Kto jest instytucją obowiązaną, a które firmy muszą chronić whistleblowerów?
Na początek przyjrzyjmy się, w którym miejscu krzyżują się obowiązki wynikające z ustawy AML z tymi uregulowanymi przez ustawę o sygnalistach.
Ustawa AML wprowadza pojęcie instytucji obowiązanej, ale jest ono całkowicie oderwane od skali prowadzonej działalności w zakresie procedura sygnalisty AML. Znaczenie ma wyłącznie specyfika biznesu. Obecnie wyodrębnia się blisko 30 kategorii przedsiębiorców uznawanych za instytucje obowiązane. Wśród nich można wymienić, chociażby:
-
banki, SKOK-i i zakłady ubezpieczeń;
-
Krajowe Izby Płatnicze, Małe Izby Płatnicze
-
firmy inwestycyjne;
-
ASI, TFI, fundusze inwestycyjne;
-
podmioty prowadzące rozrachunek w oparciu o rejestr rozproszony;
-
biura księgowe, które prowadzą księgi rachunkowe.
Przed założeniem działalności gospodarczej warto zasięgnąć porady kancelarii prawnej i ustalić, czy w danym przypadku firma będzie musiała wdrażać procedury AML. Ustawowa lista jest też regularnie poszerzana przez ustawodawcę i jest bardzo prawdopodobne, że za jakiś czas pojawią się na niej nowe kategorie podmiotów w szczególności działań negatywnie wpływających na temat dokonywania zgłoszeń zewnętrznych i przeciwdziałaniu praniu pieniędzy dla ochrony danych osobowych pracownika i zapewnienie minimalnego zakresu ochrony dla zasady zachowania poufności w wiadomości osób wykonujących pracę przez naruszenie zakazu działań odwetowych dla ujawnienia publicznego organów publicznych wraz z procedura zgłoszeń wewnętrznych i znaczne rozszerzenie obowiązków organizacji dla podjętych działaniach następczych i procedurę zgłoszeń wewnętrznych.
Jeśli chodzi o ustawę o sygnalistach, to nakłada ona obowiązek utworzenia procedury zgłoszeń wewnętrznych na:
-
podmioty prawne, w których na dzień 1 stycznia lub 1 lipca pracę zarobkową wykonuje co najmniej 50 osób – w tym także tych, które świadczą swoje usługi na innej podstawie niż stosunek pracy;
-
jednostki samorządu terytorialnego liczące sobie minimum 10 tysięcy mieszkańców;
-
podmioty realizujące działalność wymienioną w części IB i II załącznika do dyrektywy 2019/1937, w tym m.in. związaną z zapobieganiem praniu pieniędzy i finansowania terroryzmu, usługami finansowymi, bezpieczeństwem transportu czy ochroną środowiska – niezależnie od wolumenu zatrudnienia.
W praktyce więc instytucja obowiązana – oprócz tego, że organizuje zgłoszenia naruszeń AML/CFT – musi przygotować procedurę obsługi zgłoszeń wewnętrznych dotyczących naruszeń prawa w innym zakresie.
O ile obie ustawy przewidują zgłaszanie naruszeń tak, aby zapewnić anonimowość zgłaszającego (choć w zakresie AML jako obowiązkowej, a w zakresie ustawy o ochronie sygnalistów już wg wyboru wdrażającego), w każdym z tych dwóch przypadków przesłanki oraz zakres tego zgłoszenia są nieco inne. Przyjrzyjmy się bliżej tym różnicom.
Przedmiotowy zakres naruszenia prawa – ustawa AML vs. ochrona sygnalistów
Ustawa AML w art. 53 ust. 1 nakłada na instytucje obowiązane konieczność wdrożenia wewnętrznej procedury w zakresie zgłaszania naruszeń w zakresie prania pieniędzy i finansowania terroryzmu. Taka procedura anonimowego zgłaszania musi określać przynajmniej:
-
osobę odpowiedzialną za przyjmowanie zgłoszeń oraz sposób odbierania tych zgłoszeń;
-
sposób ochrony pracownika, który dokonuje zgłoszenia, przy czym musi ona obejmować zabezpieczenie minimum przed działaniami o charakterze represyjnym lub wpływającymi na pogorszenie ich sytuacji prawnej, lub faktycznej oraz kierowaniem gróźb;
-
sposób ochrony danych zgłaszającego naruszenie oraz zasady zachowania poufności tych informacji, jeżeli zostaną ujawnione;
-
rodzaj i charakter działań następczych podejmowanych po przyjęciu zgłoszenia;
-
termin usunięcia danych objętych zgłoszeniem.
Z kolei w przypadku ustawy o sygnalistach zakres zgłoszeń został wskazany w art. 3 ust. 1 Obejmuje on znacznie większą liczbę dziedzin, w tym naruszenia dotyczące:
-
korupcji;
-
zamówień publicznych;
-
usług, produktów i rynków finansowych;
-
bezpieczeństwa transportu;
-
ochrony środowiska.
Fakt, że w art. 3 ust. 1 pkt 4 ustawy o sygnalistach ustawodawca wskazał możliwość zgłaszania naruszeń w zakresie AML/CFT nie zwalnia instytucji obowiązanych z konieczności wdrożenia procedur na gruncie obu aktów prawnych. Można jednak wykorzystać jedną procedurę do zaprojektowania drugiej, a także stworzyć jeden wspólny i wewnętrznie spójny system.
Kto może dokonać zgłoszenia naruszenia prawa?
Ustawa AML przewiduje, że naruszenie może zostać zgłoszone przez dwie kategorie osób:
-
pracowników wykonujących swoje zadania na podstawie umowy o pracę;
-
osoby wykonujące czynności na rzecz instytucji obowiązanej – ustawodawca nie precyzuje, o jakie osoby chodzi, można jednak przypuszczać, że będą to „pracownicy” działający na podstawie umów cywilnoprawnych, jak umowa lub zlecenie, ale też współpracownicy w ramach relacji B2B.
Ustawa o ochronie sygnalistów przewiduje bardzo szeroki katalog podmiotów uprawnionych do zgłoszenia naruszenia. Ich pełna lista znajduje się w art. 4 ust. 1 ustawy o sygnalistach i obejmuje m.in. pracownika oraz osobę wykonującą swoje obowiązki na innej podstawie niż stosunek pracy, ale także akcjonariusza, wspólnika, stażystę czy praktykanta.
O ile w przypadku zgłoszeń naruszeń AML dostęp do systemu powinny mieć wyłącznie osoby zatrudnione lub współpracujące z firmą, w przypadku sygnalistów jest to praktycznie każda osoba mająca związek z przedsiębiorcą. Co istotne, procedurę zgłoszeń whistleblowingowych stosuje się też do relacji przed formalnym nawiązaniem współpracy (do osób ubiegających się o zatrudnienie), jak również po jej ustaniu (do byłych pracowników).
Przed jakimi represjami ma chronić system zgłoszeń naruszeń prawa?
W przypadku ustawy AML oraz ustawy o ochronie sygnalistów nieco inaczej wygląda także zakres ochrony przed potencjalnymi działaniami odwetowymi ze strony pracodawcy. Jeżeli chodzi o przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu, to zgodnie z art. 53a ust. 2 ustawy AML zgłaszający ma być chroniony przed:
-
działaniami o charakterze represyjnym;
-
działaniami wpływającymi na pogorszenie sytuacji prawnej lub faktycznej zgłaszającego lub na kierowaniu przeciwko niemu gróźb.
Ustawodawca nie pokusił się w tym przypadku o stworzenie katalogu zachowań, które mogą zostać jednoznacznie uznane za naruszające ochronę zgłaszającego naruszenie. Taką listę można stworzyć np. w ramach wewnętrznej procedury AML do zaprojektowania której zobligowana jest każda instytucja obowiązana. Przykładowymi działaniami mieszczącymi się w pojęciu represji względem osoby zatrudnionej mogą być np. przeniesienie pracownika na inne, mniej dopasowane do kwalifikacji stanowisko pracy czy też zasypywanie zadaniami, które są poniżej umiejętności osoby zatrudnionej, a których wyniki i tak nie są weryfikowane przez pracodawcę.
W przypadku ustawy o sygnalistach w art. 12 znajduje się otwarty katalog działań odwetowych, jakie może stosować pracodawca wobec whistleblowera. Będzie to np.:
-
wypowiedzenie lub rozwiązanie bez wypowiedzenia stosunku pracy;
-
obniżenie wysokości wynagrodzenia za pracę;
-
wstrzymanie awansu lub pominięcie przy awansowaniu;
-
przeniesienie na inne stanowisko pracy;
-
przydzielenie dotychczasowych zadań sygnalisty innej osobie.
Choć w przypadku obu ustaw zakres represji względem osoby zatrudnionej je otwarty, na gruncie ustawy o sygnalistach łatwiej będzie wykazać, że rzeczywiście doszło do pogorszenia sytuacji osoby zatrudnionej lub innej, zgłaszającej naruszenie prawa.
Jak stworzyć wspólną procedurę zgłaszania naruszeń prawa?
Instytucje obowiązane nie muszą projektować odrębnie dwóch procedur, które są przeznaczone do zgłaszania naruszeń osobno w zakresie AML i osobno w innym przedmiocie. Mogą one stworzyć jedną, wspólną procedurę zgłoszeń, przyjmując za punkt wyjścia regulację ustawy o sygnalistach. Dlaczego akurat ten akt prawny? Dlatego, że w bardziej szczegółowy sposób opisuje poszczególne elementy procedury. Zgodnie z art. 25 ustawy o sygnalistach taka procedura powinna określać w szczególności:
-
wewnętrzną jednostkę organizacyjną, osobę lub podmiot zewnętrzny uprawnione do przyjmowania zgłoszeń;
-
sposoby przekazywania zgłoszeń wewnętrznych przez sygnalistę wraz z jego adresem korespondencyjnym lub adresem email;
-
jednostkę lub osobę uprawnioną do podejmowania działań następczych;
-
tryb postępowania z informacjami zgłoszonymi anonimowo (bez podania adresu do kontaktu przez sygnalistę);
-
obowiązek przyjęcia zgłoszenia w odpowiednim terminie, jeżeli jest to możliwe;
-
obowiązek podjęcia działań następczych;
-
maksymalny termin na przekazanie informacji zwrotnej o tym, w jaki sposób sprawa została załatwiona;
-
zrozumiałe i łatwo dostępne informacje na temat zgłoszeń zewnętrznych, m.in. do Rzecznika Praw Obywatelskich czy organów Unii Europejskiej.
Tworząc procedurę pracodawca może uzupełnić ją również o inne element, jak chociażby system zachęt, który zwiększy prawdopodobieństwo, że osoba będąca świadkiem naruszenia rzeczywiście dokona zgłoszenia, a nie zaniecha tego z obawy przed działaniami represyjnymi.
Jakie kary grożą za niedopełnienie obowiązków w zakresie ochrony osób zgłaszających naruszenie?
Tworząc system zgłoszeń przedsiębiorca, powinien pamiętać, że zaniedbania na tym polu zostały inaczej uregulowane w obu ustawach. Na gruncie ustawy AML karą administracyjną karane jest zaniechanie wdrożenia wewnętrznej procedury anonimowego zgłaszania naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Zgodnie z art. 150 ustawy AML sankcją administracyjną może być m.in.:
-
publikacja informacji o naruszeniu w BIP;
-
cofnięcie koncesji lub zezwolenia na wykonywania działalności regulowanej;
-
wysoka kara pieniężna.
W przypadku ustawy o sygnalistach niewdrożenie procedury ochronnej lub też uczynienie tego w nieefektywny sposób jest zagrożone karą grzywny. Trzeba jednocześnie pamiętać, że whistleblower w przypadku podjęcia względem niego działań odwetowych ma prawo do żądania odszkodowania lub zadośćuczynienia.
W jaki sposób firma powinna chronić pracowników zgłaszających naruszenia?
Niezależnie od tego, który reżim ochrony whistleblowerów jest stosowany przed przedsiębiorstwo, ochrona osób zgłaszających naruszenia będzie wyglądała podobnie. Przede wszystkim firma powinna utworzyć bezpieczne kanały do dokonywania zgłoszeń , które gwarantują, że dane trafią wyłącznie do osób bezstronnych, które we właściwy sposób obsłużą zgłoszenie. Warto w tym miejscu również odwołać się do przepisów ustawy o sygnalistach, która w szerszym stopniu opisuje kwestie upoważnień pracowników oraz zarządzanie danymi osobowymi whistleblowerów.
W przypadku ustawy AML zgłoszenia muszą być anonimowe. Ustawa o sygnalistach przewiduje zarówno zgłoszenia z podaniem danych pracownika, jak i (fakultatywnie) anonimowe.
Ochrona przed działaniami odwetowymi może polegać zarówno na edukowaniu pracowników, jak i efektywnym stosowaniu kar pracowniczych, z rozwiązaniem stosunku pracy w trybie natychmiastowym włącznie.
Wraz z wejściem w życie ustawy o sygnalistach wiele instytucji obowiązanych stanęło przed trudnym zadaniem, które polega na ustaleniu, czy dany podmiot musi stosować nową regulację, a w przypadku odpowiedzi twierdzącej, także zastosowaniu obu reżimów ochrony tak, aby nie kolidowały one ze sobą.
Kancelaria RPMS oferuje kompleksowe wsparcie w zakresie wdrażania procedur AML oraz ochrony sygnalistów. Nasi specjaliści przygotują procedurę zgłoszeń, uwzględniając specyfikę prowadzonej działalności. Zasugerujemy oraz zaplanujemy poszczególne procesy tak, aby w sposób efektywny chroniły osoby zgłaszające naruszenia. Dzięki naszej pomocy będziesz prowadził działalność zgodnie z prawem.
Pytania i odpowiedzi
Wiele instytucji obowiązanych musi zadbać o zgodność procedur zarówno z ustawą AML, jak i ustawą o ochronie sygnalistów. Polską ustawę o sygnalistach stosuje się jednak wyłącznie w zakresie nieuregulowanym przez instytucje Unii Europejskiej lub przez przepisy krajowe stanowiące implementację norm unijnych (art. 10 ust. 1 ustawy o sygnalistach). W praktyce oznacza to, że ustawa odpowiednie dyrektywy UE oraz ustawa AML ma pierwszeństwo przed procedurą whistleblowingu.
W praktyce dobrym rozwiązaniem jest wyodrębnienie adresu e-mail oraz numeru telefonu pod którymi można zgłaszać naruszenia. Po stronie pracodawcy leży zapewnienie, aby takie kanały były w pełni bezpieczne i zapewniały należytą ochronę sygnalisty. W przypadku zgłoszeń e-mailowych można posłużyć się np. technologią szyfrowana danych.
Ustawa AML nie przewiduje takiego obowiązku, ale został on przewidziany dla procedury zgłoszeń wewnętrznych dla ochrony sygnalistów. Jeżeli w danym zakładzie nie działa organizacja związkowa, procedura powinna być skonsultowana z przedstawicielami osób świadczących pracę na rzecz danego podmiotu. Konsultacje powinny trwać od 5 do 10 dni.
Może Ciebie również zainteresować:
AML dla branż:
- PROCEDURA AML DLA BIURA RACHUNKOWEGO
- PROCEDURA AML DLA POŚREDNIKÓW NIERUCHOMOŚCI
- PROCEDURA AML DLA CENTRUM USŁUG WSPÓLNYCH
- PROCEDURA AML DLA BANKU SPÓŁDZIELCZYM
- PROCEDURA AML DLA KANTORU WYMIANY WALUT
- PROCEDURA AML DLA KANTORU KRYPTOWALUT
- PROCEDURA AML DLA OPERATORÓW POCZTOWYCH
- PROCEDURA AML W FUNDACJI I STOWARZYSZENIU
- PROCEDURA AML DLA NOTARIUSZY
- PROCEDURA AML DLA FAKTORINGU
- PROCEDURA AML – OBRÓT ZŁOTEM DEWIZOWYM
- ZASADY ŁADU KORPORACYJNEGO DLA INSTYTUCJI NADZOROWANYCH
Warto wiedzieć:
- DOKUMENTACJA AML (PROCEDURA)
- SZKOLENIE AML
- AUDYT AML
- AML – FORMUŁOWANIE OCENY RYZYKA
- AML – POJĘCIE BENEFICJENTA RZECZYWISTEGO
- AML – LIMITY TRANSAKCJI
- AML – ZASADY RAPORTOWANIA DO GIIF
- AML – GRUPOWA PROCEDURA PRZECIWDZIAŁANIU PRANIU PIENIĘDZY
- AML – OŚWIADCZENIE O ŹRÓDLE POCHODZENIA ŚRODKÓW
- AML – KONTROLA W INSTYTUCJI OBOWIĄZANEJ
- AML – KARTY PRZEDPŁACONE
- NOWELIZACJA AML 6 – WSKAZÓWKI FATF
- PROCEDURY KYC (Know Your Customer)
- AML DLA FUNDACJI RODZINNYCH
Zaufali nam: