FARs kansli har under det senaste året fått förfrågningar från ledamöter som undrar om de kan åta sig uppdrag som personuppgiftsombud. För att klargöra FARs ställningstagande i frågan och lämna vägledning till ledamöterna har regelkommittén gjort ett uttalande om Revisorn som personuppgiftsombud. Uttalandet återges i sin helhet här nedan och kommer att återfinnas i FARs Samlingsvolym 2001. I uttalandet konstateras att en auktoriserad revisor är väl lämpad att utföra de uppgifter som enligt personuppgiftslagen (PUL) åligger ett personuppgiftsombud. Termen ombud kan möjligen leda tankarna fel. I själva verket är personuppgiftsombudet en oberoende extern granskare. Personuppgiftsombudet (puo) skall självständigt se till att den personuppgiftsansvariga (pua) behandlar personuppgifter på ett korrekt och lagligt sätt, påtala brister för pua och vid misstanke om brott mot reglerna göra anmälan till tillsynsmyndigheten, Datainspektionen.
FAR anser att det normalt inte föreligger hinder mot att samtidigt vara personuppgiftsombud och vald revisor i ett bolag. Med beaktande av såväl oberoendeaspekter, tystnadsplikt som anmälningsplikt torde de båda rollerna vara förenliga. Det är dock lämpligt att klargöra de båda funktionernas innebörd för klienten.
Uttalande från FARs Regelkommitté: Revisorn som personuppgiftsombud
Inledning
En revisors kompetens kan utnyttjas även för andra uppgifter än lagstadgad revision. Detta uttalande från regelkommittén om revisorn som personuppgiftsombud syftar till att beskriva förutsättningarna för en revisor att åta sig ett uppdrag som personuppgiftsombud.
Personuppgiftslagen
Personuppgiftslagen (1998:204) har till syfte att skydda människor mot att deras personliga integritet kränks genom behandling av personuppgifter. Personuppgiftsansvarig är den som bestämmer ändamålen med och medlen för behandlingen av personuppgifter. Den som är personuppgiftsansvarig är skyldig att anmäla sådan behandling av personuppgifter som är helt eller delvis automatiserad. Enligt lagen kan den som är personuppgiftsansvarig utse ett personuppgiftsombud med uppgift att utföra den lagstadgade granskningen av hur företaget tillämpar personuppgiftslagen. Efter att ha anmält detta behöver den som är personuppgiftsansvarig då inte anmäla varje behandling av personuppgifter med undantag får sådan som innebär särskilda risker för otillbörligt intrång i den personliga integriteten.
Personuppgiftsombud
Personuppgiftsombudet har till uppgift
att självständigt se till att den som är personuppgiftsansvarig behandlar personuppgifter
på ett lagligt och korrekt sätt
i enlighet med god sed
att påpeka eventuella brister för den personuppgiftsansvariga samt
att anmäla ärenden till tillsynsmyndigheten när så erfordras.
En vald revisor kan åta sig ett uppdrag som personuppgiftsombud
Arbetsuppgifterna som personuppgiftsombud ställer likartade krav som uppgifterna vid ett lagstadgat revisionsuppdrag. En auktoriserad revisor är därför väl lämpad som personuppgiftsombud. Uppgifterna har stora likheter med ett revisionsuppdrag och bygger i likhet med revisionsuppdraget på att revisorn
gör en objektiv och självständig granskning
gör självständiga bedömningar samt
dokumenterar sitt arbete.
I vissa fall har ett personuppgiftsombud även anmälningsplikt gentemot Datainspektionen.
FAR bedömer att uppdrag som personuppgiftsombud och vald revisor normalt är förenliga. En vald revisor i ett klientföretag kan således åta sig ett uppdrag som personuppgiftsombud, och en revisor som är utsedd till personuppgiftsombud kan om han eller hon i övrigt uppfyller förutsättningarna åta sig uppdraget som vald revisor.
FARs slutsats grundar sig på en analys av regelverket för lagstadgad revision, personuppgiftslagen samt den analysmodell för objektivitet och oberoende som föreslås i betänkandet ”Oberoende, ägande och tillsyn i revisionsverksamhet” (SOU 1999:43). Om revisorn är osäker i ett visst uppdragsförhållande bör han eller hon tillämpa analysmodellen för att undersöka om det kan finnas något hot mot objektiviteten i revisionsuppdraget.
Att genomföra ett uppdrag som personuppgiftsombud
Ett uppdrag som personuppgiftsombud förutsätter att revisorn är väl förtrogen med personuppgiftslagen. Innan revisorn åtar sig ett sådant uppdrag, skall han eller hon sätta sig in i lagens bestämmelser och skaffa sig den kunskap som krävs, vanligen genom att delta i någon lämplig vidareutbildning. När uppdraget utförs bör ansatsen och inriktningen grundas på FARs rekommendation Revisionsprocessen.