Ændring af årsregnskabsloven stiller nye krav til redegørelse for dataetik for store danske virksomheder
Ændringen af årsregnskabsloven, der blev vedtaget den 26. maj 2020, kræver, at store virksomheder i regnskabsklasserne ”store C” og D fremadrettet skal redegøre for deres politik for dataetik i ledelsesberetningen. Det nye krav implementeres efter ”følg eller forklar”-princippet, hvilket betyder, at de omfattede virksomheder skal følge de nye regler eller redegøre for, hvorfor virksomheden har fravalgt dette.
FORMÅLET MED LOVÆNDRINGEN
Formålet med den nye lovændring er at skabe en større gennemsigtighed i store virksomheders arbejde med dataetik. Det er dog værd at bemærke, at lovændringen ikke har baggrund i EU-regler, men er et rent dansk tiltag. Virksomheder, der er etableret i flere forskellige lande i EU, skal derfor være opmærksomme på, at der ikke nødvendigvis gælder tilsvarende regler i de andre EU-lande.
HVAD ER EN POLITIK FOR DATAETIK?
Mange virksomheder har allerede persondatapolitikker, der beskriver, hvordan virksomheden behandler personoplysninger ifølge Databeskyttelsesforordningen (GDPR). Det kan være nærliggende at tro, at en politik for dataetik er det samme som en persondatapolitik. Politikker for dataetik er imidlertid ikke begrænset til behandling af personoplysninger, men omfatter virksomhedens anvendelse af alle former for data. Politikker for dataetik skal derfor forstås bredere end persondatapolitikker og tage højde for (det etiske) forhold mellem teknologi og borgernes rettigheder, retssikkerhed og grundlæggende samfundsmæssige værdier, som den teknologiske udvikling giver virksomheden anledning til at overveje. Nogle af de overvejelser, der indgår i udarbejdelsen af en persondatapolitik, er dog også relevant for virksomhedens politik for dataetik. Det gælder f.eks. overvejelser om konsekvensanalyser (”DPIA’er”) og overvejelser om ”Privacy by Design” og ”Privacy by Default”.
HVAD SKAL INDGÅ I VIRKSOMHEDENS POLITIK FOR DATAETIK?
Ændringen af årsregnskabsloven betyder helt konkret, at virksomheder fremadrettet skal redegøre for sin politik for dataetik i ledelsesberetningen. Det er ikke detailreguleret i ændringsloven, hvad redegørelsen for dataetik skal indeholde, men det er ikke tilstrækkeligt blot at oplyse, at virksomheden har en politik for dataetik.
Redegørelsen for dataetik kan bl.a. indeholde en beskrivelse af:
- Hvilke typer af data, som virksomheden anvender
- Hvor virksomheden modtager data fra, herunder om virksomheden modtager data fra tredjeparter
- Om virksomheden selv sælger data til tredjeparter (og de dataetiske overvejelser i forbindelse med dette)
- Om virksomheden anvender nye teknologier i produktudvikling, prisfastsættelse og i så fald en beskrivelse af den generelle beslutningsproces, der ligger til grund for anvendelse af nye teknologier
- Om virksomhedens medarbejdere bliver oplært, testet eller evalueret i dataetik
Har virksomheden ikke en politik for dataetik, skal ledelsesberetningen indeholde en redegørelse med baggrunden herfor (”følg eller forklar”-princippet).
HVORNÅR TRÆDER ÆNDRINGERNE I KRAFT?
Lovændringerne træder i kraft den 1. juli 2020 og har virkning for regnskabsår, der begynder den 1. januar 2021 eller senere.
Du kan læse mere om lovforslaget her.
Har du brug for du rådgivning på det dataetiske område eller har du spørgsmål til, hvilke informationer din virksomheder skal præsentere i redegørelsen, er du velkommen til at kontakte Lund Elmer Sandagers specialister i GDPR og IT-ret, advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.