Polityka przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu

1. WPROWADZENIE

PAYCOTCOM SPÓŁKA Z OGRANICZONĄ ODPOWIEDZIALNOŚCIĄ (dalej jako „Spółka”) jest spółką z ograniczoną odpowiedzialnością zarejestrowaną w Polsce pod następującymi danymi:

Numer rejestracyjny: 0001025475
Adres siedziby: ul. Władysława Reymonta 15/1, 60-791 Poznań, POLSKA

Spółka świadczy usługi kupna i sprzedaży kryptowalut za waluty fiducjarne wyłącznie za pośrednictwem swojej strony internetowej paycot.com. Działalność ta klasyfikowana jest jako wymiana między walutami wirtualnymi a środkami płatniczymi zgodnie z art. 2 pkt 1 ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu Rzeczypospolitej Polskiej (dalej „Ustawa”), co powoduje, że Spółka jest instytucją obowiązaną.

Spółka podlega nadzorowi Generalnego Inspektora Informacji Finansowej (GIIF). GIIF w realizacji swoich zadań wspierany jest przez Departament Informacji Finansowej Ministerstwa Finansów, który pełni funkcję polskiej jednostki analityki finansowej (dalej „FIU”).

Spółka jest wpisana do Rejestru działalności w zakresie walut wirtualnych (Rejestr działalności w zakresie walut wirtualnych) pod numerem RDWW-1226 zgodnie z wymogami Ustawy.

100% klientów Spółki stanowią osoby fizyczne (osoby fizyczne), które dokonują transakcji ze Spółką jako nabywcy lub sprzedawcy. Klienci Spółki nie mogą dokonywać transakcji między sobą.

Celem niniejszej Polityki Przeciwdziałania Praniu Pieniędzy i Finansowaniu Terroryzmu (dalej „Polityka AML”) jest określenie wewnętrznych zasad, praktyk, procedur oraz mechanizmów kontrolnych Spółki w zakresie zapobiegania praniu pieniędzy oraz finansowaniu terroryzmu (dalej „AML”).

Polityka AML została opracowana i jest okresowo aktualizowana przez Inspektora ds. Zgodności (Compliance Officer) Spółki, w oparciu o ogólne zasady określone przez Zarząd oraz kierownictwo wyższego szczebla w zakresie AML.

Niniejsza Polityka AML opiera się w szczególności na:

Ustawie;
Dyrektywie Parlamentu Europejskiego i Rady (UE) 2018/843 z dnia 30 maja 2018 r. zmieniającej dyrektywę (UE) 2015/849 w sprawie zapobiegania wykorzystywaniu systemu finansowego do prania pieniędzy lub finansowania terroryzmu oraz zmieniającej dyrektywy 2009/138/WE i 2013/36/UE.

Zarząd zobowiązuje się zapewnić, że zarówno członkowie Spółki, jak i jej pracownicy przestrzegają wymogów określonych w niniejszej Polityce AML oraz w Ustawie, a także zapewnia bieżące szkolenia dotyczące zagadnień objętych Polityką AML.

Polityka AML ma zastosowanie do wszystkich klientów Spółki, niezależnie od częstotliwości oraz wartości transakcji.

W tym zakresie Inspektor ds. Zgodności odpowiada za aktualizację Polityki AML w celu zapewnienia zgodności z obowiązującymi przepisami dotyczącymi przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu (dalej „Przepisy AML”) oraz przyszłymi wymogami w zakresie identyfikacji klientów oraz procedur należytej staranności, które Spółka jest zobowiązana stosować.

Przestępcy w szczególności wykorzystują instytucje świadczące usługi finansowe, za pośrednictwem których próbują legalizować środki pochodzące z działalności przestępczej, przy czym największym wyzwaniem jest ich zamiar dokonania tego bez wiedzy lub podejrzeń ze strony instytucji.

W związku z powyższym Unia Europejska przyjęła dyrektywy mające na celu zwalczanie prania pieniędzy i finansowania terroryzmu. Dyrektywy te, wraz z rozporządzeniami, przepisami oraz wytycznymi branżowymi, stanowią podstawę obowiązków AML Spółki oraz określają czyny zabronione i sankcje za ich naruszenie.

Spółka wdrożyła systemy oraz procedury spełniające standardy określone przez Unię Europejską w zakresie AML. Systemy te odzwierciedlają dążenie kadry zarządzającej do zapobiegania wykorzystywaniu Spółki do prania pieniędzy oraz finansowania działalności przęstepczej.

2. DEFINICJE

Na potrzeby niniejszej Polityki AML stosuje się następujące definicje:

„Beneficjent rzeczywisty” – zgodnie z art. 2 pkt 2 ppkt 1) Ustawy;
„Stosunek gospodarczy” – zgodnie z art. 2 pkt 2 ppkt 20) Ustawy;
„Struktura własności beneficjenta rzeczywistego” – oznacza układ identyfikujący osoby fizyczne, które ostatecznie posiadają lub kontrolują podmiot prawny bezpośrednio lub pośrednio, w tym poprzez własność lub inne środki. Obejmuje to osoby posiadające co najmniej 25% udziałów lub praw głosu albo sprawujące kontrolę w inny sposób, zgodnie z art. 2 pkt 2 ppkt 1) Ustawy;
„Klient” – zgodnie z art. 2 pkt 2 ppkt 10) Ustawy, z dalszym doprecyzowaniem w Polityce AML;
„Członek rodziny” – zgodnie z art. 2 pkt 2 ppkt 3) Ustawy;
„Państwo trzecie wysokiego ryzyka” – zgodnie z art. 2 pkt 2 ppkt 13) Ustawy;
„Osoba prawna” – każdy zarejestrowany podmiot, spółka lub partnerstwo posiadające zdolność prawną do zawierania transakcji, zgodnie z art. 2 pkt 2 ppkt 4) Ustawy;
„Pranie pieniędzy” – czyn określony w art. 299 Kodeksu karnego RP;
„Osoba zajmująca eksponowane stanowisko polityczne (PEP)” – zgodnie z art. 2 pkt 2 ppkt 11) Ustawy;
„Ocena ryzyka” – zgodnie z art. 27 Ustawy;
„Kierownictwo wyższego szczebla” – zgodnie z art. 2 pkt 2 ppkt 9) Ustawy;
„Finansowanie terroryzmu” – czyn określony w art. 165a Kodeksu karnego RP;
„Transakcja” – zgodnie z art. 2 pkt 2 ppkt 21) Ustawy;
„Waluta wirtualna” – zgodnie z art. 2 pkt 2 ppkt 26) Ustawy, z dalszym doprecyzowaniem w Polityce AML.

3. ŁAD KORPORACYJNY: PODEJŚCIE OPARTE NA RYZYKU

3.1. ORGAN NADZORCZY

Organem zarządzającym Spółki jest kierownictwo wyższego szczebla, w szczególności Zarząd oraz kadra kierownicza wyższego szczebla Spółki.

Jeden z członków Zarządu odpowiada za wdrażanie Ustawy oraz przepisów wykonawczych i wytycznych przyjętych na jej podstawie. Taki członek Zarządu wyznacza osobę pełniącą funkcję osoby kontaktowej z FIU (dalej „Compliance Officer”).

Celem Organu Zarządzającego w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu jest w szczególności:

określenie ogólnych zasad polityki Spółki w zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu;
konsultowanie oraz zapewnienie przeglądu i doradztwa ze strony wyższego rangą pracownika posiadającego odpowiednie umiejętności, wiedzę i doświadczenie związane z działalnością Spółki oraz zapewnienie, że przyjęta polityka spełnia minimalne wymagania określone w Ustawie oraz Dyrektywie, w zakresie ich zastosowania;
zapewnienie wdrożenia odpowiednich, skutecznych i wystarczających systemów oraz mechanizmów kontroli w celu ograniczania i zarządzania ryzykami, na które Spółka może być narażona;
ustanowienie procesu monitorowania wszystkich danych i informacji dotyczących identyfikacji klientów, dokumentów transakcyjnych (w stosownych przypadkach) oraz innych istotnych akt i informacji, w sposób umożliwiający skuteczną realizację Polityki AML;
ustanowienie jasnego i szybkiego łańcucha raportowania, na podstawie którego przekazywane są informacje dotyczące podejrzanych transakcji oraz rozwiązywane są wątpliwości w sytuacji, gdy pracownicy mają trudności z oceną profilu klienta;
zapewnienie odpowiednich zasobów, w tym kompetentnego personelu oraz infrastruktury technologicznej, niezbędnych do skutecznego wykonywania niniejszej Polityki AML;
podejmowanie decyzji dotyczących działań naprawczych w celu usunięcia wszelkich zidentyfikowanych słabości i/lub nieprawidłowości w sposób ciągły;
opracowanie i wdrożenie Polityki Akceptacji Klienta oraz jej okresowy przegląd w razie potrzeby.

3.2. OFICER DS. ZGODNOŚCI (COMPLIANCE OFFICER)

Spółka zapewnia, że na stanowisko Compliance Officer może zostać powołana wyłącznie osoba posiadająca wymagane wykształcenie, odpowiednie kwalifikacje zawodowe, zdolności, cechy osobiste, doświadczenie oraz nienaganną reputację niezbędną do wykonywania obowiązków na tym stanowisku.

W przypadku gdy w wyniku kontroli wewnętrznych lub zewnętrznych okaże się, że wiarygodność danej osoby budzi wątpliwości z powodu jej wcześniejszych działań lub zaniechań, jej reputacja nie może być uznana za nienaganną, a Spółka może w trybie nadzwyczajnym rozwiązać umowę o pracę z Compliance Officerem z powodu utraty zaufania.

Compliance Officer podlega bezpośrednio Zarządowi i posiada kompetencje, środki oraz dostęp do odpowiednich informacji we wszystkich jednostkach Spółki w celu wykonywania swoich obowiązków.

Compliance Officer, między innymi:

dokonuje przeglądu niniejszej Polityki AML i aktualizuje ją okresowo w razie potrzeby;
monitoruje i ocenia prawidłowe oraz skuteczne wdrożenie Polityki AML, w tym praktyk, środków, procedur i mechanizmów kontrolnych oraz ogólne jej stosowanie;
zapewnia wdrożenie niniejszej Polityki AML w całej Spółce;
w przypadku zidentyfikowania nieprawidłowości i/lub słabości w stosowaniu wymaganych praktyk, środków, procedur i kontroli, wydaje odpowiednie zalecenia dotyczące działań naprawczych, a w razie potrzeby informuje Zarząd;
przyjmuje od pracowników Spółki informacje, które stanowią wiedzę lub podejrzenie prania pieniędzy lub finansowania terroryzmu, lub mogą mieć z tym związek, oraz podejmuje dalsze działania zgodnie z Polityką AML;
organizuje gromadzenie i analizę informacji dotyczących nietypowych transakcji lub okoliczności mogących budzić podejrzenie prania pieniędzy lub finansowania terroryzmu, które wystąpiły w działalności Spółki;
zgłasza przypadki podejrzenia prania pieniędzy lub finansowania terroryzmu do FIU;
przedkłada Zarządowi okresowe pisemne sprawozdania dotyczące zgodności z wymogami wynikającymi z właściwych przepisów prawa;
zapewnia przygotowanie i prowadzenie list klientów sklasyfikowanych według podejścia opartego na ryzyku. Lista zawiera m.in. imiona i nazwiska klientów, numery ich kont oraz daty rozpoczęcia stosunku gospodarczego. Ponadto Compliance Officer zapewnia bieżącą aktualizację tej listy w oparciu o nowe lub istniejące informacje dotyczące klientów;
wykonuje inne obowiązki związane z zapewnieniem zgodności z wymaganiami określonymi poniżej;
ocenia systemy i procedury stosowane przez podmiot trzeci, na którym Spółka może polegać w zakresie identyfikacji klientów i procedur należytej staranności, zgodnie z Polityką AML, oraz zatwierdza współpracę z takim podmiotem;
zapewnia, że oddziały i spółki zależne Spółki, jeśli istnieją i działają poza EOG, podjęły wszelkie niezbędne środki w celu pełnej zgodności z postanowieniami Polityki AML w zakresie identyfikacji klientów, należytej staranności oraz przechowywania danych.

Compliance Officer ma prawo:

przedstawiać Zarządowi propozycje zmian i modyfikacji regulaminów zawierających wymagania AML oraz organizacji odpowiednich szkoleń pracowników;
żądać od działów Spółki usunięcia w rozsądnym terminie zidentyfikowanych nieprawidłowości w zakresie wymagań AML;
otrzymywać dane i informacje niezbędne do wykonywania obowiązków Compliance Officer;
zgłaszać propozycje dotyczące organizacji procesu zgłaszania transakcji podejrzanych i nietypowych;
uczestniczyć w szkoleniach w zakresie swojej funkcji.

W przypadku braku powołania Compliance Officer, jego obowiązki wykonuje członek Zarządu odpowiedzialny za wdrażanie Ustawy oraz przepisów i wytycznych przyjętych na jej podstawie.

3.3. PODEJŚCIE OPARTE NA RYZYKU

Spółka stosuje środki bezpieczeństwa oraz wdrożyła polityki, praktyki i procedury, które promują wysokie standardy etyczne i zawodowe oraz zapobiegają wykorzystaniu Spółki, zarówno świadomemu, jak i nieświadomemu, przez przestępców.

Spółka stosuje odpowiednie środki i procedury, przyjmując podejście oparte na ryzyku, tak aby koncentrować swoje działania na obszarach, w których ryzyko prania pieniędzy i finansowania terroryzmu jest relatywnie wyższe.

W tym zakresie środki te są rozpatrywane w podejściu opartym na ryzyku w celu zapewnienia, że ryzyko prania pieniędzy i finansowania terroryzmu jest właściwie uwzględniane i zarządzane w codziennej działalności.

Podejście oparte na ryzyku przyjęte przez Spółkę i opisane w Polityce AML obejmuje określone środki i procedury w zakresie oceny najbardziej efektywnego kosztowo i odpowiedniego sposobu identyfikacji oraz zarządzania ryzykiem prania pieniędzy i finansowania terroryzmu, z którym mierzy się Spółka.

Spółka wdraża mechanizmy „Poznaj swojego klienta” (Know Your Customer, dalej „KYC”) jako kluczowy element świadczenia usług, zarządzania ryzykiem oraz kontroli. Mechanizmy te obejmują:

politykę akceptacji klientów;
politykę identyfikacji klientów – identyfikację i ocenę ryzyka prania pieniędzy i finansowania terroryzmu wynikającego z konkretnych klientów lub typów klientów, instrumentów finansowych, usług oraz obszarów geograficznych działalności klientów;
bieżące monitorowanie klientów wysokiego ryzyka – ciągłe monitorowanie oraz doskonalenie skuteczności polityk, procedur i kontroli;
mechanizmy zarządzania ryzykiem – zarządzanie i ograniczanie zidentyfikowanego ryzyka poprzez odpowiednie i skuteczne środki, procedury i kontrole;
klasyfikację klientów według poziomu ryzyka.

Przyjęte podejście oparte na ryzyku stosowane przez Spółkę i opisane w Polityce AML ma następujące ogólne cechy:

uznaje, że zagrożenie prania pieniędzy lub finansowania terroryzmu różni się w zależności od klientów i zależy od różnych wskaźników, takich jak:
- kraj pochodzenia,
- pochodzenie transakcji – kraj pochodzenia oraz kraj docelowy środków klientów,
- cele inwestycyjne oraz charakter transakcji biznesowych,
- charakter (np. brak bezpośredniego kontaktu) oraz profil ekonomiczny klientów, jak również oferowanych instrumentów finansowych i usług,
- wolumen i wartość transakcji;
umożliwia Zarządowi różnicowanie klientów w sposób odpowiadający poziomowi ryzyka ich działalności;
pozwala Zarządowi na stosowanie własnego podejścia przy formułowaniu polityk, procedur i kontroli w odpowiedzi na specyfikę i charakter Spółki;
przyczynia się do stworzenia bardziej efektywnego kosztowo systemu;
wspiera priorytetyzację działań Spółki w odniesieniu do prawdopodobieństwa wystąpienia prania pieniędzy i finansowania terroryzmu w związku z korzystaniem z usług. Intensywność programów KYC wykraczających poza podstawowe elementy jest dostosowana do poziomu ryzyka.

3.4. ROZDZIELENIE OBOWIĄZKÓW

W celu zapewnienia solidnej kontroli wewnętrznej oraz ograniczenia ryzyka związanego z praniem pieniędzy i finansowaniem terroryzmu, Spółka wdraża system rozdzielenia obowiązków w ramach wszystkich istotnych funkcji operacyjnych i compliance. Rozdzielenie obowiązków jest niezbędne, aby zapobiec sytuacji, w której jedna osoba posiada nadmierną kontrolę nad kluczowymi procesami, oraz w celu ograniczenia ryzyka błędów, nadużyć lub działań o charakterze oszukańczym.

W związku z tym obowiązki związane z onboardowaniem klientów, zatwierdzaniem transakcji, monitorowaniem transakcji, badaniem podejrzanych działań oraz raportowaniem do Jednostki Analityki Finansowej (FIU) są przypisane różnym pracownikom lub działom.

Compliance Officer działa niezależnie od funkcji generujących przychody i posiada nieograniczony dostęp do wszystkich danych oraz systemów niezbędnych do wykonywania zadań nadzoru AML.

Regularnie przeprowadzane są audyty i przeglądy w celu oceny skuteczności tego rozdzielenia obowiązków, a w razie potrzeby wprowadzane są zmiany dostosowujące do zmian organizacyjnych lub regulacyjnych.

Spółka wdraża również kontrolę dostępu opartą na rolach, aby zapewnić, że pracownicy mają dostęp wyłącznie do informacji niezbędnych do wykonywania ich obowiązków.

Taka strukturalna separacja wspiera odpowiedzialność, wzmacnia integralność zgodności i jest zgodna z wymogami regulacyjnymi wynikającymi z Ustawy oraz właściwych dyrektyw UE.

4. RAMY ZARZĄDZANIA RYZYKIEM

4.1. IDENTYFIKACJA RYZYK

Przyjęte przez Spółkę podejście oparte na ryzyku obejmuje identyfikację, rejestrowanie oraz ocenę ryzyk, którymi należy zarządzać.

Spółka dokonuje oceny i analizy ryzyk, na które jest narażona w związku z korzystaniem z Usług w celu prania pieniędzy lub finansowania terroryzmu. Szczególne okoliczności działalności Spółki determinują odpowiednie procedury i środki, które należy zastosować w celu przeciwdziałania i zarządzania ryzykiem.

Spółka jest w każdym czasie w stanie wykazać, że zakres stosowanych środków oraz procedur kontrolnych jest proporcjonalny do poziomu ryzyka związanego ze świadczeniem Usług w zakresie prania pieniędzy i finansowania terroryzmu.

Na potrzeby identyfikacji, oceny i analizy ryzyk związanych z praniem pieniędzy i finansowaniem terroryzmu w swojej działalności, Spółka sporządza ocenę ryzyka, uwzględniając co najmniej następujące kategorie ryzyka:

ryzyka związane z charakterem klienta;
ryzyka związane z krajami, obszarami geograficznymi lub jurysdykcjami;
ryzyka związane z produktami, usługami lub transakcjami;
ryzyka związane z komunikacją, pośrednictwem lub produktami, usługami, transakcjami lub kanałami dystrybucji pomiędzy podmiotem obowiązanym a klientami.

Podjęte działania w zakresie identyfikacji, oceny i analizy ryzyka muszą być proporcjonalne do charakteru, skali oraz poziomu złożoności działalności gospodarczej i zawodowej Spółki.

W wyniku przeprowadzonej oceny ryzyka Spółka ustala:

obszary niskiego, normalnego oraz wysokiego ryzyka prania pieniędzy i finansowania terroryzmu;
apetyt na ryzyko oraz zakres usług świadczonych w ramach działalności;
model zarządzania ryzykiem, w tym środki należytej staranności o podwyższonym poziomie (EDD), w celu ograniczenia zidentyfikowanych ryzyk.

Poniżej przedstawiono, między innymi, źródła ryzyka, z którymi Spółka może się mierzyć w zakresie prania pieniędzy i finansowania terroryzmu:

Ryzyka wynikające z charakteru klienta:
- złożoność struktury własnościowej osób prawnych należących do klienta;
- osoby zajmujące eksponowane stanowiska polityczne (PEP);
- klienci z krajów wysokiego ryzyka lub krajów znanych z wysokiego poziomu korupcji, przestępczości zorganizowanej lub handlu narkotykami;
Ryzyka wynikające z zachowania klienta:
- sytuacje, w których źródło majątku i/lub źródło środków finansowych nie może być łatwo zweryfikowane;
- niechęć klientów do przekazywania informacji o beneficjentach rzeczywistych osoby prawnej;
Ryzyka związane z usługami Spółki:
- usługi umożliwiające płatności lub transfery do osób trzecich.

4.2. ŚRODKI I PROCEDURY ZARZĄDZANIA ORAZ OGRANICZANIA RYZYKA

Biorąc pod uwagę ocenione ryzyko, Spółka określa rodzaj oraz zakres środków, które zostaną zastosowane w celu zarządzania oraz ograniczania zidentyfikowanego ryzyka w sposób efektywny kosztowo. Środki te oraz procedury obejmują w szczególności:

przyjęcie regulaminów i procedur umożliwiających skuteczne ograniczanie oraz zarządzanie m.in. ryzykiem związanym z praniem pieniędzy oraz finansowaniem terroryzmu, w tym procedur należytej staranności wobec klienta (Customer Due Diligence) zgodnie z jego profilem ryzyka;
ryzyko prania pieniędzy oraz finansowania terroryzmu;
wymaganie, aby jakość oraz zakres danych identyfikacyjnych dla każdego rodzaju klienta spełniały określone standardy (np. dokumenty pochodzące z niezależnych i wiarygodnych źródeł, informacje od osób trzecich, dodatkowe informacje oraz dokumenty potwierdzające itp.);
pozyskiwanie dodatkowych danych i informacji od klientów, jeżeli jest to niezbędne do właściwego i pełnego zrozumienia ich działalności oraz źródła majątku, a także do skutecznego zarządzania podwyższonym ryzykiem;
właściwe i pełne zrozumienie działalności klienta oraz źródła jego majątku w celu skutecznego zarządzania wszelkim podwyższonym ryzykiem; oraz
bieżący monitoring transakcji i aktywności klientów wysokiego ryzyka, w stosownych przypadkach.

W celu realizacji powyższych środków i procedur Spółka ustanowiła i niniejszym określa wewnętrzne zasady kontroli, które opisują system kontroli wewnętrznej, w tym procedury audytu wewnętrznego oraz, w razie potrzeby, kontroli zgodności (compliance control).

Wskazane środki i procedury obejmują co najmniej:

procedurę stosowania środków należytej staranności wobec klienta, w tym procedurę wzmożonej należytej staranności (enhanced due diligence), a w wyjątkowych przypadkach również szczególnie wzmożonej należytej staranności wobec klientów o bardzo wysokim profilu ryzyka;
model identyfikacji oraz zarządzania ryzykiem związanym z klientem oraz określania profilu ryzyka klienta;
metodykę postępowania z klientami lub okolicznościami budzącymi podejrzenia;
instrukcje dotyczące realizacji obowiązku raportowania transakcji podejrzanych;
procedurę przechowywania danych oraz udostępniania ich właściwym organom;
instrukcje skutecznego ustalania, czy dana osoba jest osobą zajmującą eksponowane stanowisko polityczne (PEP) lub krajową osobą zajmującą eksponowane stanowisko polityczne, bądź czy podlega międzynarodowym sankcjom (w tym listom OFAC, HMT, skonsolidowanym listom Unii Europejskiej itp.), albo czy jej miejsce zamieszkania lub siedziba znajduje się w kraju trzecim wysokiego ryzyka;
procedurę identyfikacji oraz zarządzania ryzykiem związanym z nowymi i istniejącymi technologiami, produktami i usługami, w tym nowymi lub nietradycyjnymi kanałami sprzedaży oraz nowymi lub rozwijającymi się technologiami.

Środki i procedury muszą być proporcjonalne do charakteru, wielkości oraz stopnia złożoności działalności gospodarczej i zawodowej Spółki i są ustanawiane przez kierownictwo wyższego szczebla.

Spółka regularnie weryfikuje aktualność przyjętych środków i procedur oraz zasad kontroli wewnętrznej i w razie potrzeby ustanawia nowe regulacje lub dokonuje odpowiednich zmian w obowiązujących przepisach wewnętrznych.

Spółka zapewnia, aby pracownicy, których obowiązki służbowe obejmują nawiązywanie relacji gospodarczych lub dokonywanie transakcji, byli przeszkoleni w zakresie wykonywania obowiązków wynikających z przepisów dotyczących przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu, przy rozpoczęciu pracy na danym stanowisku, a następnie regularnie lub w razie potrzeby.

4.3. DYNAMICZNE ZARZĄDZANIE RYZYKIEM

Zarządzanie ryzykiem jest procesem ciągłym, realizowanym w sposób dynamiczny. Ocena ryzyka nie jest pojedynczym, ograniczonym w czasie zdarzeniem. Działalność klientów ulega zmianom, podobnie jak zmieniają się usługi oferowane przez Spółkę.

W związku z tym obowiązkiem Compliance Officera jest przeprowadzanie regularnych przeglądów cech istniejących klientów, nowych klientów, usług oraz środków, procedur i mechanizmów mających na celu ograniczanie ryzyk wynikających ze zmian tych cech. Przeglądy te powinny być odpowiednio dokumentowane, w stosownych przypadkach.

4.4. MIĘDZYNARODOWE ORGANIZACJE REFERENCYJNE

W celu opracowania i wdrożenia odpowiednich środków oraz procedur w oparciu o podejście oparte na ryzyku, a także w celu realizacji procedur identyfikacji klienta oraz należytej staranności (Customer Identification and Due Diligence), Compliance Officer oraz dział administracji/back-office korzystają z danych, informacji oraz raportów, w tym raportów oceny krajów, publikowanych przez następujące międzynarodowe organizacje referencyjne:

Financial Action Task Force (FATF)	https://www.fatf-gafi.org/
The Council of Europe Select Committee of Experts on the Evaluation of Anti-Money Laundering Measures (MONEYVAL)	https://www.coe.int/en/web/moneyval/
The EU Common Foreign & Security Policy (CFSP)	https://eeas.europa.eu/topics/common-foreign-security-policy-cfsp_en
The UN Security Council Sanctions Committees	https://www.un.org/securitycouncil/
The International Money Laundering Information Network (IMOLIN)	https://www.imolin.org/
The International Monetary Fund (IMF)	https://www.imf.org/

5. PROCEDURA AKCEPTACJI KLIENTÓW

Polityka Akceptacji Klientów (dalej „CAP”), zgodnie z zasadami i wytycznymi opisanymi w niniejszej Polityce AML, określa kryteria przyjmowania nowych Klientów oraz definiuje kryteria kategoryzacji Klientów, które są stosowane przez Spółkę, w szczególności przez pracowników zaangażowanych w proces otwierania rachunków Klientów. Ogólne zasady CAP są następujące:

Spółka dokonuje klasyfikacji Klientów do różnych kategorii ryzyka i na podstawie oceny ryzyka określa kryteria akceptacji dla każdej kategorii Klienta.
W przypadku Klienta będącego klientem potencjalnym, otwarcie rachunku może nastąpić wyłącznie po przeprowadzeniu odpowiednich, wstępnych czynności w zakresie należytej staranności oraz identyfikacji, zgodnie z zasadami i procedurami określonymi w Polityce AML.
Żaden rachunek nie może być otwarty na podstawie danych anonimowych ani fikcyjnych.

Spółka utrzymuje jasne zasady i procedury akceptacji klientów, obejmujące opis typów klientów, którzy mogą stwarzać ponadprzeciętne ryzyko. Przed przyjęciem potencjalnego Klienta stosowane są procedury KYC oraz due diligence, obejmujące analizę takich czynników jak: pochodzenie klienta, kraj pochodzenia, status osoby publicznej lub zajmującej eksponowane stanowisko, powiązane rachunki, działalność gospodarcza oraz inne czynniki ryzyka.

5.1. KRYTERIA AKCEPTACJI NOWYCH KLIENTÓW (W OPARCIU O POZIOM RYZYKA)

Po ocenie czynników wskazujących na podwyższone ryzyko, za sytuacje zwiększające ryzyko związane z osobą klienta uznaje się w szczególności:

nawiązywanie relacji gospodarczej w oparciu o nietypowe czynniki, w tym w przypadku skomplikowanych i nietypowo dużych transakcji oraz nietypowych wzorców transakcyjnych, które nie mają uzasadnionego, jasnego celu ekonomicznego lub prawnego albo nie są charakterystyczne dla danego profilu działalności;
gdy klient jest rezydentem obszaru geograficznego podwyższonego ryzyka wskazanego w podsekcji 4 niniejszej sekcji;
gdy struktura własnościowa spółki klienta wydaje się nietypowa lub nadmiernie skomplikowana, biorąc pod uwagę charakter jej działalności.

Po ocenie czynników wskazujących na podwyższone ryzyko, w szczególności za sytuacje zwiększające ryzyko związane z produktem, usługą, transakcją lub kanałem dystrybucji uznaje się:

bankowość prywatną;
świadczenie produktu lub dokonywanie bądź pośredniczenie w transakcji, która może sprzyjać anonimowości;
płatności otrzymywane od nieznanych lub niepowiązanych osób trzecich;
nawiązywanie relacji gospodarczej lub dokonywanie transakcji w sposób, w którym klient, jego przedstawiciel lub strona transakcji nie są fizycznie obecni w tym samym miejscu;
nowe produkty oraz nowe praktyki biznesowe, w tym nowe mechanizmy dystrybucji, a także wykorzystanie nowych lub rozwijających się technologii zarówno dla nowych, jak i istniejących produktów.

Po ocenie czynników wskazujących na podwyższone ryzyko, za czynnik zwiększający ryzyko geograficzne uznaje się w szczególności sytuację, w której klient, osoba uczestnicząca w transakcji lub sama transakcja jest powiązana z następującym państwem lub jurysdykcją:

które – zgodnie z wiarygodnymi źródłami, takimi jak wzajemne oceny, szczegółowe raporty ewaluacyjne lub publikowane raporty z działań następczych – nie wdrożyło skutecznych systemów AML;
które – zgodnie z wiarygodnymi źródłami – charakteryzuje się znacznym poziomem korupcji lub innej działalności przestępczej;
które podlega sankcjom (w tym listom Office of Foreign Assets Control (OFAC), His Majesty's Treasury (HMT), skonsolidowanym listom Unii Europejskiej itp.), embargom lub podobnym środkom nałożonym m.in. przez Unię Europejską lub Organizację Narodów Zjednoczonych;
które zapewnia finansowanie lub wsparcie dla działalności terrorystycznej albo na którego terytorium działają organizacje terrorystyczne, wskazane przez Unię Europejską lub Organizację Narodów Zjednoczonych.

Przy wyborze środków wzmożonej należytej staranności Spółka uwzględnia właściwe wytyczne europejskich organów nadzorczych dotyczące czynników ryzyka.

Kryteria przyjmowania nowych Klientów oraz ich kategoryzacja w oparciu o poziom ryzyka zostały opisane poniżej. Compliance Officer odpowiada za przypisanie Klientów do jednej z trzech kategorii zgodnie z poniższymi kryteriami.

5.1.1. Klienci o niskim ryzyku

Spółka akceptuje Klientów zakwalifikowanych jako Klienci o niskim ryzyku, pod warunkiem przestrzegania ogólnych zasad określonych w niniejszym paragrafie 5 oraz w poniższym paragrafie 6. Procedury należytej staranności wobec Klientów o niskim ryzyku są stosowane zgodnie z paragrafem 6 niniejszej Polityki AML, pod warunkiem że występuje niskie ryzyko lub brak podejrzeń prania pieniędzy lub finansowania terroryzmu:

rachunki osób zajmujących eksponowane stanowiska polityczne (PEP);
Klienci będący rezydentami krajów EOG;
Klienci z krajów, które w niewystarczającym stopniu stosują zalecenia FATF;
wszyscy inni Klienci, których charakter działalności wiąże się z wyższym ryzykiem prania pieniędzy lub finansowania terroryzmu;
każdy inny Klient zakwalifikowany przez Spółkę do tej kategorii.

5.1.2. Klienci o średnim ryzyku

Są to Klienci, którzy nie zostali zakwalifikowani ani jako Klienci o niskim ryzyku, ani jako Klienci o wysokim ryzyku, zgodnie z kategoriami określonymi w niniejszym paragrafie.

Spółka akceptuje Klientów zakwalifikowanych jako Klienci o normalnym/średnim ryzyku, pod warunkiem przestrzegania ogólnych zasad określonych w niniejszym paragrafie 5 oraz w poniższym paragrafie 6. Spółka stosuje wobec Klientów o normalnym/średnim ryzyku środki rozszerzonej identyfikacji klienta oraz należytej staranności (Enhanced Customer Identification and Due Diligence), zgodnie z paragrafem 6 niniejszej Polityki AML.

5.1.3. Klienci wysokiego ryzyka

Następujące typy Klientów mogą zostać zakwalifikowane jako Klienci wysokiego ryzyka w odniesieniu do ryzyka prania pieniędzy oraz finansowania terroryzmu, na które narażona jest Spółka:

rachunki osób zajmujących eksponowane stanowiska polityczne (PEP);
Klienci prowadzący działalność w zakresie gier hazardowych/gamingu elektronicznego przez Internet;
Klienci z krajów, które w niewystarczającym stopniu stosują zalecenia FATF;
wszyscy inni Klienci, których charakter działalności wiąże się z podwyższonym ryzykiem prania pieniędzy lub finansowania terroryzmu;
każdy inny Klient zakwalifikowany przez Spółkę do tej kategorii.

Spółka może akceptować Klientów zakwalifikowanych jako Klienci wysokiego ryzyka pod warunkiem przestrzegania ogólnych zasad określonych w paragrafach 5 i 6 niniejszej Polityki AML.

Ponadto Spółka stosuje wobec Klientów wysokiego ryzyka środki wzmożonej należytej staranności (Enhanced Due Diligence) zgodnie z paragrafem 6 Polityki AML, a proces due diligence dla określonych typów Klientów wysokiego ryzyka podlega nadzorowi co najmniej jednego członka organu zarządzającego, w stosownych przypadkach.

Spółka posiada wewnętrzną procedurę dotyczącą wymaganych dokumentów KYC dla różnych typów Klientów wysokiego ryzyka, w zależności od ich profilu, zarejestrowanych informacji, pochodzenia geograficznego, zachowania, źródła środków, wartości rachunku itp.

5.1.4. Klienci będący osobami prawnymi

Zgodnie z ustawą z 2018 roku Spółka rozszerza proces akceptacji Klientów o podmioty będące osobami prawnymi. Osoby prawne są zobowiązane do dostarczenia następującej dokumentacji:

Identyfikacja osoby prawnej:
- Oficjalne dokumenty, takie jak odpis z rejestru przedsiębiorców lub zaświadczenie o rejestracji, potwierdzające istnienie prawne podmiotu, zgodnie z art. 13 Ustawy.
Struktura własności i beneficjent rzeczywisty:
- Identyfikacja ostatecznych beneficjentów rzeczywistych posiadających co najmniej 25% udziałów lub praw głosu, zgodnie z art. 34 Ustawy.
Osoby upoważnione do reprezentacji:
- Dokumenty tożsamości wszystkich osób upoważnionych do reprezentowania podmiotu oraz dokumenty potwierdzające ich umocowanie (np. uchwała zarządu lub pełnomocnictwo), zgodnie z art. 13 Ustawy.
Źródło środków i majątku:
- Weryfikacja źródła środków finansowych osoby prawnej na podstawie dokumentów takich jak wyciągi bankowe lub sprawozdania finansowe poddane audytowi, zgodnie z art. 34 ust. 2 Ustawy.
Ocena ryzyka:
- Osoby prawne są klasyfikowane zgodnie z profilem ryzyka, a podmioty wysokiego ryzyka podlegają wzmożonej należytej staranności, w tym częstszemu monitorowaniu, zgodnie z art. 33 i 35 Ustawy.

Spółka zapewnia bieżące monitorowanie oraz okresowe przeglądy klientów będących osobami prawnymi, zgodnie z art. 43 Ustawy, w celu zapewnienia zgodności oraz ograniczenia ryzyka prania pieniędzy i finansowania terroryzmu.

5.2. KLIENCI NIEAKCEPTOWALNI

Poniższa lista określa z góry typy Klientów, którzy nie są akceptowani w celu nawiązania relacji gospodarczej ani realizacji transakcji okazjonalnej ze Spółką:

Klienci, którzy nie dostarczą lub odmówią dostarczenia wymaganych danych i informacji niezbędnych do weryfikacji ich tożsamości, bez odpowiedniego uzasadnienia;
Klienci pochodzący z jurysdykcji objętych zakazami wynikającymi z wewnętrznych polityk Spółki lub międzynarodowych sankcji prawnych (w tym list Office of Foreign Assets Control (OFAC), His Majesty's Treasury (HMT), skonsolidowanych list Unii Europejskiej itp.);
wszyscy inni Klienci, którzy według oceny Spółki stanowią ryzyko dla jej działalności lub budzą podejrzenia w zakresie prania pieniędzy i finansowania terroryzmu.

Ponadto Spółka nie akceptuje Klientów – zarówno osób fizycznych, jak i osób prawnych – którzy mają miejsce zamieszkania lub siedzibę w:

Stanach Zjednoczonych Ameryki (wybrane stany USA);
krajach znajdujących się na liście „High-Risk Jurisdictions subject to a Call for Action” lub „Jurisdictions under Increased Monitoring” publikowanej przez FATF;
krajach, w których obrót kryptowalutami jest zakazany na mocy lokalnych przepisów prawa i regulacji.

6. PROCEDURY NALEŻYTEJ STARANNOŚCI WOBEC KLIENTA ORAZ IDENTYFIKACJI

Spółka stosuje środki należytej staranności:

przy nawiązywaniu relacji gospodarczej;
przy weryfikacji informacji uzyskanych w ramach stosowania środków należytej staranności lub w przypadku wątpliwości co do wystarczalności lub prawdziwości wcześniej zgromadzonych dokumentów lub danych, w trakcie aktualizacji odpowiednich danych;
w przypadku podejrzenia prania pieniędzy lub finansowania terroryzmu, niezależnie od jakichkolwiek odstępstw, wyjątków lub limitów przewidzianych w przepisach.

Jeżeli polityka Spółki wymaga zastosowania wzmożonej należytej staranności, środki te muszą zostać wdrożone niezwłocznie po stwierdzeniu przesłanek uzasadniających jej zastosowanie wobec danego Klienta.

Spółka stosuje systematyczną procedurę identyfikacji nowych Klientów i nie może nawiązać relacji usługowej, dopóki tożsamość nowego Klienta nie zostanie w sposób satysfakcjonujący zweryfikowana. Spółka może przyjąć zlecenie transakcji, jednak nie aktywuje w pełni konta do momentu dostarczenia przez Klienta wszystkich wymaganych dokumentów KYC i spełnienia wymogów Spółki.

Spółka zwraca szczególną uwagę na przypadki Klientów niebędących rezydentami UE i w żadnym przypadku nie stosuje uproszczonych procedur identyfikacji wyłącznie z tego powodu, że nowy Klient nie jest w stanie przedstawić wystarczających dokumentów i informacji wymaganych w ramach procedur KYC i należytej staranności.

W ramach obowiązku stosowania należytej staranności przy identyfikacji Klientów, Spółka musi zapewnić, że informacje identyfikacyjne posiadane przez nią pozostają w pełni aktualne przez cały okres trwania relacji gospodarczej.

Spółka utrzymuje jasne standardy i polityki dotyczące dokumentacji, która musi być przechowywana w zakresie identyfikacji Klienta oraz pojedynczych transakcji. Praktyka ta jest niezbędna do umożliwienia Spółce monitorowania relacji z Klientem, zrozumienia jego bieżącej działalności oraz – w razie potrzeby – zapewnienia dowodów w przypadku sporów, postępowań sądowych lub kontroli finansowych mogących prowadzić do postępowania karnego. W celu zapewnienia aktualności i adekwatności danych, Spółka dokonuje regularnych przeglądów istniejącej dokumentacji.

Spółka regularnie weryfikuje i monitoruje ważność oraz adekwatność posiadanych informacji identyfikacyjnych dotyczących Klientów. Niezależnie od powyższego, oraz z uwzględnieniem poziomu ryzyka, jeżeli w dowolnym momencie relacji gospodarczej okaże się, że Spółka nie posiada wystarczających lub wiarygodnych danych i informacji dotyczących tożsamości lub profilu finansowego Klienta, Spółka niezwłocznie podejmuje wszelkie niezbędne działania w celu ich uzyskania, aby jak najszybciej uzupełnić brakujące informacje oraz ustalić tożsamość i stworzyć pełny profil finansowy Klienta.

Odpowiednim momentem do takich działań jest w szczególności sytuacja, gdy dochodzi do istotnej transakcji, znaczącej zmiany standardów dokumentacji Klienta, istotnej zmiany sposobu obsługi rachunku, transakcji nietypowej lub istotnej zmiany sytuacji oraz statusu prawnego Klienta, takiej jak:

wolumen transakcji;
wartość transakcji;
charakter i źródło środków;
wniosek o otwarcie nowego rachunku w celu świadczenia nowych usług inwestycyjnych i/lub instrumentów finansowych.

Jeżeli Spółka w dowolnym momencie stwierdzi brak wystarczających informacji o istniejącym Kliencie, podejmuje niezwłocznie działania w celu ich uzyskania. W przypadku braku możliwości usunięcia nieprawidłowości, naprawy lub ograniczenia ryzyka, Spółka zamyka rachunek Klienta i nie kontynuuje relacji biznesowej.

Jeżeli Klient odmawia lub nie dostarcza wymaganych dokumentów i informacji niezbędnych do identyfikacji oraz sporządzenia profilu finansowego w trakcie realizacji pojedynczej transakcji bez uzasadnionej przyczyny, Spółka nie podejmuje relacji umownej ani nie realizuje transakcji, a także może zgłosić ten fakt właściwym organom. Może to prowadzić do podejrzenia, że Klient uczestniczy w praniu pieniędzy lub finansowaniu terroryzmu.

Jeżeli w trakcie relacji gospodarczej Klient odmawia lub nie dostarcza wymaganych dokumentów i informacji w rozsądnym terminie, Spółka ma prawo do wypowiedzenia relacji gospodarczej oraz zamknięcia rachunków Klienta. Dział compliance rozważa również, czy sprawa powinna zostać zgłoszona właściwym organom.

Identyfikacja Klienta musi być przeprowadzona tak szybko, jak jest to uzasadnione i możliwe po pierwszym kontakcie.

6.1. Wymogi identyfikacyjne osoby fizycznej

Oprócz celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu, informacje wskazane poniżej są również niezbędne do wdrażania sankcji finansowych nakładanych przez Organizację Narodów Zjednoczonych oraz Unię Europejską. W tym zakresie numer paszportu, data wydania oraz kraj wydania, jak również data urodzenia klienta zawsze znajdują się w pozyskiwanych dokumentach, tak aby Spółka mogła jednoznacznie zweryfikować, czy klient znajduje się na listach sankcyjnych ONZ lub UE.

Podczas identyfikacji klienta Spółka może korzystać z usług podmiotów trzecich w zakresie zbierania i weryfikacji dokumentów tożsamości.

Spółka pozyskuje wszelkie informacje niezbędne do pełnego ustalenia tożsamości każdego nowego klienta oraz celu i zamierzonego charakteru relacji gospodarczej. Zakres i charakter informacji zależy od rodzaju klienta (osoba fizyczna, prawna itd.) oraz przewidywanej skali działalności. W związku z tym Spółka klasyfikuje klientów (osoby fizyczne) w następujący sposób:

(a) Kategoria 1 (Klienci niskiego ryzyka) – Due Diligence

Spółka pozyskuje następujące informacje w celu ustalenia tożsamości osoby fizycznej:

imię i nazwisko
obywatelstwo
numer PESEL lub data urodzenia – w przypadku braku numeru PESEL oraz kraj urodzenia
seria i numer dokumentu tożsamości
miejsce zamieszkania – jeżeli instytucja obowiązana posiada te informacje
firma, numer identyfikacji podatkowej (NIP) oraz adres głównego miejsca wykonywania działalności – w przypadku osoby fizycznej prowadzącej działalność gospodarczą

W celu weryfikacji tożsamości klienta Spółka wymaga przedstawienia oryginalnego dokumentu wydanego przez niezależne i wiarygodne źródło, zawierającego fotografię klienta (np. paszport, dowód osobisty, prawo jazdy). Po pozytywnej weryfikacji dokumentu Spółka przechowuje jego kopię.

Spółka musi być w stanie wykazać, że dokument został wydany przez niezależne i wiarygodne źródło.

W tym zakresie Compliance Officer odpowiada za ocenę niezależności i wiarygodności źródła oraz należyte dokumentowanie i archiwizację wyników tej oceny.

Dokumenty dostarczane przez klientów muszą być czytelne i w pełni widoczne. W przypadku utraty ważności dokumentu klient zobowiązany jest do dostarczenia nowego dokumentu przed dalszym korzystaniem z usług Spółki.

(b) Kategoria 2 (Klienci ryzyka standardowego) – Due Diligence

Dla klientów tej kategorii stosuje się standardowe środki należytej staranności, przy czym Spółka może dodatkowo żądać następujących informacji:

dotyczących identyfikacji klienta
dotyczących planowanego charakteru relacji gospodarczej
dotyczących źródła środków i majątku klienta oraz jego beneficjenta rzeczywistego
dotyczących podstaw i celu planowanych lub realizowanych transakcji
wszelkich innych informacji niezbędnych do podjęcia decyzji o nawiązaniu lub kontynuowaniu relacji gospodarczej

Spółka może również stosować następujące procedury kontrolne:

weryfikację dodatkowo dostarczonych informacji na podstawie dokumentów z wiarygodnych i niezależnych źródeł
pozyskiwanie dodatkowych informacji o celu i charakterze relacji gospodarczej oraz ich weryfikację
pozyskiwanie informacji i dokumentów dotyczących źródła i pochodzenia środków w celu wykluczenia podejrzanych transakcji

(c) Kategoria 3 (Klienci wysokiego ryzyka) – Wzmocnione środki należytej staranności (EDD)

W przypadku klientów wysokiego ryzyka Spółka gromadzi dokumenty wymagane dla Kategorii 1 i 2.

Dodatkowo Spółka może wymagać dodatkowych dokumentów lub ich poświadczenia notarialnego bądź urzędowego, a także dokumentów pochodzących z wiarygodnych i niezależnych źródeł, w tym środków identyfikacji elektronicznej i usług zaufania.

W przypadku wątpliwości co do autentyczności dokumentów Spółka może zwrócić się o ich weryfikację do ambasady lub konsulatu kraju wydania albo do renomowanej instytucji kredytowej lub finansowej w kraju zamieszkania klienta.

Dodatkowo Spółka może żądać – w zależności od profilu ryzyka – dodatkowych dokumentów, zdjęcia typu „selfie”, wideoweryfikacji, dokumentów potwierdzających źródło środków, dokumentów notarialnych, a nawet dokumentów apostille. Wszystkie te środki stosowane są proporcjonalnie do poziomu ryzyka określonego przez organ zarządzający Spółki.

6.1.1. Wymogi identyfikacyjne dla osoby prawnej

Spółka stosuje ustrukturyzowany proces należytej staranności wobec osób prawnych, podzielony według poziomu ryzyka: niskiego, średniego i wysokiego. Nie można nawiązać relacji gospodarczej z osobą prawną przed pełnym zweryfikowaniem jej tożsamości, struktury właścicielskiej oraz osób upoważnionych do jej reprezentacji. Każda kategoria ryzyka wymaga różnego zakresu dokumentacji i weryfikacji.

(a) Kategoria 1 (osoby prawne niskiego ryzyka) – Due Diligence

W przypadku osób prawnych ocenionych jako niskiego ryzyka, Spółka stosuje standardowe środki należytej staranności obejmujące pozyskanie podstawowej dokumentacji identyfikacyjnej oraz weryfikację kluczowych informacji.

1. Identyfikacja osoby prawnej:

Spółka gromadzi pełną nazwę prawną, numer rejestrowy, numer identyfikacji podatkowej (NIP/TIN), adres siedziby oraz adres prowadzenia działalności. Ponadto pozyskiwane są informacje dotyczące sektora lub rodzaju prowadzonej działalności w celu określenia charakteru działalności gospodarczej. Wymagana jest kopia dokumentu rejestracyjnego (np. odpis z rejestru przedsiębiorców lub certyfikat rejestracji) potwierdzająca status prawny oraz jurysdykcję.

2. Struktura własnościowa i beneficjenci rzeczywiści:

Identyfikacja beneficjentów rzeczywistych: Spółka identyfikuje wszystkie osoby fizyczne posiadające co najmniej 25% udziałów lub praw głosu w podmiocie.
Dokumentacja własnościowa: Pozyskiwane są odpowiednie dokumenty, takie jak certyfikaty udziałów lub schematy struktury właścicielskiej, w celu weryfikacji struktury własnościowej.

3. Osoby upoważnione do reprezentacji:

Spółka pozyskuje dokumenty tożsamości (np. paszport, dowód osobisty) każdej osoby upoważnionej do reprezentacji oraz dokument potwierdzający uprawnienia, taki jak uchwała zarządu lub pełnomocnictwo. Dodatkowo obowiązkowa jest weryfikacja tożsamości w formie wideoweryfikacji w celu potwierdzenia autentyczności osoby upoważnionej do reprezentacji.

4. Źródło środków:

Pozyskiwane są ogólne informacje dotyczące głównych źródeł przychodów podmiotu, zazwyczaj na podstawie sprawozdań finansowych lub informacji branżowych. W przypadku podmiotów niskiego ryzyka informacje te mogą być przekazane w formie kwestionariusza, bez konieczności dostarczania dokumentów, zgodnie z podejściem opartym na ryzyku.

5. Weryfikacja informacji:

Weryfikacja odbywa się z wykorzystaniem wiarygodnych, niezależnych źródeł, takich jak rejestry przedsiębiorców lub usługi zewnętrzne, w celu potwierdzenia poprawności danych.

(b) Kategoria 2 (osoby prawne średniego ryzyka) – Due Diligence

W przypadku osób prawnych średniego ryzyka wymagane są dodatkowe dokumenty oraz bardziej szczegółowe środki weryfikacyjne.

1. Szczegółowa identyfikacja podmiotu:

Spółka gromadzi pełną nazwę prawną, numer rejestrowy, NIP/TIN, adres siedziby oraz dane kontaktowe. Uzyskiwane i weryfikowane są oficjalne dokumenty rejestrowe, takie jak odpis z rejestru przedsiębiorców, w celu potwierdzenia statusu prawnego podmiotu.

2. Struktura własnościowa i beneficjenci rzeczywiści:

Identyfikacja beneficjentów rzeczywistych: Spółka identyfikuje wszystkie osoby posiadające co najmniej 25% udziałów. W przypadku złożonych struktur własnościowych dokumentowane są również podmioty pośredniczące oraz wielopoziomowa struktura własności.
Weryfikacja beneficjentów rzeczywistych: Spółka pozyskuje dokumenty tożsamości beneficjentów rzeczywistych posiadających istotny udział (np. 25% lub więcej), poparte dokumentacją korporacyjną, taką jak schematy własności lub umowy wspólników. W odniesieniu do pozostałych beneficjentów rzeczywistych stosowane jest podejście oparte na ryzyku w zakresie dodatkowej weryfikacji.

3. Osoby upoważnione do reprezentacji i kluczowe osoby zarządzające:

Identyfikacja osób reprezentujących: Pozyskiwane są dokumenty tożsamości każdej osoby upoważnionej do reprezentacji (paszport lub dowód osobisty). W celu potwierdzenia autentyczności obowiązkowa jest wideoweryfikacja.
Dokumentacja uprawnień: Gromadzone są dokumenty potwierdzające uprawnienia do reprezentacji (np. uchwała zarządu, pełnomocnictwo), a także dane kluczowych osób zarządzających (np. CEO, CFO).
Źródło środków i majątku: Spółka wymaga dokumentów dotyczących źródła środków, w tym wyciągów bankowych, umów generujących przychody oraz sprawozdań finansowych. Dodatkowo mogą być wymagane deklaracje podatkowe lub dokumentacja dotycząca istotnych aktywów.

4. Weryfikacja i dodatkowe kontrole:

Spółka przeprowadza niezależną weryfikację przy użyciu wiarygodnych źródeł, w tym sprawdzenia tła członków zarządu i beneficjentów rzeczywistych.

(c) Kategoria 3 (osoby prawne wysokiego ryzyka) – Wzmocniona należyta staranność (EDD)

W przypadku osób prawnych wysokiego ryzyka Spółka stosuje rygorystyczny proces należytej staranności obejmujący pozyskanie kompleksowej dokumentacji identyfikacyjnej i weryfikacyjnej. Obejmuje to uzyskanie uwierzytelnionych kopii dokumentów rejestrowych, takich jak notarialnie poświadczony odpis z rejestru, w celu potwierdzenia istnienia prawnego podmiotu.

Struktura własnościowa podlega szczegółowej analizie, a wszyscy beneficjenci rzeczywiści posiadający co najmniej 25% udziałów są identyfikowani, a ich dokumenty są poświadczane notarialnie lub uwierzytelniane.

Osoby upoważnione do reprezentacji muszą przedstawić zweryfikowane dokumenty tożsamości oraz dokumenty potwierdzające ich umocowanie, poświadczone notarialnie. Kluczowe osoby, takie jak członkowie kadry zarządzającej, podlegają rozszerzonym kontrolom w celu wykrycia powiązań z jurysdykcjami wysokiego ryzyka lub osobami zajmującymi eksponowane stanowiska polityczne (PEP).

Dodatkowo przeprowadzana jest szczegółowa weryfikacja źródła środków, obejmująca wyciągi bankowe, umowy oraz sprawozdania finansowe poddane audytowi, w celu potwierdzenia legalnego pochodzenia środków.

Podmioty wysokiego ryzyka podlegają również niezależnej weryfikacji, w tym – w razie potrzeby – potwierdzeniom z ambasad lub konsulatów. Mogą być wymagane dokumenty apostille, a dane dotyczące beneficjentów rzeczywistych są weryfikowane w międzynarodowych bazach danych. W przypadku istotnych lub nietypowych transakcji stosowany jest monitoring w czasie rzeczywistym, a ich realizacja wymaga zatwierdzenia przez Compliance Officer. Regularnie przeprowadzane są przeglądy w celu wykrycia wzorców mogących wskazywać na działalność nielegalną.

6.2. Ustalenie źródła środków w ramach Wzmocnionych Środków Należytej Staranności (EDD)

Spółka stosuje podejście oparte na ryzyku przy ustalaniu źródła środków („Source of Funds”, dalej: „SOF”).

Podejście oparte na ryzyku oznacza, że Spółka zachowuje czujność wobec wszelkich możliwości, że środki mogą pochodzić z nielegalnego źródła lub nie być przeznaczone na legalny cel. Przykładowo, w przypadku gdy środki pochodzą z państwa trzeciego wysokiego ryzyka o niewystarczających regulacjach AML, Spółka jest zobowiązana do pozyskania dodatkowych informacji przed przystąpieniem do realizacji jakiejkolwiek transakcji.

W celu zapewnienia, że źródło środków jest legalne, Spółka podejmuje następujące działania:

dokonuje oceny wiarygodności klienta na podstawie przekazanych informacji;
weryfikuje i analizuje informacje oraz/lub dokumenty potwierdzające źródło środków, które klient zamierza wykorzystać w ramach korzystania z usług Spółki;
uwzględnia jurysdykcję oraz rating banku, z którego przekazywane są środki;
ocenia, czy środki są przekazywane z rachunku prowadzonego na nazwisko klienta, czy też osoby trzeciej;

W przypadku gdy środki pochodzą od osoby trzeciej, ryzyko jest wyższe i Spółka przeprowadza dodatkowe czynności wyjaśniające, w szczególności:

dotyczące relacji pomiędzy klientem a ostatecznym podmiotem faktycznie dostarczającym środki (tj. rzeczywistym dostawcą środków),
w celu oceny, czy cel transakcji jest zgodny z udokumentowanym profilem klienta.

Spółka zobowiązuje się do zapewnienia, że źródło środków jest logiczne oraz poparte odpowiednią dokumentacją. Przykłady wymaganych danych oraz sugerowane dokumenty potwierdzające znajdują się w Załączniku III.

6.3. Poleganie na danych zebranych przez inną osobę („osobę trzecią”) oraz outsourcing stosowania środków należytej staranności

Spółka może polegać na danych i dokumentach zebranych przez inną osobę („osobę trzecią”), pod warunkiem spełnienia wszystkich poniższych kryteriów:

Spółka uzyskuje od tej osoby trzeciej co najmniej informacje z zakresu należytej staranności dotyczące klienta, jego przedstawiciela oraz beneficjenta rzeczywistego, a także informacje dotyczące celu i charakteru relacji gospodarczej lub transakcji;
Spółka zapewnia, że w razie potrzeby ma możliwość niezwłocznego uzyskania wszystkich danych i dokumentów, na podstawie których polegała na danych zebranych przez inną osobę;
Spółka ustala, że osoba trzecia, na której polega, jest zobowiązana do przestrzegania oraz faktycznie przestrzega wymogów równoważnych z wymogami określonymi w Dyrektywie Parlamentu Europejskiego i Rady (UE) 2015/849, w tym wymogów dotyczących stosowania środków należytej staranności, identyfikacji osób zajmujących eksponowane stanowiska polityczne (PEP) oraz przechowywania danych, a także podlega lub jest gotowa podlegać nadzorowi państwowemu w zakresie zgodności z tymi wymogami;
Spółka podejmuje odpowiednie środki w celu zapewnienia zgodności z powyższymi kryteriami.

Spółka może również powierzyć (outsourcować) czynności związane z identyfikacją klienta:

innemu podmiotowi zobowiązanemu;
organizacji, stowarzyszeniu lub związkowi, którego członkowie są podmiotami zobowiązanymi; lub
innej osobie, która stosuje środki należytej staranności oraz wymogi w zakresie przechowywania danych przewidziane przez przepisy AML oraz podlega lub jest gotowa podlegać nadzorowi AML lub nadzorowi finansowemu w państwie-stronie Europejskiego Obszaru Gospodarczego w zakresie spełniania tych wymogów.

W celu powierzenia wykonywania czynności (outsourcingu), podmiot zobowiązany zawiera pisemną umowę, która zapewnia, że:

outsourcing czynności nie utrudnia działalności Spółki ani wykonywania obowiązków wynikających z obowiązujących przepisów AML;
osoba trzecia wykonuje wszystkie obowiązki Spółki związane z powierzonymi czynnościami;
outsourcing nie ogranicza możliwości sprawowania nadzoru nad Spółką;
właściwy organ nadzoru może sprawować nadzór nad podmiotem wykonującym czynności outsourcingowe za pośrednictwem Spółki, w tym poprzez kontrolę na miejscu lub inne środki nadzorcze;
osoba trzecia posiada wymagane wiedzę, kompetencje oraz zdolność do spełnienia wymogów określonych w niniejszej Polityce AML oraz właściwych przepisach AML;
Spółka ma prawo do nieograniczonej kontroli zgodności z wymogami wynikającymi z niniejszej ustawy;
dokumenty i dane są przechowywane, a na żądanie Spółki kopie dokumentów dotyczących identyfikacji klienta i jego beneficjenta rzeczywistego lub inne istotne dokumenty są niezwłocznie przekazywane właściwemu organowi.

W przypadku jakichkolwiek ustaleń dotyczących outsourcingu, Spółka ponosi odpowiedzialność za zgodność z wymogami wynikającymi z przepisów AML.

6.4. Transakcje z Osobami Zajmującymi Eksponowane Stanowiska Polityczne („PEP”)

W przypadku gdy Klient jest osobą zajmującą eksponowane stanowisko polityczne („PEP”), członkiem rodziny PEP albo osobą znaną jako bliski współpracownik PEP, Spółka stosuje poniższe środki należytej staranności (due diligence) dodatkowo do środków określonych powyżej w niniejszej Polityce AML:

posiada odpowiednie procedury oparte na ocenie ryzyka, umożliwiające ustalenie, czy Klient (lub beneficjent rzeczywisty) jest PEP;
uzyskuje zatwierdzenie przez wyższe kierownictwo (Senior Management) w celu nawiązania stosunków gospodarczych z takimi Klientami lub kontynuacji stosunków gospodarczych z istniejącymi Klientami, którzy uzyskali status PEP;
podejmuje odpowiednie środki w celu ustalenia źródła majątku oraz źródła pochodzenia środków finansowych;
klasyfikuje Klienta jako podmiot wysokiego ryzyka oraz stosuje wzmocnione środki należytej staranności (enhanced due diligence) i zwiększony monitoring stosunków gospodarczych.

W przypadku gdy osoba PEP przestaje pełnić istotne funkcje publiczne, Spółka zobowiązana jest co najmniej w okresie 12 miesięcy uwzględniać utrzymujące się ryzyka związane z tą osobą oraz stosować odpowiednie, oparte na ryzyku środki tak długo, jak długo nie zostanie jednoznacznie stwierdzone, że ryzyka charakterystyczne dla PEP nie występują w danym przypadku.

6.5. Lista akceptowanych dokumentów

1. Podstawowe dokumenty urzędowe ze zdjęciem

Dokumenty te muszą spełniać następujące wymagania:

zawierać pełne imię i nazwisko Klienta oraz aktualne, wyraźne zdjęcie;
zawierać adres zamieszkania lub datę urodzenia;
być ważne (nieprzeterminowane) oraz wolne od jakichkolwiek śladów ingerencji lub fałszerstwa;
posiadać widoczne zabezpieczenia, takie jak hologramy, znaki wodne lub technologia chipowa.

Ważny paszport

musi być paszportem maszynowo czytelnym (MRZ) lub biometrycznym;
zawiera:
- imię i nazwisko,
- datę urodzenia,
- fotografię,
- numer paszportu,
- datę wydania i datę ważności,
- kraj wydania;
zawiera wbudowane zabezpieczenia, takie jak chip elektroniczny (w przypadku paszportów biometrycznych), hologramy oraz elementy wodne.

Krajowy dowód tożsamości

zawiera:
- imię i nazwisko,
- datę urodzenia,
- fotografię,
- adres (opcjonalnie w nowych dowodach wydawanych po 2019 r.),
- numer PESEL,
- numer dokumentu, datę wydania i datę ważności;
posiada zabezpieczenia takie jak holograficzna nakładka, mikrodruk oraz strefę odczytu maszynowego (MRZ).

2. Dodatkowe dokumenty urzędowe ze zdjęciem

Ważne prawo jazdy (karta plastikowa)

wydane w standardzie zgodnym z regulacjami UE;
zawiera:
- imię i nazwisko,
- datę urodzenia,
- fotografię,
- datę wydania i datę ważności,
- numer prawa jazdy,
- adres (może się różnić w zależności od kraju);
zawiera zabezpieczenia takie jak tusz UV, hologramy oraz laminat zabezpieczający przed fałszerstwem.

Tymczasowe zezwolenie na pobyt

wydawane cudzoziemcom przebywającym czasowo w Polsce lub innym kraju UE;
zawiera:
- imię i nazwisko,
- datę urodzenia,
- fotografię,
- datę wydania i datę ważności,
- numer dokumentu,
- cel pobytu (np. praca, studia, łączenie rodzin);
zawiera zabezpieczenia takie jak hologramy, znaki wodne, mikrodruk oraz strefę odczytu maszynowego (MRZ).

7. PROCES BIEŻĄCEGO MONITOROWANIA

Spółka ustanowiła zasady monitorowania relacji gospodarczych, które obejmują co najmniej następujące elementy:

1. Kontrola transakcji realizowanych w ramach relacji gospodarczej:

zapewnienie, że transakcje są zgodne z wiedzą Spółki o Kliencie, jego działalności oraz profilu ryzyka;
w przypadku osób prawnych – okresowa analiza wszystkich transakcji w celu potwierdzenia ich zgodności z przewidywaną działalnością gospodarczą oraz zadeklarowanym źródłem środków;
stosowanie analityki danych oraz systemów automatycznych w celu wykrywania nietypowych wzorców, takich jak duże lub częste transakcje odbiegające od typowych zachowań finansowych, transakcje z udziałem jurysdykcji wysokiego ryzyka lub podmiotów trzecich niepowiązanych z Klientem.

2. Regularna aktualizacja dokumentów, danych i informacji uzyskanych w ramach stosowania środków należytej staranności:

planowanie regularnych aktualizacji dokumentacji osób prawnych, w szczególności w zakresie struktury własnościowej, beneficjentów rzeczywistych oraz osób upoważnionych do reprezentacji;
podmioty o standardowym poziomie ryzyka podlegają przeglądowi raz w roku, natomiast podmioty wysokiego ryzyka – co sześć miesięcy;
zapewnienie, że wszelkie zmiany w strukturze beneficjentów rzeczywistych, osobach upoważnionych do reprezentacji lub inne istotne zmiany są dokumentowane i weryfikowane.

3. Identyfikacja źródła i pochodzenia środków użytych w transakcji:

weryfikacja, czy środki pochodzą z legalnych źródeł oraz czy są zgodne z deklarowanym profilem finansowym Klienta;
w przypadku osób prawnych – żądanie dodatkowej dokumentacji w celu potwierdzenia źródła środków przy transakcjach istotnych lub nietypowych, w tym umów, sprawozdań finansowych lub wyciągów bankowych.

4. W działalności gospodarczej i zawodowej – zwiększona uwaga wobec transakcji realizowanych w ramach relacji gospodarczej:

monitorowanie działań, zachowań Klienta oraz okoliczności mogących wskazywać na działalność przestępczą, pranie pieniędzy lub finansowanie terroryzmu; obejmuje to transakcje złożone, wysokokwotowe lub nietypowe, nieposiadające uzasadnienia ekonomicznego lub niezgodne z profilem działalności Klienta;
w przypadku osób prawnych – bieżące monitorowanie podmiotów wysokiego ryzyka, w tym oznaczanie nieprawidłowych transakcji do dalszej analizy.

5. W działalności gospodarczej i zawodowej – zwiększona uwaga wobec relacji gospodarczej lub transakcji, gdy Klient jest powiązany z jurysdykcjami wysokiego ryzyka:

monitorowanie transakcji z udziałem Klientów z państw trzecich wysokiego ryzyka lub gdy miejsce zamieszkania, siedziba Klienta lub dostawcy usług płatniczych znajduje się w takiej jurysdykcji;
w przypadku osób prawnych – stosowanie wzmożonych środków należytej staranności, jeżeli w strukturze własnościowej pojawią się nowe osoby lub podmioty wysokiego ryzyka.

6. Zrozumienie charakteru, celu i tła transakcji oraz powiązanych informacji:

identyfikacja i dokumentowanie istoty transakcji, ze szczególnym uwzględnieniem Klientów wysokiego ryzyka lub osób prawnych, których struktura własnościowa lub zachowania transakcyjne mogą wskazywać na podwyższone ryzyko;
w przypadku osób prawnych – częsta ponowna ocena profilu ryzyka w przypadku istotnych zmian, takich jak nowi beneficjenci rzeczywiści, nowe linie działalności lub ekspansja do jurysdykcji wysokiego ryzyka; wszelkie istotne zmiany, w szczególności związane z PEP lub jurysdykcjami wysokiego ryzyka, wymagają zatwierdzenia przez wyższe kierownictwo.

7. Dokumentowanie działań monitoringowych oraz zgłaszanie podejrzanych aktywności:

rejestrowanie wszystkich działań monitorujących, ustaleń oraz ponownej oceny ryzyka w bezpiecznej formie, zapewniającej ścieżkę audytu do przyszłych przeglądów i analiz;
niezwłoczne zgłaszanie nietypowych działań lub niezgodności do Compliance Officer, który ocenia konieczność dalszego zgłoszenia do Financial Intelligence Unit (FIU).

8. TRANSAKCJE PODEJRZANE

8.1. Transakcje podejrzane

W przypadku gdy Spółka zidentyfikuje działalność lub okoliczności, których charakter wskazuje na wykorzystanie środków pochodzących z przestępstwa, finansowanie terroryzmu lub popełnienie powiązanych czynów zabronionych albo próbę ich popełnienia, bądź gdy Spółka podejrzewa lub wie, że dana czynność stanowi pranie pieniędzy lub finansowanie terroryzmu lub inne powiązane przestępstwo (dalej „transakcja podejrzana”), Spółka zgłasza taki przypadek do Generalnego Inspektora Informacji Finansowej (Financial Intelligence Unit – „FIU”) niezwłocznie, jednak nie później niż w terminie dwóch dni roboczych.

Transakcja podejrzana to w szczególności transakcja niezgodna ze znaną, legalną działalnością gospodarczą lub osobistą Klienta albo z normalnym zakresem działalności danego rachunku. Spółka zapewnia, że posiada odpowiednie informacje oraz wystarczającą wiedzę o działalności swoich Klientów, aby móc terminowo rozpoznać, że dana transakcja lub seria transakcji ma charakter nietypowy lub podejrzany.

W celu identyfikacji transakcji podejrzanych, Compliance Officer Spółki wykonuje następujące działania:

prowadzi stały monitoring wszelkich zmian w sytuacji finansowej Klienta, jego działalności gospodarczej, rodzaju transakcji itp.;
przyjmuje i analizuje informacje od pracowników Spółki dotyczące podejrzanych transakcji, które mogą wskazywać na pranie pieniędzy; informacje te są przekazywane w formie elektronicznej (dalej „Wewnętrzny Raport Podejrzenia”), którego wzór stanowi Załącznik nr 1 do Polityki AML;
ocenia i weryfikuje otrzymane informacje, z uwzględnieniem innych dostępnych źródeł informacji oraz poprzez wymianę informacji w danej sprawie z osobą zgłaszającą oraz, w razie potrzeby, z jej przełożonymi. Informacje zawarte w raporcie przekazanym do Compliance Officer są analizowane i dokumentowane w formie raportu (dalej „Wewnętrzny Raport Oceny”), którego wzór stanowi Załącznik nr 2 do Polityki AML.

Jeżeli w wyniku powyższej analizy Compliance Officer zdecyduje o przekazaniu informacji do FIU, przygotowuje on stosowny raport i przekazuje go do jednostki zgodnie z dalszymi postanowieniami Polityki.

Jeżeli w wyniku powyższej analizy Compliance Officer zdecyduje o nieprzekazywaniu informacji do FIU, zobowiązany jest do pełnego uzasadnienia swojej decyzji w Wewnętrznym Raporcie Oceny.

8.2. Zgłoszenie do FIU

Spółka zobowiązana jest do zgłaszania do FIU każdej transakcji podejrzanej, niezależnie od tego, czy transakcja realizowana jest jako pojedyncza płatność, czy w ramach kilku powiązanych płatności w okresie do jednego roku, oraz do udzielania FIU wszelkich dodatkowych informacji, o które FIU wystąpi, a które są dostępne dla Spółki.

W przypadku powstania takiego podejrzenia Spółka może wstrzymać i/lub odroczyć realizację transakcji do czasu dokonania zgłoszenia, o którym mowa w niniejszym punkcie. Jeżeli jednak takie wstrzymanie lub odroczenie mogłoby spowodować znaczną szkodę, nie byłoby możliwe pominięcie transakcji albo mogłoby to utrudnić ujęcie osoby podejrzanej o pranie pieniędzy lub finansowanie terroryzmu, wówczas transakcja lub czynność zawodowa zostanie zrealizowana, a zgłoszenie zostanie przekazane do FIU po jej wykonaniu.

Zgłoszenie jest przekazywane za pośrednictwem formularza online FIU.

Spółka nie informuje osoby, której dotyczy zgłoszenie, ani osób trzecich z nią powiązanych o dokonanym zgłoszeniu do FIU, zamiarze jego dokonania ani o fakcie dokonania zgłoszenia, jak również o wydanym przez FIU nakazie ani o wszczęciu postępowania karnego. Po wykonaniu nakazu FIU Spółka może poinformować osobę, że FIU ograniczył możliwość korzystania z rachunku tej osoby lub nałożył inne ograniczenia.

Zakaz informowania nie ma zastosowania w przypadku przekazywania informacji do:

właściwych organów nadzorczych oraz organów ścigania;
instytucji kredytowych i finansowych pomiędzy sobą, jeżeli należą do tej samej grupy kapitałowej;
instytucji i oddziałów należących do tej samej grupy, jeżeli grupa stosuje jednolite procedury i zasady zgodne z przepisami AML;
podmiotu trzeciego działającego w ramach tej samej osoby prawnej lub struktury co podmiot obowiązany, który jest notariuszem, komornikiem, syndykiem, audytorem, adwokatem lub innym dostawcą usług prawnych, dostawcą usług księgowych albo doradczych w zakresie księgowości lub podatków, oraz gdy dana osoba prawna lub struktura posiada tych samych właścicieli i system zarządzania, a stosowana jest wspólna zgodność (compliance).

Wymiana informacji, o której mowa w niniejszym punkcie, musi być przechowywana w formie pisemnej lub możliwej do odtworzenia w formie pisemnej przez okres co najmniej 5 lat, a informacje te są przekazywane właściwemu organowi nadzorczemu na jego żądanie.

8.3. Zwolnienie z odpowiedzialności

Spółka, jej pracownicy, przedstawiciele oraz osoby działające w jej imieniu nie ponoszą odpowiedzialności za szkody wyrządzone osobie lub Klientowi uczestniczącemu w transakcji w związku ze świadczeniem usług:

w wyniku wykonywania obowiązków i zobowiązań wynikających z przepisów AML w dobrej wierze, w tym z powodu niewykonania transakcji lub niewykonania jej w wymaganym terminie;
w związku z realizacją obowiązku zgłoszenia w dobrej wierze;
w wyniku współpracy oraz wymiany informacji, a także uwzględniania zastrzeżeń przy nawiązywaniu relacji z bankami fasadowymi (shell banks) w dobrej wierze.

Wykonanie obowiązku zgłoszenia oraz przekazanie informacji przez Spółkę nie stanowi naruszenia obowiązku zachowania poufności wynikającego z przepisów prawa lub umowy, a odpowiedzialność ustawowa lub kontraktowa za ujawnienie takich informacji nie ma zastosowania do osoby dokonującej zgłoszenia. Jakiekolwiek postanowienia umowne sprzeczne z niniejszym przepisem są nieważne.

Spółka ustanawia system środków zapewniających, że pracownicy i przedstawiciele zaangażowani w sporządzanie oraz przekazywanie zgłoszeń, zarówno w ramach podmiotu obowiązanego, jak i bezpośrednio do FIU, są chronieni przed narażeniem na groźby lub działania o charakterze represyjnym ze strony innych pracowników, członków organów zarządzających lub klientów, w szczególności przed negatywnymi lub dyskryminującymi działaniami w zatrudnieniu.

8.4. Wstrzymanie transakcji

Spółka wstrzymuje transakcję niezwłocznie po otrzymaniu odpowiedniego żądania od FIU lub właściwego prokuratora.

9. PROCEDURY WERYFIKACJI SANKCYJNEJ

W celu zapewnienia zgodności z obowiązującymi międzynarodowymi i krajowymi regulacjami sankcyjnymi, Spółka prowadzi weryfikację sankcyjną jako integralną część procesu należytej staranności wobec Klienta (Customer Due Diligence – CDD) oraz bieżącego monitorowania relacji gospodarczych. Weryfikacja ta jest realizowana przy użyciu usługi ComplyAdvantage, obsługiwanej poprzez system SUMSUB, będący głównym dostawcą usług KYC i monitoringu. Wszyscy Klienci, transakcje oraz istotne podmioty powiązane są sprawdzani względem aktualnych list sankcyjnych, w tym w szczególności list publikowanych przez Organizację Narodów Zjednoczonych, Unię Europejską, Office of Foreign Assets Control (OFAC) oraz His Majesty's Treasury (HMT).

Proces weryfikacji ma charakter zautomatyzowany i wykorzystuje aktualizacje w czasie rzeczywistym w celu identyfikacji potencjalnych zgodności z listami sankcyjnymi. W przypadku wykrycia możliwej zgodności z osobą lub podmiotem objętym sankcjami, przeprowadzana jest ręczna analiza przez Compliance Officer w celu potwierdzenia dopasowania oraz oceny konieczności podjęcia dalszych działań. W przypadku potwierdzenia potencjalnej zgodności, Spółka niezwłocznie wstrzymuje wszelkie trwające transakcje lub relacje gospodarcze z danym podmiotem oraz dokonuje zgłoszenia do Generalnego Inspektora Informacji Finansowej (FIU) zgodnie z obowiązującymi przepisami prawa.

W celu zapewnienia dokładności i skuteczności, proces weryfikacji sankcyjnej podlega okresowym przeglądom, a pracownicy są szkoleni w zakresie jego stosowania oraz znaczenia przestrzegania standardów zgodności sankcyjnej. Niniejsze ramy proceduralne zapewniają ograniczenie ryzyk związanych z nawiązywaniem relacji z osobami lub podmiotami objętymi sankcjami, a także utrzymanie zgodności z obowiązkami prawnymi oraz ochronę działalności Spółki.

10. PROCEDURY WERYFIKACJI NEGATYWNYCH INFORMACJI MEDIALNYCH (ADVERSE MEDIA)

Spółka wdraża weryfikację negatywnych informacji medialnych jako część kompleksowego procesu należytej staranności wobec Klienta (CDD) oraz bieżącego monitorowania, w celu identyfikacji potencjalnych ryzyk reputacyjnych, regulacyjnych lub finansowych związanych z Klientami. Weryfikacja ta jest realizowana przy użyciu usługi ComplyAdvantage za pośrednictwem SUMSUB, która zapewnia dostęp w czasie rzeczywistym do globalnych baz danych obejmujących artykuły prasowe, raporty oraz inne źródła medialne. Proces ten umożliwia identyfikację wszelkich negatywnych lub niekorzystnych informacji dotyczących Klientów, ich podmiotów powiązanych lub innych powiązanych jednostek, w tym zarzutów dotyczących przestępstw finansowych, korupcji, terroryzmu lub innych działań wskazujących na podwyższone ryzyko.

Weryfikacja adverse media jest prowadzona zarówno na etapie nawiązywania relacji z Klientem, jak i w ramach bieżącego monitorowania, w celu wykrywania nowych lub zmieniających się ryzyk. W przypadku zidentyfikowania negatywnych informacji medialnych, Compliance Officer dokonuje ich oceny w zakresie wiarygodności, istotności oraz wpływu na profil ryzyka Klienta. Na podstawie tej oceny podejmowane są odpowiednie działania, które mogą obejmować zastosowanie wzmocnionych środków należytej staranności (EDD), eskalację sprawy do wyższego kierownictwa lub zakończenie relacji gospodarczej.

Spółka zapewnia, że proces weryfikacji negatywnych informacji medialnych jest regularnie przeglądany i aktualizowany w celu utrzymania jego skuteczności oraz zgodności z wymogami regulacyjnymi. Dodatkowo pracownicy są szkoleni w zakresie znaczenia analizy adverse media, co pozwala na proaktywne identyfikowanie potencjalnych ryzyk i ochronę działalności oraz reputacji Spółki.

11. PROCEDURY PRZECHOWYWANIA DOKUMENTACJI I OCHRONY DANYCH

Spółka wdrożyła mechanizmy oraz zabezpieczone systemy w celu zapewnienia prawidłowej ewidencji prowadzonej działalności gospodarczej oraz świadczonych usług na rzecz Klientów. Spółka rejestruje następujące informacje:

datę lub okres transakcji oraz opis jej istoty;
wartość pieniężną transakcji, walutę oraz wszelkie istotne cechy, jeżeli są dostępne;
informacje dotyczące okoliczności odmowy nawiązania stosunku gospodarczego lub przeprowadzenia transakcji okazjonalnej (jeżeli dotyczy);
informacje dotyczące okoliczności zakończenia stosunku gospodarczego w związku z niemożnością zastosowania środków należytej staranności (due diligence);
informacje stanowiące podstawę obowiązku zgłoszenia transakcji Klienta jako podejrzanej.

Spółka przechowuje dokumentację przez okres nie krótszy niż 5 (pięć) lat od momentu dokonania transakcji, zakończenia stosunku gospodarczego i/lub wykonania obowiązku zgłoszenia, obejmując:

oryginały lub kopie dokumentów stanowiących podstawę identyfikacji i weryfikacji osób;
dokumenty wykorzystywane do identyfikacji cyfrowej osoby, wszelkie zapytania elektroniczne do baz danych dokumentów tożsamości, a także nagrania audio i wideo procesu identyfikacji oraz weryfikacji tożsamości osoby, o ile mają zastosowanie;
całą korespondencję związaną z wykonywaniem obowiązków wynikających z przepisów AML.

Spółka przechowuje powyższe dokumenty i dane w sposób umożliwiający pełne i niezwłoczne udzielenie odpowiedzi na zapytania Generalnego Inspektora Informacji Finansowej (FIU) lub, zgodnie z przepisami prawa, innych organów nadzorczych, organów ścigania lub sądów, w szczególności w zakresie ustalenia, czy wobec danej osoby Spółka obecnie lub w przeszłości (w okresie ostatnich pięciu lat) pozostawała w relacji gospodarczej oraz jaki był jej charakter.

W przypadku gdy Spółka dokonuje, w celu identyfikacji osoby, zapytania do bazy danych stanowiącej część państwowego systemu informacyjnego, obowiązek przechowywania uznaje się za spełniony, jeżeli informacja o dokonaniu zapytania elektronicznego może być odtworzona przez okres pięciu lat od zakończenia stosunku gospodarczego lub dokonania transakcji.

11.1. OCHRONA DANYCH OSOBOWYCH

Spółka wdraża wszelkie zasady ochrony danych osobowych przy stosowaniu wymogów wynikających z przepisów AML oraz przepisów o ochronie danych osobowych (w tym Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 – RODO).

Spółka posiada Politykę Prywatności, która określa minimalne standardy w zakresie ochrony gromadzonych danych oraz ich przetwarzania. Polityka Prywatności jest należycie udostępniana Klientom.

W zakresie przeciwdziałania praniu pieniędzy i finansowaniu terroryzmu Spółka jest uprawniona do przetwarzania danych osobowych wyłącznie w celu zapobiegania praniu pieniędzy i finansowaniu terroryzmu, a dane te nie mogą być przetwarzane w sposób niezgodny z tym celem, w szczególności do celów marketingowych.

Spółka przekazuje informacje dotyczące przetwarzania danych osobowych przed nawiązaniem stosunku gospodarczego lub dokonaniem transakcji okazjonalnej z Klientem. Ogólne informacje dotyczące obowiązków podmiotu zobowiązanego w zakresie przetwarzania danych osobowych dla celów AML są zawarte w niniejszej informacji.

12. OBOWIĄZKI PRACOWNIKÓW, EDUKACJA I SZKOLENIA

Spółka zapewnia, że pracownicy, których obowiązki służbowe obejmują nawiązywanie stosunków gospodarczych lub dokonywanie transakcji, są odpowiednio przeszkoleni w zakresie wykonywania obowiązków wynikających z przepisów AML oraz niniejszej polityki. Szkolenia takie są obowiązkowe w momencie rozpoczęcia wykonywania określonych obowiązków służbowych, a następnie przeprowadzane regularnie lub w razie potrzeby.

Szkolenia obejmują, między innymi, informacje dotyczące obowiązków i wymogów określonych w procedurach wewnętrznych, nowoczesnych metod prania pieniędzy i finansowania terroryzmu oraz związanych z nimi ryzyk, wymogów ochrony danych osobowych, sposobów rozpoznawania działań mogących mieć związek z praniem pieniędzy lub finansowaniem terroryzmu, a także instrukcje postępowania w takich sytuacjach.

Inspektor ds. zgodności (Compliance Officer) ma obowiązek przedstawiania Zarządowi propozycji dotyczących organizacji szkoleń dla pracowników i przedstawicieli Spółki oraz prowadzenia rejestru wszystkich przeprowadzonych i planowanych szkoleń.

Załącznik I. Lista przykładów odpowiednich informacji i/lub dokumentów potwierdzających wymaganych do ustalenia źródła środków

Źródło środków / źródło majątku	Informacje / dokumenty, które mogą być wymagane
Dochód z zatrudnienia	- charakter działalności pracodawcy - nazwa i adres pracodawcy - roczne wynagrodzenie oraz premie za ostatnie lata - ostatni / aktualny odcinek wynagrodzenia (payslip) - potwierdzenie wynagrodzenia rocznego wystawione przez pracodawcę - najnowsze sprawozdania finansowe lub deklaracja podatkowa – w przypadku działalności na własny rachunek
Oszczędności / depozyty	- wyciąg bankowy oraz weryfikacja źródła pochodzenia majątku (source of wealth)
Sprzedaż nieruchomości	- szczegóły dotyczące sprzedanej nieruchomości (np. adres, data sprzedaży, wartość sprzedaży, strony transakcji) - kopia umowy sprzedaży - akt własności / wypis z księgi wieczystej
Sprzedaż udziałów lub innych inwestycji	- kopia umowy sprzedaży - wartość sprzedaży oraz sposób zbycia udziałów (np. nazwa giełdy) - wyciąg z rachunku od pośrednika / brokera - potwierdzenie / potwierdzenia transakcji - certyfikat akcjonariusza - data sprzedaży
Pożyczka	- umowa pożyczki - kwota, data oraz cel pożyczki - imię i nazwisko oraz adres pożyczkodawcy - szczegóły dotyczące zabezpieczeń (jeżeli występują)
Sprzedaż spółki	- kopia umowy sprzedaży - weryfikacja w internetowych rejestrach przedsiębiorstw - nazwa i adres spółki - łączna cena sprzedaży - udział klienta w strukturze właścicielskiej - charakter działalności spółki - data sprzedaży oraz wpływu środków - materiały prasowe / informacje medialne (jeżeli dostępne)
Zyski spółki / dywidendy	- kopia ostatnich zbadanych sprawozdań finansowych - kopia ostatnich sprawozdań zarządczych - uchwała zarządu / rady dyrektorów - dokumentacja wypłaty dywidendy - deklaracja podatkowa

Załącznik II. Lista jurysdykcji objętych ograniczeniami

1. Afghanistan

2. Barbados

3. Burkina Faso

4. Belarus

5. Cameroon

6. Crimea

7. Cuba

8. DR Congo

9. Donetsk region

10. Gibraltar

11. Haiti

12. Iran

13. Iraq

14. Jamaica

15. Kherson region

16. Libya

17. Luhansk region

18. Mali

19. Mozambique

20. Myanmar

21. Nigeria

22. Northern Cyprus

23. North Korea

24. Palestine

25. Panama

26. Philippines

27. Russia

28. Senegal

29. Somalia

30. South Africa

31. South Sudan

32. Sudan

33. Syria

34. Tanzania

35. Trinidad and Tobago

36. Uganda

37. United Arab Emirates

38. Vanuatu

39. Vietnam

40. Yemen

41. Zaporizhzhia region