Wyjaśniamy, jak wywiązać się z nowych regulacji przeciwko praniu pieniędzy

Od 13 lipca 2018 obowiązuje nowa ustawa o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Jakie są przewidziane kary za niestosowanie się do przepisów?

Kary administracyjne mogą wynosić nawet do 20 mln zł lub 10% obrotu w ostatnim roku. W przypadku osób prawnych kary mogą być nakładane nie tylko na jednostkę − członkom zarządu grozi bowiem kara do 1 mln zł. Ustawa przewiduje też sankcje karne.

Warto więc przeanalizować nowe regulacje, aby wiedzieć, czy i jakie obowiązki ciążą na podmiotach zobowiązanych.

Założenia ustawy polegają na tym, że to przedsiębiorca (podmiot obowiązany) powinien dokonywać sprawdzenia i analizy przeprowadzanych transakcji. Podpowiadamy, jak dobrze wywiązać się z nowych przepisów.

Podstawową kwestią jest ustalenie, jakie podmioty zobowiązane są do stosowania ustawy. W tym celu ustawa posługuje się pojęciem „instytucji obowiązanej”. W art. 2 ustawy scharakteryzowano dokładnie te podmioty. Oprócz typowych instytucji finansowych, czyli banków, SKOK-ów, instytucji  płatniczych, ustawa znajduje zastosowanie także do mniejszych podmiotów.

Nowe przepisy muszą stosować z zasady też m.in. biura rachunkowe, biegli rewidenci, doradcy podatkowi, pośrednicy w obrocie nieruchomościami, notariusze, radcowie prawni, adwokaci, przedsiębiorcy prowadzący działalność kantorową.

Do tej grupy zaliczono też fundacje ustanowione na podstawie ustawy z 6 kwietnia 1984 r. o fundacjach  w zakresie, w jakim przyjmują lub dokonują płatności w gotówce o wartości równej lub przekraczającej równowartość 10.000 euro. Nie ma tu znaczenia to, czy płatność jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane. A także stowarzyszenia posiadające osobowość prawną, utworzone na podstawie ustawy z 7 kwietnia 1989 r. − Prawo o stowarzyszeniach w zakresie, w jakim przyjmują lub dokonują płatności w gotówce o wartości równej lub przekraczającej równowartość 10.000 euro, bez względu na to, czy płatność jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane.

Do podmiotów zobowiązanych zaliczono także przedsiębiorców w określonych sytuacjach. A więc każda spółka czy osoba fizyczna prowadząca działalność gospodarczą musi wiedzieć, kiedy stanie się podmiotem zobowiązanym.

Nowa ustawa wprawdzie odwołuje się do przedsiębiorcy w rozumieniu ustawy z 2 lipca 2004 r. o swobodzie działalności gospodarczej, ale w praktyce dotyczy aktualnego stanu prawnego, czyli wszystkich przedsiębiorców prowadzących działalność w rozumieniu ustawy z 6 marca 2018 r. − Prawo przedsiębiorców.

Przedsiębiorcy będą podmiotami obowiązanymi, gdy świadczą usługi polegające na:

• tworzeniu osoby prawnej lub jednostki organizacyjnej nieposiadającej osobowości prawnej,
• pełnieniu funkcji członka zarządu lub umożliwianiu innej osobie pełnienia tej funkcji lub podobnej funkcji osobie prawnej lub jednostce organizacyjnej nieposiadającej osobowości prawnej,
• zapewnianiu siedziby, adresu prowadzenia działalności lub adresu korespondencyjnego oraz innych pokrewnych usług osobie prawnej lub jednostce organizacyjnej nieposiadającej osobowości prawnej,
• działaniu lub umożliwieniu innej osobie działania, jako powiernik trustu, który powstał w drodze czynności prawnej,
• działaniu lub umożliwieniu innej osobie działania, jako osoba wykonująca prawa z akcji lub udziałów na rzecz podmiotu innego niż spółka notowana na rynku regulowanym podlegającym wymogom dotyczącym ujawniania informacji zgodnie z prawem Unii Europejskiej lub podlegająca równoważnym standardom międzynarodowym.

Pamiętaj, że niestosowanie przepisów ustawy będzie oznaczało wysokie kary.

Obowiązki ciążące na podmiotach obowiązanych dotyczą przede wszystkim monitorowania transakcji i ustalania ich rzeczywistych stron czy analizy transakcji pod kątem ich możliwych powiązań z praniem brudnych pieniędzy lub finansowaniem terroryzmu. Szczególne obowiązki odnosić się będą do transakcji, których równowartość wynosi co najmniej 15.000 euro lub, w odniesieniu do transakcji gotówkowych − 10.000 euro. Przy czym rozbicie płatności na kilka transz nie będzie miało wpływu na sumaryczną wartość transakcji.

Przeliczenia kwot wyrażonych w ustawie w euro dokonuje się według średniego kursu waluty ogłoszonego przez NBP, obowiązującego w dniu przeprowadzania transakcji, w dniu zlecenia przeprowadzenia transakcji lub w dniu wydania decyzji o nałożeniu kary pieniężnej.

Wszystkie instytucje obowiązane wyznaczają kadrę kierowniczą wyższego szczebla odpowiedzialną za wykonywanie obowiązków określonych w nowej ustawie. Przepisy wskazują, że:

 ·         w przypadku instytucji obowiązanej, w której działa zarząd lub inny organ zarządzający, wyznacza się spośród członków tego organu osobę odpowiedzialną za wdrażanie obowiązków (art. 7),

 ·         instytucje obowiązane wyznaczają pracownika zajmującego kierownicze stanowisko odpowiedzialnego za zapewnienie zgodności działalności instytucji obowiązanej oraz jej pracowników i innych osób wykonujących czynności na rzecz tej instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu. Wyznaczony pracownik jest również odpowiedzialny za przekazywanie w imieniu instytucji obowiązanej zawiadomień wynikających z ustawy (art. 8),

 ·         w przypadku instytucji obowiązanych prowadzących działalność jednoosobowo zadania kadry kierowniczej wyższego szczebla oraz pracownika, o których mowa w art. 6 i art. 8, wykonuje osoba prowadząca tę działalność (art. 9).

Generalną zasadą nowej ustawy jest obowiązek stosowania przez instytucje obowiązane środków bezpieczeństwa finansowego wobec swoich klientów. Instytucje obowiązane rozpoznają ryzyko prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz oceniają poziom rozpoznanego ryzyka. Założeniem nowej ustawy jest bowiem oddolne działanie instytucji obowiązanych, które same powinny rozpoznawać ryzyko prania pieniędzy, finansowania terroryzmu, dostosowywać do niego odpowiednie środki i dokumentować fakt prowadzenia analizy.

Instytucja obowiązana ma obowiązek stosowania środków bezpieczeństwa finansowego zarówno w przypadku stałej współpracy gospodarczej, jak i transakcji okazjonalnej w przypadku określonym w art. 25 ust. 1 pkt 2 ustawy, czyli gdy przeprowadzają transakcję okazjonalną o równowartości 15.000 euro lub większej, bez względu na to, czy transakcja jest przeprowadzana jako pojedyncza operacja, czy kilka operacji, które wydają się ze sobą powiązane. Przy czym w rozumieniu ustawy przez przeprowadzanie transakcji rozumie się wykonanie przez instytucję obowiązaną dyspozycji lub zlecenia wydanych przez klienta lub osobę działającą w jego imieniu.

Zgodnie z nową ustawą środki bezpieczeństwa obejmują:

1) identyfikację klienta oraz weryfikację jego tożsamości;

2) identyfikację beneficjenta rzeczywistego oraz podejmowanie uzasadnionych czynności w celu:

a) weryfikacji jego tożsamości,

b) ustalenia struktury własności i kontroli − w przypadku klienta będącego osobą prawną albo jednostką organizacyjną nieposiadającą osobowości prawnej;

3) ocenę stosunków gospodarczych i, stosownie do sytuacji, uzyskanie informacji na temat ich celu i zamierzonego charakteru;

4) bieżące monitorowanie stosunków gospodarczych klienta, w tym:

a) analizę transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą instytucji obowiązanej o kliencie, rodzaju i zakresie prowadzonej przez niego działalności oraz zgodne z ryzykiem prania pieniędzy oraz finansowania terroryzmu związanym z tym klientem,

b) badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta − w przypadkach uzasadnionych okolicznościami,

c) zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.

Z punktu widzenia krajowych podmiotów wymóg monitorowania transakcji powyżej 15.000 euro nie jest trudny do realizacji, ze względu bowiem na regulacje wynikające z przepisów o PIT obecnie przedsiębiorcy starają się nie dokonywać rozliczeń gotówkowych, których wysokość wynosi co najmniej 15.000 zł. Niestety zaniechanie rozliczeń gotówkowych powyżej progu wynikającego z ustawy nie jest wystarczającym sposobem na unikanie powinności instytucji obowiązanych wynikających z ustawy.

Dodatkowo środki bezpieczeństwa finansowego powinny być stosowane niezależnie od wartości przeprowadzanej transakcji w przypadku podejrzenia prania pieniędzy lub finansowania terroryzmu lub wątpliwości co do prawdziwości lub kompletności dotychczas uzyskanych danych identyfikacyjnych klienta. Instytucje obowiązane muszą stosować środki bezpieczeństwa finansowego także w odniesieniu do klientów, z którymi utrzymują stosunki gospodarcze, z uwzględnieniem rozpoznanego ryzyka prania pieniędzy oraz finansowania terroryzmu, w szczególności, gdy doszło do zmiany uprzednio ustalonego charakteru lub okoliczności stosunków gospodarczych (art. 35 ust. 2 ustawy). Oznacza to, że ustawa w pierwszej kolejności określa próg przeprowadzanych transakcji na równowartośćco najmniej 15.000 euro jako graniczny do stosowania środków bezpieczeństwa finansowego. Ponadto nakłada na instytucje obowiązane powinność monitorowania zarówno incydentalnych (pojedynczych) transakcji z kontrahentami, jak i, co do zasady, umów zawieranych w ramach stałej współpracy gospodarczej.

Podstawowym zadaniem instytucji obowiązanych jest rozpoznanie ryzyka prania pieniędzy oraz finansowania terroryzmu związane ze stosunkami gospodarczymi lub z transakcją okazjonalną oraz ocena poziomu rozpoznanego ryzyka. Do należytego stosowania ustawy nie jest wystarczające wdrożenie w przedsiębiorstwie określonych procedur, ale także ich dokumentowanie. Dokumentacja rozpoznania ryzyka powinna uwzględniać ocenę transakcji, uwzględniając m.in. czynniki określone w art. 33 ust. 3 ustawy, jak przede wszystkim:

1) rodzaj klienta,

2) obszar geograficzny,

3) przeznaczenie rachunku,

4) rodzaj produktów, usług i sposobów ich dystrybucji,

5) poziom wartości majątkowych deponowanych przez klienta lub wartości przeprowadzonych transakcji,

6) cel, regularność lub czas trwania stosunków gospodarczych.

Stosując przepisy o identyfikacji klienta, należy dokonać identyfikacji jego tożsamości, np. przez sprawdzenie jego dowodu osobistego czy paszportu. Powinna obejmować dane wskazane w art.36 ust. 1 ustawy.

Tabela. Dane, które trzeba zweryfikować, identyfikując klienta

W przypadku działania przez pełnomocników istotne jest również sprawdzenie ich pełnomocnictw i tożsamości.

W przypadku gdy drugą stroną transakcji nie jest osoba fizyczna, należy ustalić tzw. beneficjenta rzeczywistego. Jest to osoba fizyczna lub osoby fizyczne sprawujące bezpośrednio lub pośrednio kontrolę nad klientem przez posiadane uprawnienia.

Kolejne etapy identyfikacji klienta to ocena jego stosunków gospodarczych i, stosownie do sytuacji, uzyskanie informacji na temat ich celu i zamierzonego charakteru oraz bieżące monitorowanie stosunków gospodarczych klienta (art. 34 ustawy). Polegają np. na analizie transakcji przeprowadzanych przez klienta lub badaniu źródła pochodzenia jego środków majątkowych. Wydźwięk tych przepisów jest bardzo restrykcyjny i sprawia wrażenie konieczności monitorowania nie tylko sytuacji gospodarczej kontrahenta, ale także źródeł jego finansowania. Należy jednak wskazać, że w przypadku większości przedsiębiorców podstawowe obowiązki sprowadzać się będą do weryfikacji tożsamości klienta i ustalenia beneficjenta rzeczywistego. Jednak podmioty posiadające znacznie większą wiedzę o kliencie, np. banki, instytucje finansowe, powinny stosować dalej idące środki bezpieczeństwa finansowego.

Ponadto zgodnie z art. 34 ust. 6 przetwarzanie informacji o beneficjentach rzeczywistych przez instytucje obowiązane odbywa się bez wiedzy osób, których informacje te dotyczą.

W przypadku gdy instytucja obowiązana nie może zastosować jednego ze środków bezpieczeństwa finansowego, to:

• nie nawiązuje stosunków gospodarczych;
• nie przeprowadza transakcji okazjonalnej;
• nie przeprowadza transakcji za pośrednictwem rachunku bankowego;
• rozwiązuje stosunki gospodarcze.

Instytucje obowiązane muszą zadbać o dokumentowanie prowadzonej oceny ryzyka i podejmowanych środków bezpieczeństwa. Ustawa nie wskazuje, w jaki sposób to robić, pozostawiając w tym zakresie swobodę przedsiębiorcy.

Oznacza to, że np. ocena ryzyka może być wykonywana i utrwalana za pośrednictwem programów informatycznych. Dokumentacja oceny ryzyka może być też prowadzona w formie papierowej czy w arkuszu kalkulacyjnym.

Jeśli są wątpliwości, czy transakcje mają charakter operacji powiązanych, należy w ich przypadku stosować środki bezpieczeństwa finansowego.

Dokumentację dotyczącą oceny ryzyka należy przechowywać przez okres co najmniej 5 lat liczony od roku następnego po roku, w którym zakończono współpracę z kontrahentem.

Jednak powierzenie stosowania środków bezpieczeństwa finansowego na zasadach określonych wyżej nie zwalnia instytucji obowiązanej z odpowiedzialności za zastosowanie środków bezpieczeństwa finansowego.

Instytucje obowiązane przechowują przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku, w którym zakończono stosunki gospodarcze z klientem lub w którym przeprowadzono transakcje okazjonalne:

1) kopie dokumentów i informacje uzyskane w wyniku stosowania środków bezpieczeństwa finansowego;

2) dowody potwierdzające przeprowadzone transakcje i ewidencje transakcji, obejmujące oryginalne dokumenty lub kopie dokumentów konieczne do identyfikacji transakcji.

Wyniki analiz oceny ryzyka są przechowywane przez okres 5 lat, licząc od pierwszego dnia roku następującego po roku ich przeprowadzenia.

Instytucje obowiązane wprowadzają wewnętrzną procedurę w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Musi być zaakceptowana przez kadrę kierowniczą wyższego szczebla. Ustawa wskazuje, że procedura taka powinna zawierać opisy:

• czynności lub działań podejmowanych w celu ograniczenia ryzyka prania pieniędzy oraz finansowania terroryzmu i właściwego zarządzania zidentyfikowanym ryzykiem prania pieniędzy lub finansowania terroryzmu;
• zasad rozpoznawania i oceny ryzyka prania pieniędzy oraz finansowania terroryzmu związanego z danymi stosunkami gospodarczymi lub transakcją okazjonalną, w tym zasad weryfikacji i aktualizacji uprzednio dokonanej oceny ryzyka prania pieniędzy oraz finansowania terroryzmu;
• środków stosowanych w celu właściwego zarządzania rozpoznanym ryzykiem prania pieniędzy lub finansowania terroryzmu związanym z danymi stosunkami gospodarczymi lub transakcją okazjonalną;
• zasad stosowania środków bezpieczeństwa finansowego;
• zasad przechowywania dokumentów oraz informacji;
• zasad wykonywania obowiązków obejmujących przekazywanie Generalnemu Inspektorowi informacji o transakcjach oraz zawiadomieniach;
• zasad upowszechniania wśród pracowników instytucji obowiązanej wiedzy z zakresu przepisów o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu;
• zasad zgłaszania przez pracowników rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu;
•  zasad kontroli wewnętrznej lub nadzoru zgodności działalności instytucji obowiązanej z przepisami o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu oraz zasadami postępowania określonymi w wewnętrznej procedurze.

Nie jest to jedyna procedura wymagana przez nową ustawę. Instytucje obowiązane opracowują i wdrażają wewnętrzną procedurę anonimowego zgłaszania przez pracowników lub inne osoby wykonujące czynności na rzecz instytucji obowiązanej rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu. Powinna wskazywać

• osobę odpowiedzialną za odbieranie zgłoszeń;
• sposób odbierania zgłoszeń;
• sposób ochrony pracownika dokonującego zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym, dyskryminacją lub innymi rodzajami niesprawiedliwego traktowania;
• sposób ochrony danych osobowych pracownika dokonującego zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych;
• zasady zachowania poufności w przypadku ujawnienia tożsamości osób, o których mowa wyżej, lub gdy ich tożsamość jest możliwa do ustalenia;
• rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia;
• termin usunięcia przez instytucje obowiązane danych osobowych zawartych w zgłoszeniach.

Podobnie jak w poprzednim stanie prawnym instytucje obowiązane mają zapewniać udział osób wykonujących obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu w programach szkoleniowych dotyczących realizacji tych obowiązków. Szkolenia takie powinny uwzględniać charakter, rodzaj i rozmiar działalności prowadzonej przez instytucję obowiązaną oraz zapewniać aktualną wiedzę w zakresie realizacji obowiązków instytucji obowiązanej (art. 51 ustawy).

Ustawa nakazuje zgłoszenie w ciągu 7 dni do Generalnego Inspektora Informacji Finansowej danych o:

• przyjętej wpłacie lub dokonanej wypłacie środków pieniężnych o równowartości przekraczającej 15.000 euro;
• wykonanym transferze środków pieniężnych o równowartości przekraczającej 15.000 euro, z pewnymi wyjątkami;
• przeprowadzonej transakcji kupna lub sprzedaży wartości dewizowych, której równowartość przekracza 15.000 euro, albo o pośredniczeniu w przeprowadzeniu takiej transakcji.

 Poza tym spółki muszą zgłaszać, kto jest rzeczywistym beneficjentem. Do zgłaszania informacji o beneficjentach rzeczywistych i ich aktualizacji są obowiązane:

1) spółki jawne;

2) spółki komandytowe;

3) spółki komandytowo-akcyjne;

4) spółki z ograniczoną odpowiedzialnością;

5) spółki akcyjne, z wyjątkiem spółek publicznych w rozumieniu ustawy z 29 lipca 2005 r. o ofercie publicznej i warunkach wprowadzania instrumentów finansowych do zorganizowanego systemu obrotu oraz o spółkach publicznych.

Informacje te są gromadzone w Centralnym Rejestrze Beneficjentów Rzeczywistych, który jest systemem teleinformatycznym służącym przetwarzaniu informacji o beneficjentach rzeczywistych spółek. Dane do rejestru są zgłaszane nie później niż w terminie 7 dni od dnia wpisu spółek wymienionych w art. 58 do Krajowego Rejestru Sądowego, a w przypadku zmiany przekazanych informacji − w terminie 7 dni od ich zmiany. Do biegu tych terminów nie wlicza się sobót i dni ustawowo wolnych od pracy.

Oczywiście instytucja obowiązana zawiadamia Generalnego Inspektora o okolicznościach, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu.  Zawiadomienie jest przekazywane niezwłocznie, nie później jednak niż w terminie 2 dni roboczych od dnia potwierdzenia przez instytucję obowiązaną podejrzenia.

Z punktu widzenia podmiotów zobowiązanych do stosowania nowych przepisów, czyli tzw. instytucji obowiązanych, istotna jest  wysokość kar za niestosowanie nowych przepisów.

Kary administracyjne mogą wynosić nawet do 20 mln zł lub 10% obrotu w ostatnim roku. W przypadku osób prawnych kary mogą być nakładane nie tylko na jednostkę − członkom zarządu grozi bowiem kara do 1 mln zł.

Ustawa przewiduje też sankcje karne. Zgodnie z art. 156 ustawy, kto, działając w imieniu lub na rzecz instytucji obowiązanej:

• nie dopełnia obowiązku przekazania Generalnemu Inspektorowi zawiadomienia o okolicznościach, które mogą wskazywać na podejrzenie popełnienia przestępstwa prania pieniędzy lub finansowania terroryzmu, lub obowiązku przekazania Generalnemu Inspektorowi zawiadomienia o powzięciu uzasadnionego podejrzenia, że określona transakcja lub wartości majątkowe będące przedmiotem tej transakcji mogą mieć związek z praniem pieniędzy lub finansowaniem terroryzmu,
• przekazuje Generalnemu Inspektorowi nieprawdziwe lub zataja prawdziwe dane dotyczące transakcji, rachunków lub osób,

podlega karze pozbawienia wolności od 3 miesięcy do lat 5.