Hvitvaskingsloven

Formålet med loven er å legge til rette for innsamling og annen behandling av helseopplysninger, for å fremme helse, forebygge sykdom og skade og gi bedre helse- og omsorgstjenester. Loven skal sikre at behandlingen foretas på en etisk forsvarlig måte, ivaretar den enkeltes personvern og brukes til individets og samfunnets beste.

Loven gjelder for behandling av helseopplysninger til statistikk, helseanalyser, forskning, kvalitetsforbedring, planlegging, styring og beredskap i helse- og omsorgsforvaltningen og helse- og omsorgstjenesten.

For opplysninger som er taushetsbelagte etter helsepersonelloven § 21, og for opplysninger om avdøde personer gjelder bestemmelsene her om behandling av helseopplysninger så langt de passer.

Loven gjelder også tilsvarende for behandling av opplysninger i Helsearkivregisteret i Norsk helsearkiv.

Loven gjelder ikke for behandling av helseopplysninger som reguleres av helseforskningsloven eller pasientjournalloven.

Kongen i statsråd kan i forskrift bestemme at loven helt eller delvis skal gjelde for behandling av helseopplysninger utenfor helse- og omsorgsforvaltningen eller helse- og omsorgstjenesten.

Loven gjelder for dataansvarlige som er etablert i Norge. Kongen kan i forskrift bestemme at loven helt eller delvis skal gjelde for Svalbard og Jan Mayen, og kan fastsette særlige regler om behandling av helseopplysninger for disse områdene.

(1) Forhandlere av gjenstander kan ikke motta vederlag i kontanter på 40 000 kroner eller mer eller et tilsvarende beløp i utenlandsk valuta. Dette gjelder også der oppgjøret gjennomføres i flere operasjoner.

(2) Skattekontoret fører kontroll med at første ledd blir overholdt. Ved kontrollen gjelder skatteforvaltningsloven §§ 10-1, 10-2, 10-4, 10-10, 10-11, 10-12, 10-13 og 10-14 tilsvarende så langt de passer.

Rapporteringspliktige skal ved anvendelsen av denne loven legge til grunn vurderinger av risiko for hvitvasking og terrorfinansiering.

(1) Rapporteringspliktige skal identifisere og vurdere risikoen for hvitvasking og terrorfinansiering knyttet til sin virksomhet.

(3) Rapporteringspliktige skal særskilt vurdere risikoen for hvitvasking og terrorfinansiering før nye produkter og tjenester tilbys og før ny teknologi tas i bruk.

(4) Rapporteringspliktiges risikovurderinger skal tilpasses virksomhetens art og omfang.

(5) Risikovurderingene skal dokumenteres, holdes oppdatert og stilles til rådighet for tilsynsmyndigheten.

(1) Rapporteringspliktige skal ha oppdaterte rutiner for å sikre at virksomheten håndterer identifisert risiko og oppfyller plikter etter bestemmelser gitt i eller i medhold av loven her.

(2) Rutinene skal tilpasses virksomhetens art og omfang.

(3) Rutinene skal dokumenteres og stilles til rådighet for tilsynsmyndigheten.

(4) Rutinene skal være fastsatt på øverste nivå hos den rapporteringspliktige.

(5) Det skal utpekes en person i ledelsen som skal ha et særskilt ansvar for å følge opp rutinene.

(6) I konserner skal rutinene fastsettes og følges både på konsernnivå og i filialer og majoritetseide datterselskaper. Den rapporteringspliktige skal utarbeide rutiner for behandling av opplysninger i tråd med §§ 22 sjette ledd og 31, jf. § 28 tredje ledd.

(1) Rapporteringspliktige skal gjennomføre kundetiltak etter §§ 10 til 20 og løpende oppfølging etter § 24 på grunnlag av en vurdering av risiko for hvitvasking og terrorfinansiering. Risikoen skal vurderes ut fra blant annet kundeforholdets formål, mengden kundemidler som skal inngå i kundeforholdet, transaksjoners størrelse, og regelmessigheten og varigheten på kundeforholdet.

(2) For dette formål kan rapporteringspliktige utarbeide standardiserte risikoprofiler for kundene basert på virksomhetens risikovurdering etter § 7 og kriteriene nevnt i første ledd. Kundens risikoprofil må holdes oppdatert.

(3) Rapporteringspliktige skal kunne påvise at omfanget av utførte tiltak er tilpasset den aktuelle risikoen.

(2) Beløpsgrensene i første ledd bokstav b nr. 1, 3 og 4 beregnes samlet for transaksjoner som gjennomføres i flere operasjoner, som ser ut til å ha sammenheng. Dersom beløpet ikke er kjent når transaksjonen gjennomføres, skal kundetiltak foretas så snart den rapporteringspliktige blir kjent med at beløpsgrensen er oversteget.

(3) Departementet kan i forskrift gi nærmere regler om plikt til å gjennomføre kundetiltak og unntak fra plikt til å gjennomføre kundetiltak ved utstedelse av elektroniske penger.

(1) Kundetiltak skal gjennomføres før etablering av kundeforholdet eller utføring av transaksjonen.

(2) Opplysninger om kundens identitet bekreftes ved personlig fremmøte ved gyldig legitimasjon. Dersom bekreftelse av identiteten skal skje uten personlig fremmøte, skal det fremlegges ytterligere dokumentasjon eller gjennomføres ytterligere tiltak. Opplysninger om identiteten til personer som handler på vegne av kunden eller er gitt disposisjonsrett over en konto eller et depot, bekreftes ved gyldig legitimasjon. Retten til å handle på vegne av kunden bekreftes ved skriftlig dokumentasjon.

(3) Det skal avgjøres om det finnes en reell rettighetshaver i tillegg til kunden. Dersom det er en reell rettighetshaver, skal det innhentes opplysninger som er tilstrekkelige til å vite hvem vedkommende er. Opplysninger om reell rettighetshavers identitet skal bekreftes ved egnede tiltak.

(4) Rapporteringspliktige skal ha systemer for å avgjøre om kunden, personer som kan handle på vegne av kunden eller er gitt disposisjonsrett over en konto eller et depot, eller reell rettighetshaver, er politisk eksponert person eller nært familiemedlem eller kjent medarbeider til en politisk eksponert person. Regler om kundetiltak overfor politisk eksponerte personer er gitt i § 18.

(5) Rapporteringspliktige skal innhente og vurdere nødvendige opplysninger om kundeforholdets formål og tilsiktede art.

(6) Departementet kan i forskrift gi nærmere regler om bekreftelse av identiteten til fysiske personer, herunder hva som utgjør gyldig legitimasjon, og krav til ytterligere dokumentasjon eller tiltak ved bekreftelse av identitet uten personlig oppmøte.

(2) Opplysninger som nevnt i første ledd bokstav a til e, skal bekreftes ved oppslag mot eller utskrift fra et offentlig register eller firmaattest, som ikke er eldre enn tre måneder. Opplysninger om fysiske personer som handler på vegne av en juridisk person, skal bekreftes i samsvar med § 12 annet ledd. Retten til å handle på vegne av den juridiske personen skal også bekreftes i samsvar med § 12 annet ledd.

(3) Det skal innhentes opplysninger om reelle rettighetshavere som er identifisert i samsvar med § 14. Opplysningene skal entydig identifisere den eller de reelle rettighetshaverne. Det skal gjennomføres egnede tiltak for å bekrefte reelle rettighetshaveres identitet. Dersom rapporteringspliktige etter å ha gjennomført alle rimelige tiltak enten mener det ikke finnes en reell rettighetshaver, eller mener det er tvil om at den eller de personene som er identifisert, er reelle rettighetshavere, kan opplysninger om styret og daglig leder eller tilsvarende innhentes, forutsatt at det ikke er mistanke om hvitvasking eller terrorfinansiering. Det skal dokumenteres hva som er gjort for å identifisere reelle rettighetshavere.

(4) Rapporteringspliktige skal ha systemer for å avgjøre om personer som kan handle på vegne av kunden eller er gitt disposisjonsrett over en konto eller et depot, eller reell rettighetshaver er politisk eksponert person eller nært familiemedlem eller kjent medarbeider til en politisk eksponert person. Regler om kundetiltak overfor politisk eksponerte personer er gitt i § 18.

(5) Rapporteringspliktige skal innhente og vurdere nødvendige opplysninger om kundeforholdets formål og tilsiktede art.

(6) Departementet kan i forskrift gi nærmere regler om innhenting og bekreftelse av opplysninger etter denne bestemmelsen.

(2) Rapporteringspliktige skal ikke identifisere reelle rettighetshavere når kunden er et selskap med eierandeler opptatt til handel på regulert marked i EØS-stat eller er underlagt tilsvarende informasjonsplikt som det som gjelder ved notering på regulert marked i EØS-stat. Det samme gjelder når kunden er et majoritetseid datterselskap av et selskap som nevnt i første punktum.

(5) Departementet kan i forskrift gi nærmere regler om identifisering av reelle rettighetshavere etter denne bestemmelsen.

(1) Forsikringsforetak skal identifisere oppnevnt begunstiget etter forsikringsavtale, jf. forsikringsavtaleloven § 15-2. En begunstigets identitet skal bekreftes etter § 12 annet ledd ved utbetaling etter avtalen eller når begunstiget på andre måter utøver sine rettigheter. Reelle rettighetshavere til begunstiget skal identifiseres og identiteten bekreftes i samsvar med §§ 12 og 14. Dersom forsikringsforetak blir klar over en overdragelse av rettighetene etter en livsforsikringsavtale, skal reelle rettighetshavere identifiseres så raskt som mulig etter overdragelsen.

(2) Forsikringsforetaket skal senest ved utbetaling eller overdragelse av forsikringen gjøre egnede tiltak for å avdekke om den begunstigede, eventuelt reelle rettighetshavere til den begunstigede, er en politisk eksponert person eller nært familiemedlem eller kjent medarbeider til en politisk eksponert person.

(3) Eiendomsmegler skal før oppgjør også gjennomføre kundetiltak etter §§ 12, 13, 14, 16, 17 og 18 overfor oppdragsgiverens medkontrahent.

(4) Departementet kan i forskrift gi nærmere regler om hvilke forsikringsavtaler som faller inn under første ledd.

(1) Dersom det er lav risiko for hvitvasking eller terrorfinansiering, kan rapporteringspliktige gjennomføre forenklede kundetiltak. Forenklede kundetiltak kan ikke gjennomføres når rapporteringspliktige har mistanke om hvitvasking eller terrorfinansiering.

(2) Ved forenklede kundetiltak kan krav til bekreftelse av reelle rettighetshaveres identitet og retten til å handle på vegne av kunden etter §§ 12 og 13 lempes. Det samme gjelder kravet til å innhente og vurdere nødvendige opplysninger om kundeforholdets formål og tilsiktede art etter §§ 12 og 13 femte ledd.

(3) Departementet kan i forskrift gi nærmere regler om forenklede kundetiltak.

(1) Dersom det er høy risiko for hvitvasking eller terrorfinansiering, skal rapporteringspliktige gjennomføre forsterkede kundetiltak.

(2) Ved forsterkede kundetiltak etter første ledd skal rapporteringspliktige, i tillegg til å oppfylle kravene til å innhente og bekrefte opplysninger etter §§ 12, 13, 14 og 15, iverksette ytterligere nødvendige tiltak for å sikre kjennskap om kunden, reelle rettighetshavere og kundeforholdets formål og tilsiktede art.

(3) Departementet kan i forskrift gi nærmere regler om forsterkede kundetiltak.

(1) Rapporteringspliktige skal gjennomføre forsterkede kundetiltak når kunden, personer som handler på vegne av kunden eller er gitt disposisjonsrett over en konto eller et depot, eller reelle rettighetshavere er en politisk eksponert person.

(3) Er den begunstigede eller reelle rettighetshavere til den begunstigede en politisk eksponert person eller nært familiemedlem eller kjent medarbeider til en politisk eksponert person, skal forsikringsforetaket påse at overordnet informeres før utbetaling og gjennomføre særlig forsterket kontroll med hele kundeforholdet.

(4) Rapporteringspliktige skal gjennomføre tiltakene etter første til tredje ledd i minst ett år etter at den politisk eksponerte personen avsluttet stillingen eller vervet, jf. § 9.

(5) Første til fjerde ledd gjelder tilsvarende overfor nære familiemedlemmer og kjente medarbeidere til en politisk eksponert person.

(2) Med oppgjørskonto som nevnt i første ledd bokstav e, menes konto hos rapporteringspliktig som kan disponeres av tredjepart som er kunde av respondentinstitusjon.

(1) Rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til l, n og o, skal ikke inngå eller opprettholde korrespondentforbindelse med tomt bankselskap. Rapporteringspliktige som nevnt skal treffe egnede tiltak for å sikre at det ikke inngås eller opprettholdes korrespondentforbindelse med institusjon som er kjent for å tillate at konti brukes av tomt bankselskap.

(2) Med tomt bankselskap menes foretak som driver tilsvarende virksomhet som nevnt i § 4 første ledd bokstav a til c, e, g til l, n og o, som er opprettet i stat der foretaket ikke er fysisk til stede med en reell ledelse og administrasjon, og som ikke er tilknyttet et regulert finanskonsern.

(1) Dersom kundetiltak, herunder eventuelle påkrevde forsterkede kundetiltak, ikke kan gjennomføres, skal rapporteringspliktige ikke etablere kundeforholdet eller utføre transaksjonen. Rapporteringspliktige skal vurdere om det er grunnlag for nærmere undersøkelser og rapportering i samsvar med §§ 25 og 26.

(2) Første ledd gjelder ikke når en advokat eller annen som ervervsmessig eller stadig yter selvstendig rettshjelp, fastslår en klients rettsstilling eller bistår en klient i forbindelse med rettergang.

(2) Adgang til å legge til grunn kundetiltak utført av en tredjepart medfører ikke unntak fra den rapporteringspliktiges plikt til å registrere og lagre opplysninger og dokumenter etter § 30 eller ansvar for at kundetiltak gjennomføres i samsvar med bestemmelser i eller i medhold av loven her.

(3) Rapporteringspliktige skal i avtalen forsikre seg om at tredjeparten overholder tilsvarende krav som følger av loven her.

(5) Utlevering av opplysninger og dokumenter fra en tredjepart i samsvar med denne paragrafen medfører ikke brudd på lovbestemt taushetsplikt når kunden informeres om at opplysningene og dokumentene utleveres.

(7) Departementet kan i forskrift gi regler om unntak fra første ledd annet punktum. Departementet kan i forskrift gi regler om at andre rapporteringspliktige kan opptre som tredjepart.

En dataansvarlig som behandler opplysninger etter forskrift i medhold av §§ 8 til 11, skal av eget tiltak informere allmennheten om hva slags behandling av helseopplysninger som foretas.

Den registrerte har rett til informasjon og innsyn i henhold til personvernforordningen artikkel 13 til 15. Retten til informasjon og innsyn gjelder ikke opplysninger som omfattes av unntakene i personopplysningsloven §§ 16 og 17.

Den registrerte har også rett til innsyn i hvem som har hatt tilgang til eller fått utlevert helseopplysninger som er knyttet til den registrertes navn eller fødselsnummer, fra helseregistre etter §§ 8 til 11. Departementet kan i særlige tilfeller gi den dataansvarlige en tidsbegrenset dispensasjon fra plikten til å gi innsyn etter dette leddet.

Når det er nødvendig for å vurdere innsynskrav, kan den dataansvarlige innhente personopplysninger fra Folkeregisteret. Dette gjelder uten hensyn til taushetsplikt.

Kongen kan i forskrift gi nærmere bestemmelser om retten til informasjon og innsyn.

(1) Dersom rapporteringspliktige avdekker forhold som kan indikere at midler har tilknytning til hvitvasking eller terrorfinansiering, skal det foretas nærmere undersøkelser.

Datatilsynet fører tilsyn med overholdelsen av loven og forskrifter gitt i medhold av loven. Dette gjelder ikke for tilsynsoppgaver som påligger Statens helsetilsyn eller statsforvalteren etter helsetilsynsloven.

(1) Rapporteringspliktige kan behandle personopplysninger for å oppfylle forpliktelser i loven her eller forskrifter gitt i medhold av loven.

(2) Personopplysningsloven gjelder ved rapporteringspliktiges behandling av personopplysninger etter loven her med mindre annet fremgår av bestemmelser gitt i eller i medhold av loven.

(3) Departementet kan i forskrift gi nærmere regler om rapporteringspliktiges behandling av personopplysninger. Forskriften kan gi hjemmel til behandling av sensitive personopplysninger.

(1) Rapporteringspliktige skal registrere og lagre opplysninger og dokumenter som er innhentet og utarbeidet i forbindelse med tiltak etter §§ 9 til 26, i fem år etter at kundeforholdet ble avsluttet eller transaksjonen ble gjennomført. Lagringen skal være betryggende og hindre uautorisert tilgang fra uvedkommende. Plikten gjelder ikke registrering eller lagring av adresse som er registrert som fortrolig eller strengt fortrolig i folkeregisteret.

(2) Når femårsfristen er utløpt, skal personopplysningene slettes. Andre opplysninger kan lagres lenger. Reglene her begrenser ikke plikten til å lagre eller oppbevare opplysninger og dokumenter etter annet regelverk.

(3) Rapporteringspliktige skal ha systemer som muliggjør raske og fullstendige svar på forespørsler fra Økokrim, tilsynsmyndigheten eller andre offentlige myndigheter om vedkommende har eller i løpet av de siste fem år har hatt kundeforhold til konkrete personer og om kundeforholdets art.

(4) Departementet kan i forskrift gi nærmere regler om hvordan opplysninger og dokumenter skal registreres og lagres, samt om lagring av personopplysninger utover fem år. Samlet lagringstid for personopplysninger kan ikke overstige ti år.

(1) Departementet kan gi forskrift om at rapporteringspliktige som nevnt i § 4 første ledd bokstav a, b, c, e, g, h til k, n og o som er del av samme konsern og etablert i EØS, seg imellom kan utveksle opplysninger og dokumenter som er innhentet eller utarbeidet etter loven her eller forskrift gitt i medhold av loven her. Forskriften kan også omfatte tilsvarende utveksling av opplysninger og dokumenter med filialer og majoritetseide datterselskaper i tredjeland, dersom rutinene som er fastsatt etter § 8 sjette ledd, også gjelder for filialen eller datterselskapet.

(2) Med mindre Økokrim bestemmer noe annet, skal rapporteringspliktige som nevnt i § 4 første ledd bokstav a, b, c, e, g, h til k, n og o, uten hinder av taushetsplikt utlevere opplysninger om at det er oversendt opplysninger til Økokrim etter § 26 første ledd første punktum til andre rapporteringspliktige som nevnt i samme konsern som er etablert i EØS, samt til filialer og majoritetseide datterselskaper i tredjeland, såfremt rutinene etter § 8 sjette ledd også gjelder for filialen eller datterselskapet.

(3) Rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c og j, kan uten hinder av taushetsplikt utveksle nødvendige kundeopplysninger seg imellom når det anses nødvendig som ledd i nærmere undersøkelser etter § 25.

(4) Departementet kan i forskrift gi nærmere regler om utveksling av opplysninger etter første, annet og tredje ledd.

Loven trer i kraft fra den tid Kongen bestemmer. Fra samme tid oppheves lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger.

Kongen kan bestemme at de enkelte bestemmelsene i loven skal tre i kraft til ulik tid.

Forskrifter gitt i medhold av lov 18. mai 2001 nr. 24 om helseregistre og behandling av helseopplysninger gjelder også etter at loven her har trådt i kraft. Dette gjelder selv om forskriften ikke har alle bestemmelser som kreves etter § 8 fjerde ledd.

(1) Økokrim skal slette opplysninger som er oversendt etter § 26, senest fem år etter at opplysningene ble registrert, med mindre det i dette tidsrommet er registrert nye opplysninger eller det er foretatt etterforsknings- eller rettergangsskritt mot den registrerte. Lagringstiden skal uansett ikke overstige femten år.

(2) Økokrim kan gi opplysninger som er oversendt etter § 26, videre til andre offentlige myndigheter som arbeider med forebygging av forhold som rammes av straffeloven §§ 131 til 136 a. Økokrim kan også gi opplysninger som er oversendt etter § 26 videre til Skatteetaten og Tolletaten til bruk i deres arbeid med skatt, avgift og tollavgift.

(3) Departementet kan i forskrift gi nærmere regler om Økokrims og politiets behandling av mottatte opplysninger, herunder om sletting av opplysninger.

(1) Rapporteringspliktige skal gjennom internkontroll i virksomheten sørge for at loven her overholdes.

(1) Rapporteringspliktige skal sikre at ansatte og andre som utfører oppdrag for foretaket, gis opplæring slik at de er kjent med virksomhetens forpliktelser etter loven her og i stand til å gjenkjenne forhold som kan indikere hvitvasking og terrorfinansiering.

(2) Opplæringen skal gis jevnlig slik at kunnskapen vedlikeholdes og oppdateres.

(1) Rapporteringspliktige skal sørge for at den som rapporterer om mistanke om hvitvasking eller terrorfinansiering til Økokrim, ikke utsettes for trusler og lignende reaksjoner som følge av rapportering.

(2) Dersom en risikovurdering av virksomhetens art og omfang tilsier det, skal rapporteringspliktige opprette et uavhengig system for anonym varsling av overtredelse av loven eller forskrift gitt i medhold av loven.

(1) Rapporteringspliktige som nevnt i § 4 første ledd bokstav a, b og c, skal ha elektroniske overvåkningssystemer for å avdekke forhold som kan indikere hvitvasking og terrorfinansiering.

(2) Finanstilsynet kan ved enkeltvedtak gjøre unntak fra første ledd.

(3) Departementet kan i forskrift pålegge andre rapporteringspliktige å ha elektroniske overvåkningssystemer og fastsette nærmere regler for elektroniske overvåkningssystemer.

(1) Rapporteringspliktige som driver virksomhet i annen EØS-stat, skal sikre at virksomheten overholder denne statens lovgivning som gjennomfører direktiv (EU) 2015/849.

(2) Rapporteringspliktige skal sikre at filialer eller majoritetseide datterselskaper i stater utenfor EØS (tredjeland) hvor kravene til forebygging og avdekking av hvitvasking og terrorfinansiering er lempeligere enn etter loven her, følger bestemmelser gitt i eller i medhold av loven her, såfremt lovgivningen i tredjelandet tillater det.

(3) Dersom lovgivningen i tredjelandet ikke tillater at bestemmelser gitt i eller i medhold av denne lov følges, skal rapporteringspliktige iverksette ytterligere tiltak for å avdekke og forebygge hvitvasking og terrorfinansiering og underrette tilsynsmyndigheten om tiltakene.

(5) Departementet kan i forskrift gi nærmere regler om tiltak etter tredje ledd.

Departementet kan i forskrift gi nærmere regler om krav om nasjonalt kontaktpunkt for agenter av utenlandske betalingsforetak og e-pengeforetak, herunder plikter for kontaktpunktet.

Forvaltere av utenlandske truster eller lignende juridiske arrangementer har plikt til å opplyse om forvalterforholdet når rapporteringspliktige gjennomfører kundetiltak som følge av at forvalteren etablerer et kundeforhold eller utfører en transaksjon som forvalter.

(1) Virksomhetstjenester kan bare tilbys av fysiske og juridiske personer som er autorisert av Finanstilsynet. Autorisasjon gis etter søknad. Autorisasjon fra Finanstilsynet er likevel ikke nødvendig for advokater, statsautoriserte regnskapsførere, regnskapsselskaper, statsautoriserte og registrerte revisorer og godkjente revisjonsselskaper.

(2) Autorisasjon skal ikke gis til fysiske personer som anses uegnet fordi vedkommende er dømt for straffbart forhold, og det straffbare forholdet gir grunn til å anta at vedkommende ikke vil kunne ivareta stillingen eller vervet på en forsvarlig måte, eller i stilling eller ved utøvelsen av andre verv har utvist en slik adferd at det er grunn til å anta at vedkommende ikke vil kunne ivareta stillingen eller vervet på en forsvarlig måte.

(3) For juridiske personer som søker om autorisasjon til å tilby virksomhetstjenester, gjelder tilsvarende krav til egnethet som nevnt i annet ledd, for reelle rettighetshavere, styremedlemmer, daglig leder og andre personer i den faktiske ledelsen av virksomheten. Ved endringer i posisjoner som nevnt i første punktum, skal det gis skriftlig melding til Finanstilsynet.

(4) Ved søknad om autorisasjon og melding om endring av stilling, verv eller funksjon etter tredje ledd annet punktum skal det legges frem ordinær politiattest etter politiregisterloven § 40.

(5) Departementet kan i forskrift gi nærmere regler om autorisasjonsordningen.

(6) Dersom vilkårene for autorisasjon ikke lenger er oppfylt, kan Finanstilsynet tilbakekalle autorisasjonen.

(1) Tilsynsmyndighetene skal føre tilsyn med at rapporteringspliktige overholder bestemmelser gitt i eller i medhold av loven.

(3) Regler om Finanstilsynets og Advokattilsynets gjennomføring av tilsyn følger av finanstilsynsloven og advokatloven.

(1) Lotteritilsynet kan foreta de undersøkelsene som anses nødvendige for å føre tilsyn etter § 43, herunder føre tilsyn hos tilbydere av spilltjenester.

(2) Tilbyder av spilltjenester plikter å gi de opplysningene og dokumentene som Lotteritilsynet krever.

(1) Enhver som utfører arbeid eller tjeneste for tilsynsmyndigheten eller tilsynsmyndighetens klageinstans, har taushetsplikt overfor uvedkommende om opplysninger som omhandler tiltak og sanksjoner som knytter seg til overtredelse av regler i loven her eller forskrifter i medhold av loven, så lenge offentliggjøring av opplysningene kan skape alvorlig uro på finansmarkedene eller påføre de berørte parter uforholdsmessig stor skade. Forvaltningsloven §§ 13, 13 b til 13 e og 13 g gjelder ikke for opplysninger som nevnt i første punktum.

(2) Enhver som utfører arbeid eller tjeneste for tilsynsmyndigheten eller klageinstansen, har taushetsplikt overfor uvedkommende om identiteten til personer som har gitt meldinger, tips eller liknende opplysninger om overtredelser av loven og tilhørende forskrifter, og om andre opplysninger som kan gjøre identiteten kjent, med mindre bruk av opplysningene er nødvendig som ledd i ytterligere undersøkelser av overtredelsen eller etterfølgende rettsforfølgning av saken. Taushetsplikten etter første punktum gjelder også overfor sakens parter og deres representanter.

Dersom tilsynsmyndigheten får mistanke om at det foreligger forhold med tilknytning til hvitvasking eller terrorfinansiering, skal opplysninger om dette oversendes Økokrim.

(1) Tilsynsmyndigheten kan gi rapporteringspliktige pålegg om at forhold i strid med loven eller forskrift gitt i medhold av loven skal opphøre. Tilsynsmyndigheten kan sette en frist for oppfyllelse av pålegget.

(2) Dersom rapporteringspliktige ikke etterkommer pålegg etter første ledd innen den fastsatte fristen, kan tilsynsmyndigheten ilegge tvangsmulkt. Departementet kan i forskrift gi nærmere regler om fastsettelse av tvangsmulkt, herunder mulktens størrelse.

(1) Dersom en rapporteringspliktig fysisk person har overtrådt en bestemmelse gitt i eller i medhold av loven her og overtredelsen medfører at vedkommende anses uskikket til å ha ledelsesfunksjon i rapporteringspliktig foretak, kan tilsynsmyndigheten forby vedkommende å ha slike ledelsesfunksjoner.

(2) Dersom et rapporteringspliktig foretak har overtrådt en bestemmelse gitt i eller i medhold av loven her og overtredelsen medfører at en person med ledelsesfunksjon eller en annen ansatt i foretaket som kan holdes ansvarlig for overtredelsen, anses uegnet til å ha ledelsesfunksjon i rapporteringspliktig foretak, kan tilsynsmyndigheten forby vedkommende å ha slike ledelsesfunksjoner. Det samme gjelder andre som utfører oppdrag på vegne av foretaket.

(3) Opplysninger om ilagte forbud kan utveksles mellom tilsynsmyndighetene.

(1) Dersom rapporteringspliktige eller noen som har handlet på vegne av et rapporteringspliktig foretak, har overtrådt §§ 6 til 8, kapittel 4, §§ 25, 26, 27, 28, 30, 35, 36, 39, 42, forskrift gitt i medhold av disse bestemmelsene eller forskrift gitt i medhold av § 52, kan tilsynsmyndigheten ilegge den rapporteringspliktige overtredelsesgebyr. Overtredelsesgebyr kan ilegges rapporteringspliktige foretak selv om ingen enkeltperson har utvist skyld. Rapporteringspliktige som ikke er foretak, må ha utvist forsett eller grov uaktsomhet.

(2) Når overtredelsesgebyr ilegges foretak etter første ledd, kan overtredelsesgebyr i tillegg ilegges styremedlemmer eller daglig leder eller person i tilsvarende stilling i foretak uten styre eller daglig leder dersom vedkommende har utvist forsett eller grov uaktsomhet.

(3) Overtredelsesgebyr kan ilegges styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av rapporteringspliktige dersom vedkommende forsettlig eller grovt uaktsomt har overtrådt §§ 26 eller 28. Overtredelsesgebyr etter dette leddet kan ilegges uten at foretaket ilegges gebyr.

(4) Rapporteringspliktige som nevnt i § 4 første ledd bokstav d, f, l, m og o, annet og femte ledd, kan ilegges overtredelsesgebyr på inntil 9 millioner kroner. Det samme gjelder styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av rapporteringspliktige som nevnt i § 4 første ledd bokstav d, f, l, m og o, annet og femte ledd, dersom de kan ilegges overtredelsesgebyr etter annet og tredje ledd. Dersom det kan beregnes hvilken vinning som er oppnådd ved overtredelsen, kan det i stedet ilegges overtredelsesgebyr som tilsvarer inntil det dobbelte av vinningen.

(5) Rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til k, og n, kan ilegges overtredelsesgebyr på inntil 44 millioner kroner. Det samme gjelder styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av rapporteringspliktige som nevnt i § 4 første ledd bokstav a til c, e, g til k, og n, dersom de kan ilegges overtredelsesgebyr etter annet og tredje ledd. Dersom det kan beregnes hvilken vinning som er oppnådd ved overtredelsen, kan det i stedet ilegges overtredelsesgebyr som tilsvarer inntil det dobbelte av vinningen. For rapporteringspliktige kan overtredelsesgebyret ilegges med inntil 10 % av omsetningen i siste godkjente årsregnskap, dersom dette beløpet er høyere. Dersom rapporteringspliktige er del av konsern, skal siste godkjente konsoliderte årsregnskap legges til grunn.

(6) Departementet kan i forskrift gi nærmere regler om utmåling av overtredelsesgebyr.

(7) Adgangen til å ilegge overtredelsesgebyr foreldes fem år etter at overtredelsen har opphørt. Foreldelsesfristen avbrytes ved at tilsynsmyndigheten sender forhåndsvarsel eller fatter vedtak om overtredelsesgebyr.

(1) Med bøter straffes rapporteringspliktige foretak som overtrer §§ 9, 12, 13, 17, 18, 24, 25, 26, 28, 30 eller 42 eller forskrifter gitt i medhold av disse bestemmelsene. Når foretak kan straffes etter første punktum, kan styremedlemmer eller daglig leder, eller person i tilsvarende stilling i foretak uten styre eller daglig leder, straffes med bøter dersom vedkommende har utvist forsett eller grov uaktsomhet i forbindelse med overtredelsen. Ved særlig skjerpende omstendigheter kan fengsel inntil 1 år anvendes.

(2) Med bøter straffes rapporteringspliktige fysiske personer som forsettlig eller grovt uaktsomt overtrer §§ 9, 12, 13, 17, 18, 24, 25, 26, 28, 30 eller 42 eller forskrifter gitt i medhold av disse bestemmelsene. Ved særlig skjerpende omstendigheter kan fengsel inntil 1 år anvendes.

(3) Styremedlemmer, ledere, ansatte og andre som utfører oppdrag på vegne av foretaket, straffes med bøter dersom vedkommende forsettlig eller grovt uaktsomt overtrer § 26 eller § 28. Ved særlig skjerpende omstendigheter kan fengsel inntil 1 år anvendes.

Departementet kan i forskrift gi regler om hvilke opplysninger om avsender og mottaker som skal følge en betaling i betalingskjeden, samt regler om betalingstjenesteyteres opplysnings- og kontrollplikter.

Loven gjelder fra den tid Kongen bestemmer. Kongen kan sette i kraft de enkelte bestemmelsene i loven til forskjellig tid. Departementet kan gi overgangsregler.