Compliance od 2018 r. będzie standardem. Obowiązkowo i pod rygorem kar

Wiele ustaw, jeden cel: praworządna firma

Informacje z prasy codziennej wskazują na lawinowy wzrost zainteresowania przedsiębiorców regulacjami unijnego rozporządzenia RODO (tj. rozporządzenia Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych; Dz.Urz. UE z 2016 r. L 119, s. 1). Związane jest to niewątpliwie z tym, że przepisy rozporządzenia od 25 maja 2018 r. będą bezpośrednio stosowane we wszystkich państwach członkowskich Unii Europejskiej. RODO przewiduje przy tym możliwość konkretyzacji jego postanowień ustawami krajowymi. Projekt takiej ustawy oraz ustawy zmieniającej ok. 200 innych krajowych regulacji ustawowych 12 września 2017 r. został przedstawiony do opiniowania przez Ministerstwo Cyfryzacji.

Jednak RODO to niejedyna nowość legislacyjna. Równolegle trwają prace nad wieloma innymi aktami prawnymi, które w bezpośredni sposób wpłyną na funkcjonowanie przedsiębiorców w Polsce. Całościowa lektura tych projektów lub założeń do planowanych aktów prawnych wskazuje na rewolucyjny ich charakter także w obszarze compliance. Pojęcie to - jeszcze nie tak dawno niemal obce w polskim obrocie gospodarczym - nie tylko zyskuje sobie rację bytu w polskim porządku prawnym, lecz także określa jeden z najistotniejszych obowiązków przedsiębiorców. Rok 2018 można już śmiało nazwać rokiem compliance.

To, co dobrowolne, stanie się obligatoryjne

Dotychczas wielokrotnie wskazywaliśmy, że implementacja zachodnich standardów w zakresie compliance przebiega u nas powoli, nieskładnie i szczątkowo. Wynikało to z tego, że jedyną inspiracją dla przedsiębiorców w Polsce do wprowadzania wewnętrznych regulacji zapewniających zgodność funkcjonowania z przepisami prawa były zagraniczne akty legislacyjne o charakterze transgranicznym, które przewidywały odpowiedzialność kadry zarządzającej spółek matek z tytułu należytego nadzoru nad działalnością spółek córek. Stosowanie tych regulacji wzbudziło wprawdzie rosnącą presję ze strony klientów i kontrahentów na etyczne funkcjonowanie przedsiębiorstw, ale nie owocowało zmianami legislacyjnymi (z małymi wyjątkami dotyczącymi banków i firm inwestycyjnych).

COMPLIANCE

Oprac. Sławomir Paruch i Robert Stępień

radcowie prawni w kancelarii Raczkowski Paruch

Sytuacja jednak diametralnie się zmieniła i prawdopodobnie już w pierwszej połowie 2018 r. polscy przedsiębiorcy będą musieli wdrożyć u siebie wiele wewnętrznych procedur mających przeciwdziałać różnego rodzaju nadużyciom popełnianym przez członków organizacji. I to pod rygorem wysokich kar. Sankcje z tytułu niewprowadzenia odpowiednich regulacji będą sięgały nawet kilkudziesięciu milionów złotych. Na zmianę otoczenia prawnego w tym zakresie wpłynie w najbliższym czasie co najmniej kilka aktów prawnych, z których każdy przewiduje swoiste obowiązki i podstawy odpowiedzialności. Nie mówimy zatem o jednym akcie legislacyjnym, ale o wielu aktach prawnych - zarówno na poziomie krajowym, jak i międzynarodowym - które przewidują określone rozwiązania w sferze wewnętrznych regulacji przedsiębiorstw. Co ciekawe: nie zawsze wewnętrznie spójne. Konieczność uwzględnienia licznych przepisów porozrzucanych w wielu aktach prawnych może zaś sprawić, że dostosowanie organizacji do zmian napotka wiele trudności.

Najważniejsze akty prawne

Wśród regulacji, które będą musiały zostać uwzględnione przez firmy, najważniejsze to:

● wspomniane już RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady z 27 kwietnia 2016 r. nr 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (Dz.Urz. UE z 2016 r. L 119, s. 1) i projekt ustawy wprowadzającej ustawę o ochronie danych osobowych (z 12 września 2017 r., obecnie na etapie uzgodnień międzyresortowych);

● projekt ustawy o jawności życia publicznego (z 12 grudnia 2017 r., obecnie na etapie uzgodnień międzyresortowych);

● dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu (tzw. dyrektywa AML IV; Dz.Urz. UE z 2015 r. L 141, s, 73) oraz projekt wdrażającej ją ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu (przedstawiony 26 września 2017 r., obecnie na etapie uzgodnień międzyresortowych);

● lista przesłanek należytej staranności w obrocie krajowym pod kątem prawa do odliczenia lub odzyskania podatku VAT - prace nad nią prowadzi Ministerstwo Finansów;

● dyrektywa PE i Rady nr 2016/943 z 8 czerwca 2016 r. w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskaniem, wykorzystaniem i ujawnieniem (tzw. dyrektywa ws. ochrony tajemnicy przedsiębiorstwa; Dz.Urz. UE z 2016 r. L 157, s. 1);

● rezolucja Parlamentu Europejskiego nr P8_TA-PROV(2017)0402 z 24 października 2017 r. w sprawie uzasadnionych środków ochrony sygnalistów działających w interesie publicznym podczas ujawniania poufnych informacji posiadanych przez przedsiębiorstwa i organy publiczne (tzw. rezolucja ws. ochrony sygnalistów).

Wspólne obszary

Prace nad omawianymi aktami prawnymi toczą się sektorowo, jako że dotyczą one odrębnych kwestii. Dlatego nie jest dostrzegane to, co dla wszystkich tych regulacji wspólne. Tymczasem lektura propozycji wskazuje, że częściowo ich zakresy tematyczne się pokrywają. Problem w tym, że takie separowanie od siebie poszczególnych zagadnień spowodować może, że dostosowanie organizacji przedsiębiorstwa do stawianych wymogów również odbędzie się sektorowo i nie zapewni spójności wdrażanych rozwiązań, a przez to skuteczności przyjmowanych regulacji.

Przykładowo instytucja sygnalisty (ang. whistleblowing) występuje w większości wymienionych powyżej projektów lub przyjętych aktów. Dostosowywanie się tylko do jednego z nich nie oznacza automatycznie, że wdrożona "Polityka anonimowego zgłaszania nadużyć" będzie zgodna ze wszystkimi wymogami stawianymi w prawie. Taki efekt może zapewnić tylko spojrzenie na instytucję whistleblowingu z punktu widzenia wszystkich obejmujących ją regulacji.

Wśród wątków wspólnych, przewijających się w kilku ustawach, wskazać należy co najmniej trzy poniższe.

●

Prowadzone prace przewidują szeroki obowiązek dokonywania oceny ryzyka w różnych obszarach. Przewidują go przepisy RODO (art. 24 ust. 2 rozporządzenia), zobowiązując do określenia przewidywanego ryzyka naruszenia danych osobowych oraz zapewnienia środków ich ochrony. Takie regulacje powinny znajdować się w rejestrze czynności przetwarzania. Obowiązki w tym zakresie spoczywają na administratorze albo podmiocie przetwarzającym dane. Jednak obowiązek oceny ryzyk i weryfikacji kontrahentów przewiduje również projekt ustawy wdrażającej dyrektywę AML IV o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Oprócz wymogu opracowania zasad oceny ryzyka (w formie papierowej lub elektronicznej) i jej aktualizowania (nie rzadziej niż raz na dwa lata) przepisy te przewidują także obowiązek przyjęcia wewnętrznej procedury instytucji obowiązanej. Również w świetle projektu ustawy o jawności życia publicznego należy stwierdzić, że przedsiębiorca powinien rozpoznać obszary ryzyka popełnienia przestępstw korupcyjnych i do tego dostosować swoje działania.

●

Najdalej idące obowiązki z zakresu wdrożenia wewnętrznych regulacji przewiduje projekt ustawy o jawności życia publicznego. Jego przepisy wskazują, że po wejściu w życie (obecnie zapowiadane na 1 marca 2018 r.) co najmniej średnie przedsiębiorstwa (a więc zatrudniające średniorocznie co najmniej 49 pracowników i osiągające roczny obrót netto przekraczający równowartość w złotych 10 milionów euro) będą zobowiązane do wprowadzenia wewnątrz organizacji Kodeksu etyki i Procedury antykorupcyjnej. Określając tę drugą, projektodawcy wskazują, że powinna ona zawierać co najmniej zasady zapoznania pracowników z przepisami prawa przewidującymi odpowiedzialność karną za przestępstwa korupcyjne, obowiązek stosowania antykorupcyjnych klauzul umownych, politykę przyjmowania prezentów przez pracowników i procedurę informowania właściwych organów przedsiębiorcy o propozycjach korupcyjnych. Obowiązkowy system compliance uzupełnia wymagana przez dyrektywę AML IV i projekt ustawy z 26 września 2017 r. wewnętrzna procedura instytucji obowiązanej, obejmująca zasady przeprowadzania oceny ryzyka, weryfikacji kontrahentów, stosowania środków bezpieczeństwa finansowego i dokumentowania tych działań.

●

Wszystkie omawiane regulacje spaja instytucja whistleblowingu. Przewidują ją m.in. przepisy projektu ustawy o jawności życia publicznego (rozdział 9) i projekt ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Ponadto w myśl dyrektywy ws. ochrony tajemnicy przedsiębiorstwa anonimowe zgłoszenie przez sygnalistę wiadomości o potencjalnych naruszeniach wewnątrz organizacji wyłącza odpowiedzialność sygnalisty za naruszenie tajemnicy przedsiębiorstwa. Sektorowość regulacji dotyczących ochrony sygnalistów, grożącą już dzisiaj brakiem spójności miedzy nimi, dostrzegł też Parlament Europejski. Wydał on rezolucję ws. ochrony sygnalistów, wzywając Komisję Europejską, by przed końcem 2017 r. przedstawiła założenia do inicjatywy prawodawczej kompleksowo regulującej tę materię. Inicjatywa KE prawdopodobnie przybierze postać dyrektywy wyznaczającej minimalne standardy ochrony sygnalistów.

WAŻNE

Termin "compliance", jeszcze nie tak dawno niemal obcy w polskim obrocie gospodarczym, nie tylko zyskuje sobie rację bytu w polskim porządku prawnym, lecz także wyrasta na jeden z najistotniejszych obowiązków przedsiębiorców.

Problem: kumulacja wymogów

Nie tylko prace legislacyjne się kumulują, bo również obowiązki przedsiębiorców wejdą w życie w podobnym czasie:

● RODO będzie stosowane bezpośrednio w państwach członkowskich od 25 maja 2018 r.; do tego czasu powinna wejść w życie ustawa konkretyzująca regulacje rozporządzenia, gdyż przewiduje ono obowiązek notyfikowania takich przepisów Komisji Europejskiej;

● w przypadku regulacji wdrażających dyrektywę AML IV Polska jest już spóźniona, gdyż zgodnie z art. 67 ust. 1 przepisy wdrażające powinny były zostać przyjęte do 27 czerwca 2017 r.;

● ustawa o jawności życia publicznego, według art. 135 projektu, miałaby wejść w życie 1 marca 2018 r.; przewidziano 6-miesięczny okres dostosowawczy;

● do 8 czerwca 2018 r. państwa członkowskie przyjąć muszą przepisy wdrażające dyrektywę w sprawie ochrony tajemnic przedsiębiorstwa.

Jak widać, omówione wyżej obowiązki będą musiały zostać wdrożone przez przedsiębiorców wiosną-latem 2018 r.

WAŻNE

Prace nad nowymi regulacjami toczą się sektorowo, a to powoduje, że nie jest dostrzegane przez przedsiębiorców to, co w nich jest wspólne. Takie separowanie od siebie poszczególnych zagadnień może spowodować, że dostosowanie organizacji przedsiębiorstwa do stawianych wymogów również odbędzie się sektorowo i nie zapewni spójności wdrażanych rozwiązań, a przez to skuteczności przyjmowanych regulacji.

Ocena ryzyka stanie się obligatoryjna

Większą niż do tej pory wagę przedsiębiorcy będą musieli przyłożyć do identyfikowania zagrożeń związanych z prowadzoną działalnością. Staranniej powinni również weryfikować kontrahentów, a także sprawdzać, czy nie dochodzi do konfliktu interesów

Stopień skomplikowania współczesnego obrotu profesjonalnego oraz rosnąca liczba regulacji prawnych i obowiązków ciążących na przedsiębiorcach powodują, że wzrasta znaczenie uprzedniej oceny ryzyk związanych z prowadzoną działalnością. Założeniem, jakim kierują się prawodawcy unijni i krajowi, jest przekonanie, że właściwe wykonywanie wielu obowiązków jest uzależnione od uprzedniego rozpoznania ryzyka naruszenia prawa w poszczególnych obszarach.

Wstępne rozeznanie

Pojęcie oceny ryzyka nie jest obce polskiemu prawu. Pojawiło się już w kontekście m.in. obowiązków kadry zarządzającej banków i firm inwestycyjnych. Rozwiązania tam przyjęte obligowały do przeprowadzenia oceny ryzyka, na którą składały się: jego identyfikacja, pomiar lub szacowanie, kontrola oraz monitorowanie. Ocena ta miała wpływ na całościowy system zarządzania ryzykiem, czyli identyfikowanie zagrożeń i wykonywane czynności o charakterze prewencyjnym. Posiadanie informacji na temat możliwych ryzyk i zagrożeń pozwala bowiem podjąć działania w celu niedopuszczenia do zaistnienia niepożądanych zjawisk czy zachowań i stanowi najskuteczniejszy element walki z nadużyciami.

W różnym zakresie obowiązek wykonania uprzedniej oceny ryzyka przewidują: założenia do nowej ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, prace Ministerstwa Finansów nad listą przesłanek należytej staranności w obrocie krajowym oraz przepisy RODO.

Weryfikacja partnerów

W parze z obowiązkiem oceny ryzyka idzie konieczność weryfikowania kontrahentów i klientów przed nawiązaniem z nimi stosunków gospodarczych - pod kątem występowania okoliczności aktualizujących ryzyko. Dokonanie tego typu oceny w związku z nawiązywanymi stosunkami gospodarczymi albo przeprowadzaną transakcją stanowi podstawę zarządzania ryzykiem kontraktowym. Jest to element prowadzenia działalności gospodarczej i jeden z aspektów zarządzania każdą organizacją, w tym przedsiębiorstwem.

DYREKTYWA I USTAWA AML

Zgodnie z projektem ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu każda instytucja obowiązana powinna opracować ocenę ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu, odnoszącą się do jej działalności (art. 23 ust. 1-3 projektu; dalej będziemy ją nazywać w skrócie "oceną ryzyka prania pieniędzy"). Wyraźnie określono przy tym wymóg przeprowadzenia owej oceny w postaci papierowej lub elektronicznej. Wyklucza to zatem możliwość przyjęcia pewnego schematu działania bez opracowania go w trwałej formie. Jak wynika z uzasadnienia projektu, obowiązani do stosowania ustawy mają być m.in. przedsiębiorcy prowadzący działalność w zakresie pośrednictwa w obrocie nieruchomościami, prowadzący księgi rachunkowe, fundacje i stowarzyszenia posiadające osobowość prawną ect., a także wszyscy przedsiębiorcy (w rozumieniu ustawy z 2 lipca 2004 r. o swobodzie działalności gospodarczej; t.j. Dz.U. z 2016 r. poz. 1829 ze zm.), w zakresie, w jakim przyjmują lub dokonują płatności za towary w gotówce o wartości równej lub przekraczającej równowartość 10 tys. euro.

@RY1@i02/2017/251/i02.2017.251.18300070a.801.jpg@RY2@

Suma wszystkich strachów - 2018 rok pracowity dla przedsiębiorców

Jaki kształt oceny

Projektodawcy nie wskazują szczegółowego brzmienia ani koniecznych elementów oceny ryzyka prania pieniędzy. Zakres obowiązku określa art. 23 ust. 1 projektu, zgodnie z którym instytucje obowiązane przy opracowaniu oceny uwzględniają czynniki ryzyka dotyczące klientów, państw lub obszarów geograficznych, produktów, usług, transakcji lub kanałów ich dostaw. Pewną wskazówką dla przedsiębiorców jest też wskazanie w projekcie, że przeprowadzając ocenę, instytucje obowiązane mogą uwzględniać zakres i treść opracowanej przez instytucje publiczne krajowej oceny ryzyka, jak też sprawozdanie Komisji Europejskiej z oceny ponadnarodowej.

Dalsze wskazówki co do treści dokumentu znajdują się w art. 29 ust. 3 projektu ustawy.

SCHEMAT 1

Elementy oceny ryzyka prania pieniędzy

● rodzaj klienta (jego formę prawną, zakres prowadzonej działalności, markę/renomę, rodzaj prowadzonej działalności),

● obszar geograficzny (w szczególności, czy prowadzi działalność w kraju wysokiego ryzyka),

● przeznaczenie rachunku, za pomocą którego mają się dokonywać operacje finansowe (czy jest to rachunek ogólny, czy przeznaczony dla poszczególnej transakcji),

● rodzaj produktów, usług i sposoby ich dystrybucji,

● wartość transakcji (w szczególności, czy ma ona charakter rynkowy),

● cel, regularność i czas trwania stosunków gospodarczych.

PiSZ

Niskie, średnie czy wysokie

Uwzględniając zatem rodzaj prowadzonej przez instytucję obowiązaną działalności gospodarczej, należy wyodrębnić podstawowe parametry i okoliczności nawiązywania i utrzymywania stosunków gospodarczych z kontrahentami oraz wskazać na te, które świadczą o niskim, średnim lub wysokim ryzyku związanym z praniem pieniędzy lub finansowaniem terroryzmu.

Pamiętać przy tym trzeba, że pewne okoliczności zostały przez ustawodawcę wprost wskazane jako świadczące o wzmożonym lub obniżonym ryzyku.

● Do okoliczności uzasadniających przyjęcie niskiego ryzyka należy, według art. 38 ust. 3 projektu, m.in. nawiązanie stosunków gospodarczych z jednostką sektora finansów publicznych, przedsiębiorstwem państwowym lub spółką z większościowym udziałem Skarbu Państwa albo jednostki samorządu terytorialnego, rezydentem państwa członkowskiego UE lub państwa - strony porozumienia EFTA, rezydentem państwa obcego "określanego przez wiarygodne źródła jako państwo o niskim poziomie korupcji lub innej działalności przestępczej" lub państwa, w którym obowiązują przepisy prawne zapobiegające praniu pieniędzy i finansowaniu terroryzmu odpowiadające standardom UE.

● O takim ryzyku świadczy z kolei nawiązanie stosunków gospodarczych w "nietypowych okolicznościach", zwyczajowe przeprowadzanie transakcji gotówkowych na dużą kwotę, niestandardowa lub nadmiernie skomplikowana struktura własnościowa lub organizacyjna kontrahenta, korzystanie z bankowości prywatnej lub usług utrudniających weryfikację tożsamości, unikanie kontaktu osobistego, stosowanie nowych kanałów dystrybucji, pochodzenie z państwa obcego o wysokim ryzyku, wysokim poziomie korupcji "lub innego rodzaju działalności przestępczej", państwa objętego sankcjami ONZ lub państwa, "z którym łączona jest działalność organizacji o charakterze terrorystycznym" (art. 39 ust. 2 projektu).

Jak widać wyraźnie, przesłanki wskazujące na niskie lub wzmożone ryzyko związane z praniem pieniędzy lub finansowaniem terroryzmu zostały określone dość ogólnie, a jednocześnie nie zawsze uwzględniają trendy rynkowe. Nie przesądzając obecnie ostatecznego kształtu tych przepisów, które mogą jeszcze ulec zmianom w toku prac rządowych lub parlamentarnych, możemy przyjąć, że te ogólne przesłanki będą musiały zostać uszczegółowione w wewnętrznie obowiązujących ocenach ryzyka prania pieniędzy.

Uwzględniając powyższe okoliczności, należy ocenić, w jakich obszarach (w tym we współpracy z którymi kontrahentami) istnieje niskie, średnie lub wysokie (wzmożone) ryzyko prania pieniędzy lub finansowania terroryzmu. Właściwe rozpoznanie poziomu ryzyka warunkuje stosowanie odpowiednich środków bezpieczeństwa finansowego. Przepisy projektu ustawy dają podstawę do rozróżnienia uproszczonych, zwykłych i wzmożonych środków bezpieczeństwa finansowego. Podstawą zastosowania odpowiednich środków jest dokonana uprzednio, zgodnie z wymogami prawnymi, ocena ryzyka prania pieniędzy (art. 29 ust. 4 projektu).

Kto sporządzi

Ocena ryzyka prania pieniędzy jest dokumentem wewnętrznym organizacji, który powinien być sporządzony przez osobę, która na mocy postanowień organu zarządzającego jest odpowiedzialna za wykonanie tych obowiązków ustawowych. Projekt ustawy w art. 53 nakazuje wyznaczenie takiej osoby spośród kadry kierowniczej (szczebel dyrektorski), wyposażenie jej w niezbędne uprawnienia i zapewnienie bieżącego poszerzania wiedzy poprzez udział w szkoleniach i konferencjach.

Nadzór nad wykonaniem obowiązków związanych z zapobieganiem praniu pieniędzy i finansowaniu terroryzmu sprawować musi członek zarządu (w instytucjach obowiązanych, w których powołano zarząd). Staje się on tym samym współodpowiedzialny za wykonanie tych obowiązków, w tym za przeprowadzenie i weryfikację oceny ryzyka prania pieniędzy.

Projekt przewiduje, że instytucja obowiązana powinna nie rzadziej niż raz na dwa lata dokonywać przeglądu oceny ryzyka prania pieniędzy i ją aktualizować.

Odpowiednie środki bezpieczeństwa

Jak wskazywaliśmy wyżej, dokonana ocena ryzyka prania pieniędzy stanowi podstawę do zastosowania zwykłych, uproszczonych lub wzmożonych środków bezpieczeństwa finansowego. Za środki takie uważane są czynności faktyczne, wykonywane przez upoważnioną osobę (odpowiedzialną za wykonywanie obowiązków z zakresu przeciwdziałania praniu pieniędzy i finansowania terroryzmu) przed nawiązaniem stosunków gospodarczych lub wykonaniem transakcji okazjonalnej, które mają stanowić podstawę dalszych czynności instytucji obowiązanej.

Niemożność wdrożenia środków bezpieczeństwa finansowego albo negatywna weryfikacja poziomu ryzyka prania pieniędzy lub finansowania terroryzmu obliguje instytucję obowiązaną do odmowy nawiązania stosunków gospodarczych lub wykonania transakcji albo rozwiązania stosunków gospodarczych (art. 37 ust. 1 projektu).

Warto przy tym zauważyć, że projekt określa katalog czynności, które wchodzą w zakres zwykłych środków bezpieczeństwa finansowego, natomiast nie definiuje środków uproszczonych ani wzmożonych, co stanowi istotny brak tej regulacji.

Co trzeba będzie wiedzieć

Zastosowanie zwykłych środków bezpieczeństwa finansowego polegać ma w pierwszej kolejności na identyfikacji klienta i weryfikacji jego tożsamości. Zwraca uwagę szeroki zakres danych, jakie instytucja obowiązana musi zebrać na temat klienta będącego osobą fizyczną. Należą do nich, oprócz imienia i nazwiska, także: obywatelstwo, numer PESEL lub data urodzenia, seria i numer dowód tożsamości, adres zamieszkania, a w przypadku przedsiębiorcy będącego osobą fizyczną - dodatkowo nazwą firmy, NIP i główne miejsce wykonywania działalności gospodarczej.

Klienta trzeba będzie poinformować o przetwarzaniu jego danych osobowych i o tym, że niemożność ustalenia tych danych spowoduje konieczność odmowy nawiązania stosunków gospodarczych. W przypadku klienta będącego jednostką organizacyjną należy ustalić jej nazwę (firmę), formę organizacyjno-prawną, adres siedziby i prowadzonej działalności, NIP lub inny numer rejestrowy oraz imię, nazwisko i numer PESEL lub datę urodzenia osoby/ osób reprezentujących tę jednostkę.

SCHEMAT 2

Jak weryfikować klienta

● imienia i nazwiska,

● obywatelstwa,

● numeru Powszechnego Elektronicznego Systemu Ewidencji Ludności (PESEL) lub daty urodzenia (w przypadku gdy nie nadano numeru PESEL) oraz państwa urodzenia,

● serii i numeru dokumentu stwierdzającego tożsamość osoby,

● adresu zamieszkania - w przypadku posiadania informacji przez instytucję obowiązaną,

● nazwy (firmy), numeru identyfikacji podatkowej (NIP) oraz adresu głównego miejsca wykonywania działalności gospodarczej - w przypadku osoby fizycznej prowadzącej działalność gospodarczą.

● nazwy (firmy),

● formy organizacyjnej,

● adresu siedziby lub adresu prowadzenia działalności,

● NIP, a w przypadku braku takiego numeru - państwa rejestracji, rejestru handlowego oraz numeru i daty rejestracji,

● danych identyfikacyjnych osoby reprezentującej tę osobę prawną lub jednostkę organizacyjną nieposiadającą osobowości prawnej: imienia i nazwiska, numeru PESEL (lub daty urodzenia - w przypadku gdy nie nadano numeru PESEL) oraz państwa urodzenia.

PiSZ

Sprawdzenie w rejestrach

Oprócz wypełniania obowiązków weryfikacyjnych przewidzianych w projektowanych przepisach ustawy wdrażającej AML IV należy pamiętać o konieczności ustalenia ryzyka związanego z kontrahentem w związku z możliwością wykorzystania transakcji do wyłudzenia podatku VAT. Aby ryzyko takie zidentyfikować, należy sprawdzić kontrahenta w rejestrze czynnych płatników VAT, dokonać weryfikacji numeru identyfikacji podatkowej (NIP) oraz okoliczności zawierania kontraktu. Ponadto wskazane jest sprawdzenie, czy kontrahent nie widnieje w rejestrze należności publicznoprawnych. Będzie on prowadzony od 1 stycznia 2018 r. na podstawie ustawy z 17 czerwca 1966 r. o postępowaniu egzekucyjnym w administracji (t.j. Dz.U. z 2017 r. poz. 1201 ze zm.) w brzmieniu znowelizowanym ustawą z 7 kwietnia 2017 r. o zmianie niektórych ustaw w celu ułatwienia dochodzenia wierzytelności (Dz.U. poz. 933). W tym jawnym rejestrze znajdą się m.in. przedsiębiorcy mający dług wobec instytucji publicznych, podlegający egzekucji administracyjnej. W podobnym celu, w ramach identyfikacji kontrahenta i oceny ryzyka, należy sprawdzić, czy klient został wpisany do rejestru dłużników niewypłacalnych.

Ustalenie właściciela

Drugim środkiem bezpieczeństwa finansowego jest ustalenie struktury właścicielskiej i organizacyjnej klienta będącego jednostką organizacyjną. Do zakresu tego obowiązku należy zidentyfikowanie beneficjentów rzeczywistych klienta zgodnie z tworzonym rejestrem beneficjentów. Za beneficjenta rzeczywistego uważa się osoby, które na mocy swoich uprawnień faktycznie, bezpośrednio lub pośrednio sprawują kontrolę nad klientem, czyli w decydujący sposób wpływają na jego działania (art. 2 ust. 2 pkt 1 projektu ustawy).

Ocena stosunków i ich monitorowanie

Następnym środkiem bezpieczeństwa finansowego jest przeprowadzenie oceny celu i zamierzonego charakteru stosunków gospodarczych. Oznacza to konieczność ustalenia okoliczności dotyczących planowanej współpracy, w tym jej stałego lub incydentalnego charakteru oraz czy wchodzi ona w zakres normalnych stosunków gospodarczych klienta.

Środkiem bezpieczeństwa finansowego jest też bieżące monitorowanie stosunków gospodarczych. Jednym ze szczegółowych obowiązków należących do tego obszaru jest, w uzasadnionych okolicznościach, badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta. Projekt nie wskazuje jednak trybu, w jakim to badanie miałoby się odbywać.

Przechowywanie dokumentacji

Instytucje obowiązane będą dokumentować proces stosowania środków bezpieczeństwa finansowego i przechowywać taką dokumentację przez co najmniej pięć lat, licząc od 1 stycznia następującego po roku, w którym dokonano transakcji okazjonalnej albo zakończono stosunki gospodarcze. Zostaną także zobligowane do udostępnienia tej dokumentacji na żądanie organów nadzorczych (w szczególności głównego inspektora informacji finansowej lub prezesa Narodowego Banku Polskiego). Wszystkie te obowiązki spoczywają na osobie wyznaczonej do ich wykonywania.

Przedsiębiorcy sami ustalą procedurę

Opisane wyżej kwestie, obejmujące ocenę ryzyka prania pieniędzy (sposób jej opracowania, treść, sposób uaktualniania), dobór i dokumentowanie stosowania środków bezpieczeństwa finansowego, zasady przechowywania tej dokumentacji, zasady upowszechniania wiedzy o środkach przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu wśród pracowników oraz inne zagadnienia powinny być uregulowane w wewnętrznej procedurze instytucji obowiązanej. Powinna ona także regulować sposób powołania oraz kompetencje osoby odpowiedzialnej za wykonywanie tych obowiązków.

Za wdrożenie tych regulacji osobistą odpowiedzialność ponosi wyznaczony członek zarządu, a niedopełnienie obowiązków może powodować nałożenie na niego kary osobistej w wysokości do 1 mln zł.

PRZEPISY ZAPOBIEGAJĄCE WYŁUDZENIOM VAT

Podobne regulacje dotyczące konieczności dokonania oceny ryzyka przewidują prowadzone przez Ministerstwo Finansów prace nad listą przesłanek należytej staranności w obrocie krajowym.

Nie przesądzając tego, jaką postać przyjmą te przesłanki (nie wiadomo jeszcze, czy będzie to nowelizacja przepisów ustawowych o podatku od towarów i usług, rozporządzenie czy okólnik), można już dzisiaj wskazać, że materia, której ma dotyczyć lista, pokrywa się częściowo z procedurą przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu. Praktyka wskazuje, że w przypadku przestępczości podatkowej na wielką skalę, w tym wykorzystywania tzw. karuzel VAT, niemal zawsze stawiane są zarzuty prania brudnych pieniędzy. Jest to spowodowane wykorzystaniem w takiej działalności przestępczej całego łańcucha podatników i płatników, co ułatwia ukrycie środków pochodzących z czynu zabronionego. Dlatego procedura instytucji obowiązanej powinna obejmować nie tylko elementy konieczne, wskazane w projekcie ustawy o przeciwdziałaniu pieniędzy i finansowaniu terroryzmu, lecz także postanowienia dotyczące oceny ryzyka i weryfikacji kontrahentów pod kątem niebezpieczeństwa wykorzystania przedsiębiorstwa w nielegalnym obrocie mającym na celu wyłudzenie podatku VAT.

RODO: NARUSZENIA W OBSZARZE OCHRONY DANYCH OSOBOWYCH

Przepisy RODO przewidują, że każdy podmiot przetwarzający dane osobowe powinien przeprowadzić ocenę ryzyka związanego z naruszeniem ochrony danych osobowych. Ocena ta powinna uwzględniać obszary wykorzystywania danych osobowych i ryzyka z tym związane. W zależności od oceny poziomu zagrożenia każdy administrator danych osobowych i podmiot je przetwarzający mają obowiązek zapewnić właściwe środki bezpieczeństwa, w tym środki fizyczne (np. wydzielenie pokoju i zamkniętych szaf dla danych utrwalonych na fizycznych nośnikach), a przede wszystkim - środki bezpieczeństwa elektronicznego. Do tych ostatnich należeć będą: odpowiednie zabezpieczenie nośników pamięci elektronicznych i urządzeń o takim charakterze, zabezpieczenie serwerów komputerowych już na etapie planowania procesu przetwarzania danych (ang. privacy by design), wprowadzenie ustawień zapewniających ochronę danych jako pierwotnych ustawień systemu informatycznego lub oprogramowania (ang. privacy by default).

ZAPOBIEGANIE RYZYKU KORUPCJI

Na potrzebę oszacowania ryzyka wskazują także regulacje zawarte w projekcie ustawy o jawności życia publicznego. Chociaż wprost nie nakładają takiego obowiązku, to projekt obliguje przedsiębiorców do wdrożenia i stosowania procedury antykorupcyjnej, mającej zapobiegać dokonywaniu przestępstw o charakterze korupcyjnym. Jednym z jej celów ma być niedopuszczenie do tworzenia mechanizmów służących finansowaniu kosztów czy udzielaniu korzyści majątkowych i osobistych z wykorzystaniem majątku przedsiębiorstwa.

Należyte przygotowanie procedury antykorupcyjnej wiąże się zatem z koniecznością zidentyfikowania obszarów, w których może dojść do tworzenia ww. mechanizmów bądź udzielania korzyści. Z pomocą rzetelnie przeprowadzonego audytu można zidentyfikować wszystkie jednostki i procesy odpowiedzialne za wykorzystanie majątku przedsiębiorstwa. Na bazie tych informacji można z kolei zaproponować zmianę procesów w tych obszarach, w których istniejące mechanizmy umożliwiają obejście zakazów ustawowych w zakresie wykorzystywania majątku na finansowanie kosztów czy udzielanie korzyści majątkowych i osobistych (poprzez np. ukrywanie kosztów czy tworzenie funduszy finansujących płatności korupcyjne). W praktyce może się zdarzyć, że te procesy będą wyglądały odmiennie w zależności od konkretnej jednostki i takie zróżnicowanie będzie uzasadnione. Ujednolicenie standardów nie zawsze będzie bowiem przystawało do specyfiki danej organizacji. Przeprowadzona ocena ryzyka pozwoli poradzić sobie również z takimi sytuacjami.

UNIKANIE KONFLIKTU INTERESÓW

Regulacje w obszarze zarządzania konfliktem interesów przez osoby pełniące funkcje publiczne przewiduje projekt ustawy o jawności życia publicznego. Zobowiązuje on osoby pełniące funkcje publiczne (w okresie pełnienia funkcji, jak i w niektórych przypadkach - po jej ustaniu) do unikania konfliktu interesów, polegającego na wykonywaniu zajęć, które mogłyby wywołać podejrzenie o stronniczość lub występowanie w imieniu zainteresowanego podmiotu. Przy czym nie obliguje on przedsiębiorców do wdrożenia polityki zarządzania konfliktem interesów, a jedynie do unikania sytuacji rodzących taki konflikt. Jednakże złamanie zakazu zatrudnienia osoby pełniącej funkcję publiczną może skończyć się nałożeniem na przedsiębiorcę kary w wysokości do 500 tys. zł. Dla uniknięcia tego typu sytuacji, mimo braku obowiązku ustawowego, konieczne jest zatem wdrożenie wewnętrznych regulacji, obligujących pracowników do informowania o potencjalnym konflikcie interesów i przewidujących szczególne zasady w obszarze zatrudniania aktualnych i byłych urzędników publicznych. Powinność uiszczenia kary z tytułu złamania zakazu ustawowego spoczywać będzie bowiem na przedsiębiorcy, a nie osobie zatrudnionej wbrew zakazowi.

SCHEMAT 3

Czego nie można łączyć

● być członkiem organu zarządzającego lub kontrolnego spółki prawa handlowego, spółdzielni (z wyjątkiem rady nadzorczej spółdzielni mieszkaniowej), stowarzyszenia lub fundacji posiadających możliwość prowadzenia lub prowadzących działalność gospodarczą;

● być zatrudniona lub wykonywać w spółce prawa handlowego lub na jej rzecz jakichkolwiek odpłatnych zajęć;

● posiadać w spółce prawa handlowego więcej niż 10 proc. akcji lub udziałów albo akcje lub udziały przedstawiające więcej niż 10 proc. kapitału zakładowego - w każdej z tych spółek;

● prowadzić działalności gospodarczej na własny rachunek lub wspólnie z innymi osobami w osobowej spółce prawa handlowego, a także zarządzać taką działalnością lub być przedstawicielem lub pełnomocnikiem w prowadzeniu takiej działalności (nie dotyczy to działalności wytwórczej w rolnictwie w zakresie produkcji roślinnej i zwierzęcej, w formie i zakresie gospodarstwa rodzinnego).

Ograniczenia w zatrudnianiu

Drugim istotnym ograniczeniem jest zakaz zatrudniania lub wykonywania innych odpłatnych zajęć u przedsiębiorcy, jeżeli osoba pełniąca funkcje publiczne brała udział w wydaniu rozstrzygnięć dotyczących bezpośrednio tego przedsiębiorcy (a także wyroków i decyzji administracyjnych), w postępowaniu o udzielenie zamówienia publicznego, w zawieraniu umów dotyczących robót, dostaw, usług lub innych umów cywilnoprawnych albo kierowała jednostką lub komórką organizacyjną, w której takie rozstrzygnięcie zapadło. Zakaz trwa przez trzy lata od zaprzestania zajmowania stanowiska lub pełnienia funkcji. Nie dotyczy on decyzji administracyjnych w sprawie ustalenia wymiaru podatków i opłat lokalnych na podstawie odrębnych przepisów, z wyjątkiem dotyczących ulg i zwolnień w tych podatkach lub opłatach. Zakazu się nie stosuje, jeżeli rozstrzygnięcie (decyzja, wyrok) zostały wydane wcześniej niż cztery lata przed zaprzestaniem zajmowania stanowiska lub pełnienia funkcji bądź realizacja umowy zakończyła się wcześniej niż cztery lata przed zaprzestaniem zajmowania stanowiska lub pełnienia funkcji.

Inne zakazy

Ustawa odnosi się także do innych kwestii związanych z zarządzaniem konfliktem interesów, takich jak wykonywanie pracy przez radnych, zatrudnianie ich w odpowiednich urzędach, wydawanie zgody na zatrudnienie u przedsiębiorcy przez komisję do spraw rozstrzygania konfliktu interesów czy obowiązek składania przez osobę pełniącą funkcję publiczną oświadczenia o działalności gospodarczej prowadzonej przez małżonka lub o jego miejscu zatrudnienia.

Wewnętrzny system prawa w firmie

Nieodzowne stanie się wprowadzenie w firmach spójnych regulacji, które zapewnią, że będzie ona działać zgodnie z obowiązującymi przepisami. Dla większości polskich firm oznacza to prawdziwą rewolucję: konieczność opracowania i wdrożenia wymaganych prawem procedur, kodeksów i rejestrów

Jak wskazywaliśmy na wstępie, najliczniejsze obowiązki w zakresie compliance będą się wiązać z wejściem w życie ustawy o jawności życia publicznego. Projektowane art. 72 i 73 tego aktu przewidują szczątkową regulację, z której należy wnioskować o konieczności wprowadzenia wewnątrz organizacji spójnego systemu regulacji. Nie wynika to z samego przepisu, ale z wymogu, aby wdrażane procedury były rzeczywiste i skuteczne. Pod tym kątem oceniana będzie bowiem ewentualna odpowiedzialność podmiotu.

Podstawowe działania

Na procedurę wdrożenia systemu compliance składają się trzy czynności (pomijamy przygotowanie do tego procesu, czyli audyt wewnętrznych procedur):

● opracowanie właściwych procedur i przyjęcie ich przez właściwy organ zarządzający (np. zarząd).

● wdrożenie systemu, czyli zapoznanie z nim całej załogi przedsiębiorstwa i przeprowadzenie szkoleń dla grup pracowników.

● nadzór nad wykonywaniem obowiązków przewidzianych w procedurach wraz z wykorzystaniem instytucji whistleblowingu.

Powyższy schemat działania nie jest żadną nadgorliwością - w projekcie ustawy o jawności życia publicznego, a dokładnie w rozdziale 11, przewiduje się bowiem kary administracyjne nie tylko za brak wewnętrznych procedur, lecz także za ich pozorność lub nieskuteczność. I tak, pozorność związana jest z brakiem wdrożenia etapu drugiego - czyli nieznajomością systemu regulacji przez załogę przedsiębiorstwa. Z kolei nieskuteczność procedur związana jest z brakiem etapu drugiego - należytego nadzoru nad wykonywaniem nałożonych w nich obowiązków.

Uświadomienie pracowników

W praktyce najważniejszą kwestią z punktu widzenia przedsiębiorcy będzie udowodnienie skuteczności procedur w sytuacji, gdy dojdzie do kontroli Centralnego Biura Antykorupcyjnego. Brak w projektowanych przepisach wytycznych, w jaki sposób konstruować wymagane regulacje wewnętrzne, nie ułatwia dochowania należytej staranności w ich opracowaniu. Najistotniejsze w tym przypadku z punktu widzenia przedsiębiorcy jest doprowadzenie do sytuacji, w której wszyscy pracownicy będą mieli świadomość obowiązujących regulacji. W przypadku kontroli CBA prawdopodobnie to właśnie wywiady z pracownikami będą stanowiły główne źródło ustaleń organu co do stanu wdrożenia regulacji compliance.

Niezbędne składowe systemu

System compliance - w świetle przepisów projektu ustawy o jawności publicznego, projektu ustawy o przeciwdziałaniu praniu pieniędzy i finansowania terroryzmu oraz innych omawianych przez nas projektów legislacyjnych - składa się z kilku dokumentów o fundamentalnym znaczeniu.

SCHEMAT 4

Elementy wewnętrznego systemu compliance:

● Kodeks etyki przedsiębiorcy,

● Procedura antykorupcyjna,

● Rejestr czynności przetwarzania danych (pośrednio zastępujący wymaganą obecnie politykę bezpieczeństwa i instrukcję zarządzania systemem informatycznym),

● Procedura przeciwdziałania praniu pieniędzy i finansowania terroryzmu,

● Procedura whistleblowingu i wewnętrznego postępowania wyjaśniającego.

PiSZ

Wielu przedsiębiorców, także w Polsce, przyjęło już kodeksy etyki w biznesie. Prace nad takimi regulacjami podejmują także liczne organizacje zrzeszające przedsiębiorców. Dzięki temu każda firma przystępująca obecnie do prac nad kodeksem etyki może wzorować się na istniejących już regulacjach. Dokument ten powinien zawierać deklarację odrzucającą korupcję i wskazującą na wartości, jakimi kieruje się dana firma (zob. art. 72 ust. 2 pkt 4 projektu ustawy o jawności życia publicznego). Wymagane jest również jego podpisanie przez wszystkich pracowników, współpracowników i inne podmioty gospodarcze, działające na rzecz przedsiębiorcy.

.

Celem wdrożenia wewnętrznej polityki przeciwdziałania korupcji jest zapobieganie tworzenia "otoczenia sprzyjającego przypadkom popełniania przestępstw" o charakterze korupcyjnym (art. 72 ust. 2 projektu ustawy o jawności życia publicznego). W zależności od skali prowadzonej przez dany podmiot działalności oraz stopnia ryzyka związanego z korupcją przepisy polityki antykorupcyjnej czasami mogą być uproszczone, a czasami powinny być bardzo rozbudowane.

Do niezbędnych elementów polityki antykorupcyjnej należą wewnętrzne regulacje dotyczące:

● identyfikacji i oceny ryzyka związanego z korupcją i konfliktem interesów,

● klauzul antykorupcyjnych w umowach zawieranych z kontrahentami,

● polityki i zasad przyjmowania oraz wręczania prezentów i podobnych korzyści,

● zasad prowadzenia szkoleń dla pracowników firmy,

● struktury organizacyjnej wraz z określeniem statusu i uprawnień osoby/ osób odpowiedzialnych za wykonywanie obowiązków przedsiębiorcy w zakresie zachowania zgodności działalności firmy z przepisami prawa i etycznymi zasadami biznesu,

● zasad anonimowego zgłaszania nadużyć i nieprawidłowości (whistleblowing),

● zasad postępowania w sprawie zgłoszenia nieprawidłowości.

Wszystkie powyższe elementy muszą uwzględniać rodzaj i rozmiar prowadzonej działalności, strukturę organizacyjną firmy i ryzyka związane z branżą oraz rynkiem (gospodarczym i geograficznym).

Podstawą rzeczywistej i skutecznej procedury jest właściwe rozpoznanie obszarów ryzyka. W tym celu obowiązki z zakresu zachowania zgodności powinny zostać powierzone kompetentnej osobie, umiejscowionej co najmniej na szczeblu wyższej kadry kierowniczej. Przepisy niektórych aktów legislacyjnych (projektu ustawy wdrażającej dyrektywę AML IV, RODO) przewidują wprost obowiązek powierzenia tych obowiązków określonej osobie, wyposażonej w niezbędne kompetencje i częściowo niezależnej od zarządu czy innego organu zarządzającego przedsiębiorstwem. Trzeba przy tym pamiętać, że odpowiedzialność za prawidłowe wykonywanie obowiązków spoczywa również na zarządzie, i to nawet wówczas, gdy znaczna część kompetencji zostanie powierzona innej osobie. Przepisy projektu ustawy wdrażającej AML IV przewidują np. równoległy obowiązek wyznaczenia spośród przedstawicieli wyższej kadry zarządzającej osoby odpowiedzialnej za wykonanie obowiązków, a zarazem obowiązek wskazania członka zarządu, który ponosi odpowiedzialność za prawidłowe ich wdrażanie.

Odnosząc się do proponowanych rozwiązań, dochowanie oczekiwanych przez organ standardów w zakresie projektowanych regulacji, bez konkretnych wytycznych może być nad wyraz problematyczne. W przypadku braku takich wytycznych na przedsiębiorcy spoczywać będzie wykazanie należytej staranności przy wdrażaniu procedur i ich skuteczności. Wiązać się to będzie z koniecznością przeprowadzenia kompleksowej oceny ryzyka i zidentyfikowania obszarów rodzących ryzyka (zwłaszcza z uwzględnieniem tych wskazanych w ustawie).

.

RODO, zmieniając zasady ochrony danych osobowych, wprowadza ogólną zasadę zakazu ich przetwarzania. Aby móc gromadzić takie dane, konieczne jest znalezienie adekwatnej podstawy prawnej. Ramy w tym zakresie wyznaczają przepisy RODO. Mogą to być ustawy, nadrzędny interes publiczny lub zgoda dysponenta danych. Zakres danych, które administrator może gromadzić i przetwarzać na podstawie poszczególnych przesłanek, obowiązek ustanowienia inspektora ochrony danych osobowych czy dokumentowania i zgłaszania incydentów, konieczność sprawowania nadzoru nad bezpieczeństwem danych osobowych oraz dostosowania wewnętrznych standardów i praktyk do nowych regulacji - wszystko to sugeruje, aby nowe zasady przetwarzania danych osobowych znalazły się w wyodrębnionej polityce wewnętrznej (motyw 78; art. 4 pkt 20 i art. 24 ust. 2 RODO).

.

Obowiązek wdrożenia polityki w tym zakresie przewiduje projekt ustawy wdrażającej AML IV. Powinna ona przewidywać, jak wspominaliśmy już wcześniej, zasady przeprowadzania oceny ryzyka prania pieniędzy i finansowania terroryzmu oraz zasady wykonywania środków bezpieczeństwa finansowego. Ponadto elementem procedury musi być określenie zasad dokumentowania stosowania tych środków i przekazywania informacji organom nadzorczym. Powinna ona także obejmować zasady weryfikowania kontrahentów. Może również określać, oprócz weryfikacji mającej na celu identyfikację ryzyk związanych z praniem pieniędzy i finansowaniem terroryzmu, identyfikację ryzyka związanego z wykorzystaniem transakcji dla celów przestępczości podatkowej. Ta regulacja będzie wychodzić naprzeciw wymogom opracowywanej listy przesłanek należytej staranności w obrocie krajowym.

.

Ta procedura powinna określać nie tylko tryb wewnętrznego postępowania wyjaśniającego, prowadzonego w wyniku anonimowego (lub imiennego) zgłoszenia nieprawidłowości, lecz także zasady ochrony sygnalisty przed represjami, dyskryminacją lub jakimikolwiek innymi negatywnymi konsekwencjami dokonanego przez niego zgłoszenia. Prawdopodobnie w najbliższym czasie pojawi się ustawa, która będzie kompleksowo regulowała status sygnalisty oraz skupiała się na wdrożeniu wewnętrznych kanałów komunikacji i zapewnieniu ochrony sygnaliście wewnątrz przedsiębiorstwa.

.

Ujawnienie nadużyć i zapobieganie im jest jednym z celów wdrożenia wewnętrznego systemu compliance. Jednym ze środków do ustalenia ewentualnych nieprawidłowości jest prowadzenie wewnętrznego postępowania wyjaśniającego. Już dziś postępowania takie prowadzone są niemal w każdej firmie, często jednak odbywa się to bez jakiegokolwiek planu, na podstawie formułowanych ad hoc zasad i procedur, co utrudnia kontrolę nad czynnościami wyjaśniającymi. Co więcej, w świetle nowych przepisów (zwłaszcza wprowadzających wymóg wdrożenia zasad działania w przypadku whistleblowingu i ochrony danych osobowych) ujęcie takich postępowań w ramy Procedury wewnętrznego postępowania wyjaśniającego jest niezbędne.

Elementem polityki firmy powinno być określenie osób/ komórek prowadzących postępowanie, zasad nawiązywania współpracy z podmiotami zewnętrznymi, procedury "przesłuchań" i dokonywania innych czynności quasi-dowodowych (np. oględzin miejsca pracy, komputera, innego sprzętu elektronicznego). Częścią polityki powinny być także postanowienia dotyczące preferowanego czasu trwania postępowania oraz informowania o jego wynikach osoby zainteresowane.

Trzeba pamiętać, że powyższe regulacje to tylko część spośród wewnętrznych regulacji, których wdrożenie stanie się obowiązkowe w ciągu najbliższego półrocza. Nie wyłącza to obowiązku posiadania skutecznych procedur dotyczących zapobiegania mobbingowi czy regulacji z zakresu bezpieczeństwa i higieny pracy.

Strzec się sygnalisty czy cieszyć z jego obecności

Przedsiębiorcy będą musieli wdrożyć również procedury zapewniające skuteczne zgłaszanie nieprawidłowości i ochronę dla osób, które o nich informują

Choć elementy zagadnienia, jakim jest sygnalizowanie nieprawidłowości, były znane polskiemu prawu, to obowiązki w tym zakresie dotychczas dotyczyły jedynie banków i firm inwestycyjnych. Począwszy od 2018 r., skuteczną procedurę sygnalizowania nieprawidłowości i zarazem zapewniania ochrony sygnalistom będzie musiała wdrożyć znaczna część przedsiębiorców prowadzących działalność gospodarczą na terenie Polski.

WHISTLEBLOWING - POSTANOWIENIE PROKURATORA

Według projektu ustawy o jawności życia publicznego status sygnalisty prokurator będzie mógł nadać osobie fizycznej (pracownikowi, zleceniobiorcy) lub przedsiębiorcy, który zgłasza organom wymiaru sprawiedliwości (organom ścigania) wiarygodne informacje o możliwości popełnienia przestępstwa o charakterze korupcyjnym (z katalogu wskazanego w projekcie) przez podmiot, z którym jest związany np. umową o pracę, stosunkiem służbowym lub inną umową. Dodatkowo przepisy wskazują, że chodzi o osobę, która w związku z takim zgłoszeniem może być narażona na negatywne konsekwencje w sferze jej sytuacji materialnej, życiowej czy zawodowej. Status sygnalisty będzie nadawany i odbierany bądź też uchylany przez prokuratora postanowieniem.

Kto wystąpi o nadanie statusu

Status sygnalisty będzie mógł zostać nadany przez prokuratora na wniosek:

● policji,

● Straży Granicznej,

● Agencji Bezpieczeństwa Wewnętrznego,

●  Krajowej Administracji Skarbowej,

● Centralnego Biura Antykorupcyjnego,

● Żandarmerii Wojskowej,

● prezesa Najwyższej Izby Kontroli.

Odmowa nadania statusu sygnalisty lub jego uchylenie może nastąpić, w szczególności gdy:

● czynu nie popełniono,

● czyn nie zawiera znamion przestępstwa,

● przekazane dane nie uzasadniają dostatecznie, że doszło do popełnienia czynu,

● społeczna szkodliwość czynu jest znikoma,

● w zakresie tego samego czynu już się toczy postępowanie karne.

W przypadku nadania statusu sygnalisty prokurator będzie o tym informował pracodawcę lub podmiot, którego dotyczą informacje. Oznacza to, że osoba chcąca zasygnalizować nieprawidłowości w spółce, musi liczyć się z brakiem anonimowości oraz z tym, że jej tożsamość zostanie ujawniona podmiotowi, którego dotyczy zgłoszenie. Pracodawcy nie przysługuje jednak zażalenie na postanowienie prokuratora (uprawnienia takie będą mieć prokurator i zgłaszający).

Ochrona zgłaszającego nieprawidłowości

Ustawa wprowadza ochronę osób, którym nadano status sygnalisty. Znacząco wpłynie ona na prawa i obowiązki (przede wszystkim pracodawców) związane z kształtowaniem treści stosunków pracy i ich trwałością. Pracodawca nie będzie mógł bowiem bez zgody prokuratora:

● rozwiązać umowy o pracę lub stosunku służbowego inaczej niż na podstawie porozumienia (nawet z winy pracownika);

● zmienić jednostronnie warunków umowy lub stosunku służbowego na mniej korzystne, w szczególności w zakresie miejsca, czasu wykonywania pracy lub stosunku służbowego bądź warunków wynagradzania.

Podobne obostrzenia dotyczą także sygnalisty będącego przedsiębiorcą.

Powyższe zakazy obowiązywać będą co do zasady przez rok od daty umorzenia postępowania albo zakończenia prawomocnym orzeczeniem postępowania karnego przeciwko sprawcy. W praktyce oznacza to, że sygnaliście może przysługiwać taka ochrona nawet przez kilku lat. Termin ten nie będzie wiązał pracodawcy, jeśli dojdzie do umorzenia postępowania lub w sprawie zapadnie wyrok uniewinniający ze względu na to, że czynu nie popełniono, nie zawiera on znamion czynu zabronionego lub jego sprawca nie podlega karze.

Odszkodowanie

Jeśli mimo istniejących zakazów z sygnalistą zostanie rozwiązana umowa o pracę lub umowa o współpracę bez zgody prokuratora, to takiemu sygnaliście przysługiwać będzie odszkodowanie w wysokości dwukrotności wynagrodzenia rocznego (w przypadku rozwiązania umowy o pracę) albo w wysokości całkowitej należnej i niezapłaconej kwoty wynikającej z zawartej umowy (w przypadku umów innych niż o pracę). Takie same zasady będą stosowane w przypadku niekorzystnej zmiany warunków ww. umów.

RAMKA 1

Niedopowiedzenia i wątpliwości. Co nie gra w projekcie ustawy

Brakuje informacji, kto i w jaki sposób będzie ustalał, czy umowa o pracę lub umowa cywilnoprawna z sygnalistą została niekorzystnie zmieniona lub rozwiązana właśnie z uwagi na uprzednie zgłoszenie przez niego do organów wymiaru sprawiedliwości informacji o możliwości popełnienia przestępstwa.

Brakuje informacji, czy odszkodowania dla zwolnionych niezgodnie z prawem sygnalistów będą należne niezwłocznie po rozwiązaniu/zmianie umów, czy też dopiero po uzyskaniu wyroku. Wydaje się jednak, że samo rozwiązanie umowy z naruszeniem zakazu uzyskania zgody prokuratora będzie podstawą do uzyskania takiej rekompensaty.

Prokurator będzie wyrażał w formie postanowienia zgodę na rozwiązanie/zmianę warunków umowy o pracę lub cywilnoprawnej z sygnalistą. Termin na wydanie takiego postanowienia będzie wynosił 30 dni od dnia otrzymania wniosku pracodawcy o wyrażenie takiej zgody. Projekt nie przewiduje, czy w braku postanowienia po upływie tych 30 dni pracodawca będzie mógł podjąć samodzielnie decyzję o rozwiązaniu umowy o pracę. Nie jest też pewne, czy na postanowienie prokuratora będzie przysługiwać zażalenie na podstawie przepisów kodeksu postępowania karnego.

Ustawodawca nie wskazuje również, czy odszkodowanie dla pracownika-sygnalisty należne na podstawie ustawy wyłącza jego prawo do odszkodowania należnego na podstawie kodeksu pracy (z tytułu nieuzasadnionego/niezgodnego z prawem z rozwiązania umowy o pracę). Wydaje się jednak, że będzie ono odszkodowaniem dodatkowym (ponad to z kodeksu pracy).

WEWNĘTRZNY DEMASKATOR WEDŁUG DYREKTYWY AML

Projekt nowej ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu wprowadza obowiązek wdrożenia systemu informowania o nieprawidłowościach przez instytucje obowiązane. System ten powinien być częścią procedury przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, zwanej wewnętrzną procedurą instytucji obowiązanej. Ustawa precyzuje elementy procedury, której brak może powodować nałożenie kary na jednostkę organizacyjną do wysokości 5 mln zł.

O czym pamiętać

● osobę odpowiedzialną za odbieranie zgłoszeń i sposób odbierania zgłoszeń;

● środki ochrony pracownika dokonującego zgłoszenia przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania, w tym środki ochrony danych osobowych sygnalisty i osoby, której zarzuca się dokonanie naruszenia;

● zasady zachowania poufności, w przypadku ujawnienia tożsamości lub gdy tożsamość sygnalisty jest możliwa do ustalenia;

● rodzaj i charakter działań następczych podejmowanych na skutek odebrania zgłoszeń;

● termin usunięcia przez instytucje obowiązane danych osobowych zawartych w zgłoszeniach.

PiSZ

Rola compliance officera

Zgodnie z projektem w przedsiębiorstwie powinna zostać wskazana osoba odpowiedzialna za odbieranie zgłoszeń. Dobrą praktyką jest, by tymi kwestiami zajmowała się osoba, która na co dzień odpowiada za zapewnienie zgodności funkcjonowania organizacji z przepisami prawa - compliance officer. Jeżeli takie stanowisko nie występuje w ramach struktury organizacyjnej, to warto podjąć decyzję o jego powołaniu. Zwłaszcza że coraz więcej przepisów prawa obliguje przedsiębiorców do wyodrębnienia w swojej strukturze takiego stanowiska.

Wewnętrzna procedura instytucji obowiązanej powinna określać szczegółowo osobę, do której obowiązków będzie należało procedowanie zgłoszenia. Osoba ta powinna być także odpowiedzialna za nadzór nad zgodnością z przepisami o ochronie danych osobowych. Należy ją również zobowiązać do zachowania w ścisłej poufności informacji dotyczących zgłoszenia oraz trybu jego procedowania. Podobny wymóg powinien dotyczyć wszystkich osób zaangażowanych w proces wyjaśnienia naruszeń. Procedura powinna przewidywać także katalog osób, które mogą zapoznać się z treścią zgłoszenia oraz wynikami postępowania wyjaśniającego i obligować je do zachowania tajemnicy w tym zakresie.

Co istotne, ustawa przewiduje, że procedura zgłaszania nieprawidłowości powinna zostać udostępniona pracownikom. Projekt ustawy wdrażającej dyrektywę AML ogranicza się, co prawda, do uznania za sygnalistę pracownika, ale w świetle innych regulacji (zwłaszcza omówionego projektu ustawy o jawności życia publicznego) byłoby to niewystarczające.

Whistleblower a tajemnica firmy

Dyrektywa w sprawie ochrony niejawnego know-how i niejawnych informacji handlowych (tajemnic przedsiębiorstwa) przed ich bezprawnym pozyskiwaniem, wykorzystywaniem i ujawnianiem nakazuje, by państwa członkowskie do 9 czerwca 2018 r. wprowadziły w życie przepisy krajowe mające na celu jej implementację. Zmiany w prawie na pewno będą musiały nastąpić, bo dyrektywa kompleksowo zajmuje się tematem ochrony tajemnicy przedsiębiorstwa, przy okazji wprowadzając ochronę dla sygnalistów zgłaszających nadużycia. Będzie to wymagało nowelizacji m.in. ustawy z 16 kwietnia 1993 r. o zwalczaniu nieuczciwej konkurencji (t.j. Dz.U. z 2003 r. nr 153, poz. 1503 ze zm.).

Dyrektywa przewiduje, oprócz zmian w zakresie definicji tajemnicy przedsiębiorstwa i bezprawnego pozyskania, wykorzystania i ujawnienia tajemnicy, że regulacje krajowe mają zapewniać oddalenie środków w niej przewidzianych (procedur i sankcji), w przypadku osoby pozyskującej, wykorzystującej lub ujawniającej tajemnicę przedsiębiorstwa w celu ujawnienia nieprawidłowości, uchybienia lub działania z naruszeniem prawa i zarazem ochrony ogólnego interesu publicznego. Tym samym akt prawny implementujący dyrektywę będzie musiał określić pojęcie sygnalisty i zasady jego ochrony. Prawdopodobnie będzie także zawierał wymóg posiadania systemu informowania o nieprawidłowościach, być może na kształt przewidzianego w projekcie ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu.

Niezależnie od ostatecznego kształtu aktu prawnego na przedsiębiorcy będzie ciążył wymóg ustalenia, że w danej sytuacji mamy do czynienia z sygnalistą i w związku z tym powinna być mu zapewniona ochrona. Zbagatelizowanie tego wymogu będzie skutkowało przegrywaniem procesów z sygnalistami. Żeby temu przeciwdziałać, firmy powinny zadbać o wprowadzenie systemu informowania o nieprawidłowościach, obejmującego również odpowiednią ochronę sygnalistów. Zapewni to możliwość gruntownego wyjaśnienia sprawy na etapie zgłoszenia wewnętrznego i ustalenie, czy w danej sytuacji rzeczywiście mamy do czynienia z sygnalistą, czy np. z osobą dokonującą zgłoszenia dla żartu lub w złej wierze (np. w celu zaszkodzenia drugiej osobie, a nie dla ochrony interesu publicznego).

RAMKA 2

Potrzeba spójnej regulacji whistleblowingu

Dostrzegając liczne, choć niestety szczątkowe i sektorowe regulacje instytucji sygnalizacji, Parlament Europejski wydał rezolucję w sprawie uzasadnionych środków ochrony sygnalistów w interesie publicznym. Przewiduje ona, że do końca 2017 r. na poziomie Komisji Europejskiej zostanie przygotowany wniosek ustawodawczy, który całościowo zajmie się problematyką sygnalistów. W treści rezolucji wskazano niektóre kierunki, jakie powinna obrać inicjatywa KE. Ma ona szeroko definiować pojęcie sygnalisty (obejmując nim nie tylko pracownika, lecz także osobę w inny sposób związaną z organizacją), przewidywać zasady jego ochrony, w tym ewentualne wynagrodzenie, a ponadto wskazywać na poufność i możliwość anonimowego dokonania zgłoszenia oraz odwrócony ciężar dowodu, który będzie obligował pracodawcę do udowodnienia, że represje wobec sygnalisty nie miały związku z ujawnieniem przez niego nieprawidłowości (zasadniczo bowiem to sygnalista musi udowodnić, że jego zwolnienie czy inna forma represji, jest związana z ujawnieniem przez niego nieprawidłowości).

Przedstawiciele polskiego rządu już zapowiedzieli przygotowanie odrębnej, kompleksowej regulacji dotyczącej sygnalistów wewnątrz organizacji. Nie jest znany ostateczny kształt nowego aktu prawnego, który będzie zajmował się tą tematyką, jednak już w tym momencie można założyć, że istotne zmiany, które on wymusi, będą wymagały dostosowania regulacji wewnętrznych w firmach do nowej sytuacji prawnej.

Jak zarządzać procesem zgłaszania nadużyć

Nie ulega żadnej wątpliwości, że zmiany w prawie zmierzają z jednej strony w kierunku zobligowania przedsiębiorców do posiadania skutecznych systemów zgłaszania nieprawidłowości, z drugiej zaś do zapewnienia ochrony szeroko rozumianym sygnalistom. Choć rozwiązania prawne są dopiero projektowane, to już na dziś można określić kilka punktów wspólnych, od których należałoby zacząć audyt swoich procedur.

Bezsprzecznie procedura informowania o nieprawidłowościach powinna stanowić niezbędny element systemu compliance u każdego przedsiębiorcy. Skuteczna procedura powinna przypominać tę, o której mowa w ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu.

Taka procedura to skarb w rękach każdego pracodawcy. Przede wszystkim stworzenie rzeczywistego i skutecznego mechanizmu zgłaszania nadużyć może uchronić przedsiębiorcę od takich sygnalistów, którzy nawet drobne, dające się łatwo usunąć uchybienia, zgłaszać będą prokuratorowi w celu uzyskania statusu ochronnego. Nie można przecież zakładać, że każdy pracownik będzie świadom tego, iż status ten może uzyskać tylko w przypadku zawiadomienia o określonych typach przestępstw. Nie chodzi tu oczywiście o ukrywanie faktu popełnienia przestępstwa, ale o to, aby wykrycie uchybień niestanowiących czynu zabronionego mogło mieć miejsce wewnątrz organizacji i spotkać się z adekwatną reakcją.

Skuteczna procedura whistleblowingu pozwala też na pozyskanie wiedzy o potencjalnych nieprawidłowościach w momencie, gdy do nadużycia jeszcze nie doszło. Zapobiega to ich wystąpieniu, a także negatywnym skutkom finansowym lub w sferze reputacji podmiotu. Taka procedura jest także elementem szerszego programu compliance, który ma na celu budowanie kultury organizacyjnej opartej na etycznych wartościach i zasadach oraz zapewnieniu zgodności funkcjonowania podmiotu zgodnie z prawem. W sytuacji, w której taka kultura stoi na wysokim poziomie, ryzyko dokonywania nadużyć jest zdecydowanie niższe. A z kolei szansa na pozyskanie wiedzy o nadużyciu jest zdecydowanie wyższa, aniżeli w przypadku braku takiego podejścia. Programy compliance przekładają się na realną wartość finansową przede wszystkim w tych sytuacjach, w których zapobiegają występowaniu nadużyć i ich negatywnym konsekwencjom. W niedługim czasie prawie wszyscy przedsiębiorcy prowadzący działalność gospodarczą na terenie Polski będą musieli takie programy posiadać.

Kary administracyjne zamiast grzywien. I to wysokie

Wiele uchybień, które obecnie uznawane są za przestępstwa, w przyszłości kwalifikowanych będzie jako naruszenia przepisów administracyjnych. Tyle że kary pieniężne będą nakładane przez organy nadzoru łatwiej i szybciej

Prawo, będące podstawowym instrumentem władzy, ulega stałym przeobrażeniom. Jest to szczególnie widoczne w obrębie prawa karnego gospodarczego, a więc tej dziedziny prawa karnego, która ma chronić uczciwe zasady obrotu gospodarczego i mienie jego uczestników. Wyspecjalizowany charakter przestępczości gospodarczej i jego kryminologiczna charakterystyka przydają mu szczególne nazwy, takie jak np. przestępczość białych kołnierzyków (ang. white collar crimes). Ta sfera leży niejako na przeciwległym biegunie względem regulacji z obszaru compliance, a więc mających na celu zapewnienie zgodności działania z prawem. Nie należy jednak zapominać, że przestępczość gospodarcza może być właśnie skutkiem niezapewnienia odpowiedniego poziomu przestrzegania prawa w organizacji. Dlatego zmiany w tym obszarze sąsiadują z opisywanymi wcześniej nowymi obowiązkami w zakresie compliance.

Zmiana filozofii

W prowadzonych obecnie pracach dostrzegalna jest nowa tendencja ujmowania odpowiedzialności karnej i niby-karnej. Zamiast wprowadzania nowych typów przestępstw, za które odpowiedzialność ponoszą zazwyczaj reprezentanci podmiotów gospodarczych (członkowie zarządu, prokurenci, członkowie rady nadzorczej, przedstawiciele kadry menedżerskiej), przewiduje się rozbudowane przepisy o odpowiedzialności karno-administracyjnej.

Nietrudno domyślić się powodów, jakie kierują projektodawcami. Przede wszystkim w przypadku prawa gospodarczego niewykonanie obowiązków nakładanych na przedsiębiorców powoduje istotne zagrożenia w całym obrocie gospodarczym. Na takie podmioty nakładane są obecnie liczne obowiązki z zakresu prawa publicznego, takie jak zapobieganie korupcji i praniu pieniędzy czy ochrona danych osobowych. W ślad za tym aktualne staje się pytanie o sankcje za niewywiązanie się z takich powinności.

WAŻNE

Stworzenie rzeczywistego i skutecznego mechanizmu zgłaszania nadużyć może uchronić przedsiębiorcę od takich sygnalistów, którzy nawet drobne, dające się łatwo usunąć uchybienia zgłaszać będą prokuratorowi tylko po to, by uzyskać status ochronny.

Ustawodawca współcześnie rezygnuje coraz częściej z klasycznej odpowiedzialności karnej. Wymaga ona przeprowadzenia długotrwałego postępowania karnego i może zawsze dotyczyć tylko konkretnych osób fizycznych - jest ona bowiem odpowiedzialnością indywidualną i osobistą. Nałożenie kary na osobę fizyczną zwykle nie rozwiązuje problemu, ponieważ oskarżonego/skazanego w tej samej organizacji mogą zastąpić kolejne osoby, które wykorzystując ten sam schemat, będą w dalszym ciągu dopuszczać się podobnych zaniedbań. Poza tym celem ustawodawcy nie jest ukaranie konkretnych osób fizycznych, ale wymuszenie na zobowiązanych podmiotach gospodarczych wykonania nałożonych na nie obowiązków.

Z tych wszystkich względów odpowiedzialność karna sensu stricto nie jest w stanie spełnić ochronnej i prewencyjnej funkcji prawa karnego. Nie jest też wystarczający reżim wprowadzony ustawą z 28 października 2002 r. o odpowiedzialności podmiotów zbiorowych za czyny zabronione pod groźbą kary (t.j. Dz.U. z 2016 r. poz. 1541 ze zm.). W świetle przepisów tej ustawy dla postawienia jednostki organizacyjnej w stan oskarżenia wymagane jest prawomocne skazanie za przestępstwo osoby działającej w imieniu podmiotu zbiorowego, co samo w sobie może zająć wiele lat. Ponadto, przez zaniedbania legislacyjne, od 2005 do 2011 r. nie istniała możliwość ukarania podmiotu zbiorowego za działania osób je reprezentujących (w tym w szczególności członków zarządu), co całkowicie przekreślało sens prowadzenia postępowania. Nie dziwią zatem podnoszone obecnie przez polityków większości sejmowej plany całkowitego przebudowania reżimu odpowiedzialności karnej jednostek organizacyjnych.

Dla firmy i dla sprawcy

Jak należy przewidywać, nowa ustawa o odpowiedzialności karnej podmiotów zbiorowych nie będzie przewidywała konieczności uprzedniego skazania osoby fizycznej działającej na rzecz tego podmiotu. Możliwe będzie równoległe prowadzenie (być może na jednej rozprawie) postępowania przeciwko osobie fizycznej i jednostce organizacyjnej. Rodzi to oczywiście wiele pytań, chociażby o sposób reprezentacji przed sądem osoby prawnej w sytuacji, gdy równolegle w charakterze oskarżonego występował będzie członek jej zarządu.

Sankcje pieniężne zamiast pozbawienia wolności

Już dzisiaj, oprócz odpowiedzialności karnej indywidualnej osoby fizycznej i - raczej teoretycznej - odpowiedzialności podmiotów zbiorowych, występuje reżim odpowiedzialności karno-administracyjnej. Jednak aby unaocznić obecną tendencję ustawodawczą, należy przyjrzeć się przepisom sankcyjnym projektów.

● Przewiduje on tylko jeden typ przestępstwa i jeden typ wykroczenia przeciwko danym osobowym. Są to typy czynów zabronionych dotyczące udaremnienia lub utrudnienia kontroli (art. 89 projektu ustawy) i przetwarzania bez podstawy prawnej danych wrażliwych (art. 90 projektu ustawy). Jednakże we wcześniejszym rozdziale 9 projektodawcy uszczegóławiają postanowienia RODO dotyczące stosowania kar administracyjnych.

Mają być one nakładane na administratorów danych osobowych za naruszenie różnych obowiązków dotyczących przetwarzania, przechowywania i udostępniania danych osobowych. Warto dostrzec, że wiele naruszeń stanowi obecnie przestępstwo, w projektowanych regulacjach będą zaś naruszeniem przepisów administracyjnych. Różnica jest jednak olbrzymia, gdyż w postępowaniu karnym nałożona na osobę fizyczną grzywna nie może co do zasady przekroczyć kwoty 1 080 000 zł, podczas gdy kary administracyjne za naruszenie przepisów o ochronie danych osobowych mogą być dziesięciokrotnie wyższe: mają wynosić nawet 10 milionów euro.

Kary administracyjne nakładane będą przez prezesa Urzędu Ochrony Danych Osobowych (który stanie się następcą generalnego inspektora ochrony danych osobowych) w drodze decyzji administracyjnej - w przeciwieństwie do kar kryminalnych, które mogą być nakładane wyłącznie przez sądy. Również w dalszym toku postępowania właściwe do rozpoznania skarg na decyzje nakładające kary będą sądy administracyjne, a nie sądy karne.

● Przewaga przepisów przewidujących odpowiedzialność administracyjną nad przepisami karnymi w tradycyjnym ujęciu jest widoczna również w przepisach rozdziału 11 projektu ustawy o jawności życia publicznego. Przewiduje on, obok przepisów karnych, wiele sankcji nakładanych przez prezesa Urzędu Ochrony Konkurencji i Konsumentów za naruszenie obowiązków wdrożenia skutecznych regulacji compliance (procedury whistleblowingu, kodeksu etycznego, procedury antykorupcyjnej, procedury prezentowej). Kara może wynieść nawet 10 mln zł, a odwołania od decyzji prezesa UOKiK rozpoznawać miałby Sąd Okręgowy w Warszawie - Sąd Ochrony Konkurencji i Konsumentów.

● Przewiduje on w rozdziale 12 kary administracyjne za niedopełnienie obowiązków ustawowych. Kara, orzekana przez generalnego inspektora informacji finansowej, prezesa NBP, Komisję Nadzoru Finansowego lub naczelnika urzędu celno-skarbowego, może być nie tylko związana z dolegliwością finansową (do 5 mln euro w przypadku jednostek organizacyjnych lub do 20 868 500 zł w przypadku osób fizycznych), również lecz także polegać na podważeniu renomy i dobrego imienia podmiotu. Nakładając karę, właściwy organ może opublikować informację o ukaraniu w biuletynie informacji publicznej oraz na stronie internetowej ministra finansów, nakazać zaprzestanie podejmowania przez instytucję obowiązaną określonych czynności, zakazać wykonywania działalności regulowanej do lat trzech, wykreślić z rejestru działalności regulowanej lub zakazać pełnienia obowiązków na stanowisku kierowniczym osoby odpowiedzialnej za naruszenie przez instytucje obowiązaną przepisów ustawy, przez okres nie dłuższy niż rok. Wszystkie wymienione środki mogą być zastosowane równolegle.

Kontrola

Obowiązywanie i skuteczność regulacji compliance będzie z pewnością przedmiotem kontroli organów nadzorczych, m.in. takich jak:

● Państwowa Inspekcja Pracy,

● główny inspektor informacji finansowej,

● prezes Urzędu Ochrony Konkurencji i Konsumentów,

● prezes Urzędu Ochrony Danych Osobowych.

Nie można także zapominać, że regulacje compliance będą kontrolowane pod kątem trzech kryteriów: istnienia, wdrożenia i obowiązywania. Niewywiązanie się z obowiązków wprowadzenia spójnego i skutecznego systemu regulacji wewnętrznych będzie narażało podmiot na surowe konsekwencje.

Jednocześnie z nowymi regulacjami zmianie ulegnie zakres usług doradczych i prawnych. Ciężar prowadzenia sporów dotyczących stosowania prawa przenosi się bowiem z płaszczyzny prawa karnego na obszar prawa karno-administracyjnego i cywilnego. W tym pierwszym przypadku oznacza to mniejsze gwarancje procesowe dla oskarżanych spółek i większe trudności w prowadzeniu rzeczowej obrony. To z kolei powoduje, że jedynym skutecznym sposobem uniknięcia odpowiedzialności jest skrupulatne i rzetelne wdrożenie rekomendowanych procedur wewnętrznych, co zresztą stanowić powinno wartość samą w sobie.

@RY1@i02/2017/251/i02.2017.251.18300070a.802.jpg@RY2@

Dominika Stępińska-Duch

adwokat, partner kierujący praktyką prawa karnego i compliance w kancelarii Raczkowski Paruch

@RY1@i02/2017/251/i02.2017.251.18300070a.803.jpg@RY2@

dr Damian Tokarczyk

adwokat, kancelaria Raczkowski Paruch

@RY1@i02/2017/251/i02.2017.251.18300070a.804.jpg@RY2@

Marta Kosakowska

adwokat, kancelaria Raczkowski Paruch

@RY1@i02/2017/251/i02.2017.251.18300070a.805.jpg@RY2@

Jakub Lasek

aplikant adwokacki, kancelaria Raczkowski Paruch

@RY1@i02/2017/251/i02.2017.251.18300070a.806.jpg@RY2@

Adrian Szutkiewicz

aplikant radcowski, kancelaria Raczkowski Paruch