Hvidvaskloven § 9

Det følger af forslaget til § 9, at koncerner ud over kravene i forslaget til § 8 skal have tilstrækkelige skriftlige politikker for databeskyttelse samt skriftlige politikker og procedurer for udveksling af oplysninger, der udveksles med det formål at bekæmpe hvidvask af penge og finansiering af terrorisme, inden for koncernen. Herudover foreslås, at virksomheder, der er en del af en koncern, ud over kravene i § 8 skal gennemføre koncernens politikker og procedurer. Bestemmelsen er ny. Der henvises til afsnit 3.4.3. i de almindelige bemærkninger.

Den foreslåede bestemmelse gennemfører artikel 45, stk. 1, i 4. hvidvaskdirektiv.

Det foreslås i stk. 1, at koncerner ud over kravene i forslaget til § 8 skal have tilstrækkelige skriftlige politikker for databeskyttelse samt skriftlige politikker og procedurer for udveksling af oplysninger, der udveksles med det formål at bekæmpe hvidvask og terrorfinansiering, inden for koncernen. Ved koncern forstås en gruppe virksomheder, som består af en modervirksomhed, dens dattervirksomheder og de enheder, hvori modervirksomheden eller dens dattervirksomheder besidder en kapitalinteresse, samt virksomheder, der er forbundet på en måde som omhandlet i artikel 22 i Europa-Parlamentets og Rådets direktiv 2013/34/EU af 26. juni 2013 om årsregnskaber, konsoliderede regnskaber og tilhørende beretninger for visse virksomhedsformer, om ændring af Europa-Parlamentets og Rådets direktiv 2006/43/EF og om ophævelse af Rådets direktiv 78/660/EØF og 83/349/EØF.

For kravene til politikker og procedurer henvises til bemærkningerne til § 8, stk. 1. Den foreslåede § 9 dækker forholdet mellem flere virksomheder i en koncern, mens § 8 regulerer den enkelte virksomhed i koncernen. Enhver virksomhed i en koncern skal således opfylde kravene i forslaget til § 8.

Den foreslåede bestemmelse er et supplement til § 41, stk. 3, i persondataloven. Tilsynsmyndighederne i henhold til denne lov fører tilsyn med, at der foreligger politikker og procedurer for udveksling af oplysninger inden for koncernen, og at disse er i overensstemmelse med reglerne i denne lov. Tilsynsmyndighederne fører ikke tilsyn med, hvorvidt politikker og procedurer er i overensstemmelse med persondataloven.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. Ansvarssubjekterne for overtrædelse af § 9, stk. 1, er moderselskabet omfattet af § 1, stk. 1, i en koncern, og den strafbare handling består i ikke at have udarbejdet politikker for databeskyttelse samt politikker og procedurer for udveksling af oplysninger inden for koncernen. Et eksempel på overtrædelse af bestemmelsen er et moderselskab, der har procedurer, men ikke politikker for databeskyttelse.

Det foreslås i stk. 2, at virksomheder, der er en del af en koncern, ud over kravene i § 8 skal efterleve koncernens politikker og procedurer. Udenlandske koncerners politikker og procedurer skal i relation til koncernvirksomheder, der er etableret i Danmark, leve op til kravene i denne lov for så vidt angår forhold, der specifikt vedrører Danmark. Dette betyder f.eks., at der skal inddrages risikobetragtninger, der specifikt angår Danmark. Modsætningsvis skal danske koncerner ved etablering af virksomheder i andre lande sikre, at disse koncerners politikker og procedurer overholder etableringslandets regler, jf. den foreslåede § 31.

Det bemærkes, at virksomheder, der etablerer virksomheder i et andet land, skal sikre, at de etablerede virksomheder overholder visse krav til forebyggelse af hvidvask og finansiering af terrorisme, jf. den foreslåede § 31.

Overtrædelse af bestemmelsen er strafbelagt, jf. § 71, stk. 1, 2. pkt. og stk. 2. Ansvarssubjekterne for overtrædelse af § 9, stk. 2, er virksomheder omfattet af § 1, stk. 1, der er en del af en koncern, og den strafbare handling består i ikke at gennemføre koncernens politikker og procedurer. Et eksempel på overtrædelse af bestemmelsen er et datterselskab, der har politikker, der er i strid med koncernens politikker, hvor der ikke i koncernens politikker er overladt et råderum til virksomheden.

For virksomheder, der er etableret i Danmark, betyder den foreslåede bestemmelse ikke, at disse fritages for straf for overtrædelse af denne lov eller anden dansk lovgivning, hvis virksomheden overholder koncernens politikker og procedurer, og disse er i modstrid med dansk lovgivning. Modsætningsvis vil virksomheder, der ikke gennemfører en koncerns politikker og procedurer under hensyn til, at koncernens politikker og procedurer er i modstrid med dansk lovgivning, ikke kunne blive straffet for at overtræde den foreslåede bestemmelse.

Der henvises i øvrigt til afsnit 3.4. i de almindelige bemærkninger.