Sanqto
strona główna blog compliance officer ds. sankcji w małej firmie — czy musisz go mieć
Artykuł

Compliance officer ds. sankcji w małej firmie — czy musisz go mieć

Czy mała firma musi mieć compliance officera ds. sankcji UE? Wyjaśniamy, kto odpowiada za weryfikację, jakie kompetencje są potrzebne i jak to zorganizować bez etatu.

Opublikowano: · Zespół Sanqto · 13 min czytania
compliance-officer sankcje-ue male-firmy sanction-screening procedura-sankcyjna certyfikat-compliance obowiazek-sankcyjny
Właściciel małej firmy przy biurku analizuje dokumenty dotyczące sankcji UE — compliance officer ds. sankcji w MŚP

Stan prawny na dzień: 2026-05-20.

Duże korporacje mają działy compliance z kilkoma specjalistami. Ty prowadzisz firmę, w której za wszystko odpowiada kilka, kilkanaście osób — i właśnie przeczytałeś, że obowiązek weryfikacji kontrahentów wobec list sankcyjnych UE dotyczy też Ciebie. Naturalne pytanie brzmi: czy musisz teraz zatrudnić compliance officera? Odpowiedź jest prostsza, niż myślisz — i zdecydowanie nie oznacza nowego etatu.

TL;DR — najważniejsze punkty

  • Przepisy nie wymagają od zwykłej firmy MŚP formalnego stanowiska „compliance officer ds. sankcji" — to obowiązek instytucji obowiązanych z ustawy AML, nie każdego podmiotu.
  • Obowiązek weryfikacji kontrahentów wobec list sankcyjnych UE istnieje niezależnie — bezpośrednio z rozporządzeń unijnych, które obowiązują wszystkich.12
  • W praktyce wystarczy wyznaczyć jedną osobę w firmie odpowiedzialną za sankcje — może to być właściciel, księgowość lub wskazany pracownik.
  • Nie trzeba być prawnikiem. Potrzebna jest znajomość procedury, dostęp do aktualnych list i konsekwentne działanie.
  • Szkolenie i certyfikacja compliance officera pomagają udokumentować kompetencje i chronią firmę w razie kontroli.
  • Narzędzie automatyzujące screening radykalnie zmniejsza czas i ryzyko błędu — szczególnie gdy baza kontrahentów jest duża lub dynamiczna.

Czy mała firma musi mieć compliance officera ds. sankcji?

Krótka odpowiedź: nie ma takiego obowiązku wprost sformułowanego wobec ogółu firm. Wymóg posiadania wyznaczonego oficera ds. compliance — w tym odpowiedzialnego za AML i sankcje — dotyczy przede wszystkim instytucji obowiązanych w rozumieniu ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu3 (banki, domy maklerskie, notariusze, pośrednicy nieruchomości powyżej określonego progu). Jeśli Twoja firma nie należy do tej kategorii, nie obowiązuje Cię art. 6 ani podobne przepisy tej ustawy nakazujące wyznaczenie konkretnej osoby na stanowisko oficera AML.

Oznacza to jednak coś ważnego: brak formalnego obowiązku powołania stanowiska nie zwalnia Cię z obowiązku samej weryfikacji. To dwa różne pytania — i mylenie ich jest jednym z najczęstszych błędów MŚP.

Obowiązek weryfikacji istnieje niezależnie od stanowiska

Rozporządzenia unijne — w tym Rozporządzenie Rady (UE) nr 269/2014 z 17 marca 2014 r. w sprawie środków ograniczających w odniesieniu do działań podważających integralność terytorialną Ukrainy1 oraz Rozporządzenie Rady (UE) nr 833/2014 z 31 lipca 2014 r. dotyczące środków ograniczających w związku z działaniami Rosji2 — są bezpośrednio obowiązującymi aktami prawnymi w każdym państwie członkowskim, bez potrzeby transpozycji do prawa krajowego.4 Oznacza to, że Twoja firma podlega tym przepisom automatycznie — niezależnie od tego, czy masz jednego, czy stu pracowników.

Uzupełnieniem jest polska Ustawa z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz.U. 2022 poz. 835)5, która nakłada dodatkowe obowiązki w sferze krajowej i określa sankcje za ich naruszenie. Na jej podstawie Szef Krajowej Administracji Skarbowej może nałożyć karę pieniężną do 20 000 000 zł.67

Innymi słowy: brak compliance officera nie jest alibi. Kara dotyczy naruszenia — nie braku stanowiska. Więcej o konsekwencjach finansowych przeczytasz w artykule o karach za naruszenie sankcji UE.

Kto w praktyce powinien odpowiadać za sankcje w małej firmie?

Skoro nie ma obowiązku zatrudnienia specjalisty, pojawia się pytanie praktyczne: kto realnie powinien tę odpowiedzialność wziąć? Doświadczenie pokazuje kilka modeli, które sprawdzają się w MŚP.

Właściciel lub prezes — najprostsze rozwiązanie w firmach do 10 osób. Masz pełną kontrolę nad decyzjami i bezpośredni dostęp do informacji o kontrahentach. Wada: każde nowe zadanie compliance’owe spada bezpośrednio na Ciebie, a przy dynamicznym wzroście firmy może być nie do utrzymania.

Osoba z działu finansów lub księgowości — logiczny wybór, bo to dział, przez który przechodzą płatności i dane kontrahentów. Często już ma kontakt z procedurami AML (jeśli firma współpracuje z bankiem) i rozumie wagę dokumentacji.

Wyznaczony pracownik — „punkt kontaktowy ds. sankcji" — formalnie wyznaczona osoba, która nie musi robić nic poza prostą procedurą: sprawdzić kontrahenta przed transakcją, odnotować wynik, eskalować jeśli pojawi się trafienie. Tytuł nie musi brzmieć „compliance officer" — ważna jest pisemna delegacja obowiązków.

Kluczowe w każdym wariancie: wyznaczenie na piśmie. Wewnętrzne pismo lub zapis w polityce sankcyjnej wskazujący, kto odpowiada za screening, kto podejmuje decyzję w razie trafienia i jak wygląda ścieżka eskalacji — to minimum, które chroni firmę i konkretną osobę.

Jakie kompetencje są potrzebne (i dlaczego nie trzeba być prawnikiem)?

To pytanie niepotrzebnie blokuje wiele firm. Nie musisz zatrudniać radcy prawnego ani specjalisty AML z banku. Osoba odpowiedzialna za sankcje w małej firmie potrzebuje:

Wiedzy proceduralnej — zrozumienia, co to jest lista sankcyjna, jakie listy obowiązują (UE, ONZ, polska MSWiA8), jak sprawdzić kontrahenta i co zrobić, gdy pojawi się wynik „możliwe trafienie". Tę wiedzę można zdobyć szkoleniem, nie latami doświadczenia.

Dostępu do aktualnych list — listy sankcyjne są regularnie aktualizowane. Skonsolidowana lista UE jest publikowana przez Komisję Europejską (DG FISMA)9. Polska lista sankcyjna jest prowadzona przez Ministerstwo Spraw Wewnętrznych i Administracji8. Osoba odpowiedzialna musi wiedzieć, gdzie szukać aktualnych danych — lub korzystać z narzędzia, które aktualizuje dane automatycznie.

Umiejętności dokumentacyjnej — zapisanie wyniku sprawdzenia, daty, listy, wobec której sprawdzano, i podjętej decyzji. Nie chodzi o eseistykę — wystarczy prosty rejestr trafień.

Zdolności do eskalacji — jeśli coś wygląda podejrzanie, osoba ta musi wiedzieć, do kogo iść dalej (zarząd, prawnik zewnętrzny) i kiedy wstrzymać transakcję.

Żadna z tych kompetencji nie wymaga wykształcenia prawniczego. Wymaga natomiast regularności i dyscypliny — screening wykonany raz nie wystarcza, jeśli listy sankcyjne są aktualizowane, a Ty zdobywasz nowych kontrahentów.

Jak rozłożyć obowiązki bez zatrudniania etatowca?

Wdrożenie odpowiedzialności sankcyjnej w małej firmie nie musi kosztować dużo — ani w pieniądzach, ani w czasie. Oto praktyczny schemat dla firmy MŚP:

  1. Wyznacz jedną osobę na piśmie — najlepiej już działającą w obszarze finansów lub operacji. Wskaż ją imiennie w wewnętrznym dokumencie lub polityce sankcyjnej.

  2. Opisz procedurę w kilku krokach — kiedy sprawdzać (przed każdą nową transakcją, przy podpisaniu umowy, przy wznowieniu współpracy), jak sprawdzać (ręcznie lub przez narzędzie), co robić z wynikiem.

  3. Ustal próg eskalacji — jeśli wynik sprawdzenia to CLEAR, transakcja idzie dalej. Jeśli POSSIBLE lub MATCH — sprawa trafia do zarządu lub prawnika. Decyzji nie podejmuje samodzielnie osoba wyznaczona do rutynowych sprawdzeń.

  4. Prowadź rejestr — data sprawdzenia, sprawdzany podmiot, lista, wynik, osoba sprawdzająca, decyzja. Plik Excel wystarczy na start — ważne, żeby istniał.

  5. Ustal częstotliwość weryfikacji cyklicznej — stałych kontrahentów warto sprawdzać ponownie co kwartał lub przy każdej nowej płatności, bo listy sankcyjne zmieniają się regularnie.

  6. Zadbaj o ślad dokumentacyjny — wydruk lub zapis wyniku sprawdzenia dla każdej weryfikacji, z datą i podpisem. W razie kontroli to dowód, że procedura działała.

Takie rozwiązanie nie wymaga nowego etatu. Wymaga kilkunastu minut tygodniowo — i konsekwencji.

Szkolenie i certyfikacja — budowanie kompetencji bez studiów podyplomowych

Osobie wyznaczonej do roli odpowiedzialnej za sankcje warto zapewnić szkolenie. Nie ze względu na obowiązek prawny, ale z powodów praktycznych: po pierwsze, sprawia że ta osoba wie, co robi i czuje się pewnie; po drugie, certyfikat ukończenia szkolenia to dokument, który w razie pytań od organu kontrolnego pokazuje, że firma traktuje temat poważnie.

Dobre szkolenie z zakresu compliance sankcyjnego powinno obejmować:

  • podstawy prawne — które rozporządzenia i ustawy obowiązują, jakie są kary za naruszenie,
  • znajomość list sankcyjnych — UE, ONZ, OFAC10, MSWiA8, różnice między nimi,
  • procedurę weryfikacji — jak przeprowadzić screening, jak ocenić wynik, co zrobić z trafieniem,
  • dokumentację i rejestr trafień — jak prowadzić, co przechowywać i jak długo.

Szkolenie nie musi trwać tygodnia. Skoncentrowany kurs online z egzaminem końcowym i certyfikatem to w zupełności wystarczający poziom dla osoby obsługującej screening w małej firmie. Sanqto oferuje taki pakiet w ramach swojego produktu — szkolenie, egzamin online i certyfikat compliance officera dla osoby wyznaczonej w Twojej firmie. Warto też przeszkolić pozostałych pracowników mających kontakt z kontrahentami — jak to zorganizować, opisujemy w artykule o szkoleniu pracowników z zakresu sankcji.

Kiedy rozważyć outsourcing lub automatyzację?

Ręczna weryfikacja — polegająca na samodzielnym przeszukiwaniu list sankcyjnych — jest możliwa, ale ma granicę skalowalności. Przy kilku kontrahentach miesięcznie to zadanie do opanowania. Przy kilkudziesięciu — zaczyna być ryzykowne (pominięcia, nieaktualne dane, brak dokumentacji).

Outsourcing — czyli zlecenie procesu compliance zewnętrznemu podmiotowi (kancelarii lub specjalistycznej firmie) — ma sens, gdy firma nie ma zasobów wewnętrznych i chce przenieść odpowiedzialność operacyjną. Warto pamiętać, że odpowiedzialność prawna i tak spoczywa na firmie jako podmiocie — nie na doradcy zewnętrznym.

Automatyzacja — narzędzie do sanction screeningu weryfikuje kontrahenta wobec aktualnych list i zwraca wynik: MATCH, POSSIBLE lub CLEAR. Redukuje czas sprawdzenia do sekund, eliminuje błąd ludzki przy trafieniach częściowych (np. podobne imię i nazwisko) i automatycznie tworzy ślad dokumentacyjny. Dla biur podróży, agencji nieruchomości, brokerów ubezpieczeniowych i innych firm spoza sektora finansowego, które weryfikują dziesiątki lub setki kontrahentów, automatyzacja oznacza realne odciążenie operacyjne.

Rozważ automatyzację, gdy:

  • weryfikujesz więcej niż 20–30 kontrahentów miesięcznie,
  • Twoja branża wymaga szybkich decyzji (np. rezerwacje, umowy na odległość),
  • chcesz mieć pewność, że dane są zawsze aktualne — bez ręcznego pobierania nowych wersji list,
  • potrzebujesz gotowego rejestru trafień na potrzeby ewentualnej kontroli.

Sanqto to rozwiązanie on-premise — instalowane w infrastrukturze Twojej firmy, bez przesyłania danych na zewnętrzne serwery. Daje wynik w trzech stanach (MATCH / POSSIBLE / CLEAR) i automatycznie tworzy ślad dokumentacyjny każdego sprawdzenia. Więcej o tym, jak wygląda weryfikacja kontrahenta w praktyce, znajdziesz w artykule o weryfikacji kontrahentów wobec sankcji.

FAQ — najczęstsze pytania

Czy jednoosobowa działalność gospodarcza (JDG) też musi sprawdzać kontrahentów wobec list sankcyjnych?

Tak. Rozporządzenia UE obowiązują wszystkich — osoby fizyczne prowadzące działalność, spółki, stowarzyszenia.4 Forma prawna nie zwalnia z obowiązku. JDG, która przelewa pieniądze lub świadczy usługi podmiotowi objętemu sankcjami, narusza te same przepisy co duża spółka.

Ile czasu zajmuje ręczna weryfikacja jednego kontrahenta?

Sprawdzenie jednej osoby lub firmy ręcznie — na stronie skonsolidowanej listy UE i liście MSWiA — to zazwyczaj kilka minut. Problem pojawia się przy większej liczbie kontrahentów, przy podobnych nazwach (false positive / false negative), przy konieczności weryfikacji właścicieli rzeczywistych (reguła 50%11) i przy konieczności udokumentowania procesu.

Co to jest reguła 50% i czy muszę sprawdzać właścicieli kontrahenta?

Sankcje UE obejmują nie tylko podmioty wprost wpisane na listę, ale też te, w których osoba lub podmiot z listy posiada ponad 50% udziałów lub sprawuje nad nimi kontrolę.11 W praktyce oznacza to, że sprawdzenie samej nazwy firmy kontrahenta może nie wystarczyć — warto zweryfikować też jej właścicieli rzeczywistych, szczególnie gdy firma pochodzi z ryzykownej jurysdykcji. Mechanizm ten szczegółowo wyjaśniamy w artykule o regule własności 50%.

Czy pracownik wyznaczony do screeningu odpowiada osobiście za naruszenie sankcji?

Odpowiedzialność karna za naruszenie sankcji UE może dotyczyć osób fizycznych — w tym osób zarządzających. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/1226 z 24 kwietnia 2024 r.12 nakazuje kryminalizację naruszeń sankcji we wszystkich państwach członkowskich. Odpowiedzialność pracownika zależy od okoliczności konkretnej sprawy i zakresu jego obowiązków — to kwestia do oceny przez prawnika. Pewne jest natomiast, że brak jakiejkolwiek procedury w firmie nie chroni nikogo.

Jak często powinienem weryfikować stałych kontrahentów?

Listy sankcyjne są regularnie aktualizowane — nowe wpisy pojawiają się często, niezależnie od „pakietów". Weryfikacja jednorazowa przy podpisaniu umowy nie wystarcza. Przyjmuje się, że stałych kontrahentów należy sprawdzać cyklicznie — przynajmniej przy każdej nowej płatności lub regularnie (np. co kwartał), a obowiązkowo przy każdej zmianie istotnych danych po ich stronie.

Czy muszę sprawdzać klientów indywidualnych, nie tylko firmy?

To zależy od branży. W turystyce, nieruchomościach czy ubezpieczeniach klientem jest często osoba fizyczna — i lista sankcyjna obejmuje też osoby fizyczne, nie tylko podmioty korporacyjne. Jeśli Twoja firma obsługuje klientów indywidualnych w transakcjach o istotnej wartości, weryfikacja powinna obejmować również ich. Szczegółowy zakres obowiązku weryfikacji opisujemy w artykule o obowiązku sanction screeningu.

Jak Sanqto może pomóc

Sanqto to narzędzie do sanction screeningu stworzone z myślą o firmach spoza sektora finansowego — takich jak biura podróży, agencje nieruchomości, brokerzy ubezpieczeniowi i inne MŚP, które muszą weryfikować kontrahentów, ale nie mają działu compliance. Rozwiązanie działa on-premise — dane Twoich klientów i kontrahentów nie opuszczają infrastruktury Twojej firmy. Weryfikacja daje wynik w trzech stanach: MATCH, POSSIBLE lub CLEAR, a każde sprawdzenie jest automatycznie dokumentowane. Do produktu dołączony jest pakiet dokumentów wdrożeniowych (polityka sankcyjna, instrukcja stanowiskowa, rejestr trafień) oraz szkolenie z certyfikacją compliance officera dla osoby, którą wyznaczysz w swoim zespole.

Podstawa prawna

  • Rozporządzenie Rady (UE) nr 269/2014 z 17 marca 2014 r. w sprawie środków ograniczających w odniesieniu do działań podważających integralność terytorialną, suwerenność i niezależność Ukrainy — CELEX 32014R0269
  • Rozporządzenie Rady (UE) nr 833/2014 z 31 lipca 2014 r. dotyczące środków ograniczających w związku z działaniami Rosji destabilizującymi sytuację na Ukrainie — CELEX 32014R0833
  • Ustawa z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz.U. 2022 poz. 835) — ISAP
  • Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2018 poz. 723) — ISAP
  • Dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/1226 z 24 kwietnia 2024 r. w sprawie definicji przestępstw i kar za naruszenie unijnych środków ograniczających — CELEX 32024L1226
  • Polska lista sankcyjna MSWiA — gov.pl/web/mswia
  • Skonsolidowana lista sankcji UE (DG FISMA) — finance.ec.europa.eu
  • Lista SDN OFAC (U.S. Department of the Treasury) — ofac.treasury.gov
  • Lista sankcji ONZ (UN Security Council Consolidated List) — un.org

Przypisy

Informacja, nie porada prawna. Niniejszy artykuł ma charakter informacyjny i edukacyjny. Nie stanowi porady prawnej. Stan prawny na dzień: 20 maja 2026. Konkretne obowiązki Twojej firmy zależą od profilu działalności i wymagają indywidualnej oceny — w razie wątpliwości skonsultuj się z prawnikiem lub doradcą compliance.

  1. Rozporządzenie Rady (UE) nr 269/2014 z 17 marca 2014 r. — EUR-Lex CELEX 32014R0269; potwierdzenie nazwy aktu: API Sejmu ELI DU/2022/835 ↩︎ ↩︎

  2. Rozporządzenie Rady (UE) nr 833/2014 z 31 lipca 2014 r. — EUR-Lex CELEX 32014R0833; cytat z DG FISMA: „The sanctions regime laying down these measures consists of Council Decision 2014/512/CFSP and Council Regulation (EU) No 833/2014." — finance.ec.europa.eu ↩︎ ↩︎

  3. Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2018 poz. 723) — ISAP. GIIF jako organ właściwy w sprawach AML: art. 12 ustawy — ISAP ↩︎

  4. Rozporządzenia UE są bezpośrednio obowiązujące w każdym państwie członkowskim bez potrzeby transpozycji. Cytat: „A regulation is binding in its entirety and directly applicable in all Member States." — EUR-Lex, Regulation — EU legal act ↩︎ ↩︎

  5. Ustawa z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz.U. 2022 poz. 835) — API Sejmu ELI; ISAP ↩︎

  6. Art. 6 ust. 2 ustawy z 13 kwietnia 2022 r. — kara pieniężna nakładana przez Szefa KAS do 20 000 000 zł. Cytat: „Kara pieniężna, o której mowa w ust. 1, jest nakładana w drodze decyzji przez Szefa Krajowej Administracji Skarbowej i wynosi do 20 000 000 zł." — API Sejmu ELI DU/2022/835 ↩︎

  7. Art. 6 ust. 2 oraz art. 12 ust. 2 ustawy z 13 kwietnia 2022 r. — Szef KAS jako organ nakładający kary administracyjne. Cytat: „Kara pieniężna jest nakładana w drodze decyzji przez Szefa Krajowej Administracji Skarbowej." — API Sejmu ELI DU/2022/835 ↩︎

  8. Polska lista sankcyjna jest prowadzona przez Ministra Spraw Wewnętrznych i Administracji. Strona: gov.pl/web/mswia ↩︎ ↩︎ ↩︎

  9. Skonsolidowana lista sankcji UE jest prowadzona przez Komisję Europejską, Dyrekcję Generalną ds. Stabilności Finansowej, Usług Finansowych i Unii Rynków Kapitałowych (DG FISMA). Cytat: „The Directorate-General for Financial Stability, Financial Services and Capital Markets Union manages EU sanctions policy." — finance.ec.europa.eu ↩︎

  10. OFAC (Office of Foreign Assets Control, U.S. Department of the Treasury) prowadzi listę SDN (Specially Designated Nationals and Blocked Persons List) — ofac.treasury.gov ↩︎

  11. Sankcje UE obejmują podmioty, w których osoba lub podmiot z listy posiada ponad 50% udziałów lub sprawuje kontrolę (ownership/control rule). Cytat: „An entity is considered as ‘owned’ by a sanctioned person if the latter owns more than 50% of its proprietary rights." — DG FISMA FAQ, finance.ec.europa.eu ↩︎ ↩︎

  12. Dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/1226 z 24 kwietnia 2024 r. w sprawie definicji przestępstw i kar za naruszenie unijnych środków ograniczających (termin transpozycji: 20 maja 2025 r.) — EUR-Lex CELEX 32024L1226 ↩︎

Wszystkie artykuły Zobacz demo