Revisorerne skal også overholde persondatareglerne (INSPI)

Digital SignaturDet er næppe gået nogens næse forbi, at der fra den 25. maj 2018 kommer nogle helt nye spilleregler for behandling af personoplysninger. Reglerne gælder for alle organisationer – private såvel som offentlige. Vi rådgivere lever blandt andet af at rådgive vores kunder om nye regler og krav, og om hvordan man bedst muligt overholder dem. Men hvad med vores egen overholdelse af reglerne? Hvad gælder egentlig for rådgivere, og har revisorerne en særlig status i den sammenhæng?

Tekst/Thomas Munk Rasmussen, advokat og partner i Bech-Bruun

Seneste udvikling

Siden min artikel i Signatur (4/2016), der gav et overordnet overblik over de nye regler i persondataforordningen (GDPR), er der sket en del.

Den såkaldte Artikel 29-gruppe, bestående af repræsentanter fra medlemsstaternes persondatatilsynsmyndigheder, har udgivet vejledninger til fortolkning af persondataforordningens regler på udvalgte områder. De vedrører blandt andet indholdet i rollen som databeskyttelsesrådgiver, krav til dataportabilitet, vejledning om rette tilsynsmyndighed ("one-stop-shop"-princippet) og behandling af oplysninger om medarbejdere. Vejledningerne er værdifulde fortolkningsbidrag, og flere er på vej.

Det første danske fortolkningsbidrag til forordningen (Betænkning nr. 1565) blev offentliggjort af Justitsministeriet i slutningen af maj i år. Betænkningen behandler en lang række emner vedrørende både de eksisterende og kommende persondataregler. Persondataforordningen skal styrke og strømline persondatareglerne i EU, men de enkelte medlemslande har mulighed for at vedtage nationale særregler. Den danske betænkning danner grundlag for det videre arbejde med netop dette. 

Ny persondatalov
I begyndelsen af juli i år kom så det danske lovforslag om supplerende bestemmelser til persondataforordningen (den nye persondatalov). Justitsministeriet har med udkastet blandt andet stillet forslag om, at de gældende regler vedrørende behandling af CPR-numre opretholdes, ligesom de eksisterende krav til videregivelse af personoplysninger til markedsføringsformål samt reglerne om kreditoplysningsbureauer opretholdes.

I henhold til forordningen er det op til medlemsstaterne at fastsætte aldersgrænsen for, hvornår børn selvstændigt kan give samtykke til behandling af deres personoplysninger i forbindelse med udbud af samfundsinformationstjenester. Aldersgrænsen skal dog ligge mellem 13 og 16 år. Justitsministeriet har i lovforslaget lagt op til, at den danske aldersgrænse skal være 13 år. Aldersgrænsen i relation til samtykke efter persondataloven har hidtil været 15 år, og den ”nye” aldersgrænse må derfor forventes at få en afsmittende effekt i forhold til, hvornår børn i andre sammenhænge selv kan afgive samtykke, anmode om indsigt i behandlingen af deres oplysninger med videre.

Lidt overraskende er det, at Justitsministeriet ikke forholder sig til, om offentlige myndigheder skal kunne idømmes bødestraf for manglende overholdelse af forordningen og persondataloven. Det fremgår af høringsudkastet, at ”stillingtagen til sanktionsspørgsmålet i forhold til offentlige myndigheder udestår”. Spørgsmålet kan derfor først forventes afklaret i forbindelse med Folketingets behandling af det endelige lovforslag.

Lovforslaget lægger også op til en lovbestemt tavshedspligt for databeskyttelsesrådgivere, og at en overtrædelse af denne tavshedspligt kan straffes med bøde (eller fængsel hvis hjemlet i anden lovgivning).

Det endelige lovforslag forventes fremsat efter åbningen af det nye folketingsår i oktober 2017 og skal i løbet af efteråret behandles og vedtages af Folketinget, inden den endelige lov kan træde i kra sammen med forordningen den 25. maj 2018. Sideløbende med Folketingets behandling af lovforslaget vil Justitsministeriet offentliggøre en række vejledninger til forordningen. Det er eksempelvis vejledninger der vedrører:

  • Databeskyttelsesrådgivere (september 2017)

  • Behandlingssikkerhed (december 2017)

  • Databeskyttelse gennem design og standardindstillinger (december 2017). 

Fokus på ansvar og risiko
I de mange organisationer af forskellig størrelse, hvor Bech-Bruun assisterer med persondata compliance, betyder persondata-forordningen, at der for flere processer og arbejdsområder må foretages reviderede risk management beslutninger. Et af de væsentligste fokusområder er forholdet mellem dataansvarlige og databehandlere. I dag er det allerede et krav, at der indgås skriftlige aftaler mellem dataansvarlige og databehandlere. Dette vil også fremover være et krav, men hvor konsekvensen ved ikke at overholde dette krav i dag er overskuelig, kan det fremover være forbundet med risiko for en betragtelig bøde.

En dataansvarlig kan outsource en opgave til en databehandler, men kan ikke outsource ansvaret. Det betyder, at hvis databehandleren laver en fejl, der fører til en bøde, så hænger den dataansvarlige på bøden. Af samme årsag har de dataansvarlige fokus på at få skadesløsholdelses-klausuler med i databehandleraftalerne. Omvendt har databehandlerne ikke risikoappetit på at skulle skadesløsholde de dataansvarlige, netop fordi bøderne potentielt kan blive meget høje, og fordi de i udgangspunktet ikke kan forsikre sig mod betaling af bøder. Risikoplaceringen mellem en dataansvarlig og en databehandler kan falde ud på flere måder, men hvis en dataansvarlig skal tage noget af ansvaret for en databehandlers fejl, så vil de fleste kunder i hvert fald have undersøgt, om leverandøren har et passende højt teknisk og organisatorisk sikkerhedsniveau. Leverandørkontrol er derfor en ydelse i vækst, ikke mindst for rådgivere som advokater og revisorer. 

Hvilken rolle har revisorer?
Helt åbenlyst er revisorer, som alle andre erhvervsdrivende, dataansvarlige for så vidt angår oplysninger, der vedrører egne medarbejdere. Allerede af den grund skal alle revisorer naturligvis overholde persondatareglerne. Men hvad med kundeoplysninger? Er revisoren blot databehandler og dermed ikke direkte ansvarlig for de data, der behandles, eller skal revisoren anses for at være dataansvarlig?

Artikel 29-gruppen har tidligere fortolket (Opinion 1/2010), at personoplysninger, der behandles i forbindelse med den traditionelle revisionsopgave for private og mindre erhvervsdrivende, tilfalder revisoren som ansvarlig. Revisoren har dermed det direkte ansvar for personhenførbare oplysninger, der vedrører en kunde og eventuelt dennes kunder. Omvendt mener Artikel 29-gruppen, at i de fleste andre sammenhænge, hvor en revisor behandler kunders personhenførbare oplysninger, skal revisoren (blot) anses for at være databehandler.

Begge roller indeholder hver deres problemstillinger ikke mindst ud fra en risikobetragtning. Hvornår bør man eksempelvis indgå en databehandleraftale, hvor langt kan/bør man gå i forhold til kunden, og bliver det et fremtidigt konkurrenceparameter? Man bør også som revisor undersøge, om ens rådgiveransvarsforsikring dækker begge de roller, som revisoren spiller. 

Revisorerne skal også i gang med compliance
Ovennævnte eksempel understreger vigtigheden af, at revisorer ikke blot sætter sig ind i den nye regulering med henblik på at rådgive deres kunder, men også fokuserer på egen overholdelse af reguleringen. De store bøder kan også ramme revisorerne – og den 25. maj 2018 er lige om hjørnet.