Ten wpis to kontynuacja mojego innego wątku o PEP-ach.

Zgodnie z art. 46 ust. 5 ustawy AML w okresie od dnia zaprzestania zajmowania przez osobę eksponowanego stanowiska politycznego do dnia ustalenia, że nie wiąże się z tą osobą wyższe ryzyko, jednak nie krócej niż przez 12 miesięcy, instytucja obowiązana stosuje wobec takiej osoby środki uwzględniające to ryzyko. Zgodnie z art. 46 ust. 6 ustawy AML przepisy ust. 1-5 stosuje się odpowiednio do członków rodziny osoby zajmującej eksponowane stanowisko polityczne oraz osób znanych jako bliscy współpracownicy osoby zajmującej eksponowane stanowisko polityczne.

PEP rodem z Senegalu

Przypuśćmy, że w wyniku procedur opartych na analizie ryzyka (art. 46 ust. 1 ustawy AML) ustalono, że beneficjentem rzeczywistym klienta instytucji obowiązanej (spółka PolSeneg Import-Eksport) jest partnerka byłego wiceministra Rybołówstwa i Gospodarki Morskiej Senegalu, czyli Mamadou Ndiaye (100% PEP).

Niektóre obowiązki instytucji obowiązanej (przyjmijmy dla uproszczenia, że nie jest to firma ubezpieczeniowa) związane z panią Mamadou Ndiaye:

1. ustalenie dnia, w którym wiceminister Rybołówstwa i Gospodarki Morskiej Senegalu zakończył pełnienie funkcji w rządzie;
2. dokonanie oceny ryzyka związanego z panią Mamadou Ndiaye, w celu ustalenia, czy nie wiąże się (już) z nią "wyższe ryzyko";
3. ustalenie źródła majątku pani Mamadou Ndiaye i źródła pochodzenia wartości majątkowych pozostających w jej dyspozycji w ramach stosunków gospodarczych lub transakcji;
4. intensyfikacja analizy transakcji przeprowadzanych w ramach stosunków gospodarczych.

Ustawa nie tworzy żadnego mechanizmu, który informowałby instytucję obowiązaną o tym, że jej klient przestał zajmować eksponowane stanowisko. Instytucja powinna samodzielnie monitorować wyniki wyborów na poziomie krajowym i samorządowym, zmiany w składzie rządów i organów wykonawczych, odwołania, rezygnacje i upływ kadencji, zmiany w kierownictwie spółek Skarbu Państwa, zmiany w instytucjach UE i organizacjach międzynarodowych. W stosunku do klientów z innych państw i organizacji ponadnarodowych zadanie to jest praktycznie niemożliwe do wykonania bez korzystania z komercyjnych baz danych — ale nawet te najlepsze dostępne (najdroższe) mają opóźnienia w aktualizacji, nierówną "pokrywalność" geograficzną i inne błędy.

Dzień ustalenia braku wyższego ryzyka

Ustawa nakreśla końcowy termin stosowania specjalnych środków w stosunku do PEP-ów następująco: „do dnia ustalenia, że nie wiąże się z tą osobą wyższe ryzyko". Jest to modelowe powiązanie niemożliwych do ustalenia okoliczności (dzień zaprzestania zajmowania przez osobę eksponowanego stanowiska politycznego, dzień, w którym upływa dokładnie 12 miesięcy od tego momentu, oraz dzień ustalenia że nie wiąże się z tą osobą wyższe ryzyko)  z niemożliwą do realizacji czynnością (ustalenie, że nie wiąże się z tą osobą wyższe ryzyko).

Tworzy to de facto bezterminowe ryzyko po stronie instytucji obowiązanej: jeśli instytucja zbyt wcześnie uzna ("ustali"), że ryzyko ustało — ponosi pełną odpowiedzialność regulacyjną. Jeśli zrobi to zbyt późno (lub nigdy) i nie "zdejmie" statusu PEP — ponosi ryzyko naruszenia RODO wynikające z przetwarzania danych zbieranych bez podstawy prawnej (np. w wyniku nieuzasadnionego wzmożonego monitorowania aktywności klienta). Ta asymetria bodźców prowadzi do pokusy ograniczenia dostępu do usług (de-risking).

O zaletach trwałości związku

Definicja ustawowa obejmuje małżonka/partnera, dzieci i ich małżonków/partnerów, rodziców. Jest relatywnie precyzyjna, lecz jest to bez znaczenia w kontekście możliwości instytucji obowiązanej monitorowania tego typu relacji - zmiany statusu rodzinnego (separacja, rozwód, śmierć, ponowne związki) nie są publicznie dostępne w czasie rzeczywistym, w systemach prawnych niektórych państw relacje rodzinne mają charakter nieformalny i nierejestrowany, instytucja nie ma dostępu do aktów stanu cywilnego. Podobnie jest z "osobami znanymi jako bliscy współpracownicy PEP-a". Powiązania zarówno rodzinne, jak i towarzysko-biznesowe zmieniają się w czasie. Instytucja obowiązana powinna — stosując literalną wykładnię — monitorować zmiany w kręgu rodziny i bliskich współpracowników na bieżąco, przez cały okres trwania stosunku gospodarczego. Jest to praktycznie niemożliwe bez stałego zewnętrznego zasilania danymi, które z kolei nigdy nie będzie kompletne. Tego, czego oczekuje się od przedsiębiorców, nie jest w stanie zrobić żadne państwo na świecie, w tym ani jedno w UE - czyli np. stworzenia i aktualizacji imiennej bazy PEP-ów; państwa EU ograniczyły swój wysiłek do stworzenia wykazu stanowisk publicznych (w Polsce wykaz ten liczy 215 stanowisk, co przekłada się na ok. 2 - 5 tys. osób o statusie PEP).

Z punktu widzenia zwykłej instytucji obowiązanej, ww. przepisy nie są wykonalne (w sensie gwarancji pełnej identyfikacji wszystkich podmiotów objętych ich zakresem). Prawo kreuje tu obowiązek dochowania należytej staranności, lecz (wygodnie) konstruuje go językiem obowiązku rezultatu. W tym zakresie przepisy te stanowią formę przeniesienia odpowiedzialności na sektor prywatny, który nie posiada do tego ani uprawnień służb specjalnych, ani dostępu do zasobów informacyjnych.

W naszym "senegalskim" przykładzie instytucja obowiązana stanie więc przed niezwykłym zadaniem - jak ustalić dzień, w którym partner pani Mamadou Ndiaye przestał być wiceministrem, czy nadal są w związku partnerskim i kiedy nastanie dzień, w którym nie wiąże się już z panią Ndiaye wyższe ryzyko.