Bekendtgørelse af lov om betalinger § 39a

§§ 26-29 og § 39 m i lov om betalingstjenester og elektroniske penge bestemmer, at et betalingsinstitut eller e-pengeinstitut, der har til hensigt at outsource driftsmæssige funktioner skal meddele Finanstilsynet herom. Hvor instituttet påtænker at outsource væsentlige driftsmæssige funktioner må dette kun ske med Finanstilsynet tilladelse.

Med forslaget til § 39 sker der en nyaffattelse af §§ 26-29 og § 39 m, i lov om betalingstjenester og elektroniske penge, idet bestemmelserne skrives sammen, og tilladelseskravet i forbindelse med outsourcing af væsentlige driftsmæssige aktiviteter, erstattes af en underretningsforpligtelse. Hermed er det hensigten at sænke de administrative byrder for e-pengeinstitutterne og betalingsinstitutterne såvel som for Finanstilsynet.

Derudover gives erhvervsministeren hjemmel til at fastsætte nærmere regler om e-pengeinstitutters og betalingsinstitutters outsourcing af væsentlige driftsmæssige aktiviteter. Hjemlen vil blive udnyttet til at fastsætte en bekendtgørelse, der i sin væsentlighed skal afspejle reglerne i bekendtgørelse nr. 1304 af 30. november 2010 om outsourcing af væsentlige aktivitetsområder (herefter outsourcingbekendtgørelsen). Derved sikres det, at e-pengeinstitutter og betalingsinstitutter bliver omfattet af sammenlignelige regler om outsourcing af væsentlige aktiviteter, som de øvrige finansielle virksomheder, i modsætning til i dag, hvor der gælder separate regler om outsourcing for e-pengeinstitutter og betalingsinstitutter.

Lovforslagets § 39 gennemfører 2. betalingstjenestedirektivs regler om anvendelse af outsourcing, i artikel 19, stk. 6, artikel 20, stk. 1, og artikel 28, stk. 1, 2. pkt.

Det foreslås i stk. 1, at et e-pengeinstitut eller betalingsinstitut kun må outsource væsentlige driftsmæssige funktioner når en række betingelser er opfyldt. Disse betingelser behandles særskilt nedenfor.

I overensstemmelse med artikel 19, stk. 6, i 2. betalingstjenestedirektiv forstås en driftsmæssig funktion som væsentlig, hvis en fejl eller et svigt i gennemførelsen af funktionen i væsentlig grad vil forringe instituttets overholdelse af de krav, der stilles i forbindelse med instituttets tilladelse, eller dets øvrige forpligtelser efter denne lov, regler udstedt i medfør heraf og bestemmelser indeholdt i Den Europæiske Unions forordninger for de områder af loven, som Finanstilsynet fører tilsyn med, dets driftsmæssige resultat eller instituttets soliditet eller fortsatte beståen.

Som udgangspunkt vil funktioner således blive betragtet som væsentlige, hvis beslutningen om outsourcing går ud over, hvad direktionen normalt kan beslutte, uden mandat fra bestyrelsen, under hensyn til virksomhedens art og størrelse. Outsourcing af opgaver, som kan have betydning for betalingstjenestens driftsmæssige funktioner, kan derimod godt være af ikke-væsentlig karakter, og vil derved ikke være omfattet af bestemmelsen. Dette kan eksempelvis omfatte: Juridisk rådgivning, uddannelse af medarbejdere, fakturering og bogholderi samt operationelle funktioner, der ikke har betydning for brugere af betalingstjenester, såsom kantinedrift og rengøring.

Det foreslås i stk. 1, nr. 1, at et e-pengeinstitut eller betalingsinstitut kun må outsource væsentlige driftsmæssige funktioner når instituttet har underrettet Finanstilsynet om outsourcingen.

Ifølge artikel 19, stk. 6, 1. pkt., i 2. betalingstjenestedirektiv skal et e-pengeinstitut eller betalingsinstitut som påtænker at outsource driftsmæssige funktioner underrette den nationale kompetente myndighed om dette. Det følger endvidere af artikel 19, stk. 6, 4. pkt., at medlemslandene skal sikre, at betalingsinstitutter kun må outsource væsentlige driftsmæssige funktioner, når kravene i artikel 19, stk. 6, litra a-d, er overholdt.

Ved at pålægge e-pengeinstitutter og betalingsinstitutter et underretningskrav i forhold til Finanstilsynet ved outsourcing af væsentlige driftsaktiviteter sikres det, at Finanstilsynet har mulighed for at påse, at et e-pengeinstitut eller betalingsinstitut ikke outsourcer driftsmæssige aktiviteter på en måde, som ikke er i overensstemmelse med direktivet.

Det følger af forslaget til stk. 3, at erhvervsministeren fastsætter nærmere regler vedrørende e-pengeinstitutters og betalingsinstitutters outsourcing af væsentlige driftsmæssige funktioner. Dette indebærer blandet andet, at erhvervsministeren fastsætter en frist for den i stk. 1, nr. 1, nævnte underretning.

Det foreslås i stk. 1, nr. 2, at et e-pengeinstitut eller betalingsinstitut kun må outsource væsentlige driftsmæssige funktioner når outsourcingen ikke i væsentlig grad forringer kvaliteten af instituttets interne kontrol eller Finanstilsynets mulighed for at overvåge, om instituttet opfylder alle forpligtelserne i denne lov.

Det følger af artikel 19, stk. 6, 2. pkt., i 2. betalingstjenestedirektiv, at væsentlige driftsmæssige funktioner, herunder it-systemer, ikke må outsources på en måde, der i væsentlig grad forringer kvaliteten af instituttets interne kontrol og de nationale kompetente myndigheders mulighed for at kunne overvåge, om betalingsinstituttet opfylder alle forpligtelserne i direktivet.

Outsourcingen må ikke i væsentlig grad forring Finanstilsynets mulighed for at overvåge, at instituttet overholder denne lov. Bestemmelsen medfører således, at outsourcingkontrakten, som indgås mellem instituttet og leverandøren skal indeholde en række krav, som blandt andet skal fastslå, at leverandøren skal give Finanstilsynet alle de nødvendige oplysninger om de outsourcede opgaver i forbindelse med Finanstilsynets tilsyn med instituttet, ligesom Finanstilsynet skal have adgang til leverandøren mod behørig legitimation i forbindelse med Finanstilsynets tilsyn med instituttet.

Derudover må outsourcingen ikke indebære, at instituttets egen intern kontrol i væsentlig grad forringes. Dette indebærer blandet andet, at instituttet og dets revisorer skal have adgang til alle nødvendige oplysninger om de outsourcede opgaver, ligesom instituttet bør sikre sig, at leverandøren overholder de relevante dele af instituttets it-sikkerhedspolitik, hvor der sker outsourcing af it-systemer.

Instituttet bør have interne retningslinjer, som sikrer, at opgavevaretagelsen ved outsourcingen foregår betryggende. De bør eksempelvis indeholde procedurer for, hvordan instituttet sikrer sig, at leverandøren lever op til forpligtelserne i kontrakten og aktiviteterne udføres tilfredsstillende. Procedurerne skal endvidere sikre, at outsourcingen ikke forhindrer gennemførelsen af instituttets beredskabsplaner.

Det foreslås i stk. 1, nr. 3, et e-pengeinstitut eller betalingsinstitut kun må outsource væsentlige driftsmæssige funktioner når outsourcingen ikke medfører, at den daglige ledelse delegerer sit ansvar.

Ifølge artikel 19, stk. 6, litra a, i 2. betalingstjenestedirektiv må et institut ikke outsource væsentlige driftsmæssige aktiviteter, hvis det medfører, at instituttets øverste ledelse delegerer sit ansvar. Ved øverste ledelse forstås i denne sammenhæng, bestyrelsen og direktionen i instituttet. Som udgangspunkt bør det således være bestyrelsen i et e-pengeinstitut eller betalingsinstitut, som træffer beslutning om outsourcing af væsentlige driftsmæssige funktioner.

Outsourcingen må ikke medføre, at den daglige ledelse delegere sit ansvar. Det betyder, at ledelsen i instituttet skal sikre, at der er tilstrækkelig kontrol med leverandøren og at leverandøren har den nødvendige evne og kapacitet til at udføre opgaverne, samt at der sker en tilstrækkelig rapportering til ledelsen om de outsourcede aktiviteter.

Ledelsen bør endvidere sikre at indgåelse af outsourcingkontrakten ikke medfører, at instituttet ikke kan leve op til denne lov eller reglerne udstedt i medfør heraf. Ledelsen bør endvidere sikre, at outsourcingkontrakten ikke indeholder forhold, som forhindrer, at instituttet har en tilstrækkelige indsigt i og kontrol med, at leverandøren leverer den aftalte ydelse. Dette er særligt relevant for kontrol med og håndteringen af en eventuel videreoutsourcing og håndtering af opgaveoverdragelse eller -tilbagelevering i forbindelse med ophør af aftalen, uanset årsagen til aftaleophøret.

Det foreslås i stk. 1, nr. 4, at et e-pengeinstitut eller betalingsinstitut kun må outsource væsentlige driftsmæssige funktioner når instituttets forhold til og forpligtelser over for sine brugere i henhold til denne lov ikke ændres.

Det følger af artikel 19, stk. 6, litra b, i 2. betalingstjenestedirektiv, at outsourcingen ikke må medføre, at instituttet ikke længere vil kunne leve op til sine forpligtelser over for sine brugere.

For at sikre, at instituttet stadig kan leve op til sine forpligtelser over for sine brugere i henhold til denne lov, skal instituttet således sikre, at leverandøren har nødvendige evne og kapacitet til at kunne varetage de outsourcede opgaver på en tilfredsstillende måde. Dette skal sikre, at instituttet ikke outsourcer opgaver til leverandører, som ikke har tilstrækkelig kapacitet, således at instituttet ikke kan sikre tilgængelighed af de udbudte løsninger i henhold til instituttets forpligtelser over for dets brugere.

Det foreslås i stk. 1, nr. 5, at et e-pengeinstitut eller betalingsinstitut kun må outsource væsentlige driftsmæssige funktioner når de betingelser, som instituttet skal opfylde for at blive meddelt tilladelse og bevare denne, i henhold til denne lov, fortsat opfyldes.

Det følger af artikel 19, stk. 6, og litra c, i 2. betalingstjenestedirektiv, at outsourcingen ikke må føre til, at de betingelser, som betalingsinstituttet skal opfylde for at blive meddelt tilladelse og bevare denne i overensstemmelse med direktivet, ikke længere kan opfyldes.

Lovforslagets §§ 10 og 11 fastsætter, hvilke betingelser et institut skal leve op til, for at blive meddelt tilladelse. I forbindelse med outsourcing af væsentlige aktiviteter skal instituttets interne retningslinjer derfor sikre, at opgavevaretagelsen ved outsourcing foregår betryggende, herunder ved, at der etableres procedurer om, at instituttet via kontrakten skal sikre sig, at leverandøren overholder de relevante dele af instituttets sikkerhedspolitik og sikkerhedsregler, således, at kravene, der fremgår lovforslagets § 25 overholdes. Det omfatter som udgangspunkt instituttets it-sikkerhedspolitik, men også i de tilfælde hvor eksempelvis opgaver vedrørende forebyggelse af hvidvask og terrorfinansiering outsources bør det sikres, at instituttets politik og procedurer på dette område overholdes, ligesom det kan være relevant i forhold til instituttets politik for behandling af personoplysninger.

Det foreslås i stk. 1, nr. 6, at et e-pengeinstitut eller betalingsinstitut kun må outsource væsentlige driftsmæssige funktioner når ingen af de betingelser, som lå til grund for meddelelsen af tilladelsen må ophæves eller ændres.

Det følger af artikel 19, stk. 6, litra d, i 2. betalingstjenestedirektiv, at outsourcingen ikke må medføre, at ingen af de øvrige betingelser, som lå til grund for meddelelsen af tilladelse, må ophæves eller ændres.

Hvis Finanstilsynet i forbindelse med tildelingen af tilladelse som e-pengeinstitut eller betalingsinstitut har stillet betingelser herfor, må outsourcingen ikke medføre, at disse betingelser må ændres eller ophæves. Det kan eksempelvis omfatte en situation, hvor Finanstilsynet, jf. lovforslagets § 10, stk. 3, har besluttet, at betalingstjenestevirksomheden skal udøves i et særskilt selskab.

Det foreslås i stk. 2, at Finanstilsynet kan træffe afgørelse om, at instituttets outsourcing skal bringes til ophør inden for en af Finanstilsynet nærmere fastsat frist, hvis outsourcingkontrakten eller dennes parter ikke opfylder reglerne fastsat i medfør af stk. 1.

Det følger af artikel 19, stk. 6, 2. pkt., at medlemsstaterne skal sikre, at outsourcing af væsentlige driftsmæssige funktioner kun må ske når de i artikel 19, stk. 6, litra a-d, oplistede forhold er opfyldt. Ved at tildele Finanstilsynet hjemmel til at påbyde, at outsourcingen skal bringes til ophør, såfremt disse krav ikke er opfyldt sikres det, at Finanstilsynet har den nødvendige kompetence til at sikre efterlevelse af direktivet.

Påbud om ophør af outsourcing kan komme på tale både i tilfælde, hvor outsourcingkontrakten ikke lever op til kravene i stk. 1, eller reglerne udstedt i medfør af stk. 3, eller hvor det konstateres, at kontraktens parter ikke efterlever kravene i stk. 1, eller reglerne udstedt i medfør af stk. 3. Inden Finanstilsynet træffer en sådan afgørelse, skal Finanstilsynet give instituttet mulighed for at få forholdene bragt på plads, medmindre instituttet gentagne gange har overtrådt kravene, eller hvis Finanstilsynet skønner, at en udsættelse af afgørelsen er formålsløs. Ved fastsættelsen af fristen skal der tages hensyn til de alvorlige følgevirkninger, der kan være ved, at instituttet i utide skal bringe outsourcingaktiviteten til ophør, og efter omstændighederne kan der tages hensyn til den tid, det tager virksomheden at kontrahere til anden side. Afgørende er, at aktiviteten bliver bragt til ophør, og det er således overladt til instituttet selv at afgøre, om den i samme forbindelse vil opsige eller ophæve kontrakten med leverandøren.

I medfør af lovforslagets § 129, stk. 2, der henviser til § 345, i lov om finansiel virksomhed, herunder § 345, stk. 7, nr. 4, træffer Finanstilsynets bestyrelse afgørelse i sager af principiel karakter og i sager, der har videregående betydelige følger for et institut.

Det foreslås i stk. 3, at erhvervsministeren fastsætter nærmere regler vedrørende e-pengeinstitutters og betalingsinstitutters outsourcing af væsentlige driftsmæssige funktioner, jf. stk. 1.

Med bestemmelsen tildeles erhvervsministeren hjemmel til at fastsætte nærmere regler om e-pengeinstitutter og betalingsinstitutters outsourcing af væsentlige aktiviteter, herunder om underretning til Finanstilsynet. Ifølge nugældende lov om betalingstjenester og elektroniske penge skal e-pengeinstitutter og betalingsinstitutter søge Finanstilsynet om tilladelse til at outsource væsentlige driftsaktiviteter. Finanstilsynet kan give tilladelse under visse betingelser. I praksis har disse regler givet anledning til en del uklarhed og administrative byrder for institutterne såvel som for Finanstilsynet.

Med hjemlen er det således hensigten, at erhvervsministeren i bekendtgørelsesform kan fastsætte regler i lighed med dem, der er fastsat i outsourcingbekendtgørelsen. Det medfører blandt andet, at tilladelseskravet erstattes af et underretningskrav, som bekendtgørelsen vil fastsætte nærmere krav til, og at indholdet af kravene i stk. 1, specificeres nærmere heri. Herudover vil det i bekendtgørelsen blive uddybet hvad kravene til instituttets ansvar og kontrol med en leverandør indebærer, hvilke krav der vil være til indholdet af outsourcingkontrakten, samt hvilke krav der gælder ved håndteringen af videreoutsourcing. Derudover vil bekendtgørelse fastsætte nærmere krav til instituttets interne retningslinjer om outsourcingen.

Med ændringen af § 39 skal det sikres, at reglerne om outsourcing af væsentlige aktiviteter harmoniseres på tværs af den finansielle sektor, så der gælder enslydende regler for de forskellige typer af finansielle virksomheder, som udbyder de samme produkter. Dette vil eksempelvis betyde, at et pengeinstitut og et betalingsinstitut, som begge udsteder betalingskort pålægges de samme krav for så vidt angår outsourcing af væsentlige aktiviteter.