6 Innsidelister

6.1 Gjeldende rett

Krav om listeføring av personer utenfor foretaket med tilgang til innsideinformasjon er regulert i vphl. § 2-2 tredje ledd. Etter bestemmelsen skal foretak med børsnoterte finansielle instrumenter eller med finansielle instrumenter notert på autorisert markedsplass, føre lister over personer som mottar opplysningene som nevnt i § 2-1 første ledd og som ikke er ansatt eller tillitsmann i foretaket. Dersom de aktuelle opplysningene skal oversendes børs eller autorisert markedsplass etter børsloven § 5-7 eller § 6-8, jf. § 5-7, skal listen vedlegges oversendelsen, samt oversendes til Kredittilsynet. Foretaket plikter å oppbevare listene i minst 10 år. Bestemmelsen er omtalt i NOU 1996:2 (s. 66-67) og Ot.prp. nr. 29 (1996-97) punkt 4.2.6.

Det følger av børsforskriften § 5-1 andre ledd andre punktum at selskapet skal innhente erklæring fra mottager av opplysningene om at denne forplikter seg til å holde disse hemmelig og til ikke å foreta tegning, salg, kjøp eller bytte av aksjer i selskapet eller rettigheter til slike før opplysningene er offentliggjort etter § 23-2 eller for øvrig har tapt sin aktualitet.

6.2 EØS-rett

Krav til føring av liste over nærmere angitte personer med tilgang til innsideinformasjon er fastsatt i direktivet art. 6 nr. 3 tredje ledd. Det er gitt utfyllende bestemmelser i tredje kommisjonsdirektiv art. 5. I følge fortalen til tredje kommisjonsdirektiv punkt 6 vil krav om føring av innsidelister over personer med tilgang til innsideinformasjon være et nyttig tiltak for å beskytte markedets integritet. Videre kan listene være et nyttig redskap for kompetente myndigheter som skal overvåke anvendelsen av lovgivningen mot markedsmisbruk. Direktivets art. 6 nr. 3 tredje ledd lyder:

«Member States shall require that issuers, or persons acting on their behalf or for their account, draw up a list of those persons working for them, under a contract of employment or otherwise, who have access to inside information. Issuers and persons acting on their behalf or for their account shall regularly update this list and transmit it to the competent authority whenever the latter requests it.»

Etter bestemmelsen skal utstedere (av finansielle instrumenter som omfattes av direktivet, jf. art. 9) eller personer som opptrer på deres vegne eller for deres regning, nedtegne deres ansatte, oppdragstagere og kontraktsmedhjelpere med tilgang til innsideinformasjon.

Direktivet oppstiller etter sin ordlyd ikke noe krav om tilknytning mellom innsideinformasjonen og pliktsubjektene (eller personene på listen). Etter art. 6 nr. 3 tredje ledd vil vurderingstemaet være om de aktuelle personene har tilgang til innsideinformasjon som sådan. Innsidelisten skal oppdateres «regularly» og oversendes kompetent myndighet på anmodning. Et foretaks innsideliste må holdes atskilt fra selskapets oversikt over meldepliktige, jf. nærmere om meldeplikt i kapittel 16.

Det er gitt nærmere krav til innsidelisten i tredje kommisjonsdirektiv art. 5. Etter art. 5 nr. 1 skal listen inkludere «all persons» med adgang til innsideinformasjon, «whether on a regular or occasional basis». I tredje kommisjonsdirektiv art. 5 nr. 2 og nr. 3 er det gitt regler om minimumsinnhold og oppdateringer:

«2. Lists of insiders shall state at least:

(a) the identity of any person having access to inside information;

(b) the reason why any such person is on the list;

(c) the date at which the list of insiders was created and updated.

3. Lists of insiders shall be promptly updated

(a) whenever there is a change in the reason why any person is already on the list;

(b) whenever any new person has to be added to the list;

(c) by mentioning whether and when any person already on the list has no longer access to inside information.»

I følge art. 5 nr. 2 skal listen oppdateres når identiteten eller funksjonen til en person på listen endres, årsaken til at vedkommende er på listen endres, samt når en ny person skal føres på listen.

Etter art. 5 nr. 3 skal listen som minimum inneholde opplysninger om identiteten til personene på listen, årsaken til at personene er på listen, samt dato for nedtegnelse og endring av listen. Det kreves ikke opplyst hvilken innsideinformasjon som gjør at vedkommende kom på listen.

Listen skal oppbevares i minst 5 år etter utarbeidelsen eller oppdateringen, jf. tredje kommisjonsdirektiv art. 5 nr. 4. Etter art. 5 nr. 5 plikter personer som må føre innsideliste, å påse at (andre) personer med tilgang til innsideinformasjon aksepterer de medfølgende rettslige og tilsynsmessige forpliktelser, og er klar over hvilke sanksjoner de kan bli pålagt ved misbruk eller utilbørlig sirkulasjon av slik informasjon:

«Member States shall ensure that the persons required to draw up lists of insiders take the necessary measures to ensure that any person on such a list that has access to inside information acknowledges the legal and regulatory duties entailed and is aware of the sanctions attaching to the misuse or improper circulation of such information.»

Bestemmelsen må ses i sammenheng med kravet om tilbørlig håndtering av innsideinformasjon, jf. omtale i kapittel 5 ovenfor.

6.3 Kredittilsynets forslag

Kredittilsynet omtaler krav om føring av innsidelister i høringsnotatet punkt 5.3 og 5.4. Kredittilsynet legger til grunn at tredje kommisjonsdirektiv art. 5 oppstiller minstevilkår, slik at det nærmere innholdet av innsidelisten, samt spørsmålet om når listen skal oppdateres, kan reguleres særskilt i nasjonal rett.

Kredittilsynet foreslår å gjennomføre direktivets krav om innsidelister i ny vphl. § 2-5 om liste over personer med tilgang til innsideinformasjon. Etter Kredittilsynets oppfatning virker det mest hensiktsmessig å innarbeide de utfyllende bestemmelsene i denne bestemmelsen, jf. tredje kommisjonsdirektiv art. 5. Kravene til listen over personer med tilgang til innsideinformasjon vil etter forslaget samles i verdipapirfondloven.

Kredittilsynet foreslår at plikten til å føre liste over personer med tilgang på innsideinformasjon pålegges utstedere av finansielle instrumenter. Dette vil også gjelde dersom en person opptrer på foretakets vegne eller for foretakets regning. Kredittilsynet legger imidlertid ikke opp til at foretaket selv må stå for selve listeføringen i alle situasjoner. Ansvaret for å påse at en rettidig listeføring finner sted, forblir imidlertid hos foretaket også når andre opptrer på dets vegne eller for dets regning.

Forslaget innebærer at utstedere skal sørge for at det føres en rettidig liste over personer som gis tilgang til innsideinformasjon. Dette medfører at listen må inneholde navn mv. til de personene som i profesjonell sammenheng gis tilgang til innsideinformasjon, herunder ansatte, tillitsvalgte mv. Kredittilsynet foreslår at bestemmelsen presiserer at medhjelpere, oppdragstakere mv. for juridiske personer som gis tilgang til innsideinformasjonen, også skal fremkomme av listen.

Kredittilsynet foreslår at listen skal oppdateres «fortløpende» istedenfor «promptly» ved endringer, jf. tredje kommisjonsdirektiv art. 5 nr. 3. Forslaget innebærer et krav om en ajourført liste over personer med tilgang til innsideinformasjon. Kredittilsynet antar at forskjellen fra direktivet på dette punktet er liten når rammedirektivet art. 6 nr. 3 tredje ledd sammenholdes med tredje kommisjonsdirektiv art. 5 nr. 2.

Når det gjelder listens innhold, uttaler Kredittilsynet bl.a. (høringsnotatet punkt 5.4):

«Når det gjelder det nærmere innholdet av listen, viser Kredittilsynet til omtalen av tredje kommisjonsdirektiv art. 5 nr. 2 og nr. 3 over. Bestemmelsen foreslås langt på vei implementert som den er. Enkelte presiseringer fremstår imidlertid som naturlige. Dato og klokkeslett personene fikk tilgang til innsideinformasjonen bør fremkomme. Det er i etterforskningsøyemed et vesentlig poeng at det så nøyaktig som mulig bringes på det rene når personene fikk tilgang til innsideinformasjonen. Samtidig er det klart at det for især store børsnoterte foretak vil kunne være vanskelig å ha oversikt over nøyaktig når ansatte mv. gis tilgang til innsideinformasjon. Kredittilsynet finner det ikke naturlig å innta noen kvalifikasjon i lovteksten i denne sammenheng. Det klare utgangspunkt blir derved at også klokkeslett skal angis. Når det gjelder oppbevaringsplikten for listen, foreslår Kredittilsynet 5 år i samsvar med art 5.

Kredittilsynet foreslår at tredje kommisjonsdirektiv art. 5 nr. 5 bygges ut noe og implementeres som nytt tredje ledd i § 2-5. All den tid art. 5 nr. 5 har klare likhetstrekk med børsf § 5-1 andre ledd andre punktum, antar Kredittilsynet at denne bør endres på et senere tidspunkt, jf høringsnotatets kapittel 8. Bestemmelsen bør presisere at personer som gis tilgang til innsideinformasjon, skal være kjent med sine plikter og sitt ansvar (for eksempel taushetsplikten), herunder straffeansvaret ved misbruk. Vilkåret innebærer for så vidt ingen plikt for utstederforetaket om å ta aktive skritt for å gjøre personene kjent med sine plikter og sitt ansvar. Forutsetningen er imidlertid at de aktuelle personene rent faktisk er inneforstått med hva slags opplysninger de gis tilgang til, samt pliktene og ansvaret dette medfører. For profesjonelle kan det etter omstendighetene legges til grunn at de er kjent med sine plikter og sitt ansvar. I den grad en person som gis tilgang til innsideinformasjon ikke er kjent med sine plikter og sitt ansvar, må utstederforetaket gjøre vedkommende kjent med dette. For å effektivisere håndhevelsen foreslås det at utstederforetakene skal kunne dokumentere overfor Kredittilsynet at personer med tilgang til innsideinformasjonen, har blitt gjort kjent med sine plikter. For utstederforetakenes del synes dette mest praktisk gjort ved bruk av erklæringer eller standard oppdragsvilkår.»

Kredittilsynet foreslår at brudd på plikten til å føre liste over personer med tilgang på innsideinformasjon sanksjoneres etter nærmere vilkår oppstilt i vphl. § 14-3. Det vises til høringsnotatets punkt 16.7.3.

Det vises for øvrig til Kredittilsynets vurderinger i høringsnotatet punkt 5.3.

6.4 Høringsinstansenes merknader

Norges Fondsmeglerforbund antar at utvidelsen av personkretsen (som må føres i slike lister) isolert må anses som et gode, fordi det kan bidra til å skjerpe informasjonshåndtering i utstederselskaper. Forbundet antar at det også vil medføre en del praktiske utfordringer for utstederselskapene, og bemerker at den avvikende definisjon av innsideinformasjon (som foreslått av Kredittilsynet) får betydning. Når det gjelder pliktsubjektet, uttaler Fondsmeglerforbundet:

«I tillegg bemerkes at plikten til å føre lister kun legges på utstederselskapene. Denne plikten vil også omfatte detaljinformasjon som må innhentes fra medhjelpere. Dette synes lite hensiktsmessig, med mindre plikten på en eller annen måte kan oppfylles av den aktuelle «hjelper». I tillegg bemerkes at forslaget antagelig er i direkte strid med direktivet som, i art 6 nr 3 tredje ledd klart slår fast at plikten til å føre lister påhviler utstederforetak eller personer som opptrer på utsteders vegne. Det er også andre plikter som referer seg til «listeføreren» f eks plikten til å informere mottager om at det dreier seg om innsideinformasjon og konsekvenser av dette, jfr MAD art 6 nr 3, jfr utkastet til tredje direktiv art 5 nr 5, som gjør en slik avgrensning problematisk.»

FNH/Sparebankforeningen viser til at EU-direktivene utvider og skjerper utstederforetakenes plikt til å føre lister over personer som får tilgang til innsideinformasjon i betydelig omfang. De uttaler videre:

«I motsetning til hva som er tilfellet etter dagens vphl. § 2-2, tredje ledd, vil lister for fremtiden måtte føres også for ansatte og tillitsmenn i utstederforetaket som får tilgang til innsideinformasjon. Dette vil seg selv medføre store praktiske utfordringer for utstederselskapene. I tillegg vil det innebære en utilsiktet skjerping i negativ retning for norske utstedere, ettersom terskelen for inntreden av listeføringsplikten ligger lavere etter norsk rett enn hva som strengt tatt er påkrevd i forhold til EU-direktivet, jf pkt. b) over. Avdekning internt i et utstederforetak for eksempel av behov for økte tapsavsetninger, eller muligheter for tilbakeføringer, som vil påvirke utstederselskapets resultat vil kunne «være egnet til å påvirke kursen» om enn i liten grad i det konkrete tilfellet. Slik lovutkastet er foreslått formulert, vil listeføringsplikten for utsteder utløses i et slikt tilfelle. Listeføringsplikten vil med dette bli klart skjerpet og vanskelig håndterbar i praksis for utstederne.»

FNH/Sparebankforeningen mener krav om angivelse klokkeslett og angivelse av personenes funksjonsoppgaver bør utgå. De uttaler:

«Kredittilsynet foreslår i utkastet til ny vphl. § 2-5, annet ledd en ytterligere skjerping av reglene sammenholdt med EU-direktivene, ved å innføre krav om at listene både skal angi dato for når de aktuelle personene fikk tilgang til innsideinformasjonen, samt klokkeslettet da personene fikk slik tilgang til innsideinformasjon. En slik skjerping i forhold til de krav som antas å ville følge av Tredje Kommisjonsdirektiv art. 5, vil medføre store utfordringer for større foretak. Det samme kan anføres i forhold til forslaget om at utsteder skal angi hver enkelt persons funksjon/oppgaver, som ikke er et krav i henhold til Tredje Kommisjonsdirektiv. Vi kan ikke se at Kredittilsynets begrunnelse knyttet til behovet for presis angivelse av tidspunkt i etterforskningsøyemed i tilstrekkelig grad rettferdiggjør en slik forskjellsbehandling i disfavør av norske foretak. Krav om angivelse av klokkeslett og angivelse av personenes funksjonsoppgaver bør derfor utgå av forslaget til vphl. § 2-5.»

Også Wiersholm, Mellbye & Bech, advokatfirma DAmener klokkeslett bør tas ut av listen over informasjon som skal oppgis.

Oslo Børs støtter Kredittilsynets forslag som presiserer at innsidelister skal holdes løpende oppdatert. Børsen foreslår en ny annen setning fjerde og femte ledd som kan lyde: «Ved endringer skal ajourført liste sendes vedkommende børs eller autorisert markedsplass senest en uke etter at endringen fant sted».

ØKOKRIM støtter forslaget om å utvide kravet om listeføring av eksterne med tilgang til innsideinformasjon til å omfatte ansatte mv. ØKOKRIM uttaler videre:

«Det skal likevel bemerkes at enkelte vilkår i bestemmelsen - listen skal være «ajourført», den skal oppdateres «fortløpende» og oppbevares «på betryggende vis» - er skjønnsmessige kriterier som kan være strafferettslig problematiske. Deres nærmere innhold bør derfor presiseres i forarbeidene slik at tilfredsstillende forutsigbarhet oppnås.»

Når det gjelder straffesanksjoneringen mv. uttaler ØKOKRIM:

«Manglende listeføring foreslås straffesanksjonert ved grov eller gjentatt overtredelse. Etter gjeldende § 2-2 tredje ledd strafferammes overtredelse som ikke er grov eller gjentatt. ØKOKRIM har ikke innvendinger mot denne endringen, og antar at den i praksis betyr lite. Vi viser til at plikt- og ansvarssubjektet for alle praktiske formål vil være foretak, og foretaksstraff er i praksis lite aktuelt ved enhver mindre overtredelse av en slik type pliktregel, jf bl a straffeloven § 48b bokstav b. Derimot er det ønskelig at en slik endring som foreslås gis en begrunnelse i lovforarbeidene. En slik begrunnelse vil kunne gi veiledning ved vurderingen av hva som f eks ligger i kriteriet grovt.»

Datatilsynet omtaler forholdet til personopplysningsloven. Det uttaler:

«Å føre lister over personer med tilgang til innsideinformasjon i henhold til forslagets § 2-5, er behandling av personopplysninger, som omfattes av virkeområdet til personopplysningsloven (pol). All behandling av personopplysninger må oppfylle et av vilkårene i pol § 8. Et av alternativene i nevnte bestemmelse er hjemmel i lov.

Datatilsynet finner utformingen av § 2-5 andre ledd noe problematisk i forhold til pol § 8, fordi det nærmere innholdet av listen er uformet som et minstekrav. Det er klart at man med hjemmel i § 2-5 har lov til å registrere de personopplysningene som er opplistet i bestemmelsen, jf pol § 8. Problemet er imidlertid at § 2-5 gir inntrykk av at man kan registrere flere personopplysninger, dersom dette anses som relevant. Dette kan skape tolkningsproblemer sett hen til pol § 8.

Datatilsynet gjør oppmerksom på at personopplysningene kun kan oppbevares så lenge det er formålstjenlig i henhold til personopplysningslovens § 28, etter at den lovbestemte plikten på minst 5 år er oppfylt. Informasjonspliktene i pol §§ 19 og 20 vil ytterligere virke supplerende.»

6.5 Departementets vurdering

Gjennom EØS-forpliktelsene utvides og skjerpes utstederforetakenes plikt til å føre lister over personer som får tilgang til innsideinformasjon, i forhold til gjeldende norsk rett. I tredje kommisjonsdirektiv art. 5 oppstilles visse minstekrav til innsidelistens innhold og krav til oppdatering. Kredittilsynets høringsnotat var basert på et utkast til tredje kommisjonsdirektiv. Direktivet ble endelig vedtatt 29. april 2004 (direktiv 2004/72/EF), og det ble kun foretatt mindre språklige endringer i forhold til utkastet som høringsnotatet var basert på.

Departementet slutter seg til forslaget om å fastsette krav om føring av innsidelister og regulering knyttet til dette i en egen lovbestemmelse, jf. lovforslaget § 2-5.

Etter direktivet skal utstedere eller personer som opptrer på deres vegne eller for deres regning, føre innsidelistene. Departementet slutter seg til Kredittilsynets forslag og vurdering om at ansvaret for å føre innsidelister pålegges utstedere av finansielle instrumenter (utstederforetakene). Departementet kan ikke se at direktivet (art. 6 nr. 3) er til hinder for en slik løsning. Utstederforetakene pålegges gjennom dette et ansvar for å påse at korrekt og rettidig listeføring finner sted også i de tilfeller andre opptrer for foretakets vegne eller for foretakets regning. Dette innebærer imidlertid ikke at foretaket selv må utføre listeføringen i slike situasjoner.

Etter direktivet skal det føres liste over visse personer med tilgang til innsideinformasjon, herunder personer ansatt i utstederforetaket. Direktivets bestemmelser går her lengre enn gjeldende rett, hvoretter kravet om listeføringen avgrenses bl.a. mot ansatte eller tillitsmenn i utstederforetaket, jf. vphl. § 2-5. Departementet slutter seg til Kredittilsynets forslag om at plikten til å føre liste utløses når andre personer gis tilgang til innsideinformasjon.

Det må vurderes konkret hva som anses for å utgjøre «tilgang til» innsideinformasjon og når slik informasjon anses for å «foreligge». Departementet legger til grunn at utstederforetakene etablerer rutiner for å påse at det på regelmessig basis vurderes hvilke personer i og utenfor foretaket som kvalifiserer til å stå på listen. Tilsvarende vil gjelde profesjonelle rådgivere og tilretteleggere mv. som opptrer på vegne av foretaket eller for dets regning.

Når det gjelder hvilke personer listen skal omfatte, slutter departementet seg til forslaget om at enhver person som gis tilgang til innsideinformasjon, skal fremkomme av listen. Det vil typisk omfatte ansatte, tillitsvalgte, oppdragstakere, medhjelpere og rådgivere. Dersom en juridisk person skal listeføres, skal listen også omfatte fysiske personer i mottakerforetaket som gis tilgang på opplysningene. Bestemmelsen foreslås gjennomført i lovforslaget § 2-5 første ledd.

Departementet slutter seg til Kredittilsynets forslag om å presisere at innsidelister skal oppdateres fortløpende, jf. lovforslaget § 2-5 annet ledd første punktum.

Kredittilsynet foreslår at listen i det minste skal inneholde identiteten til personene med tilgang til innsideinformasjonen, dato og klokkeslett personene fikk tilgang til slik informasjon, funksjonen/oppgaven til personene, årsaken til at personene er på listen og dato for nedtegning og endring av listen.

Flere høringsinstanser anfører at det foreslåtte krav om angivelse klokkeslett bør utgå. Det er bl.a. vist til at dette ikke er et krav etter direktivet og at et slikt krav vil være vanskelig å etterleve for utstederforetakene. Kredittilsynet begrunner kravet om å føre klokkeslett bl.a. med at det i etterforskningsøyemed er et vesentlig poeng at det så nøyaktig som mulig bringes på det rene når personene fikk tilgang til innsideinformasjonen. Samtidig viser Kredittilsynet til at det vil kunne være vanskelig for store børsnoterte foretak å ha oversikt over nøyaktig når ansatte mv. gis tilgang til innsideinformasjon. Departementet viser til at nasjonale myndigheter har adgang til å fastsette ytterligere krav til hvilke opplysninger innsidelistene skal inneholde, jf. at tredje kommisjonsdirektiv art. 5 nr. 2 angir minstekrav. Departementet mener i likhet med Kredittilsynet at tidspunktet for når vedkommende mottok innsideinformasjon vil kunne være et viktig moment for å bevise en overtredelse. Departementet finner at det er behov for å effektivisere myndighetenes tilsyn og kontroll på dette punktet. Departementet slutter seg på denne bakgrunn til Kredittilsynets forslag til krav om angivelse av klokkeslett.

FNH/Sparebankforeningen har anført at kravet om å angi funksjonen/oppgaven til personene bør utgå. Det er bl.a. vist til at dette ikke er et krav etter direktivet. Etter departementets syn vil neppe et slikt krav være særlig byrdefullt for foretakene og slike opplysninger kan være av stor praktisk betydning for kontrollmyndighetene. Departementet slutter seg derfor til Kredittilsynets forslag.

Departementet foreslår at uttrykket «i det minste» utgår av lovforslaget. En slik kvalifisering anses ikke nødvendig å innta i lovtekst, og endringen antas også å ivareta Datatilsynets merknader om forholdet til personopplysningsloven. Foretak som velger å registrere flere opplysninger enn det som kreves etter verdipapirhandelloven, må selv vurdere forholdet til personopplysningsloven.

Departementet viser til at plikten til å føre innsidelister er straffesanksjonert, jf. vphl. § 14-3 annet ledd nr. 1. Kredittilsynet foreslår at skyldvurderingen skjerpes til «grovt eller gjentatte ganger», jf. lovforslaget § 14-3 annet ledd nr. 6. Departementet slutter seg ikke til Kredittilsynets forslag.

Departementet slutter seg ikke til forslaget fra Oslo Børs om å lovfeste et krav om at ajourført liste oversendes børsen senest en uke etter endringer. Det antas at en slik oversendelsesplikt mer hensiktsmessig kan reguleres i medlemsvilkårene til den enkelte markedsplass, eventuelt i børsforskriften.

Etter gjeldende rett skal innsidelister oppbevares i 10 år (jf. vphl. § 2-2 tredje ledd siste punktum). Kravet ble satt av hensyn til at foreldelsesfristen for innsidehandel er 10 år, jf. straffeloven § 67. Kredittilsynet foreslår å sette oppbevaringstiden for innsidelistene til 5 år. Dette er i tråd med direktivet art. 6 nr. 4, der det fremgår at listene skal oppbevares i minst 5 år etter utarbeidelsen eller oppdateringen. Departementet slutter seg til Kredittilsynets forslag. Det vises også til at ingen av høringsinstansene har innvendinger til dette. Departementet foreslår imidlertid å presisere at 5 års fristen begynner å løpe fra utarbeidelse eller siste oppdatering, jf. ovenfor om direktivet på dette punktet. Når det gjelder oppbevaringsform, forutsettes at listene oppbevares på betryggende vis. Dette innebærer at foretakene skal oppbevare listene betryggende sikret mot ødeleggelse og tyveri. Listene skal kunne fremlegges i lesbar form i hele oppbevaringsperioden.

Det vises til lovforslaget § 2-5.