Rumuńska spółka matka uruchamia w Polsce spółkę zależną. Dokumenty rejestracyjne są gotowe, KRS potwierdza wpis. Ale czy program compliance jest gotowy? W praktyce – wiele firm o tym zapomina – brak wdrożonych procedur ujawnia się dopiero przy pierwszej kontroli KAS, audycie CSRD albo zgłoszeniu sygnalisty.

Program compliance dla spółek zależnych z Rumunii działających w Polsce obejmuje trzy filary: ochronę sygnalistów na podstawie ustawy z 14 czerwca 2024 roku, raportowanie ESG zgodne z dyrektywą CSRD (Dyrektywa UE 2022/2464) oraz obowiązki AML i CRBR. Ustawa o sygnalistach weszła w życie 25 września 2024 roku i dotyczy wszystkich pracodawców zatrudniających co najmniej 50 pracowników. Naruszenie obowiązków grozi karą do 1 080 000 PLN.

Ten alert wyjaśnia, co się zmieniło, kogo dotyczą nowe obowiązki i jakie działania należy podjąć natychmiast. Trzy obszary wymagają pilnej reakcji: wdrożenie kanału zgłoszeń wewnętrznych, aktualizacja rejestru CRBR oraz ocena progów raportowania ESG.

Co się zmieniło i kogo dotyczą nowe obowiązki?

Ustawa o sygnalistach z 14 czerwca 2024 roku wdrożyła do polskiego prawa dyrektywę UE 2019/1937. Obowiązek dotyczy każdego pracodawcy zatrudniającego 50 lub więcej pracowników – bez względu na to, czy spółka jest polska, rumuńska czy z jakiejkolwiek innej jurysdykcji. Spółka zależna zarejestrowana w KRS odpowiada za ten obowiązek samodzielnie. Spółka matka z Bukaresztu nie przejmuje odpowiedzialności za polską spółkę córkę.

Zgodnie z art. 8 ustawy o sygnalistach, każdy pracodawca objęty ustawą musi ustanowić wewnętrzny kanał zgłoszeń. Kanał musi zapewniać poufność tożsamości sygnalisty, umożliwiać zgłoszenia anonimowe oraz gwarantować potwierdzenie przyjęcia zgłoszenia w ciągu 7 dni i odpowiedź w ciągu 3 miesięcy. Brak kanału to naruszenie – a art. 54 ustawy przewiduje za retaliację wobec sygnalisty karę do 3 lat pozbawienia wolności i grzywnę do 1 080 000 PLN.

Równolegle działa CRBR – Centralny Rejestr Beneficjentów Rzeczywistych. Każda spółka zarejestrowana w Polsce musi zgłosić beneficjentów rzeczywistych do CRBR. Dla spółki zależnej z rumuńskim właścicielem oznacza to ujawnienie struktury własnościowej aż do poziomu osób fizycznych sprawujących faktyczną kontrolę. Termin na aktualizację po każdej zmianie wynosi 14 dni. KAS i PUODO regularnie weryfikują zgodność wpisów.

Spółki działające w sektorach finansowych podlegają dodatkowo DORA – rozporządzeniu UE 2022/2554, które weszło w życie 17 stycznia 2025 roku. Obowiązki dotyczące zarządzania ryzykiem ICT i raportowania incydentów do KNF są niezależne od struktury własnościowej grupy.

Jakie progi raportowania ESG i AML obowiązują spółkę zależną?

CSRD (Dyrektywa UE 2022/2464) wprowadza obowiązek raportowania zrównoważonego rozwoju etapami. Polska ustawa nowelizująca ustawę o rachunkowości została podpisana 12 grudnia 2024 roku. Dla spółek zależnych z Rumunii działających w Polsce najważniejszy jest próg tzw. Fali 2: duże jednostki spełniające co najmniej 2 z 3 kryteriów – suma aktywów powyżej 110 mln PLN, przychody powyżej 220 mln PLN lub zatrudnienie powyżej 250 FTE. Pierwotny termin raportowania za rok 2025 jest aktualnie przedmiotem przeglądu w ramach pakietu Omnibus – propozycja przesuwa go na 2028 rok, ale decyzja nie jest jeszcze ostateczna.

Rumuńskie grupy kapitałowe powinny sprawdzić, czy polska spółka zależna nie przekracza tych progów samodzielnie. Jeśli tak – obowiązek raportowania ESG powstaje na poziomie polskiej spółki, niezależnie od tego, czy spółka matka raportuje już w Rumunii zgodnie z tamtejszym prawem. To częste nieporozumienie: raportowanie grupy nie zwalnia polskiej spółki zależnej z własnych obowiązków, jeśli spełnia ona progi indywidualnie.

W zakresie AML obowiązki wynikają z ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Instytucje obowiązane – m.in. spółki świadczące usługi finansowe, doradcze czy pośrednictwa – muszą wdrożyć procedury KYC, szkolenia pracowników i ocenę ryzyka. Generalny Inspektor Informacji Finansowej (GIIF) jest organem nadzorczym. Dla spółek zależnych z Rumunii działających w sektorach objętych ustawą AML termin na wdrożenie procedur upłynął – każdy dzień zwłoki to ryzyko sankcji.

Spółka z Krakowa działająca w sektorze usług finansowych, zależna od rumuńskiej grupy, wdrożyła procedury AML i kanał sygnalistów dopiero po wezwaniu GIIF – wiosną 2025 roku. Koszt opóźnienia: grzywna administracyjna i konieczność pilnego audytu wewnętrznego. Podobna sytuacja dotyczyła spółki technologicznej z Warszawy, której rumuński właściciel zakładał, że grupowe procedury compliance obejmują automatycznie polską spółkę córkę. Tak nie jest.

Uważamy, że bezpieczniejszym rozwiązaniem jest przeprowadzenie oceny luk compliance (gap assessment) przed pierwszą kontrolą, a nie w jej trakcie. Dla spółek zależnych z Rumunii zatrudniających powyżej 50 pracowników działania są nieodwracalne – brak kanału zgłoszeń nie może być naprawiony wstecznie po wszczęciu postępowania przez PUODO lub Państwową Inspekcję Pracy.

Jakie działania podjąć natychmiast?

Program compliance dla polskiej spółki zależnej z Rumunii wymaga działań w trzech horyzontach czasowych. Poniższa lista kontrolna wskazuje priorytety.

  • Kanał zgłoszeń wewnętrznych: wdrożyć zgodnie z art. 8 ustawy o sygnalistach – jeśli spółka zatrudnia 50+ pracowników, obowiązek istnieje od 25 września 2024 roku.
  • CRBR: zweryfikować aktualność wpisu beneficjentów rzeczywistych – każda zmiana struktury własnościowej wymaga aktualizacji w ciągu 14 dni.
  • Ocena progów CSRD: sprawdzić, czy spółka spełnia co najmniej 2 z 3 kryteriów Fali 2 – aktywa, przychody, zatrudnienie.
  • AML gap assessment: dla spółek z sektorów objętych ustawą AML – ocena wdrożonych procedur KYC i szkoleń pracowniczych.
  • Mapowanie ESG reporting: ustalić, czy obowiązek raportowania CSRD powstaje na poziomie polskiej spółki zależnej niezależnie od grupy.

Dla spółek zależnych z Rumunii działających w Polsce kluczowe jest zrozumienie, że polskie prawo stosuje się do polskiej spółki – nie do rumuńskiej grupy. Compliance lawyer Warsaw może przeprowadzić spółkę przez cały proces: od gap assessment, przez design programu compliance, po wdrożenie procedur i szkolenia. Spółki z sektora finansowego powinny uwzględnić również wymagania DORA wobec KNF.

Jeśli Państwa spółka działa w Polsce i posiada rumuńskiego właściciela, warto sprawdzić też, jak analogiczne obowiązki wyglądają w innych jurysdykcjach – compliance programme design dla spółek zależnych ze Szwajcarii w Polsce oraz compliance programme design dla spółek zależnych z Niemiec w Polsce opisują zbliżone ramy obowiązków z perspektywy innych grup kapitałowych. Osobno warto zapoznać się z tym, co KSeF oznacza dla Państwa biznesu w Rumunii – obowiązki fakturowania elektronicznego dotyczą spółek zależnych od 1 kwietnia 2026 roku.

Konkretna sytuacja Państwa spółki zależnej wymaga indywidualnej oceny. Brak wdrożonego programu compliance może zamknąć drogę do obrony w postępowaniu administracyjnym i prowadzić do nieodwracalnych konsekwencji finansowych i reputacyjnych.

Jeśli Państwa spółka zależna z Rumunii działa w Polsce i zatrudnia 50 lub więcej pracowników – przeprowadzimy gap assessment, zaprojektujemy program compliance i wdrożymy kanał zgłoszeń wewnętrznych: info@kordeckipartners.com.

Często zadawane pytania

P: Czy rumuńska spółka matka może wdrożyć jeden grupowy program compliance obejmujący polską spółkę zależną?

O: Grupowy program compliance może stanowić punkt wyjścia, ale polska spółka zależna musi spełnić wymogi polskiego prawa samodzielnie. Ustawa o sygnalistach wymaga, aby wewnętrzny kanał zgłoszeń był dostępny dla pracowników zatrudnionych w Polsce, w języku polskim i zgodnie z polskimi procedurami. Organ nadzorczy – Państwowa Inspekcja Pracy – weryfikuje zgodność na poziomie polskiej spółki, nie grupy.

P: Od kiedy obowiązuje ustawa o sygnalistach i jakie są koszty wdrożenia kanału zgłoszeń?

O: Ustawa weszła w życie 25 września 2024 roku. Obowiązek dotyczy pracodawców zatrudniających co najmniej 50 pracowników. Koszt wdrożenia zależy od wybranego rozwiązania technicznego – od kilku tysięcy złotych rocznie za platformę zewnętrzną po wdrożenie własnego systemu. Ważniejszy jest koszt zaniechania: artykuł 54 ustawy o sygnalistach przewiduje grzywnę do 1 080 000 PLN za działania odwetowe wobec sygnalisty.

P: Czy spółka zależna z Rumunii zatrudniająca 30 pracowników w Polsce jest zwolniona ze wszystkich obowiązków compliance?

O: Obowiązek wdrożenia kanału zgłoszeń wewnętrznych na podstawie ustawy o sygnalistach nie dotyczy pracodawców poniżej progu 50 pracowników – ale pozostałe obowiązki nadal obowiązują. Rejestracja w CRBR jest obowiązkowa dla każdej spółki zarejestrowanej w Polsce, niezależnie od liczby pracowników. Obowiązki AML zależą od sektora działalności, nie od zatrudnienia. ESG reporting według dyrektywy CSRD jest uzależniony od progów finansowych i kadrowych.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i dochodzeń wewnętrznych. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.

Zastrzeżenie: Niniejsza publikacja służy wyłącznie celom informacyjnym i nie stanowi porady prawnej. Informacje zawarte w materiale nie powinny być traktowane jako substytut profesjonalnej porady prawnej dostosowanej do konkretnych okoliczności. KORDECKI & Partners nie ponosi odpowiedzialności za działania podjęte lub zaniechane na podstawie treści tego materiału. W sprawie porady dotyczącej Państwa konkretnej sytuacji prosimy o kontakt: info@kordeckipartners.com.