Ustawa o Sygnalistach – obowiązek ASI
Zarządzający ASI oraz ASI, podobnie jak banki, domy maklerskie, czy instytucje płatnicze muszą między innymi dokonywać identyfikacji klientów, ustalać tożsamość ich beneficjentów rzeczywistych, czy też monitorować stosunki gospodarcze. Wszystkie z wymienionych wyżej działań określane są zbiorczo jako środki bezpieczeństwa finansowego.
Sposób postępowania zarządzających ASI w obszarze dotyczącym przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu powinien zostać uregulowany w wewnętrznej procedurze. Na marginesie warto dodać, że brak jej wdrożenia wiąże się z ryzykiem nałożenia sankcji administracyjnej, której górna granica wynosi równowartość aż 5 mln euro.
Poza ustanowieniem procedury wewnętrznej, instytucje obowiązane, w tym również zarządzający ASI, zobligowane są do wdrożenia procedury anonimowego zgłaszania naruszeń. Celem przedmiotowej regulacji powinno być określenie tego, w jaki sposób i w jakim trybie można dokonać zgłoszenia rzeczywistych lub potencjalnych naruszeń przepisów z zakresu przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.
Do obowiązkowych elementów procedury anonimowego zgłaszania naruszeń należą:
1. Wymóg wskazania osoby odpowiedzialnej za odbieranie zgłoszeń
Zgodnie z ukształtowaną praktyką rynkową, w zależności od wielkości podmiotu, najczęściej jako osobę odpowiedzialną za odbieranie zgłoszeń wskazuje się inspektora nadzoru lub, w przypadku mniejszych instytucji, członka zarządu właściwego w sprawach z zakresu przeciwdziałania praniu pieniędzy oraz finansowania terroryzmu.
2. Sposób odbierania zgłoszeń
Sposób odbierania zgłoszeń stanowi drugi z obowiązkowych elementów, które powinny zostać poddane uregulowaniu w procedurze. Jeszcze kilka lat temu rozwiązaniem chętnie przyjmowanym przez instytucje obowiązane było zamieszczenie w ogólnodostępnym miejscu w biurze organizacji skrzynki na anonimowe zgłoszenia. Dziś, nie dość, że rozwiązanie takie wydaje się nieco anachroniczne, to także w wielu przypadkach nie będzie ono spełniać wymogów wynikających z ustawy. Trzeba bowiem pamiętać, że przejście części podmiotów na system pracy zdalnej sprawia, że osoby, które aktualnie pracują poza biurem, w przypadku zidentyfikowania potrzeby dokonania zgłoszenia, nie będą miały takiej możliwości.
Warto również wspomnieć, że umieszczenie skrzynki w miejscu monitorowanym wiąże się z ryzykiem ujawnienia tożsamości zgłaszającego. Fizyczna skrzynka dla sygnalistów z pewnością nie stanowi odpowiedniego rozwiązania dla organizacji, które w prowadzonej działalności posługują się wirtualną siedzibą.
W dzisiejszych czasach, rozwiązaniem znacznie lepszym od umieszczania skrzynki na zgłoszenia, jest wdrożenie zdalnego kanału komunikacji. Wydawać by się mogło, że najprostsze we wskazanym zakresie byłoby wskazanie w procedurze dedykowanego adresu e-mail. Trzeba jednak pamiętać, że zachowanie przez zgłaszającego anonimowości przy tego typu rozwiązaniu wiązać się będzie z koniecznością podjęcia dodatkowych działań. Istotne jest również to, że wymiana informacji o wysokim stopniu poufności z wykorzystaniem zewnętrznych serwisów pocztowych, co pokazuje praktyka, rodzi ryzyko wejścia w posiadanie danych przez osoby nieuprawnione. Z powyższych względów wydaje się, że najbezpieczniejszym rozwiązaniem zarówno z perspektywy organizacji, jak i zgłaszającego jest wdrożenie ścieżki anonimowego zgłaszania naruszeń z wykorzystaniem dedykowanej platformy.
3. Sposób ochrony pracownika lub innej osoby wykonującej czynności na rzecz instytucji obowiązanej dokonujących zgłoszenia, zapewniający co najmniej ochronę przed działaniami o charakterze represyjnym lub wpływającymi na pogorszenie ich sytuacji prawnej lub faktycznej, lub polegającymi na kierowaniu gróźb
Rozwiązania służące ochronie pracownika przed działaniami represyjnymi zależą w dużej mierze od konkretnej sytuacji. Jako przykład wskazać można zmianę sposobu wykonywania pracy, czy też przeniesienie do innego zespołu.
4. Sposób ochrony danych osobowych pracownika lub innej osoby wykonującej czynności na rzecz instytucji obowiązanej dokonujących zgłoszenia oraz osoby, której zarzuca się dokonanie naruszenia, zgodnie z przepisami o ochronie danych osobowych
Sposób ochrony danych osobowych powinien uwzględniać obowiązujące w danej instytucji uregulowania z obszaru RODO. Wydaje się zasadne, żeby danym osoby zgłaszającej oraz podejrzanej o naruszenie nadać najwyższy poziom poufności.
5. Zasady zachowania poufności w przypadku ujawnienia tożsamości zgłaszających lub gdy ich tożsamość jest możliwa do ustalenia
Zasady zachowania poufności tożsamości osób dokonujących zgłoszeń powinny znaleźć wyraz w przyjęciu odpowiednich rozwiązań organizacyjnych, jak i technicznych. Do pierwszej grupy uregulowań należy na przykład upoważnienie do przetwarzania danych tylko wyznaczonych pracowników. Przykładem rozwiązania o charakterze technicznym będzie natomiast wdrożenie odpowiednich zabezpieczeń polegających na przykład kilkustopniowej autoryzacji w systemie do obsługi zgłoszeń.
6. Rodzaj i charakter działań następczych podejmowanych po odebraniu zgłoszenia
Podobnie jak rozwiązania służące ochronie pracownika, tak również rodzaj i charakter działań następczych podejmowanych po przyjęciu zgłoszenia w dużej mierze zależał będzie od charakteru stwierdzonej nieprawidłowości. Z reguły w trakcie prowadzenia postępowania wyjaśniającego możliwe jest: zwołanie posiedzeń organów, wydawanie poleceń pracownikom, podejmowanie środków dyscyplinarnych wobec osób dopuszczających się naruszeń, składanie zawiadomień o możliwości popełnienia przestępstwa do właściwych organów ścigania, czy w końcu raportowanie do GIIF.
7. Termin usunięcia przez instytucje obowiązane danych osobowych zawartych w zgłoszeniach
Termin usunięcia danych osobowych powinien umożliwiać instytucji obowiązanej przeprowadzenie postępowania wyjaśniającego oraz wszczęcie postępowań, których wymóg prowadzenia wynikał będzie z przepisów prawa powszechnie obowiązującego. Z reguły przyjmuje się, że minimalny okres przechowywania danych powinien wynosić 3 lata.
Podsumowanie
Wdrożenie skutecznego i efektywnego kanału do przyjmowania zgłoszeń, poza realizacją wymogów wynikających z przepisów prawa powszechnie obowiązującego, przyczynić się może w istotny sposób do ochrony interesów organizacji. Wykrycie nieprawidłowości na wczesnym etapie w wielu przypadkach pozwoli bowiem na ograniczenie rozmiaru szkód wywołanych działaniem ujawnionym w drodze zgłoszenia.
Przy projektowaniu omawianego procesu warto rozważyć zaangażowanie w jego obsługę technologii. Wdrożenie zdalnego kanału komunikacji z wykorzystaniem funkcjonalności dedykowanej platformy pozwoli nie tylko spełnić wymóg wynikający z ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu ale również płynne dostosowanie do obowiązków wprowadzonych w życie w drodze przepisów krajowych transponujących dyrektywę 2019/1937, czego należy spodziewać się jeszcze w tym roku.
Już teraz warto odnotować, że wejście w życie rozwiązań przewidzianych postanowieniami dyrektywy wiązać się będzie dla Zarządzających ASI z dodatkowymi obowiązkami w zakresie związanym z przyjmowaniem i obsługą zgłoszeń dokonywanych przez sygnalistów.
Platforma do zarządzania procesem whistleblower Incognitee oferuje bezpieczny, zgodny z przepisami system zgłoszeń dla sygnalistów.
FAQ
Czy ASI musi wdrożyć platformę do obsługi Sygnalistów?
Tak, ASI są obowiązane do wdrożenia platformy do obsługi sygnalistów.
Kiedy Ustawa o Sygnalistach obejmie ASI?
19 czerwca 2024 r. prezydent podpisał ustawę z dnia 14 czerwca 2024 r. o ochronie sygnalistów. Ustawa wejdzie w życie po upływie 3 miesięcy od dnia ogłoszenia, czyli 25 września 2024 r.