Ferill 126. máls. Aðrar útgáfur af skjalinu: PDF - Microsoft Word.
146. löggjafarþing 2016–2017.
Þingskjal 185 — 126. mál.
Stjórnarfrumvarp.
Frumvarp til laga
um breytingu á lögum um fjármálafyrirtæki og lögum um opinbert eftirlit með fjármálastarfsemi (tilkynningar um brot á fjármálamarkaði).
Frá fjármála- og efnahagsráðherra.
I. KAFLI
Breyting á lögum um fjármálafyrirtæki, nr. 161/2002, með síðari breytingum.
1. gr.
a. (60. gr. a.)
Tilkynningar starfsmanna um brot í starfsemi fjármálafyrirtækis.
Einstaklingur sem tekur við tilkynningum skv. 1. mgr. og sér um vinnslu þeirra skal búa við sjálfstæði í störfum og tryggt skal að hann hafi nægilegt vald, fjárveitingar og heimildir til að afla gagna og upplýsinga sem honum eru nauðsynlegar til að hann geti sinnt skyldum sínum.
Vinnsla og meðferð persónuupplýsinga skal vera í samræmi við lög um persónuvernd.
Fjármálaeftirlitinu er heimilt að setja nánari reglur um framkvæmd 1. og 2. mgr., þ.m.t. um viðtöku og vinnslu tilkynninga.
b. (60. gr. b.)
Vernd starfsmanns vegna tilkynningar um brot í starfsemi fjármálafyrirtækis.
Fjármálafyrirtæki skal vernda starfsmann sem í góðri trú hefur tilkynnt um brot skv. 60. gr. a gegn því að hann sæti misrétti sem rekja má til tilkynningar hans. Sama gildir um tilkynningar til Fjármálaeftirlitsins skv. 13. gr. a laga um opinbert eftirlit með fjármálastarfsemi.
Ef fjármálafyrirtæki brýtur gegn skyldu sinni skv. 2. mgr. skal það greiða starfsmanni skaðabætur samkvæmt almennum reglum. Þetta tekur bæði til beins fjártjóns og miska.
Skyldur og réttindi samkvæmt þessari grein eru ófrávíkjanleg og óheimilt er að takmarka þau í ráðningarsamningi á milli starfsmanns og fyrirtækis.
2. gr.
36. 60. gr. a um skyldu til að hafa ferla sem uppfylla skilyrði ákvæðisins.
37. 1. mgr. 60. gr. b um þagnarskyldu vegna tilkynningar um brot í starfsemi fjármálafyrirtækis.
II. KAFLI
Breyting á lögum um opinbert eftirlit með fjármálastarfsemi, nr. 87/1998, með síðari breytingum.
3. gr.
Tilkynningar til Fjármálaeftirlitsins um brot í starfsemi aðila sem lúta opinberu eftirliti með fjármálastarfsemi.
Ferlar skv. 1. mgr. skulu vera aðskildir frá öðrum ferlum innan Fjármálaeftirlitsins og skal vera unnt að koma tilkynningu á framfæri nafnlaust. Ferlar skulu tryggja að tilkynningar séu skráðar og ef upplýsingar sem fram koma í tilkynningu má rekja beint eða óbeint til þess sem tilkynnti skulu þær fara leynt, nema skylt sé að veita slíkar upplýsingar lögum samkvæmt til lögreglu eða á grundvelli dómsúrskurðar. Vinnsla og meðferð persónuupplýsinga skal vera í samræmi við lög um persónuvernd.
4. gr.
5. gr.
Greinargerð.
Frumvarp þetta var samið í fjármála- og efnahagsráðuneytinu vegna ákvæðis í 71. gr. tilskipunar 2013/36/ESB sem kveður á um skyldu aðildarríkja til að hafa ferla til að taka við tilkynningum um brot í starfsemi fjármálafyrirtækja. Samkvæmt ákvæðinu er skyldan tvíþætt og felst í fyrsta lagi í því að eftirlitsaðilar í ríkjunum skuli hafa ferla til að taka við tilkynningum um brot í starfsemi fjármálafyrirtækja. Í öðru lagi felst skyldan í því að fjármálafyrirtæki skuli hafa ferla vegna tilkynninga starfsmanna um brot í starfsemi fjármálafyrirtækis.
2. Tilefni og nauðsyn lagasetningar.
Evrópusambandið samþykkti árið 2013 svonefnt CRD IV/CRR regluverk sem samanstendur af tilskipun 2013/36/ESB um stofnun og starfsemi fjármálafyrirtækja og varúðareftirlits með þeim og reglugerð (ESB) nr. 575/2013 um varfærniskröfur vegna starfsemi lánastofnana og fjárfestingarfyrirtækja. 1 Unnið hefur verið að innleiðingu gerðanna í íslenskan rétt síðustu ár og var hluti þeirra tekinn upp í lög um fjármálafyrirtæki, nr. 161/2002, með lögum nr. 57/2015 og hluti innleiddur með lögum nr. 96/2016. Þá var stór hluti viðurlagaákvæða tilskipunar 2013/36/ESB innleiddur í lög nr. 161/2002 með lögum nr. 58/2015, um breytingar á lagaákvæðum um viðurlög við brotum á fjármálamarkaði o.fl. Reglugerð (ESB) nr. 575/2013 verður tekin upp í íslenskan rétt með reglugerð sem ráðherra mun setja á grundvelli 117. gr. a laga um fjármálafyrirtæki, nr. 161/2002.
Með þessu frumvarpi eru lagðar til breytingar á lögum um fjármálafyrirtæki, nr. 161/2002, og lögum um opinbert eftirlit með fjármálastarfsemi, nr. 87/1998, vegna tilkynninga starfsmanna um brot í starfsemi fjármálafyrirtækja og hliðstæðra tilkynninga til Fjármálaeftirlitsins um brot í starfsemi aðila sem lúta opinberu eftirliti með fjármálastarfsemi.
Markmið frumvarpsins er að greiða fyrir tilkynningum um brot í starfsemi fjármálafyrirtækja. Er það talið vera í þágu almannahagsmuna og til þess fallið að byggja upp traust á fjármálamarkaði um að komið sé í veg fyrir brot og að hinir brotlegu sæti ábyrgð. Markmið frumvarpsins er einnig að auka líkur á því að hægt sé að upplýsa fyrr um brot sem eiga sér stað í starfsemi aðila sem lúta opinberu eftirliti eða koma í veg fyrir þau. Reynsla annarra ríkja af lagareglum sem veita uppljóstrurum (e. whistle-blowers) möguleika á því að tilkynna brot er jákvæð og má um það m.a. vísa til reynslu Norðmanna sem hafa haft slíkar lagareglur frá árinu 2006. Lagt er upp með að frumvarpið verði liður í bættri fyrirtækjamenningu á fjármálamarkaði hér á landi og með því sé stuðlað að því að ekki sé litið svo á innan fyrirtækja að slíkar tilkynningar geti falið í sér óheilindi, óhollustu eða ótryggð starfsmanns gagnvart vinnuveitanda.
Lagaákvæði um tilkynningar starfsmanna vegna brota veitir fjármálafyrirtækjum einnig tækifæri til að efla innri stjórnarhætti sína. Traustir og aðgengilegir ferlar með stoð í lögum eru þáttur í því að vinna gegn brotum í starfsemi fjármálafyrirtækja. Frumvarpinu er ætlað að auðvelda starfsmönnum að tilkynna um brot með öruggum og jafnframt skilvirkum hætti. Til að koma í veg fyrir að starfsmaður sem tilkynnir um brot verði látinn gjalda fyrir tilkynninguna mælir frumvarpið fyrir um vernd starfsmannsins sem tilkynnir um brot gagnvart misrétti og að vinnsla upplýsinganna skuli vera í samræmi við kröfur persónuverndarlaga. Mikilvægt er að fjármálafyrirtæki sendi skýr skilaboð með slíkum ferlum og verklagi sem endurspegla mikilvægi tilkynninga og að þær muni fá trausta meðhöndlun innan fyrirtækis.
Ákvæði frumvarpsins eru liður í því að löggjöf á sviði fjármálamarkaða hér á landi sé að minnsta kosti í samræmi við þær lágmarkskröfur sem Evrópusambandið setur fjármálafyrirtækjum á innri markaði Evrópska efnahagssvæðisins. Frumvarpið getur verið til þess fallið að auka trúverðugleika og traust almennings gagnvart fjármálamarkaðinum ef vel er staðið að framkvæmd þeirra reglna sem frumvarpið mælir fyrir um.
2.1. Innleiðing 71. gr. tilskipunar 2013/36/ESB í Danmörku, Noregi og Svíþjóð.
Við vinnslu frumvarpsins skoðaði starfshópurinn hvernig reglur um uppljóstrun eru útfærðar í öðrum aðildarríkjum á Evrópska efnahagssvæðinu. Starfshópurinn kynnti sér m.a. breska og maltneska löggjöf en þó var aðallega horft til danskrar, norskrar og sænskrar löggjafar um þetta efni. Önnur Norðurlandaríki, þ.e. Danmörk, Noregur og Svíþjóð, hafa nú þegar innleitt ákvæði tilskipunar 2013/36/ESB um uppljóstrun í sína löggjöf en blæbrigðamunur er á því hvernig slíkir ferlar voru útfærðir í löggjöf ríkjanna.
2.2. Danmörk.
Vorið 2014 voru gerðar miklar breytingar á dönskum lögum um fjármálastarfsemi (d. lov om finansiel virksomhed) þar sem stór hluti af CRD IV/CRR regluverkinu var innleiddur í Danmörku (breytingalög nr. 268/2014). Við dönsku lögin bættust m.a. tvær nýjar greinar, 75 a og 75 b, sem innleiddu 71. gr. tilskipunar 2013/36/ESB í danskan rétt. Grein 75 a fjallar um skyldu fjármálafyrirtækis til að hafa ferla til þess að taka við tilkynningum frá starfsmönnum fyrirtækis um brot eða möguleg brot á lögum um fjármálastarfsemi. Þá er mælt fyrir um að tilkynningar megi berast nafnlaust. Greinin hefur einnig að geyma undanþágu fyrir fyrirtæki á fjármálamarkaði til að setja upp ferla ef starfsmenn fyrirtækisins eru fimm eða færri. Undanþágan nær þó ekki til lánastofnana, verðbréfafyrirtækja og rekstrarfélaga verðbréfasjóða heldur gildir hún um vátryggingafélög og aðrar tegundir fjármálafyrirtækja sem heyra undir dönsku lögin. Ástæðan er sú að CRD IV/CRR regluverkið, MiFID II tilskipunin (tilskipun 2014/65/ESB) og UCITS V tilskipunin (tilskipun 2014/91/ESB) kveða ekki á um undanþágur frá þessum skyldum fyrir minni fjármálafyrirtæki. Grein 75 b kveður á um þá vernd sem fjármálafyrirtæki skal tryggja starfsmönnum sínum sem tilkynna um brot. Starfsmenn sem tilkynna um brot á grundvelli ferla innan fyrirtækis eða til Fjármálaeftirlits Danmerkur (d. finanstilsynet) skulu ekki látnir gjalda fyrir tilkynninguna. Þá er mælt fyrir um sérstaka bótareglu sé brotið gegn vernd starfsmanna sem tilkynna um brot. Frumvarp þetta byggist að stórum hluta á dönsku lögunum.
2.3. Svíþjóð.
Svíar gerðu umtalsverðar breytingar á sinni löggjöf um banka- og fjármálastarfsemi (s. lag om bank- och finansieringsrörelse) með breytingalögum nr. 2013/14:228 sem tóku gildi á síðari hluta ársins 2014. Með umræddum breytingalögum bættust tvær nýjar greinar við lögin, þ.e. 10. gr. við 1. kafla laganna og 2. gr. a við 6. kafla laganna. Ný grein bættist einnig við lög um verðbréfamarkaði (s. lag om värdepappersmarknaden), þ.e. 4. gr. a í 8. kafla laganna. Með breytingunum var 71. gr. tilskipunar 2013/36/ESB að fullu innleidd í sænskan rétt. Efni 71. gr. tilskipunarinnar var þó þá þegar að hluta í sænskum rétti. Þannig var fjármálaeftirliti Svíþjóðar (s. Finansinspektionen) t.d. þegar skylt að hafa ferla til þess að taka við tilkynningum um brot á fjármálamarkaði fyrir lagabreytinguna. Hins vegar innleiddu nýju sænsku breytingalögin d-lið 2. mgr. og 3. mgr. 71. gr. í sænskan rétt. Þannig kveður 10. gr. 1. kafla sænsku laganna á um að trúnaðarskylda skuli ávallt gilda gagnvart þeim sem tilkynnir um brot innan fjármálafyrirtækis til viðeigandi stjórnvalda, nema landslög mæli fyrir um annað. Breyting var gerð með þeim hætti að þagnarskylda gildir nú einnig um þá aðila sem greina frá mögulegu eða meintu broti í starfsemi fjármálafyrirtækis. Vernd ákvæðisins nær þó einungis til þeirra sem tilkynna um brot undir nafni.
Til að uppfylla skyldu 3. mgr. 71. gr. CRD IV tilskipunarinnar var lögfest ný grein, þ.e. 2 gr. a, í sænsku banka- og fjármálastarfsemislögin sem gerir fjármálafyrirtækjum skylt að koma upp kerfi til að taka við tilkynningum um brot eða möguleg brot á fjármálalöggjöf. Í ákvæðinu kemur einnig fram að sænsku persónuverndarlögin gildi um vinnslu persónuupplýsinga sem berast í gegnum kerfið.
Þá er rétt að geta þess að í sumar samþykkti sænska þingið ný lög um vernd starfsmanna gegn misrétti þegar þeir tilkynna um brot í starfsemi vinnuveitanda síns (s. lag 2016:749 om särskilt skydd mot repressalier för arbetstagare som slår larm om allvarliga missförhållanden). Lögunum er meðal annars ætlað að styrkja réttarstöðu starfsfólks og vernda það gegn hefndaraðgerðum vinnuveitenda vegna ábendinga um alvarlegar misgerðir eða brot á lögum ásamt því að tryggja rétt þeirra til skaðabóta sé brotið gegn þessum rétti. Frumvarpið byggist að hluta til á sænsku lögunum og vísað er til skýringar til einstakra greina frumvarpsins.
2.4. Noregur.
Í norskum rétti hafa lengi verið lagaákvæði sem vernda starfsmenn sem tilkynna um brot í starfsemi vinnuveitenda þeirra en slík ákvæði er að finna í greinum 2-4, 2-5 og 3-6 í norsku vinnumarkaðslögunum (n. arbeidsmiljøloven). Lögin eru frá 2006 en ákvæði um vernd uppljóstrara tóku gildi 1. janúar 2007. Ákvæðin fjalla um skyldu fyrirtækja til að koma upp ferlum sem tryggja að starfsmenn þeirra geti komið á framfæri ábendingum um ólögmæta háttsemi innan fyrirtækjanna. Ábending skal vera réttlætanleg (n. forsvarlig) og nýtur starfsmaður þá verndar gegn mótaðgerðum (n. gjengjeldelse). Gildissvið greinanna tekur bæði til einkaaðila og hins opinbera og ef brotið er gegn starfsmanni getur hann krafist bóta án tillits til sakar.
Ný lög um fjármálafyrirtæki og fjármálastarfsemi (n. lov om finansforetak og finanskonsern (finansforetaksloven)) tóku gildi í Noregi 1. janúar 2016 og fela þau m.a. í sér innleiðingu á reglum CRD IV tilskipunarinnar ásamt fleiri breytingum. Í 5. mgr. greinar 13-5 í lögunum er að finna ákvæði sem innleiðir 71. gr. tilskipunarinnar um uppljóstrun í norska fjármálamarkaðslöggjöf. Ákvæðið er ekki umfangsmikið enda ítarlegar reglur í gildi samkvæmt norsku starfsmannalögunum. Ríkari skyldur eru hins vegar lagðar á fjármálafyrirtæki með ákvæðinu en fyrir voru enda geta starfsmenn nú einnig tilkynnt um brot til yfirvalda.
3. Meginefni frumvarpsins.
Í frumvarpinu eru lagðar til breytingar sem byggjast á tilskipun 2013/36/ESB um stofnun og starfsemi fjármálafyrirtækja og varfærniseftirlit með þeim. Breytingarnar taka til laga um fjármálafyrirtæki, nr. 161/2002, og laga um opinbert eftirlit með fjármálastarfsemi, nr. 87/1998. Lagt er til að ákvæði um tilkynningar starfsmanna vegna brots í starfsemi fjármálafyrirtækis bætist við VII. kafla laga nr. 161/2002, um fjármálafyrirtæki. Þá er lögð til breyting á XIV. kafla sömu laga sem fjallar um viðurlög við brotum gegn ákvæðunum. Í frumvarpinu er einnig lagt til að ákvæði um tilkynningar til Fjármálaeftirlitsins um brot í starfsemi aðila sem lúta opinberu eftirliti með fjármálastarfsemi verði bætt við IV. kafla laga nr. 87/1998, um opinbert eftirlit með fjármálastarfsemi.
3.1. Tilkynningar starfsmanna um brot og vernd vegna tilkynningar.
Með frumvarpinu er m.a. lagt til að við lög um fjármálafyrirtæki, nr. 161/2002, bætist tvær nýjar greinar, 60. gr. a og 60. gr. b, sem annars vegar kveða á um skyldu fjármálafyrirtækis til þess að hafa ferla til að taka við og fylgja eftir tilkynningum frá starfsmönnum þess um brot í starfsemi fjármálafyrirtækisins og hins vegar um vernd fyrir þá starfsmenn sem tilkynna um slík brot. Bæði ákvæðin byggjast á skyldum sem lagðar eru á aðildarríki á Evrópska efnahagssvæðinu með 71. gr. tilskipunar 2013/36/ESB.
Lagt er til að ákvæðin taki til fjármálafyrirtækja eins og þau eru skilgreind í lögum um fjármálafyrirtæki, nr. 161/2002. Með þeirri tilhögun er gildissvið frumvarpsins víðtækara en leiðir af tilskipun 2013/36/ESB. Á grundvelli tilskipunarinnar eru rekstrarfélög verðbréfasjóða og verðbréfafyrirtæki með takmarkaðar starfsskyldur undanþegin skyldu til að hafa ferla vegna tilkynningar um brot í starfsemi fjármálafyrirtækja. Hins vegar er sams konar skylda lögð á rekstrarfélög verðbréfasjóða og öll verðbréfafyrirtæki samkvæmt öðrum tilskipunum Evrópusambandsins, þ.e. tilskipun 2014/91/ESB um verðbréfasjóði (UCITS V) og tilskipun 2014/65/ESB (MIFID II). Ekki þykir ástæða til að fresta því að þessi fjármálafyrirtæki setji upp ferla og verklag þar sem skyldan er einnig til staðar samkvæmt þessum tilskipunum sem verða innleiddar í heild í íslenskan rétt á komandi misserum. Ný ákvæði sem lagt er til að bætist við lög um fjármálafyrirtæki, nr. 161/2002, taka því til allra fjármálafyrirtækja sem heyra undir þau lög, óháð stærð þeirra og starfsmannafjölda, en tilskipanir Evrópusambandsins veita engar undanþágur frá þeirri skyldu með tilliti til sjónarmiða um fjölda starfsmanna fyrirtækja.
Ýmis fjármálafyrirtæki hér á landi eru þegar með reglur sem taka til tilkynninga um brot í starfsemi fjármálafyrirtækjanna. Ef slíkir ferlar eða reglur eru þegar til staðar hjá fjármálafyrirtæki er nauðsynlegt að þeir verði yfirfarnir og reglur og verklag endurskoðað til samræmis við ný lög.
3.2. Tilkynningar til Fjármálaeftirlitsins um brot í starfsemi aðila sem lúta opinberu eftirliti með fjármálastarfsemi.
Lagt er til að ný grein bætist við lög um opinbert eftirlit með fjármálastarfsemi, nr. 87/1998, sem kveður á um skyldu Fjármálaeftirlitsins til að setja upp ferla til að taka við og fylgja eftir tilkynningum um brot í starfsemi aðila sem lúta opinberu eftirliti með fjármálastarfsemi. Gildissvið ákvæðisins takmarkast við þá starfsemi sem Fjármálaeftirlitið hefur eftirlit með. Ólíkt þeirri breytingu sem lögð er til á lögum nr. 161/2002, með 1. gr. frumvarpsins, geta allir starfsmenn aðila sem lúta opinberu eftirliti með fjármálastarfsemi tilkynnt um brot á grundvelli nýs ákvæðis í lögum um opinbert eftirlit með fjármálastarfsemi verði frumvarpið samþykkt óbreytt. Starfsmenn fjármálafyrirtækja eða annarra aðila sem lúta opinberu eftirliti með fjármálastarfsemi, t.d. lífeyrissjóða, tryggingafélaga o.fl., hafa því kost á að tilkynna um brot til Fjármálaeftirlitsins.
4. Samræmi við stjórnarskrá og alþjóðlegar skuldbindingar.
Þær breytingar sem lagðar eru til með frumvarpinu byggjast á efni tilskipunar 2013/36/ESB. Tilskipunin hefur ekki verið tekin upp í EES-samninginn en stjórnvöld hafa talið mikilvægt að breyta löggjöf á sviði fjármálamarkaða með hliðsjón af efni tilskipunarinnar og reglugerðar (ESB) nr. 575/2013 enda um að ræða heildarendurskoðun Evrópusambandsins á regluverki á sviði fjármálamarkaðar. Regluverkið hefur verið innleitt í landsrétt flestra ríkja Evrópu og önnur EFTA-ríki hafa ákveðið að aðlaga landsrétt sinn að því þrátt fyrir að það sé ekki orðið hluti af EES-samningnum. Vinna við upptöku gerðanna í EES-samninginn stendur nú yfir á vettvangi EFTA og má gera ráð fyrir því að umræddar gerðir verði orðnar hluti af EES-samningnum á komandi mánuðum. Ekki verður séð að efni frumvarpsins stangist á við ákvæði stjórnarskrárinnar.
5. Samráð.
Hinn 11. desember 2015 skipaði fjármála- og efnahagsráðherra starfshóp sem hafði það hlutverk að vinna drög að lagareglum um uppljóstrun á fjármálamarkaði. Í starfshópinn voru skipuð Leifur Arnkell Skarphéðinsson, formaður, lögfræðingur hjá fjármála- og efnahagsráðuneytinu, og Hjörleifur Gíslason, varaformaður, lögfræðingur hjá fjármála- og efnahagsráðuneytinu, báðir tilnefndir af fjármála- og efnahagsráðuneytinu, Guðrún Finnborg Þórðardóttir, lögfræðingur hjá Fjármálaeftirlitinu, tilnefnd af Fjármálaeftirlitinu, Þorvaldur Heiðar Þorsteinsson, lögfræðingur hjá innanríkisráðuneytinu, tilnefndur af innanríkisráðuneytinu, Jóna Björk Guðnadóttir, lögfræðingur hjá Samtökum fjármálafyrirtækja, tilnefnd af Samtökum fjármálafyrirtækja, og Ólafur Páll Ólafsson, lögfræðingur hjá Seðlabanka Íslands, tilnefndur af Seðlabanka Íslands.
Við samningu frumvarpsins var haft samráð við Persónuvernd. Þá var einnig haft samband við Fjármálaeftirlit Danmerkur og upplýsinga aflað um túlkun eftirlitsins á ákvæðum danskra laga um sama efni.
6. Mat á áhrifum.
Verði frumvarpið að lögum munu starfsmenn fjármálafyrirtækja geta tilkynnt um brot í starfsemi fjármálafyrirtækja til sérstaklega tilgreinds aðila innan fjármálafyrirtækisins eða til Fjármálaeftirlitsins. Þá munu starfsmenn annarra aðila en fjármálafyrirtækja sem lúta opinberu eftirliti með fjármálastarfsemi einnig geta tilkynnt um brot til Fjármálaeftirlitsins. Frumvarpið snertir því fyrst og fremst fjármálafyrirtæki og starfsmenn þeirra, starfsmenn annarra aðila sem lúta opinberu eftirliti með fjármálastarfsemi og Fjármálaeftirlitið.
Helstu áhrif frumvarpsins á fjármálafyrirtæki eru þau að fyrirtækin þurfa að efla innra starf sitt með því að setja upp eða eftir atvikum endurskoða og endurskipuleggja ferla sem þegar eru til staðar og varða tilkynningar um brot í starfsemi fjármálafyrirtækja. Telja verður að sú skylda sem frumvarpið leggur á fjármálafyrirtæki, óháð því hvort um stór eða smá fyrirtæki er að ræða, sé ekki of íþyngjandi fyrir þau. Ýmis fjármálafyrirtæki eru þegar með ferla og verklag í gildi sem varða tilkynningar um brot í starfsemi fjármálafyrirtækja og því ætti ekki að vera vandasamt að yfirfara þá ferla og verklag í samræmi við ákvæði frumvarpsins. Ef slíkir ferlar eru ekki til hjá fjármálafyrirtæki verður hvorki séð að vinna við að setja upp ferla og verklag í tengslum við þá sé flókin né umfangsmikil.
Líta verður svo á að skýrir og gagnsæir ferlar með stoð í lögum, þar sem starfsmenn njóta verndar tilkynni þeir um brot í starfsemi fjármálafyrirtækis, séu til hagsbóta fyrir fjármálafyrirtækið og starfsmenn þess. Þá er æskilegt að heimild sé í lögum til að hægt sé að tilkynna um brot til Fjármálaeftirlitsins til hagsbóta fyrir starfsmenn aðila sem lúta opinberu eftirliti með fjármálastarfsemi. Frumvarpið er til þess fallið að auka traust og trúverðugleika fjármálamarkaðarins og getur ávinningur þess því orðið töluverður. Eitt markmið breytinganna er að hægt verði að upplýsa fyrr um brot á fjármálamarkaði og með því megi takmarka frekari brot á lögum og áhrif þeirra, þar á meðal efnahagsleg áhrif.
Ekki verður séð að samþykkt frumvarpsins muni hafa áhrif á útgjöld ríkissjóðs verði það óbreytt að lögum.
Um einstakar greinar frumvarpsins.
Um 1. gr.
Með ákvæðinu er lagt til að fjármálafyrirtækjum hér á landi verði gert skylt að setja upp ferla til þess að taka við og fylgja eftir tilkynningum starfsmanna um brot, möguleg brot og tilraun til brota á lögum og stjórnvaldsfyrirmælum sem gilda um starfsemi fjármálafyrirtækja. Við mat á því hvað teljist til laga og stjórnvaldsfyrirmæla sem gilda um starfsemi fjármálafyrirtækja samkvæmt lögum þessum skal miða við starfsemi sem sætir eftirliti Fjármálaeftirlitsins, þar á meðal samkvæmt lögum nr. 87/1998, um opinbert eftirlit með fjármálastarfsemi, og eftirliti Seðlabanka Íslands samkvæmt lögum nr. 36/2001, um Seðlabanka Íslands, þar á meðal um laust fé lánastofnana. Vísað er í umfjöllun í 3. kafla greinargerðarinnar um gildissvið ákvæðisins. Með hugtakinu „starfsmaður“ samkvæmt ákvæðinu er bæði átt við starfsmenn í fullu starfi og þá sem vinna hlutastörf fyrir fjármálafyrirtæki. Hugtakið nær einnig til stjórnenda fyrirtækisins að undanskildum stjórnarmönnum þess og þeim sem hafa stöðu framkvæmdastjóra samkvæmt hlutafélagalögum. Þá tekur ákvæðið einnig til þeirra sem taka að sér verkefni fyrir fyrirtækið, t.d. sem verktakar, ýmist beint eða sem starfsmenn annars fyrirtækis. Hugtakið „starfsmaður“ skal því ekki túlkað þröngt. Ferlar samkvæmt ákvæðinu skulu ekki einungis taka til brota sem þegar hafa verið framin heldur einnig mögulegra brota og tilrauna til brota. Í 2. málsl. 1. mgr. greinarinnar kemur fram að ferlarnir skulu vera aðskildir öðrum ferlum en með því er átt við að reglur og verklag skal ekki tengjast öðrum reglum eða verklagi sem þegar er til staðar innan fjármálafyrirtækis. Þá skulu skrár fyrirtækja sem halda eiga utan um tilkynningar á grundvelli ferlanna ekki tengjast öðrum skrám þar sem önnur mál eru skráð. Einnig felst það í aðskildum ferlum að einungis ákveðinn einstaklingur skuli hafa það verkefni að taka á móti tilkynningum um brot. Ferlar skulu tryggja að hægt sé að tilkynna um brot nafnlaust. Möguleiki á nafnleynd kann að veita starfsmönnum ákveðið öryggi sem getur orðið hvatning til að tilkynna brot. Þrátt fyrir að ferlar heimili nafnlausar tilkynningar ber ekki að skilja slíka heimild þannig að verið sé að hvetja til nafnleyndar. Það liggur í hlutarins eðli að erfitt getur reynst að rannsaka brot án þess að fullnægjandi upplýsingar liggi fyrir. Ef tilkynnt er um brot undir nafni er tilkynning betur til þess fallin að hægt sé að rannsaka og upplýsa brot.
Í 2. mgr. er fjallað um þann sem tekur við tilkynningum um brot. Tryggt þarf að vera að staða viðkomandi sé þannig að hann sé nægilega sjálfstæður til að geta sinnt skyldum sínum, en það gæti t.d. verið regluvörður eða innri endurskoðandi. Með því er m.a. átt við að viðkomandi hafi í krafti stöðu sinnar aðgang að nauðsynlegum upplýsingum og heimildir til að kalla eftir gögnum. Hann skal geta sent tilkynningar til Fjármálaeftirlitsins eða lögreglu vegna grunsemda um brot án íhlutunar annarra, hvort heldur næstu yfirmanna eða stjórnar fjármálafyrirtækis. Einnig er þörf á því að staðgengill viðkomandi sé tilnefndur og gegni sambærilegri stöðu með sama sjálfstæði.
Í c-lið 2. mgr. 71. gr. tilskipunar 2013/36/ESB er mælt fyrir um vernd persónuupplýsinga, bæði gagnvart þeim sem tilkynnir um brot og þess sem sakaður er um brot. Með 3. mgr. greinarinnar er vísað til þess að lög um persónuvernd og meðferð persónuupplýsinga skuli gilda um tilkynningar, þar á meðal 8. og 9. gr. laganna um vinnslu persónuupplýsinga og IV. kafli laganna um leiðréttingu, eyðingu, lokun o.fl. Samkvæmt því ber að eyða upplýsingum þegar í stað í þeim tilvikum þegar órökstudd tilkynning berst sem inniheldur upplýsingar um að tiltekinn starfsmaður sé sakaður um brot. Sú ákvörðun að eyða upplýsingum er ávallt háð mati þess sem tekur á móti tilkynningu en rétt þykir að leggja áherslu á eyðingu gagna þegar það er yfir vafa hafið að tilkynningu er einungis ætlað að koma höggi á ákveðinn starfsmann en ekki upplýsa um brot. Við samningu 3. mgr. ákvæðisins var litið til greinar §2a í sænsku banka- og fjármálastarfsemislögunum og athugasemda í greinargerð með frumvarpi til laganna sem bætti ákvæðinu við lögin.
Í 4. mgr. greinarinnar er að finna heimild fyrir Fjármálaeftirlitið til þess að setja reglur um framkvæmd, þ.m.t. um móttöku og vinnslu tilkynninga. Sem fyrirmynd slíkra reglna mætti notast við framkvæmdartilskipun framkvæmdastjórnarinnar (ESB) 2015/2392 sem fjallar um verklag við móttöku tilkynninga um brot eða möguleg brot á reglugerð (ESB) nr. 569/2014 (MAR).
Um b-lið (60. gr. b).
Ákvæðið fjallar um vernd starfsmanna vegna tilkynninga um brot í starfsemi fjármálafyrirtækis. Í 1. mgr. er mælt fyrir um þagnarskyldu þeirra sem falin hefur verið móttaka tilkynningar. Þagnarskyldan tekur til persónugreinanlegra upplýsinga og gildir gagnvart öðrum starfsmönnum fyrirtækisins, þar á meðal framkvæmdastjóra, stjórnarmönnum þess og utanaðkomandi aðilum. Þagnarskyldan varðar bæði þann sem tilkynnir um brot og þann sem tilkynningin varðar og tekur til upplýsinga sem rekja má beint eða óbeint til þeirra beggja. Um er að ræða persónuupplýsingar samkvæmt gildandi lögum og reglum á borð við nöfn, kennitölur, heimilisföng og aðrar sambærilegar upplýsingar sem gefa til kynna hvaða einstaklingi upplýsingarnar tilheyra eða um meintan geranda. Starfsmaður sem tilkynnir um brot skal geta treyst því að upplýsingum um hann verði haldið leyndum nema lög kveði á um annað. Í því skyni að auka gagnsæi og sem hvatning fyrir starfsmenn til að tilkynna um brot undir nafni er gert ráð fyrir að það liggi ljóst fyrir hverjir innan fyrirtækja fái vitneskju um þann sem tilkynnir. Ekki er talið æskilegt að aðrir starfsmenn fyrirtækis fái upplýsingar um þann sem tilkynnti um brot enda getur það fælt starfsmann frá því að tilkynna. Þá verður ekki talið að nauðsynlegt sé að æðstu stjórnendur fjármálafyrirtækis, t.d. stjórn og framkvæmdastjóri, fái upplýsingar um nafn eða aðrar persónugreinanlegar upplýsingar um þann sem tilkynnti um brot. Varði tilkynning hins vegar meint brot annars starfsmanns kemur þagnarskylda 1. mgr. ekki í veg fyrir að æðstu stjórnendur fái í kjölfar rannsóknar máls upplýsingar um þann starfsmann ef fjármálafyrirtæki telur þörf á að fylgja þeirri rannsókn eftir með einhvers konar aðgerðum og rökstuddur grunur er um brot eða brotavilja. Vernd starfsmanna nær til tilkynninga sem settar eru fram í góðri trú. Vernd starfsmanna samkvæmt ákvæðinu nær hins vegar ekki til tilkynninga um brot sem er gegn betri vitund.
Í 2. mgr. er lagt til að verndin taki til misréttis sem sá sem tilkynnir verður fyrir og rekja má til tilkynningar hans. Hugtakið „misrétti“ tekur bæði til fyrirvaralausrar uppsagnar með riftun ráðningarsamnings og uppsagnar með samningsbundnum uppsagnarfresti. Einnig er hugtakinu ætlað að ná yfir stöðulækkun, tilfærslu í starfi, opinbera nafngreiningu án samþykkis, einelti, ærumeiðingar, meingerð, ólögmæta mismunun, eða einhverjar aðrar sambærilegar aðgerðir vegna tilkynningar um brot. Skoðanaágreiningur eða ágreiningur vegna ólíkra hagsmuna fellur þó ekki undir málsgreinina og þá getur starfsmaður ekki átt þá kröfu að hann sinni ákveðnum verkefnum innan fyrirtækisins eða að aðrir samstarfsmenn hans sinni þeim ekki. Rétt er að tilgreina sérstaklega að málsgreinin felur ekki í sér bann við því að fjármálafyrirtæki víki starfsmanni frá störfum, lækki hann í tign eða færi til í starfi. Ef fjármálafyrirtæki grípur hins vegar til slíkra aðgerða og þær eru bein eða óbein afleiðing af tilkynningu starfsmanns getur fjármálafyrirtækið orðið skaðabótaskylt gagnvart starfsmanninum. Slíkar aðgerðir verða því að byggjast á öðrum ástæðum en þeim að starfsmaður hafi á einhverjum tímapunkti í störfum sínum tilkynnt um brot. Í ákvæðinu er lagt til að vernd starfsmanna taki einnig til tilkynninga sem berast Fjármálaeftirlitinu á grundvelli laga um opinbert eftirlit með fjármálastarfsemi, nr. 87/1998. Starfsmaður fjármálafyrirtækis sem ekki treystir sér til eða kýs frekar að koma tilkynningu á framfæri við Fjármálaeftirlitið í stað viðkomandi fjármálafyrirtækis nýtur verndar vegna tilkynningar sinnar.
Í 3. mgr. er lögð til sérstök skaðabótaregla. Fjármálafyrirtæki sem beitir misrétti gagnvart starfsmanni vegna tilkynningar hans um brot skal vera skaðabótaskylt samkvæmt almennum reglum. Skilyrði skaðabótaskyldu er að um saknæma háttsemi sé að ræða og skulu skaðabætur taka til fjártjóns og miska.
Um 2. gr.
Um 3. gr.
Í 2. mgr. er kveðið á um að ferlar Fjármálaeftirlitsins skuli vera aðskildir öðrum ferlum, tilkynningar skuli geta borist nafnlaust, og þá er einnig mælt fyrir um sérstaka þagnarskyldu vegna tilkynningar um brot í starfsemi aðila sem lúta opinberu eftirliti með fjármálastarfsemi. Varðandi skýringu á því hvað felst í aðskildum ferlum vísast til skýringa við 1. gr. frumvarpsins að því undanskildu að ekki er gerð sú krafa til Fjármálaeftirlitsins að einungis ákveðnir starfsmenn innan stofnunarinnar skuli hafa það verkefni að taka á móti tilkynningum um brot. Þeir verndarhagsmunir að starfsmaður fjármálafyrirtækis skuli geta treyst því að samstarfsmenn hans fái ekki vitneskju um tilkynningu hans eiga vart við um starfsmenn Fjármálaeftirlitsins. Ekki þykir ástæða til að takmarka svigrúm Fjármálaeftirlitsins að þessu leyti þrátt fyrir að ekki megi annars vænta en að ákveðinn starfsmaður eða deild innan Fjármálaeftirlitsins komi til með að hafa það verkefni að taka á móti tilkynningum um brot.
Með greininni er lagt til að persónuupplýsingar sem fram koma í tilkynningu til Fjármálaeftirlitsins lúti þagnarskyldu. Ákvæði 2. mgr. mælir fyrir um sérstaka þagnarskyldu í skilningi 1. mgr. 13. gr. laganna. Í d-lið 2. mgr. 71. gr. tilskipunarinnar segir að allar upplýsingar um persónu þess sem tilkynnir skuli fara leynt. Gera megi þó undantekningu frá þessu þegar um meðferð sakamáls er að ræða. Upplýsingar um þann sem tilkynnir um brot á grundvelli greinarinnar ættu því að sæta takmörkun á grundvelli 17. gr. stjórnsýslulaga. Þá má ganga út frá því að upplýsingalög yrðu túlkuð á sama hátt varðandi upplýsingar um þann sem tilkynnir um brot.
Um 4. gr.
Um 5. gr.
1 Á ensku: Directive 2013/36/EU of the European Parliament and of the Council of 26 June 2013 on access to the activity of credit institutions and the prudential supervision of credit institutions and investment firms, amending Directive 2002/87/EC and repealing Directives 2006/48/EC and 2006/49/EC and Regulation (EU) No 575/2013 of the European Parliament and of the Council of 26 June 2013 on prudential requirements for credit institutions and investment firms and amending Regulation (EU) No 648/2012.
