Sekcja 1 - Wewnętrzne strategie, procedury i środki kontroli, ocena ryzyka i personel - Rozporządzenie 2024/1624 w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu

Dzienniki UE

Dz.U.UE.L.2024.1624

Akt oczekujący
Wersja od: 19 czerwca 2024 r.

SEKCJA  1

Wewnętrzne strategie, procedury i środki kontroli, ocena ryzyka i personel

Artykuł  9

Zakres wewnętrznych strategii, procedur i środków kontroli

1. 
Podmioty zobowiązane wprowadzają wewnętrzne strategie, procedury i środki kontroli w celu zapewnienia zgodności z niniejszym rozporządzeniem, rozporządzeniem (UE) 2023/1113 oraz wszelkimi aktami administracyjnymi wydanymi przez dowolny podmiot sprawujący nadzór, w szczególności w celu:
a)
skutecznego ograniczania ryzyk prania pieniędzy i finansowania terroryzmu zidentyfikowanych na poziomie Unii, państwa członkowskiego oraz podmiotu zobowiązanego, a także skutecznego zarządzania tymi ryzykami;
b)
oprócz obowiązku stosowania ukierunkowanych sankcji finansowych - ograniczania ryzyk niewykonania ukierunkowanych sankcji finansowych i uchylania się od nich oraz zarządzania tymi ryzykami.

Strategie, procedury i środki kontroli, o których mowa w akapicie pierwszym, są proporcjonalne do charakteru działalności, w tym jej ryzyk i złożoności, oraz wielkości podmiotu zobowiązanego, i obejmują wszystkie rodzaje działalności podmiotu zobowiązanego wchodzące w zakres stosowania niniejszego rozporządzenia.

2. 
Strategie, procedury i środki kontroli, o których mowa w ust. 1, obejmują:
a)
wewnętrzne strategie i procedury, w tym w szczególności w zakresie:
(i)
przeprowadzenia i aktualizacji oceny ryzyka obejmującej całą działalność;
(ii)
ram podmiotu zobowiązanego dotyczących zarządzania ryzykiem;
(iii)
należytej staranności wobec klienta w celu wykonania rozdziału III niniejszego rozporządzenia, w tym procedur służących ustaleniu, czy klient, beneficjent rzeczywisty lub osoba, w której imieniu lub na rzecz której dokonywana jest transakcja lub wykonywana jest czynność, jest osobą zajmującą eksponowane stanowisko polityczne, lub członkiem rodziny lub osobą znaną jako bliski współpracownik;
(iv)
zgłaszania podejrzanych transakcji;
(v)
outsourcingu i korzystania z należytej staranności wobec klienta przeprowadzanej przez inne podmioty zobowiązane;
(vi)
przechowywania dokumentacji oraz w zakresie strategii dotyczących przetwarzania danych osobowych zgodnie z art. 76 i 77;
(vii)
monitorowania zgodności z takimi wewnętrznymi strategiami i procedurami i zarządzania nimi zgodnie z lit. b) niniejszego ustępu, identyfikacji niedociągnięć i zarządzania nimi oraz wdrażania działań naprawczych;
(viii)
weryfikacji - proporcjonalnej do ryzyk związanych z zadaniami i funkcjami, które mają być wykonywane, przy rekrutacji i wyznaczaniu pracowników do określonych zadań i funkcji oraz przy mianowaniu przedstawicieli i dystrybutorów - czy osoby te cieszą się dobrą reputacją;
(ix)
komunikacji wewnętrznej na temat wewnętrznych strategii, procedur i środków kontroli podmiotu zobowiązanego, w tym wobec jego przedstawicieli, dystrybutorów i dostawców usług zaangażowanych we wdrażanie jego strategii przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu;
(x)
strategii szkolenia pracowników oraz, w stosownych przypadkach, przedstawicieli i dystrybutorów danego podmiotu zobowiązanego w odniesieniu do obowiązujących w nim środków służących spełnieniu wymogów niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór;
b)
wewnętrzne środki kontroli oraz funkcję niezależnego audytu w celu sprawdzenia wewnętrznych strategii i procedur, o których mowa w lit. a) niniejszego ustępu, oraz środków kontroli obowiązujących w podmiocie zobowiązanym; w przypadku braku funkcji niezależnego audytu podmioty zobowiązane mogą zlecić sprawdzanie swoich strategii i procedur ekspertowi zewnętrznemu.

Wewnętrzne strategie, procedury i środki kontroli określone w akapicie pierwszym dokumentuje się w formie pisemnej. Wewnętrzne strategie są zatwierdzane przez organ zarządzający pełniący funkcję zarządzającą. Wewnętrzne procedury i środki kontroli są zatwierdzane co najmniej na poziomie kierownika ds. zapewniania zgodności z przepisami.

3. 
Podmioty zobowiązane aktualizują wewnętrzne strategie, procedury i środki kontroli oraz poprawiają je w przypadku stwierdzenia niedociągnięć.
4. 
Do dnia 10 lipca 2026 r. AMLA wyda wytyczne dotyczące elementów, które podmioty zobowiązane powinny wziąć pod uwagę - w oparciu o charakter ich działalności, w tym jej ryzyka i złożoność, oraz w oparciu o swoją wielkość, przy podejmowaniu decyzji o zakresie swoich wewnętrznych strategii, procedur i środków kontroli, w szczególności w odniesieniu do pracowników wyznaczonych do funkcji zapewniania zgodności z przepisami. W tych wytycznych wskazuje się również sytuacje, w których, ze względu na charakter i wielkość podmiotu zobowiązanego:
(i)
wewnętrzne środki kontroli mają być zorganizowane na poziomie funkcji handlowej, funkcji zapewniania zgodności z prawem i funkcji audytu;
(ii)
funkcję niezależnego audytu może wykonywać ekspert zewnętrzny.
Artykuł  10

Ocena ryzyka obejmująca całą działalność

1. 
Podmioty zobowiązane podejmują odpowiednie środki - proporcjonalne do charakteru ich działalności, w tym jej ryzyk i złożoności, i ich wielkości - w celu identyfikacji i oceny ryzyk prania pieniędzy i finansowania terroryzmu, na które są narażone, jak również ryzyk niewykonania ukierunkowanych sankcji finansowych i uchylania się od nich, biorąc pod uwagę co najmniej:
a)
zmienne ryzyka określone w załączniku I oraz czynniki ryzyka określone w załącznikach II i III;
b)
wyniki oceny ryzyka na poziomie Unii przeprowadzone przez Komisję na podstawie art. 7 dyrektywy (UE) 2024/1640;
c)
wyniki krajowych ocen ryzyka sporządzonych przez państwa członkowskie na podstawie art. 8 dyrektywy (UE) 2024/1640, a także wszelkich stosownych sektorowych ocen ryzyka przeprowadzonych przez państwa członkowskie;
d)
istotne informacje publikowane przez międzynarodowe organy normalizacyjne w dziedzinie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu lub, na poziomie Unii - odpowiednie publikacje Komisji lub AMLA;
e)
informacje na temat ryzyk prania pieniędzy i finansowania terroryzmu przekazywane przez właściwe organy;
f)
informacje na temat bazy klientów.

Przed wprowadzeniem nowych produktów, usług lub praktyk handlowych, w tym wykorzystaniem nowych kanałów dostawy oraz nowych lub rozwijających się technologii, w połączeniu z nowymi lub wcześniej istniejącymi produktami i usługami, lub przed rozpoczęciem świadczenia istniejącej usługi lub dostarczania istniejącego produktu na rzecz nowego segmentu klientów lub na nowym obszarze geograficznym, podmioty zobowiązane określają i oceniają w szczególności powiązane ryzyka prania pieniędzy i finansowania terroryzmu oraz podejmują odpowiednie środki w celu zarządzania tymi ryzykami i ich ograniczania.

2. 
Ocena ryzyka obejmująca całą działalność sporządzona przez podmiot zobowiązany zgodnie z ust. 1 jest dokumentowana, aktualizowana i regularnie poddawana przeglądowi, w tym w przypadku gdy jakiekolwiek zdarzenia wewnętrzne lub zewnętrzne znacząco wpływają na ryzyka prania pieniędzy i finansowania terroryzmu związane z działalnością, produktami, transakcjami, kanałami dostawy, klientami lub strefami geograficznymi działalności podmiotu zobowiązanego. Udostępnia się ją podmiotom sprawującym nadzór na ich wniosek.

Ocena ryzyka obejmująca całą działalność jest sporządzana przez pracownika ds. zgodności z prawem i zatwierdzana przez organ zarządzający pełniący funkcję zarządzającą oraz jest przekazywana organowi zarządzającemu pełniącemu funkcję nadzorczą, jeżeli taki organ istnieje.

3. 
Z wyjątkiem instytucji kredytowych, instytucji finansowych, dostawców usług finansowania społecznościowego i pośredników w zakresie finansowania społecznościowego podmioty sprawujące nadzór mogą zdecydować, że indywidualne udokumentowane oceny ryzyka obejmujące całą działalność nie są wymagane, jeżeli szczególne ryzyka nieodłącznie związane z danym sektorem są jasne i zrozumiałe.
4. 
Do dnia 10 lipca 2026 r. AMLA wyda wytyczne co do minimalnych wymogów dotyczących treści oceny ryzyka obejmującej całą działalność sporządzonej przez podmiot zobowiązany zgodnie z ust. 1 oraz co do dodatkowych źródeł informacji, które należy uwzględnić przy przeprowadzaniu takiej oceny ryzyka.
Artykuł  11

Stanowiska ds. zapewniania zgodności z prawem

1. 
Podmioty zobowiązane wyznaczają jednego członka organu zarządzającego pełniącego funkcję zarządzającą, który będzie odpowiedzialny za zapewnienie zgodności z niniejszym rozporządzeniem, rozporządzeniem (UE) 2023/1113 oraz wszelkimi aktami administracyjnymi wydanymi przez dowolny podmiot sprawujący nadzór (zwanego dalej "kierownikiem ds. zapewniania zgodności z odpowiednimi przepisami").

Kierownik ds. zapewniania zgodności z odpowiednimi przepisami zapewnia, aby wewnętrzne strategie, procedury i środki kontroli podmiotu zobowiązanego były spójne z ekspozycją podmiotu zewnętrznego na ryzyko oraz aby były one wdrażane. Kierownik ds. zapewniania zgodności z odpowiednimi przepisami zapewnia również przydzielenie w tym celu wystarczających zasobów ludzkich i materialnych. Kierownik ds. zapewniania zgodności z odpowiednimi przepisami jest odpowiedzialny za otrzymywanie informacji o znaczących lub istotnych niedociągnięciach w takich strategiach, procedurach i środkach kontroli.

W przypadku gdy organ zarządzający pełniący funkcję zarządzającą jest organem zbiorowo odpowiedzialnym za swoje decyzje, kierownik ds. zapewniania zgodności z odpowiednimi przepisami jest odpowiedzialny za udzielanie temu organowi pomocy i doradzanie mu oraz za przygotowanie decyzji, o których mowa w niniejszym artykule.

2. 
Podmioty zobowiązane dysponują pracownikiem ds. zapewniania zgodności z odpowiednimi przepisami, powoływanym przez organ zarządzający pełniący funkcję zarządzającą i posiadającym wystarczająco wysoką pozycję w hierarchii, który jest odpowiedzialny za strategie, procedury i środki kontroli w ramach bieżącego spełniania wymogów ciążących na podmiocie zobowiązanym w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu, w tym w odniesieniu do wykonania ukierunkowanych sankcji finansowych, oraz jest punktem kontaktowym dla właściwych organów. Pracownik ds. zapewniania zgodności z odpowiednimi przepisami jest również odpowiedzialny za zgłaszanie podejrzanych transakcji do FIU zgodnie z art. 69 ust. 6.

W przypadku podmiotów zobowiązanych podlegających kontrolom kadry kierowniczej wyższego szczebla lub beneficjentów rzeczywistych na podstawie art. 6 dyrektywy (UE) 2024/1640 lub na mocy innych aktów prawa Unii, pracownicy ds. zapewniania zgodności z odpowiednimi przepisami podlegają weryfikacji pod kątem spełniania przez nich tych wymogów.

Jeżeli jest to uzasadnione wielkością podmiotu zobowiązanego i niskim ryzykiem związanym z jego działalnością, podmiot zobowiązany będący częścią grupy może wyznaczyć na swojego pracownika ds. zapewniania zgodności z odpowiednimi przepisami osobę pełniącą tę funkcję w innym podmiocie należącym do tej grupy.

Pracownik ds. zapewniania zgodności z odpowiednimi przepisami może zostać odwołany wyłącznie po uprzednim powiadomieniu organu zarządzającego pełniącego funkcję zarządzającą. Podmiot zobowiązany powiadamia podmiot sprawujący nadzór o odwołaniu pracownika ds. zapewniania zgodności z odpowiednimi przepisami, określając, czy decyzja dotyczy wykonywania zadań powierzonych na podstawie niniejszego rozporządzenia. Pracownik ds. zapewniania zgodności z odpowiednimi przepisami może, z własnej inicjatywy lub na żądanie, przekazać podmiotowi sprawującemu nadzór informacje dotyczące odwołania. Podmiot sprawujący nadzór może wykorzystywać te informacje do wykonywania swoich zadań na podstawie akapitu drugiego niniejszego ustępu i art. 37 ust. 4 dyrektywy (UE) 2024/1640.

3. 
Podmioty zobowiązane zapewniają osobom na stanowiskach ds. zapewniania zgodności z odpowiednimi przepisami odpowiednie zasoby, w tym personel i technologię, proporcjonalne do wielkości, charakteru i ryzyk podmiotu zobowiązanego w celu skutecznego wykonywania ich zadań, a także zapewniają, aby osobom odpowiedzialnym za te funkcje przyznano uprawnienia do proponowania wszelkich środków niezbędnych do zapewnienia skuteczności wewnętrznych strategii, procedur i środków kontroli podmiotu zobowiązanego.
4. 
Podmioty zobowiązane podejmują środki w celu zapewnienia, aby pracownik ds. zapewniania zgodności z odpowiednimi przepisami był chroniony przed działaniami odwetowymi, dyskryminacją i wszelkim innym niesprawiedliwym traktowaniem oraz aby decyzje pracownika ds. zapewniania zgodności z odpowiednimi przepisami nie były podważane przez interesy handlowe podmiotu zobowiązanego ani aby interesy handlowe nie wywierały nadmiernego wpływu na te decyzje.
5. 
Podmioty zobowiązane zapewniają, aby pracownik ds. zapewniania zgodności z odpowiednimi przepisami i osoba odpowiedzialna za funkcję audytu, o której mowa w art. 9 ust. 2 lit. b), mogli podlegać bezpośrednio organowi zarządzającemu pełniącemu funkcję zarządzającą oraz, jeżeli taki organ istnieje, organowi zarządzającemu pełniącemu funkcję nadzorczą, a także aby mogli zgłaszać obawy i ostrzegać organ zarządzający, jeżeli zmiany dotyczące szczególnego ryzyka wpływają lub mogą mieć wpływ na podmiot zobowiązany.

Podmioty zobowiązane zapewniają, aby osoby bezpośrednio lub pośrednio uczestniczące w wykonywaniu niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór, miały dostęp do wszystkich informacji i danych niezbędnych do wykonywania swoich zadań.

6. 
Kierownik ds. zapewniania zgodności z odpowiednimi przepisami regularnie składa organowi zarządzającemu sprawozdania z wdrażania wewnętrznych strategii, procedur i środków kontroli podmiotu zobowiązanego. W szczególności kierownik ds. zapewniania zgodności z odpowiednimi przepisami przedstawia raz w roku lub, w stosownych przypadkach, częściej organowi zarządzającemu sprawozdanie z wdrożenia wewnętrznych strategii, procedur i środków kontroli podmiotu zobowiązanego sporządzone przez kierownika ds. zapewniania zgodności z odpowiednimi przepisami oraz informuje ten organ zarządzający o wynikach wszelkich przeglądów. Kierownik ds. zapewniania zgodności z odpowiednimi przepisami podejmuje niezbędne działania w celu terminowego usunięcia wszelkich wykrytych niedociągnięć.
7. 
Jeżeli uzasadnia to charakter działalności podmiotu zobowiązanego, w tym jej ryzyka i złożoność, i jego wielkość, funkcje kierownika ds. zapewniania zgodności z odpowiednimi przepisami i pracownika ds. zapewniania zgodności z odpowiednimi przepisami może pełnić ta sama osoba fizyczna. Funkcje te mogą być łączone z innymi funkcjami.

W przypadku gdy podmiot zobowiązany jest osobą fizyczną lub osobą prawną, której działalność prowadzona jest tylko przez jedną osobę fizyczną, osoba ta jest odpowiedzialna za wykonywanie zadań na mocy niniejszego artykułu.

Artykuł  12

Znajomość wymogów

Podmioty zobowiązane podejmują środki w celu zapewnienia, aby ich pracownicy lub osoby o porównywalnym statusie, których funkcja tego wymaga, w tym ich przedstawiciele i dystrybutorzy, byli świadomi wymogów wynikających z niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór oraz oceny ryzyka obejmującej całą działalność, wewnętrznych strategii, procedur i środków kontroli obowiązujących w podmiocie zobowiązanym, w tym w odniesieniu do przetwarzania danych osobowych do celów niniejszego rozporządzenia.

Środki, o których mowa w akapicie pierwszym, obejmują udział pracowników lub osób o porównywalnym statusie, w tym przedstawicieli i dystrybutorów, w specjalnych bieżących programach szkoleniowych mających pomóc im w identyfikowaniu operacji mogących mieć związek z praniem pieniędzy lub finansowaniem terroryzmu oraz poinstruować ich co sposobu postępowania w takich przypadkach. Takie programy szkoleniowe są odpowiednie do ich funkcji lub działalności oraz do ryzyk prania pieniędzy i finansowania terroryzmu, na które narażony jest podmiot zobowiązany, i są należycie udokumentowane.

Artykuł  13

Rzetelność pracowników

1. 
Każdy pracownik lub osoba o porównywalnym statusie, w tym przedstawiciele i dystrybutorzy, bezpośrednio uczestniczący w zapewnianiu przestrzegania przez podmiot zobowiązany niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór poddaje się ocenie, która jest współmierna do ryzyk powiązanych z wykonywanymi zadaniami i której treść jest zatwierdzona przez pracownika ds. zapewniania zgodności z odpowiednimi przepisami, a która dotyczy:
a)
indywidualnych umiejętności, wiedzy i wiedzy specjalistycznej niezbędnych do skutecznego pełnienia ich funkcji;
b)
dobrej opinii, uczciwości i etyczności.

Ocenę, o której mowa w akapicie pierwszym, przeprowadza się przed podjęciem działalności przez pracownika lub osobę o porównywalnym statusie, w tym przedstawicieli i dystrybutorów, i jest ona regularnie powtarzana. Częstotliwość kolejnych ocen określa się na podstawie zadań powierzonych danej osobie oraz ryzyk powiązanych z pełnioną przez nią funkcją.

2. 
Pracownicy lub osoby o porównywalnym statusie, w tym przedstawiciele i dystrybutorzy, którym powierzono zadania związane z przestrzeganiem przez podmiot zobowiązany niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór, informują pracownika ds. zapewniania zgodności z odpowiednimi przepisami o wszelkich bliskich stosunkach prywatnych lub zawodowych nawiązanych z klientami lub potencjalnymi klientami podmiotu zobowiązanego i nie mogą podejmować żadnych zadań związanych z przestrzeganiem przez podmiot zobowiązany niniejszego rozporządzenia w odniesieniu do tych klientów.
3. 
Podmioty zobowiązane wprowadzają procedury zapobiegania konfliktom interesów, które mogą mieć wpływ na wykonywanie zadań związanych z przestrzeganiem przez podmiot zobowiązany niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór, i zarządzania takimi konfliktami interesów.
4. 
Niniejszy artykuł nie ma zastosowania, jeżeli podmiot zobowiązany jest osobą fizyczną lub osobą prawną, której działalność prowadzona jest tylko przez jedną osobę fizyczną.
Artykuł  14

Zgłaszanie naruszeń i ochrona osób zgłaszających

1. 
Do zgłaszania naruszeń niniejszego rozporządzenia, rozporządzenia (UE) 2023/1113 oraz wszelkich aktów administracyjnych wydanych przez dowolny podmiot sprawujący nadzór, a także do ochrony osób zgłaszających takie naruszenia zastosowanie ma dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 41 .
2. 
Podmioty zobowiązane ustanawiają wewnętrzne kanały dokonywania zgłoszeń, które spełniają wymogi określone w dyrektywie (UE) 2019/1937.
3. 
Ust. 2 nie ma zastosowania, jeżeli podmiot zobowiązany jest osobą fizyczną lub osobą prawną, której działalność prowadzona jest tylko przez jedną osobę fizyczną.
Artykuł  15

Sytuacja konkretnych pracowników

W przypadku gdy osoba fizyczna należąca do dowolnej z kategorii wymienionych w art. 3 pkt 3 wykonuje czynności zawodowe jako pracownik osoby prawnej, wymogi określone w niniejszym rozporządzeniu mają zastosowanie do tej osoby prawnej, a nie do danej osoby fizycznej.

41 Dyrektywa Parlamentu Europejskiego i Rady (UE) 2019/1937 z dnia 23 października 2019 r. w sprawie ochrony osób zgłaszających naruszenia prawa Unii (Dz.U. L 305 z 26.11.2019, s. 17).

© Unia Europejska, http://eur-lex.europa.eu/
Za autentyczne uważa się wyłącznie dokumenty Unii Europejskiej opublikowane w Dzienniku Urzędowym Unii Europejskiej.

Nasza strona internetowa wykorzystuje pliki cookie. Jeśli zgadzasz się na używanie plików cookie kliknij "Zamknij" lub po prostu kontynuuj przeglądanie. Uzyskaj więcej informacji lub zmień ustawienia .