od Know Your Customer – wymogu przeprowadzania kontroli tożsamości i zachowania należytej staranności wobec klienta.

Chociaż przepisy KYC różnią się w zależności od kraju, ogólna zasada obejmuje gromadzenie wystarczającej ilości informacji, aby właściwie zidentyfikować osobę i zapewnić, że jej działania są zgodne z prawem.

Polityki KYC rozwijały się od pewnego czasu i stały się bardzo ważne na całym świecie. Ponieważ kwestie związane z korupcją, finansowaniem terroryzmu i praniem pieniędzy stają się tak powszechne, polityki KYC przekształciły się obecnie w ważne narzędzie do zwalczania nielegalnych transakcji w dziedzinie finansów międzynarodowych.

Wiele instytucji finansowych rozpoczyna procedury KYC po prostu od zebrania podstawowych danych i informacji o swoich klientach, najlepiej przy użyciu elektronicznej weryfikacji tożsamości. W niektórych krajach nazywa się je „programem identyfikacji klienta”. Fragmenty informacji, takie jak imiona i nazwiska, numery ubezpieczenia społecznego, daty urodzin i adresy, mogą być bardzo przydatne przy ustalaniu, czy dana osoba jest zamieszana w przestępstwo finansowe.

Istnieje wiele kroków, które należy wykonać podczas procedury KYC, takich jak:

1. potwierdzić tożsamość poprzez sprawdzenie autentyczności dokumentów tożsamości, daty ważności oraz listy skradzionych/unieważnionych dokumentów
2. sprawdź i potwierdź numery rejestracyjne, takie jak numer firmy z rejestru KRS czy REGON, numer VAT itp. i porównaj z danymi osoby/firmy
3. sprawdzić stan formy prawnej – czy jest aktywna, czy nie jest w stanie likwidacji lub rozwiązana
4. sprawdzić beneficjenta rzeczywistego podmiotu prawnego w CRBR
5. sprawdzić status PEP osoby będącej beneficjentem rzeczywistym osoby prawnej lub klienta będącego osobą fizyczną
6. sprawdź listę sankcji (zarówno osobiste formularze beneficjentów rzeczywistych, jak i osoby prawne)

Aby wykonać wszystkie powyższe zadania, możesz skorzystać z różnych specjalistycznych narzędzi wielu firm IT na całym świecie.