Odpowiedzialność podmiotów zbiorowych a compliance

Każda organizacja opiera się na innym modelu funkcjonowania, dlatego zdefiniowanie jedynego, słusznego paradygmatu postępowania compliance jest niemożliwe. Można jednak wskazać na praktyki najczęściej stosowane przez podmioty zbiorowe, nawiązując do art. 6 ust. 4 nowej ustawy. Przykładowo będzie to:

• Uregulowanie zasad postępowania na wypadek zagrożenia popełnienia czynu zabronionego lub skutków niezachowania reguł ostrożności

W procedurach organizacyjnych warto przewidzieć np. obowiązek złożenia zawiadomienia możliwości popełnienia przestępstwa do organów ścigania i wytypować odpowiedzialną za to osobę. Innym przykładem może być przewidzenie odpowiedzialności dyscyplinarnej za dopuszczenie się określonych zaniedbań.

• Określenie zakresu odpowiedzialności organów, komórek organizacyjnych, pracowników i osób uprawnionych do działania w jego imieniu

Przejawem wdrożenia reguł compliance będzie też enumeratywne wyliczenie zakresie obowiązków tak organów, jak i poszczególnych ich członków, aby było możliwe jednoznaczne ustalenie, kto dopuścił się danego uchybienia i na jakim etapie ono wystąpiło.

• Powołanie Compliance Officera lub działu compliance

Ustawodawca sugeruje też utworzenie odrębnego stanowiska (lub nawet całej komórki), jest odpowiedzialnego za monitorowanie prawidłowości procedur w firmie. Dział compliance czuwa nad bieżącą oceną całokształtu procesów zachodzących w firmie. Nic nie stoi na przeszkodzie, aby w celu monitorowania systemu CMS zatrudnić firmę zewnętrzną, która zajmie się nadzorem nad zgodnością procedur.

• Umożliwienie zgłaszania nieprawidłowości

Podmiot zbiorowy powinien zadbać też o utworzenie procedur, które umożliwiają skuteczny obieg informacji oraz niezwłoczne podejmowanie działań. Dobrym pomysłem wykazania spełnienia tej przesłanki jest wdrożenie odpowiednich standardów ISO, np. 27001 i 27017 odpowiadających za ustandaryzowanie ochrony informacji (w tym umieszczanych w chmurze).

W art. 11 ustawa wprowadza obowiązek utworzenia odrębnego kanału dla sygnalistów, czyli osób, które zgłaszają pracodawcy naruszenia prawa, w których przedmiocie mają wiedzę. Wdrożenie tego obowiązku ma wspomóc nowa unijna dyrektywa o ochronie praw sygnalistów. Niestety, w polskim porządku prawnym ustawa implementująca dyrektywę wciąż znajduje się na etapie konsultacji.

Obowiązek ten ustawodawca uznał za na tyle istotny, że w art. 15 ust. 1 in fine wprowadził możliwość podwojenia sankcji finansowej!

Warto także rozważyć wdrożenie w firmie zasad zarządzania ryzykiem. Mają one na celu jak najszybsze zidentyfikowanie potencjalnych ryzyk (np. finansowych, prawnych, wizerunkowych) i ograniczenie ich negatywnego oddziaływania. W skład zasad zarządzania ryzykiem wchodzi:

• ustanowienie zakresu zarządzania ryzykiem,

• szacowanie ryzyka,

• akceptowanie ryzyka,

• postępowanie z ryzykiem,

• monitorowanie i przegląd ryzyka.

Na podmiocie zbiorowym spoczywa odpowiedzialność za wykazanie, że wdrożył on wszystkie, niezbędne środki. Dlatego, jeżeli nie jesteś pewny, czy Twoja firma spełnia wymagania w zakresie procedur compliance, skorzystaj z audytu wykwalifikowanych prawników.

Jakie jeszcze regulacje warto wprowadzić w firmie

Należy podkreślić, że katalog przesłanek pozwalający ustalić dochowanie należytej staranności jest otwarty i w przypadku wszczęcia postępowania w stosunku do podmiotu zbiorowego spełnienie przesłanek odpowiedzialności będzie oceniane inaczej. Dlatego warto zawczasu rozważyć zasadność wprowadzenia również innych rozwiązań:

• compliance zewnętrzny (np. wdrożenie kodeksu dobrych praktyk, sposób postępowania z kontrahentami i organami władzy publicznej, procedury antykorupcyjne),

• compliance prawny (np. RODO, AML, procedury antymobbingowe),

• compliance podatkowy (np. interpretacje podatkowe, opinie zabezpieczające, uprzednie porozumienia cenowe (APA), procedury MDR,

• compliance branżowy (w zależności od profilu działalności firmy zakres i sposób uregulowania procedur będzie nieco inny)

Jeżeli w swojej firmie potrzebujesz wdrożyć reguły compliance, skorzystaj z porady profesjonalistów, którzy doradzą Ci, jakie rozwiązania najlepiej sprawdzą się w Twoim przypadku.

Sankcje w nowej ustawie

Dlaczego wprowadzenie reguł compliance w strukturze podmiotu zbiorowego jest tak istotne? Nowa ustawa o odpowiedzialności podmiotów zbiorowych nie zostawia niedomówień. Jeżeli w toku wszczętego postępowania zostanie stwierdzona odpowiedzialność podmiotu zbiorowego, sankcje mogą być bardzo dotkliwe!

Ustawodawca wyróżnił dwa rodzaje sankcji – kary oraz pozostałe środki.

Kary

Orzekając karę, sąd może:

• nałożyć karę finansową,

• orzec o rozwiązaniu podmiotu zbiorowego.

Kara pieniężna orzekana jest w wysokości od 30 tysięcy do 30 milionów złotych z uwzględnieniem okoliczności sprawy i wagi naruszenia. Z kolei rozwiązanie podmiotu jest możliwe, jeżeli służył on do popełnienia czynu zabronionego zagrożonego karą pozbawienia wolności na czas nie krótszy od 5 lat, a jego dalsze funkcjonowanie zagraża obrotowi gospodarczemu.

Karę można orzec samodzielnie lub w połączeniu z sankcjami innego rodzaju, jeżeli jest to uzasadnione.

Pozostałe środki

Katalog pozostałych sankcji został wskazany w art. 16 ustawy i obejmuje aż 11 punktów. Wśród nich znajduje się m.in.:

• przepadek mienia lub korzyści majątkowych albo ich równowartości,

• zakaz promocji lub reklamy działalności, wytwarzanych lub sprzedawanych wyrobów, świadczonych usług lub udzielanych świadczeń,

• zakaz ubiegania się o zamówienia publiczne,

• zakaz korzystania z dotacji, subwencji lub innych form wsparcia finansowego ze środków publicznych,

• stałe albo czasowe zamknięcie oddziału podmiotu zbiorowego.