Program compliance dla spółek zależnych z Spain

Hiszpańska spółka matka wchodzi na rynek polski przez spółkę zależną. Wszystko idzie sprawnie – do momentu, gdy KAS wszczyna kontrolę, a sygnalista zgłasza nieprawidłowości. Okazuje się, że polska spółka zależna nie ma ani kanału zgłoszeń, ani polityki AML, ani procedur zgodnych z CSRD. Kara finansowa i ryzyko reputacyjne stają się realne.

Program compliance dla spółki zależnej z Hiszpanii w Polsce obejmuje co najmniej trzy filary: wdrożenie wewnętrznego kanału zgłoszeń na podstawie artykułu 8 ustawy o sygnalistach, rejestrację beneficjentów rzeczywistych w CRBR oraz dostosowanie raportowania do wymogów dyrektywy CSRD (Dyrektywa UE 2022/2464). Obowiązki wchodzą w życie stopniowo – część już od 25 września 2024 roku. Zaniedbanie grozi karą do PLN 1 080 000 i odpowiedzialnością karną zarządu.

Poniższy przewodnik prowadzi krok po kroku przez procedurę budowy programu compliance – od analizy ryzyka po wdrożenie i monitoring. Omawia trzy scenariusze biznesowe, typowe błędy i odpowiada na pytania, które najczęściej zadają hiszpańscy inwestorzy przed pierwszą rozmową z polskim prawnikiem.

Od czego zacząć budowę programu compliance?

Dobry program zaczyna się od mapy ryzyka. Polska spółka zależna działa w dwóch reżimach prawnych jednocześnie – polskim i unijnym – a do tego często musi respektować wewnętrzne polityki grupy opracowane pod prawo hiszpańskie. Te trzy warstwy nie zawsze się pokrywają. Zarząd powinien to wiedzieć od pierwszego dnia.

Pierwszym krokiem jest audyt stanu wyjściowego. Sprawdzamy: czy spółka figuruje w KRS z aktualnymi danymi, czy CRBR zawiera prawidłowe wpisy o beneficjentach rzeczywistych, czy umowa spółki nie zawiera postanowień sprzecznych z polskim k.s.h. Audyt trwa zazwyczaj od 5 do 10 dni roboczych. Koszt zewnętrzny – od PLN 8 000 do PLN 25 000, zależnie od struktury grupy.

Drugi krok to ocena progów. Ustawa o sygnalistach obejmuje każdego pracodawcę zatrudniającego co najmniej 50 pracowników. Kanał zgłoszeń musi być uruchomiony najpóźniej w terminie wynikającym z ustawy – dla podmiotów z sektora prywatnego termin minął 25 września 2024 roku. Spółki poniżej progu 50 pracowników są tymczasowo zwolnione, ale i tak rekomendujemy wdrożenie dobrowolne – zmiana stanu zatrudnienia może nastąpić szybko.

Trzeci krok to mapa interesariuszy. Kto w grupie zatwierdza polityki compliance? Czy compliance officer jest w Madrycie, czy w Warszawie? Odpowiedzi na te pytania decydują o architekturze całego programu. Instytucje takie jak KAS, PUODO i UOKiK działają lokalnie – i wymagają lokalnych punktów kontaktowych.

Jakie obowiązki prawne musi spełnić polska spółka zależna?

Obowiązki compliance polskiej spółki zależnej można podzielić na cztery kategorie. Każda z nich ma własny termin i własną sankcję za naruszenie. Zarząd spółki zależnej odpowiada za ich realizację niezależnie od tego, co robi spółka matka w Hiszpanii.

Pierwsza kategoria to ochrona sygnalistów. Na podstawie art. 8 ustawy o sygnalistach spółka musi posiadać wewnętrzny kanał zgłoszeń, procedurę rozpatrywania zgłoszeń oraz zakaz działań odwetowych. Naruszenie – w tym brak kanału lub retaliacja wobec sygnalisty – grozi grzywną do PLN 1 080 000 oraz karą do 3 lat pozbawienia wolności dla osób odpowiedzialnych (art. 54 ustawy o sygnalistach).

Druga kategoria to AML. Spółki z sektora finansowego, doradczego i nieruchomości podlegają ustawie o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu. Obowiązki obejmują identyfikację klienta, ocenę ryzyka i raportowanie do GIIF. Szczegółowy zakres obowiązków AML dla polskich podmiotów omawia przewodnik o obowiązkach AML dla polskich spółek.

Trzecia kategoria to CRBR. Każda spółka z o.o. i S.A. musi zarejestrować beneficjentów rzeczywistych w Centralnym Rejestrze Beneficjentów Rzeczywistych. Wpis należy zaktualizować w ciągu 7 dni od każdej zmiany. Brak wpisu lub wpis nieprawidłowy grozi karą do PLN 1 000 000.

Czwarta kategoria to CSRD. Dyrektywa UE 2022/2464, wdrożona do polskiego prawa ustawą z 12 grudnia 2024 roku, nakłada obowiązek raportowania zrównoważonego rozwoju. Polskie spółki spełniające dwa z trzech kryteriów – aktywa powyżej PLN 110 mln, przychody powyżej PLN 220 mln, co najmniej 250 pracowników – będą raportować za rok 2025, z terminem pierwotnie wyznaczonym na 2026 rok (choć Omnibus proposal przesuwa część obowiązków na 2028 rok).

Jak wygląda procedura krok po kroku – i ile to trwa?

Budowa programu compliance dla średniej wielkości spółki zależnej zajmuje od 6 do 12 tygodni. Poniżej typowy harmonogram, sprawdzony w praktyce przy kilku wdrożeniach dla podmiotów z grupy iberyjskiej.

Tydzień 1–2: audyt stanu wyjściowego, analiza luk, inwentaryzacja ryzyk
Tydzień 3–4: opracowanie polityk (sygnaliści, AML, RODO, konflikty interesów)
Tydzień 5–6: wdrożenie kanału zgłoszeń, rejestracja lub aktualizacja CRBR
Tydzień 7–8: szkolenia dla zarządu i pracowników, testy procedur
Tydzień 9–12: monitoring, raport wdrożeniowy, przekazanie dokumentacji grupowej

W praktyce – wiele firm o tym zapomina – największe opóźnienia nie wynikają z prawa, lecz z wewnętrznej komunikacji między Warszawą a Madrytem. Zatwierdzenie polityki przez radę nadzorczą w Hiszpanii potrafi zająć tyle samo co całe wdrożenie w Polsce. Warto to uwzględnić w harmonogramie.

Mikro-przypadek z praktyki: producent ceramiki budowlanej z Walencji, który uruchomił polską spółkę zależną wiosną 2024 roku, nie zdążył z wdrożeniem kanału zgłoszeń przed ustawowym terminem. Koszt późniejszego wdrożenia w trybie pilnym – łącznie z doradztwem prawnym i szkoleniami – wyniósł niemal dwukrotnie więcej niż planowane wdrożenie proaktywne. Termin ustawowy nie czeka na wewnętrzne procedury zatwierdzania.

Drugi mikro-przypadek: spółka IT z Barcelony, działająca w Polsce od 2022 roku, pominęła obowiązek aktualizacji CRBR po restrukturyzacji grupy w Luksemburgu. Zmiana beneficjenta rzeczywistego nie została zgłoszona w ciągu 7 dni. Dopiero audyt przed transakcją M&A ujawnił nieprawidłowość – i wstrzymał zamknięcie transakcji na trzy tygodnie.

Dla porównania, jak podobne procedury wyglądają dla spółek zależnych z Luksemburga, warto zapoznać się z przewodnikiem o programach compliance dla spółek luksemburskich w Polsce.

Trzy scenariusze biznesowe – jakie błędy popełniają spółki z Hiszpanii?

Każda branża ma swoje specyficzne pułapki compliance. Trzy scenariusze poniżej pokazują, gdzie najczęściej pojawiają się luki w programach wdrożonych przez spółki z grupy hiszpańskiej.

Scenariusz 1 – producent przemysłowy z Katalonii. Spółka matka posiada certyfikat ISO 37301 i uważa, że obejmuje on polską spółkę zależną automatycznie. Błąd. Polska ustawa o sygnalistach wymaga odrębnego, lokalnego kanału zgłoszeń z regulaminem w języku polskim. Certyfikat grupowy nie zastępuje lokalnego obowiązku ustawowego. Zarząd polskiej spółki odpowiada samodzielnie.

Scenariusz 2 – firma doradcza z Madrytu. Spółka świadczy usługi doradztwa finansowego i podlega zarówno polskiej ustawie AML, jak i regulacjom KNF. Polityki AML zostały przetłumaczone z hiszpańskiego – ale nie dostosowane do polskich progów i procedur raportowania do GIIF. W trakcie kontroli KAS okazało się, że procedura identyfikacji klienta nie spełnia wymogów polskiej ustawy. Korekta wymagała 4 tygodni pracy i kosztowała spółkę PLN 35 000 w doradztwie.

Scenariusz 3 – inwestor nieruchomościowy z Sewilli. Spółka nabywa nieruchomości komercyjne w Polsce. Nie zdawała sobie sprawy, że transakcje powyżej EUR 10 000 w gotówce wymagają raportowania do GIIF. Dodatkowo, zmiany w definicji „budowli" dla celów podatku od nieruchomości w 2025 roku spowodowały konieczność reklasyfikacji aktywów. Brak compliance lawyera w Polsce oznaczał, że spółka dowiedziała się o tym z pisma urzędowego – nie od doradcy. W sprawach spornych z organami polskimi pomocna jest praktyka sporów dla klientów z Hiszpanii.

Co przygotować – lista kontrolna i najczęstsze błędy

Zanim zlecisz wdrożenie programu compliance zewnętrznemu doradcy, sprawdź, czy Twoja spółka zależna ma już następujące dokumenty i procedury:

Aktualny wpis w KRS z prawidłowymi danymi zarządu i wspólników
Wpis w CRBR zgodny ze stanem faktycznym grupy (aktualizacja w ciągu 7 dni od zmiany)
Wewnętrzny kanał zgłoszeń dla sygnalistów z regulaminem w języku polskim
Polityka AML dostosowana do polskich wymogów ustawowych i progów GIIF
Ocena progu CSRD – czy spółka spełnia 2 z 3 kryteriów raportowania

Compliance to proces, nie dokument. Najczęstszy błąd to traktowanie wdrożenia jako projektu jednorazowego. Program compliance wymaga corocznego przeglądu – szczególnie gdy zmienia się struktura grupy, zatrudnienie przekracza progi ustawowe albo spółka wchodzi w nową branżę regulowaną.

Drugi częsty błąd to brak lokalnego ownership. Polityka zatwierdzona w Madrycie i dostępna wyłącznie w języku hiszpańskim nie spełnia polskich wymogów. Pracownicy muszą mieć dostęp do procedur w języku polskim. Osoba odpowiedzialna za compliance musi być dostępna lokalnie – choćby w wymiarze częściowym.

Trzeci błąd to pominięcie RODO w warstwie compliance. PUODO traktuje brak polityki ochrony danych jako odrębne naruszenie – niezależne od ustawy o sygnalistach czy AML. Kary mogą się kumulować.

Konkretna sytuacja Państwa spółki zależnej wymaga oceny indywidualnej. Zaniedbanie jednego filaru compliance – nawet nieumyślne – może zamknąć drogę do finansowania zewnętrznego, blokować transakcje M&A i generować nieodwracalne konsekwencje reputacyjne dla całej grupy.

Jeśli Państwa spółka zależna z Hiszpanii działa w Polsce i nie ma jeszcze wdrożonego programu compliance – przeprowadzimy audyt luk, opracujemy polityki i wdrożymy kanał zgłoszeń w terminie zgodnym z ustawą: info@kordeckipartners.com.

Często zadawane pytania

P: Czy program compliance opracowany przez spółkę matkę w Hiszpanii wystarczy dla polskiej spółki zależnej?

O: Nie wystarczy. Polska ustawa o sygnalistach z 14 czerwca 2024 roku wymaga odrębnego, lokalnego kanału zgłoszeń z regulaminem w języku polskim. Certyfikaty grupowe ani polityki zatwierdzone za granicą nie zastępują obowiązków wynikających z polskiego prawa. Zarząd polskiej spółki ponosi odpowiedzialność samodzielnie – niezależnie od działań spółki matki.

P: Ile kosztuje wdrożenie programu compliance dla spółki zależnej zatrudniającej 80 osób?

O: Koszt zewnętrznego doradztwa przy wdrożeniu od podstaw wynosi zazwyczaj od PLN 20 000 do PLN 60 000, zależnie od zakresu – czy obejmuje wyłącznie ustawę o sygnalistach, czy również AML, CSRD i RODO. Do tego dochodzą koszty narzędzi (platforma kanału zgłoszeń: od PLN 3 000 do PLN 15 000 rocznie) i szkoleń. Wdrożenie w trybie pilnym, po terminie ustawowym, jest zazwyczaj droższe o 30–50 procent.

P: Czy spółka zależna zatrudniająca 30 osób musi wdrożyć kanał zgłoszeń dla sygnalistów?

O: Formalnie ustawa o sygnalistach zwalnia podmioty prywatne zatrudniające mniej niż 50 pracowników z obowiązku posiadania wewnętrznego kanału zgłoszeń. Zwolnienie to jest jednak tymczasowe i nie dotyczy podmiotów z sektora finansowego, AML ani zamówień publicznych. Rekomendujemy wdrożenie dobrowolne – próg 50 pracowników można przekroczyć szybko, a wdrożenie z wyprzedzeniem jest tańsze i bezpieczniejsze niż działanie reaktywne.

KORDECKI & Partners to kancelaria prawna z siedzibą w Warszawie i Krakowie, doradzająca klientom biznesowym w 30 jurysdykcjach. Zespół łączy doświadczenie w prawie polskim i międzynarodowym z praktycznym podejściem do compliance, ESG i ochrony sygnalistów. Pracujemy z polskimi przedsiębiorcami, inwestorami zagranicznymi i działami prawnymi korporacji. W sprawie Państwa sytuacji: info@kordeckipartners.com.