Środki bezpieczeństwa finansowego w instytucjach obowiązanych – o co w tym chodzi?
Co to są środki bezpieczeństwa finansowego?
Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nakłada na instytucje obowiązane szereg obowiązków, wśród których znaleźć można obowiązek stosowania środków bezpieczeństwa finansowego.
W skrócie środki bezpieczeństwa finansowego są to pewne czynności, jakie instytucja obowiązana musi wykonać w określonych w przepisach sytuacjach, aby należycie ocenić relację, jaka ma powstać w pomiędzy nią a klientem – w szczególności aby ocenić ryzyko, jakie z danym klientem lub transakcją będzie się wiązało. Od oceny tego ryzyka zależeć będzie bowiem zakres dalszych działań, jakie instytucja będzie musiała podjąć względem klienta.
Jakie środki muszę stosować?
Przepisy przewidują konkretną listę środków – jest to lista zamknięta, a więc nie ma dowolności co do ich zakresu. Podobnie nie ma możliwości wyboru środków, które można w danym przypadku użyć – każdy ze środków wskazanych w ustawie musi znaleźć zastosowanie stosunku do podmiotu, z którym nawiązuje się stosunki gospodarcze, jak również w innych sytuacjach wskazanych w ustawie.
Katalog środków bezpieczeństwa finansowego zawiera następujące czynności:
- identyfikacja klienta i weryfikacja jego tożsamości,
- identyfikacja beneficjenta rzeczywistego,
- podejmowanie uzasadnionych czynności w celu:
- weryfikacji tożsamości beneficjenta rzeczywistego,
- ustalenia struktury własności beneficjenta rzeczywistego i kontroli (w przypadku klienta – osoby prawnej lub jednostki organizacyjnej niebędącej osobą prawną),
- ocena stosunków gospodarczych i, stosownie do sytuacji, uzyskanie informacji na temat ich celu i zamierzonego charakteru,
- bieżące monitorowanie stosunków gospodarczych klienta, w tym:
- analiza transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą o kliencie, rodzaju i zakresie jego działalności oraz zgodne z ryzykiem związanym z tym klientem,
- badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta (w przypadkach uzasadnionych okolicznościami),
- zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.
Dodatkowym obowiązkiem jest też identyfikacja osoby upoważnionej do działania w imieniu klienta, weryfikacja jego tożsamości oraz umocowania do działania.
Co to oznacza w praktyce?
Otóż podmiot, który jest instytucją obowiązaną i ma obowiązki dotyczące AML, ma za zadanie na wstępie sprawdzić, czy dana osoba lub podmiot jest rzeczywiście tym, za kogo się podaje – a następnie zweryfikować prawdziwość podanych informacji. W tym celu można wykorzystać dokument tożsamości klienta oraz inne informacje na jego temat – ustawa wprost wskazuje, że instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Warto zauważyć, że przepis ten jest jednym z nielicznych podstaw uprawniających do wykonania kopii dokumentu tożsamości. W tym miejscu kłaniają się oczywiście obowiązki dotyczące ochrony danych osobowych, a więc konieczność poinformowania klienta o tym, że jego dane osobowe są przetwarzane, a także o obowiązkach instytucji obowiązanej wynikających z ustawy w zakresie przetwarzania tych danych. Warto też pamiętać o wynikającej z RODO zasadzie rozliczalności – to administrator odpowiada bowiem za udowodnienie, że dopełnił obowiązków wynikających z przepisów o ochronie danych.
Konieczna jest także identyfikacja beneficjenta rzeczywistego – jedynie w przypadku osób fizycznych i osób fizycznych prowadzących działalność gospodarczą można przyjąć założenie, że klient jest jednocześnie beneficjentem rzeczywistym. W przypadku, gdy klientem jest osoba prawna albo jednostka organizacyjna, droga do takiej identyfikacji oraz weryfikacji jest trudniejsza, co widać szczególnie w przypadku podmiotów złożonych, mających rozbudowaną strukturę własnościową.
Instytucja ma też obowiązek oceny stosunków gospodarczych z klientem – w tym celu należy przeanalizować posiadaną na temat klienta wiedzę, w tym co do tego, z jakich usług lub produktów korzystał on dotychczas. Zależnie do sytuacji, ocena powinna zostać pogłębiona w drodze uzyskania informacji na temat celu stosunków i ich zamierzonego charakteru.
Kolejnym środkiem bezpieczeństwa finansowego jest monitorowanie stosunków gospodarczych. Przepis nie wskazuje pełnego zakresu działań, jakie w celu monitorowania można powziąć. Każde działanie podejmowane przez instytucję obowiązaną będzie więc miało na celu sprawdzenie, czy informacje posiadane na temat klienta są zgodne ze stanem faktycznym, jak również że dotychczas przeprowadzona analiza ryzyka opiera się o prawidłowe i aktualne informacje.
Czy muszę posiadać dowody na zastosowanie środków?
Ważnym obowiązkiem jest dokumentowanie zastosowanych środków – podmiot ma bowiem za zadanie wykazać na żądanie organów państwowych, że zastosował odpowiednie do sytuacji środki bezpieczeństwa. Ponieważ pełen katalog środków musi zostać zastosowany w każdym przypadku, instytucja obowiązana może manewrować co do zasady tylko częstotliwością stosowania środków i ich intensywnością. Zakres środków będzie przy tym zależeć od ryzyka prania pieniędzy i finansowania terroryzmu, które dotyczy relacji z danym klientem.
Co w przypadku, jeśli nie mogę zastosować środków bezpieczeństwa finansowego?
Niestety nie ma takiej możliwości – przepisy wyraźnie wskazują, że w takiej sytuacji należy:
- odstąpić od zamiaru nawiązania stosunków gospodarczych, czyli np. nie podpisać umowy z klientem,
- nie przeprowadzać transakcji okazjonalnej,
- nie przeprowadzać transakcji za pośrednictwem rachunku bankowego lub
- rozwiązać stosunki gospodarcze, np. rozwiązać zawartą umowę.
Co istotne, wystarczy, aby jeden ze środków nie był możliwy do zastosowania, a już należy zastosować się do wyżej wskazanych zasad.
Należy pamiętać, że brak możliwości zastosowania środków bezpieczeństwa finansowego pociąga za sobą ryzyko, że nie jesteśmy w stanie prawidłowo ocenić sytuacji klienta – w praktyce może więc to skutkować brakiem możliwości dostrzeżenia procederu prania pieniędzy lub finansowania terroryzmu, a tym samym prowadzić do naruszenia przepisów ustawy.
Radca prawny Małgorzata Topyła
Co to są środki bezpieczeństwa finansowego?
Ustawa o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu nakłada na instytucje obowiązane szereg obowiązków, wśród których znaleźć można obowiązek stosowania środków bezpieczeństwa finansowego.
W skrócie środki bezpieczeństwa finansowego są to pewne czynności, jakie instytucja obowiązana musi wykonać w określonych w przepisach sytuacjach, aby należycie ocenić relację, jaka ma powstać w pomiędzy nią a klientem – w szczególności aby ocenić ryzyko, jakie z danym klientem lub transakcją będzie się wiązało. Od oceny tego ryzyka zależeć będzie bowiem zakres dalszych działań, jakie instytucja będzie musiała podjąć względem klienta.
Jakie środki muszę stosować?
Przepisy przewidują konkretną listę środków – jest to lista zamknięta, a więc nie ma dowolności co do ich zakresu. Podobnie nie ma możliwości wyboru środków, które można w danym przypadku użyć – każdy ze środków wskazanych w ustawie musi znaleźć zastosowanie stosunku do podmiotu, z którym nawiązuje się stosunki gospodarcze, jak również w innych sytuacjach wskazanych w ustawie.
Katalog środków bezpieczeństwa finansowego zawiera następujące czynności:
- identyfikacja klienta i weryfikacja jego tożsamości,
- identyfikacja beneficjenta rzeczywistego,
- podejmowanie uzasadnionych czynności w celu:
- weryfikacji tożsamości beneficjenta rzeczywistego,
- ustalenia struktury własności beneficjenta rzeczywistego i kontroli (w przypadku klienta – osoby prawnej lub jednostki organizacyjnej niebędącej osobą prawną),
- ocena stosunków gospodarczych i, stosownie do sytuacji, uzyskanie informacji na temat ich celu i zamierzonego charakteru,
- bieżące monitorowanie stosunków gospodarczych klienta, w tym:
- analiza transakcji przeprowadzanych w ramach stosunków gospodarczych w celu zapewnienia, że transakcje te są zgodne z wiedzą o kliencie, rodzaju i zakresie jego działalności oraz zgodne z ryzykiem związanym z tym klientem,
- badanie źródła pochodzenia wartości majątkowych będących w dyspozycji klienta (w przypadkach uzasadnionych okolicznościami),
- zapewnienie, że posiadane dokumenty, dane lub informacje dotyczące stosunków gospodarczych są na bieżąco aktualizowane.
Dodatkowym obowiązkiem jest też identyfikacja osoby upoważnionej do działania w imieniu klienta, weryfikacja jego tożsamości oraz umocowania do działania.
Co to oznacza w praktyce?
Otóż podmiot, który jest instytucją obowiązaną i ma obowiązki dotyczące AML, ma za zadanie na wstępie sprawdzić, czy dana osoba lub podmiot jest rzeczywiście tym, za kogo się podaje – a następnie zweryfikować prawdziwość podanych informacji. W tym celu można wykorzystać dokument tożsamości klienta oraz inne informacje na jego temat – ustawa wprost wskazuje, że instytucje obowiązane na potrzeby stosowania środków bezpieczeństwa finansowego mogą przetwarzać informacje zawarte w dokumentach tożsamości klienta i osoby upoważnionej do działania w jego imieniu oraz sporządzać ich kopie. Warto zauważyć, że przepis ten jest jednym z nielicznych podstaw uprawniających do wykonania kopii dokumentu tożsamości. W tym miejscu kłaniają się oczywiście obowiązki dotyczące ochrony danych osobowych, a więc konieczność poinformowania klienta o tym, że jego dane osobowe są przetwarzane, a także o obowiązkach instytucji obowiązanej wynikających z ustawy w zakresie przetwarzania tych danych. Warto też pamiętać o wynikającej z RODO zasadzie rozliczalności – to administrator odpowiada bowiem za udowodnienie, że dopełnił obowiązków wynikających z przepisów o ochronie danych.
Konieczna jest także identyfikacja beneficjenta rzeczywistego – jedynie w przypadku osób fizycznych i osób fizycznych prowadzących działalność gospodarczą można przyjąć założenie, że klient jest jednocześnie beneficjentem rzeczywistym. W przypadku, gdy klientem jest osoba prawna albo jednostka organizacyjna, droga do takiej identyfikacji oraz weryfikacji jest trudniejsza, co widać szczególnie w przypadku podmiotów złożonych, mających rozbudowaną strukturę własnościową.
Instytucja ma też obowiązek oceny stosunków gospodarczych z klientem – w tym celu należy przeanalizować posiadaną na temat klienta wiedzę, w tym co do tego, z jakich usług lub produktów korzystał on dotychczas. Zależnie do sytuacji, ocena powinna zostać pogłębiona w drodze uzyskania informacji na temat celu stosunków i ich zamierzonego charakteru.
Kolejnym środkiem bezpieczeństwa finansowego jest monitorowanie stosunków gospodarczych. Przepis nie wskazuje pełnego zakresu działań, jakie w celu monitorowania można powziąć. Każde działanie podejmowane przez instytucję obowiązaną będzie więc miało na celu sprawdzenie, czy informacje posiadane na temat klienta są zgodne ze stanem faktycznym, jak również że dotychczas przeprowadzona analiza ryzyka opiera się o prawidłowe i aktualne informacje.
Czy muszę posiadać dowody na zastosowanie środków?
Ważnym obowiązkiem jest dokumentowanie zastosowanych środków – podmiot ma bowiem za zadanie wykazać na żądanie organów państwowych, że zastosował odpowiednie do sytuacji środki bezpieczeństwa. Ponieważ pełen katalog środków musi zostać zastosowany w każdym przypadku, instytucja obowiązana może manewrować co do zasady tylko częstotliwością stosowania środków i ich intensywnością. Zakres środków będzie przy tym zależeć od ryzyka prania pieniędzy i finansowania terroryzmu, które dotyczy relacji z danym klientem.
Co w przypadku, jeśli nie mogę zastosować środków bezpieczeństwa finansowego?
Niestety nie ma takiej możliwości – przepisy wyraźnie wskazują, że w takiej sytuacji należy:
- odstąpić od zamiaru nawiązania stosunków gospodarczych, czyli np. nie podpisać umowy z klientem,
- nie przeprowadzać transakcji okazjonalnej,
- nie przeprowadzać transakcji za pośrednictwem rachunku bankowego lub
- rozwiązać stosunki gospodarcze, np. rozwiązać zawartą umowę.
Co istotne, wystarczy, aby jeden ze środków nie był możliwy do zastosowania, a już należy zastosować się do wyżej wskazanych zasad.
Należy pamiętać, że brak możliwości zastosowania środków bezpieczeństwa finansowego pociąga za sobą ryzyko, że nie jesteśmy w stanie prawidłowo ocenić sytuacji klienta – w praktyce może więc to skutkować brakiem możliwości dostrzeżenia procederu prania pieniędzy lub finansowania terroryzmu, a tym samym prowadzić do naruszenia przepisów ustawy.
Radca prawny Małgorzata Topyła