Obowiązki i kary
W dzisiejszym złożonym świecie regulacji, instytucje zobowiązane muszą spełniać szereg wymogów, w tym w zakresie ochrony danych osobowych, przeciwdziałania praniu pieniędzy oraz przepisów dotyczących sygnalistów. Nowe regulacje obejmują szerszy zakres zgłoszeń oraz większą liczbę podmiotów uprawnionych do ich dokonywania.
Kluczowe elementy do wdrożenia w podmiotach obowiązanych.
Ustawa o ochronie sygnalistów
- Wdrożenie procedury przyjmowania zgłaszania naruszeń prawa i podejmowania działań następczych.
- Stworzenie poufnego kanału zgłoszeń wewnętrznych w organizacji.
- Prowadzenie rejestru zgłoszeń.
- Wykonywanie działań następczych po otrzymaniu zgłoszenia.
- Przekazywanie sygnaliście informacji w terminach zgodnych z ustawą.
- Zapewnienie poufności danych sygnalisów.
AML
- Identyfikacja i ocena ryzyka związanego z praniem pieniędzy oraz finansowaniem terroryzmu - należy pamiętać, że ocena ryzyka musi być aktualizowana w razie wystąpienia takiej potrzeby, przynajmniej raz na dwa lata.
- Wdrożenie i stosowanie środków bezpieczeństwa finansowego odpowiednich do ryzyka zidentyfikowanego podczas analizy klienta - zakres działań obejmuje identyfikację klienta oraz beneficjenta rzeczywistego, ocenę i monitorowanie jego stosunków gospodarczych.
- Gromadzenie i przekazywanie odpowiednim instytucjom informacji wymaganych przez ustawę.
- Współpraca z GIIF w przypadku podejrzenia prania pieniędzy lub finansowania terroryzmu.
- Wdrożenie działań organizacyjnych w celu zapewnienia właściwego wykonania podstawowych zadań instytucji obowiązanych.
RODO
- Określenie celów przetwarzania danych osobowych oraz poinformowanie klientów o tym, które dane osobowe są przetwarzane przez firmę i w jakim celu - obowiązek musi zostać spełniony w rozsądnym terminie od pozyskania danych, jednak nie później niż w ciągu miesiąca.
- Zgłaszanie naruszeń - naruszenie to np. przypadkowe ujawnienie danych osobowych klientów lub zagubienie niezaszyfrowanego nośnika zawierającego bazę klientów. Wystąpienie takiej sytuacji wymaga zgłoszenia do Urzędu Ochrony Danych Osobowych w ciągu 72 godzin.
- Ochrona danych osobowych pracowników i kontrahentów przed ujawnieniem.
- Prowadzenie rejestru czynności przetwarzania - aby rejestr był kompletny i spełniał wymogi ustawy musi zawierać elementy art. 30 ust. 1 RODO.
- Realizacja prawa klienta do usunięcia danych - potocznie nazywane “prawo do bycia zapomnianym” musi zostać zrealizowane bez zbędnej zwłoki.
- Wyznaczenie Inspektora Danych Osobowych - obowiązkowe dla podmiotów wskazanych w art. 37 RODO.
Naruszenia powodujące nałożenie kary-Sygnalista
- Niewdrożenie lub niewłaściwe wdrożenie procedury wewnętrznej
- Uniemożliwienie lub utrudnianie dokonania zgłoszenia (w tym niewdrożenie kanału zgłoszeń)
- Podejmowanie działań odwetowych względem sygnalistów
- Ujawnienie tożsamości sygnalisty
Za dopuszczenie się powyższych naruszeń ustawa przewiduje karę grzywny oraz pozbawienia wolności do lat 3.
Najwyższa kara związana z AML
7000000
PLN
Została nałożona na Credit Agricole, a jej przyczyną było naruszenie m.in. obowiązku udziału osób wykonujących obowiązki związane z przeciwdziałaniem praniu pieniędzy oraz finansowaniu terroryzmu w programach szkoleniowych, a także naruszenie obowiązku przekazywania Generalnemu Inspektorowi wskazanych informacji przez instytucje
Najczęstsze przyczyny kar związanych z AML
- Niestworzenie lub nieaktualizowanie ocen ryzyka
- Procedury wewnętrzne nie spełniające wymogów ustawy lub nie posiadanie procedur wewnętrznych
- Brak potwierdzenia przeszkolenia pracowników
- Niezgłoszenie transakcji do GIIF
Kary nałożone w 2023 roku za uchybienia AML
Kwota w PLN | Liczba nałożonych kar |
|---|---|
| 1 500 - 5 000 | 11 |
| 5 000 - 15 000 | 21 |
| powyżej 15 000 | 8 |
Jakie są kary za nieprzestrzeganie RODO oraz ile wynoszą?
Przepisy RODO zakładają dwie kategorie kar finansowych, które są różne w zależności od rodzaju przewinienia
- do 10 lub 20 mln euro
- do 2 lub 4% całkowitego rocznego obrotu podmiotu z poprzedniego roku
Czynniki, które wpływają na wysokość kary to m.in.:
- Charakter i powaga naruszenia
- Okres trwania naruszenia
- Liczba osób poszkodowanych i wielkość poniesionych przez nie strat
- Rodzaje danych osobowych, których dotyczyło naruszenie RODO
- Działania podjęte w celu ograniczenia szkód
- Stopień odpowiedzialności administratora danych lub podmiotu przetwarzającego (z uwzględnieniem zastosowanych środków technicznych i organizacyjnych
- Poziom współpracy z organem nadzorczym
- Sposób, w jaki organ nadzorczy został poinformowany o naruszeniu, w szczególności czy i w jakim zakresie administrator lub podmiot przetwarzający zgłosił naruszenie
Przykłady kar nałożonych za niespełnienie przepisów RODO
Podmiot | Kara |
|---|---|
| Fortum Marketing and Sales Polska S.A. | 1 000 000 euro |
| Santander Bank Polska S.A. | 117 000 euro |
| Politechnika Warszawska | 10 000 euro |
| Cyfrowy Polsat S.A. | 245 000 euro |
| Przedsiębiorca prowadzący niepubliczny żłobek i przedszkole | 1 168 euro |
| Spółdzielnia mieszkaniowa | 11 100 euro |
| Sułkowicki Ośrodek Kultury | 530 euro |
Masz pytania?
Skontaktuj się z nami
ul. Karola Olszewskiego 6, 25-663 Kielce
NIP: 6572736550 KRS: 0000277160
