Sarbanes Oxley Act-sagen

Publiceret 17-05-2004
Historisk afgørelse Private virksomheder

Journalnummer: 2003-233-0028

Den 27. november 2003 fremsendte advokat firma A som advokat for Foreningen af Statsautoriserede Revisorer (FSR) et udkast til samtykkeerklæring, hvor ansatte revisorer kan samtykke til arbejdsgivers behandling samt overførsel af personoplysningerne til tredjeland (USA), herunder offentliggørelse på PCAOB (Public Company Accounting Oversight Board)’s hjemmeside.

A har bedt om Datatilsynets vurdering af, hvorvidt samtykkeerklæringen er i overensstemmelse med persondataloven.

Den 19. februar blev der afholdt møde mellem Datatilsynet, A og Foreningen af Statsautoriserede Revisorer.

A anmodede efterfølgende Datatilsynet om at udsætte sagen for at afvente stillingtagen fra andre europæiske datatilsyn, der havde fået lignende henvendelser fra revisor-sammenslutninger.

Den 19. marts 2004 genfremsatte A sin anmodning om Datatilsynets vurdering af sagen. Vurderingen var vedlagt A’s ”legal opinion”.

Kravet om registrering hos PCAOB følger af en nyere amerikansk lov, the Sarbanes Oxley Act of 2002. PCAOB er et privat almennyttigt tilsynsorgan, etableret i henhold til the Sarbanes Oxley Act of 2002. PCAOB’s formål er at føre tilsyn med aktieselskabernes revisorer for derved at beskytte investorer samt offentlige interesser ved at sikre udarbejdelsen af informative, retvisende og selvstændige revisionsprotokoller.

The Sarbanes Oxley Act foreskriver, at revisionsfirmaer skal registreres ved PCAOB for (fortsat) at kunne forestå revisionen af amerikanske aktieselskaber. Denne registrering indebærer, at der videregives og offentliggøres en række personoplysninger om de ansatte revisorer.

A har oplyst, at ud over almindelige personoplysninger som navn, arbejdsgiver og autorisationsnummer omfatter revisionsvirksomhedernes registreringsforpligtelse bl.a., at der registreres følgende typer af oplysninger om de ansatte revisorer:

1) Oplysning om ansatte revisoreres involvering i verserende straffesager og afsluttede straffesager inden for de seneste 5 år, hvor afgørelsen går imod revisionsvirksomheden/den ansvarlige revisor.

2) Oplysning om ansatte revisorers involvering i verserende samt afsluttede civile sager og “alternative dispute resolution”-sager, som er anlagt af en offentlig myndighed som følge af udført revisionsarbejde, samt sager afsluttet inden for de seneste 5 år, hvor afgørelsen går imod revisionsvirksomheden/ den ansvarlige revisor.

3) Oplysning om ansatte revisorers involvering i verserende samt afsluttede administrative og disciplinærsager, der er anlagt som følge af udført revisorarbejde, samt sager afsluttet inden for de seneste 5 år, hvor afgørelsen går imod revisionsvirksomheden/den ansvarlige revisor - navnlig sager behandlet ved Disciplinærnævnet for Statsautoriserede og Registrerede Revisorer.

4) Oplysning om ansatte revisorers involvering i verserende civile søgsmål, som er anlagt af private personer og selskaber som følge af udført revisionsarbejde

5) Oplysning om eventuelle uoverensstemmelser mellem den ansatte revisor og klienten, hvis aktier er børsnoteret i USA

Herudover skal revisionsfirmaerne såvel som de ansatte revisorer forpligte sig til at aflevere yderligere revisionsdokumenter samt til at afgive vidneforklaring, såfremt PCAOB finder det nødvendigt.

For udenlandske revisionsselskaber omfatter registreringspligten revisorer, som er ejer, partner, direktør, aktionær, funktionær eller leder hos virksomheden, og som har forestået mindst 10 timers revisionsarbejde for et amerikansk selskab inden for det seneste kalenderår.

Særligt vedrørende strafbare forhold har PCAOB udtalt, at forseelser vedrørende motorkøretøjer kan udelukkes. Tilsvarende kan forhold undtages, der alene omhandler personer under ledelsesniveau, og som ikke omhandler bogføring, revision, bankforretning, handelsvarer, forbrugerbeskyttelse, underslæb, falskneri, svindel, forsikring, bevissvindel, mened, sikkerhed eller beskatning. Sidstnævnte undtagelse forudsætter dog, at der ikke er tale om lovovertrædelser af særlig grov karakter.

PCAOB vil registrere, opbevare og offentliggøre oplysningerne, herunder gøre oplysningerne tilgængelige på deres hjemmeside.

Det er muligt at anmode PCAOB om, at registreringsansøgningen (eller en del heraf) skal undergives fortrolighed, således at denne ikke bliver offentlig tilgængelig. Ansøgning herom skal imidlertid indgives samtidig med ansøgning om registrering, og såfremt ansøgningen afvises, vil oplysningerne efterfølgende blive offentliggjort. Fra tidspunktet for overførsel af oplysningerne til PCAOB vil hverken den registrerede eller revisionsvirksomheden således have kontrol over, hvorvidt oplysningerne offentliggøres eller ej.

Der er ligeledes i PCAOB’s regler indført mulighed for, at videregivelsen af personoplysninger kan udelades, såfremt det strider mod national lovgivning.

Datatilsynets udtalelse:

Datatilsynet skal – efter at sagen er blevet behandlet på et møde i Datarådet – udtale følgende:

1. Sammenfattende er det Datatilsynets opfattelse, at den omhandlede registrering, videregivelse og offentliggørelse vil være i strid med de grundlæggende principper i persondatalovens § 5, stk. 1, 2 og 3. Datatilsynet anser det samtidig for tvivlsomt, hvorvidt behandlingerne vil være forenelige med reglerne i lovens § 5, stk. 4, og stk. 5. Der henvises til afsnit 4 nedenfor.

Herudover ville den eneste mulige behandlingshjemmel være udtrykkeligt samtykke, jf. afsnit. 1.

Efter Datatilsynets opfattelse vil der imidlertid næppe kunne indhentes et generelt samtykke, som kan leve op til persondatalovens krav, jf. afsnit 3.

2. Persondataloven gælder ifølge lovens § 1, stk. 1, for behandling af personoplysninger, som helt eller delvis foretages ved hjælp af elektronisk databehandling, og for ikke-elektronisk databehandling af personoplysninger, der er eller vil blive indeholdt i et register.

Loven gælder tillige for anden ikke-elektronisk systematisk behandling, som udføres for private, og som omfatter oplysninger om personers private eller økonomiske forhold, eller i øvrigt oplysninger om personlige forhold, som med rimelighed kan forventes unddraget offentligheden. Dette gælder dog ikke reglerne i lovens kapitel 8 og 9.

I persondatalovens §§ 6, 7 og 8 findes de almindelige betingelser for, hvornår behandling af oplysninger må finde sted. § 6 omhandler de almindelige oplysninger, f.eks. navn og adresse, mens §§ 7 og 8 omhandler følsomme oplysninger som f.eks. oplysninger om helbredsmæssige forhold og oplysninger om strafbare forhold. Blandt de af § 6 omfattede almindelige personoplysninger kan der være tale om såvel oplysninger af fortrolig karakter som ikke-fortrolige oplysninger.

Datatilsynet må konstatere, at den omhandlede videregivelse for det første vil medføre behandling af almindelige personoplysninger omfattet af § 6 (eksempelvis navn, arbejdsgiver og autorisationsnummer).

Det følger af § 6, stk. 1, nr. 1, at behandling af personoplysninger må finde sted, hvis den registrerede har givet sit udtrykkelige samtykke.

Det følger endvidere af § 6, stk. 1, nr. 6, at behandlingen må ske, hvis den er nødvendig af hensyn til udførelsen af en opgave, der henhører under offentlig myndighedsudøvelse, som den dataansvarlige eller en tredjemand til hvem oplysningerne videregives, har fået pålagt.

Efter persondatalovens § 6, stk. 1, nr. 7, må registrering, videregivelse og anden behandling af personoplysninger endelig ske, hvis behandlingen er nødvendig for, at den dataansvarlige eller den tredjemand, til hvem oplysningerne videregives, kan forfølge en berettiget interesse, og hensynet til den registrerede ikke overstiger denne interesse.

Almindelige ikke-fortrolige arbejdsrelaterede personoplysninger vil efter Datatilsynets opfattelse kunne behandles, herunder videregives, med hjemmel i § 6, stk. 1, nr. 1, og § 6, stk. 1, nr. 7. Det er således Datatilsynets praksis, at danske virksomheder kan gøre oplysninger af denne art tilgængelige på internettet.

Overførsel af de omhandlede oplysninger efter Sarbanes Oxley Act vil tillige medføre behandling af fortrolige og følsomme oplysninger. De følsomme oplysninger vil fortrinsvis omfatte oplysninger om strafbare forhold jf. persondatalovens § 8, men efter Datatilsynets vurdering kan det næppe udelukkes, at de krævede oplysninger tillige kan indeholde oplysninger, som er omfattet af persondatalovens § 7.

Ifølge lovens § 7, stk. 1, må der ikke behandles oplysninger om bl.a. helbredsmæssige forhold.

I lovens § 7, stk. 2 - 8, findes en række undtagelser til § 7, stk. 1.

Det følger af § 7, stk. 2, nr. 1, at bestemmelsen i stk. 1 ikke finder anvendelse, hvis den registrerede har givet sit udtrykkelige samtykke til den pågældende behandling.

Forbudet i § 7, stk. 1, gælder desuden ikke, hvis behandlingen af oplysninger er nødvendig for, at et retskrav kan fastlægges, gøres gældende eller forsvares, jf. § 7, stk. 2, nr. 4.

Det følger af persondatalovens § 8, stk. 4, at private må behandle oplysninger om strafbare forhold, væsentlige sociale problemer og andre rent private forhold end de i § 7, stk. 1, nævnte, hvis den registrerede har givet sit udtrykkelige samtykke hertil. Herudover kan behandling ske, hvis det er nødvendigt til varetagelse af en berettiget interesse, og denne interesse klart overstiger hensynet til den registrerede.

Det følger af § 8, stk. 5, at de i stk. 4 nævnte oplysninger ikke må videregives uden den registreredes udtrykkelige samtykke. Videregivelse kan dog ske uden samtykke, når det sker til varetagelse af offentlige eller private interesser, herunder hensynet til den pågældende selv, der klart overstiger hensynet til de interesser, der begrunder hemmeligholdelse.

Af bestemmelsen i persondatalovens § 8, stk. 6 fremgår det, at behandling af oplysninger i de tilfælde, der er reguleret i stk. 1, 2, 4, og 5, i øvrigt kan finde sted, hvis betingelserne i § 7 er opfyldt.

Det er Datatilsynets opfattelse, at de nævnte fortrolige og følsomme oplysninger alene ville kunne videregives fra de danske virksomheder til PCAOB med henblik på videre behandling og offentliggørelse, hvis den registrerede har givet sit udtrykkelige samtykke hertil.

Det bemærkes herved, at Datatilsynet ikke finder, at fortrolige oplysninger ville kunne videregives efter afvejningsreglen i § 6, stk. 1, nr. 7, ligesom registrering og videregivelse af følsomme oplysninger ikke findes at kunne ske efter retskravsreglen i § 7, stk. 2, nr. 4, eller værdispringsreglerne i § 8, stk. 4, og stk. 5.

Videregivelse af oplysninger til PCAOB indebærer overførsel af oplysningerne til tredjeland (USA). USA er et ikke-sikkert tredjeland, og der skal derfor findes en selvstændig hjemmel til overførsel af oplysningerne i § 27, stk. 3.

Med hensyn til oplysninger fra offentlige tilgængelige registre vil overførsel kunne ske efter § 27, stk. 3, nr. 6. Øvrige oplysninger ville efter Datatilsynets opfattelse alene kunne overføres til tredjelande i medfør af samtykkereglen i § 27, stk. 3, nr. 1.

3. Et samtykke fra den registrerede skal opfylde betingelserne i persondatalovens § 3, nr. 8, hvoraf fremgår, at et samtykke er enhver frivillig, specifik og informeret viljestilkendegivelse, hvorved den registrerede indvilliger i, at oplysninger, der vedrører den pågældende selv, gøres til genstand for behandling.

At et samtykke skal være frivilligt betyder, at samtykket ikke må være undergivet tvang. Dette gælder uanset, om det er den dataansvarlige selv eller andre, der udøver pression overfor den registrerede.

Det er derimod fast antaget i såvel teori som praksis, at den omstændighed, at den registrerede opnår en modydelse, herunder en offentligretlig ydelse, ikke bevirker, at et samtykke ikke kan anses for at være afgivet frivilligt.

At samtykket skal være udtrykkeligt betyder, at der ikke kan indhentes et stiltiende eller indirekte samtykke. Der ligger ikke heri et egentlig krav om skriftlighed, men da bevisbyrden for, at der foreligger et samtykke, der opfylder lovens krav, påhviler den dataansvarlige, kan det anbefales, at et samtykke afgives skriftligt.

I kravet om, at et samtykke skal være specifikt, ligger, at samtykket skal være konkretiseret, således at det klart og utvetydigt fremgår, hvad der meddeles samtykke til, herunder hvilke oplysninger der må behandles på baggrund af samtykket, af hvem og til hvilke formål.

Herudover skal der i forbindelse med samtykke gives tilstrækkelig information om samtykkets rækkevidde, således at den, der afgiver samtykket, er klar over, hvad dette indebærer.

Endvidere kan et afgivet samtykke tilbagekaldes efter bestemmelsen i § 38 i persondataloven.

Datatilsynet finder det tvivlsomt, hvorvidt et samtykke afgivet i denne sammenhæng reelt vil kunne tilbagekaldes. Tilbagekaldelse af samtykke over for arbejdsgiveren vil ikke have den ønskede effekt, idet oplysningerne er videregivet til PCAOB og dermed ude af arbejdsgiverens kontrol. Oplysningerne vil tillige være videregivet til en ukendt kreds af personer via PCAOB’s hjemmeside.

Den påtænkte offentliggørelse, som indebærer et meget vidtrækkende indgreb for en privatperson, bevirker, at det således kan være svært for den registrerede at overskue alle konsekvenserne af et samtykke. Persondatalovens definition af samtykke i § 3 nr. 8, ifølge hvilken et samtykke skal være “informeret”, må derfor som minimum forudsætte, at arbejdstageren informeres om, hvorvidt tilbagekaldelse reelt er muligt eller ej.

Det er herefter Datatilsynets opfattelse, at der næppe vil kunne indhentes et generelt samtykke fra revisorerne, som kan leve op til kravene i persondatalovens § 3, nr. 8, om, at samtykket skal være en frivillig, specifik og informeret viljestilkendegivelse.

Herudover giver det anledning til særlige overvejelser, at revisionsvirksomheden og revisorerne ifølge PCAOB’s registreringsblanket skal afgive samtykke til at ville udlevere revisionsdokumenter samt afgive vidneforklaring, hvis PCAOB anmoder herom. Datatilsynet lægger til grund, at der er tale om behandling af oplysninger omfattet af persondatalovens anvendelsesområde.

Samtykket vil her skulle gives til en hypotetisk situation inden for et forholdsvis bredt anvendelsesområde. Samtykket ville ikke kunne konkretiseres, og det kunne ikke på forhånd fastlægges, hvilke oplysninger den registrerede skulle samtykke til behandling af. Et sådan samtykke vil efter Datatilsynets opfattelse ikke kunne leve op til kravene i persondataloven § 3, stk. 8.

4. Behandling af personoplysninger skal altid ske i overensstemmelse med de grundlæggende principper, som er indeholdt i persondatalovens § 5.

Det følger af § 5, stk. 1, at oplysninger skal behandles i overensstemmelse med god databehandlingsskik. Det betyder ifølge lovens forarbejder, at behandlingen skal være rimelig og lovlig.

Det følger af § 5, stk. 2, at indsamling af oplysninger skal ske til udtrykkeligt angivne og saglige formål, og at senere behandling ikke må være uforenelig med disse formål. Af lovens § 5, stk. 3, følger, at oplysningerne, som behandles, skal være relevante og tilstrækkelige og ikke omfatte mere, end hvad der kræves til opfyldelse af de formål, hvortil oplysningerne indsamles, og de formål hvortil oplysningerne senere behandles.

På det foreliggende grundlag finder Datatilsynet, at det vil være i strid med de grundlæggende principper i § 5, stk. 1, 2 og 3, at registrere og udlevere de krævede oplysninger til PCAOB selv med et samtykke.

Datatilsynet har herved lagt vægt på, at en revisors afgivelse af de omhandlede ifølge A’s vurdering i en række tilfælde kan kompromittere dennes tavshedspligt. Behandlingen kan derfor ikke anses for overensstemmende med god databehandlingsskik.

Datatilsynet har desuden lagt vægt på, at der er tale om en meget vidtgående forpligtelse til registrering og videregivelse af også fortrolige og følsomme oplysninger.

Datatilsynet må samtidig lægge til grund, at behandlingen vil omfatte offentliggørelse på internettet og således ikke kun en videregivelse til en myndighed i USA. Tilsvarende oplysninger er ikke offentligt tilgængelige i Danmark, idet offentliggørelse aktuelt kun finder sted i begrænset omfang og tilmed i delvist anonymiseret form.

Efter Datatilsynets vurdering er der således ikke den fornødne proportionalitet mellem omfanget af oplysninger og det fastsatte formål med registreringsordningen, herunder at behandlingen omfatter offentliggørelse på internettet.

Af lovens § 5, stk. 4, følger, at behandling af oplysninger skal tilrettelægges således, at der foretages fornøden ajourføring af oplysningerne. Der skal endvidere foretages den fornødne kontrol for at sikre, at der ikke behandles urigtige eller vildledende oplysninger.

Oplysninger, der viser sig urigtige eller vildledende, skal snarest muligt slettes eller berigtiges. Endeligt følger det af bestemmelsens stk. 5, at indsamlede oplysninger ikke må opbevares på en måde, der giver mulighed for at identificere den registrerede i et længere tidsrum end det, der er nødvendigt af hensyn til de formål, hvortil oplysningerne behandles.

Det følger endvidere af lovens § 37, at den dataansvarlige skal berigtige, slette eller blokere oplysninger, der viser sig at være urigtige eller vildledende eller på lignende måde er behandlet i strid med lov eller bestemmelser udstedt i medfør af lov, hvis en registreret person fremsætter anmodning herom.

Det følger af § 37, stk. 2, at den dataansvarlige, hvis en registreret person fremsætter anmodning herom, skal underrette den tredjemand, hvortil oplysninger er videregivet, om at de videregivne oplysninger er berigtiget, slettet eller blokeret. Dette gælder dog ikke, hvis underretningen viser sig umulig eller er uforholdsmæssigt vanskelig.

Der foreligger ikke oplysning fra PCAOB om, hvorvidt der er fastsat procedurer, som sikrer den registreredes ret til berigtigelse, og det har ikke været muligt at udlede af det foreliggende materiale, om der er fastsat en frist for sletning af de omhandlede oplysninger.

Den registrerede har således ikke nogen garanti for sine rettigheder i henhold til § 5, stk. 4, og § 37 og har ingen oplysninger om registreringens tidsmæssige udstrækning, jf. § 5, stk. 5. Datatilsynet må derfor på det foreliggende grundlag udtrykke betydelig tvivl om, hvorvidt registreringen er forenelig med disse regler.

5. Til orientering kan det oplyses, at Datatilsynet forventer at offentliggøre denne udtalelse på tilsynets hjemmeside eller i tilsynets årsberetning.