Bekendtgørelse af lov om betalinger § 52

§§ 38, stk. 1 og § 39 q, stk. 1, i lov om betalingstjenester og elektroniske penge opregner betingelserne for, at Finanstilsynet kan give en virksomhed en begrænset tilladelse til udbud af betalingstjenester eller udstedelse af elektroniske penge.

Forslaget til § 52 viderefører med redaktionelle ændringer §§ 38, stk. 1 og § 39 q, stk. 1, idet der sker en sammenskrivning af de to bestemmelser.

Bestemmelsen gennemfører artikel 32, i 2. betalingstjenestedirektiv og artikel 9, i 2. e-pengedirektiv.

Det foreslås i stk. 1, nr. 1, at det er en betingelse for tildelingen af tilladelsen, at virksomheden har hovedkontor og hjemsted i Danmark. Har en udenlandsk udbyder et datterselskab i Danmark, skal datterselskabet have hovedkontor og hjemsted i Danmark.

Ifølge artikel 32, stk. 2, i 2. betalingstjenestedirektiv og artikel 9, stk. 2, i 2. e-pengedirektiv, er det en forudsætning for at undtage en virksomhed for de nævnte bestemmelser, at virksomheden har hjemsted og hovedkontor i det medlemsland, hvor tjenesten udbydes. Finanstilsynet kan således alene udstede en begrænset tilladelse til at udstede elektroniske penge eller udbyde betalingstjenester, hvis virksomheden har hjemsted og hovedkontor i Danmark.

Det foreslås i stk. 1, nr. 2, at det er en betingelse for tildelingen af tilladelsen, at virksomhedens ejere af kvalificerede andele, jf. § 23, ikke skønnes at ville modvirke en fornuftig og forsvarlig forvaltning af virksomheden. Det vil sige, at i Finanstilsynets afgørelse kan der lægges vægt på, hvorvidt de pågældende i forbindelse med ejerskab eller deltagelse i ledelsen af andre finansielle virksomheder har vist sig uegnede til at drive finansiel virksomhed forsvarligt.

En kvalificeret andel defineres i forslagets § 7, stk. 1, nr. 45, som en direkte eller indirekte besiddelse af mindst 10 pct. af kapitalen eller stemmerettighederne i virksomheden eller en andel, som giver mulighed for at udøve en betydelig indflydelse på ledelsen af virksomheden.

Det foreslås i stk. 1, nr. 3, at det skal være en betingelse for at opnå tilladelse, at virksomheden har tilstrækkelige kontrolforanstaltninger og forretningsgange på alle væsentlige områder, herunder for forebyggende foranstaltninger mod hvidvask af udbytte og terrorfinansiering, it-sikkerhed og overvågning af volumengrænse i henholdsvis § 50 eller § 51, stk. 3.

Ved vurderingen af om forretningsgangene kan anses for at være tilstrækkelige vil der blive taget hensyn til den enkelte virksomheds størrelse og aktiviteter. Forretningsgangene skal bidrage til at sikre, at virksomheden drives forsvarligt og i overensstemmelse med de regler, der gælder for betalingstjenestevirksomhed. Forretningsgangene bør derfor som minimum beskrive, hvorledes virksomheden sikrer, at reglerne i denne lov sikres iagttaget.

For så vidt angår forretningsgangene om forebyggende foranstaltninger mod hvidvask af udbytte og terrorfinansiering, kan det bemærkes, at formålet med hvidvaskreguleringen er at medvirke til bekæmpelse af kriminalitet, herunder terrorisme, ved at begrænse mulighederne for at misbruge det finansielle system til hvidvask af penge og finansiering af terrorisme, samt at lette politiets efterforskning. Den udarbejdede forretningsgang skal derfor sikre, at virksomheder omfattet af nærværende lovforslag overholder den gældende lovgivning om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme. I forbindelse med udstedelsen af tilladelsen skal Finanstilsynet sikre, at virksomheden er i stand til at udøve et effektivt forsvar mod forsøg på at hvidvaske udbytte fra kriminelle handlinger eller finansiere terrorisme.

De interne regler bør tage udgangspunkt i virksomhedens egne forhold, dvs. der skal foretages en risikoanalyse af virksomhedens forretningsmodel, kundetyper og produkter m.v. og beskrives, hvad der forstås ved hvidvask og terrorfinansiering, hvordan dette kan tænkes at forekomme i netop denne virksomhed og de krav, som virksomheden er underlagt i henhold til lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme. De interne regler kan bestå af en samling af dokumenter, der tilsammen udgør de interne regler. Der stilles ikke krav om, at der skal foreligge et samlet dokument, selvom dette ofte vil være anbefalelsesværdigt.

Til brug for behandlingen af virksomhedens ansøgning om begrænset tilladelse efter denne lov, skal virksomheden udarbejde og indsende deres skriftlige interne regler om kundelegitimation, opmærksomheds-undersøgelses, og noteringspligt, indberetning, opbevaring af registreringer, intern kontrol, risikovurdering, risikostyring, ledelseskontrol og kommunikation samt uddannelses- og instruktionsprogrammer for medarbejderne for at forebygge og forhindre hvidvask og terrorfinansiering.

Virksomheden skal endvidere udarbejde og indsende skriftlige interne regler om overholdelse af Europa-Parlamentets og Rådets forordninger om oplysninger, der skal medsendes om betaler ved pengeoverførsler, hvor dette er relevant, og forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer.

For så vidt angår virksomhedens forretningsgange om it-sikkerhed, så lægger Finanstilsynet i sin vurdering vægt på, at forretningsgangene skal afspejle virksomhedens konkrete forhold, herunder den iboende risici, der findes på it-området inden for virksomhedens konkrete aktiviteter.

Virksomheden skal indsende en it-risikovurdering samt en it-sikkerhedspolitik. Disse skal tage udgangspunkt i beskrivelsen af virksomhedens it-anvendelse, hvilke iboende risici virksomheden har på it-området, samt hvilke tiltag virksomheden vil iværksætte for at imødekomme disse risici. Uagtet at virksomheder med begrænset tilladelse til at udstede elektroniske penge eller udbyde betalingstjenester er undtaget fra de fleste bestemmelser i kapitel 2 finder lovforslagets øvrige bestemmelser fortsat anvendelse. Virksomheder med en begrænset tilladelse er således også omfattet af lovforslagets kapitel 8 om databeskyttelse og it-sikkerhed. Virksomhedens forretningsgange skal således afspejle virksomheden efterlevelse af bestemmelserne i kapitel 8, samt eventuelle regler udstedt i medfør heraf.

På baggrund af ovenfornævnte vurdering skal der tilsvarende udarbejdes en beredskabsplan til anvendelse ved eventuelle nedbrud af systemerne.

Der henvises i øvrigt til bemærkningerne til kapitel 8, der beskriver reglerne om databeskyttelse, operationel sikkerhed og autentifikation.