Lov om kreditservicevirksomheder og kreditkøbere § 34

Det foreslås i stk. 1, at Finanstilsynets ansatte ikke må videregive oplysninger om en person, når vedkommende har indberettet en virksomhed eller en person til Finanstilsynet for overtrædelse eller potentiel overtrædelse af den finansielle regulering, som Finanstilsynet fører tilsyn med, jf. dog stk. 2.

Bestemmelsen vil bl.a. indebære, at oplysninger om en person, der har indberettet en virksomhed eller en person for overtrædelse af den finansielle regulering for så vidt angår indberetningen ikke er undergivet aktindsigt i medfør af forvaltningsloven eller reglerne om underretning i medfør af retssikkerhedsloven.

”Oplysninger om en person” skal forstås i overensstemmelse med definitionen af personoplysninger i artikel 4, nr. 1, i databeskyttelsesforordningen, hvorved forstås enhver form for information om en identificeret eller identificerbar fysisk person (»den registrerede«); ved identificerbar fysisk person forstås en fysisk person, der direkte eller indirekte kan identificeres, navnlig ved en identifikator som f.eks. et navn, et identifikationsnummer, lokaliseringsdata, en onlineidentifikator eller et eller flere elementer, der er særlige for denne fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sociale identitet.

Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, er ikke omfattet af begrebet personoplysninger. Ved afgørelsen af, om en person er identificerbar, skal alle de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende enten af den dataansvarlige eller af enhver anden person, tages i betragtning. Bestemmelsen vil kun kunne finde anvendelse i sager om indberetning af overtrædelser eller potentielle overtrædelser af den finansielle regulering til Finanstilsynet, indberettet af en person om en virksomhed under tilsyn af Finanstilsynet, herunder ansatte eller medlemmer af bestyrelsen i virksomheder, der er under tilsyn. Bestyrelsens eller ansattes indberetning til Finanstilsynet vil ikke være i strid med tavshedspligten i lovforslagets § 32 eller § 132 i selskabsloven. Såvel overtrædelser som potentielle overtrædelser, f.eks. i tilfælde hvor en indberetning ikke fører til yderligere sagsbehandlingsskridt eller i tilfælde, hvor Finanstilsynet vurderer, at der ikke er tale om en overtrædelse af reglerne på det finansielle område, er omfattet af lovforslaget.

Det er et krav, at overtrædelsen vedrører regler, som er under Erhvervsministeriets ressortområde, som vedrører det område, som er under tilsyn af Finanstilsynet, forstået som love, bekendtgørelser og direkte gældende EU-retlig regulering, herunder forordninger og direkte gældende niveau 2-regulering (f.eks. bindende tekniske standarder). For love, som både Finanstilsynet og andre myndigheder fører tilsyn med, omfattes den eller de bestemmelse(r), som andre fører tilsyn med, ikke af lovforslaget. Indberetning om overtrædelse af f.eks. markedsføringsloven eller straffeloven (f.eks. i form af underslæb, bedrageri m.v.) omfattes ikke af bestemmelsens anvendelsesområde.

Bestemmelsen vil medføre, at Finanstilsynets ansatte – med de undtagelser der følger af det foreslåede stk. 2 og 3– ikke er forpligtet til at videregive oplysninger om personer, der til Finanstilsynet indberetter overtrædelser eller potentielle overtrædelser af den finansielle regulering. Bestemmelsen udgør en specialregel (lex specialis) i forhold til de almindeligt gældende regler om aktindsigt efter f.eks. forvaltningsloven eller om underretning efter retssikkerhedsloven. Såfremt en part f.eks. har ret til aktindsigt efter forvaltningsloven, vil Finanstilsynet i medfør af bestemmelsen være forpligtet til enten ikke at videregive eller at anonymisere enhver oplysning, der gør det muligt at identificere personen, der har indberettet overtrædelsen. Fravigelsen af de almindeligt gældende regler om aktindsigt efter f.eks. forvaltningsloven eller om underretning efter retssikkerhedsloven vurderes at være nødvendig for at yde personerne den tilstrækkelige beskyttelse.

Bestemmelsen ændrer ikke på, at adgangen til aktindsigt i Finanstilsynets sager som følge af bestemmelsens ordlyd er begrænset i henhold til § 35 i lov om offentlighed i forvaltningen, og adgangen til indsigt efter databeskyttelsesloven er som følge af bestemmelsens ordlyd begrænset i henhold til § 22, stk. 3, i databeskyttelsesloven, jf. databeskyttelsesforordningens artikel 15, stk. 1.

Ligeledes er det efter bestemmelsen f.eks. ikke tilladt for Finanstilsynet at videregive personoplysninger om en person, der har indberettet en overtrædelse af den finansielle regulering, i forbindelse med en eventuel underretning forud for gennemførelsen af en beslutning om iværksættelse af et tvangsindgreb efter § 5 i retssikkerhedsloven.

Det foreslås i stk. 2, at bestemmelsen i stk. 1 ikke er til hinder for, at personoplysninger videregives i medfør af lovforslagets § 35.

Det fremgår af lovforslagets § 35, at tavshedspligten i § 32, stk. 1, ikke er til hinder for, at fortrolige oplysninger videregives til tilsynsmyndigheder i andre lande inden for Den Europæiske Union, der har ansvaret for tilsyn med kreditservicevirksomheder. Det fremgår af § 35, stk. 2, at § 354, stk. 6-16, i lov om finansiel virksomhed, finder tilsvarende anvendelse. § 354, stk. 6, i lov om finansiel virksomhed fastsætter en række personer, myndigheder, enheder m.v., som Finanstilsynet kan videregive fortrolige oplysninger til. Det er bl.a. til andre offentlige myndigheder, herunder anklagemyndigheden og politiet, i forbindelse med efterforskning og retsforfølgning af mulige strafbare forhold omfattet af straffeloven eller tilsynslovgivningen.

Videregivelse i forbindelse med retssager, anlagt af den virksomhed eller ansatte, om hvem der er blevet indberettet overtrædelser vedrørende f.eks. bagvaskelse, æreskrænkelse, osv., er ikke omfattet af bestemmelsen. Det vil derfor i disse tilfælde ikke være tilladt for Finanstilsynet at videregive personoplysninger omfattet af det foreslåede stk. 1 til den virksomhed eller ansatte, der er blevet indberettet om.

Eventuel videregivelse af personoplysninger sker i overensstemmelse med de databeskyttelsesretlige regler, herunder databeskyttelsesforordningen, jf. lovforslagets bemærkninger til den foreslåede § 35.

Det foreslås i stk. 3, at bestemmelsen i stk. 1 ikke er til hinder for, at personoplysninger, der vedrører en kunde, videregives til en kreditservicevirksomhed i forbindelse med sager omfattet af § 32, stk. 3, når kunden har givet udtrykkeligt samtykke til videregivelsen.

Sager omfattet af § 32, stk. 3, er sager om god skik, jf. lovforslagets kapitel 5.

Samtykke skal forstås i overensstemmelse med databeskyttelsesforordningens artikel 7, og skal dermed opfylde betingelserne heri.

Personoplysninger skal forstås i overensstemmelse med definitionen af personoplysninger i artikel 4, nr. 1, i databeskyttelsesforordningen, hvorefter personoplysninger omfatter enhver form for information om en identificeret eller identificerbar fysisk person. Dette omfatter bl.a. oplysninger, som identificerer personen, der indberetter overtrædelsen, i form af oplysninger om dennes identitet eller enhver oplysning, der indirekte gør det muligt at udlede dennes identitet. Oplysninger, som er gjort anonyme på en sådan måde, at den registrerede ikke længere kan identificeres, er ikke omfattet af begrebet personoplysninger. Ved afgørelse af, om en person er identificerbar, skal alle de hjælpemidler, der med rimelighed kan tænkes bragt i anvendelse for at identificere den pågældende, enten af den dataansvarlige eller af enhver anden person, tages i betragtning.

Som det fremgår af bemærkningerne til stk. 1, er den foreslåede bestemmelse en specialregel (lex specialis) i forhold til de almindeligt gældende regler om aktindsigt efter f.eks. forvaltningsloven eller om underretning efter retssikkerhedsloven. Dette forslag ændrer ikke herpå. Finanstilsynet vil derfor være forpligtet til enten ikke at videregive eller at anonymisere enhver oplysning, der gør det muligt at identificere personen, der har indberettet overtrædelsen, – også selvom personen i medfør af det foreslåede stk. 3 har givet sit samtykke til videregivelsen af personoplysninger om denne til virksomheden.

Det foreslås i stk. 4, at alle, der i henhold til stk. 2 modtager personoplysninger, med hensyn til disse oplysninger er undergivet tavshedspligten i stk. 1.

Det vil indebære, at de myndigheder m.v., der er nævnt i § 35, stk. 1 og 2, jf. § 354, stk. 6, i lov om finansiel virksomhed, som modtager personoplysninger efter den foreslåede bestemmelse, vil være omfattet af Finanstilsynets tavshedspligt.