Revisors ansvar i forhold til klienters overholdelse af persondataforordningen

Faglig nyhedISA 250 afgrænser helt generelt god skik om undersøgelsen af lovgivning og regulering i revisionsopgaver. Dette gælder således også i relation til klienters overholdelse af reglerne om persondata, aktuelt persondataforordningen med dansk følgelovgivning, der får virkning 25. maj 2018. Budskabet nedenfor er, at det kun er i særlige opgaver, at klienters ikke-overholdelse af reglerne kan antages indirekte at kunne få væsentlig indflydelse på regnskabet.

Om revisorRevision

ISA 250 skelner grundlæggende mellem to typer af lovgivning i afsnit 6:

 

”Denne ISA differentierer revisors ansvar med hensyn til overholdelse mellem følgende to forskellige kategorier af love og øvrig regulering: 

(a) bestemmelserne i de love og øvrig regulering, der normalt anses for at have en direkte virkning på fastsættelsen af væsentlige beløb og oplysninger, i regnskabet, f.eks. love og øvrig regulering om skat og pension (se afsnit 13), og

(b) andre love og øvrig regulering, der ikke har direkte indvirkning på fastsættelsen af beløb og oplysninger i regnskabet, men hvis overholdelse kan være afgørende for virksomhedens driftsforhold, dens mulighed for at fortsætte sine forretningsaktiviteter eller dens mulighed for at undgå væsentlige bøder (f.eks. overholdelse af vilkårene i en driftslicens, solvenskrav eller miljøregler). Manglende overholdelse af sådanne love og øvrig regulering kan derfor have væsentlig indvirkning på regnskabet (se afsnit 14).”

 

Persondataregler falder klart ind under b), det vil sige som lovgivning uden direkte indvirkning på regnskabet, men måske med afledt indirekte indvirkning.


Afsnit 14 afgrænser senere revisors undersøgelse i forhold til den type lovgivning, herunder persondataregler. Her afgrænses undersøgelsen som udgangspunkt til forespørgsler og eventuel inspektion af relevant kommunikation med myndigheder:

 

”Revisor skal udføre følgende revisionshandlinger med henblik på at identificere tilfælde af manglende overholdelse af andre love og øvrig regulering, der kan have væsentlig indvirkning på regnskabet:

(a) forespørge den daglige ledelse og, hvor det er passende, den øverste ledelse om, hvorvidt virksomheden overholder sådanne love og øvrig regulering, og

(b) inspicere eventuel korrespondance med relevante bevillingsudstedende eller lovgivende myndigheder (jf. afsnit A9-A10)”.


De nye persondataregler har unægteligt været meget omtalt i den offentlige debat, hvilket formentlig især kan henføres til deres potentielt drakoniske bødebestemmelser på op til 4 % af omsætningen, dog maksimalt 20 mio. EURO, når der ikke er tale om virksomheder.

Det er vanskeligt at forestille sig situationer, hvor revisor bliver erstatningsansvarlig for, at kunder ikke opfylder deres forpligtelser efter persondatareglerne.

Revisor skal imidlertid altid overveje, om en overtrædelse, som revisor bliver opmærksom på, skal føre til omtale under en konkretiseret relevant overskrift af et potentielt ledelsesansvar for ikke uvæsentlige lovovertrædelser efter reglen herom i erklæringsbekendtgørelsens § 7, stk. 2.


Revisors undersøgelse skal dog, jf. ovenfor, styres af lovgivningens mulige indirekte regnskabsmæssige relevans, hvilket konkret vil sige de mulige regnskabsmæssige konsekvenser af ikke-overholdelse af persondatareglerne. I de allerfleste situationer er det opfattelsen, at de vil være mindre relevante i den sammenhæng. I de allerfleste tilfælde kan der således argumenteres for, at revisor kan nøjes med nogle få forespørgsler herom af servicehensyn for at få kundens opmærksomhed henledt på reglerne, og for som revisor at sikre sig, at kunden har taget højde for dem på overordnet niveau.

I få situationer – typisk hvor kunder er dataansvarlige og/eller databehandlere af personfølsomme data, eller handler med personoplysninger, hvilket kræver individuelle samtykker – er den regnskabsmæssige relevans højere. Her kan revisor i nogle tilfælde ikke nøjes med forespørgsler, men må også foretage efterprøvelser af de indhentede oplysninger for at opnå den fornødne sikkerhed for, at der er taget hensyn til den mulige indirekte konsekvens for regnskabet.

Revisor kan måske komme ud for, at kunden har en særlig revisorerklæring om persondatasikkerheden, som FSR – danske revisorer har udarbejdet et skalerbart eksempel på efter ISAE 3000, jf. Databehandler: Uafhængig revisors ISAE 3000-erklæring om beskrivelsen af kontroller rettet mod databeskyttelse og behandling af personoplysninger, fra september 2017, som der er knyttet en vejledning og et inspirationskatalog til databeskyttelsesforordningen til. Læs nyheden fra sept. 2017 om persondataerklæringen mv.

 

De meget omtalte regler om persondata inddrages således, som det altid gælder, ud fra en konkret risiko- og væsentlighedsbetragtning.

 


Kontakt

  • Lars Kiertzner

    Chefkonsulent, statsautoriseret revisor, ph.d.

    Tirsdag til torsdag
    4193 3149