Erhvervsrådgivning

Kan ledelsen gemme sig for GDPR-reguleringen?

Det bliver svært for de virksomheder, der skal have en revisionspåtegning, for revisor skal rapportere om overtrædelse af GDPR-reguleringen, hvis der er begrundet formodning om, at det kan være ansvarspådragende for ledelsen.

Ovenstående udtalelse kommer fra FSR Danske Revisorers direktør Brian Adrian Wessel i februars udgave af Revision & Regnskabsvæsen. Han henviser til Bekendtgørelse 2017-12-12 nr. 1468 om godkendte revisorers erklæringer § 7 stk. 2, hvori der står:

Der skal endvidere særskilt oplyses om ikke uvæsentlige forhold, som revisor er blevet bekendt med under sit arbejde, og som giver en begrundet formodning om, at medlemmer af ledelsen kan ifalde erstatnings- eller strafansvar for handlinger eller undladelser, der berører virksomheden, tilknyttede virksomheder, virksomhedsdeltagere, kreditorer eller medarbejdere.

I samme § 7 stk. 4 står:

Enhver oplysning efter stk. 2 skal angives i et særskilt afsnit med en overskrift, der er tilpasset indholdet.

Stort set alle bestemmelser i persondataforordningen kan medføre straf, hvis de overtrædes.

Men revisor har kun pligt til at medtage det i påtegningen, hvis ledelsen kan blive gjort erstatningsansvarlig eller straffet.

Hvornår er det ansvarspådragende for ledelsen?

Brian Adrian Wessel oplyser i artiklen, at Datatilsynet mundtligt har tilkendegivet i august 2018, at Datatilsynets sanktioner kun vil blive rettet mod virksomheden – ikke ledelsen.

Politi og domstole er ikke bundet af Datatilsynets praksis, men Rigsadvokaten har udtalt, at de også primært vil ”gå efter” virksomheden – og kun rejse krav over for ledelsen, hvis den har handlet forsætligt eller groft uagtsomt.

Mindre overtrædelser vil derfor næppe medføre ansvar for ledelsen.

Mindre overtrædelser vil derfor næppe medføre ansvar for ledelsen, men hvis ledelsen slet ikke har gjort noget for at opfylde reglerne om persondatabeskyttelse, er det sandsynligt, at ledelsen kan gøres personligt ansvarlig. 

Men hvis ledelsen slet ikke har gjort noget som helst for at opfylde reglerne om beskyttelse af personoplysninger, så er det formentlig temmelig sandsynligt, at ledelsen kan blive gjort personligt ansvarlig – og dermed påføre revisor et ansvar, hvis det ikke er med i påtegningen.

Udvidet gennemgang

Ved udvidet gennemgang skal revisor have ledelsens skriftlige bekræftelse på, at ledelsen har informeret revisor om, hvorvidt den overholder love og øvrig lovgivning, der påvirker regnskabet. 

Har ledelsen intet gjort i relation til overholdelse af reglerne om beskyttelse af personoplysninger, skal dette stå i erklæringen til revisor.

Denne artikel er skrevet af advokaterne Helle Groth Christensen og Wivi H. Larsen (H) ved Ret&Råd Glostrup Ballerup Greve.

Har du brug for hjælp til virksomhedsrådgivning? Ret&Råd har erhvervsadvokater, der hjælper lokale små og mellemstore virksomheder såvel som store børsnoterede selskaber. Find din lokale Ret&Råd Advokat på vores hjemmeside. 

Vil du vide mere? Læs mere om virksomhedsrådgivning, kontrakter & aftaler eller finansiel rådgivning, eller download vores brochure Virksomhedens Aftaler.

Læs flere artikler skrevet af lokale Ret&Råd Advokater: