Bank & Finans IP & Technology

Transkript

1 Den 7. november 2013 Nyhedsbrev Bank & Finans IP & Technology Forslag til obligatoriske interne whistleblowerordninger i finansielle virksomheder Finanstilsynet sendte den 15. august 2013 forslag til lov om ændring af lov finansiel virksomhed mv. i høring ( Lovforslaget ). Lovforslaget stiller krav om, at virksomheder, der er underlagt Finanstilsynets tilsyn, skal etablere en intern whistleblowerordning. Hidtil har det været frivilligt, om en virksomhed ønskede at etablere en whistleblowerordning. Lovforslaget implementerer det fjerde kapitalkravsdirektiv (også omtalt som CRD IV ) i dansk ret. CRD IV forpligter de europæiske medlemsstater til at indføre reviderede kapitalkrav for kreditinstitutter og fondsmæglerselskaber samt indføre bestemmelser, som styrker ledelsen i virksomhederne. Etableringen af interne whistleblowerordninger udgør et element heri. 1 Under Lovforslaget skal alle finansielle virksomheder ved lovens forventede ikrafttræden den 1. januar 2014 have etableret en intern whistleblowerordning. Der er dog indgået et politisk forlig af 10. oktober 2013, hvorefter Erhvervs- og Vækstministeren bemyndiges til at fastsætte ikrafttrædelsesdatoen for etablering af interne whistleblowerordninger. Dette er sket for at give virksomhederne tilstrækkelig tid til at etablere whistleblowerordningerne, herunder opnå godkendelse fra Datatilsynet. Finanstilsynet har oplyst overfor os, at ikrafttrædelsesdatoen forventes udskudt til 1. kvartal I forhold til CRD IV udvider Lovforslaget anvendelsesområdet for, hvilke virksomheder, der skal etablere en intern whistleblowerordning, idet Lovforslaget opfatter alle virksomheder, der er under Finanstilsynets tilsyn. Baggrunden for udvidelsen er, at Danmark herved imødekommer forventede krav i kommende EU-direktiver på det finansielle område f.eks. MiFiD II, UCITS V og IMD II m.fl. Kravet om etablering af interne whistleblowerordninger skal sikre, at de ansatte, herunder direktionen, og medlemmer af bestyrelsen, anonymt kan indberette konkrete eller potentielle overtrædelser af den finansielle regulering via en særlig, uafhængig og selvstændig kanal. 1 Lovforslaget har bl.a. til formål at gennemføre Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 ( CRD IV ), artikel 71, stk. 3, vedrørende krav om etablering af interne whistleblowerordninger i pengeinstitutter, realkreditinstitutter og fondsmæglerselskaber.

2 Side 2 Interne whistleblowerordninger skal medvirke til, at ledelsen i de finansielle virksomheder kan foregribe eller reagere på overtrædelser af den finansielle regulering på grundlag af indberetninger fra virksomhedens ansatte, direktion eller medlemmer af bestyrelsen. Samtidig er forventningen til interne whistleblowerordninger, at disse vil have en præventiv effekt i forhold til overtrædelser af den finansielle regulering. Yderligere forventes den tilskyndelse til indberetning af uregelmæssigheder, der ligger i ordningerne, generelt at bidrage til, at virksomhederne vil kunne reagere og sætte ind på et tidligere tidspunkt. Lovforslagets krav til interne whistleblowerordninger ændrer som udgangspunkt ikke den eksisterende regulering af whistleblowerordninger. Persondataloven skal fortsat iagttages ved etableringen og driften af ordningen. Selve Lovforslaget fraviger dog den almindelige praksis i relation til hvilke forseelser, der må indberettes. Under almindelige/ikke-lovbestemte whistleblowerordninger må der kun ske indberetning i tilfælde, hvor der er tale om alvorlige forseelser eller mistanke herom, der kan få betydning for koncernen eller selskabet som helhed, eller som kan have afgørende betydning for enkeltpersoners liv eller helbred, f.eks. alvorlig økonomisk kriminalitet, bedrageri, dokumentfalsk og lign. I modsætning hertil lægger Lovforslaget op til, at der skal kunne indberettes om overtrædelser eller potentielle overtrædelser af den finansielle regulering, selvom der er tale om mindre alvorlige forseelser, herunder overtrædelser, der ikke er af afgørende betydning for koncernen eller virksomheden som helhed. Det kan f.eks. være tilfælde, som alene kan medføre et påbud eller en påtale fra Finanstilsynet. Høringsfristen udløb den 12. september Det fulde lovforslag med bemærkninger kan læses på Høringsportalen. Finanstilsynet har oplyst overfor os, at Lovforslaget vil blive fremsat i januar Indholdet af Lovforslaget Det følger af Lovforslaget, at de omfattede virksomheder skal etablere en intern whistleblowerordning, hvor virksomhedens ansatte, herunder direktionen, og medlemmer af bestyrelsen, anonymt kan indberette konkrete og potentielle overtrædelser af den finansielle regulering gennem en særlig, uafhængig og selvstændig kanal. Ved en særlig, uafhængig og selvstændig kanal menes en enhed, der er uafhængig af selskabets daglige ledelse. Dette kan for eksempel være en complianceansvarlig i virksomheden eller ekstern databehandler, herunder et advokatfirma eller anden ekstern leverandør med særlig ekspertise på området. Indberetningerne kan endvidere foretages via kollektiv overenskomst. I praksis betyder det, at arbejdsmarkedets parter efter aftale med virksomhederne har mulighed for at etablere en intern whistleblowerordning i et fagforbund. Indberetning om en overtrædelse skal kunne ske i fuld fortrolighed og uden indblanding af vedkommendes overordnede. Som udgangspunkt må indberettede oplysninger kun være tilgængelige for den enhed, der modtager oplysningerne og skal gennemføre undersøgelsen.

3 Side 3 Foretager medlemmer af direktionen eller bestyrelsen indberetningen, vil dette ikke udgøre brud på den tavshedspligt, som vedkommende er underlagt i blandt andet lov om finansiel virksomhed, værdipapirhandelsloven og selskabsloven. CRD IV lægger op til indførelse af en særlig medarbejderbeskyttelse, idet medlemsstaterne forpligtes til at sikre en passende beskyttelse af de ansatte (i pengeinstitutter og realkreditinstitutter og fondsmæglerselskaber), der indberetter overtrædelserne. Til varetagelse af dette krav, følger af Lovforslaget et forbud mod at ansatte udsættes for ufordelagtig behandling som følge af, at vedkommende har indberettet overtrædelser til Finanstilsynet eller til en intern ordning i en virksomhed omfattet af reglerne. Sådan ufordelagtig behandling kan bl.a. omfatte repressalier, diskrimination eller anden uretfærdig behandling, f.eks. i form af afskedigelse, degradering, forflyttelse eller forbigåelse og lignende. Overtrædelse kan sanktioneres i form af godtgørelse. Dette princip er velkendt indenfor arbejdsretten, men udgør en nyskabelse indenfor det finansielle område. Godtgørelsen skal fastsættes med udgangspunkt i praksis efter lov om forbud mod forskelsbehandling på arbejdsmarkedet mv. Bestemmelserne om fortrolighed og krav på godtgørelse vil ikke kunne fraviges til ugunst for den ansatte. Procedure for Datatilsynets godkendelse af whistleblowerordningen Etablering af en intern whistleblowerordning medfører, at der sker behandling af følsomme personoplysninger (oplysninger om strafbare eller mulige strafbare forhold) omfattet af persondataloven. Ordningerne skal derfor godkendes af Datatilsynet. På baggrund af Lovforslagets forventede ikrafttrædelsestidspunkt i 1. kvartal af 2014, har Datatilsynet indført en særlig ansøgningsprocedure for finansielle virksomheder for, at Datatilsynet rettidigt kan færdigbehandle ansøgninger om tilladelse til behandling af følsomme personoplysninger inden Lovforslagets ikrafttræden. 2 Denne ansøgningsprocedure udgør et frivilligt alternativ til den almindelige ansøgningsprocedure om tilladelse til whistleblowerordninger. Det bemærkes dog, at den særlige ansøgningsprocedure kun gælder for virksomheder omfattet af CRD IV, hvorimod andre finansielle virksomheder omfattet af Lovforslaget ikke kan benytte ansøgningsproceduren. Den særlige ansøgningsprocedure forudsætter anvendelse af en særlig blanket, der findes på Datatilsynets hjemmeside. Den udfyldte blanket skal indsendes til Datatilsynet senest den 15. januar Indsendes blanketten senere end denne dato, kan det ikke forventes, at Datatilsynet vil kunne meddele tilladelsen inden Lovforslagets ikrafttræden. 2 Den særlige ansøgningsprocedure omfatter ikke behandling af følsomme personoplysninger i forbindelse med virksomhedens personaleadministration. Her må i stedet ske særskilt godkendelse efter de almindelige ansøgningsregler. Ansøgningen skal indsendes til Datatilsynet inden den 8. november Indsendes ansøgningen senere end denne dato, kan det ikke forventes, at Datatilsynet vil kunne meddele tilladelsen inden Lovforslagets ikrafttræden.

4 Side 4 Ansøgning om etablering af whistleblowerordningen skal enten ske efter en begrænset ordning eller udvidet ordning. Den begrænsede ordning omfatter etablering af en intern whistleblowerordning, hvor der alene kan indberettes overtrædelser af den finansielle regulering, hvorimod den udvidede ordning omfatter almindelige whistleblowerordninger, som dog tillige dækker Lovforslagets krav til etablering af en intern whistleblowerordning. Virksomheden skal i forbindelse med såvel den begrænsede ordning som den udvidede ordning benytte standardanmeldelser, der ligeledes findes på Datatilsynets hjemmeside. Standardanmeldelserne har på forhånd udfyldt en række forhold, som virksomheden ikke kan ændre. Det gælder bl.a. formål og beskrivelse af ordningen, typer af oplysninger, der kan behandles, kategorier af personer, der kan indberette oplysninger under ordningen og personer, der kan indberettes oplysninger om. I standardanmeldelsen skal den finansielle virksomhed angive, hvem der er dataansvarlig for behandling af personoplysninger, og hvem der udgør eventuelle databehandlere. Indgår selskabet ikke i en koncern, vil selskabet være dataansvarlig. Indgår selskabet i en koncern må det vurderes, hvilket selskab indenfor koncernen, der er dataansvarlig. Derudover skal det oplyses, hvorvidt der sker overførsel af personoplysninger til tredjeland uden for EU/EØS, f.eks. i forbindelse med brug af ekstern databehandler. I så fald skal persondatalovens særlige regler om overførsel af personoplysninger til tredjelande iagttages. Når der anmeldes en whistleblowerordning, skal der betales et gebyr på kr. til Datatilsynet. Gebyret skal være indbetalt senest den 2. marts Overtrædelse af kravet til oprettelse af interne whistleblowerordninger straffes efter Lovforslaget med bøde.

5 Side 5 Michael Steen Jensen Bank & Finans D M msj@gorrissenfederspiel.com Janne Glæsel IP & Technology D M jgl@gorrissenfederspiel.com Lotte Eskesen Bank & Finans D M le@gorrissenfederspiel.com Denne orientering er ikke og kan ikke erstatte juridisk rådgivning. Gorrissen Federspiel påtager sig intet ansvar for skader eller tab, der direkte eller indirekte kan henføres til brugen af orienteringen.