Rejestr trafień sankcyjnych — jak go prowadzić i co powinien zawierać

Stan prawny na dzień: 2026-05-20.

Prowadzisz sanction screening — sprawdzasz kontrahentów przed każdą transakcją wobec list sankcyjnych UE i MSWiA. Ale czy dokumentujesz każdą z tych weryfikacji? Rejestr trafień sankcyjnych to nie biurokratyczny formularz — to dowód, że zachowałeś należytą staranność. Bez niego każda kontrola organu zaczyna się od domysłów, a nie faktów. W tym artykule znajdziesz konkretną odpowiedź na pytania: co dokładnie wpisać do rejestru, dlaczego rejestrować też wyniki „czyste", jak długo trzymać dokumentację i jak wygląda kontrola w praktyce.

TL;DR — najważniejsze w 5 punktach

• Rejestr trafień to zapisana historia każdej weryfikacji kontrahenta wobec list sankcyjnych — z datą, wynikiem i osobą odpowiedzialną. Bez niego nie masz dowodu należytej staranności.
• Rejestruj każdy wynik — MATCH, POSSIBLE i CLEAR. „Czyste" sprawdzenia też są dowodem, że procedura działa.
• Minimalne pola rejestru: data i godzina weryfikacji, kto sprawdzał, dane kontrahenta, które listy sprawdzono (z datą/wersją), wynik (MATCH/POSSIBLE/CLEAR), podjęte działania.
• Czas przechowywania: dla firm będących instytucjami obowiązanymi AML — 5 lat od zakończenia stosunków gospodarczych (art. 49 ustawy AML¹). Dla pozostałych firm — brak twardego przepisu, ale stosowanie analogicznego 5-letniego standardu ostrożnościowego jest dobrą praktyką.
• Przy kontroli organu rejestr jest pierwszym dokumentem, o który pyta inspektor — brak dokumentacji jest traktowany jak brak weryfikacji.

Czym jest rejestr trafień sankcyjnych

Rejestr trafień sankcyjnych to ewidencja wszystkich weryfikacji przeprowadzonych przez Twoją firmę wobec list sankcyjnych. Każdy wpis w rejestrze odpowiada na jedno pytanie: „kiedy, kto i jak sprawdzał tego kontrahenta — i co z tego wyszło". To dokument wewnętrzny, który prowadzisz na własne potrzeby, ale w razie kontroli staje się Twoim głównym dowodem.

Obowiązek weryfikacji kontrahentów wobec list sankcyjnych UE wynika wprost z rozporządzeń unijnych — Rozporządzenia Rady (UE) nr 269/2014 z dnia 17 marca 2014 r.² oraz Rozporządzenia Rady (UE) nr 833/2014 z dnia 31 lipca 2014 r.³ Rozporządzenia te są bezpośrednio stosowane w każdym państwie członkowskim — bez potrzeby dodatkowej implementacji krajowej⁴. Rejestr trafień jest praktycznym narzędziem udowodnienia, że te rozporządzenia respektujesz.

Polska ustawa z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz.U. 2022 poz. 835)⁵ uzupełnia ten obowiązek w krajowym porządku prawnym i określa sankcje za jego naruszenie — karę pieniężną do 20 000 000 zł nakładaną przez Szefa Krajowej Administracji Skarbowej⁶. W tym kontekście dokumentacja nie jest opcją, lecz elementem skutecznej obrony.

Jeśli dopiero zaczynasz i chcesz najpierw sprawdzić, czy obowiązek screening dotyczy Twojej firmy, przeczytaj artykuł Czy moja firma musi prowadzić sanction screening?

Dlaczego rejestrować też „czyste" weryfikacje (wynik CLEAR)

To pytanie słyszymy często: po co zapisywać weryfikację, jeśli wynik był negatywny — nie znalazłem żadnego trafienia? Odpowiedź jest prosta: organ kontrolny podczas kontroli nie widzi, że „nic się nie stało". Widzi albo dokumentację, albo jej brak.

Brak wpisu w rejestrze dla konkretnego kontrahenta oznacza — z perspektywy organu — że weryfikacja mogła w ogóle nie być przeprowadzona. Nie możesz skutecznie powołać się na należytą staranność, jeśli nie masz zapisu potwierdzającego, kiedy i jak weryfikacja przebiegła. Nawet wynik CLEAR musi być udokumentowany, żeby miał wartość dowodową.

Jest jeszcze jeden ważny powód. Listy sankcyjne UE są aktualizowane regularnie — nowe podmioty i osoby fizyczne są dodawane przy każdym nowym pakiecie sankcji UE wobec Rosji i Białorusi⁷. Jeśli Twoja dokumentacja pokazuje daty weryfikacji i wersje list, możesz wykazać, że sprawdzałeś kontrahenta zgodnie z aktualnym stanem list na dany dzień — a trafienie, które pojawiło się później, nie może być poczytane jako Twoja wina.

Rejestr wyników CLEAR buduje też wiarygodny obraz systemu compliance. Organ widzi, że weryfikacja odbywa się systematycznie, nie tylko przy „podejrzanych" kontrahentach. To fundamentalna różnica między firmą, która ma procedurę i ją stosuje, a firmą, która tylko deklaruje, że screening „gdzieś robi".

Jakie pola powinien zawierać rejestr — wzór struktury

Dobry rejestr trafień sankcyjnych nie musi być skomplikowany. Musi być kompletny. Poniższa tabela pokazuje minimalną strukturę, którą możesz wdrożyć w arkuszu kalkulacyjnym lub dedykowanym systemie.

Kilka uwag do wzoru

Pole „Sprawdzone listy sankcyjne" jest kluczowe — nie wystarczy napisać „sprawdzono". Musisz wiedzieć, jaką wersję listy miałeś pod ręką w dniu weryfikacji. Skonsolidowana lista UE (Consolidated List) prowadzona przez Komisję Europejską (DG FISMA)⁷ oraz polska lista MSWiA⁸ mogą być aktualizowane bez regularnego harmonogramu, więc data weryfikacji lista plus data pobrania/wersji listy razem tworzą pełny obraz.

Przy wynikach POSSIBLE dokumentuj szczegółowo: co wzbudziło wątpliwość, jakie dodatkowe identyfikatory zbadałeś, dlaczego ostatecznie wykluczyłeś trafienie (lub nie). Taka dokumentacja chroni Cię przy ewentualnym postępowaniu — pokazuje, że nie zignorowałeś sygnału ostrzegawczego, ale podszedłeś do niego metodycznie. Jak odróżnić realne trafienie od zbieżności nazwisk, opisujemy w artykule o fałszywych trafieniach w screeningu sankcyjnym.

Przy wyniku MATCH — nie działaj samodzielnie. Zamrażasz środki i zgłaszasz sprawę Szefowi Krajowej Administracji Skarbowej⁶. Cały tok działań dokumentujesz krok po kroku, z datami i godzinami.

Szczegółowy opis tego, jak interpretować każdy z trzech wyników i co robić krok po kroku, znajdziesz w artykule Weryfikacja kontrahenta pod kątem sankcji — poradnik krok po kroku.

Jak długo przechowywać dokumentację

To pytanie wymaga precyzji, bo odpowiedź różni się w zależności od tego, kim jesteś.

Jeśli jesteś instytucją obowiązaną w rozumieniu ustawy z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2018 poz. 723)¹ — na przykład pośrednikiem w obrocie nieruchomościami lub brokerem ubezpieczeniowym — masz twardy przepis: art. 49 tej ustawy nakazuje przechowywać dokumentację przez 5 lat od dnia zakończenia stosunków gospodarczych z klientem lub od dnia przeprowadzenia transakcji okazjonalnej¹. To minimum wynikające wprost z przepisu.

Jeśli nie jesteś instytucją obowiązaną AML — Twój obowiązek sankcyjny wynika bezpośrednio z rozporządzeń UE 269/2014² i 833/2014³, ale żaden z tych aktów nie określa wprost okresu przechowywania dokumentacji weryfikacji dla firm niefinansowych. Oznacza to, że nie ma twardego przepisu, który nakazuje Ci trzymać rejestr przez 5 lat. Jednak stosowanie analogicznego 5-letniego standardu jako miary ostrożności jest solidną praktyką compliance — odpowiada ogólnemu terminowi przedawnienia zobowiązań w polskim prawie cywilnym i daje Ci bufor bezpieczeństwa przy ewentualnym postępowaniu administracyjnym.

Niezależnie od kategorii prawnej: skasowanie dokumentacji przed upływem 5 lat od daty weryfikacji jest ryzykowne. Postępowanie przed Szefem KAS lub ewentualna kontrola mogą dotyczyć transakcji sprzed kilku lat — a brak dokumentacji z tamtego okresu uniemożliwia skuteczną obronę.

Jeśli prowadzisz działalność, przy której wątpliwości co do statusu instytucji obowiązanej są realne — dotyczy to m.in. pośredników nieruchomości, agentów ubezpieczeniowych czy brokerów — zapoznaj się z artykułem o obowiązku sanction screeningu w branży ubezpieczeniowej lub nieruchomościowej.

Forma rejestru — arkusz kalkulacyjny a system automatyczny

Nie ma przepisu, który nakazuje Ci prowadzić rejestr w konkretnym formacie. Liczy się to, żeby rejestr był czytelny, kompletny i dostępny na żądanie organu. W praktyce firmy wybierają jedną z dwóch ścieżek.

Arkusz kalkulacyjny (Excel, Google Sheets)

Arkusz to najprostsze wyjście, szczególnie dla firm z niewielką liczbą kontrahentów — do kilkudziesięciu weryfikacji miesięcznie. Zaletą jest zerowy koszt wdrożenia i pełna kontrola nad strukturą. Wadą — brak automatycznych alertów, ryzyko błędów przy ręcznym uzupełnianiu, brak wbudowanej kontroli wersji i trudność ze skalowaniem. Przy arkuszu musisz pamiętać o regularnym zapisywaniu kopii zapasowych i zabezpieczeniu dostępu — rejestr zawiera dane osobowe kontrahentów, więc podlega RODO.

Jeśli decydujesz się na arkusz, stwórz go raz według wzoru z poprzedniej sekcji i trzymaj się tej samej struktury — spójna historia jest czytelna dla każdego audytora.

System automatyczny (dedykowane oprogramowanie do screening)

Dedykowane narzędzie do sanction screening automatyzuje całą ścieżkę: pobiera aktualizacje list sankcyjnych, przeprowadza weryfikacje według zdefiniowanych reguł, rejestruje wyniki i buduje ślad audytowy bez ręcznej interwencji. Każda weryfikacja jest logowana z dokładną godziną, wersją listy i wynikiem — dokładnie w takiej formie, której oczekuje organ kontrolny.

Dla firm obsługujących dziesiątki lub setki weryfikacji miesięcznie automatyzacja eliminuje ryzyko pomyłki i zapomnienia. Ważnym kryterium wyboru systemu jest możliwość instalacji w infrastrukturze własnej firmy (on-premise) — dane Twoich kontrahentów nie muszą opuszczać Twojej sieci.

Rejestr trafień prowadzony automatycznie przez oprogramowanie jest de facto gotowym dowodem należytej staranności — historię weryfikacji każdego kontrahenta można wyeksportować i okazać inspektorowi w kilka minut.

Rejestr trafień podczas kontroli organu

Kontrola przestrzegania przepisów sankcyjnych przez firmy niefinansowe należy do kompetencji Szefa Krajowej Administracji Skarbowej⁶. Dla instytucji obowiązanych AML nadzór sprawują odpowiednio GIIF (Generalny Inspektor Informacji Finansowej)⁹ oraz — dla podmiotów nadzorowanych przez KNF — Komisja Nadzoru Finansowego. Każdy z tych organów ma uprawnienia do żądania dokumentacji w zakresie prowadzonego screeningu sankcyjnego.

Co sprawdza organ w praktyce? Inspektor zaczyna od pytania, czy w firmie istnieje procedura sankcyjna i czy jest stosowana. Rejestr trafień to dowód stosowania. Organ weryfikuje przede wszystkim:

• Czy weryfikacje były przeprowadzane przed każdą nową relacją handlową i w trakcie trwania współpracy.
• Czy rejestr obejmuje wszystkich kontrahentów, nie tylko „podejrzanych" — wyrywkowe sprawdzanie to sygnał alarmowy.
• Czy w rejestrze są wpisy z datami i wersjami list, co pozwala potwierdzić aktualność weryfikacji.
• Jak obsłużono wyniki POSSIBLE i MATCH — czy istnieje dokumentacja podjętych działań.
• Czy osoba przeprowadzająca weryfikację jest wyraźnie wskazana.

Brak rejestru lub rejestr z brakami (np. brak dat, brak wersji list, brak wyników dla części kontrahentów) jest traktowany przez organ jako brak weryfikacji w tych obszarach. To z kolei otwiera drogę do postępowania administracyjnego i potencjalnej kary finansowej na podstawie art. 6 ust. 2 ustawy z 13 kwietnia 2022 r.⁶

Warto też wiedzieć, że dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/1226 z dnia 24 kwietnia 2024 r.¹⁰ — której termin implementacji przez państwa UE minął 20 maja 2025 r. — zobowiązuje państwa do kryminalizacji umyślnych naruszeń sankcji. Polska już teraz przewiduje odpowiedzialność karną za naruszenia reżimu sankcyjnego — kompletna dokumentacja compliance jest jednym z argumentów, które mogą odróżnić „naruszenie nieumyślne" od „umyślnego". Pełne zestawienie kar i organów kontrolnych znajdziesz w artykule Jakie kary grożą za naruszenie sankcji w Polsce i UE?

Najczęstsze błędy w prowadzeniu rejestru

W praktyce firmy, które już mają rejestr trafień, popełniają kilka powtarzających się błędów. Każdy z nich może podważyć wartość dowodową dokumentacji.

Brak daty wersji listy. Wpisujesz wynik „CLEAR", ale nie zapisujesz, jaką wersją listy sankcyjnej się posłużyłeś i kiedy ją pobrałeś. Organ nie może ocenić, czy weryfikacja była aktualna — listy zmieniają się regularnie przy kolejnych pakietach sankcji UE⁷.

Weryfikacja tylko przy pierwszym kontakcie. Jednorazowe sprawdzenie kontrahenta przy podpisaniu umowy nie wystarczy. Podmiot, który był „czysty" rok temu, mógł od tego czasu trafić na listę. Rejestr musi pokazywać cykliczne weryfikacje w trakcie trwania współpracy.

Pomijanie wyników CLEAR. Jeśli rejestr zawiera tylko wpisy MATCH i POSSIBLE — wyraźne trafienia — organ może zadać pytanie: a gdzie są weryfikacje bez trafień? Albo ich nie ma, albo nie były rejestrowane. Obie odpowiedzi są problemem.

Brak podpisu lub imienia osoby weryfikującej. Rejestr powinien jasno wskazywać, kto przeprowadził weryfikację. Anonimowy wpis „sprawdzono" nie jest dowodem — nie wiadomo, kto to zrobił ani czy ta osoba miała do tego kompetencje.

Formularz bez pola „podjęte działania". Samo odnotowanie wyniku POSSIBLE bez opisu dalszych kroków to połowa dokumentacji. Organ sprawdzi, co firma zrobiła po wstępnym trafieniu — czy zbadała temat dogłębnie, czy po prostu zignorowała sygnał.

Rejestr prowadzony retrospektywnie. Uzupełnianie rejestru „z pamięci" tygodnie po weryfikacji jest ryzykowne i łatwe do zakwestionowania. Wpisy powinny być dodawane na bieżąco — najlepiej w dniu weryfikacji lub automatycznie przez system.

FAQ — najczęstsze pytania o rejestr trafień sankcyjnych

Czy muszę prowadzić rejestr trafień, jeśli jestem małą firmą?

Tak. Obowiązek sankcyjny wynika z rozporządzeń UE²³, które stosują się do każdej firmy prowadzącej działalność w Unii — niezależnie od rozmiaru. Rejestr jest dowodem, że ten obowiązek realizujesz. Mała firma może prowadzić go w prostym arkuszu kalkulacyjnym — ważne, żeby był kompletny.

Czy rejestr musi mieć określoną formę prawną lub wzór urzędowy?

Nie — żaden przepis prawa polskiego ani unijnego nie narzuca konkretnego wzoru rejestru trafień sankcyjnych dla firm niefinansowych. Liczy się kompletność i możliwość odtworzenia historii weryfikacji dla każdego kontrahenta. Wzór z tej sekcji artykułu możesz traktować jako minimum.

Co zrobić, gdy kontrahent jest już w bazie i chcę tylko go „ponownie sprawdzić" — czy wpisuję nowy rekord?

Tak, każda nowa weryfikacja powinna mieć własny wpis w rejestrze — z aktualną datą, wersją listy i wynikiem. Nie nadpisuj starych wpisów. Historia weryfikacji dla każdego kontrahenta jest cenna: pokazuje, od kiedy go sprawdzasz i jak często.

Czy muszę rejestrować weryfikacje kontrahentów zagranicznych inaczej niż polskich?

Forma wpisu jest taka sama. Jedyna różnica to dane identyfikacyjne — dla zagranicznych podmiotów wpisujesz odpowiedniki NIP z kraju rejestracji (np. VAT-EU, EIN, Company Registration Number). Weryfikujesz ich na tych samych listach: lista UE, lista MSWiA⁸, lista ONZ i ewentualnie OFAC¹¹.

Jak długo przechowywać rejestr, jeśli zakończyłem współpracę z kontrahentem?

Dla instytucji obowiązanych AML — 5 lat od zakończenia stosunków gospodarczych (art. 49 ustawy AML¹). Dla firm niefinansowych brak jest twardego przepisu, ale stosowanie analogicznego 5-letniego standardu to dobra praktyka. Po tym czasie możesz rozważyć usunięcie danych, pamiętając o zobowiązaniach RODO dotyczących okresu retencji danych osobowych.

Czy system do sanction screening automatycznie prowadzi rejestr?

Dobre oprogramowanie do sanction screening loguje każdą weryfikację automatycznie — z datą, wynikiem i wersją listy. Jest to jego podstawowa funkcja. Przy zakupie lub wdrożeniu systemu zapytaj dostawcę, czy eksport historii weryfikacji jest możliwy w formacie akceptowanym przez organy kontrolne (np. CSV lub PDF z podpisem cyfrowym).

Co konkretnie zrobić — lista kroków

1. Stwórz rejestr — użyj wzoru tabeli z tej sekcji artykułu. Jeśli masz już coś podobnego, sprawdź, czy zawiera wszystkie wymagane pola: data+godzina, kto sprawdzał, dane kontrahenta, lista (z datą/wersją), wynik, podjęte działania.
2. Uzupełnij zaległe wpisy — jeśli prowadziłeś weryfikacje, ale nie rejestrów: uzupełnij to, co pamiętasz lub co możesz odtworzyć z innych dokumentów (maile, historia systemów). Retrospektywna dokumentacja jest lepsza niż brak dokumentacji — ale zaznacz, że wpisy zostały dodane retrospektywnie.
3. Wyznacz osobę odpowiedzialną — rejestr musi mieć właściciela. Osoba wyznaczona do compliance odpowiada za to, że każda weryfikacja jest rejestrowana na bieżąco.
4. Ustal procedurę „kto, kiedy i jak" — kiedy ma być przeprowadzona weryfikacja (przed każdą nową transakcją, cyklicznie dla stałych kontrahentów), kto ją przeprowadza i kto zatwierdza wynik przy POSSIBLE lub MATCH.
5. Zdefiniuj czas przechowywania — wpisz do polityki sankcyjnej firmy, że dokumentacja jest przechowywana co najmniej 5 lat od daty weryfikacji lub zakończenia współpracy (zależnie od tego, co jest późniejsze).
6. Zabezpiecz dostęp do rejestru — rejestr zawiera dane osobowe (imiona, NIP, dane kontrahentów), więc podlega RODO. Ogranicz dostęp do osób, które muszą go czytać lub uzupełniać. Prowadź kopię zapasową.
7. Rozważ automatyzację — jeśli liczba weryfikacji rośnie (kilkadziesiąt lub więcej miesięcznie), ręczne prowadzenie rejestru staje się ryzykiem samo w sobie. System automatyczny eliminuje błędy ludzkie i zapewnia kompletność dokumentacji bez dodatkowego wysiłku. Warto też powiązać rejestr z polityką sankcyjną firmy — wzór dokumentów opisujemy osobno.

Jak Sanqto może pomóc

Sanqto to oprogramowanie do sanction screening przeznaczone dla firm spoza sektora finansowego — takich jak biura podróży, agencje ubezpieczeniowe, pośrednicy nieruchomości czy firmy e-commerce. System działa w trybie on-premise: dane Twoich kontrahentów nie opuszczają infrastruktury Twojej firmy. Każda weryfikacja jest automatycznie rejestrowana i zwraca wynik w trzech stanach: MATCH, POSSIBLE lub CLEAR — budując gotowy ślad audytowy bez ręcznego uzupełniania rejestru. W ramach pakietu wdrożeniowego oferujemy też gotowy wzór rejestru trafień i polityki sankcyjnej — dostosowany do branży, w której działasz. Sprawdź, jak Sanqto działa w Twojej branży: sanction screening dla biur podróży i branży turystycznej, sanction screening dla pośredników nieruchomości, sanction screening dla brokerów i agentów ubezpieczeniowych.

Podstawa prawna

• Rozporządzenie Rady (UE) nr 269/2014 z dnia 17 marca 2014 r. w sprawie środków ograniczających w odniesieniu do działań podważających integralność terytorialną, suwerenność i niezależność Ukrainy lub im zagrażających — CELEX 32014R0269

• Rozporządzenie Rady (UE) nr 833/2014 z dnia 31 lipca 2014 r. dotyczące środków ograniczających w związku z działaniami Rosji destabilizującymi sytuację na Ukrainie — CELEX 32014R0833

• Rozporządzenie Rady (UE) nr 765/2006 z dnia 18 maja 2006 r. dotyczące środków ograniczających w odniesieniu do Białorusi — CELEX 32006R0765

• Ustawa z dnia 13 kwietnia 2022 r. o szczególnych rozwiązaniach w zakresie przeciwdziałania wspieraniu agresji na Ukrainę oraz służących ochronie bezpieczeństwa narodowego (Dz.U. 2022 poz. 835) — ISAP

• Ustawa z dnia 1 marca 2018 r. o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu (Dz.U. 2018 poz. 723) — ISAP

• Dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/1226 z dnia 24 kwietnia 2024 r. w sprawie definicji przestępstw i kar za naruszenie unijnych środków ograniczających — CELEX 32024L1226

• Polska lista sankcyjna MSWiA — prowadzona przez Ministra Spraw Wewnętrznych i Administracji: gov.pl/web/mswia/lista-osob-i-podmiotow-objetych-sankcjami

• Unijna lista skonsolidowana (Consolidated List / FSD) — prowadzona przez Komisję Europejską (DG FISMA): finance.ec.europa.eu

Footnotes

Informacja, nie porada prawna. Niniejszy artykuł ma charakter informacyjny i edukacyjny. Nie stanowi porady prawnej. Stan prawny na dzień: 2026-05-20. Konkretne obowiązki Twojej firmy zależą od profilu działalności i wymagają indywidualnej oceny — w razie wątpliwości skonsultuj się z prawnikiem lub doradcą compliance.