AML KYC Policy Poland
POLITYKA PRZECIWDZIAŁANIA PRANIU PIENIĘDZY I FINANSOWANIU TERRORYZMU (AML/KYC)
[Podmiot Nazwa]
obowiązuje od dnia [Data Wejscia W Zycie]
Podstawy prawne
§ 1. Podstawy prawne i cel polityki
1. Niniejsza polityka ustanowiona jest przez [Podmiot Nazwa], [Podmiot Dane], na podstawie ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. 2023 poz. 1124 ze zm.), implementującej do prawa polskiego dyrektywy Parlamentu Europejskiego i Rady (UE) 2015/849 (4. dyrektywa AML) i (UE) 2018/843 (5. dyrektywa AML).
2. Polityka wdraża obowiązki instytucji obowiązanej w zakresie stosowania środków bezpieczeństwa finansowego, identyfikacji klientów i beneficjentów rzeczywistych (KYC), oceny ryzyka oraz raportowania podejrzanych transakcji do Generalnego Inspektora Informacji Finansowej (GIIF).
3. Oficer AML odpowiedzialny za wdrożenie polityki: [Aml Officer Nazwa].
Środki bezpieczeństwa finansowego (KYC/CDD)
§ 2. Środki bezpieczeństwa finansowego
4. Instytucja stosuje następujące środki bezpieczeństwa finansowego: [Środki Bezpieczeństwa].
5. Pełna weryfikacja tożsamości klienta wymagana jest dla transakcji o wartości przekraczającej: [Prog Kyc] oraz w każdym przypadku nawiązania stałych stosunków gospodarczych.
6. Identyfikacja klienta obejmuje: imię i nazwisko lub firmę, adres zamieszkania lub siedziby, PESEL lub NIP, numer dokumentu tożsamości (dla osób fizycznych). Weryfikacja następuje na podstawie dokumentów tożsamości lub danych z Centralnego Rejestru Beneficjentów Rzeczywistych (CRBR) prowadzonego przez Ministerstwo Finansów (art. 55 i następne ustawy o AML).
7. Przy identyfikacji beneficjenta rzeczywistego instytucja korzysta z danych z CRBR oraz własnych ustaleń — na podstawie art. 36 i następnych ustawy o AML. Beneficjentem rzeczywistym jest każda osoba fizyczna sprawująca bezpośrednio lub pośrednio kontrolę nad klientem (próg 25%).
Ocena ryzyka i kategorie klientów
§ 3. Ocena ryzyka
8. Instytucja stosuje następujące kategorie ryzyka klientów: [Kategorie Ryzyka]. Kategoryzacja opiera się na art. 27 ustawy o AML i uwzględnia czynniki ryzyka wymienione w załączniku II (niskie ryzyko) i III (wysokie ryzyko) do dyrektywy AML.
9. Wzmocnione środki należytej staranności (Enhanced Due Diligence — EDD) stosuje się wobec: osób zajmujących eksponowane stanowisko polityczne (PEP) i ich bliskich (art. 46 ustawy o AML), klientów z krajów wysokiego ryzyka wskazanych przez FATF (Grupę Specjalną ds. Przeciwdziałania Praniu Pieniędzy) oraz transakcji bez bezpośredniego kontaktu z klientem.
10. Uproszczone środki bezpieczeństwa dopuszczalne są wyłącznie w przypadkach wskazanych w art. 42 ustawy o AML, gdy udokumentowane ryzyko jest niskie, z wyłączeniem podejrzanych transakcji.
Raportowanie i procedura zgłoszeń
§ 4. Raportowanie podejrzanych transakcji
11. Instytucja przekazuje do Generalnego Inspektora Informacji Finansowej (GIIF) informacje o transakcjach podejrzanych zgodnie z art. 74 ustawy o AML, a transakcje gotówkowe powyżej 15 000 EUR rejestruje zgodnie z art. 72 ustawy o AML.
12. Pracownicy zobowiązani są do niezwłocznego zgłaszania oficerowi AML wszelkich podejrzeń prania pieniędzy lub finansowania terroryzmu. Zakaz informowania klienta o dokonanych zgłoszeniach wynika z art. 53 ustawy o AML (tipping-off).
13. Zamrożenie wartości majątkowych następuje z mocy prawa po wpisaniu na listy sankcyjne prowadzone przez Ministerstwo Spraw Wewnętrznych i Administracji (ustawa z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę) lub po otrzymaniu decyzji GIIF.
Szkolenia i audyt wewnętrzny
§ 5. Szkolenia pracowników i audyt
14. Instytucja zapewnia szkolenia pracowników z zakresu AML/KYC co najmniej raz na rok zgodnie z art. 52 ustawy o AML. Szkolenia obejmują bieżące zmiany legislacyjne, typologię prania pieniędzy i procedury raportowania.
15. Polityka podlega przeglądowi i aktualizacji nie rzadziej niż raz na dwa lata lub niezwłocznie po istotnych zmianach w przepisach prawa lub działalności instytucji. Przegląd dokumentuje się protokołem i archiwizuje przez co najmniej 5 lat zgodnie z art. 49 ustawy o AML.
16. Instytucja przechowuje dokumenty i informacje uzyskane w ramach procedur KYC przez co najmniej 5 lat od dnia zakończenia stosunków gospodarczych lub przeprowadzenia transakcji okazjonalnej.
Ochrona danych osobowych
§ 6. Ochrona danych osobowych
17. Dane osobowe klientów przetwarzane są wyłącznie w celu realizacji obowiązków ustawowych wynikających z ustawy o AML — na podstawie art. 6 ust. 1 lit. c rozporządzenia (UE) 2016/679 (RODO) i ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Nadzór nad przetwarzaniem danych sprawuje Prezes Urzędu Ochrony Danych Osobowych (PUODO).
18. Klientom przysługują prawa z art. 15-22 RODO, z ograniczeniami wynikającymi z art. 53 ustawy o AML (zakaz tipping-off) oraz innymi bezwzględnie obowiązującymi przepisami.
Zarząd / Kierownictwo
________________
Signature
Oficer AML
________________
Signature
What Is a AML KYC Policy Poland?
Polityka AML/KYC w Polsce to wewnętrzny dokument instytucji obowiązanej określający procedury przeciwdziałania praniu pieniędzy (Anti-Money Laundering — AML) i weryfikacji tożsamości klientów (Know Your Customer — KYC). Obowiązek opracowania i stosowania takiej polityki wynika z ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (t.j. Dz.U. 2023 poz. 1124 ze zm.), implementującej czwartą i piątą dyrektywę AML Unii Europejskiej.
Instytucjami obowiązanymi na mocy art. 2 ust. 1 ustawy o AML są podmioty narażone na ryzyko prania pieniędzy i finansowania terroryzmu: banki i SKOK-i, instytucje płatnicze i biura usług płatniczych, kantory walutowe i VASP (dostawcy usług kryptoaktywów), firmy ubezpieczeniowe, biura maklerskie, firmy zarządzające aktywami, notariusze i adwokaci wykonujący czynności finansowe, biegli rewidenci, doradcy podatkowi, biura rachunkowe, agenci nieruchomości. Każda z tych kategorii zobowiązana jest do posiadania wewnętrznej procedury AML/KYC zatwierdzonej przez najwyższy organ zarządzający.
Kluczoawym elementem polityki AML/KYC są środki bezpieczeństwa finansowego (Customer Due Diligence — CDD). Zgodnie z art. 33-41 ustawy o AML instytucja obowiązana stosuje: identyfikację i weryfikację tożsamości klienta (Standard KYC), identyfikację beneficjenta rzeczywistego z Centralnego Rejestru Beneficjentów Rzeczywistych (CRBR) prowadzonego przez Ministerstwo Finansów, ocenę celu i zamierzonego charakteru stosunków gospodarczych oraz bieżący monitoring tych stosunków. Wobec klientów wysokiego ryzyka — w szczególności osób zajmujących eksponowane stanowisko polityczne (PEP) i ich bliskich — stosowane są wzmocnione środki CDD (Enhanced Due Diligence — EDD) zgodnie z art. 46 ustawy o AML.
Obowiązek raportowania stanowi istotę systemu AML. Instytucja obowiązana przekazuje do Generalnego Inspektora Informacji Finansowej (GIIF) przy Ministerstwie Finansów informacje o transakcjach gotówkowych powyżej 15 000 EUR (art. 72 ustawy o AML) oraz zawiadomienia o podejrzeniu prania pieniędzy lub finansowania terroryzmu (art. 74 ustawy o AML). GIIF jest polską jednostką analityki finansowej (Financial Intelligence Unit — FIU) działającą w sieci Egmont Group. Naruszenie obowiązku raportowania grozi karą do 5 000 000 EUR lub 10% rocznego obrotu instytucji.
Szkolenia pracowników i audyt wewnętrzny to kolejne filary polityki AML/KYC. Art. 52 ustawy o AML nakłada obowiązek regularnych szkoleń pracowników z zakresu obowiązków AML — minimum raz na rok. Polityka powinna precyzować zakres szkoleń, programy testowania wiedzy i sposoby dokumentowania szkoleń. Audyt wewnętrzny skuteczności procedur AML przeprowadzany jest co najmniej raz na dwa lata lub po istotnych zmianach w przepisach prawa. Przechowywanie dokumentacji AML przez 5 lat jest obowiązkowe zgodnie z art. 49 ustawy o AML.
When Do You Need a AML KYC Policy Poland?
Polityka AML/KYC w Polsce jest potrzebna każdej instytucji obowiązanej, która prowadzi działalność narażoną na ryzyko prania pieniędzy i finansowania terroryzmu.
Banki, SKOK-i i instytucje finansowe. Obowiązek stosowania procedur AML/KYC jest dla nich podstawowym wymogiem licencyjnym — brak polityki lub jej niestosowanie grozi cofnięciem licencji przez Komisję Nadzoru Finansowego (KNF).
Instytucje płatnicze i kantory kryptowalut. Każda krajowa instytucja płatnicza, biuro usług płatniczych i VASP (kantor kryptowalutowy) wpisany do rejestru GIIF musi posiadać pisemną politykę AML/KYC zatwierdzoną przez zarząd.
Biura rachunkowe i doradcy podatkowi. Ustawa o AML objęła swoim zakresem biura rachunkowe, doradców podatkowych i biegłych rewidentów jako instytucje obowiązane — muszą posiadać procedury KYC dla klientów i weryfikować beneficjentów rzeczywistych obsługiwanych podmiotów.
Notariusze i prawnicy. Notariusze sporządzający akty notarialne dotyczące transakcji nieruchomościami, udziałami i znaczącymi aktywami oraz adwokaci i radcowie prawni wykonujący czynności finansowe są instytucjami obowiązanymi i muszą stosować KYC.
Agenci nieruchomości i deweloperzy. Pośrednicy w obrocie nieruchomościami i deweloperzy podlegają ustawie o AML ze względu na wysoką wartość transakcji i potencjalne ryzyko prania pieniędzy przez nieruchomości.
Wprowadzenie nowego produktu finansowego. Przy wprowadzeniu nowego produktu lub usługi finansowej instytucja przeprowadza ocenę ryzyka AML i aktualizuje politykę zgodnie z art. 27-32 ustawy o AML.
What to Include in Your AML KYC Policy Poland
Polityka AML/KYC w Polsce musi zawierać poniższe elementy, aby spełniała wymogi art. 50 ustawy o AML i była skuteczna w praktyce.
Dane instytucji obowiązanej i oficer AML. Pełna firma, adres, NIP i rodzaj instytucji obowiązanej. Wyznaczenie oficera AML (AMLCO) na podstawie art. 8 ustawy o AML — osoby z kadry kierowniczej odpowiedzialnej za wdrożenie i nadzór procedur. Oficer AML powinien być nazwany z imienia i nazwiska.
Ocena ryzyka i matryca ryzyka klientów. Szczegółowa ocena ryzyka prania pieniędzy i finansowania terroryzmu dla działalności instytucji zgodnie z art. 27-32 ustawy o AML. Matryca klientów na kategorie: niskie ryzyko (klienci krajowi ze stałą relacją), standardowe i wysokie ryzyko (PEP, kraje FATF, anonimowe transakcje). Czynniki ryzyka z załączników II i III do dyrektywy AML 4.
Środki bezpieczeństwa finansowego (KYC/CDD). Standardowe środki (art. 33-35 ustawy o AML): identyfikacja, weryfikacja tożsamości, beneficjent rzeczywisty z CRBR, cel stosunków gospodarczych, bieżący monitoring. Uproszczone środki (art. 42) dla klientów niskiego ryzyka. Wzmocnione środki (EDD, art. 46) dla PEP, klientów z krajów wysokiego ryzyka FATF i transakcji bez kontaktu osobistego.
Progi KYC i weryfikacja tożsamości. Konkretne progi transakcyjne wymagające pełnej weryfikacji: 1 000 EUR dla VASP (kantorów kryptowalutowych), 1 000 EUR przy transakcjach gotówkowych i 15 000 EUR dla ogólnych transakcji okazjonalnych. Wymagane dokumenty: dowód osobisty/paszport, potwierdzenie adresu, dokumenty korporacyjne i KRS.
Raportowanie do GIIF. Procedura zgłaszania transakcji gotówkowych powyżej 15 000 EUR (art. 72), zawiadomień o podejrzeniu prania pieniędzy (art. 74) i zakaz tipping-off (art. 53). Odpowiedź na żądanie GIIF i zamrożenie środków.
Szkolenia i archiwizacja. Roczne szkolenia pracowników (art. 52) z dokumentacją. Przechowywanie dokumentacji KYC i transakcji przez 5 lat (art. 49). Cykl przeglądu polityki — co najmniej co 2 lata. Na forms-legal.com znajdziesz wzory dokumentów AML dla sektora finansowego.
Ochrona sygnalistów. Procedura zgłaszania naruszeń przez pracowników bez ryzyka retaliacji, zgodna z ustawą z dnia 14 czerwca 2024 r. o ochronie sygnalistów implementującą dyrektywę (UE) 2019/1937.
How to Fill Out Your AML KYC Policy Poland
Politykę AML/KYC w Polsce wypełnia się według kroków zapewniających spełnienie wymogów ustawy z 1 marca 2018 r. o AML i praktyczną użyteczność dokumentu.
Krok 1 — wpisz dane instytucji obowiązanej. Podaj pełną firmę, adres siedziby, NIP, KRS i rodzaj instytucji obowiązanej zgodnie z art. 2 ust. 1 ustawy o AML. Wpisz datę wejścia polityki w życie.
Krok 2 — wyznacz oficera AML. Wpisz imię i nazwisko osoby z kadry kierowniczej wyznaczonej jako AMLCO (Anti-Money Laundering Compliance Officer) zgodnie z art. 8 ustawy o AML. Oficer AML jest odpowiedzialny za wdrożenie procedur i kontakt z GIIF.
Krok 3 — zaznacz stosowane środki bezpieczeństwa. Zaznacz wszystkie środki bezpieczeństwa finansowego stosowane przez instytucję: identyfikacja klienta, weryfikacja tożsamości, identyfikacja beneficjenta rzeczywistego z CRBR, bieżący monitoring stosunków, procedura PEP i EDD, szkolenia pracowników.
Krok 4 — wpisz progi KYC. Podaj konkretne kwoty transakcyjne wymagające pełnej weryfikacji tożsamości — 1 000 EUR dla VASP, 1 000 EUR dla transakcji gotówkowych bez stałej relacji, 15 000 EUR dla transakcji okazjonalnych. Wpisz wymagane dokumenty dla osób fizycznych i prawnych.
Krok 5 — opisz kategorie ryzyka klientów. Opisz matrycę ryzyka: klienci niskiego, standardowego i wysokiego ryzyka z konkretnymi kryteriami kwalifikacyjnymi i stosowanymi środkami. Uwzględnij kraje FATF o wysokim ryzyku.
Krok 6 — opisz procedurę raportowania do GIIF. Wskaż tryb wewnętrznego zgłaszania podejrzanych transakcji do oficera AML i dalej do GIIF. Opisz zakaz tipping-off i konsekwencje jego naruszenia.
Krok 7 — opisz szkolenia. Wskaż częstotliwość szkoleń (minimum roczna), zakres tematyczny i sposób dokumentowania. Opisz sankcje dla pracowników nierespektujących procedur AML.
Krok 8 — wpisz datę i podpisz. Politykę zatwierdza najwyższy organ zarządzający (zarząd, wspólnicy). Datę wejścia w życie wpisz na stronie tytułowej. Archiwizuj kolejne wersje polityki przez 5 lat.
Legal Requirements for AML KYC Policy Poland
Polityka AML/KYC w Polsce obowiązuje wszystkie instytucje obowiązane i podlega nadzorowi GIIF oraz organu sektorowego (KNF, notariusze — samorząd notarialny, doradcy podatkowi — KIDP).
Ustawa AML z 1 marca 2018 r. — główne obowiązki. Art. 8 — wyznaczenie AMLCO z kadry kierowniczej i pracownika wyższego szczebla odpowiedzialnego za raportowanie do GIIF. Art. 10 — opracowanie i wdrożenie wewnętrznych procedur AML stosownych do charakteru, skali i zakresu działalności. Art. 27-32 — ocena ryzyka prania pieniędzy i finansowania terroryzmu (instytucja zobowiązana prowadzić własną ocenę i aktualizować ją co 2 lata). Art. 33-41 — środki bezpieczeństwa finansowego. Art. 42-44 — uproszczone i wzmocnione środki CDD. Art. 46 — wzmocnione środki wobec PEP. Art. 49 — przechowywanie dokumentacji przez 5 lat. Art. 52 — szkolenia pracowników co najmniej raz w roku. Art. 72 — rejestracja transakcji gotówkowych powyżej 15 000 EUR. Art. 74 — zawiadamianie GIIF o podejrzeniu prania pieniędzy.
Dyrektywy AML 4 i 5. Dyrektywa (UE) 2015/849 (4. AML) i dyrektywa (UE) 2018/843 (5. AML) stanowią unijną podstawę dla polskiej ustawy o AML. Dyrektywa 5. AML objęła zakresem VASP (kantory kryptowalutowe) i wzmocniła wymogi dla PEP i państw trzecich wysokiego ryzyka.
Nadzór nad instytucjami obowiązanymi. KNF nadzoruje banki, instytucje płatnicze, firmy ubezpieczeniowe i inne podmioty rynku finansowego. GIIF nadzoruje VASP, biura rachunkowe, notariuszy i inne niefinansowe instytucje obowiązane. Organy sektorowe (PANA, samorząd notarialny, KIDP) nadzorują odpowiednie grupy zawodowe.
Sankcje za naruszenie obowiązków AML. Kara pieniężna do 5 000 000 EUR lub 10% całkowitych przychodów z poprzedniego roku obrotowego. Cofnięcie zezwolenia lub wykreślenie z rejestru. Publiczne ogłoszenie o naruszeniu. Zakaz pełnienia funkcji zarządczych przez osoby odpowiedzialne. Odpowiedzialność karna zarządu za poważne naruszenia (art. 153-157 ustawy o AML).
Common Mistakes to Avoid in Your AML KYC Policy Poland
Polityka AML/KYC w Polsce bywa wadliwa z powodu typowych błędów, które narażają instytucję na sankcje GIIF i organu nadzorczego.
Błąd 1 — brak wyznaczenia oficera AML. Niepowołanie AMLCO z kadry kierowniczej narusza art. 8 ustawy o AML. Zalecenie: wyznacz konkretną osobę (imię, nazwisko, stanowisko) jako oficera AML i udokumentuj to uchwałą zarządu.
Błąd 2 — nieaktualizowanie oceny ryzyka. Posiadanie oceny ryzyka sprzed 2+ lat, nieodzwierciedlającej aktualnej działalności, narusza art. 27 ustawy o AML. Zalecenie: przeglądaj i aktualizuj ocenę ryzyka co najmniej co 2 lata i po każdej istotnej zmianie w działalności lub przepisach.
Błąd 3 — brak weryfikacji beneficjentów rzeczywistych z CRBR. Niepobieranie danych z Centralnego Rejestru Beneficjentów Rzeczywistych przy nawiązywaniu stosunków z podmiotami prawnymi narusza art. 36 ustawy o AML. Zalecenie: przy każdym nowym kliencie będącym osobą prawną weryfikuj CRBR i dokumentuj wynik.
Błąd 4 — niestosowanie EDD wobec PEP. Traktowanie osób zajmujących eksponowane stanowisko polityczne i ich bliskich jak zwykłych klientów narusza art. 46 ustawy o AML. Zalecenie: prowadź listę PEP na podstawie oficjalnych wykazów i stosuj EDD automatycznie.
Błąd 5 — niezgłaszanie podejrzanych transakcji do GIIF. Pracownicy, którzy nie wiedzą, kiedy i jak zgłaszać podejrzane transakcje, nie realizują obowiązku z art. 74. Zalecenie: szkol pracowników co najmniej raz w roku i opisz w procedurze konkretne wskaźniki podejrzania.
Błąd 6 — brak archiwizacji dokumentacji KYC przez 5 lat. Usuwanie danych klientów wcześniej narusza art. 49 ustawy o AML. Zalecenie: wdróż system retencji danych z automatycznym 5-letnim cyklem archiwizacji po zakończeniu stosunków z klientem.
Cite this page
Reference this free template in an article, syllabus, or research note:
Forms Legal. (2026). AML KYC Policy Poland (Poland) [Legal document template]. Forms Legal. https://forms-legal.com/polska/business/policies/aml-kyc-policy-poland
"AML KYC Policy Poland (Poland)." Forms Legal, 2026, https://forms-legal.com/polska/business/policies/aml-kyc-policy-poland.
@misc{formslegal-aml-kyc-policy-poland,
author = {{Forms Legal}},
title = {AML KYC Policy Poland (Poland)},
year = {2026},
howpublished = {\url{https://forms-legal.com/polska/business/policies/aml-kyc-policy-poland}},
note = {Free legal document template}
}Frequently Asked Questions
Obowiązek posiadania i stosowania wewnętrznych procedur AML/KYC wynika z art. 10 ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu i dotyczy wszystkich instytucji obowiązanych wymienionych w art. 2 ust. 1 ustawy. Są to: banki, SKOK-i, instytucje płatnicze, biura usług płatniczych, kantory walutowe, VASP (kantory i giełdy kryptowalut), firmy ubezpieczeniowe, biura maklerskie, towarzystwa funduszy inwestycyjnych, notariusze i adwokaci wykonujący czynności finansowe, biegli rewidenci, doradcy podatkowi, biura rachunkowe, agenci nieruchomości i deweloperzy. Polityka AML musi być zatwierdzona przez najwyższy organ zarządzający instytucji i regularnie aktualizowana. Brak polityki lub jej niestosowanie grozi karą finansową do 5 000 000 EUR lub 10% rocznego obrotu, a dla członków zarządu — karą do 1 000 000 zł lub zakazem pełnienia funkcji kierowniczych.
Beneficjent rzeczywisty to osoba fizyczna, która sprawuje bezpośrednio lub pośrednio kontrolę nad podmiotem prawnym (klientem instytucji obowiązanej) lub na rzecz której przeprowadzana jest transakcja — definicja z art. 2 ust. 2 pkt 1 ustawy o AML. Dla spółek prawa handlowego beneficjentem rzeczywistym jest osoba fizyczna posiadająca bezpośrednio lub pośrednio powyżej 25% udziałów lub praw głosu. Centralny Rejestr Beneficjentów Rzeczywistych (CRBR) prowadzony przez Ministerstwo Finansów (crbr.podatki.gov.pl) zawiera dane beneficjentów rzeczywistych spółek wpisanych do KRS i jest publicznie dostępny. Instytucja obowiązana weryfikuje dane z CRBR przy nawiązywaniu stosunków z klientem będącym podmiotem prawnym. Jeżeli danych w CRBR brak lub są nieaktualne, instytucja musi samodzielnie ustalić beneficjenta na podstawie dokumentów korporacyjnych. Rozbieżności między CRBR a dokumentami instytucja zobowiązana jest zgłaszać do Ministerstwa Finansów. Brak weryfikacji beneficjenta rzeczywistego narusza art. 36 ustawy o AML i grozi karą finansową.
Osoby zajmujące eksponowane stanowisko polityczne (PEP — Politically Exposed Persons) to osoby fizyczne sprawujące lub sprawujące w przeszłości ważne funkcje publiczne, wymienione w art. 2 ust. 2 pkt 11 ustawy o AML. Należą do nich: szefowie państw i rządów, ministrowie i wiceministrowie, parlamentarzyści, sędziowie trybunałów konstytucyjnych i sądów najwyższych, prezesi banków centralnych, ambasadorzy i wyżsi oficerowie wojskowi, członkowie organów spółek państwowych, prezesi partii politycznych. PEP obejmuje również ich małżonków, dzieci i ich małżonków, rodziców i znane bliskie osoby powiązane z PEP. Instytucja obowiązana jest zobowiązana stosować wzmocnione środki należytej staranności (EDD) wobec PEP na podstawie art. 46 ustawy o AML. EDD obejmuje: uzyskanie zgody kadry kierowniczej przed nawiązaniem lub kontynuowaniem stosunków, ustalenie źródła majątku i źródła środków, intensywniejszy monitoring stosunków. Instytucja weryfikuje status PEP przy wdrożeniu klienta i regularnie (co najmniej raz w roku) sprawdza, czy klient uzyskał lub utracił status PEP. Listy PEP dostępne są przez komercyjnych dostawców danych (WorldCheck, Refinitiv, Dow Jones).
Do Generalnego Inspektora Informacji Finansowej (GIIF) przy Ministerstwie Finansów zgłaszane są dwa rodzaje informacji. Po pierwsze — obowiązek rejestracji transakcji gotówkowych: każda transakcja gotówkowa (wpłata lub wypłata gotówki lub wymiana banknotów) o wartości powyżej 15 000 EUR lub jej równowartości w innej walucie, jednorazowa lub kilka powiązanych operacji, musi zostać zarejestrowana i przekazana do GIIF w terminie 7 dni roboczych (art. 72 ustawy o AML). Po drugie — zawiadomienia o podejrzeniu prania pieniędzy lub finansowania terroryzmu: gdy instytucja obowiązana wie lub podejrzewa, że transakcja lub środki z niej pochodzące mają związek z praniem pieniędzy lub finansowaniem terroryzmu, musi niezwłocznie zawiadomić GIIF (art. 74 ustawy o AML) i wstrzymać realizację transakcji na 24 godziny w celu uzyskania decyzji GIIF. Zawiadomienie przekazywane jest za pośrednictwem systemu teleinformatycznego GIIF (GOAML). Zakaz informowania klienta o zgłoszeniu do GIIF (tipping-off, art. 53) pod karą do 1 000 000 zł. GIIF jest polską jednostką wywiadu finansowego (FIU) w sieci Egmont Group.
Instytucja obowiązana zobowiązana jest przechowywać dokumentację KYC i dane transakcyjne przez co najmniej 5 lat od daty zakończenia stosunków gospodarczych z klientem lub od daty przeprowadzenia transakcji okazjonalnej — zgodnie z art. 49 ustawy z dnia 1 marca 2018 r. o AML. Obowiązek ten dotyczy: kopii dokumentów tożsamości klientów i beneficjentów rzeczywistych zebranych w procesie KYC, wyników weryfikacji CRBR i własnych ustaleń dotyczących struktury własnościowej, historii transakcji i raportów SAR przekazanych do GIIF, dokumentacji oceny ryzyka klienta i zmiany jego kategorii ryzyka, korespondencji z GIIF i KNF dotyczącej klienta. Po upływie 5 lat dokumentacja podlega bezpiecznemu zniszczeniu, chyba że prowadzone jest postępowanie karne lub administracyjne dotyczące klienta — wówczas okres przechowywania ulega przedłużeniu do prawomocnego zakończenia postępowania. Instytucja musi zapewnić dostępność dokumentacji na żądanie GIIF, KNF lub prokuratury w wymaganym terminie.
Naruszenie obowiązków wynikających z ustawy z dnia 1 marca 2018 r. o AML zagrożone jest rozbudowanym systemem sankcji administracyjnych i karnych. Sankcje administracyjne (art. 150 ustawy o AML): kara pieniężna do 5 000 000 EUR lub do 10% całkowitych przychodów instytucji z poprzedniego roku obrotowego (wyższa z kwot), nakaz zaprzestania naruszenia i usunięcia jego skutków, cofnięcie zezwolenia lub wykreślenie z rejestru, publiczne ogłoszenie o naruszeniu (naming & shaming), zakaz pełnienia funkcji kierowniczych przez osoby odpowiedzialne (do 1 roku lub bezterminowo). Sankcje karne (art. 153-157 ustawy o AML): kara grzywny do 1 000 000 zł za poszczególne naruszenia (np. nieprowadzenie rejestru transakcji, brak szkoleń), kara pozbawienia wolności do 3 lat dla osób fizycznych prowadzących działalność VASP bez wpisu do rejestru GIIF. Najsurowsze sankcje za pranie pieniędzy sensu stricto grożą na podstawie art. 299 Kodeksu karnego — do 8 lat pozbawienia wolności. Prezes UOKiK może nałożyć karę za naruszenie praw konsumentów jeśli instytucja stosuje praktyki uniemożliwiające dostęp do usług finansowych.
Travel Rule (reguła podróżowania) to obowiązek przekazywania informacji identyfikacyjnych o nadawcy (inicjatorze) i odbiorcy przy zleceniach przelewu, wywodzący się z Rekomendacji 16 FATF (Financial Action Task Force). W Polsce dla tradycyjnych przelewów bankowych stosowany jest od lat jako wymóg podawania danych zleceniodawcy w systemach płatniczych SWIFT i SEPA. Od 30 grudnia 2024 r. Travel Rule rozszerzono na transfery kryptoaktywów na mocy rozporządzenia (UE) 2023/1113 (Transfer of Funds Regulation — TFR), implementowanego w Polsce art. 60b ustawy o AML. Instytucje finansowe i CASP muszą przy każdym transferze pieniężnym lub kryptoaktywów zbierać i przekazywać do instytucji odbiorcy dane inicjatora: imię, nazwisko, numer rachunku lub adres blockchain, adres zamieszkania lub datę i miejsce urodzenia lub numer dokumentu tożsamości lub PESEL. Brak przekazania danych Travel Rule przy transgranicznych przelewach powyżej 1 000 EUR naraża instytucję na sankcje KNF i GIIF. Skuteczne wdrożenie Travel Rule wymaga aktualizacji systemów transakcyjnych i polityki AML instytucji.
Polityka AML/KYC powinna być aktualizowana co najmniej raz na dwa lata, a obowiązek przeprowadzania regularnej oceny ryzyka w tym samym rytmie wynika wprost z art. 27 ustawy z dnia 1 marca 2018 r. o AML. Przegląd polityki powinien nastąpić niezwłocznie w razie: istotnych zmian w przepisach prawa (nowelizacja ustawy o AML, nowe rozporządzenia UE, lista krajów wysokiego ryzyka FATF), znaczącej zmiany profilu działalności instytucji (nowe produkty, nowe rynki, nowe kategorie klientów), zmiany struktury własnościowej instytucji, wskazań nadzorczych ze strony GIIF, KNF lub innego organu nadzorczego. Każda wersja polityki powinna być datowana, zatwierdzona przez zarząd i archiwizowana przez 5 lat. Polityka musi uwzględniać aktualne listy krajów wysokiego ryzyka FATF, zaktualizowane listy sankcyjne UE i ONZ, zmiany w regulacjach dotyczących kryptoaktywów (MiCA, Travel Rule) i nowe typologie prania pieniędzy publikowane przez GIIF i Europejski Urząd Nadzoru Bankowego (EBA).
This template is provided for informational purposes only and does not constitute legal advice. Laws vary by jurisdiction and change over time. Consult a qualified attorney for advice specific to your situation.Full disclaimer
Found an error? Let us knowRelated Documents
You may also find these documents useful:
Regulamin kantoru kryptowalut
Wzór regulaminu kantoru kryptowalut w Polsce — VASP w rejestrze GIIF, ustawa AML 01.03.2018, rozporządzenie MiCA, KYC/CDD, progi transakcyjne i ochrona RODO. Dla kantorów BTC, ETH, USDT.
Regulamin płatności online
Wzór regulaminu płatności online w Polsce zgodny z ustawą o usługach płatniczych z 19 sierpnia 2011 r. i dyrektywą PSD2. Reguluje zasady autoryzacji transakcji, silne uwierzytelnianie (SCA), limity AML, reklamacje i ochronę danych RODO.
Polityka prywatności (RODO)
Wzór polityki prywatności RODO dla strony internetowej i działalności w Polsce, zgodny z obowiązkiem informacyjnym z art. 13-14 RODO oraz ustawą z 10 maja 2018 r. o ochronie danych osobowych.
Polityka bezpieczeństwa informacji
Wzór polityki bezpieczeństwa informacji dla firm w Polsce, zgodnej z RODO art. 24, 25, 32 i ustawą z 10.05.2018 r. Określa środki techniczne, organizacyjne, procedurę incydentów i zasady privacy by design dla administratorów danych.