GDPR – revisors pligter: Undersøgelse og rapportering

Faglig nyhedRevisors undersøgelsespligt vedrørende virksomhedernes overholdelse af GDPR-reguleringen afhænger af virksomhedens karakteristika og type. Revisor skal rapportere om overtrædelser af GDPR-reguleringen, som kan være ansvarspådragende for ledelsen, når der udføres revision eller udvidet gennemgang.

RevisionOm revisor

GDPR er på alles læber og giver anledning til mange spørgsmål om revisors pligter vedrørende undersøgelse og rapportering. Dette notat behandler revisors undersøgelsespligt og efterfølgende rapportering om ansvarspådragende forhold.

GDPR-reguleringen omfatter persondataforordningen (forordningen) og databeskyttelsesloven (loven).

Indledningsvist skal det understreges, at GDPR-reguleringen skal håndteres på samme måde som al anden regulering, som virksomheden er omfattet af, fx miljølovgivning mv.

Undersøgelsespligten
Undersøgelsespligten er forskellig afhængigt af, om der udføres revision eller udvidet gennemgang.

Revision
ISA 250 redegør for revisors pligter i forbindelse med ”love og øvrig regulering”, når revisor afgiver erklæringer om revision. ISA 250 foreskriver, at revisor skal identificere væsentlig fejlinformation i årsregnskabet som følge af virksomhedens eventuelle manglende overholdelse af love og øvrig regulering.

Revisor skal i den forbindelse opnå en generel forståelse af den lovgivning, der gælder for den konkrete virksomhed. ISA 250, afsnit 6, sondrer mellem to hovedkategorier:

  1. Love og øvrig regulering, der normalt har direkte og væsentlig virkning på beløb og oplysninger i regnskabet, fx regnskabslovgivningen

  2. Love og øvrig regulering, hvor overholdelse kan være afgørende for virksomhedens driftsforhold, virksomhedens fortsatte drift eller give anledning til væsentlige bøder og dermed kan få væsentlig indvirkning på regnskabet. 

For så vidt angår punkt a skal revisor opnå tilstrækkeligt og egnet revisionsbevis for, at virksomheden overholder lovgivningen. Det er efter FSR – danske revisorers vurdering yderst sjældent, at GDPR- reguleringen vil have direkte og væsentlig indvirkning på beløb og oplysninger i årsregnskabet. Derfor vil revisor sædvanligvis ikke være forpligtet til at indhente revisionsbevis for, at virksomheden overholder GDPR-reguleringen.

For så vidt angår punkt b skal revisor:

  • Forespørge den daglige ledelse, hvorvidt virksomheden overholder øvrig regulering, og
  • Inspicere eventuel relevant korrespondance med myndighederne. 

For nogle virksomheder kan overtrædelse af GDPR-reguleringen påvirke virksomhedens drift eller have indflydelse på virksomhedens fortsatte drift, ligesom bøderne potentielt kan være væsentlige (4% af omsætningen). I disse tilfælde skal revisor således forespørge den daglige ledelse og inspicere relevant korrespondance.

Det er FSR – danske revisorers vurdering, at det er et fåtal af danske virksomheder, hvor GDPR vil kunne have væsentlig indflydelse på virksomhedens driftsforhold, virksomhedens fortsatte drift eller give anledning til væsentlige bøder. Dette må dog bero på en konkret vurdering af den enkelte virksomheds karakteristika, fx om virksomheden håndterer persondata som en central del af virksomhedens forretningsmodel.

Uanset ovenstående skal revisor naturligvis foretage tilstrækkelige undersøgelser, hvis der er konstateret eller er mistanke om tilfælde af manglende overholdelse af love og øvrig regulering, og håndtere det i henhold til ISA 250, afsnit 19-30.

Udvidet gennemgang
Revisors undersøgelsespligt ved udvidet gennemgang består i at forespørge den daglige ledelse om, hvorvidt virksomheden overholder love eller øvrig regulering, der generelt anses for at have en direkte indvirkning på fastsættelsen af væsentlige beløb og oplysninger i årsregnskabet, såsom love om skat[1]. Revisor skal indhente ledelsens skriftlige bekræftelse på, at ledelsen har informeret revisor om tilfælde af manglende overholdelse af love og øvrig regulering, der påvirker regnskabet[2]

Det er FSR – danske revisorers vurdering, at der kan anlægges den samme fortolkning angående ”direkte indvirkning på regnskabet” som anført i det foregående afsnit om revision. Det vil således være meget sjældent, at GDPR har direkte indvirkning på beløb og oplysninger i regnskabet.

Rapportering om ledelsesansvar
I henhold til erklæringsbekendtgørelsens § 7, stk. 2, skal revisor oplyse om ”ikke uvæsentlige forhold”, som revisor under sit arbejde er blevet bekendt med, og som giver en begrundet formodning om, at medlemmer af virksomhedens ledelse kan ifalde erstatnings- eller strafansvar som følge af handlinger eller undladelser, som vedrører virksomheden. Oplysningskravet gælder både, hvis revisor bliver opmærksom på overtrædelser i forbindelse med revisionshandlinger i henhold til ISA 250 eller på anden måde bliver opmærksom herpå.

I det følgende behandles kun konsekvenserne, når der er tale om strafansvar, idet vurderingen af et potentielt erstatningsansvar ikke giver anledning til særlige spørgsmål i relation til GDPR-reguleringen. 

Ved vurderingen af, hvilken reaktion der er passende, er det typisk relevant at overveje, om:

  1. den konstaterede overtrædelse er strafsanktioneret
  2. det er virksomheden eller ledelsen, der kan ifalde ansvar
  3. ledelsen har handlet forsætligt eller groft uagtsomt
  4. den konstaterede overtrædelse er uvæsentlig.

Punkterne i 1-4 bliver i det følgende behandlet enkeltvis.

Er overtrædelsen strafsanktioneret?
Lovens § 41 indeholder en række straffebestemmelser, hvoraf nogle sanktionerer overtrædelse af regler i forordningen. Stort set alle regler i forordningen er strafsanktioneret, og strafferammen er bøde eller fængsel indtil 6 måneder. Både juridiske og fysiske personer kan straffes.

Eksempler på strafbare overtrædelser er:

  • Den dataansvarlige overtræder de grundlæggende principper for behandling af persondata, herunder betingelserne for samtykke, i forordningens artikel 5-7 og 9.
  • Den dataansvarlige eller databehandleren overtræder sine forpligtelser i henhold forordningens artikel 8, 11, 25-39, 42 eller 43.

Datatilsynet har endvidere efter lovens § 42 mulighed for at udstede administrative bøder (bødeforlæg), hvorved en sag kan afgøres uden retssag, hvis virksomheden accepterer bødeforlægget. Hvis virksomheden ikke accepterer bødeforlægget, skal sagen behandles ved domstolene.

Straffes virksomheden eller ledelsen?
Straffebestemmelserne i GDPR-reguleringen retter sig både mod fysiske personer og selskaber (juridiske personer). Datatilsynet har dog i august 2018 mundtligt tilkendegivet, at Datatilsynets sanktioner vil blive udstedt til virksomheden – ikke ledelsen. Det lader således til, at ledelsen i praksis ikke vil blive mødt med sanktioner. Politiet og domstolene er ikke bundet af Datatilsynets administrative praksis, men Rigsadvokatens udgangspunkt er ligeledes, at det primært er virksomheden, der vil blive rejst tiltale imod, medmindre ledelsen har handlet groft uagtsomt[3]:

 

”Udgangspunktet ved valg af ansvarssubjekt i særlovgivningen er, at tiltalen rejses mod den juridiske person…… Har ledelsen af den juridiske person eller en overordnet ansat, herunder direktøren, handlet forsætligt eller udvist grov uagtsomhed, skal tiltalen foruden imod den juridiske person som udgangspunkt rejses mod den eller de personligt ansvarlige.”

Det er derfor FSR – danske revisorers opfattelse, at ledelsen kun (i praksis) vil kunne ifalde ansvar, hvis der er tale om, at et ledelsesmedlem har handlet groft uagtsomt eller forsætlig. Det vil sige, at en hændelig fejl på underliggende ledelsesniveauer eller medarbejderniveau næppe vil være ansvarspådragende for ledelsen. 

Har ledelsen handlet forsætligt eller groft uagtsomt?
Forsætlig adfærd er, når ledelsen har haft til hensigt at begå en strafbar handling, eller at ledelsen burde have indset, at handlingerne ville medføre en strafbar lovovertrædelse.

Uagtsomhed er, når ledelsen ikke har udvist den agtpågivenhed, som man sædvanligvis vil kunne forvente i den pågældende situation (bonus pater-betragtning). Uagtsomhed gradueres fra simpelt uagtsomt til groft uagtsomt. Revisor skal derfor vurdere graden af uagtsomhed.

Det er FSR – danske revisorers opfattelse, at vurderingen må foretages i den kontekst, handlingen eller undladelsen er foregået. Det betyder således, at vurderingen må baseres på virksomhedens størrelse, ledelsens sammensætning og de mulige konsekvenser af overtrædelsen.

Idet GDPR-reguleringen er omfangsrig og meget kompliceret i forhold til virksomhedernes størrelse, er det FSR – danske revisorers opfattelse, at ”mindre overtrædelser” sædvanligvis ikke kan opfattes som groft uagtsomme. Dette må dog altid bero på en konkret vurdering.

Eksempelvis vil der formentlig være tale om simpel uagtsomhed, hvis den lokale håndværksmester utilsigtet overtræder persondatalovgivningen og straks retter op på forholdet, når vedkommende bliver opmærksom på det. Hvorimod der formentlig vil være tale om grov uagtsomhed, hvis ledelsen ikke retter op på et ulovligt forhold, som ledelsen er blevet gjort opmærksom på. Det vil formentlig også være groft uagtsomt, hvis ledelsen i en større virksomhed, der - som en central del af forretningsmodellen - håndterer store mængder persondata, ikke har udvist rimelig agtpågivenhed i forhold til GDPR-reguleringen.

I tvivlstilfælde anbefales det at søge juridisk bistand.

Er den konstaterede overtrædelse uvæsentlig?
Det fremgår af erklæringsbekendtgørelsen, at der udelukkende skal rapporteres om ”ikke uvæsentlige forhold”. Det er altså en betingelse, at forholdet ikke er uvæsentligt.

Begrebet ”ikke uvæsentligt” kan både fortolkes kvalitativt og kvantitativt og må efter FSR – danske revisorers opfattelse vurderes i en GDPR-kontekst og med udgangspunkt i regnskabsbrugernes behov. I dette tilfælde er der tale om ny og kompliceret regulering, og Datatilsynet har tilkendegivet, at det primært er grove overtrædelser, der vil blive forfulgt. Mindre forseelser vil blive håndteret med henstillinger til de pågældende virksomheder.

Det er FSR – danske revisorers opfattelse, at Datatilsynets tilgang til sanktionering af overtrædelser må tillægges stor vægt ved vurderingen af, om en overtrædelse er væsentlig. Det er således vanskeligt at forestille sig, at en overtrædelse, som ikke vil give anledning til sanktioner fra Datatilsynet, vil kunne fortolkes som væsentlig for regnskabsbrugerne.

På baggrund af ovenstående er det FSR – danske revisorers opfattelse, at begrebet ”ikke uvæsentligt” må fortolkes med udgangspunkt i overtrædelsens omfang, om overtrædelsen er sket forsætligt eller groft uagtsomt og det forventede ansvarssubjekt.



[1] FSR – danske revisorers standard om udvidet gennemgang, afsnit 34, litra d (ii)

[2] FSR – danske revisorers standard om udvidet gennemgang, afsnit 49, litra c

[3] Rigsadvokatmeddelelsen af 17.4.2015, afsnit 3.1.1. og 3.2.1.