Bekendtgørelse af lov om forsikringsformidling § 32

§ 49 i den gældende lov om forsikringsformidling, som henviser til § 354 g i lov om finansiel virksomhed, medfører, at der i dag er et forbud mod videregivelse af oplysninger om en person, der har lavet en indberetning til Finanstilsynets whistleblowerordning.

Den foreslåede bestemmelse i § 32 nyaffatter § 49 ved at erstatte henvisningen til § 354 g i lov om finansiel virksomhed med en affattelse af bestemmelsen med de nødvendige tilpasninger.

Den foreslåede bestemmelse implementerer artikel 35, stk. 2, nr. 3, i forsikringsdistributionsdirektivet og gennemfører desuden den politiske aftale af 10. oktober 2013 om regulering af systemisk vigtige finansielle institutter (SIFI) samt krav til alle banker og realkreditinstitutter om mere og bedre kapital og højere likviditet (bankpakke 6).

Det fremgår af lovforslagets § 31, stk. 1, at Finanstilsynets ansatte er forpligtet til at hemmeligholde fortrolige oplysninger, som de får kendskab til gennem tilsynsvirksomheden. Det samme gælder personer, der udfører serviceopgaver, som led i Finanstilsynets drift, samt eksperter, der handler på tilsynets vegne. Tavshedspligten gælder også efter ansættelses- eller kontraktforholdets ophør.

Tavshedspligtsbestemmelsen i lovforslagets § 31 medfører bl.a., at adgangen til aktindsigt i Finanstilsynets sager er begrænset, jf. § 35 i lov om offentlighed i forvaltningen. Tavshedspligtsbestemmelsen i lovforslagets § 31 begrænser dog ikke parters ret til aktindsigt efter forvaltningsloven, jf. § 9, stk. 2, i forvaltningsloven.

Det fremgår udtømmende af forslaget til § 36, hvem der anses som part i forhold Finanstilsynets afgørelser efter denne lov. Det særlige partsbegreb afviger fra det almindelige forvaltningsretlige partsbegreb og er nødvendigt for at undgå en udhulning af Finanstilsynets tavshedspligt, da parters adgang til aktindsigt efter forvaltningsloven ikke tilsidesættes af tavshedspligtsreglerne.

Den foreslåede bestemmelse er en særregel, der udvider tavshedspligten i forhold til oplysninger om personer, der indberetter overtrædelser af den finansielle regulering til Finanstilsynet, således at heller ikke parter vil kunne få aktindsigt i personoplysninger om en person, når vedkommende har indberettet en virksomheds, herunder en ansats, overtrædelse eller potentielle overtrædelse af reglerne på det finansielle område til Finanstilsynet.

Det foreslås i stk. 1, at Finanstilsynets ansatte ikke må videregive oplysninger om en person, når vedkommende har indberettet en virksomhed eller en person til Finanstilsynet for overtrædelse eller potentiel overtrædelse af den finansielle regulering, som Finanstilsynet fører tilsyn med.

Lovforslaget medfører bl.a., at oplysninger om en person, der har indberettet en virksomhed eller en person for overtrædelse af den finansielle regulering for så vidt angår indberetningen, ikke er undergivet aktindsigt i medfør af forvaltningsloven eller reglerne om underretning i medfør af retssikkerhedsloven.

Oplysninger om en person skal forstås i overensstemmelse med definitionen af personoplysninger i § 3, nr. 1, i lov om behandling af personoplysninger, hvorefter personoplysninger omfatter enhver form for information om en identificeret eller identificerbar fysisk person. Bestemmelsen omfatter bl.a. oplysninger, som identificerer personen, der indberetter overtrædelsen, i form af oplysninger om dennes identitet, eller enhver oplysning, der indirekte gør det muligt at udlede dennes identitet.

Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, er ikke omfattet af begrebet personoplysninger. Ved afgørelsen af, om en person er identificerbar, skal alle de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den dataansvarlige eller af enhver anden person, tages i betragtning.

Bestemmelsen vil kun kunne finde anvendelse i sager om indberetning af overtrædelser eller potentielle overtrædelser af den finansielle regulering til Finanstilsynet indberettet af en person om en virksomhed under tilsyn af Finanstilsynet, herunder ansatte eller medlemmer af bestyrelsen i virksomheder, der er under tilsyn.

Bestyrelsens eller ansattes indberetning til Finanstilsynet vil ikke være i strid med tavshedspligten i den foreslåede bestemmelse eller § 132 i selskabsloven.

Såvel overtrædelser som potentielle overtrædelser, f.eks. i tilfælde hvor en indberetning ikke fører til yderligere sagsbehandlingsskridt eller i tilfælde, hvor Finanstilsynet vurderer, at der ikke er tale om en overtrædelse af reglerne på det finansielle område, er omfattet af forslaget.

Det er et krav, at overtrædelsen vedrører regler, som er under Erhvervsministeriets ressortområde, som vedrører det område, som er under tilsyn af Finanstilsynet, forstået som love, bekendtgørelser og direkte gældende EU-retlig regulering, herunder forordninger og direkte gældende niveau 2-regulering (f.eks. bindende tekniske standarder).

Forslaget medfører, at Finanstilsynets ansatte – med de undtagelser der følger af stk. 2 – er forpligtet til ikke at videregive oplysninger om personer, der til Finanstilsynet indberetter overtrædelser eller potentielle overtrædelser af den finansielle regulering. Forslaget udgør en specialregel (lex specialis) i forhold til de almindeligt gældende regler om aktindsigt efter f.eks. forvaltningsloven eller om underretning efter retssikkerhedsloven. Hvis en part f.eks. har ret til aktindsigt efter forvaltningsloven, vil Finanstilsynet i medfør af lovforslaget være forpligtet til enten ikke at videregive eller at anonymisere enhver oplysning, der gør det muligt at identificere personen, der har indberettet overtrædelsen.

Forslaget ændrer ikke på, at adgangen til aktindsigt i Finanstilsynets sager som følge af bestemmelsens ordlyd er begrænset i henhold til § 35 i lov om offentlighed i forvaltningen, og adgangen til indsigt efter persondataloven er som følge af bestemmelsens ordlyd begrænset i henhold til § 32, stk. 2, i persondataloven.

Ligeledes vil det i henhold til forslaget f.eks. ikke være tilladt for Finanstilsynet at videregive personoplysninger om en person, der har indberettet en overtrædelse af den finansielle regulering, i forbindelse med en eventuel underretning forud for gennemførelsen af en beslutning om iværksættelse af et tvangsindgreb efter § 5 i retssikkerhedsloven.

Det foreslås i stk. 2, at stk. 1 ikke er til hinder for, at oplysninger videregives i medfør af § 31, stk. 4.

Dette er f.eks. i forhold til videregivelse til andre offentlige myndigheder, herunder anklagemyndigheden og politiet i forbindelse med efterforskning og retsforfølgning af strafbare forhold omfattet af straffeloven eller tilsynslovgivningen m.v.

Videregivelse i forbindelse med retssager anlagt af den virksomhed eller den ansatte, om hvem der er blevet indberettet overtrædelser af, vedrørende f.eks. bagvaskelse, æreskrænkelse, osv., er ikke omfattet af § 31, stk. 4. Det vil følgelig i disse tilfælde ikke være tilladt for Finanstilsynet at videregive personoplysninger omfattet af det foreslåede § 32, stk. 1, til den virksomhed eller den ansatte, der er blevet indberettet om.

Det foreslås i stk. 3, at stk. 1 endvidere ikke er til hinder for, at personoplysninger, der vedrører en kunde, videregives til en virksomhed i forbindelse med sager omfattet af §§ 11, 12, 15 og 16, når kunden har givet samtykke til videregivelsen.

Det foreslås således, at Finanstilsynet i disse angivne typer af sager skal kunne videregive personoplysninger om en kunde til en forsikringsformidler, en genforsikringsformidler og en accessorisk forsikringsformidler, hvis kunden samtykker til videregivelsen.

Det er en betingelse for, at Finanstilsynet kan videregive personoplysninger om en kunde, at denne har givet samtykke til videregivelsen. Bestemmelsen stiller ikke formkrav til dette samtykke, men Finanstilsynet bør tilstræbe at indhente et skriftligt samtykke fra den berørte kunde for at sikre dokumentation for, at Finanstilsynet berettiget kan videregive en personoplysning.

Personoplysninger skal forstås i overensstemmelse med definitionen af personoplysninger i § 3, nr. 1, i lov om behandling af personoplysninger, hvorefter personoplysninger omfatter enhver form for information om en identificeret eller identificerbar fysisk person. Dette omfatter bl.a. oplysninger, som identificerer personen, der indberetter overtrædelsen, i form af oplysninger om dennes identitet eller enhver oplysning, der indirekte gør det muligt at udlede dennes identitet. Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, er ikke omfattet af begrebet personoplysninger. Ved afgørelse af, om en person er identificerbar, skal alle de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende, enten af den dataansvarlige eller af enhver anden person, tages i betragtning.

Som det fremgår af bemærkningerne til stk. 1, er den foreslåede bestemmelse en specialregel (lex specialis) i forhold til de almindeligt gældende regler om aktindsigt efter f.eks. forvaltningsloven eller om underretning efter retssikkerhedsloven. Dette forslag ændrer ikke herpå. Finanstilsynet vil derfor være forpligtet til enten ikke at videregive eller at anonymisere enhver oplysning, der gør det muligt at identificere personen, der har indberettet overtrædelsen – også selvom personen i medfør af det foreslåede stk. 3 har givet sit samtykke til videregivelsen af personoplysninger om denne til en finansiel virksomhed.

Det foreslås i stk. 4, at alle, der i henhold til stk. 3, modtager personoplysninger, er undergivet den tavshedspligt, som er nævnt i stk. 1, for så vidt angår disse oplysninger. Dette svarer til, hvad der gælder efter det foreslåede § 31, stk. 5.

Den gældende § 49, stk. 1, i lov om forsikringsformidling, videreføres uændret med det foreslåede stk. 4.