Login


         

Søg

Banner karnov

Banner fakta top

Banner focus



Revisor som databehandler

Er revisor databehandler? Dette spørgsmål har betydning for, om der skal udarbejdes skriftlige databehandleraftaler inden 25.5.2018.

Betyder det noget for revisor

Hvis der er er en databehandlerkonstruktion, skal der laves en databehandleraftale. Det er som udgangspunkt kunden som dataansvarlig, der er ansvarlig for aftalen.

Dette ifølge Persondataforordningen, som træder i kraft den 25.5.2018.

I praksis vil mange virksomheder dog nok henvende sig til sin revisor, og bede om rådgivning om hvorvidt der skal være en databehandleraftale. Eller revisor kan have et ønske om proaktivt at orientere sine kunder om, at der i særskilte situationer skal være en databehandleraftale.

Hvornår er revisor databehandler?

En databehandler er efter databeskyttelsesforordningens artikel 4: ”en fysisk eller juridisk person, en offentlig myndighed, en institution eller andet organ, der behandler personoplysninger på den dataansvarliges vegne”.

Man kan se af databeskyttelsesforordningens artikel 28, at der kun vil foreligge en databehandlerkonstruktion, hvis aftalen går ud på at revisor skal behandle personoplysninger efter instruks fra virksomheden.

Datatilsynet har udarbejdet en vejledning om dataansvarlige og databehandlere. I denne fremgår eksempel 3 – En erhvervsdrivendes aftale med en revisor:

”Erhvervsvirksomheden E køber en ydelse fra en revisor, der går ud på, at revisoren skal udarbejde den erhvervsdrivendes selvangivelse, som kan indeholde personoplysninger Erhvervsvirksomheden E’s instruks er bredt og generelt formuleret og går alene ud på, at revisoren skal udarbejde selvangivelsen.

Revisoren vil i dette tilfælde agere som selvstændigt dataansvarlig, når det er revisoren, der træffer de væsentlige beslutninger om, med hvilke delformål og hjælpemidler opgaven skal løses.

Det er i øvrigt tvivlsomt, i hvilket omfang revisoren vil kunne tage imod en detaljeret instruks om udarbejdelsen af en selvangivelse, da revisoren i sit arbejde er underlagt professionelle forpligtelser og standarder. Se mere herom i eksempel 15 og 16 nedenfor”.

Formål og delformål

Med formål skal forstås, hvorfor data behandles. Formålet kan fx være overholdelse af lovpligt til indsendelse af selvangivelse. Eller overholdelse af lovpligt til indsendelse af momsangivelse.

Det afgørende, for om der foreligger en databehandlerkonstruktion, er, om en behandling af personoplysninger foretages af revisor, mens virksomheden som dataansvarlig fortsat bestemmer over formålet og over de væsentligste behandlingsskridt, herunder indsamling, sletning, videregivelse og brug af eventuelle underdatabehandlere.

Hjælpemidler

Med hjælpemidler skal forstås fx hvilke tekniske og organisatoriske hjælpemidler, der skal bruges for at skabe den nødvendige sikkerhed i forhold til oplysningerne. Det kan fx være valg af program til bogføring, løn, skatteberegning, regnskabsopstilling osv.

Det afgørende, for om der er en databehandlerkonstruktion i relation til hjælpemidler, er, om kunden bestemmer over brug af eventuelle underdatabehandlere. Hvis revisor foretager valg af systemet, vil der efter vores opfattelse ikke være tale om en databehandlerkonstruktion. Der er derfor heller ikke behov for en databehandleraftale.

Professionelle forpligtelser og standarder

Datatilsynet skriver: ”Det er i øvrigt tvivlsomt, i hvilket omfang revisoren vil kunne tage imod en detaljeret instruks om udarbejdelsen af en selvangivelse, da revisoren i sit arbejde er underlagt professionelle forpligtelser og standarder”.

Det fremgår ikke af Datatilsynets vejledning, hvilke professionelle forpligtelser og standarder de mener. Det fremgår heller ikke om der er tale om godkendte revisionsvirksomheder eller ej.

FSR mener at der er tale om revisorloven. I Faglig Afdeling A/S tror vi at det er mere bredt, og dækker alle revisorers pligter. Efter revisorloven er det fx §22 om økonomiske forbrydelser. Men vi tror også at Hvidvaskloven er omfattet, som pålægger alle revisorer (uanset godkendelse eller ej), at reagere hvis der er mistanke om hvidvask.

Foreløbig konklusion

I min optik er revisor stort set altid underlagt professionelle forpligtelser og standarder. For erklæring og er det for eksempel Revisorloven, og for andre forhold er det for eksempel Hvidvaskloven.

Revisor er derfor som udgangspunkt efter min mening ikke databehandler. Derfor skal der som udgangspunkt ikke laves databehandleraftale.

Hertil kommer, at hvis revisor foretager valg af hjælpemidler til persondataene (fx system til beregning), taler dette også imod at revisor er databehandler.

FSR udmelding

FSR har konsulteret Datatilsynet. Den fælles holdning hos Datatilsynet og FSR er, at revisor ikke er databehandler når der afgives erklæring (med eller uden sikkerhed). De mener derimod at revisor er databehandler, hvis revisor fx laver regnskab, og ikke afgiver erklæring om det.

De skriver i deres nylige artikel: ”En række klassiske opgaver varetager revisor på klientens (den dataansvarliges) vegne uden erklæringsafgivelse og dermed uden for revisorloven. Det gælder bogføringsopgaver, føring af lønbogholderi samt eventuelt opstilling af regnskaber og skattemæssige opgørelser uden afgivelse af erklæring.

Her er revisor databehandler af klientens persondata, såfremt opgaven indeholder sådanne, hvilket er i tråd med, at hele instruktionsbeføjelsen ligger hos klienten, idet revisor ikke omfattes af revisorlovgivningen i den type opgaver”.

De mener således at revisor er databehandler når revisor laver bogføring, løn eller skattemæssige opgørelser, og ikke laver erklæring.

Datatilsynets vejledning forklarer ikke, om der er tale om godkendt revisor eller ej. Og FSR artikel forklarer ikke, hvad der skal ske i tilfælde af selvangivelser. Men samlet set siger vejledning og FSR artikel ikke det samme. Så enten artikel eller vejledning må efter min mening være upræcis.

Bogføring

FSR mener at revisor er databehandler, når revisor laver bogføring som indeholder persondata. Og at der dermed skal laves databehandleraftale.

Min holdning er, at revisor er forpligtet til at overholde Hvidvaskloven. Dermed kan bogføringsopgaven ikke udelukkende udføres efter kundens instruktionsbeføjelse. Dermed er revisor efter min mening ikke databehandler.

Dertil kommer, at bogføringen indgår i regnskabet. Hvis revisor afgiver erklæring om regnskabet, omfattes bogføringsopgaven efter min mening af dataansvarligrollen. Revisor er derfor ikke databehandler, og der skal derfor ikke laves databehandleraftale.

Løn

FSR mener at revisor er databehandler, når revisor laver lønbogholderi som indeholder persondata. Og at der dermed skal laves databehandleraftale.

Min holdning er, at revisor er forpligtet til at overholde Hvidvaskloven. Dermed kan lønopgaven ikke udelukkende udføres efter kundens instruktionsbeføjelse. Dermed er revisor efter min mening ikke databehandler.

Dertil kommer, at lønningerne indgår i regnskabet. Hvis revisor afgiver erklæring om regnskabet, omfattes lønopgaven efter min mening af dataansvarligrollen. Revisor er derfor ikke databehandler, og der skal derfor ikke laves databehandleraftale.

Opgørelse af skattepligtig indkomst

FSR mener at revisor er databehandler, når revisor laver skatteopgørelser som indeholder persondata, og hvis der ikke afgives erklæring herom. Og at der dermed skal laves databehandleraftale.

Min holdning er, at revisor er forpligtet til at overholde Hvidvaskloven. Dermed kan skatteopgaven ikke udelukkende udføres efter kundens instruktionsbeføjelse. Dermed er revisor efter min mening ikke databehandler.

Dertil kommer, at skatten indgår i regnskabet. Hvis revisor afgiver erklæring om regnskabet, omfattes skatteopgaven efter min mening af dataansvarligrollen. Revisor er derfor ikke databehandler, og der skal derfor ikke laves databehandleraftale.

Opbevaring

FSR/Datatilsynet skriver om opbevaring:

”For assistanceopgaver, der også er forbundet med opbevaring på klientens vegne, er opbevaringsperioden fastlagt i bogføringsloven til indeværende år og de fem foregående år. En sådan opbevaring skal være fastlagt i en behandleraftale, og opbevaringen skal således følge af en instruks fra klienten til revisor. Instruksen herom kan naturligvis ændres, og opbevaringen ”tages tilbage”, af klienten efter almindelige aftaleretlige principper. Dette vil gælde ved en aftale om opbevaring, uanset om revisor også afgiver en erklæring om regnskabsopstillingen, der omfattes af revisorlovens § 1, stk. 3, eller om dette ikke er tilfældet”.

Dette lyder rigtigt på mig. Omvendt kan man argumentere for, at bogføringen indgår i det regnskab som revisor afgiver erklæring om. Eller at revisor modtager bilagene (og persondata) som led i bogføringen, som revisor er underlagt Hvidvaskloven om, og derfor ikke kan arbejde efter kundens instruktionsbeføjelser.

Konklusion

Jeg synes at der stadig er for mange åbenstående punkter.

Hvis vi tager fejl, skal der i Danmark indgås ca. 450.000 skriftlige aftaler mellem kunder og revisor (der er måske 600.000 virksomheder, og et forsigtigt gæt er, at 300.000 får bogført af en revisor, og 150.000 får lavet løn hos en revisor).

Jeg vil hjertens gerne udsende databehandleraftaler. Jeg vil dog ikke selv – og ikke anbefale andre – at udsende de mange aftaler inden der er en endelig afklaring på problemstillingen.

Anvendt litteratur

 

Artiklen er skrevet af:

Bjarne Aalbæk
Faglig Afdeling A/S
Denne email adresse bliver beskyttet mod spambots. Du skal have JavaScript aktiveret for at vise den.
Tlf 70 10 70 12
Cvr 32 66 11 73

Artiklen i læsevenligt PDF format:

 

Værktøjer til Persondata

Værktøjer til Hvidvask