W związku z możliwymi problemami z organizowaniem procesów z obszaru przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (dalej „AML/CFT”) wewnątrz instytucji obowiązanych, będących członkami grupy kapitałowej oraz z korzystaniem usług podmiotów trzecich w zakresie stosowania środków bezpieczeństwa finansowego w świetle przepisów ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. z 2021 poz. 1132 z poźn. zm., dalej „ustawa AML”) Generalny Inspektor Informacji Finansowej (zwany dalej „GIIF” ) informuje:

1. Obowiązek objęcia procedurą grupową, o której mowa w art. 51 ust 1 ustawy AML obejmuje tylko sytuacje gdy w skład grupy wchodzą co najmniej:

- dwa podmioty, które są instytucjami obowiązanymi w rozumieniu ustawy AML  lub instytucja obowiązana i jednostka zależna z większościowym udziałem tej instytucji obowiązanej, która podlega obowiązkom z obszaru AML/CFT w kraju swojej siedziby, lub

- instytucja obowiązana i jej oddział w państwie trzecim.

2. Procedura grupowa musi zawierać elementy obowiązkowe dotyczące wymiany i ochrony informacji przekazywanych na potrzeby wykonywania obowiązków z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu pomiędzy podmiotami, na które są nałożone obowiązki z obszaru AML/CFT, wchodzącymi w skład grupy oraz może zawierać elementy fakultatywne. To jakie elementy fakultatywne mogą znaleźć się w procedurze będzie zależeć od podmiotów (na które są nałożone obowiązki z obszaru AML/CFT) wchodzących w skład grupy i charakteru ich działalności.
3. Niezwłocznie w rozumieniu art. 47 ust 1 ustawy AML oznacza na bieżąco, natychmiast lub od ręki.
4. Instytucje obowiązane, które chcą korzystać lub korzystają przy stosowaniu środków bezpieczeństwa  finansowego z usług podmiotów trzecich muszą stale monitorować zmiany na listach państw wysokiego ryzyka prowadzonych przez The Financial Action Task Force (on Money Laundering) (dalej „FATF”), organizacje i organy powiązane z FATF oraz na listach Komisji Europejskiej.

 

Ad 1

Redakcja art. 51 ust 1 ustawy AML może wskazywać, że procedurą grupową mają być objęte wszystkie podmioty należące do grupy, niezależnie od tego jaki mają status z perspektywy przepisów AML/CFT[1]. Jako, że procedura grupowa ma na celu przeciwdziałanie praniu pieniędzy i finansowaniu terroryzmu zasadne jest, aby objęte nią były tylko te podmioty, które mają obowiązki w tym obszarze, czyli instytucje obowiązane w rozumieniu ustawy AML oraz podmioty z siedzibą w krajach trzecich, prowadzące działalność odpowiadającą działalności podmiotów zobowiązanych zdefiniowanych w przepisach UE. Oznacza to, że jeśli w ramach grupy obejmującej wyłącznie podmioty krajowe, funkcjonuje tylko jeden podmiot, który ma charakter instytucji obowiązanej (inne podmioty grupy nie mają takiego statusu) to nie jest wymagane wprowadzanie procedury grupowej, o której mowa w art. 51 ust 1 ustawy AML. Podobnie nie ma wymogu wprowadzania procedury grupowej, gdy w skład grupy wchodzi instytucja obowiązana oraz podmioty zależne z siedzibą w państwie trzecim, które nie prowadzą działalności odpowiadającej działalności podmiotów zobowiązanych zdefiniowanych w przepisach UE.  Procedura grupowa powinna zostać stworzona, gdy:

- w grupie jest minimum jedna instytucja obowiązana oraz

- w grupie jest dodatkowo co najmniej jeden z podmiotów: inna instytucja obowiązana lub podmiot  prowadzący działalność odpowiadającą działalności podmiotów zobowiązanych zdefiniowanych w przepisach UE.

Procedura grupowa powinna zostać stworzona także gdy instytucja obowiązana utworzyła oddział w państwie trzecim.

 

Ad 2

Przepisy ustawy AML w sposób wąski określają zakres obowiązkowych elementów procedury grupowej. Nie oznacza to, że procedura taka nie może i nie powinna zawierać elementów dodatkowych zapewniających stosowanie wysokich i jednolitych standardów w zakresie AML/CFT w ramach grupy. Podobnie Rekomendacja 19 FATF, która dotyczy m.in. procedur grupowych (group-wide programmes), również ogranicza się do obowiązkowej zawartości procedury, jaką mają być postanowienia o trybie dzielenia się informacjami w ramach grupy. Nota wyjaśniająca do tej Rekomendacji FATF wskazuje także na dodatkowe elementy procedury grupowej. GIIF, idąc za wskazaniami wspomnianej noty uznaje, że w procedurze grupowej powinny znaleźć się także postanowienia dotyczące:

- tworzenia wewnętrznych polityk i procedur, które zapewnią wysokie standardy zatrudniania pracowników w podmiotach w ramach grupy,

- stałego programu szkolenia pracowników,

- powołania niezależnego audytu w grupie, który pozwoli na testowanie poszczególnych elementów systemu przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu funkcjonujących w podmiotach wchodzących w skład grupy.

Te postanowienia powinny być dostosowane do charakteru działalności podmiotów w ramach grupy.

Obowiązkowe postanowienia dotyczące wymiany informacji powinny obejmować postanowienia zapewniające zachowanie poufności i zapobiegające wyciekowi informacji.

 

Ad 3

Instytucja obowiązana może korzystać z usług, przy stosowaniu ustawowo określonych[2] środków bezpieczeństwa finansowego, tylko takiego podmiotu trzeciego, który umożliwia niezwłoczne przekazywanie niezbędnych informacji oraz dokumentów. W sytuacji gdy warunki techniczne po stronie instytucji obowiązanej nie pozwalają na to, aby niezwłocznie otrzymywała takie informacje lub dokumenty to nie może ona korzystać z usług podmiotów trzecich przy stosowaniu określonych środków bezpieczeństwa finansowego.

Niezwłoczność może być zapewniona poprzez zawarcie właściwej umowy pomiędzy instytucją obowiązaną, a podmiotem trzecim, która ureguluje zasady wymiany informacji i techniczne ustalenia, które pozwolą przekazywać informacje niezwłocznie. Jednocześnie zasadne jest wprowadzenie mechanizmów, które:

- będą w sposób właściwy chroniły przetwarzanie danych osobowych, które są przekazywane oraz,

- umożliwią zapewnienie niezwłoczności przekazywania danych w sytuacji, gdy podstawowa droga komunikacji pomiędzy instytucją obowiązaną i podmiotem trzecim ulegnie awarii oraz,

- zabezpieczą kanał komunikacji przed atakiem hakerskim.

Pojęcie niezwłoczności jest definiowane odmiennie w różnych aktach prawnych. W przypadku regulacji z art. 47 ust. 1 ustawy AML szybkość ma istotne znaczenie, co oznacza, że termin niezwłocznie w tym wypadku można interpretować jako natychmiast. Jest to uzasadnione tym, że często instytucja obowiązana korzystając z usług podmiotu trzeciego stoi na straży wejścia do systemu finansowego (pełni rolę określaną po angielsku jako gatekeeper) i w związku z tym, przed dopuszczeniem klienta do tego systemu musi otrzymać informację szybko, aby uwzględnić wynik stosowania środka bezpieczeństwa finansowego w swojej działalności.[3] Art. 47 ust 1 ustawy AML, zawierający słowo niezwłocznie, jest implementacją przepisu art. 27 Dyrektywy Parlamentu Europejskiego i Rady (UE) nr 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE, z siedzibą w Państwie Członkowskim UE (dalej „IV Dyrektywa AML”) w którym ustawodawca posługuję się pojęciem „immediately” co oznacza natychmiast lub od razu.

 

Ad 4

Zgodnie z art. 47 ust. 1 w zw. z art. 47 ust 3 i 4 ustawy AML instytucje obowiązane mogą korzystać z usług podmiotów trzecich przy stosowaniu ustawowo określonych środków bezpieczeństwa[4]. Te podmioty trzecie, z których usług można skorzystać to:

a) instytucje obowiązane zdefiniowane w ustawie AML,

b) podmioty zobowiązane, zdefiniowane w IV Dyrektywie AML, z siedzibą w państwie członkowskim UE

c) podmioty, odpowiadające definicji podmiotu zobowiązanego, zdefiniowanego w art. 2 IV Dyrektywy AML, z siedzibą w państwie trzecim innym niż państwo członkowskie UE  o ile:

1. przepisy tego państwa trzeciego, w którym ma siedzibę podmiot, zobowiązują go do stosowania środków bezpieczeństwa finansowego, przechowywania dokumentów i informacji na zasadach odpowiadających zasadom przewidzianym w UE dla przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu oraz
2. podmioty te podlegają nadzorowi organów państwa trzeciego, w którym podmiot ten ma siedzibę i ten nadzór odbywa się na zasadach odpowiadających nadzorowi przewidzianemu w prawie UE dla przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu

Zarówno w Polsce, jak i na poziomie UE nie funkcjonuje lista państw trzecich innych niż państwo członkowskie UE o ekwiwalentnym do UE systemie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, którą instytucja obowiązana może wykorzystać do oceny czy podmiot trzeci z siedzibą w państwie trzecim spełnia wymogi określone w art. 47 ust 3 pkt 2 in fine ustawy AML. W związku z powyższym to instytucja obowiązana, która będzie chciała korzystać z takich usług będzie musiała samodzielnie dokonać takiej oceny ekwiwalentności. W tym celu zasadnym może okazać się wprowadzenie w instytucji obowiązanej procedury wewnętrznej, która pozwoli na dokonanie takiej oceny. Jednocześnie należy wskazać, że instytucja obowiązana może korzystać pomocniczo z raportów przygotowywanych przez FATF i organizacje powiązane, które dokonują oceny systemów nadzorczych AML obowiązujących w poszczególnych krajach.

Jednocześnie przepisy ustawy AML przewidują, że nie będzie możliwości korzystania z usług świadczonych przez podmiot trzeci z siedzibą w państwie trzecim wysokiego ryzyka, chyba że spełniono warunki określone w art. 47 ust. 4 pkt 1 lub 2 ustawy AML. Określenie tego jakie państwa należą do kategorii państw trzecich wysokiego ryzyka wymaga sprawdzenia list państw wysokiego ryzyka funkcjonujących w FATF oraz rozporządzeń Komisji Europejskiej obejmujących takie listy państw. Instytucje obowiązane, korzystające z usług podmiotów trzecich przy stosowaniu określonych środków bezpieczeństwa finansowego powinny śledzić zmiany na tych listach.