Szkolenia AML/CFT i procedura whistleblowing — wymogi UKNF dla instytucji obowiązanych

Szkolenia AML/CFT i whistleblowing to dwa obszary, w których — z naszego doświadczenia kontroli KNF — najczęściej spotykamy formalną zgodność i operacyjne luki. Procedura wymienia wszystkie elementy wymagane Ustawą, ale w praktyce nie ma dowodów udziału konkretnych pracowników w szkoleniach, kanał whistleblowing jest fizycznie niedostępny dla części pracowników agentów, a osoba odbierająca zgłoszenia bywa AMLRO — co Stanowisko UKNF wprost wyklucza. W tym artykule porządkujemy wymogi z art. 52, 53 i 53a Ustawy oraz Komunikatu GIIF nr 92 z 13 lutego 2025 r.

Kogo obejmuje obowiązek szkoleniowy AML/CFT?

Art. 52 Ustawy nakłada na IO obowiązek zapewnienia udziału osób wykonujących czynności związane z przeciwdziałaniem ML/TF w programach szkoleniowych. Stanowisko UKNF doprecyzowuje krąg adresatów — obowiązek dotyczy:

• pracowników IO,
• osób zatrudnionych na podstawie umów cywilnoprawnych,
• agentów,
• podmiotów działających na zlecenie IO,
• innych współpracowników realizujących faktycznie obowiązki AML/CFT,
• kadry kierowniczej wyższego szczebla odpowiedzialnej za wykonywanie obowiązków określonych w Ustawie.

Programy szkoleniowe powinny uwzględniać charakter, rodzaj i rozmiar prowadzonej działalności IO oraz zapewniać aktualną wiedzę w zakresie realizacji obowiązków instytucji obowiązanej, w szczególności obowiązków z art. 74 ust. 1, art. 86 ust. 1 i art. 89 ust. 1 Ustawy (art. 52 ust. 2 Ustawy).

Outsourcing AML/CFT — kto szkoli i jak to udowodnić?

W przypadkach z art. 47 i 48 Ustawy (korzystanie z usług podmiotu trzeciego przy stosowaniu środków bezpieczeństwa finansowego, art. 34 ust. 1 pkt 1–3 Ustawy, lub powierzenie środków oraz prowadzenia bieżącej analizy z art. 43 ust. 3 Ustawy) — wypełnienie obowiązku szkoleniowego przez te podmioty powinno być elementem umowy z tymi podmiotami, zapewniając IO kontrolę procesu szkoleniowego.

IO powinny zagwarantować sobie możliwość otrzymania od podmiotu trzeciego dowodów potwierdzających przeszkolenie wszystkich osób odpowiedzialnych za realizację obowiązków AML/CFT w tym podmiocie — w tym co do zakresu i częstotliwości szkoleń.

Czy samokształcenie zastępuje szkolenie z art. 52 Ustawy?

Nie. Stanowisko UKNF wprost ostrzega: samo zapoznanie się z treścią Komunikatów GIIF i Stanowisk UKNF — z uwagi na ich ogólny lub selektywny charakter — nie jest wystarczające do uznania prawidłowej realizacji obowiązku z art. 52 Ustawy.

Samokształcenie nie stanowi realizacji obowiązku szkoleniowego. Może być jedynie uzupełnieniem profesjonalnych szkoleń.

Jak często należy szkolić — cykl, triggery, nowi pracownicy

Stanowisko UKNF precyzyjnie określa rytm szkoleń:

Nowi pracownicy

Procedura AML/CFT musi określać obowiązek ukończenia odpowiedniego szkolenia w odniesieniu do nowo zatrudnionych osób przed ich samodzielnym przystąpieniem do czynności związanych z AML/CFT.

Jeśli IO honoruje szkolenia, w jakich pracownik uczestniczył przed zatrudnieniem — Procedura określa warunki tego honorowania. Co istotne: nowo zatrudniona osoba zawsze powinna przejść szkolenie z zakresu specyfiki działalności IO i obowiązujących w niej procedur w obszarze AML/CFT.

Cykl aktualizujący

Szkolenia aktualizujące dla dotychczasowych pracowników są obowiązkowe w przypadku:

• zmian przepisów prawa,
• stwierdzenia istotnych nieprawidłowości w wyniku kontroli zewnętrznych, wewnętrznych, audytu,
• istotnej zmiany profilu działalności IO.

Niezależnie od tych triggerów — UKNF oczekuje, że IO wprowadzą system szkoleń uzupełniających, nie rzadziej niż co 2 lata, także przy braku wystąpienia wspomnianych okoliczności, mając na celu utrwalenie wiedzy pracowników w obszarze AML/CFT.

Co Procedura AML/CFT musi określać w obszarze szkoleń?

Stanowisko UKNF wymienia osiem elementów obowiązkowych Procedury w zakresie szkoleń:

1. Obowiązek ukończenia szkolenia przez nowo zatrudnionych przed samodzielnym przystąpieniem do czynności AML/CFT.
2. Warunki honorowania szkoleń wcześniejszych + obowiązkowe szkolenie ze specyfiki IO.
3. Częstotliwość szkoleń aktualizujących (cykl co 2 lata + triggery prawne / kontrolne / biznesowe).
4. Jednostki organizacyjne, stanowiska, pracowników oraz osoby na umowach cywilnoprawnych, którzy podlegają obowiązkowi szkoleniowemu.
5. Osoby odpowiedzialne za zapewnienie szkoleń.
6. Sposób dokumentowania udziału w szkoleniu (kto, kiedy, w jakim zakresie, przez kogo). Brak udokumentowania może oznaczać brak realizacji obowiązku szkoleniowego i narażać IO na karę administracyjną.
7. Sposób monitoringu/kontroli wykonywania obowiązku szkoleniowego przez pracowników i osoby współpracujące oraz działania wobec osób, które nie wzięły udziału w szkoleniu.
8. Sposób raportowania wykonania obowiązku szkoleniowego (statystyki + podejmowane działania) do osób nadzorujących proces AML/CFT lub organów statutowych IO.

Wymogi szczegółowe dotyczące realizacji obowiązku szkoleniowego zawarte zostały w Komunikacie GIIF nr 92 z 13 lutego 2025 r.

Procedura whistleblowing — siedem obligatoryjnych elementów

Art. 53 Ustawy zobowiązuje IO do opracowania i wdrożenia wewnętrznej procedury anonimowego zgłaszania przez pracowników lub inne osoby i podmioty wykonujące czynności na rzecz IO rzeczywistych lub potencjalnych naruszeń przepisów AML/CFT — czyli „Procedury whistleblowing".

Stanowisko UKNF wymienia siedem obligatoryjnych elementów:

1. Wyznaczenie osoby odpowiedzialnej za odbieranie zgłoszeń

Może to być konkretna osoba lub stanowisko. Kluczowy zakaz: osoba przetwarzająca zgłoszenia nie powinna być AMLRO ani inną osobą zaangażowaną w proces AML/CFT — by uniknąć rozpatrywania ewentualnych skarg na własne działanie. Pełen kontekst rozdziału funkcji prezentujemy w artykule AMLRO, członek zarządu z art. 7 i zastępowalność.

2. Sposób odbierania zgłoszeń

Wskazanie kanałów, jakimi zgłoszenie może być dokonane, zapewniające osobie zgłaszającej anonimowość.

3. Sposób ochrony pracownika lub innej osoby dokonujących zgłoszeń

Co najmniej ochrona przed działaniami:

• o charakterze represyjnym,
• wpływającymi na pogorszenie sytuacji prawnej lub faktycznej,
• polegającymi na kierowaniu gróźb.

4. Sposób ochrony danych osobowych

Zarówno osoby dokonującej zgłoszenia, jak i osoby, której zarzuca się dokonanie naruszenia — zgodnie z RODO. Procedura określa podstawę prawną przetwarzania, sposób postępowania z danymi i sposób ich przechowywania.

5. Zasady zachowania poufności

W przypadku ujawnienia tożsamości osób z pkt 4 lub gdy ich tożsamość jest możliwa do ustalenia — zawężenie kręgu osób uprawnionych do dostępu do treści zgłoszeń oraz zabezpieczenie dostępu do kanałów odbierania zgłoszeń.

6. Rodzaj i charakter działań następczych

Określenie dalszych działań po zgłoszeniu, wskazanie osób ustalających zasadność zgłoszenia, terminów poszczególnych etapów postępowania. Wynik przeprowadzonych działań w formie pisemnej powinien zostać przekazany do organów IO, które podejmą decyzje o powiadomieniu odpowiednich organów lub GIIF.

7. Termin usunięcia przez IO danych osobowych zawartych w zgłoszeniach

Określenie — zgodnie z przepisami o ochronie danych osobowych — czasu, po jakim dane osobowe przetwarzane w związku ze zgłoszeniem oraz postępowaniem wyjaśniającym zostaną usunięte.

Ochrona sygnalistów AML/CFT przed represjami — art. 53a Ustawy

Procedura whistleblowing musi precyzować, w jaki sposób IO zapewniają pracownikom oraz innym osobom wykonującym czynności związane z realizacją obowiązków z art. 74, 86, 89 i 90 Ustawy ochronę przed:

• działaniami o charakterze represyjnym,
• wpływającymi na pogorszenie ich sytuacji prawnej lub faktycznej,
• polegającymi na kierowaniu gróźb.

Pracownicy oraz inne osoby narażone na takie działania są uprawnione do zgłoszenia GIIF przypadków takich działań (art. 53a Ustawy). Sposób odbierania tych zgłoszeń określa rozporządzenie MFFiPR z 14 lipca 2021 r. w sprawie odbierania zgłoszeń dotyczących działań o charakterze represyjnym wobec pracowników oraz osób wykonujących czynności na rzecz instytucji obowiązanej.

Sposób odbierania zgłoszeń o naruszeniach AML/CFT jako takich określa rozporządzenie MF z 16 maja 2018 r. w sprawie odbierania zgłoszeń naruszeń przepisów w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.

Procedura whistleblowing jako element Procedury AML/CFT czy odrębny dokument?

Procedura whistleblowing może być elementem Procedury AML/CFT albo stanowić odrębną regulację wewnętrzną. W przypadku, gdy IO posiadają oddzielną Procedurę whistleblowing, powinna ona zawierać wszystkie siedem elementów obligatoryjnych i jednoznacznie określać, że odnosi się również do obszaru AML/CFT.

Z naszego doświadczenia model rozproszony (osobna Procedura whistleblowing) bywa łatwiejszy operacyjnie — bo jedna procedura whistleblowing pokrywa kilka reżimów (AML, RODO, ustawa o ochronie sygnalistów). Wymaga jednak udokumentowanego oświadczenia, że obejmuje obszar AML/CFT z art. 53 Ustawy.

Najważniejsze działania do podjęcia

1. Audyt programu szkoleniowego — czy obejmuje wszystkie kategorie osób (pracownicy, umowy cywilnoprawne, agenci, kadra kierownicza wyższego szczebla).
2. Test cyklu szkoleniowego — czy nowi pracownicy są szkoleni przed pierwszą czynnością AML, czy aktualizujące szkolenia odbywają się nie rzadziej niż co 2 lata.
3. Dokumentacja — czy każde szkolenie ma rejestr (kto, kiedy, w jakim zakresie, przez kogo). Brak rejestru = brak realizacji.
4. Audyt procedury whistleblowing — czy ma wszystkie 7 elementów obligatoryjnych, czy osoba odbierająca nie jest AMLRO, czy kanał zapewnia anonimowość.
5. Zgodność z RODO — sposób ochrony danych osoby zgłaszającej i osoby zarzucanej; termin usunięcia danych.
6. Mechanizm ochrony przed represjami — zgodność z art. 53a Ustawy i Rozp. MFFiPR z 14 lipca 2021 r.

Jak możemy Ci pomóc?

W Legal Geek wspieramy instytucje obowiązane w opracowaniu programu szkoleń AML/CFT zgodnego z Komunikatem GIIF nr 92 oraz w projektowaniu procedury whistleblowing zgodnej z art. 53 i 53a Ustawy. Doradzamy też przy łączeniu reżimów whistleblowingu (AML + ustawa o ochronie sygnalistów + RODO) w jeden spójny dokument. Skontaktuj się z nami przez formularz kontaktowy.

Co dalej w cyklu?

• Stanowisko UKNF dotyczące Procedury AML/CFT — przewodnik po wymogach dla instytucji obowiązanych
• AMLRO, członek zarządu z art. 7 i zastępowalność — organizacja procesu AML/CFT
• Zawiadomienia do GIIF (art. 74, 86, 90 Ustawy) i przechowywanie dokumentów AML/CFT
• Kontrola wewnętrzna, rozbieżności w CRBR i sankcja administracyjna za brak Procedury AML/CFT

Źródła

• Stanowisko UKNF dotyczące procesów AML/CFT, sekcje 7 i 8 — KNF
• Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j.), art. 47, 48, 52, 53, 53a, 74, 80, 86, 89, 90 — ISAP
• Komunikat GIIF nr 92 z 13 lutego 2025 r. — GIIF
• Rozporządzenie MFFiPR z 14 lipca 2021 r. w sprawie odbierania zgłoszeń dot. działań represyjnych — ISAP
• Rozporządzenie MF z 16 maja 2018 r. w sprawie odbierania zgłoszeń naruszeń AML/CFT — ISAP
• Rozporządzenie 2016/679 (RODO) — EUR-Lex

Powiązane artykuły z bloga Legal Geek

• Szkolenie AML i AML-RO — co musi zawierać, jak często i kogo szkolić
• Procedura wewnętrzna AML i szkolenia (art. 50 i 52)