De grundlæggende principper for behandling af personoplysninger er defineret i GDPR's artikel 5 og udgør fundamentet for al lovlig behandling af persondata i EU. Disse principper er:
1. Lovlighed, rimelighed og gennemsigtighed
Personoplysninger skal "behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede." Dette betyder, at databehandlingen skal have et gyldigt retsgrundlag, være fair over for den registrerede og ske på en åben og forståelig måde. GDPR 5
2. Formålsbegrænsning
Personoplysninger må kun "indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål." Der findes dog undtagelser for videnskabelige, historiske og statistiske formål. GDPR 5
3. Dataminimering
Data skal være "tilstrækkelige, relevante og begrænset til, hvad der er nødvendigt i forhold til de formål, hvortil de behandles." Dette princip tilskynder til at begrænse mængden af indsamlede personoplysninger til det absolut nødvendige. GDPR 5
4. Rigtighed
Personoplysninger skal være "korrekte og om nødvendigt ajourførte", og der skal tages ethvert rimeligt skridt for at sikre, at urigtige oplysninger straks slettes eller berigtiges. GDPR 5
5. Opbevaringsbegrænsning
Data må kun opbevares "på en sådan måde, at det ikke er muligt at identificere de registrerede i et længere tidsrum end det, der er nødvendigt" til formålet med behandlingen. GDPR 5
6. Integritet og fortrolighed
Personoplysninger skal "behandles på en måde, der sikrer tilstrækkelig sikkerhed for de pågældende personoplysninger, herunder beskyttelse mod uautoriseret eller ulovlig behandling og mod hændeligt tab, tilintetgørelse eller beskadigelse." GDPR 5
7. Ansvarlighed
Det sidste princip, ansvarlighed, betyder at "den dataansvarlige er ansvarlig for og skal kunne påvise, at stk. 1 overholdes." Dette kræver, at organisationer ikke blot overholder reglerne, men også kan dokumentere deres overholdelse. GDPR 5
Disse principper udgør kernen i GDPR og skal efterleves ved al behandling af personoplysninger. For at en behandling er lovlig, skal den opfylde et af de lovlige behandlingsgrundlag, som er fastsat i GDPR artikel 6, såsom samtykke, kontraktlig nødvendighed eller legitim interesse. GDPR 6
Virksomheder og personer omfattet af loven, der ønsker at etablere en filial eller et repræsentationskontor i et land, der er opført på Europa-Kommissionens liste over højrisikotredjelande, skal meddele dette til den myndighed, der påser virksomhedens eller personens overholdelse af denne lov, sammen med følgende oplysninger:
I hvilket land filialen eller repræsentationskontoret ønskes etableret.
En beskrivelse af filialens eller repræsentationskontorets virksomhed, herunder oplysninger om organisation, og de planlagte aktiviteter.
Filialens eller repræsentationskontorets adresse.
Navnene på filialens eller repræsentationskontorets ledelsesmedlemmer.
Stk. 2. Den myndighed, der påser virksomhedens eller personens overholdelse af denne lov, kan forbyde virksomheden eller personen at etablere filialer eller repræsentationskontorer i et land, der er opført på Europa-Kommissionens liste over højrisikotredjelande.
Stk. 3. Den myndighed, der påser virksomhedens eller personens overholdelse af denne lov, kan fastsætte regler om, at virksomheden eller personen skal tage højde for, at den pågældende filial eller det pågældende repræsentationskontor vil komme til at ligge i et land, der ikke har tilstrækkelige ordninger til forebyggelse af hvidvask og finansiering af terrorisme.
§ 24, stk. 1 og 2, i den gældende hvidvasklov indeholder krav til virksomheder, der har filialer og datterselskaber i tredjelande.
Den foreslåede § 31 vedrører virksomheder, der driver virksomhed i andre lande. Bestemmelsen er nyaffattet. Lovforslagets § 31 fastsætter som noget nyt, at virksomheder, der driver virksomhed i et EU- eller EØS-land, skal sikre, at den etablerede virksomhed overholder de nationale bestemmelser i det pågældende land om hvidvask og finansiering af terrorisme. De særlige krav til virksomheder, der har filialer og datterselskaber i tredjelande, videreføres med sproglige ændringer, dog således at de suppleres med krav om, at det skal sikres, at filialen eller datterselskabet i tredjelandet overholder krav om databeskyttelse.
Den foreslåede bestemmelse gennemfører artikel 45, stk. 2-3, og stk. 5 i 4. hvidvaskdirektiv.
Det foreslås i stk. 1, at virksomheder, der driver virksomhed i et andet EU- eller EØS-land, skal sikre, at den etablerede virksomhed overholder de nationale bestemmelser i det pågældende land om hvidvask og finansiering af terrorisme.
En virksomhed kan drive virksomhed ved f.eks. at etablere en filial, men også andre former for virksomhedsdrift er omfattet, som f.eks. agenter af pengeoverførselsvirksomheder.
Virksomheder, der driver virksomhed i et andet EU- eller EØS-land, skal sikre, at den etablerede virksomhed overholder de nationale regler i det pågældende land om forebyggende foranstaltninger mod hvidvask og finansiering af terrorisme. Dette kan ske ved at sikre, at den etablerende virksomheds politikker, procedurer og kontroller om risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af medarbejdere og intern kontrol overholder de nationale bestemmelser i etableringslandet. Ud over dette skal der med passende intervaller udføres kontrol med, at politikker, procedurer og kontroller overholdes i den etablerede virksomhed. Dette kan virksomheden gøre f.eks. ved at udtage stikprøver af etablerede forretningsforbindelser, gennemsyn af underretninger m.v. Virksomheder kan også foretage kontrolbesøg i etablerede virksomheder for på denne måde at kontrollere, at de etablerede virksomheder overholder de nationale bestemmelser.
Bestemmelsens anvendelsesområde er alene virksomheder, der driver virksomhed omfattet af 4. hvidvaskdirektiv. Virksomheder har dermed ikke en forpligtelse i forhold til anden form for virksomhed, f.eks. en enhed, der alene varetager interne HR-opgaver. Der henvises i øvrigt til den foreslåede § 9.
Overtrædelse af bestemmelsen er strafbelagt, jf. forslaget til § 71, stk. 1, 2. pkt. og stk. 2. Ansvarssubjekterne for overtrædelse af § 31, stk. 1, er virksomheder, der driver virksomhed i et andet EU- eller EØS-land. Den strafbare handling består i ikke at sikre, at en virksomhed drevet i et andet EU- eller EØS-land overholder det pågældende lands bestemmelser om hvidvask og terrorfinansiering. Et eksempel på overtrædelse af bestemmelsen er en virksomhed, der via en agent driver pengeoverførselsvirksomhed i Tyskland uden at sikre, at agenten opfylder den tyske regulerings forebyggende foranstaltninger mod hvidvask og terrorfinansiering
Det forslås i stk. 2, at virksomheder, der har filialer eller majoritetsejede datterselskaber, der er etableret i et andet land end et EU- eller EØS-land, hvor kravene til bekæmpelse af hvidvask og finansiering af terrorisme er lempeligere end kravene i denne lov, skal sikre, at filialen eller det majoritetsejede datterselskab opfylder de krav, der stilles til virksomheden i henhold til denne lov og krav om databeskyttelse, i det omfang det ikke strider mod national ret i det land, hvor filialen eller det majoritetsejede datterselskab er etableret. Bestemmelsen gennemfører artikel 45, stk. 3, i 4. hvidvaskdirektiv.
I tilfælde, hvor kravene er højere i et tredjeland end kravene i dette lovforslag, skal den forpligtede virksomhed ikke foretage sig yderligere for at opfylde denne bestemmelse. Der henvises dog til den foreslåede § 9 om koncerner.
Overtrædelse af bestemmelsen er strafbelagt, jf. forslaget til § 71, stk. 1, 2. pkt. og stk. 2. Ansvarssubjekterne for overtrædelse af § 31, stk. 2, er virksomheder, der har filialer eller majoritetsejede datterselskaber, der er beliggende i et land uden for den Europæiske Union eller i et land, som Unionen ikke har indgået aftale med på det finansielle område. Den strafbare handling består i, at virksomheden ikke sikrer, at filialen eller det majoritetsejede datterselskab opfylder de krav, der stilles til virksomheden i henhold til hvidvaskloven og kravene om databeskyttelse i Danmark, at virksomheden ikke træffer yderligere foranstaltninger, hvis kravene i national ret ikke tillader gennemførelse af kravene i hvidvaskloven, samt at virksomheden ikke underretter den myndighed, der påser virksomhedens overholdelse af denne lov. Et eksempel på overtrædelse af bestemmelsen er et pengeinstitut, der etablerer en filial i Kina, og pengeinstituttet, et år efter filialen har påbegyndt udlånsvirksomhed, ikke har kontrolleret, at filialen opbevarer oplysninger i overensstemmelse med forslaget til § 30, stk. 1.
Det foreslås i stk. 3, at såfremt national ret i et land, der ikke er et EU- eller EØS-land, ikke tillader gennemførelse af kravene i denne lov, jf. stk. 2, skal virksomheden træffe yderligere foranstaltninger for at sikre, at risikoen for hvidvask og finansiering af terrorisme i filialen eller dattervirksomheden imødegås på anden måde. Tillader lovgivningen i det pågældende land ikke overholdelse af kravene i denne lov, underretter virksomheden den myndighed, der påser virksomhedens overholdelse af denne lov, jf. kapitel 15, herom.
Artikel 45, stk. 7, i 4. hvidvaskdirektiv fastlægger, at Europa-Kommissionen tillægges beføjelse til at vedtage reguleringsmæssige tekniske standarder med henblik på at præcisere arten af de yderligere foranstaltninger, jf. ovenfor, der skal træffes for at sikre, at risikoen for hvidvask og finansiering af terrorisme i filialen eller dattervirksomheden imødegås på anden måde, hvis tredjelandets nationale ret ikke tillader gennemførelse af de foranstaltninger.
Der kan i henhold til den foreslåede § 63 fastsættes regler om skriftlig kommunikation til eller fra Finanstilsynet eller Erhvervsstyrelsen og dermed også fastsættes regler om, hvordan denne underretning skal foretages.
Underretningen skal foretages, uanset om virksomheden har iværksat foranstaltninger, hvorefter virksomheden vurderer, at risikoen for hvidvask og finansiering af terrorisme i filialen eller dattervirksomheden er imødekommet på anden måde. Den relevante tilsynsmyndighed vurderer herefter, om det er nødvendigt at iværksætte yderligere tilsynsforanstaltninger, jf. stk. 3, eller om tilsynsmyndigheden vurderer, at risikoen er imødekommet.
