Rozdział 2 - WEWNĘTRZNE STRATEGIE, PROCEDURY I ŚRODKI KONTROLI PODMIOTÓW ZOBOWIĄZANYCH - Rozporządzenie 2024/1624 w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu

Dzienniki UE

Dz.U.UE.L.2024.1624

Akt oczekujący
Wersja od: 19 czerwca 2024 r.

ROZDZIAŁ  II

WEWNĘTRZNE STRATEGIE, PROCEDURY I ŚRODKI KONTROLI PODMIOTÓW ZOBOWIĄZANYCH

SEKCJA  1

Wewnętrzne strategie, procedury i środki kontroli, ocena ryzyka i personel

Artykuł  9

Zakres wewnętrznych strategii, procedur i środków kontroli

1. 
Podmioty zobowiązane wprowadzają wewnętrzne strategie, procedury i środki kontroli w celu zapewnienia zgodności z niniejszym rozporządzeniem, rozporządzeniem (UE) 2023/1113 oraz wszelkimi aktami administracyjnymi wydanymi przez dowolny podmiot sprawujący nadzór, w szczególności w celu:
a)
skutecznego ograniczania ryzyk prania pieniędzy i finansowania terroryzmu zidentyfikowanych na poziomie Unii, państwa członkowskiego oraz podmiotu zobowiązanego, a także skutecznego zarządzania tymi ryzykami;
b)
oprócz obowiązku stosowania ukierunkowanych sankcji finansowych - ograniczania ryzyk niewykonania ukierunkowanych sankcji finansowych i uchylania się od nich oraz zarządzania tymi ryzykami.

Strategie, procedury i środki kontroli, o których mowa w akapicie pierwszym, są proporcjonalne do charakteru działalności, w tym jej ryzyk i złożoności, oraz wielkości podmiotu zobowiązanego, i obejmują wszystkie rodzaje działalności podmiotu zobowiązanego wchodzące w zakres stosowania niniejszego rozporządzenia.

2. 
Strategie, procedury i środki kontroli, o których mowa w ust. 1, obejmują:
a)
wewnętrzne strategie i procedury, w tym w szczególności w zakresie:
(i)
przeprowadzenia i aktualizacji oceny ryzyka obejmującej całą działalność;
(ii)
ram podmiotu zobowiązanego dotyczących zarządzania ryzykiem;
(iii)
należytej staranności wobec klienta w celu wykonania rozdziału III niniejszego rozporządzenia, w tym procedur służących ustaleniu, czy klient, beneficjent rzeczywisty lub osoba, w której imieniu lub na rzecz której dokonywana jest transakcja lub wykonywana jest czynność, jest osobą zajmującą eksponowane stanowisko polityczne, lub członkiem rodziny lub osobą znaną jako bliski współpracownik;
(iv)
zgłaszania podejrzanych transakcji;
(v)
outsourcingu i korzystania z należytej staranności wobec klienta przeprowadzanej przez inne podmioty zobowiązane;
(vi)
przechowywania dokumentacji oraz w zakresie strategii dotyczących przetwarzania danych osobowych zgodnie z art. 76 i 77;
(vii)
monitorowania zgodności z takimi wewnętrznymi strategiami i procedurami i zarządzania nimi zgodnie z lit. b) niniejszego ustępu, identyfikacji niedociągnięć i zarządzania nimi oraz wdrażania działań naprawczych;
(viii)
weryfikacji - proporcjonalnej do ryzyk związanych z zadaniami i funkcjami, które mają być wykonywane, przy rekrutacji i wyznaczaniu pracowników do określonych zadań i funkcji oraz przy mianowaniu przedstawicieli i dystrybutorów - czy osoby te cieszą się dobrą reputacją;
(ix)
komunikacji wewnętrznej na temat wewnętrznych strategii, procedur i środków kontroli podmiotu zobowiązanego, w tym wobec jego przedstawicieli, dystrybutorów i dostawców usług zaangażowanych we wdrażanie jego strategii przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu;
(x)
strategii szkolenia pracowników oraz, w stosownych przypadkach, przedstawicieli i dystrybutorów danego podmiotu zobowiązanego w odniesieniu do obowiązujących w nim środków służących spełnieniu wymogów niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór;
b)
wewnętrzne środki kontroli oraz funkcję niezależnego audytu w celu sprawdzenia wewnętrznych strategii i procedur, o których mowa w lit. a) niniejszego ustępu, oraz środków kontroli obowiązujących w podmiocie zobowiązanym; w przypadku braku funkcji niezależnego audytu podmioty zobowiązane mogą zlecić sprawdzanie swoich strategii i procedur ekspertowi zewnętrznemu.

Wewnętrzne strategie, procedury i środki kontroli określone w akapicie pierwszym dokumentuje się w formie pisemnej. Wewnętrzne strategie są zatwierdzane przez organ zarządzający pełniący funkcję zarządzającą. Wewnętrzne procedury i środki kontroli są zatwierdzane co najmniej na poziomie kierownika ds. zapewniania zgodności z przepisami.

3. 
Podmioty zobowiązane aktualizują wewnętrzne strategie, procedury i środki kontroli oraz poprawiają je w przypadku stwierdzenia niedociągnięć.
4. 
Do dnia 10 lipca 2026 r. AMLA wyda wytyczne dotyczące elementów, które podmioty zobowiązane powinny wziąć pod uwagę - w oparciu o charakter ich działalności, w tym jej ryzyka i złożoność, oraz w oparciu o swoją wielkość, przy podejmowaniu decyzji o zakresie swoich wewnętrznych strategii, procedur i środków kontroli, w szczególności w odniesieniu do pracowników wyznaczonych do funkcji zapewniania zgodności z przepisami. W tych wytycznych wskazuje się również sytuacje, w których, ze względu na charakter i wielkość podmiotu zobowiązanego:
(i)
wewnętrzne środki kontroli mają być zorganizowane na poziomie funkcji handlowej, funkcji zapewniania zgodności z prawem i funkcji audytu;
(ii)
funkcję niezależnego audytu może wykonywać ekspert zewnętrzny.
Artykuł  10

Ocena ryzyka obejmująca całą działalność

1. 
Podmioty zobowiązane podejmują odpowiednie środki - proporcjonalne do charakteru ich działalności, w tym jej ryzyk i złożoności, i ich wielkości - w celu identyfikacji i oceny ryzyk prania pieniędzy i finansowania terroryzmu, na które są narażone, jak również ryzyk niewykonania ukierunkowanych sankcji finansowych i uchylania się od nich, biorąc pod uwagę co najmniej:
a)
zmienne ryzyka określone w załączniku I oraz czynniki ryzyka określone w załącznikach II i III;
b)
wyniki oceny ryzyka na poziomie Unii przeprowadzone przez Komisję na podstawie art. 7 dyrektywy (UE) 2024/1640;
c)
wyniki krajowych ocen ryzyka sporządzonych przez państwa członkowskie na podstawie art. 8 dyrektywy (UE) 2024/1640, a także wszelkich stosownych sektorowych ocen ryzyka przeprowadzonych przez państwa członkowskie;
d)
istotne informacje publikowane przez międzynarodowe organy normalizacyjne w dziedzinie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu lub, na poziomie Unii - odpowiednie publikacje Komisji lub AMLA;
e)
informacje na temat ryzyk prania pieniędzy i finansowania terroryzmu przekazywane przez właściwe organy;
f)
informacje na temat bazy klientów.

Przed wprowadzeniem nowych produktów, usług lub praktyk handlowych, w tym wykorzystaniem nowych kanałów dostawy oraz nowych lub rozwijających się technologii, w połączeniu z nowymi lub wcześniej istniejącymi produktami i usługami, lub przed rozpoczęciem świadczenia istniejącej usługi lub dostarczania istniejącego produktu na rzecz nowego segmentu klientów lub na nowym obszarze geograficznym, podmioty zobowiązane określają i oceniają w szczególności powiązane ryzyka prania pieniędzy i finansowania terroryzmu oraz podejmują odpowiednie środki w celu zarządzania tymi ryzykami i ich ograniczania.

2. 
Ocena ryzyka obejmująca całą działalność sporządzona przez podmiot zobowiązany zgodnie z ust. 1 jest dokumentowana, aktualizowana i regularnie poddawana przeglądowi, w tym w przypadku gdy jakiekolwiek zdarzenia wewnętrzne lub zewnętrzne znacząco wpływają na ryzyka prania pieniędzy i finansowania terroryzmu związane z działalnością, produktami, transakcjami, kanałami dostawy, klientami lub strefami geograficznymi działalności podmiotu zobowiązanego. Udostępnia się ją podmiotom sprawującym nadzór na ich wniosek.

Ocena ryzyka obejmująca całą działalność jest sporządzana przez pracownika ds. zgodności z prawem i zatwierdzana przez organ zarządzający pełniący funkcję zarządzającą oraz jest przekazywana organowi zarządzającemu pełniącemu funkcję nadzorczą, jeżeli taki organ istnieje.

3. 
Z wyjątkiem instytucji kredytowych, instytucji finansowych, dostawców usług finansowania społecznościowego i pośredników w zakresie finansowania społecznościowego podmioty sprawujące nadzór mogą zdecydować, że indywidualne udokumentowane oceny ryzyka obejmujące całą działalność nie są wymagane, jeżeli szczególne ryzyka nieodłącznie związane z danym sektorem są jasne i zrozumiałe.
4. 
Do dnia 10 lipca 2026 r. AMLA wyda wytyczne co do minimalnych wymogów dotyczących treści oceny ryzyka obejmującej całą działalność sporządzonej przez podmiot zobowiązany zgodnie z ust. 1 oraz co do dodatkowych źródeł informacji, które należy uwzględnić przy przeprowadzaniu takiej oceny ryzyka.
Artykuł  11

Stanowiska ds. zapewniania zgodności z prawem

1. 
Podmioty zobowiązane wyznaczają jednego członka organu zarządzającego pełniącego funkcję zarządzającą, który będzie odpowiedzialny za zapewnienie zgodności z niniejszym rozporządzeniem, rozporządzeniem (UE) 2023/1113 oraz wszelkimi aktami administracyjnymi wydanymi przez dowolny podmiot sprawujący nadzór (zwanego dalej "kierownikiem ds. zapewniania zgodności z odpowiednimi przepisami").

Kierownik ds. zapewniania zgodności z odpowiednimi przepisami zapewnia, aby wewnętrzne strategie, procedury i środki kontroli podmiotu zobowiązanego były spójne z ekspozycją podmiotu zewnętrznego na ryzyko oraz aby były one wdrażane. Kierownik ds. zapewniania zgodności z odpowiednimi przepisami zapewnia również przydzielenie w tym celu wystarczających zasobów ludzkich i materialnych. Kierownik ds. zapewniania zgodności z odpowiednimi przepisami jest odpowiedzialny za otrzymywanie informacji o znaczących lub istotnych niedociągnięciach w takich strategiach, procedurach i środkach kontroli.

W przypadku gdy organ zarządzający pełniący funkcję zarządzającą jest organem zbiorowo odpowiedzialnym za swoje decyzje, kierownik ds. zapewniania zgodności z odpowiednimi przepisami jest odpowiedzialny za udzielanie temu organowi pomocy i doradzanie mu oraz za przygotowanie decyzji, o których mowa w niniejszym artykule.

2. 
Podmioty zobowiązane dysponują pracownikiem ds. zapewniania zgodności z odpowiednimi przepisami, powoływanym przez organ zarządzający pełniący funkcję zarządzającą i posiadającym wystarczająco wysoką pozycję w hierarchii, który jest odpowiedzialny za strategie, procedury i środki kontroli w ramach bieżącego spełniania wymogów ciążących na podmiocie zobowiązanym w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, w tym w odniesieniu do wykonania ukierunkowanych sankcji finansowych, oraz jest punktem kontaktowym dla właściwych organów. Pracownik ds. zapewniania zgodności z odpowiednimi przepisami jest również odpowiedzialny za zgłaszanie podejrzanych transakcji do FIU zgodnie z art. 69 ust. 6.

W przypadku podmiotów zobowiązanych podlegających kontrolom kadry kierowniczej wyższego szczebla lub beneficjentów rzeczywistych na podstawie art. 6 dyrektywy (UE) 2024/1640 lub na mocy innych aktów prawa Unii, pracownicy ds. zapewniania zgodności z odpowiednimi przepisami podlegają weryfikacji pod kątem spełniania przez nich tych wymogów.

Jeżeli jest to uzasadnione wielkością podmiotu zobowiązanego i niskim ryzykiem związanym z jego działalnością, podmiot zobowiązany będący częścią grupy może wyznaczyć na swojego pracownika ds. zapewniania zgodności z odpowiednimi przepisami osobę pełniącą tę funkcję w innym podmiocie należącym do tej grupy.

Pracownik ds. zapewniania zgodności z odpowiednimi przepisami może zostać odwołany wyłącznie po uprzednim powiadomieniu organu zarządzającego pełniącego funkcję zarządzającą. Podmiot zobowiązany powiadamia podmiot sprawujący nadzór o odwołaniu pracownika ds. zapewniania zgodności z odpowiednimi przepisami, określając, czy decyzja dotyczy wykonywania zadań powierzonych na podstawie niniejszego rozporządzenia. Pracownik ds. zapewniania zgodności z odpowiednimi przepisami może, z własnej inicjatywy lub na żądanie, przekazać podmiotowi sprawującemu nadzór informacje dotyczące odwołania. Podmiot sprawujący nadzór może wykorzystywać te informacje do wykonywania swoich zadań na podstawie akapitu drugiego niniejszego ustępu i art. 37 ust. 4 dyrektywy (UE) 2024/1640.

3. 
Podmioty zobowiązane zapewniają osobom na stanowiskach ds. zapewniania zgodności z odpowiednimi przepisami odpowiednie zasoby, w tym personel i technologię, proporcjonalne do wielkości, charakteru i ryzyk podmiotu zobowiązanego w celu skutecznego wykonywania ich zadań, a także zapewniają, aby osobom odpowiedzialnym za te funkcje przyznano uprawnienia do proponowania wszelkich środków niezbędnych do zapewnienia skuteczności wewnętrznych strategii, procedur i środków kontroli podmiotu zobowiązanego.
4. 
Podmioty zobowiązane podejmują środki w celu zapewnienia, aby pracownik ds. zapewniania zgodności z odpowiednimi przepisami był chroniony przed działaniami odwetowymi, dyskryminacją i wszelkim innym niesprawiedliwym traktowaniem oraz aby decyzje pracownika ds. zapewniania zgodności z odpowiednimi przepisami nie były podważane przez interesy handlowe podmiotu zobowiązanego ani aby interesy handlowe nie wywierały nadmiernego wpływu na te decyzje.
5. 
Podmioty zobowiązane zapewniają, aby pracownik ds. zapewniania zgodności z odpowiednimi przepisami i osoba odpowiedzialna za funkcję audytu, o której mowa w art. 9 ust. 2 lit. b), mogli podlegać bezpośrednio organowi zarządzającemu pełniącemu funkcję zarządzającą oraz, jeżeli taki organ istnieje, organowi zarządzającemu pełniącemu funkcję nadzorczą, a także aby mogli zgłaszać obawy i ostrzegać organ zarządzający, jeżeli zmiany dotyczące szczególnego ryzyka wpływają lub mogą mieć wpływ na podmiot zobowiązany.

Podmioty zobowiązane zapewniają, aby osoby bezpośrednio lub pośrednio uczestniczące w wykonywaniu niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór, miały dostęp do wszystkich informacji i danych niezbędnych do wykonywania swoich zadań.

6. 
Kierownik ds. zapewniania zgodności z odpowiednimi przepisami regularnie składa organowi zarządzającemu sprawozdania z wdrażania wewnętrznych strategii, procedur i środków kontroli podmiotu zobowiązanego. W szczególności kierownik ds. zapewniania zgodności z odpowiednimi przepisami przedstawia raz w roku lub, w stosownych przypadkach, częściej organowi zarządzającemu sprawozdanie z wdrożenia wewnętrznych strategii, procedur i środków kontroli podmiotu zobowiązanego sporządzone przez kierownika ds. zapewniania zgodności z odpowiednimi przepisami oraz informuje ten organ zarządzający o wynikach wszelkich przeglądów. Kierownik ds. zapewniania zgodności z odpowiednimi przepisami podejmuje niezbędne działania w celu terminowego usunięcia wszelkich wykrytych niedociągnięć.
7. 
Jeżeli uzasadnia to charakter działalności podmiotu zobowiązanego, w tym jej ryzyka i złożoność, i jego wielkość, funkcje kierownika ds. zapewniania zgodności z odpowiednimi przepisami i pracownika ds. zapewniania zgodności z odpowiednimi przepisami może pełnić ta sama osoba fizyczna. Funkcje te mogą być łączone z innymi funkcjami.

W przypadku gdy podmiot zobowiązany jest osobą fizyczną lub osobą prawną, której działalność prowadzona jest tylko przez jedną osobę fizyczną, osoba ta jest odpowiedzialna za wykonywanie zadań na mocy niniejszego artykułu.

Artykuł  12

Znajomość wymogów

Podmioty zobowiązane podejmują środki w celu zapewnienia, aby ich pracownicy lub osoby o porównywalnym statusie, których funkcja tego wymaga, w tym ich przedstawiciele i dystrybutorzy, byli świadomi wymogów wynikających z niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór oraz oceny ryzyka obejmującej całą działalność, wewnętrznych strategii, procedur i środków kontroli obowiązujących w podmiocie zobowiązanym, w tym w odniesieniu do przetwarzania danych osobowych do celów niniejszego rozporządzenia.

Środki, o których mowa w akapicie pierwszym, obejmują udział pracowników lub osób o porównywalnym statusie, w tym przedstawicieli i dystrybutorów, w specjalnych bieżących programach szkoleniowych mających pomóc im w identyfikowaniu operacji mogących mieć związek z praniem pieniędzy lub finansowaniem terroryzmu oraz poinstruować ich co sposobu postępowania w takich przypadkach. Takie programy szkoleniowe są odpowiednie do ich funkcji lub działalności oraz do ryzyk prania pieniędzy i finansowania terroryzmu, na które narażony jest podmiot zobowiązany, i są należycie udokumentowane.

Artykuł  13

Rzetelność pracowników

1. 
Każdy pracownik lub osoba o porównywalnym statusie, w tym przedstawiciele i dystrybutorzy, bezpośrednio uczestniczący w zapewnianiu przestrzegania przez podmiot zobowiązany niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór poddaje się ocenie, która jest współmierna do ryzyk powiązanych z wykonywanymi zadaniami i której treść jest zatwierdzona przez pracownika ds. zapewniania zgodności z odpowiednimi przepisami, a która dotyczy:
a)
indywidualnych umiejętności, wiedzy i wiedzy specjalistycznej niezbędnych do skutecznego pełnienia ich funkcji;
b)
dobrej opinii, uczciwości i etyczności.

Ocenę, o której mowa w akapicie pierwszym, przeprowadza się przed podjęciem działalności przez pracownika lub osobę o porównywalnym statusie, w tym przedstawicieli i dystrybutorów, i jest ona regularnie powtarzana. Częstotliwość kolejnych ocen określa się na podstawie zadań powierzonych danej osobie oraz ryzyk powiązanych z pełnioną przez nią funkcją.

2. 
Pracownicy lub osoby o porównywalnym statusie, w tym przedstawiciele i dystrybutorzy, którym powierzono zadania związane z przestrzeganiem przez podmiot zobowiązany niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór, informują pracownika ds. zapewniania zgodności z odpowiednimi przepisami o wszelkich bliskich stosunkach prywatnych lub zawodowych nawiązanych z klientami lub potencjalnymi klientami podmiotu zobowiązanego i nie mogą podejmować żadnych zadań związanych z przestrzeganiem przez podmiot zobowiązany niniejszego rozporządzenia w odniesieniu do tych klientów.
3. 
Podmioty zobowiązane wprowadzają procedury zapobiegania konfliktom interesów, które mogą mieć wpływ na wykonywanie zadań związanych z przestrzeganiem przez podmiot zobowiązany niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór, i zarządzania takimi konfliktami interesów.
4. 
Niniejszy artykuł nie ma zastosowania, jeżeli podmiot zobowiązany jest osobą fizyczną lub osobą prawną, której działalność prowadzona jest tylko przez jedną osobę fizyczną.
Artykuł  14

Zgłaszanie naruszeń i ochrona osób zgłaszających

1. 
Do zgłaszania naruszeń niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór, a także do ochrony osób zgłaszających takie naruszenia zastosowanie ma dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 41 .
2. 
Podmioty zobowiązane ustanawiają wewnętrzne kanały dokonywania zgłoszeń, które spełniają wymogi określone w dyrektywie (UE) 2019/1937.
3. 
Ust. 2 nie ma zastosowania, jeżeli podmiot zobowiązany jest osobą fizyczną lub osobą prawną, której działalność prowadzona jest tylko przez jedną osobę fizyczną.
Artykuł  15

Sytuacja konkretnych pracowników

W przypadku gdy osoba fizyczna należąca do dowolnej z kategorii wymienionych w art. 3 pkt 3 wykonuje czynności zawodowe jako pracownik osoby prawnej, wymogi określone w niniejszym rozporządzeniu mają zastosowanie do tej osoby prawnej, a nie do danej osoby fizycznej.

SEKCJA  2

Przepisy mające zastosowanie do grup

Artykuł  16

Wymogi dotyczące całej grupy

1. 
Jednostka dominująca zapewnia stosowanie wymogów dotyczących procedur wewnętrznych, oceny ryzyka oraz personelu, o których mowa w sekcji 1 niniejszego rozdziału, we wszystkich oddziałach i jednostkach zależnych grupy w państwach członkowskich, a w przypadku grup, których siedziba zarządu znajduje się w Unii - w państwach trzecich. W tym celu jednostka dominująca przeprowadza ocenę ryzyka obejmującą całą grupę, uwzględniając ocenę ryzyka obejmującą całą działalność przeprowadzoną przez wszystkie oddziały i jednostki zależne grupy, oraz ustanawia i wdraża strategie, procedury i środki kontroli obejmujące całą grupę, w tym w zakresie ochrony danych oraz strategii w zakresie wymiany informacji w ramach grupy do celów przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu w celu zapewnienia, aby pracownicy w ramach grupy byli świadomi wymogów wynikających z niniejszego rozporządzenia. Podmioty zobowiązane w ramach grupy wdrażają te obejmujące całą grupę strategie, procedury i środki kontroli, uwzględniając swoją specyfikę i ryzyka, na które są narażone.

Obejmujące całą grupę strategie, procedury i środki kontroli oraz obejmujące całą grupę oceny ryzyka, o których mowa w akapicie pierwszym, zawierają wszystkie elementy wymienione odpowiednio w art. 9 i 10.

Do celów akapitu pierwszego, jeżeli grupa posiada zakłady w więcej niż jednym państwie członkowskim, oraz - w przypadku grup, których siedziba zarządu znajduje się w Unii - w państwach trzecich, jednostki dominujące uwzględniają informacje opublikowane przez organy wszystkich państw członkowskich lub państw trzecich, w których znajdują się zakłady grupy.

2. 
Funkcje ds. zapewniania zgodności z odpowiednimi przepisami wprowadza się na poziomie grupy. Funkcje te obejmują kierownika ds. zapewniania zgodności z odpowiednimi przepisami na poziomie grupy oraz, w sytuacji gdy jest to uzasadnione działaniami prowadzonymi na poziomie grupy, pracownika ds. zapewniania zgodności z odpowiednimi przepisami. Decyzja w sprawie zakresu funkcji ds. zapewniania zgodności z odpowiednimi przepisami jest dokumentowana.

Kierownik ds. zapewniania zgodności z odpowiednimi przepisami, o którym mowa w akapicie pierwszym, regularnie składa organowi zarządzającemu pełniącemu funkcję zarządzającą jednostki dominującej sprawozdania z wdrażania strategii, procedur i środków kontroli obejmujących całą grupę. Kierownik ds. zapewniania zgodności z odpowiednimi przepisami przedkłada co najmniej raz w roku sprawozdanie z wdrażania wewnętrznych strategii, procedur i środków kontroli podmiotu zobowiązanego oraz podejmuje niezbędne działania w celu terminowego usunięcia wszelkich wykrytych niedociągnięć. W przypadku gdy organ zarządzający pełniący funkcję zarządzającą jest organem zbiorowo

odpowiedzialnym za swoje decyzje, kierownik ds. zapewniania zgodności z odpowiednimi przepisami udziela temu organowi pomocy i doradza mu oraz przygotowuje decyzje niezbędne do wykonania niniejszego artykułu.

3. 
Strategie, procedury i środki kontroli dotyczące wymiany informacji, o których mowa w ust. 1, wymagają od podmiotów zobowiązanych w ramach grupy wymiany informacji, jeżeli taka wymiana ma znaczenie do celów należytej staranności wobec klienta i zarządzania ryzykiem prania pieniędzy i finansowania terroryzmu. Wymiana informacji w ramach grupy obejmuje w szczególności tożsamość i cechy klienta, jego beneficjentów rzeczywistych lub osoby, w imieniu której działa klient, charakter i cel stosunków gospodarczych i transakcji sporadycznych oraz informacje na temat podejrzeń, że środki pieniężne pochodzą z działalności przestępczej lub są związane z finansowaniem terroryzmu, wraz z analizami, na których opierają się te podejrzenia, zgłoszone FIU na podstawie art. 69, chyba że dana FIU zaleci inaczej.

Strategie, procedury i środki kontroli obejmujące całą grupę nie uniemożliwiają należącym do grupy podmiotom, które nie są podmiotami zobowiązanymi, przekazywania informacji podmiotom zobowiązanym należącym do tej samej grupy, jeżeli taka wymiana ma znaczenie dla spełnienia przez te podmioty zobowiązane wymogów określonych w niniejszym rozporządzeniu.

Jednostki dominujące wprowadzają obejmujące całą grupę strategie, procedury i środki kontroli w celu zapewnienia, aby informacje wymieniane zgodnie z akapitami pierwszym i drugim podlegały wystarczającym gwarancjom w zakresie poufności, ochrony danych i wykorzystania informacji, w tym w celu zapobieżenia ich ujawnieniu.

4. 
Do dnia 10 lipca 2026 r. AMLA opracuje projekty regulacyjnych standardów technicznych i przedłoży je Komisji do przyjęcia. Te projekty regulacyjnych standardów technicznych określają minimalne wymogi dotyczące strategii, procedur i środków kontroli obejmujących całą grupę, w tym minimalne standardy dotyczące wymiany informacji w ramach grupy, kryteria do celów wskazywania jednostki dominującej w przypadkach objętych art. 2 ust. 1 pkt 42 lit. b) oraz warunki, na jakich przepisy niniejszego artykułu mają zastosowanie do podmiotów będących częścią struktur, które mają wspólnego właściciela, wspólny zarząd lub wspólną kontrolę zgodności z przepisami, w tym sieci lub spółek osobowych, a także kryteria do celów wskazywania jednostki dominującej w Unii w takich przypadkach.
5. 
Komisja jest uprawniona do uzupełniania niniejszego rozporządzenia przez przyjęcie regulacyjnych standardów technicznych, o których mowa w ust. 4 niniejszego artykułu, zgodnie z art. 49-52 rozporządzenia (Ue) 2024/1620.
Artykuł  17

Oddziały i jednostki zależne w państwach trzecich

1. 
Jeżeli oddziały lub jednostki zależne podmiotów zobowiązanych znajdują się w państwach trzecich, w których minimalne wymogi w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu są mniej rygorystyczne niż wymogi określone w niniejszym rozporządzeniu, jednostka dominująca zapewnia, aby te oddziały lub jednostki zależne spełniały wymogi określone w niniejszym rozporządzeniu, w tym wymogi dotyczące ochrony danych, lub wymogi równoważne.
2. 
W przypadku gdy przepisy prawa państwa trzeciego nie pozwalają na zapewnienie zgodności z niniejszym rozporządzeniem, jednostka dominująca podejmuje dodatkowe środki w celu zapewnienia, aby oddziały i jednostki zależne w tym państwie trzecim skutecznie przeciwdziałały ryzyku prania pieniędzy lub finansowania terroryzmu, i powiadamia o tych dodatkowych środkach podmioty sprawujące nadzór swojego państwa członkowskiego pochodzenia. Jeżeli podmioty sprawujące nadzór państwa członkowskiego pochodzenia uznają, że dodatkowe środki nie są wystarczające, podejmują dodatkowe działania nadzorcze, w tym wymagając, by grupa nie nawiązywała żadnych stosunków gospodarczych, zakończyła istniejące stosunki lub nie dokonywała transakcji bądź zamknęła swoją działalność w państwie trzecim.
3. 
Do dnia 10 lipca 2026 r. AMLA opracuje projekty regulacyjnych standardów technicznych i przedłoży je Komisji do przyjęcia. Te projekty regulacyjnych standardów technicznych określają rodzaj dodatkowych środków, o których mowa w ust. 2 niniejszego artykułu, w tym minimalne działania, które mają zostać podjęte przez podmioty zobowiązane w przypadku, gdy prawo państwa trzeciego nie pozwala na wdrożenie środków wymaganych na mocy art. 16, oraz dodatkowe działania nadzorcze wymagane w takich przypadkach.
4. 
Komisja jest uprawniona do uzupełniania niniejszego rozporządzenia przez przyjęcie regulacyjnych standardów technicznych, o których mowa w ust. 3 niniejszego artykułu, zgodnie z art. 49-52 rozporządzenia (UE) 2024/1620.

SEKCJA  3

Outsourcing

Artykuł  18

Zlecanie zadań na zasadzie outsourcingu

1. 
Podmioty zobowiązane mogą zlecać usługodawcom zadania wynikające z niniejszego rozporządzenia. Podmiot zobowiązany powiadamia podmiot sprawujący nadzór o zleceniu zadań na zasadzie outsourcingu przed rozpoczęciem przez usługodawcę wykonywania zadań zleconych na zasadzie outsourcingu.
2. 
Wykonując zadania na podstawie niniejszego artykułu, usługodawców uznaje się za część podmiotu zobowiązanego, w tym w przypadku gdy są oni zobowiązani do przeglądania centralnych rejestrów, o których mowa w art. 10 dyrektywy (UE) 2024/1640 (zwanych dalej "centralnymi rejestrami"), do celów stosowania środków należytej staranności wobec klienta w imieniu podmiotu zobowiązanego.

Podmiot zobowiązany ponosi pełną odpowiedzialność za wszelkie działania, niezależnie od tego, czy chodzi o działanie czy zaniechanie, związane z wykonywanymi przez usługodawców zadaniami zleconymi na zasadzie outsourcingu.

W odniesieniu do każdego zadania zleconego na zasadzie outsourcingu podmiot zobowiązany musi być w stanie wykazać podmiot sprawujący nadzór, że rozumie uzasadnienie działalności prowadzonej przez usługodawcę i podejście przyjęte przy ich realizacji oraz że takie działania ograniczają szczególne ryzyka, na które narażony jest podmiot zobowiązany.

3. 
Zadania zlecane na zasadzie outsourcingu zgodnie z ust. 1 niniejszego artykułu nie są podejmowane w sposób, który istotnie pogarszałby jakość strategii i procedur podmiotu zobowiązanego mających na celu spełnienie wymogów niniejszego rozporządzenia oraz rozporządzenia (UE) 2023/1113 oraz wprowadzonych środków kontroli służących sprawdzeniu tych strategii i procedur. Następujące zadania w żadnym wypadku nie mogą być zlecane na zasadzie outsourcingu:
a)
proponowanie i zatwierdzanie oceny ryzyka obejmującej całą działalność podmiotu zobowiązanego zgodnie z art. 10 ust. 2;
b)
zatwierdzanie wewnętrznych strategii, procedur i środków kontroli podmiotu zobowiązanego zgodnie z art. 9;
c)
podejmowanie decyzji w sprawie profilu ryzyka, który należy przypisać klientowi;
d)
podejmowanie decyzji o nawiązaniu stosunków gospodarczych lub przeprowadzenie transakcji sporadycznej z klientem;
e)
zgłaszanie FIU podejrzanych działań zgodnie z art. 69 lub sprawozdań opartych na wartościach progowych zgodnie z art. 74 i 80, z wyjątkiem sytuacji, gdy takie działania są zlecane na zasadzie outsourcingu innemu podmiotowi zobowiązanemu należącemu do tej samej grupy i mającemu siedzibę w tym samym państwie członkowskim;
f)
zatwierdzanie kryteriów wykrywania podejrzanych lub nietypowych transakcji i działań.
4. 
Zanim podmiot zobowiązany zleci zadanie na zasadzie outsourcingu zgodnie z ust. 1, upewnia się, że usługodawca posiada wystarczające kwalifikacje do wykonywania zadań, które mają zostać zlecone na zasadzie outsourcingu.

W przypadku gdy podmiot zobowiązany zleca zadanie na zasadzie outsourcingu zgodnie z ust. 1, zapewnia, aby usługodawca, jak również każdy kolejny usługodawca wykonujący zadania na zasadzie podoutsourcingu stosował strategie i procedury przyjęte przez podmiot zobowiązany. Warunki wykonywania takich zadań określa pisemna umowa między podmiotem zobowiązanym a usługodawcą. Podmiot zobowiązany przeprowadza regularne kontrole w celu upewnienia się co do skutecznego wdrożenia takich strategii i procedur przez usługodawcę. Częstotliwość takich kontroli jest określana na podstawie krytycznego charakteru zadań zlecanych na zasadzie outsourcingu.

5. 
Podmioty zobowiązane zapewniają, aby outsourcing nie odbywał się w sposób, który w istotny sposób ograniczałby zdolność organów nadzorczych do monitorowania i prześledzenia przestrzegania przez podmiot zobowiązany niniejszego rozporządzenia i rozporządzenia (UE) 2023/1113.
6. 
Na zasadzie odstępstwa od ust. 1 podmioty zobowiązane nie mogą zlecać na zasadzie outsourcingu zadań wynikających z wymogów niniejszego rozporządzenia usługodawcom mającym miejsce zamieszkania lub siedzibę w państwach trzecich wskazanych zgodnie z rozdziałem III sekcja 2, chyba że spełnione są wszystkie następujące warunki:
a)
podmiot zobowiązany zleca zadania na zasadzie outsourcingu wyłącznie usługodawcy należącemu do tej samej grupy;
b)
grupa stosuje strategie i procedury w zakresie przeciwdziałania praniu pieniędzy i finansowania terroryzmu, środki należytej staranności wobec klienta oraz zasady przechowywania dokumentacji, które są w pełni zgodne z niniejszym rozporządzeniem lub z równoważnymi przepisami w państwach trzecich;
c)
skuteczne wdrożenie wymogów, o których mowa w lit. b) niniejszego ustępu, jest nadzorowane na poziomie grupy przez organ nadzorczy państwa członkowskiego pochodzenia zgodnie z rozdziałem IV dyrektywy (UE) 2024/1640.
7. 
Na zasadzie odstępstwa od ust. 3, w przypadku gdy przedsiębiorstwo zbiorowego inwestowania nie posiada osobowości prawnej lub posiada jedynie zarząd i powierzyło innemu podmiotowi przetwarzanie subskrypcji i gromadzenie środków pieniężnych zdefiniowanych w art. 4 pkt 25 dyrektywy (UE) 2015/2366 od inwestorów, może ono zlecić na zasadzie outsourcingu wykonanie zadania, o którym mowa w ust. 3 lit. c), d) i e), jednemu ze swoich usługodawców.

Zlecanie zadań na zasadzie outsourcingu, o którym mowa w akapicie pierwszym niniejszego ustępu, może mieć miejsce dopiero po tym, jak przedsiębiorstwo zbiorowego inwestowania powiadomiło podmiot sprawujący nadzór o zamiarze zlecania zadań na zasadzie outsourcingu zgodnie z ust. 1, a podmiot sprawujący nadzór zatwierdził takie zlecanie zadań na zasadzie outsourcingu, biorąc pod uwagę:

a)
zasoby, doświadczenie i wiedzę usługodawcy w zakresie zapobiegania praniu pieniędzy i finansowaniu terroryzmu;
b)
wiedzę usługodawcy na temat rodzaju działalności lub transakcji przeprowadzanych przez przedsiębiorstwo zbiorowego inwestowania.
8. 
Do dnia 10 lipca 2027 r. AMLA wyda skierowane do podmiotów zobowiązanych wytyczne dotyczące:
a)
ustanowienia stosunków w zakresie zlecania zadań na zasadzie outsourcingu, w tym wszelkich kolejnych stosunków w zakresie zlecania zadań na zasadzie outsourcingu, zgodnie z niniejszym artykułem, zarządzania nimi oraz ustanowienia procedur monitorowania wypełniania funkcji przez usługodawcę, a w szczególności tych funkcji, które należy uznać za krytyczne;
b)
ról i odpowiedzialności podmiotu zobowiązanego i usługodawcy w ramach umowy dotyczącej zlecania zadań na zasadzie outsourcingu;
c)
sposobów podejścia nadzorczego do zlecania zadań na zasadzie outsourcingu oraz oczekiwań nadzorczych dotyczących zlecania na zasadzie outsourcingu zadań w zakresie funkcji krytycznych.
41 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz.U. L 305 z 26.11.2019, s. 17).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .