Hvidvaskloven § 30a

§ 23 i den gældende hvidvasklov indeholder krav til opbevaring af oplysninger. Krav om opbevaring af oplysninger, herunder at oplysninger skal opbevares i 5 år, findes for udbydere af spil omfattet af hvidvaskregler i gældende ret i § 5 i bekendtgørelsen om onlinekasino og § 11, stk. 1 og 4, i bekendtgørelsen om landbaserede kasinoer.

Den foreslåede § 30 vedrører krav om opbevaring af oplysninger. Bestemmelsen viderefører § 23 i den gældende hvidvasklov med indholdsmæssige ændringer. Bestemmelsen er nyaffattet. I forhold til gældende hvidvasklov sættes der krav om, at kopi af foreviste legitimationsdokumenter skal opbevares, hvor disse tidligere alene kunne opbevares. Derudover stilles der krav om, at det er alle oplysninger indhentet i henhold til kravene i kapitel 3, der skal opbevares, hvor der i gældende hvidvasklov alene var krav om at opbevare identitets- og kontroloplysninger. Det præciseres endvidere, at dokumenter og registreringer i forbindelse med undersøgelser, jf. den foreslåede § 25, stk. 1 og 2, skal opbevares. Det foreslås som noget nyt, at personoplysninger skal slettes 5 år efter en forretningsforbindelses ophør eller en enkeltstående transaktions gennemførelse. Det videreføres ikke, at ved ophør af en virksomhed skal den senest fungerende ledelse sørge for, at identitetsoplysninger m.v. fortsat opbevares. Formålet med § 30 er at lette politiets efterforskning samt give tilsynsmyndighederne bedre mulighed for at foretage kontrol af efterlevelse af lovens regler. Der henvises til afsnit 3.8.3 i de almindelige bemærkninger.

Forslaget gennemfører artikel 40-43, jf. betragtning 42 og 43 i 4. hvidvaskdirektivs præambel.

Det foreslås i stk. 1, nr. 1, at virksomheder og personer skal opbevare oplysninger indhentet i forbindelse med opfyldelse af kravene i kapitel 3, herunder identitets- og kontroloplysninger samt kopi af foreviste legitimationsdokumenter.

Ved ”identitetsoplysninger” forstås faktiske oplysninger om en person eller virksomhed. De identitetsoplysninger, der kræves for fysiske kunder, er navn og cpr-nr. Hvis den pågældende ikke har et cpr-nr. eller lignende, skal identitetsoplysninger omfatte fødselsdato. De samme oplysninger skal opbevares om reelle ejere.

For kunder, som er juridiske personer, stilles krav om opbevaring af navn og CVR-nr. eller anden lignende identifikation, hvis virksomhedskunden ikke har et sådant nummer, samt kontroloplysninger. Derudover skal oplysninger om den juridiske persons ejer- og kontrolstruktur opbevares.

Ved ”kontroloplysninger” forstås oplysninger, som er tilvejebragt for at kontrollere, at identitetsoplysningerne er korrekte. Virksomheder og personer, som anvender digital signatur eller verifikation via elektroniske databaser som led i kontrollen, skal opbevare et teknisk revisionsspor, som dokumenterer den gennemførte kontrol. Kravet om kontroloplysninger gælder også for den indhentede information om ejer- og kontrolstruktur, herunder reelle ejere. Ved brug af offentligt tilgængelige kilder som f.eks. opslag i Det centrale virksomhedsregister kan det være tilstrækkeligt at opbevare et hyperlink til opslaget. I forbindelse med gennemførelse af kundekendskabsprocedurer med passende intervaller under forretningsforbindelse jf. den foreslåede § 10, nr. 1, vil det her være relevant at kontrollere, om hyperlinket stadig er aktuelt, og hvis ikke, opbevare et nyt hyperlink. Det oprindelige hyperlink skal i sådanne tilfælde ikke slettes, men begge hyperlink skal opbevares.

Det foreslås endvidere i stk. 1, nr. 1, at indføre krav om, at kopi af legitimationsdokumenter skal opbevares. Med legitimationsdokumenter menes i denne forbindelse fysiske dokumenter, som f.eks. sundhedskort, pas og kørekort. Det vil ikke anses som værende tilstrækkeligt for at opfylde bestemmelsens krav alene at notere oplysninger om den dokumentation, der er forevist. Med forslaget følger ikke en pligt til, at der skal anvendes fysiske legitimationsdokumenter i forbindelse med legitimering af fysiske kunder. Kontrol kan også foretages ved f.eks. opslag i en uafhængig elektronisk database. Hvis der anvendes legitimationsdokumenter, skal der imidlertid altid opbevares en kopi af disse. Kravet om ”kopi” kan opfyldes ved at tage en fotokopi af dokumentet, men der kan også f.eks. tages et billede eller lignende.

Kravet om at opbevare kopi af legitimationsdokumenter anses for at være i overensstemmelse med § 6 i persondataloven, idet det er angivet i 4. hvidvaskdirektiv, at der er en vigtig samfundsmæssig interesse i at opbevare kopi af legitimationsdokumenter, herunder billedlegitimation, med henblik på at forebygge hvidvask og finansiering af terrorisme. Forslagets § 30, stk. 1, nr. 1, er derfor i overensstemmelse med persondataloven, således at legitimationsdokumenter skal opbevares i medfør af denne lovs regler. Om forholdet til persondataloven henvises til afsnit 3.8.3. i de almindelige bemærkninger.

Det følger af stk. 1, nr. 1, at det er alle oplysninger, som er indhentet i forbindelse med opfyldelse af kravene i kapitel 3 om kundekendskabsprocedurer, der skal opbevares. Det omfatter derfor også oplysninger om formålet med forretningsforbindelsen og forretningsforbindelsens beskaffenhed og, hvor det er relevant, oplysning om midlernes oprindelse m.v. Det omfatter endvidere oplysninger indhentet i henhold til § 11, stk. 3, som virksomheden eller personen finder det nødvendigt at indhente for at foretage en risikovurdering af kunden. Der henvises i øvrigt til bemærkningerne til forslagets § 11.

Alle oplysninger indhentet i henhold til kapitel 3 skal opbevares. Virksomheder og personer skal derfor opbevare alle oplysninger, som det er påkrævet at indhente for at opfylde kundekendskabsproceduren. Det vil derfor ikke være tilstrækkeligt alene at opbevare identitets- og kontroloplysninger. Der skal derfor også opbevares f.eks. godkendelser af forretningsforbindelser med politisk eksponerede personer.

Det foreslås i stk. 1, nr. 2, at virksomheder og personer skal opbevare dokumentation for og registreringer af transaktioner, der gennemføres som led i en forretningsforbindelse eller en enkeltstående transaktion. Det er ikke alle dokumenter eller registreringer, som skal opbevares, men alene oplysninger, der har en vis betydning, som f.eks. dokumenter, telefonnotater m.v. af ordregivende karakter samt kontooversigter. Hvis f.eks. et lånetilbud ikke bliver effektueret, skal tilbuddet ikke opbevares. Hvis der er tale om en låneaftale, skal eksempelvis lånedokumentet opbevares.

Det foreslås i stk. 1, nr. 3, at virksomheder og personer skal opbevare dokumenter og registreringer vedrørende undersøgelser gennemført i henhold til § 25, stk. 1 og 2. Notater om undersøgelser af transaktioner og aktiviteter, herunder resultatet og grundlag, skal dermed opbevares. I henhold til § 25, stk. 1, skal virksomheder og personer undersøge baggrunden for og formålet med alle komplekse og usædvanligt store transaktioner samt alle usædvanlige transaktionsmønstre og aktiviteter, der ikke har et klart økonomisk eller påviseligt lovligt formål, med henblik på at fastslå, om der er mistanke om eller rimelig grund til at formode, at disse har eller har haft tilknytning til hvidvask eller finansiering af terrorisme. En undersøgelse kan resultere i, at en virksomhed eller person foretager underretning til SØIK om transaktionen eller aktiviteten. Omvendt kan den også føre til, at en mistanke afkræftes. Resultatet af en undersøgelse skal opbevares, herunder de væsentligste noter om grundlaget for resultatet.

Der henvises i øvrigt til bemærkningerne til forslagets § 25.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. og stk. 2. Ansvarssubjekterne for overtrædelse af § 30, stk. 1, er virksomheder og personer omfattet af § 1, stk. 1, og den strafbare handling består i ikke at opbevare oplysninger, der er nævnt i § 30, stk. 1, nr. 1-3. Et eksempel på overtrædelse af bestemmelsen er en virksomhed, der ikke opbevarer kopi af pas, hvor dette er anvendt til kontrol af kundens identitetsoplysninger.

Det foreslås i stk. 2, 1. pkt., at oplysninger, dokumenter og registreringer, som nævnt i stk. 1, skal opbevares i mindst 5 år efter forretningsforbindelsens ophør eller den enkeltstående transaktions gennemførelse. Det foreslås i stk. 2, 2. pkt., at personoplysninger skal slettes 5 år efter forretningsforbindelsens ophør eller en enkeltstående transaktions gennemførelse, medmindre andet er fastsat i anden lovgivning.

Den foreslåede bestemmelse medfører, at alle de nævnte oplysninger skal opbevares i mindst 5 år.

For så vidt angår personoplysninger fremgår det af artikel 40, stk. 1, i 4. hvidvaskdirektiv, at personoplysninger skal slettes efter 5 år, medmindre andet gælder i henhold til national ret, hvori det fastlægges, under hvilke omstændigheder forpligtede enheder kan eller skal opbevare oplysninger yderligere. Det foreslås derfor i modsætning til gældende hvidvasklov og bekendtgørelserne om onlinekasino og landbaserede kasinoer, at det ikke tilladt at opbevare oplysningerne om fysiske personer i mere end 5 år efter kundeforholdets ophør. Det er derfor væsentligt, at virksomheden eller personen er opmærksom på, at kundeoplysningerne ikke opbevares efter fristens udløb. Der kan dog fastsættes passende intervaller for sletning, så sletningen ikke behøver finde sted præcis ved udløbet af den 5-årige opbevaringspligt. Intervallet bør som udgangspunkt ikke være længere end én måned, medmindre afgørende hensyn taler herimod.

For så vidt angår oplysninger om juridiske personer, er der ikke noget krav om, hvornår disse oplysninger skal slettes. Disse oplysninger skal derfor som minimum opbevares i 5 år, hvorefter de kan slettes. Det bemærkes dog, at der i forbindelse med oplysninger om juridiske personer også kan være oplysninger om fysiske personer som f.eks. oplysninger om reelle ejere, og disse oplysninger om fysiske personer vil skulle slettes efter 5 år.

Der kan være tilfælde, hvor virksomheden eller personen har mulighed for eller er forpligtet til at opbevare personoplysningerne efter anden lovgivning. Bestemmelsen er ikke til hinder for, at virksomheden eller personen kan opfylde krav i anden lovgivning.

Om forholdet til persondataloven henvises til afsnit 3.8.3. i de almindelige bemærkninger.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. og stk. 2. Ansvarssubjekterne for overtrædelse af § 30, stk. 2, er virksomheder og personer omfattet af § 1, stk. 1, og den strafbare handling består i ikke at opbevare de angivne oplysninger i 5 år eller ikke at slette personoplysningerne efter 5 år. Et eksempel på overtrædelse af bestemmelsen er en virksomhed, der sletter alle oplysninger om en fysisk kunde 4 år efter, at kundeforholdet er ophørt.