Przepisy V Dyrektywy AML 2018/843 („V Dyrektywa”) przewidują wdrożenie przez każde z państw członkowskich systemu centralnej rejestracji danych osób lub podmiotów posiadających lub kontrolujących rachunki bankowe, płatnicze oraz skrytki depozytowe w instytucjach kredytowych, w celu zwiększenia efektywności nadzoru w obszarze AML/CFT.
Projekt ustawy o Systemie Informacji Finansowej („Projekt SInF”), która ma implementować przepisy V Dyrektywy we wskazanym zakresie jest procedowany od 2020 r. (Projekt – rcl.gov.pl [1]) Zakończenie prac nad Projektem SInF wstępnie planowane było na III kwartał bieżącego roku, termin ten jednak został przesunięty i obecnie przyjmowane jest, że raportowanie informacji w opisanym powyżej zakresie rozpocznie się nie wcześniej niż w I kwartale 2023 r.
SInF – zakres przedmiotowy
Zgodnie z obecnym brzmieniem Projektu SInF, centralna rejestracja objąć ma dane nie tylko o posiadaczach i kontrolujących (zgodnie z V Dyrektywą) rachunki bankowe, rachunki w spółdzielczych kasach oszczędnościowo-kredytowych, rachunki płatnicze czy skrytki sejfowe (również, jeśli usługa ta jest oferowana przez podmiot inny niż bank krajowy czy instytucja kredytowa), ale również:
- rachunki papierów wartościowych, rachunki derywatów, rachunki zbiorcze oraz
- rachunki pieniężne prowadzone przez firmy inwestycyjne.
Co więcej, obowiązki dotyczące zgłaszania danych o posiadaczach i kontrolujących rachunki mają mieć odpowiednie zastosowanie do przechowywania przedmiotów i papierów wartościowych, co w zamyśle projektodawcy oznacza objęcie centralną rejestracją danych również danych klientów podmiotu świadczącego usługę depozytową w zakresie materialnych papierów wartościowych (posiadających formę dokumentu).
Zgodnie z uzasadnieniem dla tak szerokiego ujęcia (wykraczającego poza V Dyrektywę) było założenie, że rachunki papierów wartościowych, rachunki zbiorcze oraz służące do ich obsługi rachunki pieniężne, a także fundusze inwestycyjne, mogą służyć ukrywaniu mienia pochodzącego z czynów zabronionych w analogicznym stopniu jak rachunki płatnicze, czy skrytki depozytowe.
Poza regulacją Projektu SInF natomiast pozostawiono rejestrację instrumentów finansowych, która dokonywana jest lub miałaby być w formie innej niż poprzez dematerializację na zasadach określonych w ustawie o obrocie instrumentami finansowymi (na rachunkach papierów wartościowych, rachunkach derywatów i rachunkach zbiorczych), co zwłaszcza w kontekście coraz bardziej powszechnie wykorzystywanej na rynkach finansowych technologii DLT, wydaje się podważać racjonalność tego rozwiązania.
Przesyłanie danych do SInF
Pomysł na działanie SInF polega na wykorzystaniu używanego już przez KAS systemu STIR (system teleinformatyczny izby rozliczeniowej), który służy do przekazywania danych, informacji i żądań pomiędzy Szefem KAS a bankami i spółdzielczymi kasami oszczędnościowo-kredytowymi.
W oparciu o Projekt SInF przekazywanie danych ma się odbywać w ten sposób, że instytucje obowiązane mają przekazywać dane do STIR (i te, których przekazanie jest już obecnie obowiązkowe na postawie Ordynacji podatkowej i te wymagane na postawie Projektu SInF), a pracownicy wyznaczeni przez Szefa KAS, będą wyodrębniać odpowiednie dane i przesyłać je do SInF. Ten schemat działania ma zapobiegać sytuacjom, w których instytucje zobowiązane musiałyby przekazywać te same dane do dwóch systemów – STIR i SInF.
Zakres danych przekazywanych do SInF
Zgodnie z art. 11 Projektu Ustawy o SInF do rejestru mają być przekazywane informacje o:
- otwarciu rachunku albo zawarciu umowy o udostępnienie skrytki sejfowej,
- zmianie informacji, oraz
- zamknięciu rachunku albo zakończeniu obowiązywania umowy o udostępnienie skrytki sejfowej.
Projekt SInF określa szczegółowy zakres danych, jakie powinny być przekazane w ramach informacji o otwarciu rachunku albo zawarciu umowy o udostępnienie skrytki sejfowej. Zakres informacji objętych obowiązkiem zgłaszania do SInF jest znacząco szerszy niż przewidziany w V Dyrektywie i choć sama dyrektywa zawiera w tym zakresie tzw. opcję narodową (pozwala państwom członkowskim na pewne modyfikacje w uzasadnionych przypadkach), to jednak podejście proponowane w Projekcie SInF wydaje się być wciąż zbyt daleko idące. W szczególności, krytykowany w toku prac legislacyjnych przez Prezesa UODO i RCL, obowiązek przekazywania szczegółowych danych teleadresowych posiadacza rachunku (numeru telefonu i adresu poczty elektronicznej) budzi istotne zastrzeżenia co do swojej zasadności, zwłaszcza w kontekście dostępu do aktualnych danych tego typu przez instytucję zobowiązaną, co jednak po wejściu w życie projektowanych przepisów będzie musiało być zapewnione wobec zagrożenia karą pieniężną w maksymalnej wysokości 1.500.000 PLN (za nieprzekazanie informacji, przekazanie informacji nieaktualnych lub za brak aktualizacji).
Wdrożenie SInF
Biorąc pod uwagę planowany termin wdrożenia planowanych rozwiązań oraz zakres ich stosowania (system ma objąć również rachunki prowadzone przez firmy inwestycyjne, ale wyłącznie w ramach systemu depozytowego papierów wartościowych), jak również krótkie terminy na przekazanie informacji co do rachunków prowadzonych w dniu wejścia w życie projektowanych obecnie przepisów, instytucje zobowiązane powinny już teraz przygotować się na wejście w życie projektowanej regulacji.
Przygotowanie instytucji zobowiązanej do spełnienia obowiązków wynikających z Projektu SInF będzie musiało łączyć działania w sferze operacyjnej, informatycznej, ale również może wymagać dostosowania pewnych regulacji wewnętrznych a nawet dokumentacji kontraktowej stosowanej w relacjach z klientami (na przyszłość) i uzupełnienia/aktualizacji danych o klientach, dla których prowadzone są obecnie rachunki.
Informacje o rachunkach otwartych po dacie wejścia w życie nowych przepisów
Banki będą musiały rozpocząć przekazywanie informacji po 2 miesiącach, nie później jednak niż 3 miesiące po wejściu w życie projektowanych przepisów o SInF (co daje maksymalnie 3,5 miesiąca uwzględniając 14 dniowe vacatio legis).
Firmy inwestycyjne oraz małe instytucje płatnicze będą musiały rozpocząć przekazywanie informacji po 7 miesiącach, nie później jednak niż 9 miesięcy od dnia wejścia w życie projektowanych przepisów o SInF.
Instytucje płatnicze (z wyłączeniem małej instytucji płatniczej) oraz instytucje pieniądza elektronicznego będą musiały rozpocząć przekazywanie informacji po 4 miesiącach, nie później jednak niż 6 miesięcy od dnia wejścia w życie projektowanych przepisów o SInF.
Po rozpoczęciu przekazywania. dane będą musiały być przekazywane w terminach określonych w Projekcie SInF, a więc w ciągu 3 dni od zdarzenia (zawarcia umowy, zmiany danych).
Informacje o rachunkach/umowach prowadzonych/zawartych przed dniem wejścia w życie nowych przepisów
Najtrudniejsze organizacyjnie będzie zrealizowanie obowiązku przekazania danych zgromadzonych przed wejściem w życie projektowanych przepisów. W szczególności trudność może dotyczyć tych danych, które mają formę uniemożliwiającą ich automatyczne przetwarzanie w systemach teleinformatycznych. Projekt SInF wprowadza zasadę, że jeśli dana informacja nie zmieści się w katalogu ustawowym (o czym mowa poniżej), to nawet jeśli jej przekazanie wymagałoby uprzedniej zmiany formy, to instytucja zobowiązana nie korzysta w tym zakresie z wydłużonego terminu i przekazanie powinno nastąpić w terminie 30 dni od dnia rozpoczęcia przekazywania danych przez instytucję.
Katalog informacji, co do których Projekt SInF przyznaje instytucjom zobowiązanym dłuższy termin na przekazanie – 6 miesięcy od rozpoczęcia przekazywania danych, obejmuje dane dotyczące umów w zakresie przechowywania papierów wartościowych w formie dokumentu oraz w pozostałym zakresie wyraźnie wskazane dane takie, jak m.in. dane identyfikacyjne pełnomocnika, adres korespondencyjny posiadacza rachunku i pełnomocnika a także ich numery telefonu i adresy e-mail.
Informacje o rachunkach otwartych po wejściu w życie nowych przepisów, ale przed rozpoczęciem raportowania
Informacje pozyskane w okresie od wejścia w życie nowych przepisów do dnia poprzedzającego dzień rozpoczęcia przekazywania informacji będą musiały być przekazane w terminie 30 dni od dnia rozpoczęcia przekazywania informacji.
Dostęp do informacji zgromadzonych w SInF
Informacje z SInF będą wykorzystywane na potrzeby realizacji zadań ustawowych sądów, prokuratury, właściwych służb – Policji, Centralnego Biura Antykorupcyjnego, Agencji Bezpieczeństwa Wewnętrznego, Agencji Bezpieczeństwa Wewnętrznego, Służby Kontrwywiadu Wojskowego, Agencji Wywiadu, Służby Wywiadu Wojskowego, Żandarmerii Wojskowej, Straży Granicznej, Generalnego Inspektora Informacji Finansowej, Krajowej Administracji Skarbowej, Służby Ochrony Państwa, Inspektora Nadzoru Wewnętrznego, Krajowego Centrum Informacji Kryminalnych oraz Komisji Nadzoru Finansowego.
Znaczyć należy, że w ramach tych podmiotów upoważnieni do uzyskiwania informacji będą szefowie/komendanci/dyrektorzy, a dopiero te osoby udzielać będą dalszych upoważnień swoim pracownikom/funkcjonariuszom/żołnierzom. Ten schemat przyznawania dostępu do danych, a przy tym i upoważnienia do przetwarzania danych osobowych, budzi wątpliwości w zakresie jego zgodności z prawem. Szef KAS, jako administrator powinien wyrazić zgodę na przetwarzanie danych przez osoby, którym podmioty upoważnione udzieliły dalszych upoważnień na co zwracał uwagę Prezes UODO w toku procesu legislacyjnego. Pozostaje mieć nadzieję, że uwaga ta zostanie uwzględniona na dalszym etapie prac nad Projektem SInF.
Przypisy:
[1] Tytuł dokumentu to: „załącznik do protokołu projekt.docm”.
