System Informacji Finansowej

System Informacji Finansowej

Czytaj: 5 min

Przepisy V Dyrektywy AML 2018/843 („V Dyrektywa”) przewidują wdrożenie przez każde z państw członkowskich systemu centralnej rejestracji danych osób lub podmiotów posiadających lub kontrolujących rachunki bankowe, płatnicze oraz skrytki depozytowe w instytucjach kredytowych, w celu zwiększenia efektywności nadzoru w obszarze AML/CFT.

Projekt ustawy o Systemie Informacji Finansowej („Projekt SInF”), która ma implementować przepisy V Dyrektywy we wskazanym zakresie jest procedowany od 2020 r. (Projekt – rcl.gov.pl [1]) Zakończenie prac nad Projektem SInF wstępnie planowane było na III kwartał bieżącego roku, termin ten jednak został przesunięty i obecnie przyjmowane jest, że raportowanie informacji w opisanym powyżej zakresie rozpocznie się nie wcześniej niż w I kwartale 2023 r.

SInF – zakres przedmiotowy

Zgodnie z obecnym brzmieniem Projektu SInF, centralna rejestracja objąć ma dane nie tylko o posiadaczach i kontrolujących (zgodnie z V Dyrektywą) rachunki bankowe, rachunki w spółdzielczych kasach oszczędnościowo-kredytowych, rachunki płatnicze czy skrytki sejfowe (również, jeśli usługa ta jest oferowana przez podmiot inny niż bank krajowy czy instytucja kredytowa), ale również:

  • rachunki papierów wartościowych, rachunki derywatów, rachunki zbiorcze oraz
  •  rachunki pieniężne prowadzone przez firmy inwestycyjne.

Co więcej, obowiązki dotyczące zgłaszania danych o posiadaczach i kontrolujących rachunki mają mieć odpowiednie zastosowanie do przechowywania przedmiotów i papierów wartościowych, co w zamyśle projektodawcy oznacza objęcie centralną rejestracją danych również danych klientów podmiotu świadczącego usługę depozytową w zakresie materialnych papierów wartościowych (posiadających formę dokumentu).

Zgodnie z uzasadnieniem dla tak szerokiego ujęcia (wykraczającego poza V Dyrektywę) było założenie, że rachunki papierów wartościowych, rachunki zbiorcze oraz służące do ich obsługi rachunki pieniężne, a także fundusze inwestycyjne, mogą służyć ukrywaniu mienia pochodzącego z czynów zabronionych w analogicznym stopniu jak rachunki płatnicze, czy skrytki depozytowe.

Poza regulacją Projektu SInF natomiast pozostawiono rejestrację instrumentów finansowych, która dokonywana jest lub miałaby być w formie innej niż poprzez dematerializację na zasadach określonych w ustawie o obrocie instrumentami finansowymi (na rachunkach papierów wartościowych, rachunkach derywatów i rachunkach zbiorczych), co zwłaszcza w kontekście coraz bardziej powszechnie wykorzystywanej na rynkach finansowych technologii DLT, wydaje się podważać racjonalność tego rozwiązania.

Przesyłanie danych do SInF

Pomysł na działanie SInF polega na wykorzystaniu używanego już przez KAS systemu STIR (system teleinformatyczny izby rozliczeniowej), który służy do przekazywania danych, informacji i żądań pomiędzy Szefem KAS a bankami i spółdzielczymi kasami oszczędnościowo-kredytowymi.

W oparciu o Projekt SInF przekazywanie danych ma się odbywać w ten sposób, że instytucje obowiązane mają przekazywać dane do STIR (i te, których przekazanie jest już obecnie obowiązkowe na postawie Ordynacji podatkowej i te wymagane na postawie Projektu SInF), a pracownicy wyznaczeni przez Szefa KAS, będą wyodrębniać odpowiednie dane i przesyłać je do SInF. Ten schemat działania ma zapobiegać sytuacjom, w których instytucje zobowiązane musiałyby przekazywać te same dane do dwóch systemów – STIR i SInF.

Zakres danych przekazywanych do SInF

Zgodnie z art. 11 Projektu Ustawy o SInF do rejestru mają być przekazywane informacje o:

  • otwarciu rachunku albo zawarciu umowy o udostępnienie skrytki sejfowej,
  • zmianie informacji, oraz
  • zamknięciu rachunku albo zakończeniu obowiązywania umowy o udostępnienie skrytki sejfowej.

Projekt SInF określa szczegółowy zakres danych, jakie powinny być przekazane w ramach informacji o otwarciu rachunku albo zawarciu umowy o udostępnienie skrytki sejfowej. Zakres informacji objętych obowiązkiem zgłaszania do SInF jest znacząco szerszy niż przewidziany w V Dyrektywie i choć sama dyrektywa zawiera w tym zakresie tzw. opcję narodową (pozwala państwom członkowskim na pewne modyfikacje w uzasadnionych przypadkach), to jednak podejście proponowane w Projekcie SInF wydaje się być wciąż zbyt daleko idące. W szczególności, krytykowany w toku prac legislacyjnych przez Prezesa UODO i RCL, obowiązek przekazywania szczegółowych danych teleadresowych posiadacza rachunku (numeru telefonu i adresu poczty elektronicznej) budzi istotne zastrzeżenia co do swojej zasadności, zwłaszcza w kontekście dostępu do aktualnych danych tego typu przez instytucję zobowiązaną, co jednak po wejściu w życie projektowanych przepisów będzie musiało być zapewnione wobec zagrożenia karą pieniężną w maksymalnej wysokości 1.500.000 PLN (za nieprzekazanie informacji, przekazanie informacji nieaktualnych lub za brak aktualizacji).

Wdrożenie SInF

Biorąc pod uwagę planowany termin wdrożenia planowanych rozwiązań oraz zakres ich stosowania (system ma objąć również rachunki prowadzone przez firmy inwestycyjne, ale wyłącznie w ramach systemu depozytowego papierów wartościowych), jak również krótkie terminy na przekazanie informacji co do rachunków prowadzonych w dniu wejścia w życie projektowanych obecnie przepisów, instytucje zobowiązane powinny już teraz przygotować się na wejście w życie projektowanej regulacji.

Przygotowanie instytucji zobowiązanej do spełnienia obowiązków wynikających z Projektu SInF będzie musiało łączyć działania w sferze operacyjnej, informatycznej, ale również może wymagać dostosowania pewnych regulacji wewnętrznych a nawet dokumentacji kontraktowej stosowanej w relacjach z klientami (na przyszłość) i uzupełnienia/aktualizacji danych o klientach, dla których prowadzone są obecnie rachunki.

Informacje o rachunkach otwartych po dacie wejścia w życie nowych przepisów

Banki będą musiały rozpocząć przekazywanie informacji po 2 miesiącach, nie później jednak niż 3 miesiące po wejściu w życie projektowanych przepisów o SInF (co daje maksymalnie 3,5 miesiąca uwzględniając 14 dniowe vacatio legis).

Firmy inwestycyjne oraz małe instytucje płatnicze będą musiały rozpocząć przekazywanie informacji po 7 miesiącach, nie później jednak niż 9 miesięcy od dnia wejścia w życie projektowanych przepisów o SInF.

Instytucje płatnicze (z wyłączeniem małej instytucji płatniczej) oraz instytucje pieniądza elektronicznego będą musiały rozpocząć przekazywanie informacji po 4 miesiącach, nie później jednak niż 6 miesięcy od dnia wejścia w życie projektowanych przepisów o SInF.

Po rozpoczęciu przekazywania. dane będą musiały być przekazywane w terminach określonych w Projekcie SInF, a więc w ciągu 3 dni od zdarzenia (zawarcia umowy, zmiany danych).

Informacje o rachunkach/umowach prowadzonych/zawartych przed dniem wejścia w życie nowych przepisów

Najtrudniejsze organizacyjnie będzie zrealizowanie obowiązku przekazania danych zgromadzonych przed wejściem w życie projektowanych przepisów. W szczególności trudność może dotyczyć tych danych, które mają formę uniemożliwiającą ich automatyczne przetwarzanie w systemach teleinformatycznych. Projekt SInF wprowadza zasadę, że jeśli dana informacja nie zmieści się w katalogu ustawowym (o czym mowa poniżej), to nawet jeśli jej przekazanie wymagałoby uprzedniej zmiany formy, to instytucja zobowiązana nie korzysta w tym zakresie z wydłużonego terminu i przekazanie powinno nastąpić w terminie 30 dni od dnia rozpoczęcia przekazywania danych przez instytucję.

Katalog informacji, co do których Projekt SInF przyznaje instytucjom zobowiązanym dłuższy termin na przekazanie – 6 miesięcy od rozpoczęcia przekazywania danych, obejmuje dane dotyczące umów w zakresie przechowywania papierów wartościowych w formie dokumentu oraz w pozostałym zakresie wyraźnie wskazane dane takie, jak m.in. dane identyfikacyjne pełnomocnika, adres korespondencyjny posiadacza rachunku i pełnomocnika a także ich numery telefonu i adresy e-mail.

Informacje o rachunkach otwartych po wejściu w życie nowych przepisów, ale przed rozpoczęciem raportowania

Informacje pozyskane w okresie od wejścia w życie nowych przepisów do dnia poprzedzającego dzień rozpoczęcia przekazywania informacji będą musiały być przekazane w terminie 30 dni od dnia rozpoczęcia przekazywania informacji.

Dostęp do informacji zgromadzonych w SInF

Informacje z SInF będą wykorzystywane na potrzeby realizacji zadań ustawowych sądów, prokuratury, właściwych służb – Policji, Centralnego Biura Antykorupcyjnego, Agencji Bezpieczeństwa Wewnętrznego, Agencji Bezpieczeństwa Wewnętrznego, Służby Kontrwywiadu Wojskowego, Agencji Wywiadu, Służby Wywiadu Wojskowego, Żandarmerii Wojskowej, Straży Granicznej, Generalnego Inspektora Informacji Finansowej, Krajowej Administracji Skarbowej, Służby Ochrony Państwa, Inspektora Nadzoru Wewnętrznego, Krajowego Centrum Informacji Kryminalnych oraz Komisji Nadzoru Finansowego.

Znaczyć należy, że w ramach tych podmiotów upoważnieni do uzyskiwania informacji będą szefowie/komendanci/dyrektorzy, a dopiero te osoby udzielać będą dalszych upoważnień swoim pracownikom/funkcjonariuszom/żołnierzom. Ten schemat przyznawania dostępu do danych, a przy tym i upoważnienia do przetwarzania danych osobowych, budzi wątpliwości w zakresie jego zgodności z prawem. Szef KAS, jako administrator powinien wyrazić zgodę na przetwarzanie danych przez osoby, którym podmioty upoważnione udzieliły dalszych upoważnień na co zwracał uwagę Prezes UODO w toku procesu legislacyjnego. Pozostaje mieć nadzieję, że uwaga ta zostanie uwzględniona na dalszym etapie prac nad Projektem SInF.

Przypisy:

[1] Tytuł dokumentu to: „załącznik do protokołu projekt.docm”.

 

Napisz do autorów:

Magdalena Gutowska SPCG

Magdalena Gutowska

adwokat
Senior Associate

Approved Compliance Expert (ACE)
Approved Whistleblowing Officer

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Termin wdrożenia wytycznych EBA w sprawie AML/CFT upływa niebawem

Termin wdrożenia wytycznych EBA w sprawie AML/CFT upływa niebawem

Czytaj: 4 min

Zostało już niecałe 1,5 miesiąca na wdrożenie wytycznych Europejskiego Urzędu Nadzoru Bankowego (ang. European Banking Authority; „EBA”) dotyczących strategii i procedur zarządzania zgodnością z przepisami oraz roli i obowiązków pracownika ds. zgodności z przepisami AML/CFT („Wytyczne EBA”) – Wytyczne EBA (Guidelines on the role of AML/CFT compliance officers | European Banking Authority (europa.eu) zaczną obowiązywać od 1 grudnia 2022 r.

Wytyczne EBA nie wprowadzają nowych obowiązków, ale konkretyzuję te płynące z obowiązujących już przepisów. Uszczegółowienia wprowadzone przez EBA dla instytucji zobowiązanych działających na rynku finansowym dość istotnie jednak modyfikują dotychczasowe rozumienie obowiązków i koniecznego zakresu normowania procedur w obszarze AML oraz zadań osób odpowiedzialnych za ten obszar.

W niektórych podmiotach wdrożenie Wytycznych EBA może oznaczać wyłącznie kosmetyczną aktualizację niektórych procedur, ale – patrząc na zakres i poziom szczegółowości wytycznych – wydaje się, że dla większości podmiotów ich wdrożenie, będzie wiązać się z czasochłonnymi pracami nad zmianą szeregu regulacji, w tym nie tylko tych, bezpośrednio związanych z procesami AML. Wytyczne EBA dotykają bowiem zadań wszystkich osób dotychczas odpowiedzialnych za obszar AML/CFT w organizacji, a dodatkowo jeszcze rozszerzają zadania podmiotu nadzorczego w tej dziedzinie.

Każdy podmiot będący adresatem Wytycznych EBA powinien rozpocząć proces wdrożeniowy od szczegółowej analizy obecnie posiadanych rozwiązań w kontekście ich zgodności z wytycznymi zawartymi w przedmiotowym dokumencie, w celu ustalenia zakresu ewentualnych prac.

Należy również pamiętać, że samo opracowanie nowych albo zmodyfikowanie już wdrożonych procedur może zostać ocenione jako niewystarczające do uznania procesu wdrożenia Wytycznych EBA za pełny i skuteczny. Aby bowiem wdrożone rozwiązania efektywnie działały w praktyce niezbędne jest zapoznanie się z nimi przez osoby zaangażowane w procesy AML/CFT, a więc w szczególności przeprowadzenie szkoleń w tym zakresie.

Dlatego też w naszej ocenie jest to ostatni moment, aby rozpocząć procesy wdrożeniowe w zakresie Wytycznych EBA.

Do kogo adresowane są Wytyczne EBA

Wytyczne EBA są adresowane do wszystkich podmiotów działających profesjonalnie na rynku finansowym, a więc do instytucji kredytowych oraz instytucji finansowych, czyli podmiotów mieszczących się w definicji tego pojęcia przyjętej na potrzeby dyrektywy 2015/849 – AML IV [1]. Definicja ta obejmuje w szczególności:

  1. domy maklerskie,
  2. fundusze inwestycyjne i alternatywne spółki inwestycyjne,
  3. towarzystwa funduszy inwestycyjnych i zarządzających ASI,
  4. instytucje płatnicze i instytucje pieniądza elektronicznego,
  5. zakłady ubezpieczeń wykonujące działalność z zakresu ubezpieczeń na życie,
  6. pośredników ubezpieczeniowych wykonujących czynności pośrednictwa ubezpieczeniowego w zakresie ubezpieczeń na życie.

 Co obejmują Wytyczne EBA

Wytyczne EBA obejmują obszarowo zakres funkcji:

  1. pracownika ds. zgodności z przepisami AML/CFT,
  2. organu zarządzającego (w warunkach polskich spółek kapitałowych będzie to zarząd),
  3. członka kadry kierowniczej wyższego szczebla odpowiedzialnego za zapewnienie zgodności z przepisami AML/CFT (w warunkach polskich spółek kapitałowych będzie to członek zarządu wyznaczony jako odpowiedzialny za wdrażanie obowiązków AML/CFT),
  4. organu zarządzającego pełniącego funkcję nadzorczą (w warunkach polskich spółek kapitałowych, w których działa rada nadzorcza, będzie to ten organ)

– dalej łącznie jako: „Organy AML” oraz osoby wskazane w p. 1 i 3 dalej łącznie jako: „Osoby AML”.

Opisane w Wytycznych EBA szczegółowe obowiązki Organów AML, powinny zostać transponowane do dokumentacji wewnętrznej danej organizacji. To jednak może oznaczać zmiany również na poziomie regulacji dotyczących zasad funkcjonowania tych podmiotów, a szczególnie rady nadzorczej w danej instytucji. Wytyczne EBA przewidują bowiem dużo aktywniejszą rolę tego organu w obszarze AML/CFT niż dotychczasowy standard sprowadzający się, co do zasady, do corocznej weryfikacji sprawozdań z tego obszaru.

Wytyczne EBA kładą nacisk na dysponowanie przez Osoby AML odpowiednim czasem oraz zasobami na realizację zadań, jak również uprawnieniami, w tym przede wszystkim dostępem do informacji – te kwestie również powinny zostać uwzględnione w procedurach wewnętrznych.

Dodatkowo, Wytyczne EBA stawiają szereg wymagań o charakterze kompetencyjnym, które powinny spełnić Osoby AML. Jest to element Wytycznych EBA istotny na potrzeby przyszłych rekrutacji i wymuszający modyfikację stosownych polityk wewnętrznych (instytucje finansowe już obecnie posiadają polityki dotyczące weryfikacji i wyboru osób wchodzących w skład organów oraz kluczowych pracowników). EBA nie rozstrzyga przy tym, czy wymagania o charakterze kompetencyjnym należy wdrożyć i stosować wyłącznie na przyszłość, czy również w odniesieniu do Osób AML już obecnie pełniących stosowne obowiązki (czy należy przeprowadzić stosowną procedurę weryfikacyjną).

Wytyczne EBA zaostrzają zasady organizacji funkcji zgodności z przepisami AML/CFT, określając szczegółowe przesłanki i zasady podejmowania decyzji o łączeniu przedmiotowej funkcji z innymi funkcjami wewnętrznymi w ramach danej instytucji.

EBA proponuje również doprecyzowanie zasad zorganizowania funkcji AML/CFT w podmiotach prowadzących działalność w kilku jurysdykcjach. Zgodnie z Wytycznymi EBA od tej pory możliwe będzie posiadanie jednego pracownika ds. zgodności z przepisami AML/CFT dla wszystkich jurysdykcji pod warunkiem zapewnienia mu realnej możliwości realizacji zadań w we wszystkich tych jurysdykcjach (nie tylko dostęp do informacji i systemów, ale również dyspozycyjność na potrzeby spotkań lokalnych).

EBA doprecyzowuje również zasady outsourcingu funkcji operacyjnych pracownika ds. zgodności z przepisami AML/CFT, w szczególności, w zakresie zapewnienia monitoringu, kontroli i sprawozdawczości insourcera.

Również podmioty, które outsourcują zadania z obszaru zgodności z przepisami AML/CFT na poziomie grupy powinny szczegółowo przeanalizować treść Wytycznych EBA – gdyż ten model został przez EBA uregulowany poprzez określenie odrębnych wymagań organizacyjnych na szczeblu grupy.

Podsumowanie

Bazując na posiadanej przez nas wiedzy wynikającej z pracy z Klientami, jesteśmy przekonani, że Wytyczne EBA, choć z założenia jedynie uszczegóławiają istniejące już obowiązki z obszaru AML/CFT, i choć oparte są o zasadę proporcjonalności, to jednak doprowadzą do sytuacji, w której, w przeważającej części instytucji rynku finansowego, procedury, które zostały dotychczas wdrożone, będą musiały ulec modyfikacji.

Ze względu natomiast na fakt, że regulacje objęte Wytycznymi EBA dotykają obszarów objętych różnymi procedurami a nawet relacji z podmiotami trzecimi (outsourcing) i mogą wiązać się z koniecznością dokonania pewnych istotnych zmian w organizacji danego podmiotu, niezbędne jest podjęcie działań nakierowanych na ustalenie zakresu i istoty tych zmian możliwie wcześnie w celu uniknięcia negatywnych skutków prawnych.

Przypisy:

[1] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2015/849 z dnia 20 maja 2015 r. w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu, zmieniająca rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 648/2012 i uchylająca dyrektywę Parlamentu Europejskiego i Rady 2005/60/WE oraz dyrektywę Komisji 2006/70/WE.

 

Napisz do autorów:

Ewa Mazurkiewicz SPCG

Ewa Mazurkiewicz

radca prawny
Partner

Magdalena Gutowska SPCG

Magdalena Gutowska

adwokat
Senior Associate

Approved Compliance Expert (ACE)
Approved Whistleblowing Officer

Pin It on Pinterest