2021 р. був насичений подіями та змінами у сфері комплаєнсу. Український уряд постійно рухається до найкращих практик та західних тенденцій у цій сфері. Головною рушійною силою на цьому шляху є зобов’язання України за Угодою про асоціацію між ЄС та Україною та вимоги міжнародних позичальників, які підтримують українську економіку на довгостроковій основі. Ці зусилля привели до завершення роботи над формуванням антикорупційної інфраструктури, що представлена спеціалізованими наглядовими, слідчими та судовими органами. Наступним очікуваним кроком за цим напрямком є розробка судової практики протидії хабарництву.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Зобов’язання у сфері комплаєнсу підтримувалися не лише напрацюваннями держави, а й вимогами зовнішніх бізнес-партнерів та експортними вимогами до українських виробників.
Український бізнес дедалі більше знайомиться з вимогами ЄС та інших юрисдикцій, навіть такими специфічними актами, як регламент ЄС щодо лісоматеріалів (EUTR), котрий забороняє імпорт деревини з юрисдикцій та/або від виробників, якщо заготівля та/або експорт супроводжувались комплаєнс-порушеннями (наприклад, хабарництво, підробка та/або порушення заборони на експорт).
Однією з найбільших проблем для українського бізнесу залишається питання комплаєнс-культури і здатності продемонструвати прихильність до комплаєнсу.
Ми підготували 4 комплаєнс-теми, які вже вплинули на український бізнес чи потенційно вплинуть на нього найближчими роками.
Експансія міжнародних стандартів протидії хабарництву в державному секторі економіки
Міжнародні фінансові організації (далі — МФО) забезпечують значну частку зовнішніх інвестицій в Україні. Оскільки вона вважається країною з високим ризиком для бізнесу, МФО застосовують для своїх інвестицій та запозичень особливі умови, що включають, зокрема, зобов’язання підвищити стандарти боротьби з хабарництвом українських бенефіціарів, відповідальних за реалізацію проєктів, що фінансуються. Особливістю такої експансії є те, що МФО вимагають від окремих українських органів влади та державних підприємств (далі — ДП) оновлювати комплаєнс-системи відповідно до найкращих світових практик, які перевищують стандарти українського законодавства. Такими застосовними стандартами є:
1) ISO 37001 «Системи управління щодо протидії корупції»,
2) бізнес-принципи Transparency International щодо протидії хабарництву,
3) 10 принципів протидії корупції Transparency International для державних підприємств,
4) керівні принципи ОЕСР щодо протидії корупції на державних підприємствах.
Вимога МФО щодо застосування найкращої практики для державного сектора випливає з необхідності:
- застосовувати елементи системи комплаєнс, які не запроваджені в українському законодавстві та нормативно-правових актах і, отже, не розглядаються владою та державними підприємствами як обов’язкові та необхідні;
- запровадити детальне керівництво щодо законодавчо запроваджених елементів комплаєнсу;
- сприяти розвитку комплаєнс-культури.
Серйозним викликом для державного сектора є необхідність вийти за межі чинного законодавства, формальних обмежень функції комплаєнсу та забезпечити адекватну ринковим умовам систему попередження ризиків, підняти посаду відділу комплаєнсу/головного спеціаліста з комплаєнсу на рівень топ-менеджменту та розвинути культуру комплаєнсу.
Перехід до передових стандартів комплаєнсу в державному секторі неминучий. З часом організації, що фінансуються МФО, будуть сприяти «культурі висловлювання», запровадять роль послів комплаєнсу серед керівників та вестимуть бізнес у прозорий спосіб, наскільки це можливо. Міжнародні зобов’язання та міжурядові угоди вже змушують українські органи влади та ДП сповідувати позитивну конотацію культури розкриття інформації та пріоритет довгострокового безпечного бізнесу з компаніями, що відповідають комплаєнс-вимогам, на противагу одноразовим великим контрактам з підозрілими «ділками».
Такі зміни в державному секторі торкнуться і приватного бізнесу. Більшість проєктів, що фінансуються МФО, потребують залучення підрядників та субпідрядників з приватного сектору.
Замовники оцінюватимуть загальнодоступну інформацію про підрядника, включаючи державні реєстри та інформацію, доступну онлайн. Для підрядників стане звичайною практикою розміщення власної комплаєнс-політики на веб-сайті та чиста історія комплаєнс-порушень. МФО також рекомендують державному сектору застосовувати договірні гарантії, підкріплені правами на аудит, щоб забезпечити належний рівень комплаєнса у підрядника.
Наполегливо радимо приватному бізнесу, який бере участь у державних закупівлях, оновити свої комплаєнс-системи у ризикових сферах до рівня найкращої світової практики. У найближчому майбутньому бізнес, який працює «як завжди», не зможе брати участь у проєктах, що фінансуються МФО.
Виконання вимог ЄС щодо фінансового контролю
У 2021 р. регулятор продовжив рухатися дорожньою картою до стандартів ЄС у сфері фінансового контролю. Зокрема, Міністерство юстиції роз’яснило обов’язки суб’єктів первинного фінансового моніторингу щодо надання юридичних послуг. Закон України № 361-IX від 6 грудня 2019 р. «Про запобігання та протидію легалізації (відмиванню) доходів, одержаних злочинним шляхом, фінансуванню тероризму та фінансуванню розповсюдження зброї масового знищення» (далі — Закон) був доповнений наказом Мін’юсту № 3201/05 від 10 вересня 2021 р. «Положення про здійснення фінансового моніторингу суб’єктами первинного фінансового моніторингу, державне регулювання та нагляд за діяльністю яких здійснює Міністерство юстиції України» (далі — Положення).
Метою Положення є роз’яснення передбачених Законом зобов’язань внутрішнього контролю. Такі зобов’язання, зокрема, стосуються адвокатських бюро, адвокатських контор та адвокатів, які діють індивідуально, нотаріусів та суб’єктів підприємницької діяльності, які надають юридичні послуги (далі — юридичні СПФМ). По суті, Положення вимагає, щоб юридичні СПФМ створили та підтримували діючу внутрішню комплаєнс-систему, спрямовану на виявлення та запобігання здійсненню підозрілих операцій.
Може виникнути питання: «Як зобов’язання нотаріуса, адвокатури чи юридичної фірми можуть вплинути на їх клієнтів?» Відповідь наступна:
1) Закон та Положення вимагають, щоб юридичний СПФМ проводив належну перевірку третіх осіб та визначав ризик-профіль клієнта до початку надання послуг;
2) юридичні СПФМ зобов’язані повідомляти регулятору про підозрілі операції клієнта;
3) конкретні юридичні СПФМ зобов’язані заморозити активи клієнта у разі підозри у зв’язках з тероризмом, зброєю масового знищення та/або їх фінансуванням та повідомити про такий факт регулятору та Службі безпеки України;
4) порушення Закону покладає на юридичних СПФМ значну відповідальність, включаючи, але не обмежуючись наступним:
• анулювання ліцензії та/або інших документів, що надають право на провадження діяльності, з якою особа має статус СПФМ;
• штраф до 7 950 тис. неоподатковуваних мінімумів доходів громадян (близько 135 млн грн); або
• мирова угода.
З точки зору власних бізнес-ризиків юридичні СПФМ повинні виконувати зобов’язання щодо фінансового контролю, щоб забезпечити стале функціонування свого бізнесу і продовжувати отримувати прибуток.
Дія Положення поширюється не на всі послуги, що надаються юридичними СПФМ. Обов’язковий перелік включає послуги щодо:
1) купівлі-продажу нерухомості або управління майном при фінансуванні житлового будівництва;
2) купівлі-продажу суб’єктів господарювання та корпоративних прав;
3) управління коштами, цінними паперами або іншими активами клієнта;
4) відкриття та/або управління банківським рахунком або рахунком у цінних паперах;
5) залучення коштів, необхідних для створення юридичних осіб та фондів, підтримки їх діяльності або управління нею;
6) створення, утримання чи управління юридичними особами, фондами, трастами чи іншими подібними юридичними особами;
7) осіб, які надають послуги щодо створення, забезпечення діяльності або управління юридичними особами, якщо вони, зокрема, надають консультації клієнту, беруть участь, діючи від імені та/або за дорученням клієнта, у будь-якій фінансовій операції та/або допомагають клієнту планувати чи здійснювати операцію щодо створення, забезпечення діяльності або управління юридичними особами.
Закон містить звільнення юридичних СПФМ від обов’язку звітувати перед регулятором у разі надання послуг із захисту клієнта, представництва його інтересів у судових органах та у справах досудового врегулювання спорів або надання консультацій щодо захисту та представництва клієнта.
Водночас клієнти мають бути готові розкрити необхідні дані юридичним СПФМ, навіть якщо запитувані послуги не стосуються наведеного переліку. Це особливо характерно для міжнародних та місцевих юридичних фірм, які пропонують клієнтам повний спектр юридичного супроводу. Такий підхід походить від Директиви ЄС 2015/849 та AML стандартів FATF, які послужили натхненною основою для Закону та Положення.
Основна ідея AML комплаєнс-системи юридичних СПФМ полягає у застосуванні підходу, орієнтованого на ризик, який передбачає «живий» комплаєнс на додаток до нормативних вимог. Для клієнтів це означає, що юридичні СПФМ стимулюватимуть своїх комплаєнс-офіцерів робити незалежну оцінку клієнта, ставити додаткові запитання, пов’язані з передбачуваною операцією та джерелом походження коштів, а також готувати окрему думку про AML-ризики, якщо такі є.
Настійно радимо клієнтам вивчити свій AML-профіль та отримати прозорі відповіді на питання, пов’язані з AML. Підготовка такого профілю заощадить багато часу під час контрактування та знизить ризик відмови у наданні послуг на нашому ризиковому ринку.
Вимоги до комплаєнс-системи «за межами закону»
В українському законодавстві досі відсутні позитивні зобов’язання щодо систем комплаєнсу в приватному секторі. Досі законодавець застосовував конкретні позитивні зобов’язання для систем комплаєнс для обмежених сценаріїв. Одним з таких прикладів є вимога запровадити антикорупційну програму для приватних компаній, які бажають брати участь у державних або комунальних тендерах на закупівлі на суму понад 20 млн грн (близько $735 тис.). Це ж положення вимагає від таких компаній мати комплаєнс-офіцера та виконувати зобов’язання щодо звітності перед державними органами, подібними до ДП. Посилення нормативно-правових комплаєнс-вимог щодо таких компаній логічно пов’язане з очікуваними змінами для державних органів та державних підприємств, що фінансуються МФО.
Як правило, приватний бізнес, який не займається державними закупівлями, не зобов’язаний мати комплаєнс-систему. Негативні зобов’язання щодо комплаєнсу випливають з відповідальності за порушення, передбаченої Кримінальним кодексом України. Ризик відповідальності для компаній, відповідно до українського законодавства, порівняно низький:
1) штраф до 1 275 тис. грн (приблизно $45 тис.); 2) ліквідація компанії з/без конфіскації майна та 3) позов про відшкодування збитків. Судова практика з цього приводу на даний момент не є репрезентативною.
Однак бізнес диктує інший сценарій управління ризиками шляхом введення українського міжнародного бізнесу під дію режимів екстериторіального права. Правоохоронні органи США (Foreign Corrupt Practice Act), Сполученого Королівства (UK Bribery Act), Нідерландів (Dutch Criminal Code) та інших юрисдикцій можуть розслідувати та застосовувати санкції за комплаєнс-порушення, вчинені за кордоном.
Існують принаймні 2 основні сценарії, коли український бізнес гарантовано підпадає під дію подібних екстериторіальних законів:
a) українські компанії структуровані через холдингову компанію або штаб-квартиру в юрисдикції, яка застосовує власне антикорупційне законодавство за кордоном;
b) українські компанії підлягають купівлі набувачем, юрисдикція якого передбачає відповідальність за корупцію за кордоном.
Наведені вище сценарії доповнюються іншими «неочевидними» варіантами застосування іноземних правил боротьби з хабарництвом, включаючи, але не обмежуючись 1) обігом власних акцій на біржах, 2) веденням бізнесу на території іноземної юрисдикції та 3) використанням іноземної банківської системи, серверів, посередників.
У 2021 р. українські компанії продовжили тренд перенесення штаб-квартир з низькоподаткових юрисдикцій до Нідерландів. Це сталося завдяки реалізації плану ОЕСР щодо розмивання бази оподаткування та виведення прибутку (Base Erosion and Profit Shifting). Нідерланди виявилися зручною податковою юрисдикцією за обставин, що голландська компанія групи керує українським бізнесом і не має нічого спільного з підставними компаніями (shell companies). Це, серед іншого, переміщує український бізнес під дію нідерландського законодавства про протидію корупції.
Нідерландське законодавство передбачає наступні санкції для компаній за корупційні правопорушення:
- штрафи до 10% річного обороту компанії, якщо штраф до 820 тис. євро вважається недостатнім покаранням; та/або
- конфіскація незаконно здобутих активів/доходів від злочину.
Правоохоронні органи США та Великобританії можуть застосувати ще більш серйозні санкції:
- необмежені штрафи для компаній відповідно до законодавства Великобританії;
- штраф до $2 млн або подвійний прибуток, отриманий в результаті хабаря, для компаній відповідно до законодавства США.
Ризик такої відповідальності також побічно діє для українських компаній, які підлягають придбанню, оскільки вищезгадані законодавчі режими передбачають концепцію відповідальності правонаступника, згідно з якою інвестор буде відповідати за корупційні правопорушення, які мали місце до придбання.
Продавці можуть втратити у вартості свого бізнесу пропорційно рівню комплаєнсу їх бізнесу відповідно до стандартів покупця та репрезентативним знанням про історичні комплаєнс-порушення. Основна порада для власників компаній, що підлягають продажу, полягає у досягненні рівня комплаєнс-системи, за якого вона здатна продемонструвати, що бізнес: 1) здатний виявляти, запобігати та пом’якшувати комплаєнс-ризики та 2) може довести відсутність комплаєнс-порушень у найбільш можливій мірі.
Нижче наводимо мінімальний перелік must have елементів комплаєнс-програми для привабливого бізнесу:
1) оцінка ризику, проведена відповідно до стандартів найкращої практики (наприклад, рекомендації ОЕСР, ISO 37001, FCPA Resource Guide тощо);
2) кодекс поведінки, комплаєнс-політика та процедури, що охоплюють усі сфери ризику;
3) тренінги та комунікація;
4) надійні правила звітності та повідомлення про правопорушення;
5) імплементовані процедури розслідування;
6) належна перевірка третіх осіб;
7) достатня автономія та ресурси для функції комплаєнсу;
8) постійний розвиток культури комплаєнс.
Захист персональних даних відповідно до стандартів ЄС З 2014 р. український уряд зобов’язався імплементувати стандарти ЄС щодо обробки даних у національне законодавство на підставі ст. 15 Угоди про асоціацію з ЄС. Проблема нормативного розриву між стандартами ЄС та українським законодавством про захист даних підлягає лише одному вирішенню — повній заміні чинного законодавства актом стандарту ЄС.
Після 4 травня 2016 р. еталоном відповідності для українського законопроєкту став регламент (ЄС) 2016/679 Європейського парламенту та ради від 27 квітня 2016 р. про захист фізичних осіб щодо обробки персональних даних, вільного переміщення таких даних та скасування директиви 95/46/EC (GDPR). У 2020–2021 р. український уряд розпочав розробку законопроєкту та оцінив можливість отримати від комісії ЄС рішення про адекватність захисту даних. Кінцевим результатом цих зусиль стала реєстрація законопроєкту № 5628 «Про захист персональних даних» (далі — законопроєкт). Якщо його буде прийнято парламентом і підписано Президентом України, він вступить в силу з 1 січня 2023 р. Як бізнесу, так і суспільству він додасть ясності, але й збільшить тягар у сфері обробки персональних даних. Контролери та процесори повинні будуть серйозно ставитися до правил захисту персональних даних, оскільки суб’єктам даних будуть надані широкі та прояснені права, а принципи обробки значно відрізнятимуться від тих, які ми маємо зараз.
Низка чинних положень щодо обробки персональних даних будуть скасовані або оскаржені в суді суб’єктами даних, наприклад:
1) більше не буде можливості застосовувати декілька законних підстав обробки персональних даних (наприклад, згода, законний інтерес) або змінювати підставу;
2) непропорційно тривалі періоди зберігання персональних даних будуть заборонені (наприклад, зараз деякі персональні дані щодо працевлаштування можуть зберігатися до 75 років);
3) більше не буде «неоднозначної» форми згоди на обробку персональних даних.
Чинна редакція законопроєкту також передбачає значно більші розміри штрафів за порушення у сфері захисту персональних даних:
- для фізичних осіб — до 20 млн грн (близько $705 тис.);
- для юридичних осіб — до 150 млн грн (близько $5,3 млн), або 8% загального річного обороту за рік, що передує року, в якому накладено штраф.
Оскільки текст законопроєкту ще може змінюватись, рекомендуємо орієнтуватися на правила і процедури GDPR як найкращої практики та заздалегідь розпочати розбудову GDPR комплаєнс-системи. Дуже малоймовірно, що середній чи великий бізнес зможе легко перейти до GDPR-стандартів обробки даних за короткий час. На основі нашого досвіду та прецедентного права можемо сказати, що важливо вивчити внутрішні та зовнішні процеси обробки та підготувати індивідуальний дизайн системи захисту даних, який повністю охопить актуальні зони ризику. Навіть незначні технічні порушення правил збереження (наприклад, неможливість видалити дані) можуть призвести до значних штрафів відповідно до GDPR (наприклад, $16,4 млн у справі Deutsche Wohnen) і, швидше за все, відповідно до законопроєкту, коли він вступить у силу.