Szkolenia AML/CFT i whistleblowing — wymogi Stanowiska UKNF

Key takeaways / In brief

Stanowisko UKNF łączy dwa obszary obowiązkowe Procedury AML/CFT: szkolenia z art. 52 ustawy z 1 marca 2018 r. oraz procedurę whistleblowing z art. 53 i 53a Ustawy. UKNF oczekuje cyklu szkoleń aktualizujących nie rzadziej niż co 2 lata, obowiązkowego szkolenia nowych pracowników przed pierwszą czynnością AML/CFT i objęcia obowiązkiem szkoleniowym także kadry kierowniczej wyższego szczebla. Wymogi szczegółowe — Komunikat GIIF nr 92 z 13 lutego 2025 r. Procedura whistleblowing musi zawierać siedem obligatoryjnych elementów, w tym wyznaczenie osoby odbierającej zgłoszenia (nie może to być AMLRO) oraz zapewnienie anonimowości, ochrony przed działaniami represyjnymi i ochrony danych osobowych zgodnie z RODO.

Szkolenia AML/CFT i whistleblowing to dwa obszary, w których — z naszego doświadczenia kontroli KNF — najczęściej spotykamy formalną zgodność i operacyjne luki. Procedura wymienia wszystkie elementy wymagane Ustawą, ale w praktyce nie ma dowodów udziału konkretnych pracowników w szkoleniach, kanał whistleblowing jest fizycznie niedostępny dla części pracowników agentów, a osoba odbierająca zgłoszenia bywa AMLRO — co Stanowisko UKNF wprost wyklucza. W tym artykule porządkujemy wymogi z art. 52, 53 i 53a Ustawy oraz Komunikatu GIIF nr 92 z 13 lutego 2025 r.

Kogo obejmuje obowiązek szkoleniowy AML/CFT?

Art. 52 Ustawy nakłada na IO obowiązek zapewnienia udziału osób wykonujących czynności związane z przeciwdziałaniem ML/TF w programach szkoleniowych. Stanowisko UKNF doprecyzowuje krąg adresatów — obowiązek dotyczy:

pracowników IO,
osób zatrudnionych na podstawie umów cywilnoprawnych,
agentów,
podmiotów działających na zlecenie IO,
innych współpracowników realizujących faktycznie obowiązki AML/CFT,
kadry kierowniczej wyższego szczebla odpowiedzialnej za wykonywanie obowiązków określonych w Ustawie.

Programy szkoleniowe powinny uwzględniać charakter, rodzaj i rozmiar prowadzonej działalności IO oraz zapewniać aktualną wiedzę w zakresie realizacji obowiązków instytucji obowiązanej, w szczególności obowiązków z art. 74 ust. 1, art. 86 ust. 1 i art. 89 ust. 1 Ustawy (art. 52 ust. 2 Ustawy).

Outsourcing AML/CFT — kto szkoli i jak to udowodnić?

W przypadkach z art. 47 i 48 Ustawy (korzystanie z usług podmiotu trzeciego przy stosowaniu środków bezpieczeństwa finansowego, art. 34 ust. 1 pkt 1–3 Ustawy, lub powierzenie środków oraz prowadzenia bieżącej analizy z art. 43 ust. 3 Ustawy) — wypełnienie obowiązku szkoleniowego przez te podmioty powinno być elementem umowy z tymi podmiotami, zapewniając IO kontrolę procesu szkoleniowego.

IO powinny zagwarantować sobie możliwość otrzymania od podmiotu trzeciego dowodów potwierdzających przeszkolenie wszystkich osób odpowiedzialnych za realizację obowiązków AML/CFT w tym podmiocie — w tym co do zakresu i częstotliwości szkoleń.

Czy samokształcenie zastępuje szkolenie z art. 52 Ustawy?

Nie. Stanowisko UKNF wprost ostrzega: samo zapoznanie się z treścią Komunikatów GIIF i Stanowisk UKNF — z uwagi na ich ogólny lub selektywny charakter — nie jest wystarczające do uznania prawidłowej realizacji obowiązku z art. 52 Ustawy.

Samokształcenie nie stanowi realizacji obowiązku szkoleniowego. Może być jedynie uzupełnieniem profesjonalnych szkoleń.

Jak często należy szkolić — cykl, triggery, nowi pracownicy

Stanowisko UKNF precyzyjnie określa rytm szkoleń:

Nowi pracownicy

Procedura AML/CFT musi określać obowiązek ukończenia odpowiedniego szkolenia w odniesieniu do nowo zatrudnionych osób przed ich samodzielnym przystąpieniem do czynności związanych z AML/CFT.

Jeśli IO honoruje szkolenia, w jakich pracownik uczestniczył przed zatrudnieniem — Procedura określa warunki tego honorowania. Co istotne: nowo zatrudniona osoba zawsze powinna przejść szkolenie z zakresu specyfiki działalności IO i obowiązujących w niej procedur w obszarze AML/CFT.

Cykl aktualizujący

Szkolenia aktualizujące dla dotychczasowych pracowników są obowiązkowe w przypadku:

zmian przepisów prawa,
stwierdzenia istotnych nieprawidłowości w wyniku kontroli zewnętrznych, wewnętrznych, audytu,
istotnej zmiany profilu działalności IO.

Niezależnie od tych triggerów — UKNF oczekuje, że IO wprowadzą system szkoleń uzupełniających, nie rzadziej niż co 2 lata, także przy braku wystąpienia wspomnianych okoliczności, mając na celu utrwalenie wiedzy pracowników w obszarze AML/CFT.

Co Procedura AML/CFT musi określać w obszarze szkoleń?

Stanowisko UKNF wymienia osiem elementów obowiązkowych Procedury w zakresie szkoleń:

Obowiązek ukończenia szkolenia przez nowo zatrudnionych przed samodzielnym przystąpieniem do czynności AML/CFT.
Warunki honorowania szkoleń wcześniejszych + obowiązkowe szkolenie ze specyfiki IO.
Częstotliwość szkoleń aktualizujących (cykl co 2 lata + triggery prawne / kontrolne / biznesowe).
Jednostki organizacyjne, stanowiska, pracowników oraz osoby na umowach cywilnoprawnych, którzy podlegają obowiązkowi szkoleniowemu.
Osoby odpowiedzialne za zapewnienie szkoleń.
Sposób dokumentowania udziału w szkoleniu (kto, kiedy, w jakim zakresie, przez kogo). Brak udokumentowania może oznaczać brak realizacji obowiązku szkoleniowego i narażać IO na karę administracyjną.
Sposób monitoringu/kontroli wykonywania obowiązku szkoleniowego przez pracowników i osoby współpracujące oraz działania wobec osób, które nie wzięły udziału w szkoleniu.
Sposób raportowania wykonania obowiązku szkoleniowego (statystyki + podejmowane działania) do osób nadzorujących proces AML/CFT lub organów statutowych IO.

Wymogi szczegółowe dotyczące realizacji obowiązku szkoleniowego zawarte zostały w Komunikacie GIIF nr 92 z 13 lutego 2025 r.

Procedura whistleblowing — siedem obligatoryjnych elementów

Art. 53 Ustawy zobowiązuje IO do opracowania i wdrożenia wewnętrznej procedury anonimowego zgłaszania przez pracowników lub inne osoby i podmioty wykonujące czynności na rzecz IO rzeczywistych lub potencjalnych naruszeń przepisów AML/CFT — czyli „Procedury whistleblowing".

Stanowisko UKNF wymienia siedem obligatoryjnych elementów:

1. Wyznaczenie osoby odpowiedzialnej za odbieranie zgłoszeń

Może to być konkretna osoba lub stanowisko. Kluczowy zakaz: osoba przetwarzająca zgłoszenia nie powinna być AMLRO ani inną osobą zaangażowaną w proces AML/CFT — by uniknąć rozpatrywania ewentualnych skarg na własne działanie. Pełen kontekst rozdziału funkcji prezentujemy w artykule AMLRO, członek zarządu z art. 7 i zastępowalność.

2. Sposób odbierania zgłoszeń

Wskazanie kanałów, jakimi zgłoszenie może być dokonane, zapewniające osobie zgłaszającej anonimowość.

3. Sposób ochrony pracownika lub innej osoby dokonujących zgłoszeń

Co najmniej ochrona przed działaniami:

o charakterze represyjnym,
wpływającymi na pogorszenie sytuacji prawnej lub faktycznej,
polegającymi na kierowaniu gróźb.

4. Sposób ochrony danych osobowych

Zarówno osoby dokonującej zgłoszenia, jak i osoby, której zarzuca się dokonanie naruszenia — zgodnie z RODO. Procedura określa podstawę prawną przetwarzania, sposób postępowania z danymi i sposób ich przechowywania.

5. Zasady zachowania poufności

W przypadku ujawnienia tożsamości osób z pkt 4 lub gdy ich tożsamość jest możliwa do ustalenia — zawężenie kręgu osób uprawnionych do dostępu do treści zgłoszeń oraz zabezpieczenie dostępu do kanałów odbierania zgłoszeń.

6. Rodzaj i charakter działań następczych

Określenie dalszych działań po zgłoszeniu, wskazanie osób ustalających zasadność zgłoszenia, terminów poszczególnych etapów postępowania. Wynik przeprowadzonych działań w formie pisemnej powinien zostać przekazany do organów IO, które podejmą decyzje o powiadomieniu odpowiednich organów lub GIIF.

7. Termin usunięcia przez IO danych osobowych zawartych w zgłoszeniach

Określenie — zgodnie z przepisami o ochronie danych osobowych — czasu, po jakim dane osobowe przetwarzane w związku ze zgłoszeniem oraz postępowaniem wyjaśniającym zostaną usunięte.

Ochrona sygnalistów AML/CFT przed represjami — art. 53a Ustawy

Procedura whistleblowing musi precyzować, w jaki sposób IO zapewniają pracownikom oraz innym osobom wykonującym czynności związane z realizacją obowiązków z art. 74, 86, 89 i 90 Ustawy ochronę przed:

działaniami o charakterze represyjnym,
wpływającymi na pogorszenie ich sytuacji prawnej lub faktycznej,
polegającymi na kierowaniu gróźb.

Pracownicy oraz inne osoby narażone na takie działania są uprawnione do zgłoszenia GIIF przypadków takich działań (art. 53a Ustawy). Sposób odbierania tych zgłoszeń określa rozporządzenie MFFiPR z 14 lipca 2021 r. w sprawie odbierania zgłoszeń dotyczących działań o charakterze represyjnym wobec pracowników oraz osób wykonujących czynności na rzecz instytucji obowiązanej.

Sposób odbierania zgłoszeń o naruszeniach AML/CFT jako takich określa rozporządzenie MF z 16 maja 2018 r. w sprawie odbierania zgłoszeń naruszeń przepisów w zakresie przeciwdziałania praniu pieniędzy oraz finansowaniu terroryzmu.

Procedura whistleblowing jako element Procedury AML/CFT czy odrębny dokument?

Procedura whistleblowing może być elementem Procedury AML/CFT albo stanowić odrębną regulację wewnętrzną. W przypadku, gdy IO posiadają oddzielną Procedurę whistleblowing, powinna ona zawierać wszystkie siedem elementów obligatoryjnych i jednoznacznie określać, że odnosi się również do obszaru AML/CFT.

Z naszego doświadczenia model rozproszony (osobna Procedura whistleblowing) bywa łatwiejszy operacyjnie — bo jedna procedura whistleblowing pokrywa kilka reżimów (AML, RODO, ustawa o ochronie sygnalistów). Wymaga jednak udokumentowanego oświadczenia, że obejmuje obszar AML/CFT z art. 53 Ustawy.

Najważniejsze działania do podjęcia

Audyt programu szkoleniowego — czy obejmuje wszystkie kategorie osób (pracownicy, umowy cywilnoprawne, agenci, kadra kierownicza wyższego szczebla).
Test cyklu szkoleniowego — czy nowi pracownicy są szkoleni przed pierwszą czynnością AML, czy aktualizujące szkolenia odbywają się nie rzadziej niż co 2 lata.
Dokumentacja — czy każde szkolenie ma rejestr (kto, kiedy, w jakim zakresie, przez kogo). Brak rejestru = brak realizacji.
Audyt procedury whistleblowing — czy ma wszystkie 7 elementów obligatoryjnych, czy osoba odbierająca nie jest AMLRO, czy kanał zapewnia anonimowość.
Zgodność z RODO — sposób ochrony danych osoby zgłaszającej i osoby zarzucanej; termin usunięcia danych.
Mechanizm ochrony przed represjami — zgodność z art. 53a Ustawy i Rozp. MFFiPR z 14 lipca 2021 r.

Jak możemy Ci pomóc?

W Legal Geek wspieramy instytucje obowiązane w opracowaniu programu szkoleń AML/CFT zgodnego z Komunikatem GIIF nr 92 oraz w projektowaniu procedury whistleblowing zgodnej z art. 53 i 53a Ustawy. Doradzamy też przy łączeniu reżimów whistleblowingu (AML + ustawa o ochronie sygnalistów + RODO) w jeden spójny dokument. Skontaktuj się z nami przez formularz kontaktowy.

Co dalej w cyklu?

Źródła

Stanowisko UKNF dotyczące procesów AML/CFT, sekcje 7 i 8 — KNF
Ustawa z 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2025 poz. 644 t.j.), art. 47, 48, 52, 53, 53a, 74, 80, 86, 89, 90 — ISAP
Komunikat GIIF nr 92 z 13 lutego 2025 r. — GIIF
Rozporządzenie MFFiPR z 14 lipca 2021 r. w sprawie odbierania zgłoszeń dot. działań represyjnych — ISAP
Rozporządzenie MF z 16 maja 2018 r. w sprawie odbierania zgłoszeń naruszeń AML/CFT — ISAP
Rozporządzenie 2016/679 (RODO) — EUR-Lex

Powiązane artykuły z bloga Legal Geek

AML/CFT

Potrzebujesz wsparcia z AML/CFT?

Pomożemy Ci zbudować system AML, który przejdzie kontrolę i nie zablokuje biznesu.

Procedury i polityki AML
Analizy ryzyka
Szkolenia dla zespołu i zarządu
Ocena instytucji obowiązanej

Zobacz pełną ofertę usług

Tomasz Klecor Managing Partner · FinTech navigator. Lawyer.

Full name / Company name

Email address

Phone number

Message

Your data will be processed in accordance with our privacy policy.