Sygnalizowaliśmy już we wcześniejszym wpisie, że manager może ponosić odpowiedzialność za braki w zakresie compliance po stronie zatrudniającej go organizacji. Wskazaliśmy również, że po pierwsze może wchodzić tu w grę odpowiedzialność regresowa – tj. konieczność pokrycia szkód poniesionych przez organizację np. ze względu na nałożenie na nią określonych kar pieniężnych, czy zakazów. Po drugie, za wdrożenie pewnych obowiązków w zakresie compliance manager może odpowiadać osobiście wprost na podstawie przepisów prawa. Temu drugiemu aspektowy poświęcony jest niniejszy wpis.
Cyberbezpieczeństwo
Art. 73a ustawy o krajowym systemie cyberbezpieczeństwa wprowadza obszerny katalog przewinień podmiotu kluczowego lub ważnego, za które na kierownika tego podmiotu nałożona może zostać kara pieniężna w wysokości do 300% otrzymywanego przez niego wynagrodzenia obliczanego według zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop. Dodatkowo, na kierownika podmiotu kluczowego może zostać na podstawie art. 53 ust. 9 pkt 6) w/w ustawy nałożony zakaz pełnienia funkcji zarządczych w podmiocie kluczowym do czasu usunięcia uchybień lub zaprzestania naruszeń.
Zgodnie z art. 2 pkt 8a) w/w ustawy jako kierownik podmiotu kluczowego lub ważnego rozumiany jest kierownik jednostki w rozumieniu art. 3 ust. 1 pkt 6 ustawy z dnia 29 września 1994 r. o rachunkowości kierujący danym podmiotem kluczowym lub ważnym. Zasadniczo chodzi tu więc o członka zarządu spółki kapitałowej lub wspólników prowadzących sprawy spółki osobowej – a więc o managerów najwyższego szczebla.
AML
Zgodnie z art. 154 ustawy o przeciwdziałaniu praniu pieniędzy i finansowaniu terroryzmu, na osobę odpowiedzialną za wykonanie przez instytucję obowiązaną któregokolwiek z obowiązków wskazanych w art. 147 lub 148 ustawy nałożona może zostać kara pieniężna w wysokości do miliona zł.
Co więcej, art. 156 w/w ustawy formułuje przestępstwa polegające na naruszeniu wskazanych tam obowiązków w zakresie AML, przewidując sankcję nawet do 5 lat pozbawienia wolności jeśli przestępstwo popełnione zostało umyślnie. W przypadku nieumyślności sankcję ograniczono do grzywny (ta teoretycznie może przekroczyć nawet milion złotych).
Regulacje powyższe, w sposób typowy dla regulacji z obszaru fiskalnego, bezkompromisowo podchodzą do karania osób fizycznych za przewinienia związane z ochroną interesu fiskalnego państwa (nawet jeśli ten nie został faktycznie naruszony).
DORA
DORA jest unijnym rozporządzeniem, w przeciwieństwie do dyrektywy niewymagającym implementacji do polskiego porządku prawnego – obowiązuje w nim bezpośrednio. Niemniej, DORA pozostawia sporą decyzyjność w zakresie penalizowania naruszeń rozporządzenia poszczególnym państwom członkowskim. Ustawą z 31 lipca 2025 r. o zmianie niektórych ustaw w związku z zapewnieniem operacyjnej odporności cyfrowej sektora finansowego oraz emitowaniem europejskich zielonych obligacji znowelizowano m.in. ustawę z dnia 21 lipca 2006 r. o nadzorze nad rynkiem finansowym, wprowadzając do niej m.in. art. 18zm pozwalający nałożyć karę pieniężną w wysokości przekraczającej trzy miliony zł na osobę fizyczną odpowiedzialną za naruszenie przepisów DORA wskazanych w tym przepisie, która w czasie naruszenia pełniła obowiązki członka zarządu albo innego organu zarządzającego podmiotu finansowego. Na inną osobę odpowiedzialną za naruszenie nałożona może zostać kara w wysokości do sześciokrotności kwoty otrzymywanego przez nią wynagrodzenia obliczanego wg zasad obowiązujących przy ustalaniu ekwiwalentu pieniężnego za urlop wypoczynkowy.
RODO
RODO nie nakłada kar pieniężnych wprost na managerów. Mogą oni jednak zostać pociągnięci do odpowiedzialności karnej na podstawie art. 107 i 108 ustawy o ochronie danych osobowych za bezprawne przetwarzanie danych osobowych (do 3 lat pozbawienia wolności) oraz za udaremnianie lub choćby utrudnianie prowadzenia kontroli, bądź niedostarczanie danych niezbędnych do określenia wymiaru kary pieniężnej (do 2 lat pozbawienia wolności). Naruszenia takie, w szczególności pierwsze z nich, są przeważnie efektem niewdrożenia odpowiednich procedur compliance i braku zawarcia wymaganych prawem umów powierzenia przetwarzania danych osobowych.
AI Act
Podobnie jak w przypadku RODO, w AI Act nie przewidziano sankcji wprost względem managerów. Zgodnie jednak z procedowanym projektem polskiej ustawy o systemach sztucznej inteligencji, osoby utrudniające lub uniemożliwiające przeprowadzenie czynności kontrolnych lub niewykonujące decyzji nakazującej zaprzestanie stosowania systemu AI lub wycofanie go z rynku lub użytkowania, popełnią wykroczenie penalizowane karą grzywny.
Kodeks karny
Finalnie, nie można zapominać o odpowiedzialności karnej, która może zostać nałożona na managera tytułem przepisów kodeksu karnego. Ograniczając się do przestępstw, które nieraz popełniane są bez świadomości tego, że popełnia się przestępstwo, a których można by uniknąć dzięki stosowaniu odpowiednich procedur regulujących działalnie organizacji, wskazać należy choćby na:
- uporczywe naruszanie praw pracownika lub uporczywe nękanie – mogące również przybrać postać mobbingu;
- managerskie nadużycie zaufania;
- łapownictwo managerskie;
- naruszenie tajemnicy służbowej;
- oszustwo (w tym oszustwo finansowe i ubezpieczeniowe);
- pokrzywdzenie wierzycieli;
- prowadzenie nierzetelnej dokumentacji.
Naturalnym jest, że do wyobraźni bardziej przemawia sytuacja, w której określone sankcje wymierzone są w managera wprost w przepisie prawa. W żadnym jednak wypadku nie należy lekceważyć wcześniej wspomnianego ryzyka wynikającego dla managera z możliwego regresu, z którym zwrócić może się zatrudniający go podmiot np. po nałożeniu na niego dotkliwej kary finansowej za niezgodne z prawem przetwarzanie danych osobowych, czy komercjalizację lub wykorzystanie sztucznej inteligencji. Obowiązków w zakresie compliance ciągle przybywa i nadążanie za nimi staje się wyzwaniem nawet dla zajmujących się tym obszarem prawników. Niemożliwym jest wręcz by niebędący prawnikiem manager był w stanie samodzielnie oraz kompleksowo zidentyfikować i wdrożyć wymogi ciążące na jego organizacji. Tak ważna jest więc współpraca ze specjalistami z zakresu compliance. Jest to koszt, który w dłuższej perspektywie przynosi organizacji realne oszczędności, korzyści wizerunkowe, przewagę konkurencyjną i zapewnia znacznie większy spokój managerowi odpowiedzialnemu za dany obszar. Zgodność prawna jest formalnym fundamentem każdego projektu biznesowego a jej lekceważenie prowadzi częstokroć do budowania przysłowiowych zamków z piasku.
Inne wpisy poświęcone managerom
Chcesz porozmawiać o współpracy?
Napisz do nas na: