1 år med GDPR

Faglig nyhedDet er nu et år siden, at databeskyttelsesforordningen trådte i kraft. Hvilken betydning har den haft for revisorerne?

Om revisorRevision

Der er nu gået 1 år efter implementeringen af den nye databeskyttelsesforordning (populært kaldet persondataforordningen eller GDPR), og det er ingen hemmelighed, at det nye regelsæt har krævet mange ressourcer hos virksomhederne. Revisorerne har også arbejdet meget med emnet, og FSR – danske revisorer har modtaget mange spørgsmål om, hvordan GDPR skal håndteres i revisionsfirmaerne, i revisionen og (ved overtrædelse) i revisionspåtegningen.

FSR – danske revisorer lancerede allerede i 2017 et site, som skulle hjælpe medlemmerne på vej til, hvordan GDPR-reglerne håndteres. Sitet blev også lanceret for at hjælpe medlemmerne med at blive klædt på til at kunne hjælpe kunderne – de danske virksomheder – med at komme på plads med GDPR. Alene på dette site har vi publiceret 29 nyheder, som i høj grad stadigvæk er relevante. Vi har ligeledes afholdt webinar og kurser om GDPR.

I Revision & Regnskabsvæsen nr. 2 2019 var FSR – danske revisorer forfattere til artiklen med overskriften Revisors rapportering om GDPR i revisionspåtegningen. Her skrev vi blandt andet:

”Der er egentlig ikke noget særligt ved rapportering om ledelsesansvar i forbindelse med overtrædelse af GDPR-reguleringen. Det betyder, at revisor skal anlægge de samme vurderinger som ved al anden regulering, som virksomheden er omfattet af, fx miljølovgivning mv.”

Undersøgelsespligten er forskellig afhængigt af, om der udføres revision eller udvidet gennemgang. Artiklen uddyber emnet væsentligt, men af hensyn til copyright kan vi desværre ikke bringe hele artiklens indhold her.

I foråret 2019 lancerede FSR – danske revisorer i samarbejde med Datatilsynet en ny erklæring om persondata, der skal give den dataansvarlige sikkerhed for, at en databehandler, som behandler persondata for den dataansvarlige, har orden i procedurer og regler for beskyttelse af personoplysninger. Erklæringen er også udarbejdet på engelsk. Revisorerklæringen er et populært produkt, som efterspørges af databehandlerne. Udlandet er også blevet bekendt med erklæringen, og der er stor interesse for videre udbredelse af erklæringen.

Er bødesatsernes niveau blevet fastlagt?     
Da den nye persondataforordning blev lanceret sidste år, var et af de helt store samtaleemner det høje sanktionsniveau ved overtrædelse af lovgivningen. Det skyldes, at de administrative bøder kan udgøre helt op til 20 mio. euro, eller op til 4% af virksomhedens globale årlige omsætning (i det foregående regnskabsår).

I det seneste år er der dog ikke faldet nogen afgørelser, der kan fastlægge niveauet for bødesatserne i Danmark, men Datatilsynet har i marts 2019 indstillet taxaselskabet 4x35 til en bøde på 1,2 mio. kr. for en overtrædelse af GDPR-reglerne. Læs mere her og her. 4x35-sagen kan give en indikation af, hvor bødeniveauet kommer til at ligge i Danmark, men det endelige svar må lade vente på sig, til der foreligger en afgørelse fra politiet eller domstolene.

Det første år i tal        
Datatilsynet oplyser at den øgede opmærksomhed omkring GDPR tydeligt kan ses. Datatilsynet har i det seneste år modtaget 5.962 klager og forespørgsler (kalenderåret 2017: 2.213 klager og forespørgsler) og 5.215 underretninger om brud på persondatasikkerheden (der var ikke pligt til at underrette Datatilsynet om brud på persondatasikkerheden før 25. maj 2018.). Læs mere her.