Databeskyttelsesrådgiver (DPO) – ofte kan der leveres ydelser herom til erklæringsklienter

Faglig nyhedRevisionsvirksomheder kan ikke påtage sig at fungere i rollen som DPO hos klienter, som der afgives erklæringer med sikkerhed om. Dette udelukker derimod ikke, at revisionsvirksomheden påtager sig en række ydelser i forbindelse med persondatasikkerhed, uanset om klienten har eller ikke har en formel DPO.

Om revisor

Den 4. oktober 2017 bragte vi denne nyhed om rollen som databeskyttelsesrådgiver (eller DPO – Data Protection Officer)

Det fremgik heraf, at revisionsvirksomheder ikke kan påtage sig denne rolle hos klienter, hvis regnskaber der afgives erklæringer med sikkerhed om igennem revisionsvirksomheden. Dette følger af, at en fast og ”ansættelseslignende” tilknytning til klienten vil anfægte en velinformeret tredjemands opfattelse af uafhængigheden.

Noget andet er, at revisionsvirksomheder naturligvis kan levere en lang række ydelser i forbindelse med persondatasikkerhed. Dette gælder, uanset om klienten har en egentlig DPO, eller dette ikke er tilfældet. Når der ikke er en udskilt DPO-rolle, indebærer dette blot, at de relevante opgaver skal varetages af andre.

Der erindres om, at der kun kræves en formel DPO i:

  • Alle offentlige myndigheder (domstole er dog undtaget)
  • Organisationer, hvis kerneforretning omhandler behandling af persondata, som nødvendiggør systematisk og regelmæssig overvågning af de registrerede personer
  • Organisationer, hvis kerneforretning omhandler behandling af ”særlige kategorier af oplysninger” om registrerede, hvilket i henhold til forordningens artikel 9 omfatter oplysninger om race, etnicitet, religiøs eller politisk overbevisning, fagforeningsmæssigt tilhørsforhold samt helbredsoplysninger og oplysninger om seksuelle forhold.

Erhvervsstyrelsen, Digitaliseringsstyrelsen, Justitsministeriet og Datatilsynet udsendte en vejledning om DPO i december 2017, hvor databeskyttelsesrådgiverens minimumsopgaver beskrives i disse kategorier i afsnit 5.3:

  • Underrette og rådgive organisationen og de ansatte om databeskyttelse
  • Overvåge overholdelsen af de databeskyttelsesretlige regler i organisationen
  • Rådgivning i forbindelse med udarbejdelse af organisationens konsekvensanalyser
  • Samarbejde med Datatilsynet på vegne af organisationen
  • Være kontaktpunkt for tilsynsmyndigheden (Datatilsynet) angående alle spørgsmål om behandling af personoplysninger for de personer, der behandles oplysninger om.

Det vil gælde, at den konkrete vurdering af truslen for, at der kan forekomme selvrevision, i de allerfleste tilfælde er lav: Persondatabeskyttelse er et område, der har ingen eller kun svag berøring med eksempelvis revision af et regnskab, jf. principperne for kategorisering af lovgivningens relevans i ISA 250.

Selvfølgelig gælder dette ikke undtagelsesfrit. Det modsatte vil f.eks. gælde i tilfælde, hvor salg af persondata udgør forretningsgrundlaget, hvor der indsamles og opbevares personfølsomme data i væsentligt omfang, eller hvor tilladelse til at drive en aktivitet sker i henhold til en koncession, hvor håndteringen af persondata indgår i koncessionsbetingelserne.

Etiske Regler omfatter ikke konkrete afsnit om DPO-opgaver. Der kan dog henvises til reguleringen af interne revisionsydelser (afsnit 290.192-290.197) og it-systemydelser (afsnittene 290.198-290.203) som inspiration, når der skal foretages trusselsvurderinger og eventuelt iværksættes sikkerhedsforanstaltninger. Det bemærkes, at revisionsvirksomheden ikke kan påtage sig roller, men sandsynligvis ydelser på disse områder.

For så vidt angår klienter, der er af interesse for offentligheden (PIEs), skal rækkevidden af forbuddene i forordningens artikel 5 iagttages. Det er relevant at overveje rækkevidden af forbud mod:

e) udformning og gennemførelse af procedurer for intern kontrol eller risikostyring relateret til udarbejdelsen af og/eller kontrollen med finansiel information eller udformning og gennemførelse af finansielle informationsteknologisystemer.
Dette forbud er som det eneste tilmed forbundet med et års cooling in.

h) ydelser i forbindelse med den reviderede virksomheds interne revisionsfunktion.

En umiddelbar vurdering er, at disse forbud ikke, eller sjældent, begrænser muligheden for at levere ydelser om persondatasikkerhed yderligere i forhold til den generelle regulering. Leverede ydelser vil dog naturligvis indgå i beregningen af ikke-revisionsydelser og cappet herfor efter forordningens artikel 4.

 

Kontakt

  • Lars Kiertzner

    Chefkonsulent, statsautoriseret revisor, ph.d.

    Tirsdag til torsdag
    4193 3149
  • Brian Adrian Wessel

    Direktør - Fagligt Center

    4193 3144