Najczęstsze pytania o compliance

Compliance to zapewnienie zgodności działalności firmy z przepisami prawa, regulacjami i standardami — m.in. RODO, AML, AI Act, DORA, NIS2 czy PSD2. W praktyce oznacza wdrożenie dokumentacji, procedur i kontroli, które chronią firmę przed karami administracyjnymi i osobistą odpowiedzialnością zarządu, a także budują zaufanie klientów i kontrahentów.

Kancelaria Kozłowski specjalizuje się w compliance regulacyjnym — przygotowujemy dedykowaną dokumentację pod RODO, AML, AI Act, DORA, NIS2 i PSD2 dla firm oraz instytucji. Działamy też jako ALSP, wspierając zespoły M&A w badaniach due diligence, oraz prowadzimy umowy i kontrakty gospodarcze. Każdy projekt nadzoruje radca prawny z ubezpieczeniem OC zawodowym 10 mln PLN.

Bezpłatny audyt to przegląd obecnej dokumentacji compliance, który pokazuje, gdzie firma stoi wobec aktualnych przepisów i które dokumenty wymagają natychmiastowej aktualizacji. Audyt obejmuje wszystkie reżimy właściwe dla danej branży, a wynik dostarczamy w ciągu 7 dni roboczych — bez zobowiązań.

Standardowe wdrożenie pakietu compliance trwa od 10 do 21 dni roboczych od wypełnienia ankiety diagnostycznej. Każdy dokument przechodzi sześć poziomów weryfikacji i jest podpisany przez radcę prawnego. W cenie pakietu znajduje się dwanaście miesięcy aktualizacji dokumentacji przy zmianach przepisów.

Każdą dokumentację i każdą analizę firmuje radca prawny z obowiązkowym ubezpieczeniem OC zawodowym na 10 mln PLN. Po wdrożeniu reprezentujemy klienta przed UODO, GIIF, KNF oraz Ministerstwem Cyfryzacji w razie kontroli lub postępowania.

Praktycznie każda firma podlega RODO. Obowiązek dotyczy każdego podmiotu, który gromadzi lub przetwarza dane osobowe klientów, pracowników albo kontrahentów. Trzeba m.in. udokumentować podstawę prawną przetwarzania, prowadzić rejestr czynności przetwarzania i zgłaszać naruszenia do UODO w ciągu 72 godzin.

Kara za naruszenie RODO może sięgnąć 20 mln EUR lub 4% globalnego rocznego obrotu firmy — w zależności od tego, która kwota jest wyższa. Organem nadzorczym w Polsce jest Prezes Urzędu Ochrony Danych Osobowych (UODO).

Naruszenie ochrony danych osobowych zgłasza się do UODO bez zbędnej zwłoki, nie później niż w ciągu 72 godzin od jego stwierdzenia. Jeżeli naruszenie powoduje wysokie ryzyko dla praw osób, których dane dotyczą, trzeba dodatkowo zawiadomić również te osoby.

Nie każda. Powołanie IOD jest obowiązkowe m.in. dla organów publicznych oraz podmiotów, których główna działalność polega na regularnym monitorowaniu osób na dużą skalę lub przetwarzaniu danych wrażliwych na dużą skalę. W pozostałych przypadkach IOD bywa rekomendowany, ale nie jest wymagany.

NIS2 to unijna dyrektywa 2022/2555 o cyberbezpieczeństwie, w Polsce wdrażana ustawą o krajowym systemie cyberbezpieczeństwa (UKSC). Nakłada na podmioty z 18 sektorów krytycznych obowiązek wdrożenia mierzalnego cyberbezpieczeństwa, zgłaszania incydentów do zespołów CSIRT oraz samoidentyfikacji w rejestrze Ministerstwa Cyfryzacji — pod rygorem wysokich kar i osobistej odpowiedzialności zarządu.

NIS2 obejmuje podmioty z 18 sektorów krytycznych — m.in. energetykę, ochronę zdrowia, transport, telekomunikację, dostawców usług chmurowych, administrację publiczną, produkcję i gospodarowanie odpadami. Jeśli firma działa w jednym z tych sektorów i przekracza progi wielkości (zwykle średnie i duże przedsiębiorstwa), najprawdopodobniej podlega obowiązkom NIS2.

Polska nowelizacja ustawy o krajowym systemie cyberbezpieczeństwa (UKSC) z 23 stycznia 2026 r. weszła w życie 3 kwietnia 2026 r. Samoidentyfikacja w rejestrze Ministerstwa Cyfryzacji jest wymagana do 3 października 2026 r., a pełna zgodność z obowiązkami — do 3 kwietnia 2027 r.

Dla podmiotów kluczowych (essential) kara sięga 10 mln EUR lub 2% globalnego obrotu, a dla podmiotów ważnych (important) — 7 mln EUR lub 1,4% obrotu. NIS2 wprowadza także osobistą odpowiedzialność członków zarządu za zaniedbania w cyberbezpieczeństwie.

Podział wynika z sektora i wielkości podmiotu. Podmioty kluczowe (essential) to najwięksi gracze w sektorach o najwyższym znaczeniu i podlegają nadzorowi proaktywnemu; podmioty ważne (important) podlegają nadzorowi następczemu, uruchamianemu zwykle po incydencie. Różni je także maksymalna wysokość kar.

Tak. NIS2 wprowadza osobistą odpowiedzialność członków organów zarządzających za zaniedbania w cyberbezpieczeństwie. Zarząd musi zatwierdzać środki zarządzania ryzykiem i odbywać szkolenia — tej odpowiedzialności nie można w pełni scedować na dział IT.

AI Act to rozporządzenie UE 2024/1689 — pierwszy na świecie kompleksowy akt regulujący sztuczną inteligencję. Dzieli systemy AI według poziomu ryzyka (od zakazanych, przez wysokiego ryzyka, po minimalne) i nakłada obowiązki zarówno na twórców modeli, jak i na firmy używające AI — m.in. w rekrutacji, scoringu czy obsłudze klienta.

AI Act wchodzi etapami. Zakazane praktyki AI obowiązują od 2 lutego 2025 r., obowiązki dla modeli ogólnego przeznaczenia (GPAI) od 2 sierpnia 2025 r., a zasady dla systemów wysokiego ryzyka z Załącznika III — od 2 sierpnia 2026 r. (Załącznik I od 2 sierpnia 2027 r.).

Nie. AI Act dotyczy przede wszystkim firm, które używają AI — w rekrutacji, scoringu, marketingu, obsłudze klienta czy diagnostyce (tzw. deployerzy), a nie tylko twórców modeli (providerów). Obowiązki obejmują m.in. rejestr systemów AI, ocenę ryzyka oraz program kompetencji AI (AI Literacy).

System AI wysokiego ryzyka to taki, który może istotnie wpływać na zdrowie, bezpieczeństwo lub prawa osób — np. w rekrutacji, ocenie zdolności kredytowej czy dostępie do usług. Dla takich systemów wymagana jest m.in. ocena skutków dla praw podstawowych (FRIA) oraz system zarządzania jakością.

Najwyższe kary w AI Act sięgają 35 mln EUR lub 7% globalnego rocznego obrotu — to najsurowsze sankcje w prawie UE, wyższe niż w RODO. Wysokość zależy od rodzaju naruszenia; stosowanie zakazanych praktyk AI jest karane najmocniej.

DORA to rozporządzenie UE 2022/2554 o cyfrowej odporności operacyjnej sektora finansowego. Wymaga od podmiotów finansowych zarządzania ryzykiem ICT, testowania odporności cyfrowej, zgłaszania incydentów ICT oraz kontroli nad dostawcami technologii. Obowiązuje bezpośrednio od 17 stycznia 2025 r. pod nadzorem KNF.

DORA dotyczy podmiotów finansowych — banków, firm inwestycyjnych, instytucji płatniczych, ubezpieczycieli, funduszy oraz dostawców usług kryptoaktywów. Obejmuje również krytycznych dostawców ICT obsługujących sektor finansowy. Nadzór sprawuje KNF we współpracy z EBA, ESMA i EIOPA.

DORA jest w pełni stosowana od 17 stycznia 2025 r. Poważne incydenty ICT raportuje się w terminach: zgłoszenie wstępne w ciągu 4 godzin od zaklasyfikowania incydentu jako poważny (nie później niż 24 godziny od powzięcia o nim wiedzy), raport pośredni w ciągu 72 godzin od zgłoszenia wstępnego oraz raport końcowy w ciągu 1 miesiąca od zgłoszenia wstępnego.

Tak. DORA obejmuje dostawców usług ICT współpracujących z sektorem finansowym, a dostawcy krytyczni podlegają bezpośredniemu nadzorowi unijnemu. Umowy z dostawcami ICT muszą zawierać określone klauzule — m.in. prawa audytu, wymogi bezpieczeństwa i strategię wyjścia.

Lista instytucji obowiązanych jest szeroka — obejmuje banki i fintechy, ale też biura rachunkowe, kancelarie prawne, agencje nieruchomości, dealerów samochodów czy domy aukcyjne. Instytucja obowiązana musi identyfikować klientów, oceniać ryzyko, monitorować transakcje i zgłaszać podejrzane do GIIF.

MLRO to osoba odpowiedzialna za wykonywanie obowiązków AML w firmie. Przepisy przewidują osobistą odpowiedzialność — w tym karną — osób odpowiedzialnych za zaniedbania w przeciwdziałaniu praniu pieniędzy. Kary administracyjne sięgają 5 mln EUR lub dwukrotności korzyści odniesionej z naruszenia.

Pakiet AMLR/AMLD6 został przyjęty przez UE w maju 2024 r. i ujednolica przepisy AML w całej Unii. Rozporządzenie AMLR jest stosowane bezpośrednio (bez transpozycji), a dyrektywę AMLD6 państwa członkowskie wdrażają do prawa krajowego do 10 lipca 2027 r.; powstaje też nowy unijny urząd AMLA. Dlatego dokumentację AML należy okresowo aktualizować.

Safeguarding to obowiązek ochrony środków pieniężnych klientów przez instytucje płatnicze (KIP, EMI) — zwykle przez wydzielenie ich na osobnych rachunkach albo objęcie gwarancją lub polisą. Brak prawidłowego safeguardingu należy do najczęściej i najdotkliwiej karanych naruszeń przez KNF.

Tak. Rozporządzenie MiCA, stosowane od 30 grudnia 2024 r., wymaga, aby dostawcy usług kryptoaktywów (CASP) uzyskali licencję i spełnili wymogi m.in. w zakresie kapitału, AML oraz Travel Rule. W Polsce organem nadzoru jest KNF.

Instytucje płatnicze podlegają wysokim karom administracyjnym, a organ nadzoru może dodatkowo cofnąć licencję; dokładne progi kar określa krajowa ustawa o usługach płatniczych. Przykładowo w grudniu 2025 r. litewski bank centralny (Lietuvos bankas) nałożył karę 1,8 mln EUR na ZEN.COM — litewską instytucję pieniądza elektronicznego — za uchybienia w zakresie AML oraz ochrony środków klientów.

Due diligence to badanie prawne i finansowe podmiotu lub aktywów przed transakcją — najczęściej przy fuzji, przejęciu (M&A) lub inwestycji. Polega na analizie umów, dokumentacji korporacyjnej, stanu prawnego i ryzyk, aby kupujący poznał rzeczywisty stan przedmiotu transakcji przed podjęciem decyzji i negocjacją ceny.

ALSP to model dostarczania usług prawnych, w którym wyspecjalizowany zespół przejmuje powtarzalne, czasochłonne zadania — np. przegląd umów i due diligence — w sposób skalowalny i tańszy niż utrzymywanie własnego działu. Działamy jako firma wsparcia dla zespołów transakcyjnych i kancelarii.

Tak. Powtarzalne etapy due diligence można oddelegować zewnętrznemu zespołowi — przegląd dokumentów, badania rejestrowe, wycinki legal due diligence czy redakcję disclosure schedules. Oddelegowanie ogranicza koszty transakcji i odciąża wewnętrzny dział prawny, a nadzór nad procesem pozostaje po stronie zlecającego.

Przejmujemy m.in. seryjny przegląd umów (klauzule zmiany kontroli, wypowiedzenia, kary umowne), badania rejestrowe (KRS, księgi wieczyste, rejestr zastawów), wycinki legal due diligence (prawo pracy, ochrona środowiska, IP/IT), redakcję disclosure schedules i załączników do SPA oraz analizę procedur wewnętrznych spółki.

Pracujemy w trzech modelach: stała cena za pojedynczy dokument, abonament wolumenowy (ustalona pula dokumentów miesięcznie) oraz retainer z gwarantowanym SLA przy stałym wolumenie transakcji. Model dobieramy po rozmowie o skali dokumentacji — to ułamek kosztu utrzymania własnego zespołu na pełny etat.

Nie. Dostarczamy moc analityczną oraz spójne standardy raportowania, ale nadzór nad całością procesu i ostateczne decyzje pozostają po stronie zlecającego. Każdą analizę firmuje radca prawny z ubezpieczeniem OC, co zapewnia odpowiedzialność zawodową za jakość pracy.