Bekendtgørelse af lov om kapitalmarkeder § 58a

Efter § 11 a, stk. 1-5, i lov om værdipapirhandel m.v. skal et selskab omfattet af § 7, stk. 1, have en ordning, hvor deres ansatte via en særlig, uafhængig og selvstændig kanal kan indberette overtrædelser eller potentielle overtrædelser af denne lov, regler udstedt i medfør af denne lov og bestemmelser indeholdt i Den Europæiske Unions forordninger for de områder af loven, som Finanstilsynet fører tilsyn med, begået af selskabet, herunder af ansatte eller medlemmer af bestyrelsen i selskabet. Indberetninger til ordningen skal kunne foretages anonymt.

Den foreslåede § 58 fastlægger regler for oprettelse af en ordning, hvortil ansatte kan indberette overtrædelser eller potentielle overtrædelser af denne lov, regler udstedt i medfør af loven og bestemmelser indeholdt i Den Europæiske Unions forordninger for de områder, som Finanstilsynet fører tilsyn med.

Bestemmelsen viderefører § 11 a, stk. 1-2 og stk. 5, i lov om værdipapirhandel m.v., dog med en udvidelse af anvendelsesområdet, idet udbydere af dataindberetningstjenester tillige foreslås omfattet af bestemmelsen.

Bestemmelsen gennemfører artikel 73, stk. 2, i MIFID II, artikel 65, stk. 3, i CSDR og artikel 32, stk. 3, i markedsmisbrugsforordningen.

Det foreslås i stk. 1, at en operatør af et reguleret marked, en udbyder af dataindberetningstjenester og en CSD skal have en ordning, hvor deres ansatte gennem en særlig, uafhængig og selvstændig kanal kan indberette overtrædelser eller potentielle overtrædelser af denne lov, regler udstedt i medfør af denne lov og bestemmelser indeholdt i Den Europæiske Unions forordninger for de områder af loven, som Finanstilsynet påser overholdelse af, jf. § 211, begået af virksomheden, herunder af ansatte eller medlemmer af bestyrelsen i virksomheden. Indberetninger til ordningen skal kunne foretages anonymt.

Kravet om en særlig kanal indebærer, at virksomheden skal have etableret en ordning med det formål, at ansatte som minimum skal kunne indberette overtrædelser eller potentielle overtrædelser.

Det følger af persondatalovens § 48, at behandling af personoplysninger, der foretages som led i en indberetningsordning, skal anmeldes til Datatilsynet, samt at Datatilsynets tilladelse skal indhentes, forinden den pågældende behandling iværksættes, jf. § 50, stk. 1, nr. 1, i persondataloven. Tilladelse til behandling af personoplysninger i forbindelse med virksomheders whistleblowerordninger samt tilsyn hermed hører under Datatilsynets kompetence.

At kanalen tillige skal være uafhængig og selvstændig betyder, at der skal etableres en selvstændig funktion, der er uafhængig af den daglige ledelse, og hvor indberetning kan ske uden om de normale procedurer. Det kan f.eks. være direkte til den afdeling eller ansatte, som behandler indberetningerne. Det vil eksempelvis kunne være en compliance-ansvarlig eller en anden funktion, der er uafhængig af den daglige ledelse, herunder den ansattes foresatte.

Ifølge den foreslåede bestemmelse kan der indberettes overtrædelser eller potentielle overtrædelser af den finansielle lovgivning. Dette indebærer, at det er faktiske såvel som potentielle overtrædelser, der kan indberettes om, under ordningen.

Ordningen efter det foreslåede stk. 1 skal være indrettet således, at indberetninger om en virksomheds overtrædelse eller potentielle overtrædelse skal kunne foretages anonymt.

At indberetninger skal kunne foretages anonymt indebærer, at den, der indberetter en overtrædelse, kan gøre det fuldstændigt anonymt. Det kan f.eks. ske via en løsning på virksomhedens intranet, hvor der kan indsendes indberetninger uden angivelse af navn, uden mulighed for sporing af computerens IP-adresse og lignende. Indberetningerne bør som udgangspunkt alene være tilgængelige for den afdeling eller ansatte, som behandler indberetningerne. Det vil eksempelvis kunne være den compliance-ansvarlige.

Anonyme henvendelser til en whistleblowerordning kan svække mulighederne for at bevise, at der er sket forskelsbehandling som følge af indberetningen, jf. lovforslagets § 9, da kravet om anonymitet medfører, at virksomheden i tilfælde af anonyme indberetninger ikke ved, hvem der har foretaget indberetningen. Det er imidlertid vigtigt at sikre, at de ansatte, der anvender ordningen, kan være fuldstændig anonyme, idet det kan være svært for en ansat at beslutte at indberette en overtrædelse til virksomheden, hvis det ikke kan ske anonymt. En ansat kan eksempelvis være bange for at miste sit arbejde, imens andre ansatte kan føle, at de har handlet illoyalt over for en kollega eller over for virksomheden.

En overtrædelse eller en potentiel overtrædelse begået af virksomheden, herunder af ansatte eller medlemmer af bestyrelsen i virksomheden, omfatter enhver overtrædelse eller potentiel overtrædelse af virksomhedens forpligtelser, også selvom denne ikke kan henføres til en enkelt person, men eksempelvis skyldes en grundlæggende systemfejl i virksomheden. Der vil tillige kunne blive indberettet overtrædelser, der skyldes en undladelse. Hvis en virksomhed har valgt at outsource en del af de forpligtelser, der påhviler den, til en ekstern virksomhed, kan de ansatte i virksomheden også indberette manglende efterlevelse af forpligtelserne, som sker hos det eksterne selskab, til virksomhedens whistleblowerordning. Ansatte hos det eksterne selskab vil kunne indberette overtrædelser til Finanstilsynet.

En virksomhed kan outsource en whistleblowerordning til en ekstern leverandør. En virksomhed kan imidlertid ikke fraskrive sig sine forpligtelser efter lovgivningen, og en virksomhed, der benytter sig af outsourcing, er fortsat ansvarlig for, at ordningen lever op til lovgivningens krav.

Et selskab, som varetager, administrerer eller på anden måde håndterer en ordning på vegne af en operatør af et reguleret marked, en udbyder af dataindberetningstjenester og en CSD, skal være opmærksomme på anden særlovgivning, der kan være til hinder herfor. Selskaber, der varetager, administrerer eller på anden måde håndterer en ordning på vegne af virksomheder omfattet af en operatør af et reguleret marked, en udbyder af dataindberetningstjenester og en CSD, skal endvidere også være opmærksomme på eventulle lovbestemte oplysningsforpligtelser, som virksomhederne er underlagt efter f.eks. hvidvaskloven m.v., idet denne bestemmelse ikke fritager virksomheden herfor.

Ansattes, herunder direktionens, indberetning til whistleblowerordningen vil ikke være i strid med forbuddet i artikel 14 i markedsmisbrugsforordningen imod uretmæssig videregivelse af intern viden. Det gælder tillige i tilfælde, hvor ordningen er outsourcet til en ekstern leverandør.

Det foreslås i stk. 2, at ordningen i stk. 1 kan etableres gennem en kollektiv overenskomst.

I praksis betyder det, at arbejdsmarkedets parter efter aftale med virksomheden har mulighed for at etablere en ordning i f.eks. et fagforbund, hvortil ansatte i virksomheden kan indberette overtrædelser. En whistleblowerordning, der baserer sig på en aftale mellem de forhandlingsberettigede parter, skal leve op til kravene i stk. 1 som beskrevet ovenfor. Gennem en kollektiv overenskomst skal forstås i overensstemmelse med artikel 152, artikel 154, stk. 1, og artikel 155, stk. 1, i Traktaten om Den Europæiske Unions Funktionsområde samt artikel 28 i den Europæiske Unions Charter om grundlæggende rettigheder.

Den foreslåede bestemmelse regulerer ikke, om informationerne skal videregives til Finanstilsynet. Pligten til at videregive informationerne kan følge af anden særlovgivning, jf. eksempelvis hvidvaskloven.

Det foreslås i stk. 3, at arbejdsgivere, der udfører tilsynsbelagt virksomhed, skal indføre passende interne procedurer, således at deres ansatte kan indberette overtrædelser af markedsmisbrugsforordningen og regler fastsat i medfør heraf.

Ved arbejdsgivere, der udfører tilsynsbelagt virksomhed, forstås arbejdsgivere, hvor den enkelte virksomheds aktiviteter kræver tilladelse fra Finanstilsynet og er underlagt tilsyn i forbindelse hermed. Det er endvidere et krav, at virksomheden har ansatte. En virksomheds passende interne procedurer skal vurderes i forhold til den enkelte virksomheds størrelse og aktiviteter.

Er virksomheden underlagt krav om en uafhængig og selvstændig ordning, vil det være naturligt, at den ansattes mulighed for at indberette overtrædelser af markedsmisbrugsforordningen sker til den interne ordning. Er der derimod tale om en mindre virksomhed, kan der være tale om, at de ansatte skal have adgang til direktion eller bestyrelse. Der kan endvidere være tale om en passende ordning, hvis de ansatte har mulighed for at indberette overtrædelser til virksomhedens revisor. Indberetning af mulige overtrædelser efter den foreslåede bestemmelse vil være omfattet af beskyttelsen i henhold til lovforslagets § 9. Der henvises til bemærkningerne herom.

Det følger af § 48 i persondataloven, at privates behandling af personoplysninger om rent private forhold skal anmeldes til Datatilsynet, samt at tilsynets tilladelse skal indhentes, forinden behandlingen iværksættes, jf. lovens § 50, stk. 1, nr. 1.

Anmeldelsespligten omfatter imidlertid ikke behandling af personoplysninger, som foretages i virksomheder omfattet af lov om finansiel virksomhed, og som vedrører virksomhedernes kunder eller personer, som virksomhederne har et retskrav på, eller som er nødvendige som følge af forpligtelser, der generelt påhviler finansielle virksomheder, bortset fra registreringer som følge af et ansættelsesforhold i en finansiel virksomhed, jf. herved § 2, stk. 3, nr. 2, i bekendtgørelse nr. 534 af 15. juni 2000 som ændret ved bekendtgørelse nr. 202 af 22. marts 2001 og bekendtgørelse nr. 410 af 9. maj 2012.

Overtrædelse af det foreslåede stk. 1 er strafbelagt, jf. lovforslagets § 247. Ansvarssubjektet for overtrædelse af det foreslåede stk. 1 er en operatør af et reguleret marked, en udbyder af dataindberetningstjenester og en værdipapircentral (CSD). For så vidt angår juridiske personer henvises der til lovforslagets § 255, stk. 3, og bemærkningerne hertil. Den strafbare handling består i ikke at etablere en ordning, hvor virksomhedens ansatte gennem en særlig, uafhængig og selvstændig kanal kan indberette lovovertrædelser eller potentielle lovovertrædelser. Et eksempel på overtrædelse af bestemmelsen er en operatør af et reguleret marked, en udbyder af dataindberetningstjenester og en værdipapircentral (CSD), der ikke etablerer en indberetningsordning, der lever op til kravene i det foreslåede § 58, stk. 1.