Ændring af årsregnskabsloven stiller nye krav til redegørelse for dataetik for store danske virksomheder

En ny ændring af årsregnskabsloven medfører, at store virksomheder fremadrettet skal redegøre for deres politik for dataetik i årsrapporten efter ”følg eller forklar”-princippet.
Nyhed
GDPR

Ændringen af årsregnskabsloven, der blev vedtaget den 26. maj 2020, kræver, at store virksomheder i regnskabsklasserne ”store C” og D fremadrettet skal redegøre for deres politik for dataetik i ledelsesberetningen. Det nye krav implementeres efter ”følg eller forklar”-princippet, hvilket betyder, at de omfattede virksomheder skal følge de nye regler eller redegøre for, hvorfor virksomheden har fravalgt dette.

FORMÅLET MED LOVÆNDRINGEN

Formålet med den nye lovændring er at skabe en større gennemsigtighed i store virksomheders arbejde med dataetik. Det er dog værd at bemærke, at lovændringen ikke har baggrund i EU-regler, men er et rent dansk tiltag. Virksomheder, der er etableret i flere forskellige lande i EU, skal derfor være opmærksomme på, at der ikke nødvendigvis gælder tilsvarende regler i de andre EU-lande.

HVAD ER EN POLITIK FOR DATAETIK?

Mange virksomheder har allerede persondatapolitikker, der beskriver, hvordan virksomheden behandler personoplysninger ifølge Databeskyttelsesforordningen (GDPR). Det kan være nærliggende at tro, at en politik for dataetik er det samme som en persondatapolitik. Politikker for dataetik er imidlertid ikke begrænset til behandling af personoplysninger, men omfatter virksomhedens anvendelse af alle former for data. Politikker for dataetik skal derfor forstås bredere end persondatapolitikker og tage højde for (det etiske) forhold mellem teknologi og borgernes rettigheder, retssikkerhed og grundlæggende samfundsmæssige værdier, som den teknologiske udvikling giver virksomheden anledning til at overveje. Nogle af de overvejelser, der indgår i udarbejdelsen af en persondatapolitik, er dog også relevant for virksomhedens politik for dataetik. Det gælder f.eks. overvejelser om konsekvensanalyser (”DPIA’er”) og overvejelser om ”Privacy by Design” og ”Privacy by Default”.

HVAD SKAL INDGÅ I VIRKSOMHEDENS POLITIK FOR DATAETIK?

Ændringen af årsregnskabsloven betyder helt konkret, at virksomheder fremadrettet skal redegøre for sin politik for dataetik i ledelsesberetningen. Det er ikke detailreguleret i ændringsloven, hvad redegørelsen for dataetik skal indeholde, men det er ikke tilstrækkeligt blot at oplyse, at virksomheden har en politik for dataetik.

Redegørelsen for dataetik kan bl.a. indeholde en beskrivelse af:

  • Hvilke typer af data, som virksomheden anvender
  • Hvor virksomheden modtager data fra, herunder om virksomheden modtager data fra tredjeparter
  • Om virksomheden selv sælger data til tredjeparter (og de dataetiske overvejelser i forbindelse med dette)
  • Om virksomheden anvender nye teknologier i produktudvikling, prisfastsættelse og i så fald en beskrivelse af den generelle beslutningsproces, der ligger til grund for anvendelse af nye teknologier
  • Om virksomhedens medarbejdere bliver oplært, testet eller evalueret i dataetik

Har virksomheden ikke en politik for dataetik, skal ledelsesberetningen indeholde en redegørelse med baggrunden herfor (”følg eller forklar”-princippet).

HVORNÅR TRÆDER ÆNDRINGERNE I KRAFT?

Lovændringerne træder i kraft den 1. juli 2020 og har virkning for regnskabsår, der begynder den 1. januar 2021 eller senere.

Du kan læse mere om lovforslaget her.

Har du brug for du rådgivning på det dataetiske område eller har du spørgsmål til, hvilke informationer din virksomheder skal præsentere i redegørelsen, er du velkommen til at kontakte Lund Elmer Sandagers specialister i GDPR og IT-ret, advokat Anders Linde Reislev eller associeret partner, advokat Torsten Hylleberg.  

Relaterede nyheder

Se alle nyheder
Nyhed

Datatilsynet sætter spot på behandling af personoplysninger ved internetkonkurrencer

Datatilsynet har i en nylig sag taget stilling til en virksomheds behandling og videregivelse af personoplysninger i forbindelse med udbud af internetkonkurrencer og spørgeskemaer.
GDPR
Nyhed

Europæiske datatilsyn stiller skarpt på cookieløsninger og brug af Google Analytics

Det danske datatilsyn og andre europæiske datatilsyn har i øjeblikket stort fokus på, om virksomheders cookieløsninger lever op til reglerne i GDPR. Det omfatter bl.a. løsninger med Google Analytics og IAB’s standardløsning for cookies og annoncer, Transparency and Consent Framework (TCF), hvor meget tyder på, at danske virksomheder skal forberede sig på alternative løsninger.
GDPR
Nyhed

Lund Elmer Sandager styrker partnerkredsen med partnerudnævnelser fra egne rækker

Det er en stor glæde, at advokat Sebastian Rungby og advokat Torsten Hylleberg begge indtræder som ejerpartnere i Lund Elmer Sandager med tilbagevirkende kraft fra den 1. januar 2022.
GDPR
Nyhed

Datatilsynet indstiller til store GDPR-bøder

I løbet af sommeren 2021 har Datatilsynet indstillet bøder til tre offentlige myndigheder og to private virksomheder i niveauet 150.000-600.000 kr. for overtrædelse af GDPR-lovgivningen. Den nye størrelse af bødeindstillingerne udstikker vigtigheden af, at virksomheder sikrer et tilstrækkeligt sikkerhedsniveau ved behandling af personoplysninger.
GDPR
Nyhed

Nye Standard Contractual Clauses ved overførsler af persondata ud af EU/EØS

EU-Kommission har den 4. juni 2021 udstedt nye Standard Contractual Clauses (”SCC”) til brug ved overførsler af persondata ud af EU/EØS, hvilket f.eks. kan være til en (under)databehandler i USA.
GDPR
Nyhed

De europæiske datatilsyn fører nu tilsyn med overførsler af persondata til USA

Den 15. marts 2021 kom der en opsigtsvækkende afgørelse fra Tyskland i en sag om en tysk virksomhed, som benyttede det amerikanskejede nyheds- og marketingsselskab ”Mailchimp” til udsendelse af nyhedsbreve. Afgørelsen indebar, at virksomheden ved overførsel af deres abonnenters e-mailadresser til Mailchimp på ulovlig vis overførte persondata til et tredjeland – USA – da virksomheden ikke havde sikret tilstrækkelige ”supplerende foranstaltninger” for at beskytte personoplysningerne.
GDPR