«Navn» Fortolkning af reglerne om finansielle virksomheders tavshedspligt. Den 1. januar 2002 trådte nye regler om finansielle virksomheders tavshedspligt i kraft. Tavshedspligtsbestemmelserne for alle finansielle virksomheder er nu samlet i §§ 4-10 samt § 82 i lov om finansiel virksomhed. Reglerne indebærer ændringer i forhold til de regler, der hidtil var gældende. På baggrund af de spørgsmål og problemstillinger Finanstilsynet er blevet forelagt vedrørende de nye regler, skal Finanstilsynet meddele følgende: Væsentlige ændringer I forhold til de hidtil gældende bestemmelser om tavshedspligt i de respektive særlove, indeholder lov om finansiel virksomhed følgende væsentlige ændringer: • Den, der modtager fortrolige oplysninger, underlægges samme tavshedspligt som den finansielle virksomhed. • Sædvanlige kundeoplysninger kan kun videregives til brug for varetagelse af administrative opgaver, medmindre videregivelsen er berettiget, efter hovedreglen om berettiget videregivelse. • Videregivelse af sædvanlige kundeoplysninger til selskaber indenfor en koncern skal ske efter samme regler som til selskaber udenfor koncern. • Der kan videregives fortrolige oplysninger til brug for administration af visse forsikringsordninger/administrationsfællesskaber. • Samtykke til videregivelse skal afgives skriftligt, medmindre der telefonisk indgås en forsikringsaftale. • Der skal en gang årligt udsendes oplysning til kunder om afgivne samtykker. • Kunderne skal orienteres, hvis ændringer i virksomhedens organisation medfører væsentlige ændringer i, hvilke typer oplysninger der kan videregives, herunder ændringer i hvilke oplysninger der kan videregives med kundens samtykke. Bemærkninger til de enkelte bestemmelser Hovedreglen. § 4, stk.1, i lov om finansiel virksomhed indeholder hovedreglen om finansielle virksomheders tavshedspligt. Bestemmelsens indhold er uændret i forhold til tidligere. Stk.2 i bestemmelsen er ny. Den fastslår, at den, som modtager fortrolige oplysninger er omfattet af tavshedspligten i stk.1. Det påhviler den finansielle virksomhed som led i en forsvarlig drift af virksomheden at sikre, at den, der modtager fortrolige oplysninger, er bevidst om den tavspligt, der følger disse. Den omstændighed, at tavshedspligten følger oplysningerne, medfører ikke en udvidelse af de tilfælde, hvor der kan ske berettiget videregivelse efter stk.1. Sædvanlige kundeoplysninger. § 5 i lov om finansiel virksomhed er ny. Efter stk.1 kan der videregives sædvanlige oplysninger om kundeforhold til brug for varetagelse af administrative opgaver. I modsætning til tidligere er muligheden for videregivelse ikke begrænset til videregivelse indenfor koncerner. Derimod er der indført den begrænsning, at de videregivne oplysninger kun må anvendes til administrative opgaver. Det anføres i bemærkningerne til loven, at administrative opgaver skal forstås bredt og kan afgrænses negativt, idet markedsføring og rådgivning ikke er omfattet af begrebet. De oplysninger, der videregives til brug for varetagelse af administrative opgaver, må i den modtagende virksomhed kun være tilgængelige for de medarbejdere, der udfører administrative opgaver. Når Finanstilsynet træffer afgørelser om afgrænsning af begrebet, offentliggøres disse på Finanstilsynets hjemmeside. Med hjemmel i § 5, stk.4, har Finanstilsynet udstedt bekendtgørelse nr. 1075 af 17. december 2001 om sædvanlige kundeoplysninger i finansielle virksomheder. Der er ikke foretaget en ændring af begrebet i forhold til tidligere. Finanstilsynet er opmærksom på, at bekendtgørelsens afgræns-ning kan blive opfattet som en stramning. Dette vil være tilfældet, hvis virksomheder har haft en anden opfattelse af begrebet, end Finanstilsynet ville have haft, hvis spørgsmålet var blevet forelagt Finanstilsynet. Det har været en klar forudsætning for udarbejdelsen af bekendtgørelsen, at begrebet ikke skulle ændres, men alene nedskrives, for at undgå tvivl om, hvad begrebet omfatter. Finanstilsynet har derfor ikke kunne imødekomme ønsker om en udvidende fortolkning. Bekendtgørelsen er udtømmende. Det indebærer, at oplysninger, som ikke udtrykkeligt er anført i bekendtgørelsen, ikke kan karakteriseres som "sædvanlige kundeoplysninger". Bekendtgørelsen vil blive ændret, når dette bliver nødvendigt for eksempel på grund af ændret sprogbrug. Videregivelse til ATP og administrationsfællesskaber. § 5, stk.2, udvider bestemmelsen i stk.1. Alle fortrolige oplysninger, herunder oplysninger om rent private forhold, kan efter stk.2 videregives til et aktieselskab, som Arbejdsmarkeds Tillægspension ejer fuldt ud, og til Arbejdsmarkeds Tillægspension, jf. lov om Arbejdsmarkeds Tillægspension § 26 og § 23,stk.4, samt til det administrerende selskab i et administrationsfællesskab i henhold til lov om forsikringsvirksomhed. Begrebet administrationsfællesskab er ikke defineret i lov om forsikringsvirksomhed. Det kan karakteriseres som et samarbejde mellem to eller flere forsikringsselskaber, herunder pensionskasser, om såvel administrative funktioner som investeringsmæssige dispositioner. I følge bemærkningerne til lovens bestemmelser om tavshedspligt kan administrationsfællesskaber være organiseret på en af følgende måder: - De fællesadministrerende forsikringsselskaber, herunder pensionskasser, administreres i et af selskaberne etableret interessentskab eller i et andet af selskaberne etableret og fællesejet selskab, som ikke er en finansiel virksomhed. - Et fællesskab, hvori et forsikringsselskab administrerer de øvrige forsikringsselskaber, herunder pensionskasser, uden at det administrerende forsikringsselskab er koncernforbundet med en overvejende del af de øvrige forsikringsselskaber. Finanstilsynet lægger ved fortolkning af bestemmelsen til grund, at der i bemærkningerne sker en udtømmende opregning af, hvilke fællesskaber der er omfattet af bestemmelsen. Samadministration i koncerner, dvs. fællesskaber hvor den overvejende del af de administrerede forsikringsselskaber er koncernforbundne, er således ikke omfattet af bestemmelsen. Overgangsregler for koncerner. Opmærksomheden skal i øvrigt henledes på § 82,stk.2, i lov om finansiel virksomhed, der indeholder en overgangsbestemmelse. For kundeforhold etableret før den 1. januar 2002 kan der efter bestemmelsen videregives sædvanlige kundeoplysninger til koncernforbundne finansielle virksomheder, medmindre kunden indgår nye aftaler med den finansielle virksomhed, eller kunden fremsætter indsigelse mod videregivelsen. Krav om samtykke – oplysninger til brug for markedsføring eller rådgivning. § 8, stk.1, indeholder en ny bestemmelse, hvorefter oplysninger om en privatkunde ikke må videregives til brug for markedsføring eller rådgivning, medmindre kunden har givet samtykke. For så vidt angår markedsføring følger dette allerede af § 6, stk.2, i lov om behandling af personoplysninger. Det er valgt at medtage både markedsføring og rådgivning i bestemmelsen i lov om finansiel virksomhed, da det ofte vil være umuligt at skelne mellem de to begreber. Efter stk.2 kan kravet om samtykke fraviges i visse tilfælde. Bortset fra, at bestemmelsen kun finder anvendelse ved videregivelse til koncernvirksomheder, der er underlagt tavshedspligt som nævnt i § 4, stk.1, svarer bestemmelsen til § 6, stk.3 i lov om behandling af personoplysninger og skal derfor fortolkes i overensstemmelse hermed. Stk.3 indeholder en lempelse i forhold til erhvervskunder, idet sædvanlige kundeoplysninger om sådanne kan videregives til brug for markedsføring og rådgivning til en finansiel virksomhed, der er underlagt tavshedspligt som nævnt i § 4. § 10, stk.1, indeholder krav om, at samtykke til videregivelse af fortrolige oplysninger skal indhentes skriftligt. Der har siden ændring af tavshedspligtsbestemmelserne medio 2000 været krav om, at et samtykke til videregivelse af fortrolige oplysninger skal være frivilligt, specifikt og informeret. Kravene skal fortolkes i overensstemmelse med de tilsvarende krav i lov om behandling af personoplysninger. Datatilsynet er fortolkende myndighed for lov om behandling af personoplysninger. Finanstilsynet vil derfor i tilfælde, hvor der er tvivl om, hvorvidt kravene til et samtykke er opfyldt, forelægge spørgsmålet for Datatilsynet. Kravet om, at samtykket skal være specifikt, indebærer, at det af samtykket skal fremgå, hvilke typer oplysninger der må videregives, hvem der kan modtage oplysningerne, samt til hvilke formål videregivelsen kan ske. Kravet om, at samtykket skal være informeret, indebærer, at kunden skal være klar over, hvad det er, vedkommende meddeler samtykke til. Den finansielle virksomhed skal således sikre sig, at der gives kunden tilstrækkelig information til, at den pågældende kan vurdere, hvorvidt samtykke kan meddeles. Kravet om skriftlighed anses for opfyldt, hvis samtykket afgives digitalt. Opmærksomheden henledes på § 82, stk.1, i lov om finansiel virksomhed. Ifølge denne overgangsbestemmelse finder kravet om skriftlighed indtil 1. januar 2005 kun anvendelse på kundeforhold etableret efter den 1. januar 2002, eller kundeforhold etableret før denne dato, hvor der indgås nye aftaler med virksomheden. § 10, stk.2 modificerer kravet om, at samtykket skal afgives skriftligt i de situationer, hvor en forsikringsaftale indgås på baggrund af en telefonisk henvendelse. I disse tilfælde kan samtykket afgives mundtligt. Forsikringsselskabet skal senest 14 dage efter forsikringsaftalens indgåelse oplyse kunden om, hvilke typer af oplysninger der videregives med kundens mundtlige samtykke, til hvilke formål videregivelsen sker, samt hvem der modtager oplysningerne på baggrund af samtykket. Stk.3 og 4 fastsætter nye oplysningsforpligtelser overfor kunden. Efter stk.3, skal kunden en gang årligt oplyses om, hvilke typer oplysninger der kan videregives med kundens samtykke, til hvilke formål videregivelsen kan ske, og hvem der kan modtage oplysningerne. Kunden skal i forbindelse med udsendelse af denne årlige meddelelse, gøres opmærksom på retten til at gøre indsigelse efter bestemmelsen i § 82,stk.2, sidste pkt. Efter stk.4 skal meddelelse til kunden i henhold til stk.3 tillige gives ved væsentlige ændringer i den finansielle virksomheds forhold. Sådanne ændringer kan for eksempel være ændring i koncernforhold, fusion, spaltning og andre omstruktureringer. Uændrede bestemmelser: Private forhold, risikostyring og interne retningslinier for videregivelse. Bestemmelsen i § 6 om videregivelse af oplysninger om rent private forhold og bestemmelsen i § 7 om videregivelse af oplysninger til brug for risikostyring, er uændrede i forhold til tidligere. § 9 indeholder bestemmelse om at den finansielle virksomhed skal udarbejde retningslinjer for videregivelse, og er uændret forhold til tidligere. Tilsvarende skrivelse er sendt til «Andre» Med venlig hilsen Charlotte Møller Marianne Simonsen kontorchef finansinspektør