Bekendtgørelse af lov om betalinger § 25

§ 19 i lov om betalingstjenester og elektroniske penge fastsætter en række krav til ledelse og indretningen af virksomheden for e-pengeinstitutter og betalingsinstitutter, som skal sikre at virksomheden har effektive former for virksomhedsstyring. Bestemmelsen svarer til § 71 i lov om finansiel virksomhed.

Med forslaget til § 25 sker en nyaffattelse af § 19 i lov om betalingstjenester og elektroniske penge, § 19, stk. 1-8 videreføres med redaktionelle ændringer og stk. 9 nyaffattes med henblik på at kravene til kontrol- og sikkerhedsforanstaltningerne på it-området lever op til det nye direktivs bestemmelser.

Bestemmelsen gennemfører dele af artikel 11, stk. 2 og 4, samt artikel 5, stk. 1, litra e-l, i 2. betalingstjenestedirektiv, og fastslår, at et betalingsinstitut eller e-pengeinstitut skal have effektive former for virksomhedsstyring.

Forslagets skal ses i sammenhæng med lovforslagets § 10, stk. 1, nr. 7, der fastslår, at e-pengeinstitut eller betalingsinstituttet skal have forsvarlige og effektive organisatoriske strukturer, forretningsgange og procedurer, samt lovforslagets § 11, stk. 1, nr. 10-17, der kræver dokumentation for, at kravene er opfyldt.

Bestemmelsen har samme ordlyd som § 71, stk. 1, i lov om finansiel virksomhed, og sidstnævnte bestemmelse kan derfor anses som vejledende, idet der dog tages hensyn til betalingsinstitutters særlige forhold.

Det foreslås i nr. 1, at et e-pengeinstitut eller betalingsinstitut skal have en klar organisatorisk struktur med veldefineret gennemskuelig og konsekvent ansvarsfordeling.

Bestemmelsen indebærer, at instituttet skal sikre sig, at organisationens opbygning indrettes således, at der er klart definerede ansvars- og arbejdsområder, og at udførelse af opgaver adskilles fra kontrollen af samme. Ligeledes skal instituttet sikre, at der sker en rapportering til et højere ledelsesniveau af de risici, som instituttet påtager sig, samt at der sikres en løbende overvågning af virksomhedens forretningsområder. De omhandlede former for procedurer og mekanismer skal omfatte hele instituttet og være proportionale med arten, omfanget og kompleksitetsgraden af instituttets aktiviteter.

Det foreslås i nr. 2, at et e-pengeinstitut eller betalingsinstitut skal have hensigtsmæssige interne kontrolmekanismer, herunder en god administrativ og regnskabsmæssig praksis.

Bestemmelsen indebærer bl.a. at institutter skal have forsvarlige og hensigtsmæssige revisionsmæssige foranstaltninger. Der henvises endvidere til forslagets § 34 samt bemærkningerne hertil. Det indebærer også at virksomheden har truffet de nødvendige administrative og regnskabsmæssige foranstaltninger for at beskytte de midler, der tilhører brugerne. Der henvises endvidere til forslagets § 35 samt bemærkningerne hertil.

Det foreslås i nr. 3, at et e-pengeinstitut eller betalingsinstitut skal have skriftlige forretningsgange på alle væsentlige aktivitetsområder.

Bestemmelsen indeholder et krav om skriftlighed. Det er ikke tilstrækkeligt, at betalingsinstituttet har en fast indarbejdet praksis. Kravet om skriftelighed kan opfyldes ved at have forretningsgange på papir eller elektronisk. Instituttet skal kunne dokumentere, at forretningsgangene er godkendt af de relevante personer.

Det afhænger af det enkelte institut, hvilke aktivitetsområder der kan karakteriseres som væsentlige. Forretningsgangene skal altid omhandle de områder, som er beskrevet i bestyrelsens instruks til direktionen.

Det foreslås i nr. 4, at et e-pengeinstitut eller betalingsinstitut skal have effektive procedurer til at identificere, forvalte overvåge og rapportere om de risici, instituttet er eller kan blive udsat for.

Bestemmelsen skal ses i sammenhæng med forslaget til nr. 1. Instituttet skal således sikre, at der sker en rapportering til et højere ledelsesniveau af de risici, som instituttet påtager sig, samt at der sikres en løbende overvågning af virksomhedens forretningsområder. Derudover indebærer kravet, at instituttet foretager en løbende vurdering af de væsentligste risici, som virksomheden påtager sig, samt at bestyrelsen fastsætter en passende politik for, hvilke og hvor store risici instituttet kan og vil påtage sig. Endelig er det et krav, at der udarbejdes passende forretningsgange og procedurer, som sikre, at dette efterleves.

Det vil være op til en konkret vurdering af det enkelte institut hvilke risici, som er væsentlige. En sådan vurdering vil bl.a. bero på hvilke type betalingstjeneste, der udbydes samt virksomheden forretningsmodel.

Det foreslås i nr. 5, at et e-pengeinstitut eller betalingsinstitut skal have de ressourcer, der er nødvendige for den rette gennemførelse af dets virksomhed, og anvende ressourcerne hensigtsmæssigt.

Ved ressourcer forstås teknik, mandskab, forretningsgange m.v., der er nødvendige for at gennemføre de betalingstjenester, som virksomheden udbyder.

Betalingsinstituttet må således ikke udføre opgaver i et omfang eller af en karakter, der står i misforhold til de ressourcer, der er til rådighed. Med ordlyden »anvende disse hensigtsmæssigt« menes, at betalingsinstituttet skal anvende sine ressourcer til gavn for brugerne af betalingstjenester og således ikke udbyde betalingstjenester, som instituttet ikke har ressourcer til at gennemføre på en for brugerne tilfredsstillende måde. Herudover må det bero på en konkret vurdering af det enkelte institut, når det skal afgøres, hvad der kræves for at opfylde bestemmelsen.

Det foreslås i nr. 6, at et e-pengeinstitut eller betalingsinstitut skal haveprocedurer med henblik på adskillelse af funktioner i forbindelse med håndtering og forebyggelse af interessekonflikter.

Bestemmelsen indeholder krav om funktionsadskillelse og indebærer, at betalingsinstituttet skal organisere sig således, at forskellige funktioner og arbejdsopgaver adskilles ved passende foranstaltninger, særligt med henblik på at beskytte kunderne.

Det foreslås i nr. 7, at et e-pengeinstitut eller betalingsinstitut skal have fyldestgørende interne kontrolprocedurer.

Bestemmelsen indeholder et generelt krav om, at betalingsinstituttet skal have etableret interne kontrolprocedurer, der sikrer, at manglende overholdelse af de udarbejdede forretningsgange bliver opdaget, og at der er taget udtrykkelig stilling til, hvem der har ansvaret for at følge op på fejl og mangler. Det skal bl.a. ses i sammenhæng med forslagets § 10, stk. 1, nr. 8, der fremhæver, at virksomheden skal have indført forsvarlige procedurer og interne kontrolforanstaltninger med henblik på at opfylde forpligtelserne i henhold til lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme samt Rådets forordning om oplysninger, der skal medsendes om betaler ved pengeoverførsler.

Det foreslås i nr. 8, at et e-pengeinstitut eller betalingsinstitut skal have betryggede kontrol- og sikkerhedsforanstaltninger på it-området.

Bestemmelsen skal ses i sammenhæng med lovforslagets § 11, stk. 1, nr. 14-17. Der henvises endvidere til bemærkningerne hertil. I henhold til betragtning nr. 95 og 96 i præamblen til 2. betalingstjenestedirektiv er en tilstrækkelig sikkerhed i forbindelsen med udbuddet af elektroniske betalingsløsninger. Det har således været et særskilt formål med 2. betalingstjenestedirektiv at højne sikkerheden i forbindelse med udbuddet af betalingstjenester. Der stilles derfor med dette lovforslag øgede krav til e-pengeinstitutter og betalingsinstitutters it- og operationelle sikkerhed.

Bestemmelsen indebærer, at instituttet skal have en sikkerhedspolitik, herunder en detaljeret risikovurdering, og risikobegrænsende foranstaltninger, som skal oprethold teknisk sikkerhed og databeskyttelse, med hensyn til de(n) software- og it-systemer, der anvendes af instituttet eller de virksomheder, som instituttet har outsourcet hele eller dele af sine aktiviteter til.

Bestemmelsen indebærer endvidere, at instituttet træffer de nødvendige foranstaltninger, således at det lever op til kravene i lovforslagets §§ 125-128, samt de regler der er udstedt i medfør deraf. Der henvises endvidere til bemærkningerne herfor. Endelig medfører bestemmelsen af virksomheden skal have passende foranstaltninger til at imødegå risici for misbrug at betalingstjenesten samt misbrug af følsomme betalingsdata og personoplysninger.

Ifølge artikel 95, stk. 3, i 2. betalingstjenestedirektiv, skal EBA udarbejde retningslinjer for udbyderes håndtering af operationelle og sikkerhedsmæssige risici. Betryggende kontrol- og sikkerhedsforanstaltninger vil skulle tage højde for disse.

Ved vurdering af, om kravene i nr. 9 er overholdt, anvendes retningslinjer svarende til de opstillede retningslinjer i Finanstilsynets vejledning på it-området udstedt i medfør af lov om finansiel virksomhed § 71.

I henhold til § 151, stk. 2, i lovforslaget foreslås det, at overtrædelse af § 25, straffes med bøde.

Overtrædelse af forslagets § 25, vil omfatte den situation, hvor virksomhed ikke har effektive former for virksomhedsstyring, herunder 1) en klar organisatorisk struktur med veldefineret gennemskuelig og konsekvent ansvarsfordeling, 2) hensigtsmæssige interne kontrolmekanismer, herunder en god administrativ og regnskabsmæssig praksis, 3) skriftlige forretningsgange på alle væsentlige aktivitetsområder, 4) effektive procedurer til at identificere, forvalte, overvåge og rapportere om de risici, instituttet er eller kan blive udsat for, 5) de ressourcer, der er nødvendige for den rette gennemførelse af dets virksomhed, og til at anvende ressourcerne hensigtsmæssigt, 6) procedurer med henblik på adskillelse af funktioner i forbindelse med håndtering og forebyggelse af interessekonflikter, 7) fyldestgørende interne kontrolprocedurer og 8) betryggede kontrol- og sikkerhedsforanstaltninger på it-området. Ansvarssubjektet for overtrædelse af bestemmelsen er de virksomheder, som ikke har effektive former for virksomhedsstyring i strid med forslagets § 25.